image

Juridische vraag: Mag een chatdienst de werkgever toegang tot alle chats, inclusief privéberichten, van het personeel geven?

donderdag 29 maart 2018, 10:53 door Arnoud Engelfriet, 17 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik lees in de media dat chatdienst Slack werkgevers vanaf nu de privégesprekken van personeel laat downloaden. Je kunt als manager nu dus gewoon in bulk downloaden wat je mensen zeggen (zowel gewone kanalen als privéchats) en daar onbeperkt in grasduinen. Mag dat zomaar?

Antwoord: Slack is een populaire chatdienst die erg handig blijkt voor snelle bedrijfscommunicatie, intern maar ook met klanten. Chats zijn opgedeeld in kanalen waar je bijvoorbeeld in teamverband aan deelneemt, zodat je alleen relevante conversaties volgt. Daarnaast kun je privéberichten sturen naar een specifieke andere gebruiker. Gebruikers kunnen van het eigen bedrijf zijn, of van een andere organisatie zoals een klant - maar je partner zou ook op Slack kunnen zitten zodat je met hem/haar een chat kunt voeren voor privédoeleinden.

Onder de AVG heb je recht op inzage en recht op dataportabiliteit - concreet kun je een kopie van je data eisen van internetdienstverleners waar je een contract mee hebt, of waar je apart toestemming gaf voor de dataverwerking. En wel in XML of vergelijkbaar standaardformaat. Dus op zich is het niet meer dan logisch dat Slack je de optie geeft je chats te downloaden, dat is gewoon de invulling van dat recht. Alleen, wie een Plus- of Enterprise Grid-abonnement heeft, kan alle chats binnen dat abonnement downloaden, en ook privéberichten (direct messages). Waardoor je dus als werknemer binnen zo'n bedrijfsabonnement ineens jouw chats gedownload ziet.

Dit wringt natuurlijk, omdat de abonnementshouder niet het personeelslid is dat de chatdienst gebruikt. Want dat recht op inzage en dataportabiliteit is bedoeld voor het personeelslid om grip op zijn data te houden, niet voor de werkgever om eens rustig mee te lezen met wat mensen allemaal zeggen, zakelijk dan wel privé.

Tegelijkertijd hééft een werkgever soms het recht om inzage te krijgen in chats. Je hebt weliswaar privacy op het werk, maar die is niet onbeperkt. Als er een duidelijk bedrijfsbelang is om de chats te lezen, dan mag dat. Wel moet dit in een reglement zijn uitgewerkt en moet het in een concreet geval relevant en noodzakelijk zijn, maar het mag. (En in dat reglement zeggen dat de werkgever altijd alles mag zien, is niet rechtsgeldig.)

Het doet er dus uiteindelijk niet toe of de gesprekken via Slack gevoerd worden, via de mail of op een andere manier. Waar het om gaat is hoe privé het gesprek is en hoe groot het bedrijfsbelang is dat je daar tegenover stelt (en dat dus in je reglement is uitgewerkt).

Het downloaden van die gesprekken is dus op zich een toegestane functionaliteit, maar als werkgever mag je alleen die logs vervolgens aanraken als je een concrete aanleiding hebt die in je reglement in specifieke taal benoemd was. En dan mag je alleen zoeken naar zaken die uit die aanleiding volgen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
29-03-2018, 11:16 door Anoniem
Slack is vooral populair, het chat-app-van-de-week; "erg handig" voor iets dat op een gigantische berg javascript bouwt en makkelijk een paar CPUs opvreet voor "chatten" is mischien een beetje veel eer. Het is dan ook gewoon de zoveelste chatdienst, zoals elke generatie er wel een paar verzint en sommige zijn dan een tijdje populair. Ik denk dat er betere oplossingen te verzinnen zijn, zelfs met bestaande protocollen, maar zonder het "gemak" en vooral de hipheid van "cloud".
29-03-2018, 13:21 door Anoniem
Ik lees in de media dat chatdienst Slack werkgevers vanaf nu de privégesprekken van personeel laat downloaden

Slack is een zakelijke dienst, team messenger voor met je collega's voor collaboration. Dat is dus gewoon zakelijke communicatie, en het is bepaald dan ook niet raar dat je werkgever toegang heeft. Als je meer prive wilt communiceren, gebruikt dan gewoon een berichtendienst die *niet* van je werkgever is. Vrij simpel toch ?

Ik zou een slack omgeving van mijn werkgever nooit zien als een middel voor het bespreken van prive zaken, die mijn werkgever niets aan gaan.
29-03-2018, 13:37 door Anoniem
Wat ik niet begrijp is waarom er niet gewoon "prive" wordt gechat met de privemobiel. Gewoon werk en prive gescheiden houden dan heb je dit hele gezeur niet.
29-03-2018, 14:39 door Ron625
Voor e-mail is er (nog) geen brief geheim, dit betekend, dat wie het kan lezen, het ook mag lezen.
Waarom zou dat voor chat's anders zijn?
29-03-2018, 15:38 door Anoniem
Engelfried zit er imho naast. De AVG gaat niet over het contract tussen een werkgever en een chatdienst, maar om de bescherming van *natuurlijke* personen. Natuurlijke personen hebben recht op inzage en dataportabilliteit.

