Juridische vraag: mag baas in mailbox werknemer kijken?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Wij hebben klachten van klanten gehad over één van onze medewerkers. Hij zou rare berichten hebben gestuurd met klachten en scheldpartijen over ons bedrijf! We hebben twee mails gezien waar we heel erg van zijn geschrokken. Nu willen we in zijn mailbox kijken wat hij allemaal nog meer heeft verstuurd, maar we hebben geen ICT-reglement. Wat moeten we nu doen?
Antwoord: Vaste lezers weten het al: ook op je werk heb je privacy, ook in de zakelijke mailbox. Een werkgever moet werknemers vooraf informeren over hoe en wanneer er gemonitord wordt en wanneer men toegang kan verkrijgen tot mailboxen. Dit gebeurt meestal door invoering van een protocol (ook wel ‘Acceptable Use Policy’ of ‘Fair Use Policy’). Een protocol mag privégebruik van ict-faciliteiten niet volledig verbieden, maar mag er wel (redelijke) grenzen aan stellen.
De situaties waarin de werkgever gericht mag kijken of deze grenzen worden overschreden, moeten expliciet worden genoemd. Zo kan meelezen van e-mail gerechtvaardigd zijn als er klachten komen over beledigende mails of verzonden spam. Persoonsgericht monitoren mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en als het hoe en wat is gedocumenteerd in het IT-reglement.
Als er geen reglement is, dan maak je het jezelf nodeloos moeilijk in situaties als deze. Maar gelukkig is het niet compleet onmogelijk om dan iets te doen, zo blijkt uit een recente uitspraak van de rechtbank Rotterdam. In die zaak was ook sprake van een medewerker die rare mails had gestuurd, en daarvoor op staande voet was ontslagen. De werknemer vocht dit aan, onder meer met de stelling dat er geen reglement was, en dat er zelfs niet was gewaarschuwd dat men door zijn mails heen zou gaan.
De rechtbank bevestigt dat je ook in de zakelijke mailbox enige privacy mag verwachten ("zelfs al zijn deze berichten verstuurd vanaf de werkplek van de werknemer"). Doorzoeken van een mailbox vereist dus in principe een duidelijk reglement. Maar, zo bepaalt de rechtbank, zonder reglement kan het soms ook:
[Het is onjuist] dat het een werkgever in het geheel niet is toegestaan om bij het ontbreken van een reglement de e-mailberichten van zijn werknemers te controleren. Wel dienen er in een dergelijk geval extra eisen te worden gesteld aan de vraag of sprake is van een gerechtvaardigd doel en is voldaan aan de proportionaliteitseis.
De rechter vindt dat in dit geval aan die extra zorgvuldigheidseisen voldaan is. Het ging om zakelijke mails aan klanten, waarbij je heel wat minder privacy mag verwachten dan bij een privémailtje aan je partner. Ook speelde er al een langer lopend conflict, waarbij onder meer de vader van deze medewerker (die ook daar werkte) betrokken was. Het doorzoeken van de mailbox op voor dat conflict relevante mails was dus toegestaan, ook zonder protocol.
Het ontslag wordt uiteindelijk wel toegewezen, maar de staande voet was disproportioneel. Aan de andere kant is het gedrag de werknemer wel te verwijten. Daarom wordt op grond van de kantonrechtersformule (C=0,75, voor de ingewijden) een billijkheidsvergoeding toegekend van € 4.873,91.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Met al deze gegevens kun je waarschijnlijk een zeer goed filter kunnen bouwen dat alleen de echt relevante mailtjes naar voren haalt. Het gevaar voor inzage in niet-gerelateerde mail is daardoor nihil.
Peter
Gisteren,10:13 door Arnoud Engelfriet
Werknemer zou rare berichten naar klanten hebben gestuurd.
Multiple choice:
1- gestuurd hebben.
2- gestuurd had.
3- gestuurd heeft.
Zo heb ik het ook altijd geleerd van mijn vader, echter is het toch echt allebei correct. Zie ook hier: http://www.onzetaal.nl/taaladvies/advies/de-afstand-die-is-gelopen-gelopen-is
Wat een slaapverwekkende reactie. Heb je echt niets beters te doen ?
Je kunt iemand die contact met klanten via email moet onderhouden moeilijk het recht ontzeggen om email te versturen, je oplossing is nou niet bepaald praktisch.
Overigens vraag ik mij af of je het ook onacceptabel vindt om zonder toestemming van de gebruiker in de mailbox te kijken wanneer er aanwijzingen zijn van fraude of andere strafbare handelingen. Waarbij het besluit natuurlijk niet door de systeembeheerder genomen wordt, maar door het management (in samenspraak met de ondernemingsraad).
