Tag: Werknemer

About Werknemer

Subscribe Feeds

Help, mijn marketeers zetten klanten op de foto op Linkedin!

Geplaatst op in Ondernemingsvrijheid, 10 reacties

Een lezer vroeg me:

Recent kreeg ik als commercieel directeur bij een IT-adviesbureau een klacht van een klant: die zag zichzelf terug op een groepsfoto op Linkedin, gepost door een van mijn marketing/sales-medewerkers. De foto was gemaakt op een intern event bij ons waar ongeveer 40 klanten bij aanwezig waren. Weliswaar was het event openbaar toegankelijk en waren mensen alleen vanaf de rug gefotografeerd, maar deze klant had toch niet verwacht zichzelf zo terug te zien. Hebben wij nu de AVG overtreden, kan de klant een schadeclaim indienen? En wat kan ik doen naar de medewerker, ik heb geen reglement of protocol over sociale media.

Zonder toestemming iemands gezicht/postuur online zetten is niet heel netjes, inderdaad. Ik zou bij klantenevents altijd aan mensen vragen of ze dit goed vinden, en zo niet expliciet de foto zo maken dat deze mensen niet in beeld zijn. Gewoon, omdat mensen dat van je verwachten en klanten nu eenmaal belangrijk zijn voor je bedrijf. (Voor de nitpickers: leveranciers zijn óók belangrijk dus ook daar het vragen. Bij personeel heeft vragen geen zin, die kun je alleen maar verplichten op de foto te gaan.)

Ik denk niet dat juridisch gezien toestemming echt nodig is. Gezien deze context (een openbare lezing) en het feit dat men op de rug is gefotografeerd waardoor herkenning onwaarschijnlijk wordt, plus dat de foto bestemd was voor een journalistiek doel (een verslag van de bijeenkomst) acht ik het rechtmatig om deze publicatie te doen. In AVG-taal: een legitiem eigen belang waarbij de privacy van de betrokkenen in lage mate geschonden wordt. En omdat het journalistiek is, hoefde je de klanten niet te informeren dat je dit ging doen (artikel 43 lid 2 Uitvoeringswet).

Op deze manier naar de klant reageren lijkt me echter niet handig. Ik zou dan ook zeker kijken of ik als bedrijf duidelijke instructies kan geven aan mijn mensen, die de klanten/relaties zullen begrijpen en die toch de PR- en marketingvoordelen halen waar mijn mensen op uit zijn. Ik kom dan al snel uit bij “altijd zeggen dat je dit gaat doen en bezwaren serieus nemen” of zelfs “altijd toestemming vragen en anders een paar collega’s voor publiek laten spelen”.

Dergelijke instructies nemen veel onduidelijkheid en potentieel voor conflicten weg. Je mag dat als werkgever gewoon zeggen, jij bepaalt hoe het werk wordt uitgevoerd. En je mag natuurlijk dingen verbieden zelfs als de wet zegt dat die dingen gewoon mogen.

Een protocol lijkt me hiervoor niet nodig, je hebt rechtvaardiging genoeg in het feit dat klanten piepen. Dat kost je de klant (in theorie) dus dat is rechtvaardiging genoeg om gewoon te zeggen dat het anders gaat vanaf nu. Wel zou ik zo’n regel eerst even in de groep voorleggen, omdat ik weet dat een “oekaze” van bovenaf over Linkedin vaak veel weerstand oplevert.

Arnoud

Activision betaalt medewerkers om zwangerschappen te volgen via gezondheidsapp

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties

Activision Blizzard betaalt vrouwelijke medewerkers om gegevens over hun vruchtbaarheid en zwangerschap in te voeren in de gezondheidsapp Ovia. Dat meldde Tweakers onlangs. De medewerkers die vrijwillig kiezen hieraan mee te doen, krijgen hiervoor dagelijks een kadokaart ter waarde van een dollar. De gegevens worden geanonimiseerd en als statistieken weergeven, met als doel -hou je vast- “het bedrijf in een competitieve industrie te laten excelleren en bijdragen aan het vasthouden en laten terugkeren van vrouwen met vaardigheden”. Mag ik een teiltje? En ondertussen de vraag, mag dat als je dat in Europa zou doen?

