Een popup bij het inloggen is geen toestemming om je mail te lezen

| AE 13102 | Ondernemingsvrijheid, Privacy | 15 reacties

Snelle quiz voor vrijdagochtend: als het loginscherm van je werk “Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.” zegt, mag je baas dan je systeem monitoren? Het even snelle antwoord van de rechtbank Midden-Nederland: nee, hoe kom je erbij. En daarom mag je mensen niet ontslaan als je dat toch deed en wat geks tegenkomt.

Het vonnis van december leest als een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Dit klinkt wat vaag en dat is het ook. ICT-juridisch interessant is dat er niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.
Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:
Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van “bijvangst”. Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.
Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die ik hierboven citeerde, kwam uit de loginbanner:
WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored.

Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Ik zie links al twee security officers zenuwachtig aantekeningen maken, want inderdaad dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige “web security policy” overgenomen is (natuurlijk als zijnde best practice). Voor mij als jurist is dit een typische Oud-Usanian Tough Policy, met name door de “criminal activity” en het feit dat men “law enforcement officials” zal informeren in plaats van -zoals bedrijven toch meestal doen- intern een onderzoek te starten. Gokje: dit begon bij een BBS of een dergelijke publieke terminal.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega’s, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt “misbruik van bedrijfsgeheimen” en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud

 

Uber-chauffeurs zijn dus echt werknemers, joh je meent het

| AE 12913 | Ondernemingsvrijheid | 34 reacties

Uber-chauffeurs zijn dus echt werknemers, concludeer ik uit het vonnis van de rechtbank Amsterdam van vorige week. Ja, daar was een rechtszaak voor nodig (net als met Deliveroo) terwijl je dat toch op je juridische klompen kon aanvoelen. Maar een leuke toevoeging is dat hier heel expliciet het aanwezige gezag van de werkgever wordt geconcludeerd uit de duwende drammerij van de algoritmes van Uber.

Volgens de rechter zijn de vierduizend Nederlandse chauffeurs van Uber geen zzp’ers, zoals het techbedrijf zelf betoogt, maar zijn het gewoon werknemers omdat ze aan de definitie uit de wet voldoen. Belangrijkste voordeel: dan vallen zij onder de cao taxivervoer, iets waar vakbond FNV voor naar de rechter was gestapt. Naast een schadevergoeding van 50.000 euro levert dit de plicht op om achterstallig loon (conform de cao-tarieven) te voldoen. Uber gaat uiteraard in hoger beroep.

Uber had – net als Deliveroo en al die andere platformjongens – betoogd dat het hier gaat om een vrijwillig gekozen samenwerking met zzp’ers, mensen bij elkaar brengen en als volwassen mensen samen een deal laten sluiten. Je kunt immers je eigen tarief afspreken met ritjes die je via Uber oppikt, de klant vraagt naar jou en je bouwt langzaam een merk op. Oh nee wacht, Uber bepaalt het tarief, eist (ongeveer) dat je de ritjes pakt die zij aandragen en de klant kijkt naar je sterren en niet naar jou.

De kern van het arbeidsrecht is dat je kijkt naar de werkelijke situatie, en jezelf dan drie vragen stelt: werkt iemand ‘in dienst’, krijgt zhij ‘loon’ en is dat om ‘gedurende zekere tijd’ bepaalde ‘arbeid’ te verrichten?  Zo ja, dan is het een arbeidscontract. En dan doet het er niet toe wat er bovenaan het contract staat of zelfs wat je allebei verklaard te hebben gewild.

Ik chargeerde daarnet een klein beetje over hoe het werkt als je voor Uber gaat rijden. Maar de werkelijkheid is niet héél erg anders. Allereerst ga je een eenzijdig contract aan, dat dagelijks kan wijzigen en waarbij je nul onderhandelingsruimte hebt. Daarna krijg je ritjes aangeboden, hoewel je niet weet waar je heen moet of wat het je precies gaat opleveren. Weiger je dat iets te vaak, dan krijg je minder vaak ritten aangeboden. En als je niet goed je best doet, dan kunnen klanten je slechter beoordelen en dan kom je helemaal onderaan te staan. Verder blijkt dat Uber zelf de klachten oplost, inclusief wat het de chauffeur moet kosten om de klant tevreden te stellen.

