Werknemer Archives - Pagina 5 van 11

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

Geplaatst op 19 februari 201814 februari 2018 in Security, 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op een andere manier de laptop te kunnen resetten. In hoger beroep bevestigt het Gerechtshof Amsterdam dat het wachtwoord moet worden afgegeven plus een schadevergoeding. Een ICT-faal, zoals men zegt in de reacties?

De vrouw was een goed half jaar in dienst bij het kdv, en had voor haar werk onder meer een bedrijfslaptop gekregen. Bij einde dienstverband leverde ze deze weer in, maar vervolgens bleek dat het gebruikersaccount voorzien was van een wachtwoord. Daardoor kon het kdv er geen nieuw account op zetten.

Navraag bij de vrouw gaf de op zich terechte reactie:

De administrator kan simpelweg een nieuwe account voor (…) aanmaken. Het afgeven van het wachtwoord zou betekenen dat anderen kunnen werken op mijn account. Dit zou betekenen dat men allerlei (ongewenste) activiteiten zou kunnen uitvoeren op mijn account zonder mijn in- en toestemming. (…)

Het kdv beschouwde daarop de laptop als onbruikbaar en hield de kosten van een nieuwe(!) in op haar laatste loonbetaling. Mede daarom kwam het voor de rechter. In eerste instantie oordeelde de kantonrechter dat een nieuwe laptop een tikje overdreven was, maar dat er wel schade was en die werd geschat op 500 euro.

In hoger beroep wordt dat bevestigd, met name omdat er geen inhoudelijk verweer was gevoerd tegen het verzoek. Enkel zeggen dat een administrator dat zou moeten kunnen oplossen is namelijk niet genoeg. Zeker als daar aantoonbaar tegenover staat dat er veel uren zijn gestoken in het proberen te ontgrendelen van de laptop. En ja, dan ga je nat als werknemer.

Natuurlijk, met een goede ict-infrastructuur was dit geen issue: laptop terug, standaard image erop en klaar. Of het schaduwaccount oproepen dat administrator-rechten heeft, het gebruikersaccount met data wissen en een nieuwe gebruiker aanmaken voor de opvolger. Of een van de vele andere oplossingen die een professioneel bedrijf zou kunnen inzetten om laptops te hergebruiken.

Alleen: dit is geen professioneel bedrijf met ict-afdeling of zelfs maar een fulltime ict’er. We hebben het hier over een kinderdagverblijf, waar professionele kinderverzorgenden rondlopen maar de ict-beheerskennis geen kerncompetentie is (of hoeft te zijn). Dan wordt er in de praktijk dus op een andere manier gewerkt met de ict-middelen, en het is die praktijk vanuit waar de rechtbank moet kijken hoe het geschil moet worden opgelost.

Ik kan me heel goed voorstellen dat een organisatie zoals een kdv niet in staat is een account op een laptop te wissen en dan een nieuw account in te richten. Met name als die laptop in een winkel gekocht is en bij de installatie alleen de standaardprocedure is doorlopen waarbij er één account wordt aangemaakt. Dan heb je als ict-leek best wel weinig opties behalve vanuit dat account inloggen en een nieuw account aanmaken of anderszins de boel resetten.

In die situatie snap ik best dat er weinig anders opzit. Dus zelfs als mevrouw een steviger verweer had gevoerd, had ik deze uitkomst wel verwacht. Ik zie dus niets in de argumentatie dat de rechters ict-prutsers zijn – dat zijn ze tegenwoordig zelden meer. Het is vooral dat er een knoop moet worden doorgehakt, hoe lelijk die oplossing ook is. Dus dan is alle mooie theorie over hoe het ook had gekund niet meer relevant.

Arnoud

Mag je op het werk de internetradio aan laten staan als dat geld kost?

Geplaatst op 24 januari 201820 januari 2018 in Ondernemingsvrijheid, 26 reacties

Wie in zijn eentje aan het werk is, zal snel geneigd zijn een muziekje aan te zetten. Vandaag de dag zelden meer een probleem voor de werkgever (de Buma/Stemra even daargelaten), maar twintig jaar geleden vaak een serieus discussiepunt vanwege de kosten. Maar toch ook in 2017 kennelijk nog, genoeg zelfs om in hoger beroep uitgevochten te worden: als je een werknemer een dongel geeft, mag hij dan naar de radio luisteren of is hij persoonlijk aansprakelijk voor de databundel-overschrijding?