Gegevens over zwangerschap vallen binnen Europa onder het strenge regime van de bijzondere persoonsgegevens, namelijk onder het kopje ‘gezondheid’. Dat betekent dat verwerking van die gegevens verboden is, tenzij er een uitzonderingsgrond van toepassing is. Voor werkgevers is er een mogelijke grond, de arbeidsgezondheid en de “de beoordeling van de arbeidsgeschiktheid van de werknemer” (artikel 9 lid 2 sub i AVG). Een zwangere vrouw heeft een bijzondere positie, dus dat moet je kunnen registreren voor je bedrijfsvoering. Ook kun je het gooien op de Uitvoeringswet AVG, waarbij je die gegevens mag gebruiken als dat noodzakelijk is voor een goede uitvoering van wettelijke voorschriften (en die zijn er dus, ter bescherming van de vrouw).

Het soort actie van Blizzard kan ik moeilijk zien als zo’n uitzonderingsgrond. Tenzij je zegt, die app is bedoeld om bij te houden wat we wettelijk eigenlijk al moesten als werkgever, en die statistieken ten behoeve van kuchkuch excellentie zijn geen persoonsgegevens. Ik zie alleen dat er een héleboel gegevens worden verzameld (“… lopen uiteen van de status van lichaamsfuncties, medicijngebruik, gemoedstoestand, tot aan de geslachtsdrift”) en kan dat niet goed rijmen met de wettelijke taak als werkgever.

Maar er wordt uitdrukkelijk vrijwillig toestemming gevraagd, staat in het artikel. Dan zou het oké moeten zijn, want “uitdrukkelijke toestemming voor welbepaalde doelen” heft ook het verbod op. Dan kom je ‘gewoon’ uit bij een onderzoek onder zwangere vrouwen die voor een leuke cadeaukaart vrijwillig gegevens geven over hoe het met ze gaat, waar me an sich niets mis mee lijkt.

Alleen krijg je dan de complicatie omdat het hier gaat om werknemers. Die kunnen eigenlijk geen toestemming geven, omdat ze in een afhankelijkheidsrelatie zitten naar de werkgever toe. Of dat nu is dat ze een nieuw contract willen, een loonsverhoging of alleen maar hun baan op dezelfde manier terug na het ouderschapsverlof, doet er niet eens toe. Er zal altijd iets van een gevoel van dwang zijn, waardoor je als werknemer niet vrijwillig kunt beslissen.

Heel misschien dat het kan omdat het énkel gaat om statistieken. Dat kun je denk ik wel vrijwillig vragen, wil je meedoen aan dit onderzoek. Als je dan ook borgt dat je niet hoort wie er meedoet, dan zie ik wel weer vrijwilligheid ontstaan. Alleen, de werkgever weet het hier wél (je krijgt immers die cadeaubon) en deel van de inzet van de data is ook verbetering van het bedrijf. Dan voelt het ergens toch als een soort moetje, en dat zou tegen de AVG zijn.

Arnoud

Mag mijn werkgever eisen dat ik mijn Excel model aan ze geef?

Geplaatst op in Intellectuele rechten, 16 reacties

Een lezer vroeg me:

Ik heb ooit als zelfstandig ondernemer een Excel model gemaakt om op heel efficiënte manier investeringsanalyses te doen. Dit model gebruik ik sindsdien al jaren bij diverse werkgevers tot volle tevredenheid. Mijn huidige werkgever eist nu echter dat ik dit model aan hen beschikbaar stel, en dit dreigt een arbeidsconflict te worden. Waar sta ik nu juridisch, is dit model ineens hun eigendom geworden omdat ik het aanwend voor het werk daar?

Een tool wordt geen eigendom wanneer je dit voor werk inzet. Heel misschien kan daar discussie over komen wanneer in het arbeidscontract is bepaald dat ook bestaande auteursrechten overgaan bij indiensttreding, maar dat zou ik een zeer onredelijke algemene voorwaarde vinden. Ik heb het in ieder geval nog nooit zo specifiek gezien.

Toch denk ik wel dat de werkgever kan eisen dat hij een kopie krijgt van de tool. Niet perse in eigendom, eerder in licentie dus. Dit omdat de tool wordt ingezet voor het werk, en daarmee een afhankelijkheid ontstaat tussen werkgever en werknemer over de manier waarop het werk wordt uitgevoerd.

Dat lijkt me niet de bedoeling, stel dat er ooit een arbeidsconflict ontstaat of de werknemer krijgt een ongeluk, hoe moet het werk dan verder? Of nog praktischer, hoe kan de werkgever nu onderbouwen welke beslissingen worden gemaakt als hij de tool niet kent?