Heel erg “wij brengen ondernemers bij elkaar en laten ze opdrachten uitvoeren voor klanten” kan ik dat niet noemen. Te horen krijgen wat je wanneer moet doen, tegen een door de ander vastgestelde prijs, dat noemen we loon voor arbeid volgens mij. Het enige zou dan zijn dat je ieder moment ontslag kunt nemen, maar dat is geen heel sterke factor.

En dan komt het neer op de vraag of er ‘gezag’ is, kan de werkgever dicteren hoe jij het werk uitvoert? Het kernverschil tussen een zzp’er en een werknemer is namelijk dat je de eerste vertelt wat je wilt en wanneer het af moet, en de laatste bij wijze van spreken per te werken stap kunt becommentariëren, pardon managen. En dan zegt de rechter hier iets heel leuks over het Uber-algoritme:

33. Op deze wijze gaat van het algoritme een financiële stimulans en een disciplinerende en instruerende werking uit. Dat de chauffeurs tot op zekere hoogte vrij zijn om een rit te weigeren, zelf hun uren mogen bepalen en gelijktijdig gebruik mogen maken van verschillende apps of andersoortige boekingssystemen doet daar niet aan af. Zodra zij gebruik maken van de Uberapp en daartoe ingelogd zijn, zijn zij onderworpen aan de werking van het door Uber ontworpen algoritme, en vallen zij daarmee onder een “modern werkgeversgezag” van Uber.
Een loonslaaf met een algoritme als manager, hoe modern wil je het hebben. (Het past trouwens in een bredere trend: waar veel werk niet goed door robots te vervangen blijkt, kan dat wél heel goed voor het toezicht op dat werk. Twintig producten in een doos stoppen is mensenwerk, tellen dat dit langer dan 3’14” duurde en deze mens een punt aftrek geven, dat kan een algoritme prima. Negeren dat de mens moe was, dat ook.)

Zoals de rechtbank dan zegt, met die conclusie “moet, met het oog op het dwingendrechtelijk karakter van het arbeidsrecht en ter bescherming van de zwakkere positie van de werker, door de in het contract gekozen bewoordingen heen worden gekeken” en moet de conclusie dus zijn dat het hier gaat om een werknemersituatie.

Arnoud

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me:

Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag ik me af of ik mijn werkgever aansprakelijk kan stellen als er iets misgaat met die app.
De vraag over het installeren van apps op je privételefoon is natuurlijk al vaker langsgekomen. In 2018 zei ik nog dat dat eigenlijk niet kan, dat de werkgever maar voor een werktelefoon moet zorgen. Maar ik realiseerde me later dat je vanuit goed werknemerschap best verplicht kunt zijn iets kleins zelf te regelen, ook al is dat strikt gesproken met een privételefoon.

Zo’n authenticator app komt over als iets kleins: het ding produceert authenticatiegetallen waarmee je een inlogpoging afmaakt. Er is geen netwerkverbinding nodig, de app is buitengewoon klein en er zit verder weinig bijzonders aan. Vanuit dat perspectief lijkt me deze app prima passen in dat idee van “doe dat gewoon even, kom op nou” oftewel goed werknemerschap.

Ik zie inderdaad dat deze app ontzettend veel permissies vraagt, en ik zou de FAQ moeten lezen om te weten wat die app allemaal van plan is. Wordt er zo veel gelogd? Waarom moet de app weten waar ik ben en mijn foto’s bekijken alvorens een authenticatiecode af te geven? En zijn er dan toch beveiligings-zwakheden die misbruikt kunnen worden om zo mijn telefoon te infecteren? Geen idee, daar kan ik als privépersoon weinig over zeggen.

