image

Juridische vraag: is baas verantwoordelijk voor illegale software op privélaptop?

woensdag 21 maart 2012, 10:11 door Arnoud Engelfriet, 30 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Op ons bedrijf overwegen we bring your own device (BYOD) in te voeren. Mensen kunnen dan hun bedrijfsmail (Exchange) koppelen aan privéapparatuur en krijgen toegang tot bedrijfsbestanden. Maar hoe zit het met aansprakelijkheid? Stel iemand gebruikt illegale software op zijn privélaptop maar wel op het werk, wie is dan aansprakelijk? Wat als er vanaf de privélaptop virussen het bedrijfsnetwerk op komen - of omgekeerd? Zijn wij aansprakelijk voor beschadigde of gecrashte privélaptops als de oorzaak aan het bedrijf te herleiden is?

Antwoord: BYOD is een aantrekkelijk concept, maar zoals altijd bij nieuwe ICT-gerelateerde concepten begint iedereen al heel snel te stuiteren over aansprakelijkheid en risico's. Ik verwacht dan ook dat er binnenkort een juridisch congres over BYOD wordt georganiseerd waar je in twee dagen van hooggekwalificeerde docenten de ins en outs van dit juridisch nieuwe fenomeen mag vernemen.

Alle gekheid op een stokje: natuurlijk zitten er juridische risico's aan BYOD, maar omdat het zo nieuw is, is het een open vraag hoe ver deze gaan.

Laten we bij nul beginnen. De werknemer en werkgever moeten zich "goed" naar elkaar gedragen (art. 7:611 BW). De werkgever mag daarbij redelijke instructies geven over hoe het werk moet worden uitgevoerd (art. 7:660 BW).

De werkgever kan bijvoorbeeld de werktijden eenzijdig vaststellen, voorschrijven dat je een veiligheidshelm op moet als de situatie dat vereist en kan bepalen dat je wachtwoord minstens 15 tekens lang moet zijn. De werknemer moet dergelijke instructies opvolgen. Werkgevers doen dit vaak met een arbeidsreglement, en het is dus een misverstand dat je dit moet accorderen of dat zulke regels in je arbeidsovereenkomst moeten staan.

Omdat de werkgever zo veel zeggenschap heeft, is hij dan ook in principe altijd de aansprakelijke partij. Zo bepaalt de wet dat de werkgever de "gereedschappen" waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden (art. 7:658 BW).

Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het BYOD van de werknemer schade berokkent. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.

Omgekeerd is de werknemer naar de werkgever toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid (art. 7:611 BW).

Dit geldt ook naar derden toe (art. 6:170 BW) - als een glazenwasser bij mij een vaas omschopt, is het bedrijf aansprakelijk voor mijn schade en niet die specifieke glazenwassende medewerker als persoon. Net zo is de werkgever aansprakelijk als mijn privélaptop door hun fout wordt beschadigd.

Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met een BYOD bedrijfsmail leest, waarna een Outlookworm op dat BYOD een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering want hij was werkmail aan het afhandelen. Een werknemer die games gaat zitten downloaden van Usenet, handelt niet binnen de arbeidsovereenkomst want dat behoort totaal niet tot zijn werk. Hij is dus zelf aansprakelijk voor die schade.

Bij illegale bedrijfssoftware ligt het moeilijker. Een werknemer die een gekraakte Photoshop (of een legitieme Windows 7 Home Edition, die immers niet zakelijk mag worden gebruikt) op een BYOD inzet bij het werk, is bezig met de uitvoering van zijn werk. En dan ligt de aansprakelijkheid voor de missende licenties bij de werkgever. Die moet dus zorgen dat de licenties van de op de BYOD aanwezige software het gebruik op het werk toestaan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (30)
21-03-2012, 10:51 door User2048
...een legitieme Windows 7 Home Edition, die immers niet zakelijk mag worden gebruikt...

