Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.
Antwoord: Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.
Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.
Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo'n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).
Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet "iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid" maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.
Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.
Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.
Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening "voor gezien" wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)
Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega's bezwaar maken en kijken of dat meer indruk maakt.
Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.
Wat zouden jullie doen?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
IT Security Officer
Wil jij werken bij een organisatie die het belang van informatiebeveiliging en privacy inziet en zich realiseert dat dit continue aandacht vergt? Als IT Security Officer bij Zaanstad heb je een coördinerende, ondersteunende en adviserende rol op het gebied van informatiebeveiliging. Een veelzijdige en uitdagende functie!
Digital Forensic Researcher
Netherlands Forensic Institute (NFI)
Immerse yourself in research projects covering the analysis, reparation, and accessing of modern integrated circuits at various levels, from packages to components. In addition, contribute to law enforcement in the Netherlands. You will only find that unique combination at the NFI, where you get to work as a digital forensic researcher and examiner.
Functionaris Gegevensbescherming (FG)
Als FG ben je de onafhankelijke toezicht-houder op naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen de gehele TU/e. Je houdt toezicht op de toepassing en naleving van de AVG door de universiteit op diverse domeinen: onderwijs, onderzoek, valorisatie en bedrijfsvoering.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.