Mag een werkgever zich bij een onderzoek toegang verschaffen tot persoonlijke apparaten?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onlangs heeft mijn werkgever nieuw beveiligingsbeleid uitgebracht, dat alle werknemers moeten ondertekenen. In het nieuwe beleid staat dat werknemers in het geval van een HR-onderzoek of een vermoedelijke schending van het bedrijfsbeleid ermee instemmen dat het bedrijf “indien nodig een forensisch onderzoek mag uitvoeren, inclusief naar persoonlijke apparaten”. Is dat legaal?
Antwoord: Om maar met dat tekenen te beginnen, het voegt buitengewoon weinig toe om werknemers een handtekening te laten zetten onder welk bedrijfsbeleid dan ook. Hooguit kun je daarmee bewijzen dat de werknemer het gezien heeft, al weet ik weinig situaties waarin dat écht van belang is.
Uit handtekeningen wordt vaak een akkoord afgeleid, en dat gaat hem hier zeker niet worden. Die handtekening is niet vrijelijk gezet, men is immers letterlijk verplicht om te tekenen. Juridisch gezien ontbreekt dan de wil op het aangaan van een overeenkomst, het geven van toestemming of wat de werkgever maar hoopte te bereiken. En dan is het ding juridisch niet bindend.
Zou je het eenzijdig kunnen opleggen? Die handtekening is voor de vorm, even de schrik erin jagen, laten zien dat iedereen tekent dus verzet heeft geen zin, ja gezellig bedrijf zou dat zijn. Maar de echte vraag is dan: mag je als werkgever bij een onderzoek jezelf toegang verschaffen tot allerlei apparaten?
Het antwoord komt neer op "als dat écht nodig is gezien het concrete bedrijfsbelang in de specifieke zaak en je geen andere manieren hebt om aan dat belang te komen". Zomaar wekelijks alle laptops doorsnuffelen op mogelijke overtredingen is natuurlijk niet in orde, bij een specifieke verdenking van fraude/verduistering door de werknemer de laptop gericht doorzoeken op bewijs is een heel ander verhaal.
Deze zaak uit 2014 maakt een duidelijke afweging. Een collega stuurde WhatsApp-berichten van de werknemer door naar de directie. Deze vond de inhoud zo ernstig dat ze de werknemer direct ontsloegen. Daarbij werd ook de werklaptop doorzocht:
De kantonrechter is van oordeel dat [werkgever], gelet op de verklaring van [collega] en de naar zeggen van [werkgever] door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [werknemer]. [Werkgever] heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van [werkgever], en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [werknemer] tijdens het dienstverband van en met bedrijfsmiddelen van [werkgever] heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van [werkgever], van [collega] verkregen informatie, kan niet worden gezegd dat [werkgever] bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [werknemer] minder belastende, wijze had kunnen plaatsvinden.
Bij dit alles is eventuele toestemming van de werknemer dus niet relevant.
Bij het doorzoeken van privéapparatuur moet je als werkgever nóg terughoudender zijn. Daar heb je immers sowieso niets te zoeken, dus het is moeilijk voorstelbaar dat er dan toch een bedrijfsbelang ontstaat waarmee je in die apparatuur zou moeten. Daar komt bij dat je dan zaken moet doen zoals wachtwoorden raden of beveiliging omzeilen die in principe strafbaar zijn.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Teken helemaal niks. Dag hoor.
Teken helemaal niks. Dag hoor.
Is mij ook eens gebeurd, zij het op een andere manier.
Ik werd gedwongen tegen een lager loon te werken door mijn werkgever, maar ik protesteerde hiertegen. Toch kreeg ik een slechter contract voor mijn neus geduwd dat ik even moest ondertekenen (onder dwang)
Nadat ik de organisatie was uitgewerkt, heb ik bij het UWV niet het laatste, maar het voorlaatste contract opgestuurd. Mijn laatste contract was immers niet geldig door de dwang van mijn werkgever.
Ik heb gelukkig een behoorlijke ontslagvergoeding meegekregen en ook mijn WW was op een rechtvaardige manier aan mij toegekend.
Je kunt met een overeenkomst niet je eigen wetten maken. Dat is onzin en lulkoek. Per overeenkomst.
De wet is de wet en de persoonlijke vrijheid is de persoonlijke vrijheid. Daar worden wetten juist voor gemaakt. Als het goed is.
Als de baas daar niet mee uit de voeten kan, dan is dat zijn probleem. Niet het mijne.
Hij heeft niets op mijn prive apparatuur te zoeken.
