Juridische vraag: moet uitgezonden IT'er bankierseed afleggen?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: ik werk als uitgezonden IT-securitymedewerker bij een bank. Nu wil deze bank dat ik de bankierseed afleg. Ben ik verplicht hieraan gehoor te geven, en wat kunnen de consequenties zijn als ik dat niet doe?
Antwoord: De bankierseed is enkele jaren terug in het leven geroepen binnen de financiële sector om het vertrouwen in die sector te herstellen. Het idee is dat een medewerker zich eerder geroepen zal voelen bij ethische kwesties de juiste keuze te maken.
Medewerkers kunnen ook via tuchtrecht worden aangesproken op hun handelen, net zoals bij advocaten en notarissen. Dit levert dus een stukje persoonlijke aansprakelijkheid op voor zakelijk handelen.
Dat is wat gek, want normaal is het zo in het arbeidsrecht dat je niet privé aansprakelijk bent voor wat je als werknemer doet. Je werkgever moet dat risico dragen.
In dit artikel uit 2013 (pdf) zetten twee arbeidsrechtadvocaten het spanningsveld tussen arbeidsrecht en de eed uiteen. Zij zien weinig toegevoegde waarde voor de eed, in ieder geval geen extra aansprakelijkheid naar de werkgever toe voor schendingen van de zorgplicht die je als medewerker hebt. Ook vragen zij zich af of bij het tuchtcollege wel te bewijzen zal zijn of een fout een medewerker te verwijten is. Een bank is een complexere instelling dan een notariaat, dus de 1-op-1 relatie tussen probleem en persoon is niet vaak aanwezig.
De eed afleggen is voor veel medewerkers van financiële bedrijven een wettelijke plicht. Die ontkomen er dus niet aan. Een werkgever mag de eed als eis stellen bij nieuwe medewerkers. Dit moet dan in het arbeidscontract staan. In theorie kun je er dan over onderhandelen bij je sollicitatie.
De eed afdwingen bij bestaande medewerkers die niet wettelijk aan de eed gebonden zijn, is een moeilijke. Dat komt neer op een wijziging van het arbeidscontract, en dat mag alleen met wederzijdse instemming. Die instemming mag niet worden geweigerd als de wijziging zwaarwegend is voor de werkgever (art. 7:613 BW). Dat komt hier dus neer op de vraag of de eed redelijkerwijs gepast is bij deze functie.
Omdat de eed primair gericht is op het belang van de klant, en een IT-security-officer niet direct contact met klanten heeft, zou je kunnen zeggen dat dat hier niet opgaat. Omgekeerd krijg je natuurlijk wel met belangen van klanten te maken (denk aan datalekken). Vanuit dat perspectief zou de eed dan wel verdedigbaar zijn om te verlangen van deze medewerker.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Als je nu gaat sputteren, dan vraagt de klant van jouw baas zich wellicht af of jij nog wel nodig bent als je 'hier al over gaat sputteren'.
En als de klant van jouw baas een probleem met jou krijgt, wellicht jouw baas ook?
Ik heb mensen voor minder zien vliegen.
Overigens, waar hebben we het over?
• mijn functie integer en zorgvuldig zal uitoefenen
• een zorgvuldige afweging maak tussen de belangen van alle partijen die bij de onderneming zijn betrokken, te weten die van de klanten, de aandeelhouders, de werknemers en de samenleving waarin de onderneming opereert
• in die afweging het belang van de klant centraal zal stellen
• mij zal gedragen naar de wetten, de reglementen en de gedragscodes die op mij van toepassing zijn
• geheim zal houden wat mij is toevertrouwd
• geen misbruik zal maken van mijn kennis
• mij open en toetsbaar zal opstellen en mijn verantwoordelijkheid voor de samenleving ken
• mij zal inspannen om het vertrouwen in de financiële sector te behouden en te bevorderen
Als je hier niet mee kunt werken, wat doe je bij een bank?
Vrij irrelevant. Bij bedrijven waar je moet tekenen voor de IT security policy, zal ook geen uitzondering gelden voor IT security medewerkers. Waarom zou je er een probleem mee hebben overigens ?
Ik zie geen enkel praktisch bezwaar om met onderstaande akkoord te gaan -
De bankierseed is als volgt:
?Ik zweer/beloof binnen de grenzen van mijn functie die ik op enig moment in de bancaire sector vervul dat ik:
• mijn functie integer en zorgvuldig zal uitoefenen
• een zorgvuldige afweging maak tussen de belangen van alle partijen die bij de onderneming zijn betrokken, te weten die van de klanten, de aandeelhouders, de werknemers en de samenleving waarin de onderneming opereert
• in die afweging het belang van de klant centraal zal stellen
• mij zal gedragen naar de wetten, de reglementen en de gedragscodes die op mij van toepassing zijn
• geheim zal houden wat mij is toevertrouwd
• geen misbruik zal maken van mijn kennis
• mij open en toetsbaar zal opstellen en mijn verantwoordelijkheid voor de samenleving ken
• mij zal inspannen om het vertrouwen in de financiële sector te behouden en te bevorderen
Wat is nou het probleem ?