Is de vraag of dit acceptabel is niet heel erg afhankelijk van de situatie ?
Een werkgever mag wel het doen en laten controleren van zijn personeel wat ze uitvoeren met de bedrijfscomputers, maar moet hiervan zijn personeel op de hoogte brengen. Of de inhoud bij ernstige klachten van klanten in de mailbox mag ingekeken worden kan ik me niet echt over uitspreken.
Ik neem aan dat velen onder ons wel een bedrijfs laptop hebben en ja, geeft het maar toe, ook daar wordt mee
prive-gesurfd, al dan niet in de baas zijn tijd. Anders kon je deze bijdrage op de website van security.nl niet
lezen, toch ? :-))
Maar hoe zit het nu hier ? Mag een werkgever een werknemer zijn/haar internet gedrag monitoren, in de baas zijn tijd ?
Arnoud gaf al aan dat iedere bedrijfs medewerker een (beperkte) mate van privacy geniet tijdens zijn werkzaamheden
en bij gebruikmaking van het bedrijfsnetwerk.
En wat als hij/zij ingelogd is van thuis uit en tussendoor ook wat prive-zaken afhandelt en prive zit te websurfen ? Iedereen weet eigenlijk wel dat in het laatste geval de werkgever dan in overtreding is wanneer hij/zij deze in de laatste situatie toch dit controle-middel toepast. Waar ligt die grens precies ? De systeembeheerders wanen zich immers veilig en als ze toch strafbare feiten plegen, moet dit wel eerst aantoonbaar gemaakt worden.
Om werknemers hier beter tegen te beschermen mijn volgende vragen; welke (remote monitoring) software applicaties worden hiervoor gebruikt ? DPI bijvoorbeeld ? Want wat als hij thuis gewoon wat aan het websurfen is maar wel ingelogd is via het vpn netwerk, s'avonds of in het weekend in zijn eigen tijd ? Hoe kan een werknemer dit ongewenste gedrag detecteren ? Welke software kan men daarvoor gebruiken ? Systeembeheerders zijn niet altijd te vertrouwen of krijgen juist teveel vertrouwen en/of bevoegdheden van hun baas.
Tussen hun werk door wordt heus wel eens een keer "meegekeken" naar wat medewerkers online allemaal uitspoken.
Dit laatste heb ik zelf bij mijn eigen werkgever op de afdeling systeembeheer/support meegekregen, toen ik een keer die afdeling bezocht i.v.m. software installaties van mijn laptop.
Of zij aanwezig zijn in het bedrijf of vanaf thuis inloggen via het vpn netwerk, dat maakt dan niet zoveel uit.
Het is te naief te denken dat zoiets nooit gebeurd. En misschien klink ik nu wel erg paranoia, maar daarmee kun je wel overleven in de digi-jungle, nl. door steeds alert te blijven !
Arnoud, wat zegt de wet hierover ? Hoe zit dit Juridisch in elkaar als je vermoedens mocht hebben van eventueel misbruik van bevoegdheden door b.v. medewerkers van afdeling systeembeheer van je werkgever, anders waarvoor ze bedoeld zijn zoals hierboven uitgelegd ?! Welke stappen kun je als werknemer hiertegen ondernemen en hoe kun je er tegen beschermen ?
@Anoniem 21:39: de uitspraak vind je op http://www.rechtspraak.nl/ljn.asp?ljn=BU4848
@Anoniem 07:01: ik maak die samenvattingen niet. Bovendien weet je bij gemailde vragen nooit wie er werkelijk gelijk heeft. (Helaas blijken mensen regelmatig 'gefilterde' versies van het verhaal te presenteren om zo van mij een gunstige reactie te krijgen die de andere partij dan triomfantelijk onder de neus krijgt.)
@Anoniem 09:31: Ik adviseer altijd om alleen generiek te monitoren, dus niet persoonsgericht volgen maar alleen statistieken. Eventuele ongewenste sites die dan veel bezocht blijken, kun je blokkeren. Zitten daar echt problematische sites tussen (porno bijvoorbeeld) dan kun je op dat moment besluiten nader onderzoek in te stellen.
Systeembeheerders hebben een wettelijke geheimhoudingsplicht (art. 273d Strafrecht). Ze mogen wel meekijken als dat nodig is voor hun werk maar dan moeten ze hun mond houden daarover.
Als er een grondslag is voor het meekijken, bv. in het internetreglement staat dat dit mag én er is de juiste aanleiding, dan mag de systeembeheerder natuurlijk wel meekijken en de gegevens aan de juiste partij afgeven. Waarbij ik meteen toevoeg dat het niet de taak is van de systeembeheerder om in zijn eentje te beslissen of het reglement wordt overtreden. Betrek dus partijen zoals HR en Legal in geval van twijfel.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
