Aangeklaagd worden door je (oud) werkgever voor een hobbyproject, kan dat?

| AE 12573 | Informatiemaatschappij | 12 reacties

Een beetje mysterieus bericht bij Tweakers:

De motivatie om deze topic te starten komt naar aanleiding van een bericht [link weggehaald]. Kort samengevat: Dennis en Ronald werkten bij een softwarebedrijf. Ze waren met een hobby-project bezig en hun (inmiddels) oud-werkgever klaagt ze aan voor 1 miljoen. Gebeuren dit soort zaken wel vaker? Ik ben nu zelf ZZP’er maar zal binnenkort in loondienst beginnen, en heb veel ICT-projectjes lopen waar ik aan werk.
Vrijwel ieder arbeidscontract van programmeurs, developers en aanverwante jobs heeft een concurrentieverbod: niet tijdens het dienstverband (dus ook niet op zaterdag op je eigen laptop) dingen doen die direct concurreren met de werkgever. Dat is rechtsgeldig, want een goed werknemer houdt rekening met de belangen van zijn werkgever en doet hem dus geen concurrentie aan.

Dit nog los van het (al dan niet per ongeluk) lekken van bedrijfsgeheimen of het inzetten van auteursrechtelijk beschermd materiaal van je werkgever. Want beiden kunnen zomaar gebeuren als je ~hetzelfde doet voor het werk en voor een eigen privéproject.

Je arbeidscontract kan nadere regels bevatten, bijvoorbeeld definiëren wat een “directe concurrent” is of een procedure voor toestemming. Wil je bijvoorbeeld in je eigen tijd een opensourcelibrary onderhouden die ook voor je werk relevant is, dan vraag je dus even toestemming. En doe dat álsjeblieft schriftelijk, of forward de mail met toestemming naar je privéadres.

Arbeidscontracten bevatten soms ook een “alles dat je programmeert is auteursrechtelijk van ons”. Dat is in zo brede bewoordingen niet rechtsgeldig, want je moet wel aan het contract kunnen zien om welke werken het gaat. In juridische taal: zo’n akte van overdracht moet “voldoende bepaalbaar” omschreven zijn, en “alles dat je de komende tien jaar doet” is het toppunt van vaag. Maar er zijn rechters genoeg die dan geen streep door die bepaling zetten maar gaan zeggen “wat zou wél redelijk zijn geweest” en de clausule dan zo lezen. Dus daar zul je rekening mee moeten houden.

De topicstarter heeft het over een schadeclaim van een miljoen. Dat is natuurlijk absurd, welke werknemer hééft er een miljoen. Mijn juridische nekharen gaan dan meteen overeind staan, want dat klinkt als een ex-werkgever die z’n gelijk wil afbluffen in plaats van op de inhoud discussiëren. Tegelijk zie ik ook vaak genoeg dat zo’n enorme claim een emotionele reactie is op een erg vervelende handeling van de werknemer, zoals het core product direct concurrentie aandoen mét een meegenomen klantenbestand en 80% van de architectonische kennis gedupliceerd.

Arnoud

 

Ik wil niet dat mijn klanten mijn identiteitsbewijs scannen!

| AE 12402 | Privacy, Security | 20 reacties

Een lezer vroeg me:

Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner “ter verificatie”. Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software (“Paspoort scanner” en een standaard Windows PC) wel en niet doet. Men zegt dan wel dat alles in het apparaat gebeurt en niets wordt opgeslagen, maar hoe controleer je dat? En mijn werkgever zegt dat ik gewoon naar binnen moet. Wat moet ik nu doen?
Een identiteitscontrole van een bezoeker kan gerechtvaardigd zijn, ik denk dat daar weinig discussie over bestaat. En dat je dan wil controleren of het ID-bewijs van die bezoeker echt is, dat snap ik ook. Daar zijn diverse kastjes voor, op de markt vaak bekend onder de term “ID scanner”. Die kunnen echtheidskenmerken controleren en gegevens uitlezen, en soms zelfs daar meteen een bezoekerspas mee maken.

Inzet van zo’n kastje lijkt me op zich geen probleem. Dat ondersteunt de taak die je toch al hebt, en past binnen de goede uitvoering van die noodzakelijke identiteitscontrole. Je had toch al onderbouwd (op papier) waarom je die controle moest doen, nietwaar?