Een kopie van de tool afgeven zal voor de werknemer nogal onprettig voelen, zeker als het zulk liefdewerk is waar al meer dan tien jaar aan gewerkt is. Maar als de situatie eenmaal ontstaan is dat het huidige werk er van afhankelijk is, dan zal dat opgelost moeten worden. En dan ontkom je denk ik niet aan het beschikbaar stellen van de tool.

Tenzij je zegt, deze mevrouw is in dienst om financiële analyses te doen, dan moet de werkgever maar zorgen dat er een tool komt om die analyses mee te ondersteunen. Collega’s van haar zullen toch ook iets hebben om het werk mee te vergemakkelijken? In dat geval moet deze zelfgebrouwen tool gewoon terug naar huis, en moet ze vanaf nu gewoon werken zoals haar collega’s. Dat er dan suboptimale (of minder efficiënt gemaakte) analyses uitkomen, is jammer maar het risico van de werkgever.

Algemeen zou mijn advies zijn om nooit eigen tools naar het werk mee te nemen zonder vooraf expliciet te hebben afgesproken wie wat daarmee mag. Achteraf dit rechttrekken is nooit goed voor de arbeidsrelatie.

Arnoud

Deliveroo-bezorgers zijn toch werknemers en geen zzp’ers

Geplaatst op in Ondernemingsvrijheid, Regulering, 26 reacties

Bezorgers die voor Deliveroo maaltijden bezorgen worden door het bedrijf ten onrechte als zzp’ers aangemerkt, oordeelde de rechter in twee zaken die vakbond FNV aanspande. Dat las ik bij Nu.nl vorige week. De bezorgers zijn feitelijk gewoon werknemers en moeten als zodanig behandeld worden; dat Deliveroo ze zzp’er noemt, is daarbij niet relevant (in tegenstelling tot die zaak van juli vorig jaar). Ook de cao voor beroepsgoederenvervoer is gewoon van toepassing. Een behoorlijke financiële strop voor het bedrijf Deliveroo, dat dan ook al aangekondigd had in hoger beroep te gaan.

In twee zaken bij dezelfde rechtbank kwam FNV als vakbond op voor de algemene kwestie of voedselfietsbezorgbedrijf Deliveroo haar bezorgers als zzp’er mocht aanmerken. Dit was een collectieve procedure, waar Deliveroo bezwaar tegen maakte met het argument dat ieder arbeidscontract anders is en de beoordeling of iemand werknemer is ook. Maar de rechter bepaalde meteen dat FNV wél mag procederen over zoiets principieels als dit.

Het klopt natuurlijk dat je uiteindelijk naar ieder geval apart moet kijken of iemand werknemer is dan wel als freelancer of zzp’er wordt ingeschakeld. Maar de factoren die daarbij van belang zijn, zijn vaak generiek genoeg om in zijn algemeenheid een vuistregel mee te kunnen maken. En dat is dan ook precies wat de rechtbank hier doet.

Allereerst het contract. In juli vorig jaar concludeerde de rechtbank nog op basis van de tekst van een freelancer-contract dat de fietskoerier een zzp’er was, maar dat was wat kort door de bocht: je mag aan een contract met een hulppersoon alleen waarde hechten als er inhoudelijk onderhandeld is. Is het een standaardcontract dat de hulppersoon opgelegd kreeg (“alsjeblieft, hier tekenen graag”) dan is daaraan geen aanwijzing te ontlenen dat partijen samen beiden wilden dat de koerier zzp’er was. Ook de andere stappen die de rechter vorig jaar zag – het inschrijven bij de KvK, het zelf kopen van kleding en vervoersboxen – tellen niet mee in zo’n situatie.

De rechtbank gaat er gezien de principiële aard van de zaak eens goed voor zitten, en begint met te constateren dat alle mooie argumenten over flexwerken, deelplatforms en wat dies meer zij een discussie voor de politiek geven. De wet is de wet, en je moet contracten beoordelen in het huidige systeem. Dat er iets tussen werknemer en zelfstandig opdrachtnemer zou moeten zijn qua rechtsbescherming is geen juridische vraag maar een politiek debat.

Een belangrijk criterium voor werknemerschap hoe verplichtend of vrij de opdrachttoekenning gebeurt. Het contract bepaalt dat je per bezorging betaald krijgt, en dat je vrij bent om al dan niet te weigeren of te vragen om opdrachten. In de praktijk ziet de rechtbank dat je je vooraf moet aanmelden, anders krijg je geen opdrachten aangeboden. En gezien de lage prijs per bezorging (€6,00) is het ook niet logisch dat mensen af en toe eens een bestelling gaan doen. Praktisch gezien moet je een hele periode op een dag paraat staan en een berg bezorgingen doen. Iets anders is niet reëel, wie wil dat nou doen, even zes euro scoren als ze toevallig nu een maaltijd hebben die ik kan bezorgen?