Dan past hij (zonodig) zijn beveiligingsbeleid maar aan dat er alleen op apparatuur die door de baas verstrekt is, gewerkt en gecommuniceerd mag worden. Dan heb je dat probleem ook niet.
Zeker in deze tijd, met krapte op de arbeidsmarkt, hoef je als werknemer niet alles over je kant te laten gaan.
Voor deze baas 10 anderen.
Teken helemaal niks. Dag hoor.
Sommige bedrijven willen graag "slaven".
Hoop dat dit strafbaar is.
Dat kun je doorvoeren naar het hele arbeidscontract - zonder handtekening krijg je dat salaris (en de baan) niet.
Of een koopakte van je huis , of van je huur/lease contract.
En wat minder ver gezocht : relatie/concurrentie bedingen , mits goed opgesteld, blijven typisch overeind.
Nu is het verschil misschien dat al deze overeenkomsten "bij aanvang" totstand komen, en je dus weet waar je in stapt - of niet.
Het ligt misschien iets anders bij semi-gedwongen tekenen in reeds bestaand dienstverband.
Maar inderdaad , op dat punt zou wat toelichting van Arnoud welke verschillen belangrijk zijn als het gaat om handtekeningen die gelden of niet gelden best welkom zijn.
Teken helemaal niks. Dag hoor.
Zoek.maar een werkgever die dit niet doet of de mogelijkheden ertoe niet hebben ingeregeld. Ik werk zelf als ISO bij een werkgever en ICT organisaties hebben deze mogelijkheden simpelweg nodig om het bedrijf én diens medewerkers veilig te houden.
Dromen mag altijd
Maar de geheimhouding moet dan binnen de wettelijke grenzen blijven. Dus wel "ik bevestig hierbij dat ik besef dat project X van het allergrootste belang is voor de organisatie en dat niemand behalve A en B hiervan mogen weten". Maar niet "ik zal een boete betalen uit privé als ik een ander hierover informeer".
Bij indiensttreding is het een iets ander verhaal. Dan is die NDA gewoon een bijlage bij de arbeidsovereenkomst en dan mag er meer, omdat je op dat moment nog vrij kunt kiezen of je de aov wil aangaan of niet. Maar dan hebben we het echt over een sollicitatie, niet over een promotie of wijziging van functie waarbij dan ineens geheimhouding van belang is geworden.
[..]
Maar de geheimhouding moet dan binnen de wettelijke grenzen blijven. Dus wel "ik bevestig hierbij dat ik besef dat project X van het allergrootste belang is voor de organisatie en dat niemand behalve A en B hiervan mogen weten". Maar niet "ik zal een boete betalen uit privé als ik een ander hierover informeer".
Afgaande op media berichten - Het wordt blijkbaar wel geprobeerd bij reality shows , dergelijke zwijg-clausules met een boetebeding.
Ook - afgaande op media - blijkbaar in topsport contracten - voetballers die een financiele boete opgelegd krijgen door hun club, of F1 coureurs door de FIA .
Nu durf ik toch niet op voorhand te stellen dat de clausule per definitie ongeldig zal zijn .
Uiteindelijk - als je schade toebrengt , ben je daarvoor aansprakelijk.
Het is erg plausibel dat voor de uitzending het resultaat openbaren (wie is de mol , voice winnaar e.d.) inderdaad schade toebrengt.
Ook voor diverse zakelijke geheimhoudingen kan schade evident zijn als ze lekken.
Ook zonder een expliciete clausule zou je daarvoor , lijkt me , aansprakelijk gesteld kunnen worden - en wellicht succesvol.
[..]
Maar de geheimhouding moet dan binnen de wettelijke grenzen blijven. Dus wel "ik bevestig hierbij dat ik besef dat project X van het allergrootste belang is voor de organisatie en dat niemand behalve A en B hiervan mogen weten". Maar niet "ik zal een boete betalen uit privé als ik een ander hierover informeer".
Afgaande op media berichten - Het wordt blijkbaar wel geprobeerd bij reality shows , dergelijke zwijg-clausules met een boetebeding.
Ook - afgaande op media - blijkbaar in topsport contracten - voetballers die een financiele boete opgelegd krijgen door hun club, of F1 coureurs door de FIA .
Nu durf ik toch niet op voorhand te stellen dat de clausule per definitie ongeldig zal zijn .
Uiteindelijk - als je schade toebrengt , ben je daarvoor aansprakelijk.
Het is erg plausibel dat voor de uitzending het resultaat openbaren (wie is de mol , voice winnaar e.d.) inderdaad schade toebrengt.