Dat is een interessant punt. Hoeveel particulieren hebben een (dure) professional versie op hun privé-laptop?

Blijkbaar moet de werkgever zorgen voor de juiste inrichting van de privé-laptops (en andere devices) van werknemers, als die gebruikt worden voor het werk. De werkgever wordt immers op de vingers getikt als de werknemer software zonder de juiste licenties gebruikt.
21-03-2012, 11:10 door Anoniem
Boeiende kwestie inderdaad.

Is een RDP verbinding van een prive systeem met Home Edition naar een bedrijfsserver dan al zakelijk gebruik van dat prive systeem? Het lijkt me dat als de bedrijfsserver een zakelijke licentie heeft dat voldoende zou moeten zijn.
21-03-2012, 11:18 door SirDice
Ik weiger ook pertinent om privé spullen voor werk te gebruiken. Als de baas wil dat ik bepaalde werkzaamheden doe dan zorgt'ie maar voor fatsoenlijke apparatuur waar ik dat mee kan doen.

BYOD is zoiets als een elektricien die zijn eigen schroevendraaiers mee moet nemen.
21-03-2012, 11:36 door Anoniem
@SirDice

Ik ben het met je eens, maar veel mensen in de bouw moeten zelf hun gereedschap betalen. Eventueel tegen inkoopsprijs via de werkgever. Dit omdat het anders te makkelijk kwijt raakt of ergens thuis verdwijnt.

Wij hebben hier mensen die volgens hun manager een laptop nodig hebben, maar waarvan we gewoon weten dat deze meer door de kinderen wordt gebruikt voor games.
21-03-2012, 11:50 door Wim ten Brink
Waarom zou "Windows 7 Home Edition" niet door bedrijven gebruikt mogen worden? Zeker ICT bedrijven hebben dergelijke Windows-versies soms nodig als ze Windows-software ontwikkelen. Alleen, Home heeft enkele beperkingen die de Professional versies niet hebben.
Een beperking is de hoeveelheid RAM die wordt ondersteund. 8 GB voor Home Basic of 16 GB voor Home Premium. Geen dynamic disks, geen file encryption, geen group policies, geen Windows Server domain om aan te koppelen, en een aantal andere beperkingen. Maar het lijkt mij niet dat Microsoft kan verbieden in hun licentie dat een bepaald product alleen door consumenten gebruikt mag worden en niet door bedrijven.
21-03-2012, 11:54 door Anoniem
-En als je eigen BYOD apparaat nou defect is en je dat als argument gebruikt om niet te kunnen/hoeven werken?
-Als via je werkgever er een trojan binnensluipt op je eigen device (denk aan het nu.nl verhaal) en jij daardoor zelf schade ondervindt, wat dan?
-Idd, in hoeverre moet je je eigen gereedschap meenemen? En mag je dan ook zelf bepalen hoe je daarmee omgaat? Of als dat gereedschap (het BYOD apparaat) nou schade aanricht aan andere werknemers?

Kortom, volgens mij is het zowel technisch als juridisch gewoon veel eenvoudiger om de zaken juist gescheiden te houden... daarmee voorkom je ook allerlei conflicten.

"bezint, eer gij begint" :-)
21-03-2012, 12:26 door Wim ten Brink
Een belangrijk nadeel van BYOD: vertrouw je het netwerk van je werkgever dusdanig dat je je eigen apparatuur erop wilt aansluiten?

Netwerken zijn zo zwak als de zwakste schakel. Ik heb in een (ver) verleden gewerkt voor een werkgever waar de directeur regelmatig met zijn laptop langs ging bij diverse klanten. (In 1995, toen Novell nog netwerken maakte en floppy's nog massaal gebruikt werden.) Vervolgens werd die laptop weer op het bedrijfsnetwerk aangesloten en inderdaad! de rest van de bedrijfscomputers raakten vervolgens ook besmet. Als je dan toevallig met je eigen systeem ook op dat netwerk zit is het maar te hopen dat je eigen beveiliging goed op orde is.

