Het gebruik van privéapparatuur voor het werk

Wanneer mag werkgever ingrijpen bij “BYOD” (bring you own device) het gebruik van privéapparatuur zoals laptop, telefoon of tablet voor zakelijke doeleinden ?

Een werkgever heeft ruime bevoegdheden om in te grijpen wanneer de veiligheid van het bedrijf in gevaar komt omdat een werknemer met zijn eigen apparatuur werkt. Ook diens vakantiefoto’s zijn niet heilig.

Het gevaar van “bring you own device kortweg BYOD”, – het gebruik van privéapparatuur zoals laptop, telefoon of tablet voor zakelijke doeleinden – maakt dat het risicoprofiel van een werkgever toeneemt. En het gevaar zit bij de mensen die de apparatuur gebruiken, zegt Eric Dorrestijn, general counsel van KPN.

Als we toestaan dat mensen hun eigen apparatuur gebruiken om te werken, dan creëren we een verdere vervaging tussen zakelijk en privé”, zegt Dorrestijn. De vervaging heeft volgens hem veel te maken met het zg. Het Nieuwe Werken. Plaats en tijd verschuiven. Vroeger zat je op kantoor te werken en thuis was het privé. Maar nu zit je thuis aan de keukentafel je werk te doen, en dan is het opeens weer zakelijk.”

De wetten die de aansprakelijkheid regelen van het werken met apparatuur als tablet of smartphone verschillen volgens Dorrestijn niet van de wetten die bepalen wie er moet opdraaien voor een ongeluk met een hamer of kruiwagen. “Op het moment dat er schade ontstaat voor de opdrachtgever, dan is dat voor het risico van de werkgever, en niet van de werknemer. Oók niet als hij gebruik maakt van een eigen device. Je moet als werkgever dus rekening houden met de risico’s als de werknemer met eigen apparatuur zit te knutselen bij een klant. Net als de werknemer alleen aansprakelijk is wanneer hij de klant op zijn hoofd slaat met de kruiwagen, is hij ook met BYOD alleen aansprakelijk in geval van opzet of bewuste roekeloosheid.”

Een werkgever moet en, misschien nog wel belangrijker, mág grenspaaltjes slaan rondom BYOD. Niet alleen omdat anders de mogelijkheid om het eigen netwerk en dat van de klanten te beveiligen, maar ook omdat werknemers behoefte hebben aan duidelijkheid. Er zijn een aantal stappen die een werkgever mag nemen:

  1. Een werkgever kan eisen stellen aan de beveiliging van het apparaat en daarom besluiten dat het ene merk smartphone wel gebruikt mag worden, en het andere niet. Ook kan je met configuraties zorgen dat er slechts een beperkt aantal randapparatuur aan het device kan worden aangesloten.
  2. Door gebruik te maken van regelingen voor BYOD stemt de werknemer impliciet in met het plaatsen van software om het apparaat op afstand te controleren en in geval van diefstal of vermissing alle aanwezige c0ntent te verwijderen. Ook wanneer dit foto’s zijn van de laatste gezinsvakantie. Het is aan te bevelen om ervoor te zorgen dat privégegevens kunnen worden afgesplitst van zakelijke gegevens.
  3. De werkgever heeft recht het apparaat te onderzoeken en actieve maatregelen te nemen om het apparaat te beveiligen, wanneer het bedrijf besluit dat bepaalde vormen van beveiliging redelijkerwijze nodig zijn voor het bedrijfsbelang.
  4. Werknemers moet duidelijk worden gemaakt dat BYOD een extra zorgplicht op hen legt, en dat zij hiermee een deel van hun privacy inleveren. Leg in instructies en reglementen vast dat schade die wordt veroorzaakt door activiteiten die buiten de scope van het uitoefenen van de functie vallen binnen de risicosfeer van de werknemer vallen. Zorg dat de werknemer weet dat als hij deze risico’s niet aanvaardt, hij niet moet beginnen aan BYOD.
  5. De Wet op de ondernemingsraden schrijft voor dat maatregelen en voorzieningen die de privacy van de werknemers betreffen instemmingsplichtig zijn. Dit geldt echter alleen voor reglementen die gaan om het gedrag en de prestaties van de werknemer. Reglementen of één op één afspraken die buiten die scope vallen en niet gaan over de controle op of waarneming van de aanwezigheid, gedrag of prestaties van werknemers hoeven niet ter instemming te worden voorgelegd aan de or.

Enigszins samengevat uit: artikel PW maart 2018