Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465

Factsheets / Bring your own device juridisch bekeken

Het fenomeen Bring your own device (BYOD), waarbij werknemers werken met hun eigen laptop of smartphone, wint snel aan populariteit.

De voordelen zijn immers evident: iedere werknemer gebruikt de apparaten die hij het prettigst vindt, en kan deze tevens voor privézaken inzetten. Maar voor werkgevers ontstaan er ook nieuwe zorgen. Wie is verantwoordelijk (en dus aansprakelijk) bij datalekken, virussen en andere problemen? Mag de werkgever het ICT-beleid onverkort handhaven op deze privéapparaten?

> Download de Factsheet BYOD juridisch bekeken

Maak zelf uw BYOD-reglement met onze generator op JuriDox.nl.

1. Aansprakelijkheid

De werkgever bepaalt welk werk er gebeurt en hoe, inclusief concrete werkinstructies. De werknemer heeft deze uit te voeren, en hoewel overleg gebruikelijk is, is het uiteindelijk de werkgever die de knoop doorhakt. Vanwege die bijzondere relatie is het de werkgever die aansprakelijk is voor (bijna) alle schade die de werknemer lijdt – maar ook voor schade die derden lijden door wat de werknemer doet.

Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het zelf meegenomen apparaatvan de werknemer schade berokkenen. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.

De werknemer is naar de werkgever of naar derden toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met een BYOD apparaat bedrijfsmail leest, waarna een Outlookworm op dat apparaat een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering want hij was werkmail aan het afhandelen. Een werknemer die illegale games downloadt, handelt niet binnen de arbeidsovereenkomst want dat behoort totaal niet tot zijn werk. Hij is dus zelf aansprakelijk voor die schade.

2. Monitoren en toezicht

Om problemen met aansprakelijkheid bij BYOD te voorkomen, overwegen veel bedrijven om strenge eisen te stellen aan de beveiliging van de privéapparaten. Ook wordt wel voorgesteld om die apparaten te voorzien van speciale software waarmee het bedrijf op afstand de controle kan overnemen en bijvoorbeeld bestanden kan wissen of doorzoeken.

Werkgevers kunnen niet zomaar de apparatuur van hun werknemers controleren. De privacy van de werknemer gaat onder normale omstandigheden boven het bedrijfsbelang. Een werknemer mag een redelijk niveau van privacy verwachten op de werkplek, en dus ook bij gebruik van zijn apparatuur. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren of bijhouden wat individuele werknemers doen. Dit moet dan ook nog eens vooraf in een duidelijk ICT-reglement zijn vastgelegd.

3. Rol van de Ondernemingsraad

Wanneer een bedrijf een ondernemingsraad (OR) heeft, heeft deze zeggenschap over reglementen die personeelscontrole of verwerking van persoonsgegevens betreffen. Dit raakt dus ook BYOD, wanneer de werkgever regels stelt dat hij mag loggen wat er op deze privéapparaten gebeurt.

Een regel die niet “gedrag of prestaties” van de werkgever raakt, valt hierbuiten. De regel “eigen apparatuur moet voorzien zijn van adequate virusscanners” kan dus gesteld worden zonder instemming van de OR. Maar de regel “werknemer dient op verzoek IT toegang te geven tot opgeslagen informatie op de privésmartphone” vereist wel instemming. Net als de regel “werknemer dient GPS-beaconsoftware te installeren zodat werkgever te allen tijde de locatie van het apparaat kan vaststellen”.

4. Beveiliging afdwingen

Werkgevers mogen wél instructies geven over de beveiliging. Dat valt binnen hun algemene bevoegdheid, en zolang de instructies redelijk zijn, kan de werkgever deze eenzijdig opleggen. Een werkgever kan dus eisen dat er adequate beveiliging wordt gehanteerd, of dat persoonsgegevens niet mogen worden doorgemaild of verwerkt op andere computers.

Die instructies kunnen gekoppeld zijn aan technische maatregelen, zoals een scan of de privéapparatuur wel de laatste beveiligingsupdates heeft. Dat is toegestaan. Wanneer de maatregelen leiden tot monitoring door of rapportage aan het management, komt de werkgever in grijs gebied. Dergelijke maatregelen vallen onder de Wet bescherming persoonsgegevens, omdat ze raken aan de privacy van de werknemer. Hier moet een duidelijke rechtvaardigingsgrond voor zijn, én er moet geen ander middel zijn dan dit om die grond te kunnen realiseren. Zomaar monitoren of meekijken is dus niet mogelijk.

5. Wel of geen BYOD?

Bring your own device is een nieuw fenomeen, dat echter niet goed aansluit bij de wettelijke regels voor werknemers. Om hierin toch meer zekerheid en duidelijkheid te introduceren, is het zeer verstandig eigen beleid te formuleren. Bepaald kan worden wat voor soort apparaten mogen worden gebruikt en waarvoor. Ook kunnen eisen aan de beveiliging worden gesteld.

Verdergaande maatregelen, zoals het mogen meekijken of zelfs wissen van data op de privéapparaten, zijn moeilijker aangezien deze raken aan de privacy van de werknemer. En deze weegt zwaar; in het algemeen sowieso al zwaar maar bij privéapparatuur helemaal. De werkgever moet dus een afweging maken hoe deze maatregelen te rechtvaardigen zijn.

Andere factsheets

  • Over ICTRecht

    Heeft u uw juridische zaken goed geregeld? Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren om zelf documenten op maat te kunnen maken.

  • Continuïteit in de cloud

    Clouddiensten zijn tegenwoordig niet meer weg te denken uit de online wereld. Van een simpele e-maildienst tot volledige facturatie- of accountantprogramma’s, ondernemingen maken gebruik van allerlei clouddiensten. Hiermee ontstaat een grote afhankelijkheid en dat brengt risico’s met zich mee. Steeds vaker zal de vraag gesteld worden ‘Wat als mijn clouddienstverlener failliet gaat?’ of ‘Hoe kan ik er voor zorgen dat de dienst gecontinueerd wordt?’.