De werknemer in deze zaak stond in haar eentje op een cateringlocatie, en had alleen via een dongel mobiel internet. Via die verbinding luisterde zij naar muziek tijdens het werk, maar kreeg na een maand de rekening gepresenteerd van de werkgever voor maar liefst € 1.239,60 aan datakosten bij Vodafone. Het verweer dat er toestemming was gegeven, werd niet geaccepteerd door de werkgever: volgens het reglement moest er dan nog steeds worden betaald voor zulke data als de bundel zou worden overschreden. Daarbij speelde mee dat de dongel-software waarschuwingen zou geven bij (dreigende) overschrijding van de databundel per maand.

Nou zijn dat soort reglementen altijd leuk en aardig, maar als het gaat om werknemers aansprakelijk stellen en/of schade laten vergoeden dan heb je maar heel weinig ruimte onder de wet. Die zegt namelijk dat een werknemer eigenlijk nooit privé aansprakelijk is voor wat hij op het werk doet, behalve bij opzet of bewuste roekeloosheid (en dat krijg je vrijwel nooit bewezen) of als hij verzekerd is voor de gevolgen.

De werkgever gaf aan dat duidelijk was aangegeven hoe de dongel werkt, inclusief waarschuwingspopups voor (dreigende) overschrijdingen van de datalimiet. De werknemer stelde daar tegenover dat zij dacht

dat voor de laptop een onbeperkt abonnement gold en zij heeft betwist dat is gesproken over betalen voor gebruik van de radio. Zij is geen ervaren gebruiker van internet en heeft nooit van een dongel gehoord. Zij liet de laptop aanstaan en deed alleen de klep dicht wanneer zij wegging. Wanneer zij weer op haar werk kwam deed zij de klep open en startte de radio door op 538 te klikken.

In principe is het dus zo dat een werknemer voor kosten gemaakt op het werk niet aansprakelijk is. Schade als gevolg van een slechte uitvoering van het werk zijn gewoon voor rekening werkgever.

Het Gerechtshof ziet een sprankje hoop voor de werkgever: als hij kan bewijzen dat bij naderende overschrijding van de databundel popups met waarschuwingen worden getoond en de werknemer deze heeft weggeklikt, én dat de werkgever de werknemer heeft geïnstrueerd hoe op de kosten te letten, dan zou een situatie van bewuste roekeloosheid ontstaan. Ik ben benieuwd hoe ze dat voor elkaar gaan krijgen.

Arnoud

Help, mijn klant neemt me op tijdens het werk!

Geplaatst op 22 januari 201818 januari 2018 in Ondernemingsvrijheid, 11 reacties

Een lezer vroeg me:

Wij doen remote beheer voor diverse bedrijven. Eén van onze klanten blijkt al onze beheersessies op te nemen, hier ben ik toevallig achtergekomen maar zij hebben er nooit wat over gezegd. Mogen zij dit zomaar doen?

Ook op het werk heb je privacy, is een vast mantra in deze rubriek. Je bent niet vogelvrij als werknemer als je je werk doet. Je werkgever mag je dus niet continu volgen of vastleggen wat je allemaal doet.

Hier ligt er een kleine complicatie, en dat is dat het hier niet gaat om de werkgever maar om de klant. Dan gaat er een ander belang ook meespelen, namelijk dat de klant het recht heeft te kijken met welke kwaliteit er wordt geleverd en of er niets misgaat. Dat maakt het iets eerder gerechtvaardigd om de ingeschakelde medewerker te volgen bij het werk.

Ik denk dus dat dit wel mag, maar het moet wel vooraf gemeld zijn zodat je als medewerker weet dat je bij dat deel van het werk wordt gevolgd. Ook belangrijk zal zijn of het hier gaat om het vastleggen van specifieke werk-activiteiten (zoals een medewerker van de klant helpen met het installeren van iets) of dat álles van half negen tot half zes wordt opgenomen dus inclusief je lunchpauze-browsegedrag. Dat laatste zou me wat ver gaan.

Heb je er desondanks moeite mee, dan kun je daar je werkgever op aanspreken. Die moet zorgen voor een prettige werkomgeving, inclusief dus een redelijke privacyverwachting. Hij kan dan weer naar de klant om werkafspraken te maken en wellicht een oplossing waarbij de opnames niet zomaar kunnen worden gebruikt.

Arnoud

Kan mijn werk me verplichten een Uber-account te nemen?

Geplaatst op 20 december 201713 december 2017 in Ondernemingsvrijheid, 35 reacties

Een lezer vroeg me:

Voor mijn werk (een klein ICT-bedrijf, paar jaar oud) moet ik regelmatig naar klanten. Nu heeft de directie gemeld dat we dit via Uber moeten gaan doen om de kosten te drukken. Iedereen moet nu een account bij dat bedrijf nemen, en de kosten mag je wekelijks declareren. Ik ben het hier principieel niet mee eens, mede gezien dat mega-datalek recent. Kan ik hier iets tegen doen?

Een werkgever heeft in principe het recht om te bepalen hoe het werk wordt uitgevoerd. Daaronder valt ook hoe jij bij externe locaties zoals klanten komt. Neem maar een taxi, zoek de goedkoopste ov-optie of declareer eigen vervoer, het is zijn vrije keuze. Wil hij alleen taxi’s van bedrijf X, dan heb je je daarnaar te schikken. Op zich is Uber een legaal taxibedrijf (de UberX dienst dus, met chauffeurs met vergunning) dus als je mensen daarin wilt vervoeren dan is dat prima.

De wijze van uitvoering gaat hier alleen een tikje mis. Wanneer mensen voor hun werk met een Uber moeten reizen, sluiten ze de vervoersovereenkomst bedrijfsmatig. Het is dus het bedrijf dat de Uber bestelt en de mensen vervoert. Dat je dat privé even voorschiet is een bijkomstigheid; het is en blijft een zakelijk contract. Het doet dan raar aan dat je privé een account zou moeten nemen daar. Beter was geweest om een corporate account te nemen.

Helemaal lastig is het hier omdat Uber als bedrijf het met de privacy niet zo nauw neemt, getuige dat datalek en vele andere incidenten die de privacy raken. Het voelt dan bepaald onprettig om verplicht als werknemer zaken te doen met zo’n bedrijf, zelfs als het met een corporate account zou gebeuren zo stel ik me voor.

Juridisch vind ik het moeilijk een argument te bedenken: Uber is in Nederland nooit veroordeeld of beboet voor privacykwesties, dus hoe onderbouw je dan dat je écht niet wilt samenwerken met deze organisatie? Je kunt natuurlijk altijd inzetten op goed werkgeverschap, een veilige werkomgeving met respect voor privacy. Bij grotere bedrijven werkt het nog wel eens om te schermen met hun gedragscode Maatschappelijk Verantwoord Ondernemen.

Arnoud

Mag mijn werkgever me persoonlijk aansprakelijk stellen (met boete) op AVG-overtredingen?

Geplaatst op 4 december 20174 december 2017 in Ondernemingsvrijheid, 28 reacties

Een lezer vroeg me:

Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.

Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.

Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.

Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo’n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).

Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet “iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid” maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.

Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.

~~Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.~~(Dit was onzin, dat verbod geldt alleen als je minimumloon verdient. Een hoge boete mag dus wel maar mag natuurlijk niet onredelijk hoog zijn, blauwe lijst algemene voorwaarden.)

Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening “voor gezien” wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)

Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega’s bezwaar maken en kijken of dat meer indruk maakt.

Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.

Wat zouden jullie doen?

