Recent heeft een rechter zich uitgesproken over een zaak, waarbij er bedrijfsbestanden naar een privémail zijn gestuurd. Uit de uitspraak van de rechtbank Gelderland blijkt dat het primair aan de werkgever is om regels te stellen aan het gebruik van it en op de naleving van die regels toe te zien. Dat geldt ook voor het versturen van bedrijfsbestanden naar privémail.
Waar ging het om in deze deze zaak? De gedaagde was als recruiter in dienst bij zijn werkgever. De werkgever houdt zich bezig met de arbeidsbemiddeling van technische en financiële professionals. De werkgever maakte voor haar bedrijfsactiviteiten gebruik van een bestand met naw-gegevens van schoolverlaters. Deze lijst werd uitgegeven door een derde partij. De werkgever is met de derde partij overeengekomen dat de lijst niet door de werkgever aan derden mag worden verstrekt. Als deze afspraak niet wordt nagekomen, verbeurt de werkgever een boete.
Aansprakelijk voor schade
In september 2014 is de gedaagde in dienst getreden bij een ander bedrijf. De werkgever is er vervolgens achter gekomen dat de gedaagde de lijst met naw-gegevens naar zijn privé e-mailadres heeft gestuurd in mei 2014. De werkgever stuurt de gedaagde een brief waarin zij het vermoeden uitspreekt dat de gedaagde de lijst wilde gebruiken om te gaan concurreren met de werkgever. De werkgever stelt de gedaagde vervolgens aansprakelijk voor de schade die het gevolg is van ‘het onrechtmatig doorsturen van de bestanden’.
De werkgever eist bij de rechter de verklaring voor recht dat de gedaagde onrechtmatig heeft gehandeld door de lijst naar zijn privémail te sturen. De gedaagde stelt hier tegenover dat hij die lijst niet naar zichzelf heeft gestuurd om concurrerende activiteiten te ontplooien, maar om thuis te kunnen werken.
De rechter overweegt dat vast staat dat de gedaagde de lijst buiten het bedrijfsnetwerk van de werkgever heeft gebracht. Maar daarmee is volgens de rechter nog niet aangetoond dat de lijst voor andere doeleinden dan de bedrijfsactiviteiten van de werkgever is gebruikt. Ook is in de procedure volgens de rechter niet gebleken dat de gedaagde de lijst naar zichzelf heeft gestuurd om deze zichzelf wederrechtelijk toe te eigenen.
Overweging rechter
De rechter stelt vast dat de opvattingen over het professionele gebruik van e-mail aan verandering onderhevig zijn. Toch is er volgens de rechter (nog) geen ongeschreven regel die het toezenden van bedrijfsdocumenten naar privémail uitsluit. De rechter overweegt:
‘Ook naar de huidige opvatting is het primair aan de werkgever om in het kader van de dienstbetrekking regels hieromtrent te stellen en toe te zien op de naleving hiervan. Die regels zullen immers (mede) afhankelijk zijn van de door de werkgever geboden mogelijkheden om thuis te werken, de functie van de werknemer, de aard van zijn werkzaamheden, de vertrouwelijkheid van de digitale bestanden waarover hij in het kader van zijn dienstbetrekking de beschikking heeft en het risico van openbaarmaking.’
De werkgever is dus zelf verantwoordelijk voor goede afspraken over het sturen van e-mails naar het privéadres van een werknemer. Die afspraken kunnen worden meegenomen in een algeheel reglement over het gebruik van it. Dit reglement moet vervolgens op de juiste wijze worden toegepast.
Lastige materie waar nog maar de vraag is of elke rechter dit vonnis zou vellen. Als precedent lijkt het me wel belangrijk ook voor BOYD.
Wat dat betreft is het als werkgever aan te raden om onduidelijkheden over dit onderwerp zoveel mogelijk weg te nemen.
Doet mij denken aan die affaire waar de belastingdienst de handen wist te leggen op een gestolen lijst met klanten van een bank in Luxemburg.
Wat van de privacy van de schoolverlaters is het eerste wat ik mij afvraag? Handelen scholen nu ook al in dit soort data ? Mag hopen van niet.
Een werkgever mag je dus wel verbieden om data naar je prive email te sturen, maar kan vervolgens weinig doen als je dat toch doet.
En wat als je de data op een andere manier verstuurd, ftp, dropbox, usb stick.
Net als kj verbaast het me ook dat de aangeklaagde niet ter verantwoording is geroepen voor het verzamelen van prive (NAW) gegevens.
De wet persoonsregistratie is daar toch vrij duidelijk in.
Niet voor niets had de aanklager in deze een deal met de leverancier van de gegevens (al zal dat vast weer wegens commerciele redenen zijn geweest).
Ook is in deze niet bekend of de leverancier en de aanklager wel op correcte wijze aan de gegevens zijn gekomen.
Juridisch complexe materie. Als ik, via webmail, op mijn privé laptop mijn werkmail lees, en een attachment open, dan staat er op dat moment een lokale kopie om mijn privé systeem. Ik heb het dan weliswaar niet bewust naar mijn privémail gestuurd, maar het staat wel lokaal op mijn laptop, en daarmee in principe beschikbaar voor kwaadwillenden.
Wat het lastig maakt is aan te tonen of het nu met kwade bedoelingen is geweest of gewoon omdat je even thuis verder wilde werken, maar geen zin had je laptop mee te nemen.
Hierbij moet ook een stukje gezond verstand gebruikt worden lijkt me. Documenten met vertrouwelijke gegevens zijn misschien niet zo geschikt om op deze manier te versturen van privé naar zakelijk en vice versa. Net zo min als een bestand uit het voorbeeld, waarmee de schijn gewekt kan worden van belangenverstrengeling of concurentievoordeel.
In het kader van thuiswerken en BYOD een interessante discussie in ieder geval.
Inderdaad heel complexe materie.
Flexwerken is in de mode. Er wordt verwacht/gestimuleerd dat mensen meer vanaf huis werken en daarmee bezuinigd op kantoorruimte.
Het volgende probleem dat zich aandient zijn de middelen. Soms worden middelen door werkgever verstrekt, maar steeds vaker zie je ook dat werkgever gebruik van prive middelen voor zakelijke doeleinden gewoon faciliteert. Modieus heet dat BYOD, maar jaren terug had je dat ook al met bijvoorbeeld Exchange OWA.
Werkdocumenten op prive ICT wordt daarmee in de hand gewerkt met alle nadelige gevolgen van dien. Uiteraard zijn er oplossingen om dit wel goed te faciliteren, maar in veel organisaties is dit niet of niet deugdelijk ingericht.