Mag Slack een werkgever toegang geven tot chats van personeel?

| AE 10473 | Privacy | 9 reacties

De zakelijke chatdienst Slack laat werkgevers voortaan de privégesprekken van personeel inzien, las ik bij Nu.nl. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien. Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement heeft, kan alle chats binnen dat abonnement downloaden, en ook privéberichten (direct messages). Waardoor je dus als werknemer binnen zo’n bedrijfsabonnement ineens jouw chats gedownload ziet.

Slack is een populaire chatdienst die erg handig blijkt voor snelle bedrijfscommunicatie, intern maar ook met klanten. Chats zijn opgedeeld in kanalen waar je bijvoorbeeld in teamverband aan deelneemt, zodat je alleen relevante conversaties volgt. Daarnaast kun je privéberichten sturen naar een specifieke andere gebruiker. Gebruikers kunnen van het eigen bedrijf zijn, of van een andere organisatie zoals een klant – maar je partner zou ook op Slack kunnen zitten zodat je met hem/haar een chat kunt voeren voor privédoeleinden.

Onder de AVG heb je recht op inzage en recht op dataportabiliteit – concreet kun je een kopie van je data eisen van internetdienstverleners waar je een contract mee hebt, of waar je apart toestemming gaf voor de dataverwerking. En wel in XML of vergelijkbaar standaardformaat. Dus op zich is het niet meer dan logisch dat Slack je de optie geeft je chats te downloaden, dat is gewoon de invulling van dat recht.

Het wringt natuurlijk waar de abonnementshouder niet het personeelslid is dat de chatdienst gebruikt. Want dat recht op inzage en dataportabiliteit is bedoeld voor het personeelslid om grip op zijn data te houden, niet voor de werkgever om eens rustig mee te lezen met wat mensen allemaal zeggen, zakelijk dan wel privé.

Tegelijkertijd hééft een werkgever soms het recht om inzage te krijgen in chats. Je hebt weliswaar privacy op het werk, maar die is niet onbeperkt. Als er een duidelijk bedrijfsbelang is om de chats te lezen, dan mag dat. Wel moet dit in een reglement zijn uitgewerkt en moet het in een concreet geval relevant en noodzakelijk zijn, maar het mag. (En in dat reglement zeggen dat de werkgever altijd alles mag zien, is niet rechtsgeldig.)

Het doet er dus uiteindelijk niet toe of de gesprekken via Slack gevoerd worden, via de mail of op een andere manier. Waar het om gaat is hoe privé het gesprek is en hoe groot het bedrijfsbelang is dat je daar tegenover stelt (en dat dus in je reglement is uitgewerkt).

Arnoud

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

| AE 10459 | Privacy | 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?

Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?

Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.

Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?

Arnoud

Bitcoins minen op de computer van je baas is geen reden voor staande voet ontslag

| AE 10431 | Arbeidsrecht | 15 reacties

Een systeembeheerder die op zijn werk bitcoins heeft gemined, mocht hiervoor niet op staande voet ontslagen worden, las ik bij Nu.nl. Hij had voor het winnen van de cryptovaluta een eigen unit in de serverkast op het werk geplaatst en daarmee het ICT-reglement overtreden en, aldus de werkgever, het bedrijf blootgesteld aan risico’s rond virus, hacken en gijzeling en natuurlijk diefstal van elektriciteit. Maar in zijn vonnis draait de rechtbank het ontslag op staande voet terug. Spoiler: dat komt omdat op staande voet ontslaan een zéér uitzonderlijk middel is en dus aan zeer strenge eisen onderworpen is.

De systeembeheerder was al een jaar of zes werkzaam bij het bedrijf, en hield zich daarnaast in eigen tijd bezig met het mijnen oftewel delven van bitcoins. Dat vereist veel rekenkracht en vooral ook veel elektriciteit. Op zeker moment plaatste hij een dergelijke miningmachine in de serverkast op het werk, aangesloten op het wifinetwerk voor medewerkers en natuurlijk op de stroomvoorziening voor het werk.

Dat leek niemand te werken tot een noodlottig bedrijfsetentje in 2017, want daardoor ontstond het vermoeden dat de beheerder bedrijfsfaciliteiten gebruikte voor privédoeleinden, te weten dat minen van bitcoins. Nader onderzoek leidde tot ontdekking van het apparaat in de serverkast, waarna de medewerker wegens de bovengenoemde redenen en onherstelbaar schenden van vertrouwen per direct op staande voet werd ontslagen.