Ook weegt mee dat Deliveroo kennelijk mensen beloont met extra opdrachten via een priority access systeem. Dat alles steunt de conclusie dat ze willen dat je veel werk doet per dag, en oh ja je wordt eruit gegooid als je niet genoeg opdrachten aanneemt en niet zegt waarom. Bij elkaar vindt de rechtbank dat wel erg veel ruiken naar een werknemerrelatie: die moet ook gewoon elke dag werken en je krijgt (uiteindelijk) ontslag als je dat niet doet.

Als tweede criterium geldt dat een werknemer mag zich niet laten vervangen. Het contract van Deliveroo bepaalt dat de bezorger dit wel mag, maar zoals de rechter zegt is deze mogelijkheid tot vervanging vrijwel inhoudsloos. De vervanger mag pas worden doorgegeven nadat de opdracht is aangenomen, en dan moet je al per direct naar het restaurant om de maaltijd op te halen. Dat is praktisch niet te doen. Bovendien legt Deliveroo de vervanger exact dezelfde harde eisen op en kan de koerier zelf geen toezicht op zijn vervanger uitoefenen. Die papieren constructie telt dus niet, de koerier moet zelf het werk doen.

Als derde kijkt de rechter naar de beloning. Dat is altijd een lastige: werknemers krijgen loon, opdrachtnemers krijgen een honorarium, maar hoe zie je het verschil? De rechtbank kijkt naar de hoogte – maximaal 18 euro bruto – en het feit dat hierover niet kan worden onderhandeld. Uit die feitelijke constateringen volgt dan dat je dit moeilijk een honorarium kunt noemen.

Alles bij elkaar concludeert de rechter dan ook dat deze werkconstructie alles heeft van een werkgever-werknemer relatie en niet van een echte zzp-inhuuropdracht. Factoren zoals dat je bij de KVK ingeschreven moet zijn en je eigen kleding en maaltijdboxen mag gebruiken, bieden te weinig gewicht voor een tegenargument dat tóch sprake is van opdrachtnemerschap. De conclusie is dan ook: dit zijn arbeidscontracten, geen overeenkomsten van opdracht.

Deliveroo moet de cao met terugwerkende kracht toepassen en bezorgers kunnen nu aanspraak maken op een dienstverband. Dat is behoorlijk pijnlijk voor het bedrijf, en het verbaast dan ook niet dat ze meteen roepen in hoger beroep te gaan. Maar gezien de zeer principiële en uitgebreide analyse van de rechter zou ik niet meteen weten met welke argumenten.

Natuurlijk is het behoorlijk vervelend voor het bedrijf, en ik ben natuurlijk niet tegen een systeem waarbij je voor dit soort parttime bijbaantjes een derde route creëert naast die van werknemerschap met volledige bescherming en de opdrachtnemer die het maar moet uitzoeken. Maar ik blijf sterk met het gevoel zitten dat bedrijven vooral vanwege het vermijden van hun werkgeversplichten kiezen voor mensen opdrachtnemer noemen, en dat de werknemers niet sterk genoeg zijn om daar een vuist tegen te maken. Dat is dus waar je vakbonden voor hebt, en ik vind dit dan ook een mooie uitkomst. Maar zoals ik in juli ook al zei: de bal is aan de politiek, die moeten nu óf zo’n derde route maken en in de wet zetten, óf eindelijk eens een signaal geven dat schijnconstructies niet mogen zodat dit hard kan worden aangepakt.

Arnoud

Hoe ver gaat mijn zorgplicht als dienstverlener onder de AVG dan eigenlijk?

Geplaatst op in Ondernemingsvrijheid, Privacy, nog geen reacties

Een lezer vroeg me:

Recent blogde je over de zorgplicht als ICT-dienstverlener om te beoordelen of een verzoek van je klant AVG-compliant is. Maar hoe ver moet je daar nu precies in gaan? Ik kan toch moeilijk het privacyreglement van mijn klanten gaan evalueren voordat ik ze toegang geef tot een mailbox. Maar enkel “geen zorgen dit is legaal” van de klant is ook weer te weinig, lees ik.