Het is natuurlijk lastig te zien voor mensen wat er gebeurt met hun gegevens. Zelfs als het los kastje met alleen een stroomkabeltje is, dan nog zou deze via wifi van alles door kunnen geven. Dat mag niet als daar geen goede reden voor is.

Er zijn bedrijven die online identiteitsverificatie / ID controle doen; het kastje is dan alleen een scanner en verzendapparaat naar de dienstverlener die dan de resultaten teruggeeft. Als dat is hoe het bedrijf werkt, dan kan dat (dat bedrijf is dan een verwerker immers) maar dat moet dan wel duidelijk uitgelegd worden.

Dat is dan ook het theoretische antwoord: er mag niets dat niet duidelijk is toegelicht, dus op zijn minst moet je kunnen vragen wat er gebeurt en moet de beveiliger/portier/receptionist hier adequaat antwoord op kunnen geven. Bijvoorbeeld met een folder met toelichting.

Voel je je daar niet prettig bij, of heb je twijfels over of het allemaal wel klopt, dan heb je niet zo heel veel mogelijkheden ben ik bang. Je kunt als individu geen DPIA afdwingen, en eisen dat de AP langskomt is ook niet zo kansrijk ben ik bang.

De enige optie die ik zie is dat je naar je werkgever gaat. Die heeft immers een zorgplicht: een goed werkgever laat de privacy van zijn personeel niet in gevaar komen. Die moet dus bij die klant nadere informatie en/of waarborgen eisen, of misschien zelfs wel een ander protocol verzinnen. Ik heb zelf wel eens een klant geadviseerd om de standaardmonteurs een vaste bezoekerspas te geven. Dat is dan eenmalig een handmatige controle van identiteit, en daarna toegang met die pas.

Arnoud

Werknemers zien werkgevers vaker monitoringsoftware inzetten

| AE 12400 | Ondernemingsvrijheid | 12 reacties

Sinds werknemers vanwege de coronamaatregelen thuiswerken wordt er vaker door werkgevers gebruikgemaakt van monitoringsoftware om het personeel in de gaten te houden. Dat meldde Security.nl onlangs. Een enquête van GetApp onder ruim duizend Nederlandse werknemers en tweehonderd managers uit het mkb laat zien dat 65 procent van de managers claimt “meer vertrouwen in het personeel te hebben gekregen” door inzet van de software. Gek genoeg vindt meer dan de helft van de medewerkers het niet prettig dat ze wordt gevolgd. En ik durf de stelling wel aan dat die werkgevers stuk voor stuk de AVG overtreden (en het arbeidsrecht).

Mijn handen jeuken als ik dan lees over toestemmingsformulieren, want natúúrlijk gaan werkgevers dan toestemmingsformulieren maken. Hou daarmee op, het heeft geen enkele zin en je vernietigt iedere kans dat je legaal monitort. Want werknemers kunnen niet vrijelijk toestemming geven, da’s een. En twee is dat als jij claimt op grond van toestemming te werken (die trouwens op ieder moment ingetrokken gaat worden) en dat blijkt niet te kunnen, dat je dan niet ineens alsnog mag gaan zitten op “noodzaak uitvoering arbeidsovereenkomst” of een andere grondslag. Dan ben je gewoon af.

Want ja, het moet en het zal op die noodzaak voor het werk. Of, zo je wil, op grond van een eigen gerechtvaardigd belang dat de privacy van de werknemer kan passeren. Die noodzaak voor het werk zal er zelden zijn, zeker bij kantoorwerk. Hoe essentieel is het dan werkelijk dat je nagaat of iemand van 9 tot 5 (minus lunchpauze) achter de laptop zit en typt? Dat krijg je echt niet rond: op kantoor mogen mensen ook af en toe opstaan, met collega’s praten, naar de wc gaan, de benen strekken enzovoorts.

Ook met dat eigen belang kom je er niet. De redenering is eigenlijk dezelfde, er is geen nóódzaak. Het werk kan ook prima zonder toezicht. Al is het maar omdat je op output kunt monitoren. Als je daar dus op stuurt, krijg je hetzelfde resultaat zonder de privacy-schending.

