ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Bij mijn bedrijf kun je thuiswerken met je eigen computer. Nu wil men nagaan of je dan voldoet aan hun security-eisen (anti-virussoftware, bijgewerkte versie van Windows etc.). Wij moeten daartoe de pc laten overnemen met Teamviewer. Werk je niet mee, dan mag je niet (meer) thuiswerken. Kan dat zomaar?
Antwoord: Ook op het werk heb je privacy, zelfs wanneer je je privéapparatuur inzet voor het werk. Je werkgever mag dus niet zomaar neuzen in die apparatuur, al helemaal niet naar zaken die los staan van het werk.
Daar staat tegenover dat bring-your-own-device een gunst is en geen recht, net als thuiswerken met privéapparatuur. En het punt is dat ook bij thuiswerken de werkgever verantwoordelijk is voor de 'gereedschappen' waarmee de werknemer moet werken. Hij moet je dus een werkcomputer meegeven als hij thuiswerken toestaat en een computer nodig is voor het werk.
Staat de werkgever thuiswerken toe én vindt hij het goed dat je privéapparatuur gebruikt, dan kan daar de eis aan worden verbonden dat je die apparatuur netjes beveiligt. En nu wordt het spannend: het naleven of controleren van die eis botst met de privacyverwachting die je hebt op thuisapparatuur. De werkgever mag niet verder kijken dan nodig is voor het werk. Maar hier is dat automatisch rondkijken in de privéomgeving. Hoe pakt dat uit?
Een vergelijking. Een ander aspect van thuiswerken is dat je ook thuis aan een ARBO-compliant werkplek moet kunnen werken. Die moet de werkgever faciliteren, en ook dat zou hij willen controleren. Echter, je hoeft je werkgever niet binnen te laten als hij wil zien of je wel netjes aan je ARBO-compliant werkplek zit. Als we dat doortrekken naar BYOD dan hoef je een werkgever dus niet op je privécomputer te laten.
Sommige werkgevers zeggen: ik controleer het niet, succes met beveiligen en ik stel je wel aansprakelijk als je beveiliging niet genoeg was. Dat mag niet. De wet zegt dat werknemers alleen privé aansprakelijk zijn bij opzet of (zeer) grove nalatigheid, of zelfs ze daarvoor verzekerd zijn. En de lat voor opzet en nalatigheid ligt veel hoger dan "je had je Windows niet bijgewerkt" of "je had niet eens een anti-viruspakket". Dan moet je echt denken aan "ach, die bijlage heet wel CryptoLocker.exe.zip maar wat kan mij nou gebeuren." Dus dat kun je vergeten als werkgever.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.