De AVG legt dienstverleners inderdaad een zorgplicht op. Wie als verwerker persoonsgegevens voor zijn klanten beheert, moet daarbij aan de bel trekken als hij een evident niet-toegelaten instructie krijgt van een klant. Dit is in aanvulling op je gewone zorgplicht als dienstverlener om als een “goed dienstverlener” om te gaan met klantgegevens en uitvoering van de opdracht.

Dit gaat niet zo ver dat je iedere theoretische overtreding moet weigeren totdat een volledige privacy impact assessment is uitgevoerd door een onafhankelijke audit-team, maar je zult wel echt meer moeten doen dan uitsluitend afgaan op “onze afdeling Legal zegt dat het mag” in een mailtje van de klant.

Mijn advies is om bij de veel voorkomende situaties een werkproces te definiëren en dat deel van je Service Level Agreement te maken. Al is het maar “Klant dient een reglement omtrent toegang tot personeelsmailboxen te hebben en toegangsverzoeken te motiveren onder verwijzing naar de toepasselijke paragraaf”. Dan krijg je dus twee regels “overnemen mailbox wegens ziekte, artikel 13.5, informeren wn onmogelijk om medische redenen” en dat staat inderdaad in artikel 13.5 als grondslag. En dan is er geen sprake van evidente schending van de AVG.

Natuurlijk kan het zijn dat de werkelijke reden is dat er wordt gesnuffeld in de mailbox om iemand weg te pesten, of dat de werknemer helemaal niet medisch gezien onbereikbaar is. Of dat dit reglement nooit is getoond aan deze werknemer. Maar dergelijke opties zijn te ver weg voor jou als dienstverlener om te testen. Dus met zo’n duidelijke motivatie is het genoeg voor de dienstverlener.

Maak je je desondanks zorgen over misbruik, dan kun je ook gaan nadenken over concreet iets inbouwen in je systeem. Denk aan een alert dat de werknemer bij inlog een melding geeft wie er toegang heeft gehad. Voor de werknemer zou dit geen verrassing moeten zijn, want de werkgever moet hem vertellen dat hij in zijn mailbox is geweest. Is het wel een verrassing, dan kunnen ze dat nu samen op gaan lossen. Ik zou dit wel als feature documenteren zodat het de werkgever niet verrast en hij wanprestatie gaat claimen.

Arnoud

Veel Nederlanders sturen werkbestanden naar privémailadres, mag dat?

Geplaatst op in Informatiemaatschappij, 16 reacties

Veel Nederlandse werknemers versturen weleens werkbestanden vanuit hun zakelijke mailbox door naar hun privémailadres, las ik bij Security.nl. Dat baseert zich op het recent verschenen Cybersecurity bewustzijnsonderzoek van Alert Online dat onder meer dan duizend Nederlanders werd uitgevoerd. Volgens het onderzoek zegt 15 procent van de respondenten dat ze dit “altijd of meestal” wel doen. 29 procent zegt soms wel, soms niet of meestal niet. Het onderzoek werd uitgevoerd door Motivaction in opdracht van Omnicom Public Relations Group (OPRG), dat de NCTV-campagne Alert Online organiseert. Ik kreeg van diverse mensen de vraag, kun je dit niet beter gewoon verbieden als werkgever?

Het kan natuurlijk een risico zijn om werkbestanden naar jezelf te mailen. Ik vermoed dat in de enquête vooral werd gedacht aan risico’s rondom de slechter beveiligde thuiscomputer, waardoor virussen er met de data vandoor kunnen gaan of deze door een foutje gemaild of geupload wordt naar een plek waar hij niet hoort. Idem voor privémailboxen die minder goed beveiligd zijn. Daarnaast zit je als bedrijf nog met AVG issues, een bestand met persoonsgegevens dat op deze manier mee naar huis gaat, kan best een datalek opleveren.

Vanwege deze risico’s kan ik me goed voorstellen dat een bedrijf haar medewerkers verbiedt om bestanden naar privéadressen te mailen en/of op sticks en dergelijke mee naar huis te nemen. Wel moet je als bedrijf dan goed hebben nagedacht hoe je het wil doen met thuiswerken, iets dat vaak de facto zeer zeker verwacht wordt van medewerkers. (Ze nemen die informatie immers niet voor niets mee naar huis.) Je kunt als goed werkgever niet enerzijds thuiswerken verlangen en anderzijds geen middel bieden om de benodigde data thuis te hebben.