BYOD is als werken in een ziekenhuis... In geval van nood is de hulp zeer nabij, maar je zit wel in een omgeving vol met enge virussen en andere narigheid.
21-03-2012, 12:31 door Arnoud Engelfriet
@User2048 en @WorkshopAlex: Ik zat fout: de Home Edition mag wél zakelijk worden gebruikt, alleen kun je bepaalde functies niet gebuirken (zoals domeinen). Zie de licentietekst en http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/win-7-home-premium-for-officebusiness-use/04a5842a-c4cc-4340-9beb-2a70d350b559 voor een toelichting.
21-03-2012, 13:19 door Anoniem
Kan de werkgever de aansprakelijkheid rond illegale software niet uitsluiten? Om te beginnen door met de werknemer af te spreken om bij de uitvoering van werkzaamheden uitsluitend legale software te gebruiken.
Groet, RPAM
21-03-2012, 14:47 door Anoniem
Door SirDice: Ik weiger ook pertinent om privé spullen voor werk te gebruiken. Als de baas wil dat ik bepaalde werkzaamheden doe dan zorgt'ie maar voor fatsoenlijke apparatuur waar ik dat mee kan doen.

BYOD is zoiets als een elektricien die zijn eigen schroevendraaiers mee moet nemen.

Of zoals een kok die zijn eigen messen meeneemt.

Onee, dat doen koks meestal. Ook in andere branches zie je vaak dat specialisten hun eigen gereedschap hebben. Hun baas geeft ze hier een vergoeding voor, maar de werknemer kiest specifiek bepaalde merken of types omdat hij daar beter mee overweg kan.

Ja, zoiets zie je niet zo snel in de IT-wereld. Tot BYOD zijn intrede maakte.

Ik gebruik mijn eigen spullen omdat ik hier persoonlijk productiever mee ben. De standaard gereedschappen (en ondersteuning) zijn gedimensioneerd op de gemiddelde gebruiker. In totaal is de organisatie hier productiever mee. Net als een bestuurslid productiever is (of zegt te zijn) met een iPad, ben ik productiever met mijn eigen laptop en smartphone.

Peter
21-03-2012, 15:03 door Arnoud Engelfriet
Dat kun je wel afspreken maar het helpt je niet. De werkgever is en blijft aansprakelijk als de werknemer zijn werk doet, ongeacht onderlinge afspraken of opgelegde verboden.
21-03-2012, 15:18 door MDijcks
Dus een werknemer die willens en wetens illegale sofftware gebruikt voor de uitvoering van zijn werk en daarmee de veiligheid van het netwerk in gevaar brengt kan geen roekeloosheid verweten worden?
21-03-2012, 15:32 door Arnoud Engelfriet
@MDijcks: Er moet sprake zijn van (kwade) opzet of bewuste roekeloosheid, dat is een hogere standaard dan alleen maar gewone roekeloosheid.

Als mijn bedrijf BYOD toestaat en ik neem mijn studenteneditie van Word mee, dan kun je niet van bewuste roekeloosheid spreken als blijkt dat die licentie bedrijfsmatig gebruik niet toetstaat (want zelfs een gespecialiseerd jurist blijkt zich te kunnen vergissen in hoe ver die licentie gaat, oeps). Torrent ik een gekraakte Photoshop dan kom je er misschien wel.

De veiligheid van het netwerk in gevaar brengen vind ik overigens een nogal vage term en hoe je dat bij illegale software doet, ontgaat me. Het klinkt me (excuses, jij bedoelt het vast niet zo) als een typische IT-smoes om van alles en nog wat te weigeren. Illegale software kan in principe hooguit leiden tot auteursrechtclaims. Meeliftende virussen en Trojans behoort een bedrijfsnetwerk gewoon aan te kunnen. Als je dat niet kunt bij getorrente software dan kun je dat ook niet bij USB-sticks die op een conferentie werden uitgedeeld.
21-03-2012, 16:26 door MDijcks
"Het netwerk in gevaar brengen" had ik beter kunnen verwoorden. Wat ik bedoel ik dat een antivirusoplossing niet altijd alles tegen kan houden, zie ook de nu.nl besmetting van vorige week. Als een keygen oid gebruikt wordt die is geïnfecteerd met een nieuw soort trojan of worm, kan dat verstrekkende gevolgen hebben.
21-03-2012, 16:50 door Arnoud Engelfriet
Dat klopt, maar waarom is dat risico groter dan bij gebruik van de gewone bedrijfsmiddelen? Het klinkt nu of je zegt dat een privélaptop grotere kans heeft geavanceerde nieuwe trojans te introduceren. Zou torrenten en keygennen vanaf een bedrijfslaptop niet hetzelfde risico hebben?
21-03-2012, 17:08 door Anoniem
@arnoud: de prive laptop zou achter kunnen lopen in patches en service packs ten opzichte van de bedrijfslaptop. Daardoor is de kans groter bij prive dan bij zakelijk.
Als de trojan of keylogger op een prive laptop komt vangt hij misschien een wachwoord voor Hyves of voor godbetert internetbankieren, op een bedrijfs laptop allicht een wachtwoord voor een applicatie die slechts voor een deel van de werknamers daar toegankelijk mag zijn, en niet voor buitenstaanders. dus impact van trojan groter bij zakelijk dan bij prive.
risio is kans maal impact. jij gaat er nu vanuit dat evenveel omhoog als omlaag.
21-03-2012, 17:29 door Bitwiper
Door Arnoud Engelfriet: @User2048 en @WorkshopAlex: Ik zat fout: de Home Edition mag wél zakelijk worden gebruikt, alleen kun je bepaalde functies niet gebuirken (zoals domeinen). Zie de licentietekst en http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/win-7-home-premium-for-officebusiness-use/04a5842a-c4cc-4340-9beb-2a70d350b559 voor een toelichting.
Beter voorbeeld: Microsoft Office Home and Student.

Voor ca. €100 koop je een licentie voor 3 thuisgebruikers, daarin (en in de software zelf) staat heel duidelijk dat deze niet commercieel gebruikt mag worden. Je zult als privégebruiker wel gek zijn om een "commerciële" versie te kopen. Wordt zo'n notebook meegenomen "naar de zaak" dan heb je het risico dat jij schetst.

Welliswaar legale software, maar niet voor zakelijke toepassingen.
22-03-2012, 09:15 door Anoniem
Wat nu als je met je Windows Home 7 Edition op een Citrix omgeving van de baas inlogt?
22-03-2012, 09:46 door Wim ten Brink
Door Anoniem: Wat nu als je met je Windows Home 7 Edition op een Citrix omgeving van de baas inlogt?
Volgens mij kun je de Home editie prima als Remote Desktop Client gebruiken. En als het om third-party software gaat kan Microsoft over het gebruik daarvan al helemaal niets bepalen.

Probleem is alleen dat Home dus niet in een domein aangesloten kan worden en er ook geen Group policies op geplaatst kunnen worden. Ondehoud van Home edities is voor bedrijven dan ook vrij lastig en al helemaal indien deze toegang moeten krijgen tot bedrijfs-systemen.
22-03-2012, 09:54 door Wim ten Brink
Door Bitwiper:
Door Arnoud Engelfriet: @User2048 en @WorkshopAlex: Ik zat fout: de Home Edition mag wél zakelijk worden gebruikt, alleen kun je bepaalde functies niet gebuirken (zoals domeinen). Zie de licentietekst en http://answers.microsoft.com/en-us/windows/forum/windows_7-networking/win-7-home-premium-for-officebusiness-use/04a5842a-c4cc-4340-9beb-2a70d350b559 voor een toelichting.
Beter voorbeeld: Microsoft Office Home and Student.

