image

Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!

woensdag 7 juli 2021, 09:58 door Arnoud Engelfriet, 15 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Bij ons bedrijf wordt de ICT door één persoon gerund. Vanwege een arbeidsconflict zit deze nu ziek thuis, en wij komen erachter dat allerlei wachtwoorden niet centraal bekend zijn zodat we steeds meer problemen krijgen met beheer en continuïteit. We hebben de wachtwoorden gevraagd aan onze zieke medewerker, maar die wil dat onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst. Wat moeten wij nu doen?

Antwoord: Helaas krijg ik berichten als deze met enige regelmaat, soms gaat het om langdurige ziekte, soms om thuiszitten vanwege pesterijen, soms om een ernstig ongeval. Maar er zijn dus heel veel bedrijven met één iemand die de ICT doet en die als enige de wachtwoorden heeft.

Zoals een wijs HR-adviseur eens tegen me zei, onmisbare mensen moet je meteen ontslaan. Dat is hier denk ik vrij simpel: "ik wil graag de beheer-wachtwoorden en wel nu" is volgens mij een redelijk en normaal dienstbevel om als directeur te geven. Dat weigeren is een grond voor ontslag op staande voet, art. 7:678 lid 2 sub j BW (werkweigering):

Dringende redenen zullen onder andere aanwezig geacht kunnen worden … (j) wanneer hij hardnekkig weigert te voldoen aan redelijke bevelen of opdrachten, hem door of namens de werkgever verstrekt;

Ik houd daarbij wel de slag om de arm dat bij ontslagzaken de rechter altijd alle omstandigheden laat meewegen, en dat je dus altijd op zijn minst discussie krijgt over wat een “redelijk bevel” is. Maar gezien deze context (het bedrijf komt piepend en krakend tot stilstand nu) zie ik wel hoe de werknemer mee moet werken.

Natuurlijk zit je met het praktische probleem dat de werknemer kan blijven weigeren ("jullie ontslaan me toch wel") en eventuele dwangsommen voor lief neemt. Of bij wijze van spreken het vliegtuig naar China neemt en niet meer terugkomt. Dit is waarom ik altijd zeg dat je bij digitale data liever een praktische dan een juridische oplossing wilt. Want als die werknemer niet met een geschil ziek thuis zat, maar onder de tram was gekomen, wat had je dán gedaan om de wachtwoorden terug te krijgen?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
07-07-2021, 11:06 door Anoniem
Klinkt als een organisatie die nog nooit enige poging heeft gedaan tot risicomanagement. Bij een eerste risicoanalyse van voldoende kwaliteit was dit direct naar boven gekomen.
07-07-2021, 20:11 door Erik van Straten
Door Anoniem: Klinkt als een organisatie die nog nooit enige poging heeft gedaan tot risicomanagement. Bij een eerste risicoanalyse van voldoende kwaliteit was dit direct naar boven gekomen.
Exact.

Maar niet alleen dat: in de praktijk betekent dit dat iemand op een eilandje bezig is. Als je heel veel geluk hebt heeft zo iemand veel verstand van alles waar hij/zij zich mee bezig houdt en voert alle werkzaamheden naar verwachting en uitstekend uit. Maar wat als dat niet zo is? En dit geldt natuurlijk niet alleen voor ICT-medewerkers.
07-07-2021, 21:05 door Anoniem
Ik zou inschatten over welke financiële schade (vaststellingsovereenkomst) je het hebt en als deze enigszins marktconform is gelijk afronden en de volgende keer zaken beter aanpakken. Dit is dan een dure en wijze les mag ik hopen.

Ik meld ook nog een nieuw risico bij het afdwingen van deze zaken: systeembeheerder kan binnen een half uurtje, zeker bij online applicaties en online back-ups meer schade aanrichten dat je nu kunt inschatten.
08-07-2021, 09:15 door Anoniem
Door Anoniem: Ik zou inschatten over welke financiële schade (vaststellingsovereenkomst) je het hebt en als deze enigszins marktconform is gelijk afronden en de volgende keer zaken beter aanpakken. Dit is dan een dure en wijze les mag ik hopen.

Ik meld ook nog een nieuw risico bij het afdwingen van deze zaken: systeembeheerder kan binnen een half uurtje, zeker bij online applicaties en online back-ups meer schade aanrichten dat je nu kunt inschatten.