In de comments zag ik nog de suggestie om werknemers aansprakelijk te stellen als ze zo’n verbod overtreden of een datalek veroorzaken door slechte beveiliging thuis. Dat gaat ‘m niet worden: juridisch gezien kun je werknemers gewoon niet privé aansprakelijk houden voor fouten die ze op het werk maken. En data meenemen naar huis om daar onveilig te werken, is gewoon een werkgerelateerde fout. Ook als het expliciet verboden is. Het arbeidsrecht is hier zeer op de hand van het personeel.

Ik ken werkgevers die om deze reden USB-poorten fysiek onbruikbaar maken en Gmail en consorten blokkeren. Dat is wat radicaal maar voorkomt een hoop ongewenste datatransporten. Je maakt het mensen dan weer wel moeilijker om hun werk te doen, dus daar moet je dan wat anders op verzinnen.

Arnoud

“Mijn werkgever wil me een contract met boete over de AVG laten tekenen, is dat normaal?”

Geplaatst op in Ondernemingsvrijheid, Privacy, 9 reacties

Diverse lezers tipten me (dank) over deze vraag op Reddit:

Mijn werkgever wilt mij een contract laten tekenen ivb met de nieuwe privacywet (avg). Is dit normaal?

Wie het contract in kwestie leest, ziet dat het een addendum is op een arbeidscontract waarbij de werknemer geheimhouding opgelegd krijgt, en belooft netjes met persoonsgegevens om te gaan en alle documenten en dergelijke te retourneren aan het einde van het dienstverband. Dat zijn op zich geen rare afspraken. De teksten vind ik als jurist volkomen standaard. Je zou zelfs kunnen zeggen dat dat gewoon werkinstructies zijn, zo werken wij hier nu eenmaal en jij dus ook.

Wat de wenkbrauwen doet fronsen, is dat de werkgever er een stevig boetebeding aan koppelt: iedere overtreding van één van deze instructies wordt gestraft met een boete van €2.500 per keer en 250 euro per dag. Dat is natuurlijk geen instructie, dat is een afspraak. Boetes mogen in arbeidscontracten worden opgenomen, maar dat is een tweezijdige vrijwillige keuze die je in zo’n contract maakt, en geen eenzijdige “hier even tekenen en dan hang je vanaf nu”.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord op een aanpassing van je arbeidscontract kan niet worden afgedwongen, behalve als het gaat om een kleine wijziging die je in redelijkheid niet kunt weigeren. Dat is natuurlijk niet aan de orde bij een boetebeding, omdat dit zozeer 100% in het nadeel van de werknemer is.

Dus nee, ik denk niet dat je dit hoeft te tekenen. Als de werkgever bewijs wil dat jij deze instructies (artikel 1 dus) hebt gelezen, dan kan hij je verplichten bij artikel 1 “voor gezien” en krabbel te zetten. Artikel 2 is niet eenzijdig op te leggen, een boete vereist instemming van de werknemer. Dat moet er dus uit. En je persoonlijk aansprakelijk stellen voor de schade gaat ‘m ook niet worden, de lat daarvoor ligt héél hoog en enkel dat je een instructie negeert of je werkgever schade berokkent is nadrukkelijk bij lange na niet genoeg.

Arnoud

Mag Slack een werkgever toegang geven tot chats van personeel?

Geplaatst op in Privacy, 9 reacties

De zakelijke chatdienst Slack laat werkgevers voortaan de privégesprekken van personeel inzien, las ik bij Nu.nl. De chatdienst, die populair is bij veel IT-werknemers en programmeurs, heeft haar exportfunctie voor chatberichten herzien. Het is nu makkelijker om je eigen chats te downloaden (dat moet immers van de AVG), maar wie een Plus- of Enterprise Grid-abonnement heeft, kan alle chats binnen dat abonnement downloaden, en ook privéberichten (direct messages). Waardoor je dus als werknemer binnen zo’n bedrijfsabonnement ineens jouw chats gedownload ziet.

Slack is een populaire chatdienst die erg handig blijkt voor snelle bedrijfscommunicatie, intern maar ook met klanten. Chats zijn opgedeeld in kanalen waar je bijvoorbeeld in teamverband aan deelneemt, zodat je alleen relevante conversaties volgt. Daarnaast kun je privéberichten sturen naar een specifieke andere gebruiker. Gebruikers kunnen van het eigen bedrijf zijn, of van een andere organisatie zoals een klant – maar je partner zou ook op Slack kunnen zitten zodat je met hem/haar een chat kunt voeren voor privédoeleinden.