Als een bedrijf een contract met een chatdienst afsluit heeft het bedrijf niet op grond van de AVG recht op inzage. Als de beschrijving van de inzage implementatie van Slack klopt, is dat bedenkelijk. Alleen als de werknemers van de werkgever op de hoogte zijn middels een voorafgaand kenbaar reglement dan mag de werkgever inzage hebben (en vlg mij ook weer niet als een chat of bericht prive gemarkeerd is).
29-03-2018, 16:13 door Anoniem
Door Ron625: Voor e-mail is er (nog) geen brief geheim, dit betekend, dat wie het kan lezen, het ook mag lezen.
Waarom zou dat voor chat's anders zijn?
https://www.rijksoverheid.nl/actueel/nieuws/2017/04/18/grondwet-bij-de-tijd-e-mail-ook-onder-briefgeheim
29-03-2018, 16:15 door Anoniem
Voor e-mail is er (nog) geen brief geheim, dit betekend, dat wie het kan lezen, het ook mag lezen.

Volstrekte onzin, het feit dat er geen briefgeheim bestaat voor email, wil niet zeggen dat verdere wetten, bijvoorbeeld op het gebied van privacy, niet van toepassing zijn.

Zie bijvoorbeeld :

Wanneer mag een werkgever in de mailbox van een medewerker kijken?
https://www.sprengersadvocaten.nl/publicaties/wanneer-mag-een-werkgever-zich-toegang-verschaffen-tot-de-mailbox-van-een-medewerker/
29-03-2018, 16:27 door Anoniem
Door Ron625: Voor e-mail is er (nog) geen brief geheim, dit betekend, dat wie het kan lezen, het ook mag lezen.
Waarom zou dat voor chat's anders zijn?

Dat boeit niet in deze context, want voor post binnen een bedrijf is er ook geen briefgeheim.
Als er niet uitdrukkelijk is als PERSOONLIJK of VERTROUWELIJK ofzo op de buitenkant van een brief staat dan
mag een (afdeling van) een bedrijf deze gewoon openen en verwerken in een inkomende post registratie, eventueel
zelfs heel de inhoud. Er zijn zat bedrijven waar alle inkomende post gescanned wordt zodat het verder electronisch
verwerkt kan worden (als mail of via sharepoint oid).
29-03-2018, 20:42 door Arno Nimus - Bijgewerkt: 29-03-2018, 20:42
Door Anoniem:
Ik lees in de media dat chatdienst Slack werkgevers vanaf nu de privégesprekken van personeel laat downloaden
[...]
Vrij simpel toch ?
[...]
Zo simpel zit het dus duidelijk niet. Zoals Arnoud hier zelf ook al aanhaalt, mag het alleen onder zeer strikte voorwaarden. Denk aan een *sterke vermoeden* van fraude. Dus niet zoiets als "nou, ik heb gisteren gehoord dat Harry een puntenslijper voor thuis heeft besteld op kosten van ons bedrijf"

Ben je bijvoorbeeld op vakantie en ben je vergeten een Out of Office-reply in te stellen, is dat argument niet zwaarwegend genoeg waarmee jouw leidinggevende toegang tot jouw mailbox kan eisen.

Neemt niet weg dat het altijd goed is om werk en privé strikt gescheiden te houden. Eén van de redenen waarom ik regelmatig voor gek versleten word is dat ik trouw vast blijf houden aan mijn eigen privé-telefoon. Als ik zin heb om 10GB in een dag te verstoken, funzige fotootjes naar m'n partner te sturen of met mijn privé-toestel dubieuze mails vanaf mijn privé-mail te sturen, dan kan ik dat gewoon doen zonder er ooit op enig moment geconfronteerd te worden omdat ik op enig moment mijn werktelefoon moet inleveren. Ander voordeel is dat ik in mijn vrije tijd op elk gewenst moment mijn werktelefoon naast me neer kan leggen.
29-03-2018, 22:23 door Ron625
@Anoniem 16:13 Dat zeg ik dus, het is er nog niet.

Door Anoniem 16:27:
Voor e-mail is er (nog) geen brief geheim, dit betekend, dat wie het kan lezen, het ook mag lezen.
Volstrekte onzin, het feit dat er geen briefgeheim bestaat voor email, wil niet zeggen dat verdere wetten, bijvoorbeeld op het gebied van privacy, niet van toepassing zijn.
Wat ik bedoelde is, dat een email (bijna) dezelfde status heeft, als een briefkaart.
30-03-2018, 00:22 door Anoniem
Het is niet verplicht je privé account te koppelen... het blijft een tool van je werkgever en die moet voor GDPR ook monitoren, al is het beter dat met dlp oplossingen te doen dan met de hand.