Duidelijk was dat hier toch enige strijd met het personeelshandboek / ICT-reglement speelde. Weliswaar was (enig) privégebruik van dat wifinetwerk toegestaan en mocht je de eigen laptop of telefoon aan de stroom hangen op kantoor, dat betekent nog niet dat je een bitcoinminingmachine mag aansluiten op het wifinetwerk en de stroom aldaar. Iets met proportionaliteit zeg maar.

Echter, dat is niet genoeg voor een ontslag op staande voet. Dat vereist een dringende reden die zo ernstig is dat ieder redelijk mens het ermee eens zal zijn dat deze persoon per direct op straat moet staan, zonder recht op uitkering of wat dan ook. Dat is een zéér ingrijpend gevolg, zodat de lat heel hoog gelegd wordt. Toon maar aan dat het zó erg is dat je niet kunt zeggen, je bent gewoon ontslagen en die twee maanden ontslagperiode ga je maar thuis zitten.

Diefstal kan een reden zijn, maar die moet dan wel worden aangetoond. Er was geen strafrechtelijk traject opgestart, en bovendien was er nauwelijks bewijs: een hogere energierekening voor het bedrijf is natuurlijk niet genoeg om aan te tonen wat die miningmachine had verstookt aan elektriciteit.

Die gevaren van buitenaf kunnen als een vorm van onzorgvuldigheid leiden tot een dergelijke reden, maar het netwerk in kwestie was niet het zakelijk netwerk waarop gewerkt werd, maar een apart netwerk voor incidenteel privégebruik. Dat werd dan weliswaar overmatig gebruikt, maar een gevaar voor de bedrijfsvoering kan dat niet geven. Ook kan dat dus geen mogelijkheid scheppen voor enge figuren om in te breken en het bedrijf plat te gooien of te gijzelen.

Natuurlijk is het vertrouwen weg in deze systeembeheerder. Iemand die je vertrouwt het netwerk te beheren, beschaamt dat in ernstige mate door eigen apparatuur te installeren, elektriciteit aan te wenden voor energie-intensieve privédoeleinden en dat doodnormaal te vinden. Maar dat is op zichzelf niet genoeg, met name niet omdat dit het allereerste incident ooit was met deze man:

Wat in deze zaak zwaar meeweegt is dat [verzoeker] nooit eerder dergelijk gedrag heeft getoond en dat niet gebleken is dat zijn werkzaamheden er onder hebben geleden. De kantonrechter is van oordeel dat deze gemaakte fout hem niet zodanig zwaar moet worden aangerekend dat het gelet op alle omstandigheden van het geval als een dringende reden kwalificeert. Ontslag op staande voet behoort vanwege de diep ingrijpende financiële consequenties ultimum remedium te zijn. De aard en de ernst van het gedrag van [verzoeker] is niet zodanig dat, mede gelet op de wijze waarop [verzoeker] het dienstverband jaren naar tevredenheid heeft vervuld, de sanctie van ontslag op staande voet gerechtvaardigd was. [verweerster] had moeten volstaan met een minder zware sanctie dan wel het einde van het dienstverband op een andere wijze moeten zien te bereiken.

Uiteindelijk erkent de rechter wel dat de beheerder niet meer terug in dienst hoeft, los van dat hij ondertussen al elders werk had gevonden. Hij ontvangt een transitievergoeding van €8.886,16 en een schadevergoeding voor onterecht ontslag van € 9.330,47, naast achterstallig loon met rente van € 5.567,90.

Arnoud

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Beveiliging | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Mag je op het werk de internetradio aan laten staan als dat geld kost?

| AE 10319 | Arbeidsrecht | 26 reacties

Wie in zijn eentje aan het werk is, zal snel geneigd zijn een muziekje aan te zetten. Vandaag de dag zelden meer een probleem voor de werkgever (de Buma/Stemra even daargelaten), maar twintig jaar geleden vaak een serieus discussiepunt vanwege de kosten. Maar toch ook in 2017 kennelijk nog, genoeg zelfs om in hoger beroep… Lees verder

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

| AE 9931 | Arbeidsrecht | 27 reacties

Een lezer vroeg me: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

| AE 9783 | Arbeidsrecht | 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen… Lees verder