Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Bij ons bedrijf wordt de ICT door één persoon gerund. Vanwege een arbeidsconflict zit deze nu ziek thuis, en wij komen erachter dat allerlei wachtwoorden niet centraal bekend zijn zodat we steeds meer problemen krijgen met beheer en continuïteit. We hebben de wachtwoorden gevraagd aan onze zieke medewerker, maar die wil dat onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst. Wat moeten wij nu doen?
Antwoord: Helaas krijg ik berichten als deze met enige regelmaat, soms gaat het om langdurige ziekte, soms om thuiszitten vanwege pesterijen, soms om een ernstig ongeval. Maar er zijn dus heel veel bedrijven met één iemand die de ICT doet en die als enige de wachtwoorden heeft.
Zoals een wijs HR-adviseur eens tegen me zei, onmisbare mensen moet je meteen ontslaan. Dat is hier denk ik vrij simpel: "ik wil graag de beheer-wachtwoorden en wel nu" is volgens mij een redelijk en normaal dienstbevel om als directeur te geven. Dat weigeren is een grond voor ontslag op staande voet, art. 7:678 lid 2 sub j BW (werkweigering):
Dringende redenen zullen onder andere aanwezig geacht kunnen worden … (j) wanneer hij hardnekkig weigert te voldoen aan redelijke bevelen of opdrachten, hem door of namens de werkgever verstrekt;
Ik houd daarbij wel de slag om de arm dat bij ontslagzaken de rechter altijd alle omstandigheden laat meewegen, en dat je dus altijd op zijn minst discussie krijgt over wat een “redelijk bevel” is. Maar gezien deze context (het bedrijf komt piepend en krakend tot stilstand nu) zie ik wel hoe de werknemer mee moet werken.
Natuurlijk zit je met het praktische probleem dat de werknemer kan blijven weigeren ("jullie ontslaan me toch wel") en eventuele dwangsommen voor lief neemt. Of bij wijze van spreken het vliegtuig naar China neemt en niet meer terugkomt. Dit is waarom ik altijd zeg dat je bij digitale data liever een praktische dan een juridische oplossing wilt. Want als die werknemer niet met een geschil ziek thuis zat, maar onder de tram was gekomen, wat had je dán gedaan om de wachtwoorden terug te krijgen?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Maar niet alleen dat: in de praktijk betekent dit dat iemand op een eilandje bezig is. Als je heel veel geluk hebt heeft zo iemand veel verstand van alles waar hij/zij zich mee bezig houdt en voert alle werkzaamheden naar verwachting en uitstekend uit. Maar wat als dat niet zo is? En dit geldt natuurlijk niet alleen voor ICT-medewerkers.
Ik meld ook nog een nieuw risico bij het afdwingen van deze zaken: systeembeheerder kan binnen een half uurtje, zeker bij online applicaties en online back-ups meer schade aanrichten dat je nu kunt inschatten.
Ik meld ook nog een nieuw risico bij het afdwingen van deze zaken: systeembeheerder kan binnen een half uurtje, zeker bij online applicaties en online back-ups meer schade aanrichten dat je nu kunt inschatten.
Helemaal eens met deze benadering. Volgens mij is in elk geval een terugkeer van de betreffende medewerker uitgesloten - door beide partijen en alle gebeurtenissen. Eerste vraag van mij zou dan zijn: hoe wil het bedrijf nu verder op ICT gebied? Nieuwe medewerker? Externe partij? Betrek deze in elk geval in je risicoanalyse. Laat iemand als intermediair dienen (bijv. nieuwe dienstverlener of een ex-collega) en die in elk geval de boodschap overbrengen dat het stelselmatig weigeren van de gegevens een grond voor ontslag kan zijn - dan valt de "vaststellingsovereenkomst" voor de betreffende medewerker eigenlijk altijd veel slechter uit, het is een langlopend traject, en in elk geval voor de betrokken medewerker vaak geen prettig traject.
Zorg dat je weer op basis van redelijkheid met elkaar rond de tafel komt, en dat kan alleen als de medewerker begrijpt dat het niet verstrekken van de gegevens zijn onderhandelingspositie mogelijk veel slechter maakt in plaats van beter (wat-ie nu denkt)
Je kunt niet gedwongen worden om te werken bij ziekte. Dat artikeltje over werkweigering gaat hier dus helemaal niet op. Er kan hoogstens een reintegratie of mediatie traject worden gestart maar het overhandigen van werkdetails zijn hier niet aan de orde.
Het bedrijf zal op de blaren moeten zitten en de wachtwoorden hacken of nieuwe accounts maken. Als iemand een sleutel had zoekgemaakt was dat ook gebeurd.