Helemaal eens met deze benadering. Volgens mij is in elk geval een terugkeer van de betreffende medewerker uitgesloten - door beide partijen en alle gebeurtenissen. Eerste vraag van mij zou dan zijn: hoe wil het bedrijf nu verder op ICT gebied? Nieuwe medewerker? Externe partij? Betrek deze in elk geval in je risicoanalyse. Laat iemand als intermediair dienen (bijv. nieuwe dienstverlener of een ex-collega) en die in elk geval de boodschap overbrengen dat het stelselmatig weigeren van de gegevens een grond voor ontslag kan zijn - dan valt de "vaststellingsovereenkomst" voor de betreffende medewerker eigenlijk altijd veel slechter uit, het is een langlopend traject, en in elk geval voor de betrokken medewerker vaak geen prettig traject.

Zorg dat je weer op basis van redelijkheid met elkaar rond de tafel komt, en dat kan alleen als de medewerker begrijpt dat het niet verstrekken van de gegevens zijn onderhandelingspositie mogelijk veel slechter maakt in plaats van beter (wat-ie nu denkt)
08-07-2021, 09:59 door Anoniem
Als je thuis zit en niet kan werken, kun je ook geen wachtwoorden opsnorren.
Je kunt niet gedwongen worden om te werken bij ziekte. Dat artikeltje over werkweigering gaat hier dus helemaal niet op. Er kan hoogstens een reintegratie of mediatie traject worden gestart maar het overhandigen van werkdetails zijn hier niet aan de orde.
Het bedrijf zal op de blaren moeten zitten en de wachtwoorden hacken of nieuwe accounts maken. Als iemand een sleutel had zoekgemaakt was dat ook gebeurd.
09-07-2021, 10:37 door Anoniem
Door Anoniem: Als je thuis zit en niet kan werken, kun je ook geen wachtwoorden opsnorren.
Je kunt niet gedwongen worden om te werken bij ziekte. Dat artikeltje over werkweigering gaat hier dus helemaal niet op. Er kan hoogstens een reintegratie of mediatie traject worden gestart maar het overhandigen van werkdetails zijn hier niet aan de orde.
Het bedrijf zal op de blaren moeten zitten en de wachtwoorden hacken of nieuwe accounts maken. Als iemand een sleutel had zoekgemaakt was dat ook gebeurd.

Ik denk niet dat ik deze opmerking erg slim vind. Als die wachtwoorden niet bekend zijn is de kans groot dat ze bij de systeembeheerder in z'n hoofd zitten (en als er maar 1 is, zal de beheeromgeving ook niet heel groot zijn dus het aantal wachtwoorden beperkt, waarschijnlijk zelfs dezelfde vaker gebruikt), en ik kan het niet als werk betitelen als 'ie zich die moet herinneren en even per beveiligd medium doorsturen.

Zoals gewoonlijk is met wetten die we -zo hoor ik wel eens- allemaal behoren te kennen (wat debiel is, want werkelijk niemand kent de inhoud van alle wetboeken en de interpretatie ervan, wat betekent dat het voor gewone stervelingen gewoon onbegrijpelijk is) zal dit je wel tegenvallen mocht je het ooit in de praktijk willen brengen.
09-07-2021, 15:35 door Anoniem
Door Anoniem: en ik kan het niet als werk betitelen als 'ie zich die moet herinneren en even per beveiligd medium doorsturen.

Als je het niet als werk kan betitelen, kan je de weigering dan wel als werkweigering betitelen?
09-07-2021, 15:36 door Anoniem
Staande voet ontslag is sowieso een gevaarlijk advies. Dit besluit je als werkgever/directie nooit zelfstandig, maar moet je altijd laten toetsen door een arbeidsjurist. (Vandaar wss de: "slag om de arm" in de tekst)

Bij ontslag op staande voet moet je aantonen dat je hier niet mee kon wachten. Ik vraag me af of je deze werknemer daarom wel op staande voet kan ontslaan. Is er die dringende reden of kan dit ook gewoon via de kantonrechter?

Het is zelfs bij diefstal voorgekomen dat ontslag op staande voet geen stand hield. Als je zoiets probeert en het faalt, dan ben je ver van huis.

Daarbij speelt ook mee dat de werknemer ziek is. Bij ziekte is er in principe een ontslagverbod. Daar zijn natuurlijk wel uitzonderingen op, maar bij ziekte moet je extra voorzichtig zijn.

Ik denk dat je eerder moet denken aan het stoppen van de loondoorbetaling omdat de werknemer niet meewerkt. Dit is iets gebruikelijker bij werknemers die ziek zijn.
Daarnaast denk ik dat als je de werknemer laat ontslaan via de kantonrechter, de rechter op kan leggen dat hij toegang moet geven tot de systemen. Eventueel onder laste van een dwangsom. Wellicht komt het anders over als dit via de rechter loopt.

Ik denk dat dit een geval is voor een arbeidsjurist.