Onder de AVG heb je recht op inzage en recht op dataportabiliteit – concreet kun je een kopie van je data eisen van internetdienstverleners waar je een contract mee hebt, of waar je apart toestemming gaf voor de dataverwerking. En wel in XML of vergelijkbaar standaardformaat. Dus op zich is het niet meer dan logisch dat Slack je de optie geeft je chats te downloaden, dat is gewoon de invulling van dat recht.

Het wringt natuurlijk waar de abonnementshouder niet het personeelslid is dat de chatdienst gebruikt. Want dat recht op inzage en dataportabiliteit is bedoeld voor het personeelslid om grip op zijn data te houden, niet voor de werkgever om eens rustig mee te lezen met wat mensen allemaal zeggen, zakelijk dan wel privé.

Tegelijkertijd hééft een werkgever soms het recht om inzage te krijgen in chats. Je hebt weliswaar privacy op het werk, maar die is niet onbeperkt. Als er een duidelijk bedrijfsbelang is om de chats te lezen, dan mag dat. Wel moet dit in een reglement zijn uitgewerkt en moet het in een concreet geval relevant en noodzakelijk zijn, maar het mag. (En in dat reglement zeggen dat de werkgever altijd alles mag zien, is niet rechtsgeldig.)

Het doet er dus uiteindelijk niet toe of de gesprekken via Slack gevoerd worden, via de mail of op een andere manier. Waar het om gaat is hoe privé het gesprek is en hoe groot het bedrijfsbelang is dat je daar tegenover stelt (en dat dus in je reglement is uitgewerkt).

Arnoud

Hoe is het een datalek om de namen van personeel in je metadata te laten staan?

Geplaatst op in Privacy, 13 reacties

De Autoriteit Persoonsgegevens, waarbij bedrijven datalekken verplicht moeten melden, heeft zelf per ongeluk de namen van werknemers openbaar gemaakt. Dat gniffelde Nu.nl en heel wat meer media naar aanleiding van de ontdekking van onderzoeker Mischa van Geelen van beveiligingsbedrijf NFIR. Die had gezien dat namen van personeel te vinden was in de metadata van zo’n 800 pdf-documenten, terwijl beleid van de AP is om geen namen van individuele medewerkers naar buiten toe te communiceren. Ohooh de juf laat een scheetje, en het doet ook wat knullig aan natuurlijk om op die manier namen te lekken, maar is dit nu werkelijk iets om je druk over te maken?

Natuurlijk zijn namen van personeelsleden persoonsgegevens. Daar moet je als werkgever dus zorgvuldig mee omgaan, en lijsten van medewerkers zomaar aan derden geven of op internet zetten lijkt me niet echt de bedoeling. Als het toch gebeurt, zou ik echter wel moeite hebben met de conclusie dat dit dús een meldwaardig datalek is. Als er meer bij staat, zoals salaris of andere gevoelige zaken, dan zonder meer, maar alléén een naam? Welke negatieve gevolgen ondervindt iemand van de onthulling dat hij bij organisatie X werkt?

Helemaal heb ik er moeite mee omdat het hier gaat over de naam van de ambtenaar die beleidsdocument Y heeft geschreven bij organisatie X. Natuurlijk kan het beleid zijn van de AP om die niet te publiceren, maar daarmee is het nog niet automatisch een noemenswaardig datalek dat die gegevens tóch op straat komen. Volgens mij is het doodnormaal dat bij publicaties van bedrijven de namen van de werknemer(s) in kwestie genoemd wordt (en afhankelijk van hoe je de Auteurswet leest, is het zelfs een récht van de werknemer), dus daarmee zie ik niet hoe het onrechtmatig is. Laat staan dus meldplichtwaardig.

Maar goed, het was even leuk lachen. Ik neem aan dat al die bedrijven zelf keurig datalekbeleid hebben en ondertussen AVG compliant zijn?

Arnoud

Bitcoins minen op de computer van je baas is geen reden voor staande voet ontslag

Geplaatst op in Ondernemingsvrijheid, 15 reacties

Een systeembeheerder die op zijn werk bitcoins heeft gemined, mocht hiervoor niet op staande voet ontslagen worden, las ik bij Nu.nl. Hij had voor het winnen van de cryptovaluta een eigen unit in de serverkast op het werk geplaatst en daarmee het ICT-reglement overtreden en, aldus de werkgever, het bedrijf blootgesteld aan risico’s rond virus, hacken en gijzeling en natuurlijk diefstal van elektriciteit. Maar in zijn vonnis draait de rechtbank het ontslag op staande voet terug. Spoiler: dat komt omdat op staande voet ontslaan een zéér uitzonderlijk middel is en dus aan zeer strenge eisen onderworpen is.