Je kunt niet gedwongen worden om te werken bij ziekte. Dat artikeltje over werkweigering gaat hier dus helemaal niet op. Er kan hoogstens een reintegratie of mediatie traject worden gestart maar het overhandigen van werkdetails zijn hier niet aan de orde.
Het bedrijf zal op de blaren moeten zitten en de wachtwoorden hacken of nieuwe accounts maken. Als iemand een sleutel had zoekgemaakt was dat ook gebeurd.
Ik denk niet dat ik deze opmerking erg slim vind. Als die wachtwoorden niet bekend zijn is de kans groot dat ze bij de systeembeheerder in z'n hoofd zitten (en als er maar 1 is, zal de beheeromgeving ook niet heel groot zijn dus het aantal wachtwoorden beperkt, waarschijnlijk zelfs dezelfde vaker gebruikt), en ik kan het niet als werk betitelen als 'ie zich die moet herinneren en even per beveiligd medium doorsturen.
Zoals gewoonlijk is met wetten die we -zo hoor ik wel eens- allemaal behoren te kennen (wat debiel is, want werkelijk niemand kent de inhoud van alle wetboeken en de interpretatie ervan, wat betekent dat het voor gewone stervelingen gewoon onbegrijpelijk is) zal dit je wel tegenvallen mocht je het ooit in de praktijk willen brengen.
Als je het niet als werk kan betitelen, kan je de weigering dan wel als werkweigering betitelen?
Bij ontslag op staande voet moet je aantonen dat je hier niet mee kon wachten. Ik vraag me af of je deze werknemer daarom wel op staande voet kan ontslaan. Is er die dringende reden of kan dit ook gewoon via de kantonrechter?
Het is zelfs bij diefstal voorgekomen dat ontslag op staande voet geen stand hield. Als je zoiets probeert en het faalt, dan ben je ver van huis.
Daarbij speelt ook mee dat de werknemer ziek is. Bij ziekte is er in principe een ontslagverbod. Daar zijn natuurlijk wel uitzonderingen op, maar bij ziekte moet je extra voorzichtig zijn.
Ik denk dat je eerder moet denken aan het stoppen van de loondoorbetaling omdat de werknemer niet meewerkt. Dit is iets gebruikelijker bij werknemers die ziek zijn.
Daarnaast denk ik dat als je de werknemer laat ontslaan via de kantonrechter, de rechter op kan leggen dat hij toegang moet geven tot de systemen. Eventueel onder laste van een dwangsom. Wellicht komt het anders over als dit via de rechter loopt.
Ik denk dat dit een geval is voor een arbeidsjurist.
Met vriendelijke groet,
Een salarisadministrateur (geen jurist)
huur een IT-er in die zich niet onmisbaar maakt alsof het 1980 is.
En @ 09-07-2021, 15:36 door Anoniem
Maar dan beland je in het probleem van: "Werknemer zit ziek, waarschijnlijk overspannen, thuis. En kan in die toestand simpelweg zich niet herinneren wat de wachtwoorden waren".
Als je het niet als werk kan betitelen, kan je de weigering dan wel als werkweigering betitelen?
Sterker nog, je kan als de werknemer met een burnout zwaar overspannen thuis zit het vrij lastig aantoonbaar maken welke werkdruk hij ondervind van het "even moeten opsnorren van de wachtwoorden". Ja sure, ik snap ook wel dat het echt wel te doen is zou je zeggen, maar sucess om een werknemer die door zijn wekzaamheden/werkomgeving overspannen thuis zit via de rechter te dwingen om zich bezig te gaan houden met werkzamenheden van datzelfde bedrijf.
Als ie echt kwaad wil, is ie ze gewoon vergeten. En daar kun je moeilijk een dwangsom op zetten. Je kunt denk ik als bedrijf beter gewoon een goede oplossing zoeken waar beide partijen tevreden mee zijn.
< Dit is toch simpelweg afpersing?
< Dit is toch simpelweg afpersing?
Hij wil dit een "onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst"
Met een beetje geluk heeft hij dit verzoek schriftelijk kenbaar gemaakt en kun je juridische stappen zetten.
Maar hr mensen die dergelijke uitspraken doen "onmisbare mensen onmiddelijk onslaan" Ga je zeker niet houden. Er zijn nu eenmaal mensen die meer weten dan de gemiddelde ict-mens. Zou je die ene die wel werkt tov de ander die maar wat op facebrol of ander bezigheidstherapie zitten ontslaan ik dacht het niet. Ik heb ook al op bedrijven gekomen waar je om zachts te zeggen moets opletten dat het niet te moeilijk werd. Dan kun je na zon werkdag wel af en toe eens vloeken.
Geef het bedrijf en ik zal die eens snel hun wachtwoorden geven onder voorwaard dat alles op pappier staat om geen nare gevolgen te hebben nadien.(en meestal kan je gewoon de leverancier hierover aanspreken)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