Gelukkig is de bank niet verplicht jou aan te nemen.
Makkelijke keuze, toch?
Helemaal niet!
IT Security: Medewerkers vaak grootste beveiligingsrisico DUS is het logisch dat een bedrijf zijn/haar personlee, extern personeel laat tekenen / eed afleggen, ....
En IT security is een zeer specifiek vakgebeid, probleem is dat de helft van de netwerk enigneers denk IT security te doen als ze een whitelist implementeren, etc. dat is GEEN it security, dat is gewoon netwerk configuratie.
Gelukkig is de bank niet verplicht jou aan te nemen.
Makkelijke keuze, toch?
Nog simpeler : de vragensteller spreekt over 'uitgezonden IT medewerker' . Inhuurkracht dus.
Gewoon per maand opzegbaar, met of zonder reden , in de gebruikelijke inhuurcontracten . (die flexibiliteit is waarom bedrijven de wat hogere kosten voor inhuurkrachten vaak graag voor lief nemen ).
Als de vragensteller wel elders in loondienst is, wordt het een beetje interessanter : kan/mag zijn directe werkgever van hem/haar vragen om met deze eis van de klant accoord te gaan .
Een werknemer die zelf aanleiding geeft aan de klant van zijn werkgever om hem/haar op te zeggen geeft z'n werkgever wel een zakelijk probleem.
De klant heeft er last van (moet weer iemand inwerken), en de klant is helemaal niet verplicht om een vervanger weer bij dezelfde inhuurpartij af te nemen .
Een vergelijkbare vraag zou kunnen ontstaan als de klant een VOG ('verklaring omtrent gedrag' - aka 'bewijs van goed gedrag') vereist .De kans is groot dat dat bij een financial ook standaard is .
Een VOG moet wel aangevraagd worden specifiek voor de functie (financieel verantwoordelijk, omgang met kinderen etc ) .
'mij zal inspannen om het vertrouwen in de financiële sector te behouden en te bevorderen' Echt ?
Overigens, waar hebben we het over?
Als je hier niet mee kunt werken, wat doe je bij een bank?
Met de eed verbind je je ook aan het tuchtsysteem en daar kan je een boete van 10-duizenden euros mee worden opgelegd.
Daarnaast kan een klant je persoonlijk aanklagen voor iets wat je wellicht onder druk van je werkgever hebt moeten doen.
Het ligt een stuk gevoeliger dan je denkt
Overigens, waar hebben we het over?
Als je hier niet mee kunt werken, wat doe je bij een bank?
Met de eed verbind je je ook aan het tuchtsysteem en daar kan je een boete van 10-duizenden euros mee worden opgelegd.
Daarnaast kan een klant je persoonlijk aanklagen voor iets wat je wellicht onder druk van je werkgever hebt moeten doen.
Het ligt een stuk gevoeliger dan je denkt
Dat klopt. Dat noemen ze per-soon-lij-ke ver-ant-woor-de-lijk-heid.
Als je iets "moest doen" dan is je werkgever de pineut, niet jij.
Vanaf 1 April 2016 is de bankierseed verplicht voor *alle* medewerkers van banken (inclusief IT-ers, en inclusief externe inhuur). Als uitgezonden IT-er zal je dus ofwel de bankierseed moeten afleggen, ofwel een andere klus moeten zoeken aangezien het gaat om een wettelijke verplichting.
Zie ook :
AFM - Bankierseed Algemeen
https://www.afm.nl/nl-nl/professionals/veelgestelde-vragen/bankierseed-algemeen
Rijksoverheid - Voor wie geldt de bankierseed
https://www.rijksoverheid.nl/onderwerpen/hervorming-financiele-sector/vraag-en-antwoord/voor-wie-geldt-de-bankierseed
Klopt, en terecht. Wil je dat niet, ga dan niet bij een bank werken.
Die vraag zal jou ook ongetwijfeld voor 1 April 2016 worden gesteld, gezien de wettelijke verplichting. Wat niet is, dat kan nog komen.....
'mij zal inspannen om het vertrouwen in de financiële sector te behouden en te bevorderen' Echt ?
Hallo, je wordt ingehuurd om in het belang van inhuurder te werken - en als je vindt dat diens belangen voor jou niet van toepassing zijn omdat je er niet in loondienst bent maar ingehuurd, kun je maar beter helemaal extern blijven.
Die vraag zal jou ook ongetwijfeld voor 1 April 2016 worden gesteld, gezien de wettelijke verplichting. Wat niet is, dat kan nog komen.....
Die vraag zal jou ook ongetwijfeld voor 1 April 2016 worden gesteld, gezien de wettelijke verplichting. Wat niet is, dat kan nog komen.....
Nee dat ben ik absoluut niet met je eens. Ik ben ook jaren in vaste dienst geweest bij een financiele instelling, en teken ook zonder bezwaren.
Je bent een dienstverlener in een instelling die gaat over het in bewaring nemen van iemands levenswerk (of de vruchten daar van) en daar moet je ten alle tijden bewust mee omgaan.
Het gaat hier niet om een foutje maken .. je hebt een rechtzaak aan de broek, het gaat hier om werk instelling en persoonlijk verantwoordelijk zijn voor de keuzes die je maakt in je werk.
Als het voor alle medewerkers en externe inhuur verplicht wordt, betekent dat dan ook voor personeel als schoonmakers, kantinepersoneel, de mensen die de koffiemachine bijvullen etc? En indien niet, waarom niet, en indien wel, hoe worden die mensen geacht zich in te spannen het vertrouwen in de financiele sector te bevorderen?
Als het voor alle medewerkers en externe inhuur verplicht wordt, betekent dat dan ook voor personeel als schoonmakers, kantinepersoneel, de mensen die de koffiemachine bijvullen etc? En indien niet, waarom niet, en indien wel, hoe worden die mensen geacht zich in te spannen het vertrouwen in de financiele sector te bevorderen?
Ik heb geen idee of er uitzonderingen zijn voor facilitaire diensten.
Ik kan wel zeggen dat een vies kantoor met lege koffiemachines mij weinig vertrouwen geeft in een bedrijf.
(djezus . is dat nou zo moeilijk te bedenken ? telkens als ik hier lees snap ik waarom geen hond naar ITers luistert)
https://www.nvb.nl/media/document/002127_q-a-implementatie-bankierseed-tuchtrecht-nl.pdf
Als het voor alle medewerkers en externe inhuur verplicht wordt, betekent dat dan ook voor personeel als schoonmakers, kantinepersoneel, de mensen die de koffiemachine bijvullen etc? En indien niet, waarom niet, en indien wel, hoe worden die mensen geacht zich in te spannen het vertrouwen in de financiele sector te bevorderen?
Door geen afluisterapparatuur te plaatsen, door geen documenten te stelen of te kopieren, etc etc etc
Als het voor alle medewerkers en externe inhuur verplicht wordt, betekent dat dan ook voor personeel als schoonmakers, kantinepersoneel, de mensen die de koffiemachine bijvullen etc? En indien niet, waarom niet, en indien wel, hoe worden die mensen geacht zich in te spannen het vertrouwen in de financiele sector te bevorderen?
Een paar voorbeelden:
- Schoonmaker zorgt ervoor dat papier in de bakken voor de shredder ook daadwerkelijk in de shredder beland en niet met het oud papier op straat gezet wordt
- Kantinepersoneel houdt alles war ze in de kantine aan gesprekken hoort vertrouwelijk
https://www.nvb.nl/media/document/002127_q-a-implementatie-bankierseed-tuchtrecht-nl.pdf
Ah kijk dat is duidelijker. Dus geen schoonmakers, kantinemedewerkers en dergelijke, het betreft uitsluitend mensen die direct verantwoordelijk zijn voor werkzaamheden in de primaire processen van de bank. Dan klinkt zo'n eed al een heel stuk redelijker dan "iedereen die bij de bank werkt".
Een paar voorbeelden:
- Schoonmaker zorgt ervoor dat papier in de bakken voor de shredder ook daadwerkelijk in de shredder beland en niet met het oud papier op straat gezet wordt
- Kantinepersoneel houdt alles war ze in de kantine aan gesprekken hoort vertrouwelijk
En voor de mensen die dat totaal onbelangrijk lijkt, kijk eventjes een aantal andere threads hier op security.nl na...
Net zoals de butler het altijd gedaan heeft in klassieke detectives, is inbreken het eenvoudigste door je ergens als schoonmaker in te laten huren. Geen diploma's nodig, geen eed afleggen, overal toegang toe (want ook de extra beveiligde ruimte moet schoongemaakt, dat doen die lui uiteraard niet zelf, en ach, een schoonmaker, die weet toch niet wat al die geheimen betekenen...)
(Tenminste bij de bank waar ik werkte).
Een eed afleggen helpt echt niet tegen criminelen die vervolgens keyloggers installeren op toetsenborden als facalitair medewerker.
(Tenminste bij de bank waar ik werkte).
Een eed afleggen helpt echt niet tegen criminelen die vervolgens keyloggers installeren op toetsenborden als facalitair medewerker.
Een eed afleggen helpt tegen geen enkele vorm van criminaliteit. Het verhoogt alleen de (juridische) aansprakelijkheid: je kunt niet meer beweren dat je niet wist dat het niet mocht, en je hebt ook nog eens je eed gebroken.
Verbieden van wat dan ook helpt niet tegen criminaliteit anders zou de oplossing wel heel simpel zijn: gewoon criminaliteit verbieden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.