Met vriendelijke groet,
Een salarisadministrateur (geen jurist)
09-07-2021, 16:19 door Anoniem
wachtwoord recovery starten, lijkt me niet zo moeilijk, de rest is pech, wachtwoord weg..
huur een IT-er in die zich niet onmisbaar maakt alsof het 1980 is.
12-07-2021, 16:11 door botbot - Bijgewerkt: 12-07-2021, 16:15
Ehh ontslag op staande voet, maar hier zegt de wet ook iets over. Over het ontslaan van mensen als zij ziek thuis zitten. Dat mag in principe niet. Daarnaast hoe ga je dit dan zwaarwegender maken: "Het bedrijf krijgt de wachtwoorden niet." Ok, maar als je hem op staande voet ontslaat, hoe ga je dan bij de rechter aannemelijk maken dat je dan wel je wachtwoorden krijgt? Want daar was het om te doen. Toch? Of was dat ontslag op staande voet dus blijkbaar alleen maar een pressiemiddel en wel handig om van die lastige werknemer af te komen (= de hele reden dat nij ziekte ontslag niet mogelijk is).

En @ 09-07-2021, 15:36 door Anoniem
Daarnaast denk ik dat als je de werknemer laat ontslaan via de kantonrechter, de rechter op kan leggen dat hij toegang moet geven tot de systemen. Eventueel onder laste van een dwangsom. Wellicht komt het anders over als dit via de rechter loopt.

Maar dan beland je in het probleem van: "Werknemer zit ziek, waarschijnlijk overspannen, thuis. En kan in die toestand simpelweg zich niet herinneren wat de wachtwoorden waren".
12-07-2021, 16:20 door botbot - Bijgewerkt: 12-07-2021, 16:22
Door Anoniem:
Door Anoniem: en ik kan het niet als werk betitelen als 'ie zich die moet herinneren en even per beveiligd medium doorsturen.

Als je het niet als werk kan betitelen, kan je de weigering dan wel als werkweigering betitelen?

Sterker nog, je kan als de werknemer met een burnout zwaar overspannen thuis zit het vrij lastig aantoonbaar maken welke werkdruk hij ondervind van het "even moeten opsnorren van de wachtwoorden". Ja sure, ik snap ook wel dat het echt wel te doen is zou je zeggen, maar sucess om een werknemer die door zijn wekzaamheden/werkomgeving overspannen thuis zit via de rechter te dwingen om zich bezig te gaan houden met werkzamenheden van datzelfde bedrijf.

Als ie echt kwaad wil, is ie ze gewoon vergeten. En daar kun je moeilijk een dwangsom op zetten. Je kunt denk ik als bedrijf beter gewoon een goede oplossing zoeken waar beide partijen tevreden mee zijn.
16-07-2021, 00:29 door Anoniem
Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!
< Dit is toch simpelweg afpersing?
19-07-2021, 12:20 door Anoniem
Door Anoniem: Help, onze systeembeheerder houdt de wachtwoorden achter tot hij afgekocht is!
< Dit is toch simpelweg afpersing?

Hij wil dit een "onderdeel maken van de schikking/vaststelling ontbinding arbeidsovereenkomst"
Met een beetje geluk heeft hij dit verzoek schriftelijk kenbaar gemaakt en kun je juridische stappen zetten.
27-07-2021, 00:05 door Anoniem
Door Anoniem: Ik meld ook nog een nieuw risico bij het afdwingen van deze zaken: systeembeheerder kan binnen een half uurtje, zeker bij online applicaties en online back-ups meer schade aanrichten dat je nu kunt inschatten.
Die kan bij zo'n verzoek om wachtwoorden natuurlijk net zo'n fantastisch (en selectief) geheugen hebben als onze PM onlangs nog.
01-01-2022, 01:02 door Anoniem
Wat is er mis met wachtwoorden in effectieve kluis breek ze open je hebt ze.
Maar hr mensen die dergelijke uitspraken doen "onmisbare mensen onmiddelijk onslaan" Ga je zeker niet houden. Er zijn nu eenmaal mensen die meer weten dan de gemiddelde ict-mens. Zou je die ene die wel werkt tov de ander die maar wat op facebrol of ander bezigheidstherapie zitten ontslaan ik dacht het niet. Ik heb ook al op bedrijven gekomen waar je om zachts te zeggen moets opletten dat het niet te moeilijk werd. Dan kun je na zon werkdag wel af en toe eens vloeken.

Geef het bedrijf en ik zal die eens snel hun wachtwoorden geven onder voorwaard dat alles op pappier staat om geen nare gevolgen te hebben nadien.(en meestal kan je gewoon de leverancier hierover aanspreken)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.