In verband met een reorganisatie word ik door HR verplicht een auto-reply in te stellen. Kan dit zomaar?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Bij mijn werkgever speelt momenteel een grotere reorganisatie, waarbij velen (waaronder ook ik) hun baan gaan verliezen. HR heeft alle medewerkers geïnstrueerd een automatische reply in te stellen met een tekst die erop neerkomt dat je er niet meer werkt en met wie de wederpartij contact moet opnemen.
Ik vind dit prematuur, omdat ik hier nog steeds werk en het collectief ontslag nog niet is goedgekeurd. Daarop heeft HR de accounts overgenomen (met hulp van IT) en het bericht zelf ingesteld. Ik kan niet meer bij mijn mail of bestanden en mijn contactpersonen lezen nu dat ik vanaf dd/mm hier niet meer werk. Kan dit zomaar?
Antwoord: Vragen als deze krijg ik vaak wanneer er iets met ict-systemen of persoonsgegevens gebeurt in de context van een reorganisatie of ontslag. Men wil daar bezwaar tegen maken en zoekt dan naar wetten die worden overtreden, want dat is een hele stevige om een punt mee te kunnen maken.
Het probleem is: situaties als deze zijn zeer specifiek, en de wet heeft daar geen pasklaar antwoord op. Bovendien is de oplossing lang niet altijd de zuiver juridische route. Dit maakt het erg lastig om vragen als deze te beantwoorden, maar laten we het toch proberen.
De kern van de vraag is dat het bedrijf een persoonsgebonden zakelijk account laat beheren door een ander persoon. Op zich is dat rechtmatig: die accounts zijn van het bedrijf, en het bedrijf bepaalt dus wat ermee gebeurt. Het bedrijf moet als goed werkgever wel rekening houden met de privacy, gegevensbescherming en andere belangen van de werknemer.
Een situatie waarin zo'n overname prima is, is als de werknemer ziek is en het werk door moet. Dan moet je in die mailbox kunnen om relevante mails op te duikelen. (Beter is natuurlijk dat er geen kritische informatie alleen in een mailbox zit, maar we hebben nog een lange weg te gaan hierin.) Mails _versturen_ uit die mailbox vind ik een stuk spannender, maar in een kleine organisatie verdedigbaar als het bedrijfsbelang groot is en de collega zich duidelijk kenbaar maakt: "Bedankt voor je mail aan Wim, hij is ziek maar ik Kees neem het over".
Hier gaat het meer om een conflict. De werkgever wil de klant tijdig informeren over de opvolging van deze Wim, en daar is zo'n automatische reply een standaardmanier voor. Voorschrijven dat je een dergelijke reply aanzet en met welke strekking is gewoon de instructiebevoegdheid van de werkgever, dus dat had Wim moeten doen. En ja, ook als het nog niet de laatste werkdag is: overdracht van werk kan en mag prima al eerder geregeld worden.
Het is alleen weer geen goed werkgeverschap om een onjuiste mededeling uit te laten gaan. Als Wim zijn ontslag er inderdaad nog niet door is, dan kun je hem niet verplichten "per dd/mm werk ik hier niet meer" in de mail te zetten. (Mogelijk weet HR meer dan Wim, maar dan is het weer zeer ongepast om op die manier Wim zijn ontslag aan te zeggen.)
Daar komt bij dat door deze handelwijze van HR Wim niet meer kan werken: zijn mail is ontoegankelijk, net als alle applicaties en bestanden die hij nodig heeft. Ik weet niet om wat voor reorganisatie het gaat, maar kan me moeilijk voorstellen dat Wim en collega's per direct overbodig zijn.
De beste koers lijkt me dan ook om op basis van deze onmogelijkheid om te werken een escalatie te doen: beste directeur, graag wil ik blijven werken, alleen heeft HR mijn account uitgezet dus ik kan niets doen. Ik hoor graag je oplossing.
