Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onlangs heeft mijn werkgever nieuw beveiligingsbeleid uitgebracht, dat alle werknemers moeten ondertekenen. In het nieuwe beleid staat dat werknemers in het geval van een HR-onderzoek of een vermoedelijke schending van het bedrijfsbeleid ermee instemmen dat het bedrijf “indien nodig een forensisch onderzoek mag uitvoeren, inclusief naar persoonlijke apparaten”. Is dat legaal?
Antwoord: Om maar met dat tekenen te beginnen, het voegt buitengewoon weinig toe om werknemers een handtekening te laten zetten onder welk bedrijfsbeleid dan ook. Hooguit kun je daarmee bewijzen dat de werknemer het gezien heeft, al weet ik weinig situaties waarin dat écht van belang is.
Uit handtekeningen wordt vaak een akkoord afgeleid, en dat gaat hem hier zeker niet worden. Die handtekening is niet vrijelijk gezet, men is immers letterlijk verplicht om te tekenen. Juridisch gezien ontbreekt dan de wil op het aangaan van een overeenkomst, het geven van toestemming of wat de werkgever maar hoopte te bereiken. En dan is het ding juridisch niet bindend.
Zou je het eenzijdig kunnen opleggen? Die handtekening is voor de vorm, even de schrik erin jagen, laten zien dat iedereen tekent dus verzet heeft geen zin, ja gezellig bedrijf zou dat zijn. Maar de echte vraag is dan: mag je als werkgever bij een onderzoek jezelf toegang verschaffen tot allerlei apparaten?
Het antwoord komt neer op "als dat écht nodig is gezien het concrete bedrijfsbelang in de specifieke zaak en je geen andere manieren hebt om aan dat belang te komen". Zomaar wekelijks alle laptops doorsnuffelen op mogelijke overtredingen is natuurlijk niet in orde, bij een specifieke verdenking van fraude/verduistering door de werknemer de laptop gericht doorzoeken op bewijs is een heel ander verhaal.
Deze zaak uit 2014 maakt een duidelijke afweging. Een collega stuurde WhatsApp-berichten van de werknemer door naar de directie. Deze vond de inhoud zo ernstig dat ze de werknemer direct ontsloegen. Daarbij werd ook de werklaptop doorzocht:
De kantonrechter is van oordeel dat [werkgever], gelet op de verklaring van [collega] en de naar zeggen van [werkgever] door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [werknemer]. [Werkgever] heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van [werkgever], en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [werknemer] tijdens het dienstverband van en met bedrijfsmiddelen van [werkgever] heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van [werkgever], van [collega] verkregen informatie, kan niet worden gezegd dat [werkgever] bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [werknemer] minder belastende, wijze had kunnen plaatsvinden.
Bij dit alles is eventuele toestemming van de werknemer dus niet relevant.
Bij het doorzoeken van privéapparatuur moet je als werkgever nóg terughoudender zijn. Daar heb je immers sowieso niets te zoeken, dus het is moeilijk voorstelbaar dat er dan toch een bedrijfsbelang ontstaat waarmee je in die apparatuur zou moeten. Daar komt bij dat je dan zaken moet doen zoals wachtwoorden raden of beveiliging omzeilen die in principe strafbaar zijn.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.