Het fenomeen Bring your own device (BYOD), waarbij werknemers werken met hun eigen laptop of smartphone, wint snel aan populariteit.
De voordelen zijn immers evident: iedere werknemer gebruikt de apparaten die hij het prettigst vindt, en kan deze tevens voor privézaken inzetten. Maar voor werkgevers ontstaan er ook nieuwe zorgen. Wie is verantwoordelijk (en dus aansprakelijk) bij datalekken, virussen en andere problemen? Mag de werkgever het ICT-beleid onverkort handhaven op deze privéapparaten?
De werkgever bepaalt welk werk er gebeurt en hoe, inclusief concrete werkinstructies. De werknemer heeft deze uit te voeren, en hoewel overleg gebruikelijk is, is het uiteindelijk de werkgever die de knoop doorhakt. Vanwege die bijzondere relatie is het de werkgever die aansprakelijk is voor (bijna) alle schade die de werknemer lijdt – maar ook voor schade die derden lijden door wat de werknemer doet.
Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het zelf meegenomen apparaatvan de werknemer schade berokkenen. Mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.
De werknemer is naar de werkgever of naar derden toe nooitaansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met een BYOD apparaat bedrijfsmail leest, waarna een Outlookworm op dat apparaat een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering want hij was werkmail aan het afhandelen. Een werknemer die illegale games downloadt, handelt niet binnen de arbeidsovereenkomst want dat behoort totaal niet tot zijn werk. Hij is dus zelf aansprakelijk voor die schade.
Om problemen met aansprakelijkheid bij BYOD te voorkomen, overwegen veel bedrijven om strenge eisen te stellen aan de beveiliging van de privéapparaten. Ook wordt wel voorgesteld om die apparaten te voorzien van speciale software waarmee het bedrijf op afstand de controle kan overnemen en bijvoorbeeld bestanden kan wissen of doorzoeken.
Werkgevers kunnen niet zomaar de apparatuur van hun werknemers controleren. Een werknemer mag een redelijk niveau van privacy verwachten op de werkplek, en dus ook bij gebruik van zijn apparatuur. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren of bijhouden wat individuele werknemers doen. Dit moet dan ook nog eens vooraf in een duidelijk ICT-reglement zijn vastgelegd.
Wanneer een bedrijf een ondernemingsraad (OR) heeft, heeft deze zeggenschap over reglementen die personeelscontrole of verwerking van persoonsgegevens betreffen. Dit raakt dus ook BYOD, wanneer de werkgever regels stelt dat hij mag loggen wat er op deze privéapparaten gebeurt.
Een regel die niet een verwerking van persoonsgegevens inhoudt en die niet ziet op het waarnemen van het “gedrag, aanwezigheid of prestaties” van de werknemer, valt hierbuiten. De regel “eigen apparatuur moet voorzien zijn van adequate virusscanners” kan dus gesteld worden zonder instemming van de OR. Maar de regel “werknemer dient op verzoek IT toegang te geven tot opgeslagen informatie op de privésmartphone” vereist wel instemming. Net als de regel “werknemer dient GPS-beaconsoftware te installeren zodat werkgever te allen tijde de locatie van het apparaat kan vaststellen”.
Werkgevers mogen wél instructies geven over de beveiliging. Dat valt binnen hun algemene bevoegdheid, en zolang de instructies redelijk zijn, kan de werkgever deze eenzijdig opleggen. Een werkgever kan dus eisen dat er adequate beveiliging wordt gehanteerd, of dat persoonsgegevens niet mogen worden doorgemaild of verwerkt op andere computers.
Die instructies kunnen gekoppeld zijn aan technische maatregelen, zoals een scan of de privéapparatuur wel de laatste beveiligingsupdates heeft. Dat is toegestaan. Wanneer de maatregelen leiden tot monitoring door of rapportage aan het management, komt de werkgever in grijs gebied. Dergelijke maatregelen vallen onder de Algemene verordening gegevensbescherming (AVG), omdat ze raken aan de privacy van de werknemer. Hier moet een duidelijke rechtvaardigingsgrond voor zijn, én er moet geen ander middel zijn dan dit om die grond te kunnen realiseren. Zomaar monitoren of meekijken is dus niet mogelijk.
Bring your own device is een nieuw fenomeen, dat echter niet goed aansluit bij de wettelijke regels voor werknemers. Om hierin toch meer zekerheid en duidelijkheid te introduceren, is het zeer verstandig eigen beleid te formuleren. Bepaald kan worden wat voor soort apparaten mogen worden gebruikt en waarvoor. Ook kunnen eisen aan de beveiliging worden gesteld.
Verdergaande maatregelen, zoals het mogen meekijken of zelfs wissen van data op de privéapparaten, zijn moeilijker aangezien deze raken aan de privacy van de werknemer. En deze weegt zwaar; in het algemeen sowieso al zwaar maar bij privéapparatuur helemaal. De werkgever moet dus een afweging maken hoe deze maatregelen te rechtvaardigen zijn.
Bel ons voor meer informatie op telefoonnummer: 020 663 1941 (voor ICTRecht Groningen: 050 209 3499). Een bericht achterlaten via het formulier kan ook: een van onze juridisch adviseurs neemt dan contact met je op.
Wanneer je een aanvraag bij ons doet, volgt altijd eerst een vrijblijvend kennismakingsgesprek: telefonisch, bij ons op kantoor of bij jou op locatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.