image

Column: Tussen spionage en veiligheid

maandag 29 maart 2010, 10:29 door Peter Rietveld, 4 reacties

Werkgevers kunnen hun personeel op veel manieren controleren. En dat doen ze ook. Ze willen weten of we niet zitten te lanterfanten, te frauderen of iets anders aan het doen zijn dat niet in het bedrijfsbelang is. Er zijn werkgevers die álles willen weten, om zeker te zijn dat iedere minuut aan productie besteed wordt.

Slavendrijvers uit vroeger eeuwen? Niet meer van deze tijd? Of gebeurt dit alleen bij achterlijke bedrijven zoals de Lidl, Deutsche Telekom en de Duitse spoorwegen? Deze drie kwamen in opspraak omdat ze verregaande maatregelen troffen om het eigen personeel te bespioneren. De Duitse rechter achtte het plaatsten van camera’s door Lidl “in höchstem Maße skandalös“, omdat het over toezicht op het gedrag van het personeel op de werkvloer gaat, niet over toezicht op het werk. Alleen toezicht op het werk is volgens deze rechter toegestaan. Ook beide andere bedrijven zijn teruggefloten. In 2009 ging de Lidl opnieuw in de fout, met het bijhouden van geheime medische dossiers van haar personeel. Deutsche Bahn tenslotte heeft toegegeven e-mails van driekwart van haar werknemers, 173.000 man, te hebben gelezen om erachter te komen of er onoorbare praktijken plaatsvonden tussen het personeel en leveranciers van materialen. Eventuele bijvangsten zijn niet gemeld. Die Bahn bevestigde dat het in 2005 personeelsgegevens had vergeleken met die van klanten, om te onderzoeken of er geen omkoping was gebeurd. In februari 2009 leidde dit schandaal tot het aftreden van topman Hartmut Mehdorn.

Helaas, dit soort idiotie bestaat niet alleen in Duitsland. Hoewel er strenge regels zijn, gaat ook hier van alles mis. ‘Wij verkopen tussen de vier en tien keer per week spionagesoftware’ voor op mobiele telefoons, zegt een medewerker van het Utrechtse filiaal van de Spy Web Shop. Je kunt de telefoon van degene die je wilt volgen bij de winkel inleveren, die de dan de software voor je installeert. Ook verkoopt de Spy Web Shop kant-en-klare spionage toestellen, meestal een Nokia. De medewerker: ‘Dan zegt de baas: kijk eens, een toestel van de zaak, alsjeblieft’. Op het toestel heeft de winkel dan de benodigde software gezet. Eén keer een sms’je sturen vanaf je eigen toestel naar het toestel van je werknemer en de twee toestellen zijn aan elkaar gekoppeld. Het activerings-sms’je is onzichtbaar voor degene die wordt afgeluisterd.

En het gaat niet alleen om spionage met telefoons. Zo wilde het UWV een medewerkster ontslaan omdat ze een mailtje wilde rondsturen dat ze geen slingers op haar verjaardag wilde. Na een gerechtelijke uitspraak mocht de medewerkster toch blijven. Dat ze dat überhaupt nog wilde, schetst de kwetsbaarheid van werknemers: ze was vast liever weggegaan, maar elders een baan vinden is geen vanzelfsprekendheid. Je bent als personeelslid bij lange na geen gelijke in dergelijke situaties.

Werkgevers mogen hun personeel niet zomaar overal op controleren. Ze mogen bijvoorbeeld niet hun computergebruik registreren, tenzij er een gegrond vermoeden van misbruik is. Bovendien moeten controlemaatregelen van tevoren worden overlegd met de OR, en de werknemers moeten ervan op de hoogte worden gesteld. Als de UW- medewerkster het bericht over haar verjaardagsslingers gewoon had rondgestuurd, was er waarschijnlijk minder aan de hand geweest.