Gelukkig voor de werknemer is de werkgever aansprakelijk voor schade die men tijdens het werk lijdt (art. 7:658 lid 2 BW), behalve bij opzet of bewuste roekeloosheid door de werknemer. Dat is vrijwel nooit het geval (en nee, je updates vergeten te bijwerken zie ik niet als bewuste roekeloosheid) dus als de authenticator app die de werkgever voorschrijft schade bij jou veroorzaakt, dan kun je verlangen dat de werkgever die vergoedt.

Arnoud

Onderzoek: managers kijken bij half miljoen werknemers thuis over de schouder mee, de hele dag

| AE 12611 | Ondernemingsvrijheid | 11 reacties

Bij 13% van de thuiswerkers komt de manager de hele dag langs om door het raam mee te kijken of zij wel aan het werk zijn. Dit blijkt uit CNV-onderzoek onder 1200 thuiswerkers. ‘Dit betekent dat ruim een half miljoen werkenden dus voortdurend in de gaten worden gehouden door hun werkgever. In de praktijk ligt dit… Lees verder

Aangeklaagd worden door je (oud) werkgever voor een hobbyproject, kan dat?

| AE 12573 | Informatiemaatschappij | 12 reacties

Een beetje mysterieus bericht bij Tweakers: De motivatie om deze topic te starten komt naar aanleiding van een bericht [link weggehaald]. Kort samengevat: Dennis en Ronald werkten bij een softwarebedrijf. Ze waren met een hobby-project bezig en hun (inmiddels) oud-werkgever klaagt ze aan voor 1 miljoen. Gebeuren dit soort zaken wel vaker? Ik ben nu… Lees verder

Ik wil niet dat mijn klanten mijn identiteitsbewijs scannen!

| AE 12402 | Privacy, Security | 20 reacties

Een lezer vroeg me: Als ik als IT-medewerker een bepaalde klant bezoek, moet ik me identificeren aan de deur. Fair enough, maar sinds kort moet mijn identiteitsbewijs in een scanner “ter verificatie”. Ik heb daar vraagtekens bij want als bezoeker kun je niet controleren wat de hardware en software (“Paspoort scanner” en een standaard Windows PC) wel… Lees verder

Werknemers zien werkgevers vaker monitoringsoftware inzetten

| AE 12400 | Ondernemingsvrijheid | 12 reacties

Sinds werknemers vanwege de coronamaatregelen thuiswerken wordt er vaker door werkgevers gebruikgemaakt van monitoringsoftware om het personeel in de gaten te houden. Dat meldde Security.nl onlangs. Een enquête van GetApp onder ruim duizend Nederlandse werknemers en tweehonderd managers uit het mkb laat zien dat 65 procent van de managers claimt “meer vertrouwen in het personeel te… Lees verder

Mag je iemand zijn ontslag laten nemen als je zijn laptop onbeheerd aantreft?

| AE 12212 | Ondernemingsvrijheid | 58 reacties

Een lezer vroeg me: Bij ons (redelijk groot) bedrijf gelden harde securityregels, waaronder de simpele eis je laptop te locken als je er van wegloopt. Als security officer zeg ik dan altijd, als ik een open laptop zie dan stuur ik vanuit jouw mailadres een ontslagmail naar je manager. Maar nu vroeg ik me af… Lees verder

Moet ik echt mijn camera aan bij het video-werkoverleg?

| AE 11965 | Ondernemingsvrijheid | 39 reacties

Een lezer vroeg me: Bij de afdeling waar ik werk (Sales) is het sinds het thuiswerken verplicht om elke ochtend een online dagstart te maken. Even bijpraten waar we staan, actiepunten verdelen et cetera. Prima, alleen wordt het vanaf aanstaande maandag verplicht om je camera aan te hebben staan. Het argument is dat gezichtsuitdrukking helpt… Lees verder