Arnoud

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

Geplaatst op 22 november 201717 november 2017 in Privacy, 10 reacties

Een lezer vroeg me:

Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Vaste lezers, roep maar even mee: ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mail provider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

‘Dikke problemen’ voor grappenmaker die Trump van Twitter haalde

Geplaatst op 7 november 20173 november 2017 in Ondernemingsvrijheid, 14 reacties

Op zijn laatste werkdag haalde een medewerker van Twitter het account van Donald Trump offline, las ik bij RTL. Elf minuten was @realDonaldTrump onbereikbaar voor de 41 miljoen Twittervolgers. Ondanks die beperkte tijd toch pijnlijk natuurlijk, en het zal zeker dan ook gevolgen hebben voor de ex-medewerker. Maar zou Trump zelf ook wat te claimen hebben? Welnee, want -daar gaan we weer- social media accounts zijn geen eigendom, ze bestaan bij de gratie van de welwillendheid van de dienstverlener.

Waarom de medewerker deze actie uithaalde, is nog niet duidelijk hoewel je natuurlijk wel een en ander op je klompen aanvoelt. Wat mij vooral verbaast is dat hij dacht dat het effect zou hebben. Bij zulke bekende/beruchte accounts mag je verwachten dat er snel alarmbellen af gaan, dus het voelde een tikje naïef.

Een arbeidsrechtelijk gevolg zal het zeker hebben. Want ook als je op je laatste dag iets uithaalt, kun je daar gewoon op aangesproken worden. Je kunt zelfs alsnog op staande voet ontslagen worden, wat consequenties heeft voor je uitkering en dergelijke. En een schadeclaim is in theorie ook mogelijk, zeker hier waar het gaat om opzettelijk handelen van de werknemer. Die schade zal lastig te kwantificeren zijn, want ook bij reputatieschade moet er iets worden onderbouwd.

Trump zelf zal weinig te claimen hebben overigens, want de voorwaarden bepalen uiteraard “You understand and agree that the Services are provided to you on an “AS IS” and “AS AVAILABLE” basis.” Oftewel: als hij het niet doet, heb je dikke pech. Ongeacht reden? In principe ja, want Twitter bepaalt hoe haar diensten worden ingericht en geleverd. Zelfs als Twitter had bedacht, we pakken door en láten Trump offline, dan nog had hij geen reden tot klagen gehad. Daarnaast zit je met ook hier de vraag wat de schade is.

Arnoud

Van wie is de Facebookpagina van een bekende Nederlander?

Geplaatst op 17 oktober 201710 oktober 2017 in Ondernemingsvrijheid, 59 reacties

“Mijn vorige werkgever zegt: die heb je onderhouden tijdens werktijd, dus die is van ons.” Aldus DJ Giel Beelen in het AD vorige week. De ex-werkgever van de DJ claimt eigenaar te zijn van de Facebookpagina, omdat deze onder werktijd werd onderhouden. Mogelijk een reactie op dat akkefietje vorige week met de ‘gehackte’ muziek. Maar het is wel een lastige vraag: van wie ís de Facebookpagina van een bekend persoon?

Data bestaat juridisch niet, roep ik altijd. En dat geldt ook voor Facebook: een Facebookprofiel met updates, foto’s en dergelijke bestaat juridisch niet als zelfstandig ding. Je kunt er dus geen eigenaar van zijn in de zin van de wet; het is niet meer dan een artefact van een dienst geleverd door Facebook Inc. Juridisch stelt het minder voor dan een bioscoopkaartje of kassabon. Dus wat dat betreft zou de vraag zinloos zijn.

Maar specifiek in de werkgever/werknemer relatie is er nog wel een haakje. Die dienst is geleverd onder een contract tussen Facebook Inc en meneer Beelen. Als hij dat contract als werknemer sloot, dan staat het op naam van zijn ex-werkgever de BNNVARA. Wanneer je dan als werknemer daar niet meer werkt, ben je dus niet meer bevoegd om onder het contract handelingen te verrichten, wat een dure manier is om te zeggen dat je dan die pagina niet meer mag updaten.

Wanneer ga je nu een contract aan als werknemer? Een expliciete opdracht is daarvoor niet nodig. Als uit de omstandigheden duidelijk is dat jij én de werkgever dit bedoelde als zakelijke actie, dan is het een contract op naam van de werkgever. Er is dus geen hard criterium, en ook “onder werktijd beheerd” is niet genoeg. Als ik onder werktijd als DJ een roman schrijf, dan is die echt van mij want dat heeft niets met het werk te maken. (Ik kan wel worden berispt voor niet werken onder werktijd.)

Dat je op je eigen naam gebruikt, zou normaal voor mij een belangrijke factor in het voordeel van de werknemer zijn. Ook dat het hier Facebook is en niet een meer zakelijk netwerk zoals Linkedin, zie ik als factor pro werknemer. Maar het is hier iets ingewikkelder, omdat je als Bekende Nederlander juist zákelijk op Facebook moet zijn (daar zitten je fans) en je daarbij ook onder je persoonsnaam naar buiten treedt. Anders gezegd: het onderscheid tussen Giel Beelen privé en Giel Beelen, werknemer BNNVARA, is eigenlijk niet goed te maken.

Er blijft dan weinig anders over dan op de pagina zelf te kijken. En daar zie ik van alles over de zakelijke activiteiten van de DJ, aansluitend bij dingen die op de radio gebeuren. Ik zie zo gauw geen echte privézaken zoals ik die bij een particuliere Facebook zou verwachten. Daardoor krijg ik het gevoel dat de pagina bedoeld is als deel van het werk, en daarmee is goed verdedigbaar dat BNNVARA deze als bedrijfspagina ziet.

Het is natuurlijk nogal vervelend voor Beelen die zo het contact met zijn fans verliest, maar juridisch zie ik geen argumenten om de pagina zelf te mogen houden. Jullie wel?

Arnoud

Hebben werknemers recht op een kopie van hun privébestanden bij uitdiensttreding?

Geplaatst op 3 oktober 201722 september 2017 in Ondernemingsvrijheid, 17 reacties

Een lezer vroeg me:

Beleid bij ons bedrijf is dat bij uitdiensttreding de home-schijf van werknemers wordt gewist aan het einde van de laatste werkdag. Nu kan het voorkomen dat daar privé-informatie op staat (dit is oogluikend toegestaan in ons reglement). Zijn wij verplicht de werknemer hier een kopie van te geven, en verandert de GDPR daar nog wat aan?

Wanneer iemand uit dienst gaat, is het voor de werkgever natuurlijk prima om dan diens laptop en/of netwerkinformatie te wissen. Die apparatuur en opslag zijn dan niet meer nodig voor het werk, en mogen dus weg.

Het is mogelijk (en wettelijk toegestaan) dat er hier en daar wat privéinformatie tussen zit. Veel mensen hebben bijvoorbeeld muziekbestanden opgeslagen om naar te luisteren, wat administratie om bij te werken of logs van privéchats. Dat is op zich prima, en een goed werkgever heeft dat te tolereren zolang het werk er geen last van ondervindt.

Een werknemer heeft echter geen recht op een kopie van die informatie. Informatie is geen eigendom, en als deze dus wordt gewist na einde dienstverband dan heeft de ex-werknemer daar niets tegenin te brengen. Heel misschien als je zegt, een goed werkgever laat mensen die privézaken meenemen, en stuurt ze na als die vergeten blijken, maar ik vind dat hij dat gewoon op de laatste werkdag zelf had moeten uitzoeken.

De GDPR of AVG verandert daar weinig aan. Het klopt dat deze een recht bevat om een kopie van jouw persoonsgegevens op te vragen. Daarmee kun je dus je personeelsdossier in kopie krijgen, maar met een beetje goede wil zou je ook daar die privédocumenten met administratie onder kunnen rekenen. (Een muziekbestand is geen persoonsgegeven enkel omdat het in jouw home-schijf staat.) Alleen vervalt dit recht wanneer de gegevens met goede reden zijn gewist – en uitdiensttreding zie ik als een goede reden.

Arnoud

Oh, je baas mag toch niet meegluren in je privéberichten op je werk?