Tegelijkertijd neemt het aantal middelen dat controle voor werkgevers mogelijk maakt, snel toe. De kans dat ze ingezet worden dus ook. De grens tussen wat wel en niet kan, staat door de nieuwe mogelijkheden ernstig onder druk. Er is een grijs gebied waar angst, reële en minder reële veiligheidsbelangen, managerial machogedrag en nieuwe technologie elkaar ontmoeten. Dat is een mix waar het goed geld verdienen is. Een greep uit het nieuwe aanbod:

1: Bewaking van rijgedrag. Met de nieuwste boordcomputers kan de eigenaar van de auto het rijgedrag van de berijder achteraf analyseren. Dat geldt dus ook de leaserijder, via het leasecontract. De analyse geeft meer informatie dan alleen waar je in het weekend uithangt: “Zooooo, Berend, vorige maand was je drie keer te laat op je werk!” In de voorstellen rond de voorlopig begraven kilometerheffing bleef dit aspect buiten beeld. Dat toont maar weer aan dat zaken eerst mis moeten gaan voor we er aan denken.

2: Camera’s op de werkvloer. Populair onder bezorgde ouders is de nanny-cam, uiteraard om drama’s met kwetsbare kleintjes te voorkomen. De nanny-cam biedt onzichtbaar toezicht. Begrijpelijk? Mja, vooruit, enigszins. Bovendien hangt de nanny-cam in je eigen huis. Aan de andere kant: voor de oppas is dat toch gewoon haar werkplek. Zij is ook kwetsbaar: als zij bezwaar maakt tegen de camera’s, wekt ze de indruk van kwade wil te zijn: wat heeft ze te verbergen? Zoals Arnout Engelfriet al eens liet zien, mag een verborgen camera in je eigen huis niet, maar dan soms toch opeens weer wel. Je bent in ieder geval safe als je het duidelijk aankondigt. Maar als je de nanny-cam onder bepaalde omstandigheden wel vindt kunnen, moet je ook niet klagen als er op je eigen werkplek een camera komt te hangen. En dat mag jouw werkgever doen, als hij een goed verhaal heeft.

3: Proxy monitoring. Hiermee kun je zien of medewerkers wel naar zakelijk relevante internetsites gaan. En dat biedt een plethora aan mogelijkheden: zo kun je met speciale alerts op banensites op je personeelsomvang sturen. Er zijn wel regels voor, maar overtreding leidt in de praktijk niet bepaald tot zware sancties. En ook hier geldt dat er omstandigheden zijn waarin een werkgever een redelijk belang kan aanvoeren dat het nodig is; als je personeel veel tijd op sociale netwerksites doorbrengt, kan dat tot schade in het bedrijfsaanzien leiden, zoals de Engelse gemeente Portsmouth merkte. Even doorgerekend: deze ambtenaren zaten gemiddeld 12 minuten per maand op Facebook – schokkend hoor.

4: E-mail monitoring. Ook dit kan vele nieuwe inzichten opleveren. Uit de interne communicatie kun je de officieuze hiërarchie in kaart brengen (‘wie neemt er nu echt de beslissingen’) en extern kun je zien of er niet voor eigen rekening zaken worden gedaan.

5: PC monitoring. Hiermee is het mogelijk om te kijken wat een kantoormedewerker verder zoal doet – patience is immers het meest gespeelde computerspel. De webcam en de microfoon geven PC monitoring nog een extra dimensie; een boss-screen helpt dus echt niet meer.

6: Bedrijfsrecherche. Een groeiende bedrijfstak, met het ‘in de gaten houden’ van de medewerkers als core business. Met een meer pessimistisch economisch verwachtingspatroon is de neiging achter interne zaken aan te gaan groter, stelt de directeur van Hoffman, de bekendste aanbieder van dit soort diensten. De groei van deze bedrijfstak illustreert dat de grenzen afgetast worden.

7: De mobiele telefoon. Het nieuwste snufje: de Japanse telefoniegigant KDDI biedt technologie aan die alle fysieke bewegingen van mensen volgt via een telefoon. De bedoeling hiervan is dat je de productiviteit van het personeel bewaakt. Met de analytische software kan bijvoorbeeld vastgesteld worden of een schoonmaker aan het zwabberen of aan het stoffen is. Of iets heel anders aan het doen is. Stiekem koffiedrinken bijvoorbeeld – je ziet het meteen, en kan zelfs automatisch een SMS-je sturen (“Werken, kreng!”). De software gebruikt de metingen van de accelerometers, die in steeds meer toestellen zit.

