Column


IT-jurist Peter van Schelven over...

Instellingen, security en paardenmiddelen

Security als stok om mee te slaan? Kan een werkgever een medewerker die de interne IT-security van het bedrijf schendt zonder pardon de straat op schoppen? Dit blijkt in de praktijk nog niet zo eenvoudig.

Deze week werd een lezenswaardige uitspraak van de kantonrechter in Lelystad in een arbeidsgeschil gepubliceerd, waarin de vraag centraal stond of de betrokken werkgever een werknemer die het niet zo nauw met de security van het bedrijf had genomen op staande voet had mogen ontslaan. Mr. Berendsen, de fungerend rechter in deze zaak, oordeelde klip-en-klaar dat dat niet mocht. De werkgever in kwestie kwam dus op de arbeidsrechtelijke blaren te zitten.

Wat was precies het geval? Het personeelslid waar het in deze arbeidszaak om gaat, was ruim twee jaar bij de werkgever als salesmanager in dienst. Toen de laptop van de medewerker in januari van dit jaar naar zijn zeggen te traag werd, heeft hij deze eigenmachtig – zonder voorafgaand overleg met zijn werkgever – teruggezet naar de fabrieksinstellingen. Daardoor zijn bestanden, apps, software en instellingen van de laptop verwijderd, waaronder de op de laptop geïnstalleerde beveiligingssoftware. De medewerker is de onbeschermde laptop vervolgens enige dagen blijven gebruiken en heeft er in die tijd onder meer toegang tot het bedrijfsnetwerk mee verkregen.

Afgeserveerd
Nadat de werkgever na enkele dagen op de hoogte kwam van de handelwijze van de medewerker, was de stap naar een ontslag op staande voet snel gezet. Zo’n ontslag is, zoals de werkgever wist, een zeer zwaar wapen en je moet dus wel een beregoede reden hebben om als werkgever dit arbeidsrechtelijke paardenmiddel uit de kast te trekken. De werkgever meende het vertrouwen in zijn medewerker definitief en onherstelbaar te zijn verloren omdat deze met de onbeveiligde laptop het bedrijfsnetwerk opzettelijk had blootgesteld aan beveiligingsrisico’s. Daarnaast verweet hij de medewerker dat met het herinstalleren van de laptop zo’n 30 GB data verloren zou zijn gegaan. In de ontslagbrief werd de man koeltjes afgeserveerd met de opmerking dat het niet tot zijn taken wordt gerekend wijzigingen in de laptop aan te brengen.

De medewerker pikte het ontslag niet en stapte naar de kantonrechter om het aan te vechten. Hij bestreed dat hij zich schuldig zou hebben gemaakt aan ernstig plichtsverzuim. Als verweer bracht hij in de procedure naar voren dat hij geen enkel gevaar had gezien in het terugbrengen van de laptop naar de fabrieksinstellingen.

Een brug te ver
In zijn uitspraak bestempelt de kantonrechter het gedrag van de medewerker weliswaar als ‘niet wenselijk en tevens onverstandig’, maar voor zoiets is naar het oordeel van de rechter een ontslag op staande voet een brug te ver. De rechter kent daarbij grote betekenis toe aan de gedachte dat het voor hem niet vaststaat dat door het verwijderen van de beveiligingssoftware op de laptop ook de data op de server van de werkgever in ernstige mate in gevaar zijn gebracht. De medewerker had in

de procedure namelijk uitdrukkelijk gesteld dat de server eveneens afzonderlijk beveiligd is en voor de kantonrechter was die stelling kennelijk voldoende om de verwijten van de werkgever niet al te hoog op te nemen.

Wie de uitspraak serieus bestudeert, krijgt de indruk dat de advocaat van de werkgever van de technische verhouding tussen de security van de betrokken laptop en die van de server waarschijnlijk niet veel kaas heeft gegeten. De uitspraak is op dit punt met mist omgeven. Wie zijn zaak wil winnen, zal de rechter voldoende feitelijk materiaal moeten aanreiken. Doe je dat niet, dan stuurt de rechter je al snel met lege handen naar huis. Bij zoiets complex als security geldt dat eens te meer.

Losse flodders
Over het vermeende verlies van 30 GB data is de kantonrechter ook kort. Dat verwijt heeft de werkgever feitelijk totaal niet weten te onderbouwen. In gewoon Nederlands: de werkgever lijkt in de procedure maar wat te hebben uitgekraamd over dataverlies. Als kantonrechter ben je snel klaar met losse flodders, temeer omdat de werknemer naar voren had gebracht dat de 30 GB data ook nog op de werkserver te vinden waren. Of dat laatste ook werkelijk zo was, blijkt niet uit de uitspraak. Feit is wel dat de werkgever dat in de procedure feitelijk niet heeft weersproken.

Geen inkoppertjes
Wat leert de uitspraak ons? Ten minste twee dingen. Ten eerste bevestigt zij dat je als werkgever van erg goede huize moet komen om een werknemer geldig met een ontslag op staande voet de tent uit te gooien. Dat is een arbeidsrechtelijke vanzelfsprekendheid, maar in deze zaak wordt die gedachte ook gerelateerd aan securityverwijten aan het adres van de werknemer. Dat laatste is wel nieuw.

Ten tweede maakt de uitspraak ons duidelijk dat procederen over securitykwesties in arbeidsverhoudingen geen makkelijke juridische ‘inkoppertjes’ oplevert. Security is voer voor juridisch specialisten, niet voor advocaten voor wie techniek kennelijk een ‘ver-van-mijn-bedshow’ is.


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over