En ja, als er dus werk is waarbij je mensen móet afrekenen op elke minuut werken, dan zou dat anders kunnen liggen. Maar noem mij eens een beroep waarbij het gaat om het aantal toetsaanslagen en fysieke presence achter de laptop? Ja, de chathelpdesk misschien. Daar wil je inderdaad dat er snel wordt gereageerd op een klantvraag en dat men niet wegloopt voor koffie halverwege een chat. (Ik zal maar niet zeggen dat in winkels het “momentje, ik kijk even in het magazijn voor u” vaak ook daarvoor was.) Maar ook dan kun je meten op andere zaken dan het live meekijken.

Bij het AD wordt een bedrijfsmediator geciteerd die het ziet als een door stress ingegeven reactie, want corona, omzetverlies en geen zicht meer op je mensen:

Maar volgens Diercks is dit eigenlijk een heel onvolwassen houding. Dat is zeker het geval als je het personeel gaat controleren. ,,Het is een soort ouderschap. Dan is de reactie van de werknemers dat ze zich als kind gaan gedragen, sommige zullen zich tegen je gaan verzetten. Hoe minder vertrouwen je geeft, hoe minder je terugkrijgt van je personeel.” Daarnaast krijgen werknemers last van stress als ze het idee hebben in de gaten te worden gehouden. ,,Zo’n onveilige situatie kost energie. En omdat je veel tijd aan je werk besteedt, loopt die emmer een keer over.”
Daarnaast zou het me zéér verbazen als bij deze mkb-bedrijven de OR is gevraagd om instemming. (Ja, een OR moet vanaf 50 medewerkers maar mkb is tot 250.) En toch moet dat: structureel mensen volgen om te zien hoe ze werken, is een regeling rond “controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen” en natuurlijk een “regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens”. Bij die instemming moeten doel, scope, omvang en dergelijke zijn voorgelegd. En dan zou een OR zeggen, oh ja leuk volg iedereen maar? Ik geloof er niets van.

Arnoud

Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me: Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af… Lees verder

Moet ik echt mijn camera aan bij het video-werkoverleg?

| AE 11965 | Ondernemingsvrijheid | 39 reacties

Een lezer vroeg me: Bij de afdeling waar ik werk (Sales) is het sinds het thuiswerken verplicht om elke ochtend een online dagstart te maken. Even bijpraten waar we staan, actiepunten verdelen et cetera. Prima, alleen wordt het vanaf aanstaande maandag verplicht om je camera aan te hebben staan. Het argument is dat gezichtsuitdrukking helpt… Lees verder

Nee, het coronavirus is geen ontheffing voor de AVG

| AE 11808 | Ondernemingsvrijheid, Privacy | 17 reacties

Mijn werkgever verplicht alle werknemers nu thuis te werken vanwege de corona uitbraak. Dat las ik bij Tweakers (dank, tipgever). So far so good, maar dan komt ‘ie: men moet timetrackingsoftware installeren en deze “doet echter op random intervallen screenshots maken en volgens de privacy voorwaarden van deze software ook een lijst bijhouden met alle… Lees verder

Hoe laat ik mijn werknemers het auteursrecht houden op hun hobbysoftware?

| AE 11728 | Intellectuele rechten | 35 reacties

Een lezer vroeg me: Vorige week blogde je over een werknemer die bij StackOverflow bijdragen doet. In de discussie kwam toen langs hoe je als werknemer de rechten zou kunnen behouden. Ik ben werkgever en wil mijn mensen hierin vrij laten, maar hoe schrijf je zoiets op? Als werknemer heb je inderdaad niet zomaar zelf… Lees verder

Ben ik strafbaar als ik in opdracht tijdelijk illegale software installeer?

| AE 11726 | Intellectuele rechten, Ondernemingsvrijheid | 7 reacties

Een lezer vroeg me: Onze organisatie gebruikt al jaren bepaalde software onder licentie. Deze blijkt enige maanden geleden te zijn verlopen en het heractiveren duurt om onduidelijke redenen heel erg lang. Mijn manager heeft me opgedragen dan maar tijdelijk een illegale versie te installeren zodat het werk niet blokkeert, en ze gaan dat rechttrekken in… Lees verder