Hiroyuki Yokoyama, hoofd van de onderzoeksafdeling bij telefoonfabrikant KKDI: "Er moet natuurlijk nagedacht worden over privacyvraagstukken en er moet aangedrongen worden op overeenkomsten tussen werknemers en werkgevers hierover." Het nadenken is echter overduidelijk nog niet afgerond, ‘overeenkomsten’ met het personeel zijn immers dingen die je alleen hebt bij grote bedrijven – het merendeel van de economie speelt zich af bij kleine bedrijven waar dit dus geen bruikbare aanpak is. Geen ondernemingsraad, dus geen centrale afspraken. Zo zijn we uiteindelijk dus overgeleverd aan de grillen van de werkgever. En dat gaat lang niet altijd goed.

Alle ervaringen met soort middelen om de productiviteit te verhogen wijzen uit dat zij averechts werken. Een hogere productiviteit bereik je juist met vertrouwen in, en vrijheid voor de medewerkers, in combinatie met inspirerend leiderschap. Toch zullen bedrijven dit soort technologie inzetten. Inspirerend leiderschap vind je nu eenmaal niet overal, en een cultuur waar vertrouwen de boventoon voert ook al niet. Vrijheid is in veel bedrijven ook ver te zoeken: de wantrouwende en ongeïnspireerde leiders menen doorgaans dat eigen initiatief nergens voor nodig is. Volg gewoon de Heilige Procedure en dan komt het helemaal goed.

Zo lang de werkgever kan beargumenteren dat het om toezicht op het werk gaat of het tegengaan van criminaliteit, is er een heleboel geoorloofd. Veiligheid gaat immers boven privacy. En er is ook best vaak wat voor te zeggen. Het is bijvoorbeeld niet zo vreemd als Defensie kijkt of medewerkers op Facebook gerubriceerde informatie zetten. En ja, dan zien ze ook meteen of die medewerkers in hun vrije tijd zuipende en snuivende feestbeesten van de eerste orde zijn, wat ook formeel gevoelig ligt. Volgens de gedragscode van Defensie is het personeel ook buiten werktijd personeel, en hebben ze zich dus ook onder privétijd te gedragen.

Ook het bewaken of iemand daadwerkelijk ziek is die zich ziek gemeld heeft, is zo’n grijs gebied. Mag je je Facebook bijwerken als je ziek thuis zit? Een Zwitserse werkgever vond van niet en ontsloeg hierom een medewerkster.

Er zijn nog veel meer grijstinten te verzinnen. Baas Henk: “Ik wil precies weten wat je de hele dag aan het doen bent. Er verdwijnen de laatste tijd veel laptops en ik heb op TV gezien dat er in onze sector veel gefraudeerd wordt.” Medewerker Gert-Jan: “Henk, ik vertik het te vertellen wat ik precies allemaal doe onder werktijd, als mijn werk maar op tijd af is, is het toch goed!” Baas Henk: “Nee. En anders ga je maar permanent buitenspelen!”

Baas Gijs: “in onze sector leef je in een glazen huis. Wat je in je eigen tijd doet kan hele negatieve impact hebben op de geloofwaardigheid van ons bedrijf. Ik wil dat je per direct stopt met dat blog over de geneugten van nederwiet!” Medewerkster Inge: “Wat ik in mijn eigen tijd onder mijn eigen naam doe, is mijn zaak”. Gijs: “Dat ben ik niet met je eens – voor onze klanten ben jij een vertrouwenspersoon. Dan moeten we maar afscheid van elkaar nemen.”

Baas Jan: “Ons bedrijf moet moreel hoogstaand zijn, omdat onze klanten dat belangrijk vinden. Daarbij past geen bezoek aan een naturistencamping. Stel je voor dat je daar een klant tegenkomt.” Medewerker Hans: “Die klant is dan toch ook naakt?” Jan: “Het gaat hier om onze professionele uitstraling, wat de klant doet moet -ie zelf weten. Ik wil dat je niet meer naar die blote billentoestand gaat.”

Baas Erik: “Je meldt je te vaak ziek omdat je zoontje niet naar school wil. Hij heeft ADHD, dus ik wil dat je hem Ritalin geeft.” ZZP-er Raymond: “Die beslissing nemen mijn vrouw en ik samen met de dokter,” Erik: “Nou dan huur ik wel een ander in.”

