Sollicitanten niet meer vogelvrij op sociale media

| AE 9547 | Privacy | 67 reacties

Even het Twitter-account of de Facebook-site van een potentiële werknemer checken is niet toegestaan, meldde het FD vorige week. De Autoriteit Persoonsgegevens bracht een opiniestuk uit dat er nog eens op wijst dat dit eigenlijk gewoon niet toegestaan is, in ieder geval niet zonder stevige belangenafweging. Waanzin, noemt Quote het en je kunt je natuurlijk afvragen of dit veel gaat veranderen. Maar het is eigenlijk helemaal niet verrassend.

In de basis komt het erop neer dat iemand googelen dan wel zijn social media checken gewoon een verwerking van persoonsgegevens is. Het maakt niet uit of de bron openbaar is, of men zelf koos voor publicatie of wat de voorwaarden van die zoekdiensten of social media diensten ook vermelden. Als je informatie over een persoon opvraagt in een elektronisch systeem, dan is dat een verwerking en dan val je onder de Wbp (en volgend jaar de AVG). Punt.

Als je onder de Wbp/AVG valt, dan moet je een grondslag hebben om dit te mogen doen. Toestemming is de netste grond, maar gaat bij werknemers niet zo goed. Die kunnen naar hun werkgever toe geen toestemming geven, omdat daarvoor vrijwilligheid een vereiste is. En bij de werkgever zit op de achtergrond altijd een zweem van dwang: oh jij wilde volgend jaar promotie/vast contract/ander kantoor, dan zou ik maar niet weigeren. Het is juridisch onmogelijk die zweem weg te nemen.

Bij sollicitanten meen ik dat het anders ligt, je hóeft immers niet te solliciteren dus kan ik prima zeggen “Een Google-zoekopdracht en socialmediasnuffel maakt deel uit van de procedure, solliciteren is toestemming”. Maar het moet dan wel expliciet in de advertentie benoemd zijn, en je moet duidelijk zijn over wat je precies gaat doen.

Oh, en ook niet toegestaan is van je personeel verlangen dat ze je bevrienden of lid worden van je bedrijfsgroep.

Kan het wel? Ja, soms. Er is immers de grondslag van eigen dringende noodzaak, waarbij je kortweg zegt, ik kan niet anders en heb rekening gehouden met de privacy. Volgens deze opinie gaat dat alleen op als het googelen/monitoren:

  • noodzakelijk is voor een legitiem doel;
  • dit doel niet kan worden bereikt op een manier die minder inbreuk maakt op de privacy;
  • proportioneel is en dus niet meer verzamelt of onthult dan nodig is voor het doel.

Een voorbeeld van een legitiem doel is het nagaan of iemand een concurrentiebeding schendt. Hiervoor zou je Linkedin kunnen monitoren op namen van ex-personeel dat zo’n beding heeft. Er zijn weinig tot geen andere bronnen waar je kunt achterhalen wat een ex-werknemer doet, en als je dit ook meldt dat je gaat doen, dan is dit toegestaan.

Een ander voorbeeld is het monitoren van uitgaande mail op mogelijke lekken van bedrijfsgegevens. Dit mag, want het voorkomen van datalekken of geheimlekken is legitiem. En als je bang bent voor lekken via mail, dan is monitoren van de mail natuurlijk de enige manier. Maar de methode moet proportioneel zijn. Dus niet geforceerd alle mailtjes bcc’en naar de directeur ter screening, maar eerder een keyword tool die goed afgesteld is, en bij een match een ander er naar laat kijken. Bij voorkeur pas nadat de afzender zelf een bericht kreeg (“Deze mail lijkt een datalek, is dat juist [Y/n]”) en daar niet op reageerde.

Juridisch gezien is dit allemaal geen verrassing, het is hooguit nieuwe invulling van oude regels. Maar ‘waanzin’ zal het al snel genoemd worden bij veel bedrijven. Je moet toch je security in de gaten kunnen houden, en je betaalt mensen toch om te werken, privacy doen ze maar thuis. Ja precies, maar het wordt dus tijd om een afweging te maken tussen security en privacy. Je hebt nog tot 25 mei want dan staan er hoge boetes op disproportioneel monitoren.

Arnoud

Moet ik als werknemer akkoord gaan met de privacyvoorwaarden van Google?

| AE 9498 | Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Mijn werkgever (een mkb bedrijf) is overgestapt naar een Google domein voor mail, en nu moeten wij bij ingebruikname akkoord gaan met de privacyvoorwaarden van Google. Kan ik dat weigeren? Natuurlijk, het gaat om werk mail, maar toch, Google accounts doen veel meer dan alleen werkgedrag in de gaten houden.