Voor ca. €100 koop je een licentie voor 3 thuisgebruikers, daarin (en in de software zelf) staat heel duidelijk dat deze niet commercieel gebruikt mag worden. Je zult als privégebruiker wel gek zijn om een "commerciële" versie te kopen. Wordt zo'n notebook meegenomen "naar de zaak" dan heb je het risico dat jij schetst.

Welliswaar legale software, maar niet voor zakelijke toepassingen.
Het verschil tussen Office en Windows versies is dat de diverse Windows-versies wel of geen bepaalde functionaliteit bevat. Bij de Office versies mis je alleen bepaalde programma's, zoals Access of Outlook, afhankelijk van de versie die je koopt. Alleen bij de Office Starter en Office Online versies is de software nog iets verder beperkt.
Home&Student mist Outlook terwijl Home&Business dus wel Outlook bevat. Standard bevat ook nog Publisher en Professional bevat daarbovenop nog eens MS Access. En Professional Plus bevat daarop nog eens InfoPath, Lync en Sharepoint Workspace. Daarbovenop kun je dan nog Visio en Project aanschaffen.
23-03-2012, 08:48 door Anoniem
"@arnoud: de prive laptop zou achter kunnen lopen in patches en service packs ten opzichte van de bedrijfslaptop. Daardoor is de kans groter bij prive dan bij zakelijk."