Maar je zomaar privé toegang geven in de zakelijke omgeving is nu eenmaal een veel hoger risico op databanken.
30-03-2018, 00:28 door Anoniem
Door Anoniem: Engelfried zit er imho naast. De AVG gaat niet over het contract tussen een werkgever en een chatdienst, maar om de bescherming van *natuurlijke* personen. Natuurlijke personen hebben recht op inzage en dataportabilliteit.

Als een bedrijf een contract met een chatdienst afsluit heeft het bedrijf niet op grond van de AVG recht op inzage. Als de beschrijving van de inzage implementatie van Slack klopt, is dat bedenkelijk. Alleen als de werknemers van de werkgever op de hoogte zijn middels een voorafgaand kenbaar reglement dan mag de werkgever inzage hebben (en vlg mij ook weer niet als een chat of bericht prive gemarkeerd is).

Volgens mij is er ook de plicht voor adequate beveiliging.
In principe dus alle privé zooi dicht want niet te monitoren... als jij privé koppelt aan de zakelijke slack kan je dus zomaar datablekken en je werkgever zou dat niet mogen monitoren?

Hoe wil je werkgever zonder monitoring van welke data naar buiten gaat voldoen aan GDPR?
30-03-2018, 11:09 door Anoniem
Er wordt in het bovenstaande kennelijk meteen vanuit gegaan dat "de werkgever kan downloaden" meteen betekent dat
"de manager zit mee te lezen". Echter dat hoeft helemaal niet het gebruik te zijn wat de werkgever hier van maakt.
Het kan net zo goed zijn dat er een programma draait wat deze downloads doet en deze vervolgens scanned op
persoonsgegevens zoals BSN oid, om op die manier te waarschuwen voor mogelijk incorrect gebruik van zo'n dienst.

Dit gebeurt ook met mail. Er zijn virusscanners, spamfilters, en ook scanners op dat soort gegevens die volautomatisch
gebeuren maar wel moeten beschikken over de berichten, maar dat betekent niet dat er ook iemand zit mee te lezen.
30-03-2018, 11:10 door Anoniem
Zo simpel zit het dus duidelijk niet. Zoals Arnoud hier zelf ook al aanhaalt, mag het alleen onder zeer strikte voorwaarden. Denk aan een *sterke vermoeden* van fraude.

Een werkgever mag dus alleen kijken naar de gegevens in een *zakelijke collaboration tool* waar je als team leden in werkt *voor bedrijjfsdoeleinden* indien er sprake is van fraude ? Lachwekkend. Straks zeg je nog dat je werkgever alleen mag kijken naar de documenten welke je schrijft voor je werk, bij vermoeden van fraude.
30-03-2018, 11:16 door Anoniem
Zo simpel zit het dus duidelijk niet. Zoals Arnoud hier zelf ook al aanhaalt, mag het alleen onder zeer strikte voorwaarden

Zo simpel ligt het wel, als je slack gebruikt waar het voor bedoeld is. Juridisch gezien heb je gelijk, maar wie gaat nou vertrouwelijke zaken, welke niet bestemd zijn voor de werkgever, communiceren via een interne collaboration tool, welke je hebt voor zakelijke doeleinden. Gebruik je verstand ;)
31-03-2018, 16:04 door Krakatau - Bijgewerkt: 31-03-2018, 16:05
Door Anoniem: Slack is vooral populair, het chat-app-van-de-week; "erg handig" voor iets dat op een gigantische berg javascript bouwt en makkelijk een paar CPUs opvreet voor "chatten" is mischien een beetje veel eer. Het is dan ook gewoon de zoveelste chatdienst, zoals elke generatie er wel een paar verzint en sommige zijn dan een tijdje populair. Ik denk dat er betere oplossingen te verzinnen zijn, zelfs met bestaande protocollen, maar zonder het "gemak" en vooral de hipheid van "cloud".

Een moderne website heeft dat soort functionele JavaScript nodig. De gebruikerservaring uit de vorige eeuw, waarbij je een pagina moet verversen om de meest recente ervaring te krijgen is echt niet mee van deze tijd. Het gaat meer richting de SPA - Single Page App - wat een gebruikservaring geeft vergelijkbaar met die van een smartphone app. Dat is niet alleen maar 'hip' en Slack biedt veel meer dan alleen 'chatten'
03-04-2018, 19:46 door Patio
Door Anoniem: Wat ik niet begrijp is waarom er niet gewoon "prive" wordt gechat met de privemobiel. Gewoon werk en prive gescheiden houden dan heb je dit hele gezeur niet.

Precies. Als je de werksmartfoon privé gebruikt, bel je toch gewoon en/of gebruik een app waar het bedrijf geen abonnemet of ander cont(r)act mee heeft. Neem er desnoods een eigen telefoon bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.