Juridische vraag: mag bedrijf personeel via gps-tracker volgen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Voor het aansturen van de buitendienst wil mijn bedrijf gebruik maken van een gps-tracker (zoals iCloud). Dit is om de locaties van de buitendienstmedewerkers tijdens kantoor uren te kunnen zien en vast te leggen. Op basis van de gps informatie kunnen automatisch werkverslagen worden vastgelegd voor de buitendienstmedewerkers. Maar mag dat zomaar gezien de privacy?
Antwoord: Privacy heb je ook op het werk, sterker nog ook als je je werk aan het dóen bent.
Echter, privacy is geen binair begrip maar een glijdende schaal. De vraag is hoe véél privacy je mag verwachten, plus hoe belangrijk het bedrijfsbelang is om een inbreuk op je privacy te plegen. En daarbij geldt nog dat de privacy het eigenlijk standaard wint, tenzij het bedrijfsbelang voldoende onderbouwd is.
Hier gaat het om zeer specifieke informatie, exact waar je geweest bent en hoe laat en langs welke route. Als je dat allemaal achter elkaar zet, weet je wel héél veel van je werknemer. Een groot privacybelang dus. Het bedrijfsbelang bij het hebben van al die informatie lijkt me moeilijk te kunnen winnen van de privacy. Wat moet je met die berg?
Je zult dus op zoek moeten naar oplossingen waarbij je alleen de relevante locaties of andere gegevens verkrijgt. Wat is er nodig in die werkverslagen, en hoe zorg je ervoor dat je alleen die informatie uit de gps app krijgt? Dat kan wellicht een proxy of extra tooltje vereisen die de informatie filtert alvorens die aan mensen binnen het bedrijf te tonen.
Ook een uit-knopje voor de werknemer die even gaat pauzeren (en naar een cafeetje wil rijden) of de werknemer die op zijn BYOD telefoon in het weekend niet getrackt wil worden lijkt me essentieel. Zo bouw je privacy in en focus je op het écht werkgerelateerde.
Zet je gps in voor andere doelen, dan kan het anders uitpakken. Wil je werknemers continu controleren of ze niet omrijden of privékilometers maken, dan heb je meer informatie nodig. Maar dan kom je bij de vraag of dat doel an sich het wel mág winnen van de privacy. Je moet normaliter je werknemers vertrouwen, en pas bij gebleken onregelmatigheden mag je ze gaan volgen.
Hoe dan ook zal het bedrijf dit in een reglement moeten vastleggen en akkoord van de Ondernemingsraad moeten krijgen. Iedere regeling waarbij prestaties van werknemers worden gemeten of persoonsgegevens van werknemers worden verwerkt, is namelijk instemmingsplichtig.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Daarbuiten lijkt het me proportioneel: werknemer is in de baas zijn tijd onderweg met apparatuur van de baas voor werkzaamheden waar de baas voor betaalt. Dat je baas dan weet (als ie dat wilt uberhaupt) dat je bij cafe X of boordjeszaak Y je broodje tussen de middag gaat halen lijkt me niet erg.
Doeleinde is ook van belang: is het om efficienter te kunnen plannen omdat je weet waar iedereen ongeveer is? Ook stukje proportionaliteit, om dat te plannen hoef je het niet tot op de meter nauwkeurig te weten maar is binnen straal van 100 meter ook wel genoeg. Of ga je het gebruiken om de uurregistratie op de minuut te controleren en medewerkers te corrigeren/sanctioneren bij afwijkingen? (uiteraard de grootste vrees bij de ondernemingsraad).
Het wordt pas een probleem als er tracking plaats vindt buiten de werkgerelateerde omstandigheden zo ik zeggen, en natuurlijk hoe een en ander in een reglement omschreven gaat worden.
Lijkt me belangrijk er voor te zorgen dat je werknemers weten dat dit is om het bedrijf efficienter te maken, niet om hen te controleren of ze niet 100 meter van hun route afwijken of 5 min te lang rond blijven hangen.
Wat dan de paradox oplevert dat hoe verder je van elkaar afstaat hoe zorgvuldiger je met andermans gegevens moet omgaan, want je hebt veel minder wisselwerking. Best raar, die verschillen, zeker als je het vergelijkt met bovenstaand verhaal.