Omgekeerd kan ook hoor, op mijn prive laptop worden patches e.d. meteen geinstalleerd. Op de bedrijfslaptop duurt dit iets langer, omdat mijn werkgever de patches eerst uittest voordat deze worden geinstalleerd op de 100.000+ zakelijke desktops en laptops binnen het bedrijfsnetwerk. Service packs duren meestal nog langer voordat je die geinstalleerd krijgt.
23-03-2012, 09:08 door Anoniem
BYOD, gaat uit van het gegeven da tje een EIGEN device meebrengt en vervolgens via een remote toepassing ( Citix, Remote desktop, VNC etc) verbinding krijgt met het bedrijfsnetwerk waarop alle software staat die je nodig hebt voor je werk.
Het eigen device blijft vervolgens ook onder je eigen beheer en kan via ene remote connectie geen virussen oid introduceren op het bedrijfsnetwerk. Ook doorzenden door trojans van bedrijfsinformatie is daarmee afgedekt omdat je blijft werken op een bedrijfsserver en de data die niet verlaat.
Welke softwarelicentie jij gebruikt op je eigen device vwb Word oid is dus niet belangrijk omdat je gebruik maakt van wel gelicencieerde software op de bedrijfsomgeving voor je werkzaamheden.
(ik ga er maar vanuit dat het betrokken bedrijf zijn zaken daar op orde heeft)
Zaak is dus een goed BYOD concept te kiezen en niet alleen allerlei zakelijke software introduceren op eigen apparatuur. Dat lijkt me namelijk inderdaad vragen om moeilijkheden. Bedenk dus goed "welk" BYOD concept te gaat introduceren en los daar de problemen op.
Kies je voor lokale install op een onbeheerd apparaat dan is dat natuurlijk ook vragen om moeilijkheden. Apparatuur met lokaal geinstalleerde software zal feitelijk altijd onder beheer van "de zaak" moeten staan om een verantwoorde werking te kunnen garanderen en om duidelijk te maken wie de baas is op dat apparaat. Daarmee vervalt dan de O (own) in BYOD
23-03-2012, 17:34 door Mozes.Kriebel
Het BYOD concept versterkt altijd de glijdende schaal. Het concept gaat uit van gescheiden netwerken voor BYOD's en company devices en allerlei slimme constructies moeten bedrijfsdiensten ontsluiten. Echter, in de praktijk worden er steeds meer toepassingen ontsloten waardoor de grens tussen managed en unmanaged devices vervaagd. Hoort niet, is wel de praktijk. Managers willen dit, applicaties kunnen niet dat, etc. Onder druk wordt alles vloeibaar.
IT is al jaren bezig te beschermen aan de randen van het netwerk: firewalls, IDS/IPS, dichtgetimmerde werkplekken.
Die laatste groep verdwijnt en daarmee worden ongecontroleerde risico's geïntroduceerd. En daar gaat het nou juist om in IT-security: de risico's beheersen.
26-02-2013, 15:09 door Anoniem
Oud topic op de site, maar zeer van toepassing bij ons momenteel.
Klein bedrijf met klein IT budget (zowel in geld als in tijd).
Hoe zit dit met stagaires die hun eigen laptop meenemen? Hebben die in deze kwestie dezelfde rechten/plichten als reguliere werknemers (los van wat er in de stageovereenkomst staat)?
27-02-2013, 08:32 door Arnoud Engelfriet
Een stagiair met een eigen laptop valt onder dezelfde regels als een gewone medewerker met een BYOD. Ook een stagiair is een werknemer, in de zin van het arbeidsrecht. Omdat het om een kortetijdcontract gaat is het makkelijker van hem af te komen en het salaris is zo laag dat het toch niet tot juridische acties leidt.
08-04-2013, 21:30 door Anoniem
En hoe zit het met mensen die niet in dienst zijn maar wel met hun eigen laptop op kantoor komen en daar werken? Wij hebben te maken met radiomakers die door middel van een uitzendovereenkomst gebruik maken van studio's en daar vaak gebruik maken van hun eigen laptops. Zij zijn geen werknemers. Wordt dit puur beoordeeld op arbeidsrechtelijke aspecten of gaat het meer in algemene zin om verantwoordelijkheid voor mensen die gebruik maken van de werkruimtes?
08-04-2013, 22:21 door Sluis
En hoe zit het met mensen die niet in dienst zijn maar wel met hun eigen laptop op kantoor komen en daar werken? Wij hebben te maken met radiomakers die door middel van een uitzendovereenkomst gebruik maken van studio's en daar vaak gebruik maken van hun eigen laptops. Zij zijn geen werknemers. Wordt dit puur beoordeeld op arbeidsrechtelijke aspecten of gaat het meer in algemene zin om verantwoordelijkheid voor mensen die gebruik maken van de werkruimtes?
08-04-2013, 22:21 door Sluis
En hoe zit het met mensen die niet in dienst zijn maar wel met hun eigen laptop op kantoor komen en daar werken? Wij hebben te maken met radiomakers die door middel van een uitzendovereenkomst gebruik maken van studio's en daar vaak gebruik maken van hun eigen laptops. Zij zijn geen werknemers. Wordt dit puur beoordeeld op arbeidsrechtelijke aspecten of gaat het meer in algemene zin om verantwoordelijkheid voor mensen die gebruik maken van de werkruimtes?
08-04-2013, 22:21 door Sluis
En hoe zit het met mensen die niet in dienst zijn maar wel met hun eigen laptop op kantoor komen en daar werken? Wij hebben te maken met radiomakers die door middel van een uitzendovereenkomst gebruik maken van studio's en daar vaak gebruik maken van hun eigen laptops. Zij zijn geen werknemers. Wordt dit puur beoordeeld op arbeidsrechtelijke aspecten of gaat het meer in algemene zin om verantwoordelijkheid voor mensen die gebruik maken van de werkruimtes?
09-04-2013, 16:58 door Arnoud Engelfriet
Wat ik hierboven beschrijf, gaat puur over arbeidsrecht, werknemer/werkgever dus.

De situatie van die radiomakers lijkt me meer die van een gast of onderhuurder. Daarbij geldt alleen de algemene regel uit de wet dat de aanbieder van een internetdienst die bestaat uit doorgifte van informatie nooit aansprakeijk is voor de inhoud.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.