Het zou kunnen dat de werkgever dan zegt, dat is helemaal goed je bent per direct vrijgesteld en we laten je weten hoe het verder gaat. Afdwingen dat je bij je account kan terwijl je die niet nodig hebt voor het werk, is niet mogelijk. Ik snap dat je dan relaties niet meer zelf kunt informeren, maar dat is een te klein belang om alsnog toegang te eisen.
Je kunt dit gebruiken als een opstap naar een discussie over de inhoud van de autoreply. Als het ontslag er inderdaad nog niet door is, dan is de mededeling prematuur en mogelijk schadelijk voor de reputatie van Wim.
In theorie is een kopie van je mailbox opeisen via de AVG mogelijk. Berichten van en naar jou zijn persoonsgegevens. Maar onduidelijk is of dat recht dan gaat over enkel de metadata "je kreeg op 3 maart een mail van Kees" of dat de volledige lap tekst van Kees er bij mag. Verder krijg je dan direct discussies over bedrijfsgeheimen en relatiebedingen, wat een enorme ruis in het toch al aanwakkerende bedrijfsconflict gaat geven. Ik zou deze route dus afraden.
Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.
Ben je vrijgesteld van werkzaamheden ? Zolang je niet hoeft te werken, heb je geen reden om nog toegang te eisen tot het email account. Staat los van het feit of ontslag wordt goedgekeurd of niet. En je hebt geen zakelijk email nodig, om in bezwaar te gaan, tegen ontslag.
Het is totaal onduidelijk of de vraagsteller nog werkzaam is voor de werkgever, of niet.
Maar er staat ook:
" Ik kan niet meer bij mijn mail of bestanden en mijn contactpersonen lezen nu dat ik vanaf dd/mm hier niet meer werk."
Als je effectief niet meer kunt werken (maar nog wel betaald wordt), wat ga je dan doen?
Koffieleuten, duimendraaien, in de tuin schoffelen, surfen?
Het lijkt "Het kantoor" wel. Betaald niet hoeven werken. Een luxe baantje.
Maar zoals Arnoud al aangeeft, dat is wel iets wat bij de leidingegevende of directeur neergelegd kan worden.
Helderheid.
En ondertussen vast een andere baan zoeken, in de baas zijn tijd.
Als je toch niet meer kan werken...
Aangezien je nooit volledige controle hebt over die zakelijke mailbox, zou ik dat niet gebruiken voor belangrijke privé mail. En de rest in niet belangrijk. Zou gemist moeten kunnen worden.
Dat moet je je altijd afvragen: ik laat deze privé mail in mijn zakelijke account aankomen. Waarom?
Kan ik het missen als ik er niet meer bij kan? Zo nee, dan of niet daar naar toe laten sturen of meteen doorsturen (en verwijderen).
Gewoon je gezonde verstand gebruiken.
Enige paranoia ontwikkelen kan ook helpen.
Vooruit-kijken en -plannen.
Zou best kunnen dat het 'ja' is, weten we natuurlijk niet. Lijkt me wel aannemenlijk als het werken verder onmogelijk gemaakt is (als in 'je mag niet meer inloggen' of 'je mag niet meer binnen' of 'toegangspas is ongeldig').
Je hebt natuurlijk ook geen garantie dat je er altijd bij kan, dus houd het gescheiden.
Het feit dat dat wordt toegestaan, maakt je nog geen eigenaar van de mailbox. Verder zal je, tenzij de relatie verstoort is, dergelijke issues vaak gewoon kunnen oplossen. Het feit dat je een folder prive hebt, is niet iets waar je enig recht aan kunt ontlenen, op het houden tot toegang, tot een zakelijk email account. Wanneer je weet dat je account afgesloten gaat worden, dan kan je verder zelf op tijd aktie ondernemen ?
Klinkt echt als een droom, op non actief gesteld worden, en je baan verliezen. Wat ik dan zou doen ? Hard op zoek gaan naar een nieuwe baan.