Daarbuiten lijkt het me proportioneel: werknemer is in de baas zijn tijd onderweg met apparatuur van de baas voor werkzaamheden waar de baas voor betaalt. Dat je baas dan weet (als ie dat wilt uberhaupt) dat je bij cafe X of boordjeszaak Y je broodje tussen de middag gaat halen lijkt me niet erg.
Doeleinde is ook van belang: is het om efficienter te kunnen plannen omdat je weet waar iedereen ongeveer is? Ook stukje proportionaliteit, om dat te plannen hoef je het niet tot op de meter nauwkeurig te weten maar is binnen straal van 100 meter ook wel genoeg. Of ga je het gebruiken om de uurregistratie op de minuut te controleren en medewerkers te corrigeren/sanctioneren bij afwijkingen? (uiteraard de grootste vrees bij de ondernemingsraad).
Het wordt pas een probleem als er tracking plaats vindt buiten de werkgerelateerde omstandigheden zo ik zeggen, en natuurlijk hoe een en ander in een reglement omschreven gaat worden.
Lijkt me belangrijk er voor te zorgen dat je werknemers weten dat dit is om het bedrijf efficienter te maken, niet om hen te controleren of ze niet 100 meter van hun route afwijken of 5 min te lang rond blijven hangen.
Sorry hoor, maar dit gaat dwars tegen de tekst van Arnoud in... Jij stelt dat het eten van een broodje bij een snackbar o.i.d. niet te veel impact heeft op de privacy, maar dat is totale onzin. Het gaat er juist om, dat als jij in je pauze een sollicitatiegesprek doet, dat jouw werkgever daar niets mee te maken heeft. En zo zijn er nog wel andere situaties te bedenken waar de werkgever niets hoeft te weten. Als jij even naar de dokter moet, hoeft jouw werkgever niet te weten of dit de huisarts is, of een totaal ander type arts.
Kortom, privacy is een groot goed, en zou niet zo moeten worden afgedaan, als jij hier doet.
Als een baas wil gaan tracken dan ga ik blocken (met een handmatig bedienbare GPS blocker!). Dit is hetzelfde als dat je baas achter je bureau over je schouder gaat mee kijken wat je allemaal doet en of je het allemaal wel goed doet. Als je wil dat de werknemer loyaal en hard werkend is, dan moet de baas vertrouwen tonen, communiceren met de werknemer, en een goede beloning voor het werk aanbieden, en niet dit soort wantrouwende zenuwslopende zaken van Ow Wee dat je een foutje maakt want ik nagel je dan a.h. kruis.
een andere manier verantwoord hebt?
Dus als je naar de dokter gaat of als je gaat lunchen dan gaat ie uit, en dan kan de baas je niet volgen.
Ben je aan het werk of op pad van klus naar klus dan kan de baas je wel volgen.
Je kunt dus niet in de tijd van de baas beunen of in de kroeg zitten.
Maar wat is daarmee het probleem? Ik werk zelf op kantoor en dan kan de baas toch ook de hele dag zien of ik
er wel ben en niet in de kroeg zit of voor mezelf zit te beunen?
Als ik naar de dokter wil dan moet ik me ook ziek of afwezig melden.
Dat lijkt me normaal: hij betaalt salaris en mag dan verwachten dat je werkzaamheden voor hem verricht.
Privacy is heel belangrijk maar de werkgever heeft ook belangen. Het kan niet zo zijn dat een werkgever totaal
geen grip heeft op wat hij voor zijn betaalde salarissen krijgt "want privacy".
De werkgever moet bij een inbreuk op de privacy hardmaken waarom deze maatregel in deze situatie gepast is. Dat wil zeggen, waarom is het absoluut noodzakelijk en waarom is er geen minder ingrijpende maatregel mogelijk.
"Ik betaal je om te werken" is géén rechtvaardiging voor welke inbreuk op de privacy dan ook. De werkgeversbelangen zijn in eerste instantie dus wél ondergeschikt aan de privacy. De werkgever moet concreet en specifiek uitleggen waarom déze maatregel nu nodig is voor zijn belangen en waarom het echt niet kan met een maatregel die de privacy minder schendt.