Baas Ron: “Ons bedrijf is afhankelijk van een sportieve uitstraling. En je bent veel te dik. Ik eis dat je gaat sporten en gezonder gaat eten!” Uitzendkracht Jan-Willem: “Maar ik kan er niets aan doen, ik heb een hormonale afwijking.” Ron: “Niets mee te maken.”

In welke van deze scenario’s de werknemer uiteindelijk verwijtbaar werkloos is, is niet duidelijk. Ik vrees in de meeste gevallen.

Het waarom van deze praktijken ligt vrijwel altijd op het gebied van de veiligheid – zoals bij de Deutsche Bahn waar het personeel doorgelicht werd om omkoping te vinden. Dit soort onderzoek strekt zich noodzakelijkerwijs uit tot de privétijd van het personeel. Daarmee zijn we wel een kritische grens over: het toezicht heeft de privétijd en het privégedrag van de medewerker bereikt.

En dit gebeurt niet alleen in het autoritaire Duitsland of in het nog gekkere Japan. In Nederland is de juridische situatie helemaal niet zo duidelijk, zeker niet waar het gaat over nieuwe ontwikkelingen. Dat ten eerste. Ten tweede krijgen we meer en meer te maken met bedrijven die in buitenlandse handen zijn. Zij houden in de corporate policies niet allemaal rekening met lokale wetgeving, zeker waar de handhaving zwak of zelfs afwezig is, zoals in Nederland. Ten derde is de fascinatie voor directief leiderschap nog steeds stijgende; de polder is helemaal uit de mode. Met de uitwassen van het procesdenken zijn initiatief en vrijheid voor de medewerker passé. En, last but not least, in de huidige angstcultuur zullen bedrijven proberen alles wat mogelijk schadelijk is, te verbieden. Dus ook in het gedrag van het eigen personeel. Veiligheid is immers een oneindig rekbaar begrip, zeker als het om imago gaat; er hoeft maar iemand lange tenen te hebben en het imago is in gevaar. En lange tenen zijn nu helaas juist wel in de mode.

Toch is de stap van Defensie heel begrijpelijk, vooral nadat in de pers telkens verhalen opdoken over militairen die weer eens een café hadden verbouwd. Ook justitie moest ingrijpen na herhaalde berichten over drugsuitspattingen van politiemensen in hun eigen tijd. En het gaat niet alleen om drugs - als een politieagent een moordenaar blijkt te zijn vinden we dat extra erg: blijkbaar stellen we de politie toch min of meer verantwoordelijk voor wat het personeel doet in de eigen tijd. De politie onderzoekt dan ook of de screening wel goed genoeg is geweest. Deze kandidaat had natuurlijk nooit agent had mogen worden. Maar als je dat denkt, bedoel je volgens mij eigenlijk gewoon dat de moord op Milly Boele nooit had mogen gebeuren. Wat ik bedoel is: de buurman heeft het meisje heus niet vermoord OMDAT hij politieagent was. Met het leggen van een verband tussen een gruwelijke moord en het feit dat de dader politieagent was, maken we de politie medeschuldig. En dat is niet terecht. Zo veel kan een screening nu ook weer niet bereiken: het voorspelt niet wat iemand over vijf of meer jaren zou kunnen doen. Als een screening dat wel zou kunnen, dan kunnen we beter de hele bevolking screenen en iedereen opsluiten met een duidelijk risicoprofiel. En die kant denken sommige mensen al een beetje op.

Ook begrijpelijk, en juridisch acceptabel, is het om medewerkers te verbieden als privépersoon te beleggen, als ze op hun werk in aanraking kunnen komen met beursgevoelige informatie. Ook is het niet zo’n vreemd idee als Stichting Brein medewerkers wil ontslaan die veel ‘illegaal’ downloaden.

Er zijn dus situaties waarin het begrijpelijk en geaccepteerd is dat een werkgever de grens tussen werk en privé opheft. Er zijn valide redenen. Het is ook gewoon echt waar dat het privégedrag van een werknemer grote schade kan aanrichten aan het bedrijf of de organisatie, met name door de publiciteit en de ‘guilt by association’. Organisaties zijn overgeleverd aan de grillen van de publieke opinie en de lange tenen van (mogelijke) klanten. En werknemers zijn weer overgeleverd aan hoe de werkgevers daarmee omgaan.

