“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

| AE 10680 | Ondernemingsvrijheid, Privacy | 6 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit:

Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal?

Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te gaan en alle documenten en dergelijke te retourneren aan het einde van het dienstverband. Dat zijn op zich geen rare afspraken. De teksten vind ik als jurist volkomen standaard. Je zou zelfs kunnen zeggen dat dat gewoon werkinstructies zijn, zo werken wij hier nu eenmaal en jij dus ook.

Wat de wenkbrauwen doet fronsen, is dat de werkgever er een stevig boetebeding aan koppelt: iedere overtreding van één van deze instructies wordt gestraft met een boete van €2.500 per keer en 250 euro per dag. Dat is natuurlijk geen instructie, dat is een afspraak. Boetes mogen in arbeidscontracten worden opgenomen, maar dat is een tweezijdige vrijwillige keuze die je in zo’n contract maakt, en geen eenzijdige “hier even tekenen en dan hang je vanaf nu”.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord op een aanpassing van je arbeidscontract kan niet worden afgedwongen, behalve als het gaat om een kleine wijziging die je in redelijkheid niet kunt weigeren. Dat is natuurlijk niet aan de orde bij een boetebeding, omdat dit zozeer 100% in het nadeel van de werknemer is.

Dus nee, ik denk niet dat je dit hoeft te tekenen. Als de werkgever bewijs wil dat jij deze instructies (artikel 1 dus) hebt gelezen, dan kan hij je verplichten bij artikel 1 “voor gezien” en krabbel te zetten. Artikel 2 is niet eenzijdig op te leggen, een boete vereist instemming van de werknemer. Dat moet er dus uit. En je persoonlijk aansprakelijk stellen voor de schade gaat ‘m ook niet worden, de lat daarvoor ligt héél hoog en enkel dat je een instructie negeert of je werkgever schade berokkent is nadrukkelijk bij lange na niet genoeg.

Arnoud

Mag Slack een werkgever toegang geven tot chats van personeel?

| AE 10473 | Privacy | 9 reacties

De zakelijke chatdienst Slack laat werkgevers voortaan de privégesprekken van personeel inzien, las ik bij Nu.nl. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien. Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement heeft, kan alle chats binnen dat abonnement downloaden, en ook privéberichten (direct messages). Waardoor je dus als werknemer binnen zo’n bedrijfsabonnement ineens jouw chats gedownload ziet.

Slack is een populaire chatdienst die erg handig blijkt voor snelle bedrijfscommunicatie, intern maar ook met klanten. Chats zijn opgedeeld in kanalen waar je bijvoorbeeld in teamverband aan deelneemt, zodat je alleen relevante conversaties volgt. Daarnaast kun je privéberichten sturen naar een specifieke andere gebruiker. Gebruikers kunnen van het eigen bedrijf zijn, of van een andere organisatie zoals een klant – maar je partner zou ook op Slack kunnen zitten zodat je met hem/haar een chat kunt voeren voor privédoeleinden.

Onder de AVG heb je recht op inzage en recht op dataportabiliteit – concreet kun je een kopie van je data eisen van internetdienstverleners waar je een contract mee hebt, of waar je apart toestemming gaf voor de dataverwerking. En wel in XML of vergelijkbaar standaardformaat. Dus op zich is het niet meer dan logisch dat Slack je de optie geeft je chats te downloaden, dat is gewoon de invulling van dat recht.

Het wringt natuurlijk waar de abonnementshouder niet het personeelslid is dat de chatdienst gebruikt. Want dat recht op inzage en dataportabiliteit is bedoeld voor het personeelslid om grip op zijn data te houden, niet voor de werkgever om eens rustig mee te lezen met wat mensen allemaal zeggen, zakelijk dan wel privé.

Tegelijkertijd hééft een werkgever soms het recht om inzage te krijgen in chats. Je hebt weliswaar privacy op het werk, maar die is niet onbeperkt. Als er een duidelijk bedrijfsbelang is om de chats te lezen, dan mag dat. Wel moet dit in een reglement zijn uitgewerkt en moet het in een concreet geval relevant en noodzakelijk zijn, maar het mag. (En in dat reglement zeggen dat de werkgever altijd alles mag zien, is niet rechtsgeldig.)

Het doet er dus uiteindelijk niet toe of de gesprekken via Slack gevoerd worden, via de mail of op een andere manier. Waar het om gaat is hoe privé het gesprek is en hoe groot het bedrijfsbelang is dat je daar tegenover stelt (en dat dus in je reglement is uitgewerkt).

Arnoud

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?

Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?

Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.

Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?

Arnoud

Bitcoins minen op de computer van je baas is geen reden voor staande voet ontslag

| AE 10431 | Ondernemingsvrijheid | 15 reacties

Een systeembeheerder die op zijn werk bitcoins heeft gemined, mocht hiervoor niet op staande voet ontslagen worden, las ik bij Nu.nl. Hij had voor het winnen van de cryptovaluta een eigen unit in de serverkast op het werk geplaatst en daarmee het ICT-reglement overtreden en, aldus de werkgever, het bedrijf blootgesteld aan risico’s rond virus,… Lees verder

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Mag je op het werk de internetradio aan laten staan als dat geld kost?

| AE 10319 | Ondernemingsvrijheid | 26 reacties

Wie in zijn eentje aan het werk is, zal snel geneigd zijn een muziekje aan te zetten. Vandaag de dag zelden meer een probleem voor de werkgever (de Buma/Stemra even daargelaten), maar twintig jaar geleden vaak een serieus discussiepunt vanwege de kosten. Maar toch ook in 2017 kennelijk nog, genoeg zelfs om in hoger beroep… Lees verder

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder