Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Op ons bedrijf overwegen we bring your own device (BYOD) in te voeren. Mensen kunnen dan hun bedrijfsmail (Exchange) koppelen aan privéapparatuur en krijgen toegang tot bedrijfsbestanden. Maar hoe zit het met aansprakelijkheid? Stel iemand gebruikt illegale software op zijn privélaptop maar wel op het werk, wie is dan aansprakelijk? Wat als er vanaf de privélaptop virussen het bedrijfsnetwerk op komen - of omgekeerd? Zijn wij aansprakelijk voor beschadigde of gecrashte privélaptops als de oorzaak aan het bedrijf te herleiden is?
Antwoord: BYOD is een aantrekkelijk concept, maar zoals altijd bij nieuwe ICT-gerelateerde concepten begint iedereen al heel snel te stuiteren over aansprakelijkheid en risico's. Ik verwacht dan ook dat er binnenkort een juridisch congres over BYOD wordt georganiseerd waar je in twee dagen van hooggekwalificeerde docenten de ins en outs van dit juridisch nieuwe fenomeen mag vernemen.
Alle gekheid op een stokje: natuurlijk zitten er juridische risico's aan BYOD, maar omdat het zo nieuw is, is het een open vraag hoe ver deze gaan.
Laten we bij nul beginnen. De werknemer en werkgever moeten zich "goed" naar elkaar gedragen (art. 7:611 BW). De werkgever mag daarbij redelijke instructies geven over hoe het werk moet worden uitgevoerd (art. 7:660 BW).
De werkgever kan bijvoorbeeld de werktijden eenzijdig vaststellen, voorschrijven dat je een veiligheidshelm op moet als de situatie dat vereist en kan bepalen dat je wachtwoord minstens 15 tekens lang moet zijn. De werknemer moet dergelijke instructies opvolgen. Werkgevers doen dit vaak met een arbeidsreglement, en het is dus een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan.
Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de aansprakelijke partij. Zo bepaalt de wet dat de werkgever de "gereedschappen" waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden (art. 7:658 BW).
Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het BYOD van de werknemer schade berokkent. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.
Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid (art. 7:611 BW).
Dit geldt ook naar derden toe (art. 6:170 BW) - als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Net zo is de werkgever aansprakelijk als mijn privélaptop door hun fout wordt beschadigd.
Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met een BYOD bedrijfsmail leest, waarna een Outlookworm op dat BYOD een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering want hij was werkmail aan het afhandelen. Een werknemer die games gaat zitten downloaden van Usenet, handelt niet binnen de arbeidsovereenkomst want dat behoort totaal niet tot zijn werk. Hij is dus zelf aansprakelijk voor die schade.
Bij illegale bedrijfssoftware ligt het moeilijker. Een werknemer die een gekraakte Photoshop (of een legitieme Windows 7 Home Edition, die immers niet zakelijk mag worden gebruikt) op een BYOD inzet bij het werk, is bezig met de uitvoering van zijn werk. En dan ligt de aansprakelijkheid voor de missende licenties bij de werkgever. Die moet dus zorgen dat de licenties van de op de BYOD aanwezige software het gebruik op het werk toestaan.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.