Als een bedrijf vermoedt dat het gedrag van een medewerker de belangen van het bedrijf kan schaden, zal ze dat moeten tegengaan, ongeacht waar en wanneer dat gedrag plaatsvindt. Als bij privégedrag de werkkring van de medewerker betrokken raakt, heeft dit grote consequenties voor ieders privacy. Dus het kan maar zo zijn dat de Lidl niet achterlijk, maar juist voorlijk is.

Dit leidt tot een cultuur van zelfcensuur; bedrijven zullen geen hoge tolerantie hebben voor mogelijk omstreden gedrag – ook zaken die volstrekt legaal zijn kunnen immers onwenselijk zijn. Ik verwacht dan ook meer en meer verboden. En zoals wij in Securityland heel goed weten, is een verbod zonder handhaving (dus zonder toezicht en sancties) zinloos. Dus bedrijven zullen gaan handhaven, ook buiten werktijd en buiten de bedrijfspanden. Camera’s op de werkvloer en toezicht op internetgebruik zijn écht nog maar het begin.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Laatste 10 columns


Meer columns van Peter Rietveld.
Reacties (4)
29-03-2010, 16:57 door Anoniem
Mensen moeten in hun vrije tijd zelf weten wat ze doen,dat gaat hun baas niets aan.
Als ze op het werk zijn moeten ze hun opdracht goed doen,wat er van ze verwacht wordt dat dan wel.
Maar zodra de werkdag erop zit zijn de mensen vrij en heeft de baas niets over hen te zeggen.
29-03-2010, 22:33 door Anoniem
Ik ben het volledig eens met de bovenstaande tekst, mits het ontslagrecht aangepast wordt. Op dit moment is er een hele hoge drempel om mensen (vaak met gegronde redenen) te ontslaan. Kleine ondernemers laten gelaten dingen over zich heen komen omdat ze de weg naar de rechtbank te duur, te tijdrovend of anders vinden. Daarnaast is het woud van regelgeving in NL dusdanig dat het bijna onmogelijk wordt voor kleine bedrijven om mensen kostenloos uit hun bedrijf te krijgen. Indien werknemers beginnen te denken alsof hun gezin hun eigen bedrijf is, en snel zonder opdrachtgevers (de werkgevers) kunnen zitten zal hun werkethos veranderen.

Op dit moment ligt de bewijslast volledig bij de werkgever alleen is het bijna verboden om bewijslast te verzamelen (terug in de tijd gaande). Werknemers denken heel vaak dat het bedrijf waar ze voor werken (bijvoorbeeld lidl met zijn hoogopgeleide personeel) ongestraft kunnen leegroven, heel erg ziek kunnen zijn op dagen dat het voetbal op tv is en zo verder.

Ik hoop dat meneer Rietveld eens een paar maanden mag werken in het middenmanagement van een gemiddelde Gamma, Lidl, albert heijn enz.... Als hij dan ook nog zijn eigen spaargeld op het spel zet ben ik benieuwd of hij zijn mening ietwat bijstelt......
30-03-2010, 08:58 door Anoniem
@ Peter :

"Werkgevers mogen hun personeel niet zomaar overal op controleren. Ze mogen bijvoorbeeld niet hun computergebruik registreren, tenzij er een gegrond vermoeden van misbruik is. "

Een proxy mag dus geen logging gebruiken, en log statements op router/firewall access-lists zijn ook niet toegestaan ? Immers zijn dit manieren om verkeer te loggen, waarbij je impliciet computergebruik registreert. Overigens zijn dergelijke zaken niet alleen bruikbaar om activiteit van de gebruiker van een PC te controleren, je kunt er net zo goed malware besmettingen mee opsporen.
30-03-2010, 17:13 door Anoniem
@ anoniem

een proxy mag die wel, maar niet linken aan een persoon, je mag de algemenen logging bekijken en zeggen van bvb 10 meest bezochte websites
maar je mag niet zeggen dat jan en klaas die bezocht hebben
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.