image

Een pop-up bij het inloggen is geen toestemming om je mail te lezen

woensdag 19 januari 2022, 14:46 door Arnoud Engelfriet, 8 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Als het loginscherm van je werk "Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials." zegt, mag je baas dan je systeem monitoren? Of ligt dat in Nederland anders gezien de AVG?

Antwoord: De vraagsteller doelt vermoedelijk op een recent vonnis van de rechtbank Midden-Nederland bij een wat merkwaardige ontslagzaak. Een man werkte sinds 1997 bij een bedrijf dat iets financieels deed (mijn gok: een bank). In 2021 startte de afdeling Corporate Security & Investigations een onderzoek vanwege niet-gemelde nevenbelangen en een vermoeden van hypotheekfraude. De signalen daarover zouden al in 2018 en/of 2019 zijn opgedoken, en tijdens het onderzoek is de mail en het systeem van de werknemer doorzocht.

Er bleek niet echt een reglement e-mail/internet monitoring lijkt te zijn, iets dat wel gewoon een harde eis is sinds toch alweer heel wat jaartjes (wat, is het al 2022). De werkgever zwaaide met een Reglement verwerking persoonsgegevens door middel van Personeelsvolg- en informatiesystemen en

stelt dat dit Reglement met instemming van de Centrale Ondernemingsraad [N.V.] tot stand is gekomen en op […] , dat voor alle medewerkers toegankelijk is, is gepubliceerd. [eiseres] wijst erop dat in paragraaf 3 op bladzijde 3 van het Reglement is beschreven dat [N.V.] medewerkers mag controleren wanneer er zodanige verdenkingen van overtreding van de Algemene Gedragscode [N.V.] Nederland en/of misbruik en/of ander laakbaar en/of strafbaar gedrag zijn, dat een dergelijke controle gerechtvaardigd is.

Dat is allemaal leuk en aardig, alleen zo merkt de kantonrechter op:

Zonder kennis van de aard van [de in 2018/19 gegeven] signalen – en daarmee van een concrete legitieme grond ter rechtvaardiging van deze monitoring – kan niet worden vastgesteld of de monitoring aan de vereisten van proportionaliteit heeft voldaan. Ook kan niet worden vastgesteld of de verwijten die [eiseres] [verweerder] maakt en die zij aan het ontbindingsverzoek ten grondslag heeft gelegd, direct verband houden met deze signalen of dat sprake is van "bijvangst". Daarbij is ook van belang dat [eiseres] geen informatie heeft verstrekt over de mate waarin en de wijze waarop de monitoring plaatsvindt. Het Reglement en de Procedure bij Onregelmatigheden die [eiseres] in het geding heeft gebracht, geven hierover geen uitsluitsel.

Een probleem was namelijk dat de afdeling CSI niet kon of wilde laten zien om welke signalen het precies ging en hoe men daarbij deze werknemer op de korrel had gekregen. Daarnaast ging het dus mis op het punt van de werknemer informeren dat er kan worden gemonitord, en wat en wanneer. Want die zin die de vraagsteller hierboven citeerde, kwam uit de loginbanner:

WARNING Access only to persons explicitly authorized by [N.V.] [..] . Regulations for the use and security of [N.V.] hardware, software, electronic communication, device, and databases as stated in the General Code of Conduct (=sw de Algemene Gedragscode [N.V.] ) are applicable. Users may be monitored. Users of this system expressly consent to such monitoring and are advised that if such monitoring reveals possible criminal activity security staff may provide the evidence of such monitoring to law enforcement officials.

Inderdaad, dit leest als een standaardtekst die mogelijk ten tijde van de ISO 27001 certificering erin gezet is of van een willekeurige "web security policy" overgenomen is (google de laatste zin maar). Al is het maar vanwege dat rare "staff may inform law enforcement", dat is gewoon niet hoe een grote bank anno 2022 werkt. Een BBS in 1993 of een terminal in de leeszaal van een universiteit in de jaren tachtig, ja daar wel.