Ook voor diverse zakelijke geheimhoudingen kan schade evident zijn als ze lekken.
Ook zonder een expliciete clausule zou je daarvoor , lijkt me , aansprakelijk gesteld kunnen worden - en wellicht succesvol.
Maar in die gevallen kun je het "dienstverband" nog weigeren aan te gaan.
Dus niet tekenen en niet meedoen aan:
- de uitzending
- de topsport
Ik heb een werk laptop en een prive laptop, de werk laptop gebruik ik niet prive en de prive laptop komt niet op me werk.
De werklaptop is ook betaald door de werkgever en daar kunnen ze mee doen wat ze willen.
Mijn telefoon is ook van de zaak en daar hou ik ook rekening mee, ondanks dat ik die ook prive gebruik om te bellen en te navigeren (in de bedrijfsauto die ik ook prive gebruik) etc ben ik mij er van bewust dat de werkgever deze data in kan zien.
Bewustwording en een beetje logisch denken zijn meestal genoeg om dit soort dingen goed te scheiden en hier achteraf geen gedoe over te krijgen.
Bewustwording en een beetje logisch denken zijn meestal genoeg om dit soort dingen goed te scheiden en hier achteraf geen gedoe over te krijgen.
Straks staat er in het bedrijfsbeleid iets over "niet geassocieerd willen worden met porno, extreem-rechts oid" en word jouw prive laptop doorzocht om te kijken of je wel eens naar pornhub gaat, een account op een xxx dating site hebt, of dat je wellicht een social media account hebt waar je de PVV support".
Is het dan nog zo duidelijk en goed te scheiden?
Als je 's nachts wakker wordt en je werkgever staat doodvrolijk bij je in te breken en is door al je kastjes aan het snuffelen, dat kan ook met geen enkel (arbeids)contract onstrafbaar worden gemaakt.
Welnee - met de juiste toestemming is rondkijken op een ander systeem helemaal geen computervredebreuk.
Dat is precies wat je als pentester laat ondertekenen : een verklaring dat je toestemming krijgt om in te breken .
Om het computervrede breuk te maken heb je een twee traps raket nodig : die toestemming moet vernietigd worden , en pas dan zou er sprake kunnen zijn van computervrede breuk.
Als je 's nachts wakker wordt en je werkgever staat doodvrolijk bij je in te breken en is door al je kastjes aan het snuffelen, dat kan ook met geen enkel (arbeids)contract onstrafbaar worden gemaakt.
Jij zou blijkbaar een heel zenuwachtige fysieke pentester zijn...
Dat is precies wat je als pentester laat ondertekenen : een verklaring dat je toestemming krijgt om in te breken .
Ik zou aan Arnoud Engelfriet willen vragen hoe dit zich dan verhoudt tot de uitspraken van bestuursrechters in de zaken m.b.t. privacy en de OV-chipkaart, waarin de bestuursrechters (tot en met de Raad van State toe, op 10 november 2021) oordeelden dat door NS eenzijdig (dus zonder instemming van de klant) opgestelde algemene voorwaarden toch leidden tot een "overeenkomst" in de zin van het Nederlandse burgerlijk wetboek, en daarmee tot een wettelijke grondslag om persoonlijke gegevens van treinreizigers te verzamelen (artikel 6 lid 1 onder b AVG).
Eiser (een treinreiziger die zijn privacy wilde behouden) had expliciet aangegeven dat er geen sprake was van een geldige overeenkomst, althans niet in de zin van de AVG ("ondubbelzinnige, vrijwillige instemming"), omdat er sprake was van een "wilsgebrek" van de kant van de reiziger, die geen andere keus had dan stilzwijgend berusten (dus niet eens een handtekening zetten), omdat hij anders geen gebruik meer kon maken van het openbaar vervoer.
Is er naar jouw mening in die uitspraak van de RvS dan sprake van een rechterlijke dwaling?
Of andersom, zou een werkgever het wilsgebrek kunnen omzeilen door een soort "algemene arbeidsvoorwaarden" op te stellen waarin alle werknemers geacht worden te berusten? Zou een civiele rechter de inbreuk op de privacy dan goedkeuren als het gaat om het doorzoeken van persoonlijke apparaten?
Of hebben werknemers een veel sterkere privacybescherming ten opzichte van hun werkgever, dan reizigers ten opzichte van een openbaar vervoerbedrijf dat een monopoliepositie heeft op het gebied van railvervoer? Zo ja, wat is dan de reden daarvoor of de oorzaak daarvan?
M.J.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