Stuur een formeel bezwaar naar HR (kopie naar je manager en eventueel OR), waarin je meldt dat:
- je nog in dienst bent;
- het auto-replybericht feitelijk onjuist is;
- je geen toestemming hebt gegeven voor deze wijziging;
- je formeel verzoekt om per direct herstel van je accounttoegang en verwijdering van het automatische bericht.
Noteer alles schriftelijk: datum van blokkade, wat er gezegd is, wat jij hebt gedaan.
Neem contact op met een arbeidsrechtjurist of vakbond om je rechtspositie te versterken.
Het feit dat dat wordt toegestaan, maakt je nog geen eigenaar van de mailbox. Verder zal je, tenzij de relatie verstoort is, dergelijke issues vaak gewoon kunnen oplossen. Het feit dat je een folder prive hebt, is niet iets waar je enig recht aan kunt ontlenen, op het houden tot toegang, tot een zakelijk email account. Wanneer je weet dat je account afgesloten gaat worden, dan kan je verder zelf op tijd aktie ondernemen ?
Ken genoeg personen die zich geen eigen laptop kunnen veroorloven, en dan is het privé mogen gebruiken van een zakelijke laptop een extra bonus. Wel kun je in een variant van BYOD perikelen terechtkomen (ook de werkgever), maar inderdaad, als je weet dat je account afgesloten gaat worden kun je trachten tijdige maatregelen te nemen. Ken er helaas ook genoeg die vergeten waren dat hun Reset Password Mail nog steeds in hun (voormalige) zakelijke mail terecht kwam.
In wat voor juridisch geharrewar de (aanstaande) (ex) werknemer en/of (aanstaande) (failliete) werkgever, en andere ellende, terecht kunnen komen wanneer privé en zakelijk gemixt worden is de vraag natuurlijk. Een werkgever die privé en zakelijk toestaat doet er wellicht verstandig aan om de zakelijke laptop strikt zakelijk te houden, en daarnaast een 100% privé apparaat er naast te geven? Als aanstellings- of loyaliteitsbonus?
Het feit dat dat wordt toegestaan, maakt je nog geen eigenaar van de mailbox. Verder zal je, tenzij de relatie verstoort is, dergelijke issues vaak gewoon kunnen oplossen. Het feit dat je een folder prive hebt, is niet iets waar je enig recht aan kunt ontlenen, op het houden tot toegang, tot een zakelijk email account. Wanneer je weet dat je account afgesloten gaat worden, dan kan je verder zelf op tijd aktie ondernemen ?
Ken genoeg personen die zich geen eigen laptop kunnen veroorloven, en dan is het privé mogen gebruiken van een zakelijke laptop een extra bonus.
Sure .
Het soort werk waarbij je een 'zakelijke laptop' krijgt en dan prive geen enkele computer kunnen veroorloven ?
Tuurlijk .
Of voelen ze zich ook nog te goed voor een kringloop dingetje ?
Maar dan nog : zakelijk apparaat gebruiken wil niet zeggen dat je email ook op je zakelijke adres binnenkomt.
Wel kun je in een variant van BYOD perikelen terechtkomen (ook de werkgever), maar inderdaad, als je weet dat je account afgesloten gaat worden kun je trachten tijdige maatregelen te nemen. Ken er helaas ook genoeg die vergeten waren dat hun Reset Password Mail nog steeds in hun (voormalige) zakelijke mail terecht kwam.
Dat is onhandig inderdaad. Voor zakelijke accounts zou het wel zo moeten zijn , en die hoor je niet meer nodig te hebben na het werk .
In wat voor juridisch geharrewar de (aanstaande) (ex) werknemer en/of (aanstaande) (failliete) werkgever, en andere ellende, terecht kunnen komen wanneer privé en zakelijk gemixt worden is de vraag natuurlijk. Een werkgever die privé en zakelijk toestaat doet er wellicht verstandig aan om de zakelijke laptop strikt zakelijk te houden, en daarnaast een 100% privé apparaat er naast te geven? Als aanstellings- of loyaliteitsbonus?