Geplaatst op 13 september 20175 september 2017 in Ondernemingsvrijheid, Privacy, 2 reacties

Het Europese Hof voor de Rechten van de Mens heeft in een uitspraak bepaald dat bedrijven hun werknemers moeten inlichten op het moment dat hun digitale communicatie vanaf de werkplek in de gaten wordt gehouden. Dat meldde Tweakers vorige week. Een werknemer had een zakelijk Yahoo Messenger account aangemaakt om daarmee met klanten te kunnen chatten. De werkgever monitorde dit account en constateerde op zeker moment dat er privécommunicatie (met onder meer zijn broer en zijn verloofde) was geweest, en gebruikte dat als grond voor ontslag. Het EHRM corrigeert de uitspraak: de werknemer was niet vooraf specifiek geïnformeerd, en dus was het ontslag onterecht.

De uitspraak is een vervolg op deze zaak uit 2016. Destijds werd vooral op de inhoud beslist: het account was aangemaakt voor zakelijke doeleinden, waardoor het al vrij snel redelijk is dat de werkgever daarin kijkt. Dat Yahoo Messenger een typisch consumentenchatprogramma is, doet daar niet aan af. Verder werden de berichten niet inhoudelijk bekeken in de rechtszaak, maar werd heel snel vastgesteld dat het privécommunicatie betrof, waarna de rest van de zaak ging over of duidelijk was gemeld dat dat niet mocht, hoe ernstig alles was et cetera.

De werkgever gaat echter toch onderuit op het formele aspect van notificatie, de inlichtingenplicht uit de Wet bescherming persoonsgegevens en vanaf volgend jaar de Algemene Verordening Gegevensbescherming. Deze vereist kort gezegd dat de betrokkene duidelijk wordt geïnformeerd over het wat en hoe van de gegevensverwerking.

In deze zaak was geen duidelijk reglement verstrekt waarin werd uitgewerkt onder welke omstandigheden overgegaan zou worden tot monitoring van privégebruik van ICT-middelen. Weliswaar was een andere werknemer recent ook ontslagen vanwege dergelijk privégebruik, maar dat is als informatie onvoldoende voor werknemers om te weten te komen wat de aard en scope van monitoring van dergelijke middelen is. Daarnaast was het algemene reglement met een verbod op privégebruik van ICT-middelen wel verstrekt, maar dat bevatte geen waarschuwing dat gemonitord kon worden om dit verbod te handhaven.

Ook was niet duidelijk genoeg specifiek gemotiveerd waarom monitoring in dit geval nodig zou zijn. Het lijkt erop dat de monitoring als algemeen middel werd ingezet en niet specifiek tegen deze persoon omdat er gegronde vermoedens waren gerezen van privégebruik. Dat is dan te snel naar een zwaar middel gegrepen zonder na te denken of het anders kon.

Daarnaast wordt het nationale vonnis vernietigd met het argument dat te weinig naar subsidiariteit is gekeken. Het Hof ziet de monitoring van ICT-communicatie als een zwaar middel, waardoor dit zwaarwegend in de afweging van belangen moet worden betrokken. Bij voorkeur kan de werkgever geen privécommunicatie lezen, maar moet worden volstaan met het bepalen of gesprekken privé zijn. Dat zou bijvoorbeeld kunnen door te constateren dat de wederpartij in de communicatie niet bekend is als klant, waarna de werknemer kan worden gevraagd of deze persoon wellicht toch een zakelijke relatie is (denk aan mensen die liever vanaf een privéadres chatten of thuiswerken en geen zakelijk account kunnen gebruiken). Hier werd direct naar het zwaarste middel gegrepen, en dat kan dus niet door de beugel.

Ik roep het vaker, maar het is echt van groot belang dat je een reglement maakt waarin je specifiek uitwerkt wat je bedrijfsbeleid is rond monitoring. En dan dus niet met dooddoeners als “vanwege security kan monitoring plaatsvinden” maar benoem de vormen van monitoring: aan/uitzetten van chatapplicaties, automatisch lezen van verkeersgegevens, automatische analyses van inhoud, handmatige kennisname van inhoud. Wie kan hierbij en waarom? Waarom is privégebruik verboden, hoe ver strekt dat verbod en wat zijn de (proportionele) sancties op overtreding?

Arnoud