Hoe dan ook, met zo’n tekst kom je er niet. Niet nodig en niet relevant. Zorg dat je een duidelijk en specifiek reglement hebt, én zorg dat je mensen informeert over het monitoren dat je mogelijk kunt gaan doen. (Dus niet: hoi Jaap, we gaan je vanaf maandag gericht monitoren. Maar: Jaap en collega's, op deze afdeling kan worden gemonitord op misbruik van bedrijfsgeheimen.) En doe dan ook wat je in je reglement zegt: hoe vaak ik zie dat het reglement zegt "misbruik van bedrijfsgeheimen" en er dan wordt gemonitord op zeg intimidatie op de werkvloer.

Omdat het onduidelijk is wat de signalen waren en waarom men daarop een onderzoek startte, heeft de rechter geen keus dan de hele stapel bewijs het raam uit te gooien. Dan blijft er dus geen zaak over, en is er dus ook geen ontslag. Meneer mag dus weer gewoon aan het werk; ongetwijfeld een gezellige nieuwjaarsborrel komende donderdag. Maar dat terzijde.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (8)
19-01-2022, 15:23 door Anoniem
....(mijn gok: een bank).
....rechtbank Midden-Nederland...

Mijn gok: Rabobank
19-01-2022, 15:39 door MathFox
Als mijn baas zegt "log in op site X voor je werk" en site X komt met algemene voorwaarden dan is mijn baas de wederpartij van site X en ben ik dat persoonlijk niet. Als de baas site X beheert sluit hij een overeenkomst met zichzelf...
Ja, een werkgever kan richtlijnen geven bij het gebruik van haar computers, maar moet even door een aantal hoepels heen springen (toestemming OR) en de richtlijnen moeten "redelijk en billijk" zijn.

In dit geval speelt ook de vraag waarom werkgever "signalen" meer dan twee jaar op een plank laat liggen en wat deze "signalen" nu precies waren. Privé-emails bekijken mag (in alle redelijkheid) pas als er een gegrond vermoeden van misstanden is. Laat de rechter nu niet kunnen bepalen wat de vermoedens waren en helemaal niet waarop ze gegrond waren.
19-01-2022, 15:44 door Anoniem
Op zich is het natuurlijk ook best dom om met middelen die je niet zelf onder beheer hebt enige vorm van communicatie te doen die je niet publiek wilt hebben...
19-01-2022, 17:11 door Anoniem
Door Anoniem: Op zich is het natuurlijk ook best dom om met middelen die je niet zelf onder beheer hebt enige vorm van communicatie te doen die je niet publiek wilt hebben...

Precies dit. Waarom zou z'n apparaat in vredesnaam vertrouwen met je gegevens. Nee bedankt.
19-01-2022, 21:01 door johanw - Bijgewerkt: 19-01-2022, 21:01
Vervolgens vliegt de werknemer er natuurlijk alsnog uit wegens een verstoorde arbeidsrelatie. Maar dit keer wel met een ontslagvergoeding omdat de oorzaak van de verstoring juridisch gezien bij de werkgever ligt.
19-01-2022, 23:46 door Anoniem
Lang leve de onafhankelijke rechter, geweldige uitspraak. Koppie erbij en nuchter afgewogen. Zelfs zonder er bij te betrekken dat zo een popup Hollywood Engels is. Wat het een extra elegante uitspraak maakt.
20-01-2022, 00:10 door MathFox
Door johanw: Vervolgens vliegt de werknemer er natuurlijk alsnog uit wegens een verstoorde arbeidsrelatie. Maar dit keer wel met een ontslagvergoeding omdat de oorzaak van de verstoring juridisch gezien bij de werkgever ligt.
De rechter heeft de arbeidsovereenkomst in stand gelaten. De positie van de werkgever (en zijn advocaat) in de onderhandelingen met de werkgever is aanzienlijk versterkt en een bedrag extra op de transitievergoeding zit er zeker in. Als ik de uitspraak lees zou het mij niet verbazen als de werkgever in beroep gaat en daarmee de zaak nog een klein jaartje rekt.
24-01-2022, 17:43 door Anoniem
Ik ben geen jurist, maar als ik de uitspraak zo lees, dan is het probleem niet zozeer de popup of het regelment over monitoring, maar het feit dat de werkgever op zo'n geen enkele manier wilde aangeven wat de signalen waren die tot het onderzoek naar de persoon leidden. En verder niet aangaf wat er standaard gemonitoord word en daarmee is dan ook niet te bepalen of monitoring en die maatregelen proportioneel waren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.