De systeembeheerder was al een jaar of zes werkzaam bij het bedrijf, en hield zich daarnaast in eigen tijd bezig met het mijnen oftewel delven van bitcoins. Dat vereist veel rekenkracht en vooral ook veel elektriciteit. Op zeker moment plaatste hij een dergelijke miningmachine in de serverkast op het werk, aangesloten op het wifinetwerk voor medewerkers en natuurlijk op de stroomvoorziening voor het werk.

Dat leek niemand te werken tot een noodlottig bedrijfsetentje in 2017, want daardoor ontstond het vermoeden dat de beheerder bedrijfsfaciliteiten gebruikte voor privédoeleinden, te weten dat minen van bitcoins. Nader onderzoek leidde tot ontdekking van het apparaat in de serverkast, waarna de medewerker wegens de bovengenoemde redenen en onherstelbaar schenden van vertrouwen per direct op staande voet werd ontslagen.

Duidelijk was dat hier toch enige strijd met het personeelshandboek / ICT-reglement speelde. Weliswaar was (enig) privégebruik van dat wifinetwerk toegestaan en mocht je de eigen laptop of telefoon aan de stroom hangen op kantoor, dat betekent nog niet dat je een bitcoinminingmachine mag aansluiten op het wifinetwerk en de stroom aldaar. Iets met proportionaliteit zeg maar.

Echter, dat is niet genoeg voor een ontslag op staande voet. Dat vereist een dringende reden die zo ernstig is dat ieder redelijk mens het ermee eens zal zijn dat deze persoon per direct op straat moet staan, zonder recht op uitkering of wat dan ook. Dat is een zéér ingrijpend gevolg, zodat de lat heel hoog gelegd wordt. Toon maar aan dat het zó erg is dat je niet kunt zeggen, je bent gewoon ontslagen en die twee maanden ontslagperiode ga je maar thuis zitten.

Diefstal kan een reden zijn, maar die moet dan wel worden aangetoond. Er was geen strafrechtelijk traject opgestart, en bovendien was er nauwelijks bewijs: een hogere energierekening voor het bedrijf is natuurlijk niet genoeg om aan te tonen wat die miningmachine had verstookt aan elektriciteit.

Die gevaren van buitenaf kunnen als een vorm van onzorgvuldigheid leiden tot een dergelijke reden, maar het netwerk in kwestie was niet het zakelijk netwerk waarop gewerkt werd, maar een apart netwerk voor incidenteel privégebruik. Dat werd dan weliswaar overmatig gebruikt, maar een gevaar voor de bedrijfsvoering kan dat niet geven. Ook kan dat dus geen mogelijkheid scheppen voor enge figuren om in te breken en het bedrijf plat te gooien of te gijzelen.

Natuurlijk is het vertrouwen weg in deze systeembeheerder. Iemand die je vertrouwt het netwerk te beheren, beschaamt dat in ernstige mate door eigen apparatuur te installeren, elektriciteit aan te wenden voor energie-intensieve privédoeleinden en dat doodnormaal te vinden. Maar dat is op zichzelf niet genoeg, met name niet omdat dit het allereerste incident ooit was met deze man:

Wat in deze zaak zwaar meeweegt is dat [verzoeker] nooit eerder dergelijk gedrag heeft getoond en dat niet gebleken is dat zijn werkzaamheden er onder hebben geleden. De kantonrechter is van oordeel dat deze gemaakte fout hem niet zodanig zwaar moet worden aangerekend dat het gelet op alle omstandigheden van het geval als een dringende reden kwalificeert. Ontslag op staande voet behoort vanwege de diep ingrijpende financiële consequenties ultimum remedium te zijn. De aard en de ernst van het gedrag van [verzoeker] is niet zodanig dat, mede gelet op de wijze waarop [verzoeker] het dienstverband jaren naar tevredenheid heeft vervuld, de sanctie van ontslag op staande voet gerechtvaardigd was. [verweerster] had moeten volstaan met een minder zware sanctie dan wel het einde van het dienstverband op een andere wijze moeten zien te bereiken.

Uiteindelijk erkent de rechter wel dat de beheerder niet meer terug in dienst hoeft, los van dat hij ondertussen al elders werk had gevonden. Hij ontvangt een transitievergoeding van €8.886,16 en een schadevergoeding voor onterecht ontslag van € 9.330,47, naast achterstallig loon met rente van € 5.567,90.

Arnoud