ConflICT: De juridische aspecten van Bring your own device

9 augustus 2013

De werkgever bepaalt welk werk er gebeurt en hoe, inclusief concrete werkinstructies. De werknemer heeft deze uit te voeren, en hoewel overleg gebruikelijk is, is het uiteindelijk de werkgever die de knoop doorhakt. Vanwege die bijzondere relatie is het de werkgever die aansprakelijk is voor (bijna) alle schade die de werknemer lijdt – maar ook voor schade die derden lijden door wat de werknemer doet.

Zo bepaalt de wet dat de werkgever de “gereedschappen” waarmee het werk wordt gedaan, zo moet inrichten dat de werknemer daar redelijkerwijs geen schade door zou kunnen lijden. Dit geldt ook voor het bedrijfsnetwerk, en daarmee is de werkgever dus aansprakelijk als virussen of andere rommel het zelf meegenomen apparaat van de werknemer schade berokkenen, mits de werkgever redelijkerwijs had kunnen voorkomen dat deze schade zou optreden.

De werknemer is naar de werkgever of naar derden toe nooit aansprakelijk, tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid. Wel moet sprake zijn van schade die binnen de uitvoering van de arbeidsovereenkomst valt. Een werknemer die met een BYOD-apparaat bedrijfsmail leest, waarna een Outlookworm op dat apparaat een bedrijfsgeheim doormailt naar Rusland, handelt binnen de uitvoering want hij was werkmail aan het afhandelen. Een werknemer die illegale games downloadt, handelt niet binnen de arbeidsovereenkomst want dat behoort totaal niet tot zijn werk. Hij is dus zelf aansprakelijk voor die schade.

Om problemen met aansprakelijkheid bij BYOD te voorkomen, overwegen veel bedrijven om strenge eisen te stellen aan de beveiliging van de privéapparaten. Ook wordt wel voorgesteld om die apparaten te voorzien van speciale software waarmee het bedrijf op afstand de controle kan overnemen en bijvoorbeeld bestanden kan wissen of doorzoeken.

Werkgevers kunnen niet zomaar de apparatuur van hun werknemers controleren. De privacy van de werknemer gaat onder normale omstandigheden boven het bedrijfsbelang. Een werknemer mag een redelijk niveau van privacy verwachten op de werkplek en dus ook bij gebruik van zijn apparatuur. Pas bij een redelijk vermoeden van wangedrag mag de werkgever gaan observeren of bijhouden wat individuele werknemers doen. Dit moet dan ook nog eens vooraf in een duidelijk IT-reglement zijn vastgelegd.

Wanneer een bedrijf een ondernemingsraad (OR) heeft, heeft deze zeggenschap over reglementen die personeelscontrole of verwerking van persoonsgegevens betreffen. Dit raakt dus ook BYOD, wanneer de werkgever regels stelt dat hij mag loggen wat er op deze privéapparaten gebeurt.

Werkgevers mogen instructies geven over de beveiliging, dat valt binnen hun algemene bevoegdheid. En zolang de instructies redelijk zijn, kan de werkgever deze eenzijdig opleggen. Een werkgever kan dus eisen dat er adequate beveiliging wordt gehanteerd, of dat persoonsgegevens niet mogen worden doorgemaild of verwerkt op andere ­computers.

Die instructies kunnen gekoppeld zijn aan technische maatregelen, zoals een scan of de privéapparatuur wel de laatste beveiligingsupdates heeft. Dat is toegestaan. Wanneer de maatregelen leiden tot monitoring door of rapportage aan het management, komt de werkgever in grijs gebied. Dergelijke maatregelen vallen onder de Wet bescherming persoonsgegevens, omdat ze raken aan de privacy van de werknemer. Hier moet een duidelijke rechtvaardigingsgrond voor zijn én er moet geen ander middel zijn dan dit om die grond te kunnen realiseren. Zomaar monitoren of meekijken is dus niet mogelijk.

Bring your own device is een nieuw fenomeen, dat echter niet goed aansluit bij de wettelijke regels voor werknemers. Om hierin toch meer zekerheid en duidelijkheid te introduceren, is het zeer verstandig eigen beleid te formuleren. Bepaald kan worden wat voor soort apparaten mogen worden gebruikt en waarvoor. Ook kunnen eisen aan de beveiliging worden gesteld.

Verdergaande maatregelen, zoals het mogen meekijken of zelfs wissen van data op de privéapparaten, zijn moeilijker aangezien deze raken aan de privacy van de werknemer.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!