"Onze klanten moeten weten hoe laat jij hun pakje komt brengen" is een rechtvaardiging om werkgerelateerd rondrijden van pakjesbezorgers te volgen. Het volgsysteem moet dan wel de privacy buiten werktijden (in de pauze naar het eetcafé) respecteren.
"Ik wil weten hoe veel niet-werkgerelateerde kilometers je maakt" is een moeilijke rechtvaardiging. Het is te verdedigen maar zo'n systeem moet dan wel zo ingekleed zijn dat je alleen ziet dát er privékilometers zijn gemaakt, en niet "hij ging op sollicitatie bij de concurrent" (mooi voorbeeld, @Anoniem 15:31).
"Ik wil op ieder moment kunnen zien waar je bent in ons kantoorgebouw" lijkt me niet verdedigbaar in het algemeen als grondslag om iedereen een RFID/Bluetooth-gebaseerde positiebepalingsapp op de verplicht te dragen badge te hebben. Waarom moet je dat weten? Je kunt mensen toch ook bellen als je ze nodig hebt?
Gezien de tijden van crisis zijn er bedrijven die in het geheel geen ondernemingsraad hebben (die dit wel zouden moeten hebben). Dus toestemming vragen aan "wie" is het dan in de werkelijkheid.
De praktijk zal dan zijn..... een ieder hier kan neem ik aan optellen en aftrekken.....
Natuurlijk hoef je niet bij zo'n werkgever te werken, echter er zal voor een hoop mensen toch brood op de plank moeten komen.
Bij grote bedrijven met meerdere bedrijfsonderdelen zal bovenstaand idd gaan werken, echter bij de kleinere bedrijven zal de werkgever zijn zin doordrukken met de dooddoener "je hoeft hier niet te werken, je mag hier werken".
Controlfreaks hou je nu eenmaal, en vaak zijn dit managers en werkgevers.
Advies alle acties en gesprekken registreren en voor jezelf duidelijk onderscheid tussen privé en zakelijk houden.
De wet geeft helaas genoeg mazen om het voor de werkgever bij teveel tegenspraak goedkoop van de werknemer af te komen.
Gezien de tijden van crisis zijn er bedrijven die in het geheel geen ondernemingsraad hebben (die dit wel zouden moeten hebben). Dus toestemming vragen aan "wie" is het dan in de werkelijkheid.
De praktijk zal dan zijn..... een ieder hier kan neem ik aan optellen en aftrekken.....
Het bedrijf met meer dat een bepaald aantal medewerker is verplicht een OR te hebben. Als de bestuurder dat niet regelt kunnen de werknemers het afdwingen (staken bijvoorbeeld). Natuurlijk, als de werknemers zo bang zijn van hun werkgever dat ze dat niet eens durven, dan gaat geen wet je meer beschermen. Lijkt mij iets voor een vakbond overigens.
Je leest mijn verhaal niet goed. Als die tracker in de auto zit, en die auto is enkel bedoeld voor werkgerelateerde activiteiten hoor je daar helemaal niet mee naar een sollicitatiegesprek te gaan. Daarnaast is het een gps tracker, dus hoe dat ding weet dat het een sollicitatiegesprek of een doktersbezoek is moet je toch eens uitleggen. Tenzij de baas eens uitgebreid met google maps gaat plotten waar je was, en dat is nu net niet de bedoeling, zie de rest van mijn verhaal, dat soort dingen neem je dus op in een reglement.
Ik ben absoluut niet van categorie mensen "ik heb toch niks te verbergen dus track alles maar" maar het gaat om werktijd en materieel van de baas. Daar hoor je gewoon werk mee te doen. En als de baas dat werk wil tracken, is dat zijn goed recht. Iedereen schiet meteen in de "mijn baas wil alles controleren!!1!" kramp, misschien gaat het wel om iets simpels als werkplanning en vindt die baas zelf ook dat een werknemer prima even met de auto rond mag kachelen naar de dokter en heeft ie totaal geen interesse om precies uit te gaan zoeken wat zn werknemers doen.