Dit lijkt me niet iets dat je kunt weigeren te doen. De werkgever bepaalt hoe het werk wordt uitgevoerd, en als hij ervoor kiest om Google als leverancier in te zetten dan heb jij het daarmee te doen. Dat je bij het gebruiken daarvan op een akkoord-knopje moet drukken, is dus gewoon deel van je werk.

Het is echter een misverstand dat je als werknemer dan ineens toestemming geeft aan Google voor wat dan ook. Ik geef toe, een gemakkelijke fout want er stáát immers “I agree” en er zit een privacyreglement bij ook nog. Maar als je als werknemer op zo’n knop druk, dan ga je hooguit namens je werkgever met dingen akkoord. Niet privé.

Natuurlijk kan Google allerlei dingen van je te weten komen wanneer je als werknemer met die diensten werkt. Maar ook dat is de verantwoordelijkheid van je werkgever. Als goed werkgever heeft hij de taak jouw privacy te waarborgen, en dus ook te zorgen dat leveranciers niet zomaar allerlei persoonlijke dingen van werknemers te weten komen. Hij zal dus bijvoorbeeld een bewerkersovereenkomst moeten treffen met die leveranciers, waarin staat dat deze niet gaat snuffelen in netwerkverkeer van werknemers. Je kunt hem daarop aanspreken als hij dat niet goed geregeld heeft.

En ik snap heus dat Google zich weinig aan zal trekken van zo’n Nederlands werkgevertje, maar daar zal het arbeidsrecht weinig rekening mee houden.

Arnoud

Ex-werknemer Nederlandse vps-provider wist alle server- en klantgegevens

| AE 9480 | Aansprakelijkheid, Arbeidsrecht | 12 reacties

Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat te doen?

Natuurlijk is deze medewerker persoonlijk aansprakelijk voor de schade. Een werknemer is normaal nooit aansprakelijk, maar dit is vrij evident de uitzondering voor opzettelijk of bewust roekeloos handelen. Zo lees ik dat hij backdoors had aangebracht om deze schade aan te kunnen richten. Dat doe je echt niet per ongeluk. In theorie is zelfs aangifte van het strafbare feit vernieling van gegevens (art. 350a Strafrecht, twee jaar cel) mogelijk.

Daarnaast zal dit moeten worden behandeld als een datalek: als persoonsgegevens worden gewist zonder dat er backups zijn (of als de backups óók worden gewist) dan is dat hetzelfde als bij ongeautoriseerde toegang. Zeker omdat het denkbaar is dat die admin een kopie van de data heeft meegenomen om te publiceren of te verkopen. Ook die schade kan worden verhaald.

Dit is wel een geval waarin het recht in theorie duidelijk is, maar in de praktijk niets oplevert. Want of er wat te halen valt, is natuurlijk vers twee. En de strafrechtelijke route levert je ook niet perse meer op. Je kunt je daar voegen voor een schadevergoeding, maar dat komt op hetzelfde neer als een eigen civiele schadeprocedure.

Het toont voor mij maar weer duidelijk aan hoe afhankelijk we zijn van digitale data en bijbehorende diensten, en hoe makkelijk we daarin machtsposities laten ontstaan. Onmisbare mensen moet je meteen ontslaan, vertelde een HR-manager me ooit. Dat geldt ook voor systeembeheerders. Alleen, hoe borg je je dataveiligheid tegen de persoon die de dataveiligheid moet borgen?

Arnoud

Ik moet een app installeren van mijn werkgever en dat wil ik niet

| AE 9257 | Arbeidsrecht | 59 reacties

Een lezer vroeg me: Mijn werkgever wil dat we allemaal een app installeren die voor het werk noodzakelijk is. Hiermee moeten we onder meer onze tijd bijhouden en registreren bij welke klanten we zijn geweest. Maar ik wil dat helemaal niet op mijn privételefoon. Mag ik dit weigeren? Ja, dat mag je weigeren. De werkgever… Lees verder

Github introduceert werknemersvriendelijk IP-contract

| AE 9359 | Arbeidsrecht | 4 reacties

Broncodebeheerbedrijf Github staat sinds kort toe dat hun werknemers de rechten (IP) op eigen werk mogen houden als ze die met bedrijfsmiddelen of onder werktijd hebben gemaakt, meldde QZ onlangs. Hiermee wijkt men werknemersvriendelijk af van de standaard in de VS: gebruikelijk daar is dat alle IP toekomt aan de werkgever van alles dat ook… Lees verder

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk… Lees verder

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

Een lezer vroeg me: Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot… Lees verder