Koop je eigen zut, dat doet iedereen. Elke bijstandtrekker loopt met een super telefoon.
-neem niets mee van je werkgever ( anders krijg je daar achteraf gezeik over)
-bel al je relaties dat je beschikbaar bent
-update je CV.
-zet linkedin op open for work
-zet je CV op zoveel mogelijk vacaturesites
-doe zoveel mogelijk sollicitatie gesprekken in de tijd van de baas. ( vervuiler betaald ;)
En als je in de IT security zit, je zit zo ergens anders.. en denk er aan is schaarste. en jijj ben de topper..
-neem niets mee van je werkgever ( anders krijg je daar achteraf gezeik over)
-bel al je relaties dat je beschikbaar bent
-update je CV.
-zet linkedin op open for work
-zet je CV op zoveel mogelijk vacaturesites
-doe zoveel mogelijk sollicitatie gesprekken in de tijd van de baas. ( vervuiler betaald ;)
En als je in de IT security zit, je zit zo ergens anders.. en denk er aan is schaarste. en jijj ben de topper..
Met al deze acties geef je aan dat je het eigenlijk eens bent met het ontslag omdat je al acteert alsof het een gegeven is. Mocht het tot een (individuele) rechtszaak komen, dan zal dit zeker mee spelen in het oordeel van de rechter...
-neem niets mee van je werkgever ( anders krijg je daar achteraf gezeik over)
-bel al je relaties dat je beschikbaar bent
-update je CV.
-zet linkedin op open for work
-zet je CV op zoveel mogelijk vacaturesites
-doe zoveel mogelijk sollicitatie gesprekken in de tijd van de baas. ( vervuiler betaald ;)
En als je in de IT security zit, je zit zo ergens anders.. en denk er aan is schaarste. en jijj ben de topper..
Met al deze acties geef je aan dat je het eigenlijk eens bent met het ontslag omdat je al acteert alsof het een gegeven is. Mocht het tot een (individuele) rechtszaak komen, dan zal dit zeker mee spelen in het oordeel van de rechter...
Arbeidsrecht zaken zijn voor 99% gewoon hamerstukken , en of je wel of niet bezig lijkt te accepteren maakt niet zoveel uit.
Formeel beschikbaar blijven voor werk , uitkijken naar plan B, en een expert (jurist) laten onderhandelen .
Je procedeert vrijwel altijd voor het geld en niet voor het houden van een baan, want tegen de tijd dat je voor de rechter staat is de "arbeidsrelatie al duurzaam verstoord" .
Het maximale geld dat eruit te halen is ('kantonrechtersformule') is fors minder geworden dan het ooit was.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
SOC Lead
Directie Informatievoorziening & Inkoop
Als SOC Lead ben jij verantwoordelijk voor het aansturen van de dagelijkse operatie binnen het SOC. Je stuurt medewerkers functioneel aan en rapporteert aan de manager. Daarnaast ben je ook betrokken bij SOC-werkzaamheden, zoals het detecteren en afhandelen van security incidenten. Je verzamelt dreigingsinformatie, richt detectie-regels in, en zorgt ervoor dat aanvallers vroegtijdig worden geïdentificeerd.
Senior Security Specialist
Directie Informatievoorziening & Inkoop
Als senior security specialist ben je verantwoordelijk voor het detecteren en af-handelen van (mogelijke) security incidenten. Je vergaart dreigingsinformatie en richt de-tectieregels in op basis van risico's, zodat aanvallers in een vroeg stadium geïden-tificeerd kunnen worden. Deze risico's haal je actief op bij systeemeigenaren. Wanneer een dreiging wordt gedetecteerd, zorg jij ervoor dat de juiste acties worden uitgezet en voorzie jij alle stakeholders van handelings-perspectief.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.