En ja, ook is er de reden om mensen te controleren als ze iets doen wat tegen de afspraken is. Bijvoorbeeld het gebruik van een bedrijfsauto voor privé doeleinden. Ik ken diverse voorbeelden waarbij misbruik van bedrijfsauto's plaatsvond die het bedrijf daadwerkelijk schade heeft opgeleverd. Denk hierbij aan beunen met bedrijfsmiddelen en materialen, bussen total loss gereden op weg naar huis vanuit de kroeg etc. Een werkgever mag zich hiertegen beschermen.
Voor mensen zonder auto, maar met een smart phone, is wellicht een oplossing om een app te hebben die je middels een start en eind knop gebruikt om je on-site tijd te traceren. Handig als dit meteen in de administratie verwerkt wordt.
En solliciteren in de lunchpauze? Hoe lang is jouw lunchpauze? Vergeet niet dat vele bedrijven nu al werkbriefjes gebruiken. En die zijn ook voorzien van tijden en afgetekend door de klant. Dus gewoon een digitaal werkbriefje en niet een nieuwe vorm van spionage.
Kortom, als de reden valide is en de werknemer weet dat het gebeurd, in mijn ogen geen probleem.
En dat je ergens MAG werken? Nou, ook daar: doe het maar zonder mij. Tot op heden spijt gehad als ik ergens weg ben gelopen dat ik dat te laat gedaan heb.
Heel goed gezegd. Een werkgever die het door haar of hem aangenomen personeel niet (meer) vertrouwt moet bij zichzelf te rade gaan waar fouten in de regie zijn geslopen. Reglement niet waterdicht? Pas het aan als de aanwezige middelen, zoals een GPS-systeem op verstrekte smartphones en die dingen in de (bedrijfs)wagen die de route precies uitstippelen, meer mogelijk maken qua controlemogelijkheden.
Tijdens de pauzes heeft de werknemer vrijheid die de wet stelt. Als een flinke neut genuttigd wordt bij de lunch zit men sowieso fout als men dan weer het voertuig gaat besturen.
Ook die honderd meter kan op de wallen (Amsterdam) of het zandpad (Utrecht) een wereld van verschil maken. De auto staat natuurlijk geparkeerd op neutraal terrein met alle apparatuur er nog in.
Voor de bedrijfsauto betaal ik bijtelling.
Dus onbeperkt rijden zowel s'avonds en in de weekenden.
Mijn vraag hierover is; mag mijn werkgever mij wijzen op de werktijden doormiddel van de gps trekker?
Dus bijvoorbeeld. Dat ik 2 minuten te vroeg ben weg gereden naar huis toe.
En dat de gps trekker s'avonds en in de weekenden gewoon door registeerd en op slaat in de computer.
Jeffrey
In een vergadering (zonder notulen) werd mondeling aan de verkopers (salesmen) doorgegeven, dat GPS op hun bedrijfscel is geïnstalleerd. Als reden werd aangegeven, dat kwijtgeraakte celllulars zo teruggevonden konden worden.
Echter, laatst word een verkoper door een manager opgeroepen en krijgt hij te horen, dat hij een paar keer 20 minuten te vroeg naar huis was gegaan. Hij werd duidelijk getraceerd via de GPS op de cel.
Mag dit? Wat zijn de rechten van de verkoper? Speelt een rol, dat hij soms buiten normale werkuren, ook op zaterdag of zondag door clienten of zelfs diezelfde manager gebeld wordt over werk?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer
Bij SPF Beheer
Je adviseert de directie over de informatiebeveiliging van de gehele organisatie, waarvoor je zelf de kaders ontwerpt en de regels vastlegt. Je zorgt voor een geactualiseerd beveiligingsplan, standaarden, risicoanalyses en -monitoring, hulpmiddelen, training en de voor bewustwording onmisbare communicatie. Ook train en begeleid je relevante lijnmanagers en (technische) security-specialisten.
Security Trainer
Ben jij een trainer die het leuk vindt om je hacker mindset en security-skills over te dragen aan anderen? Zie jij het als een uitdaging om hands-on securitytrainingen te verzorgen voor een divers publiek en zijn kritische vragen en eigenwijze techneuten voor jou geen probleem? Dan zoeken wij jou!
Are you ready for a challenge?