Column


IT-jurist Peter van Schelven over...

Porno op de werkvloer en security

Het is uiteraard geen kattenpis als jouw werkgever je ervan beschuldigt dat je tijdens werktijd regelmatig pornosites bezoekt. De werkgever die aan een dergelijk ernstig verwijt een sanctie wil verbinden, zoals een berisping, schorsing of mogelijk zelfs ontslag, moet van tevoren heel goed nadenken wat hij doet. Het ligt voor de hand dat aan het feitenonderzoek waarop de werkgever in voorkomend geval zijn beschuldiging baseert, zeer hoge zorgvuldigheidseisen moeten worden gesteld, zeker wanneer de werknemer de beschuldigingen ontkent.

Dat blijkt ook uit een uitspraak die de Centrale Raad van Beroep onlangs deed in een langslepende rechtszaak die door een ambtenaar met succes tegen de minister van Veiligheid en Justitie was aangespannen. Dit in Utrecht gevestigde rechterlijk college fungeert als hoogste instantie in ons land in geschillen tussen ambtenaren en hun werkgever.

NWG-sites
De minister was als werkgever, aldus de uitspraak, de fout in gegaan vanwege een gebrekkig securityonderzoek dat binnen zijn ministerie was uitgevoerd naar het bezoek van NWG-sites door de betrokken ambtenaar die werkzaam was bij de Dienst Terugkeer en Vertrek (DT&V). De term ‘NWG-sites’ is binnen het ministerie kennelijk het officiële jargon voor Niet Werk Gerelateerde internetsites. Voor het vermeende bezoek van NWG-sites werd de man in kwestie geschorst en – in een later stadium – ontslagen.

Waarom trok de Minister aan het kortste eind in de procedure? In de kern had dat te maken met weinig professioneel handelen van het Shared Service Center (SSC-I) van de Dienst Justitiële Inrichtingen (DJI) van het ministerie. Om de beslissing in de zaak te snappen, is het tijdsverloop van belang.

De afdeling Security van het SSC-I had in augustus 2012 een signaal aan DT&V gegeven dat er vanuit DT&V veelvuldig pornosites werden bezocht, waarbij het profiel van die bezoeken wees op dat van de betrokken ambtenaar. Vanwege nader onderzoek duurde het vervolgens nog zo’n vier maanden voordat SSC-I een schriftelijke rapportage naar de leiding van DT&V stuurde. Dat rapport was van 18 december 2012 en het bevestigde het eerdere vermoeden dat de desbetreffende ambtenaar zich aan het bezoeken van pornosites had bezondigd. Het duurde vervolgens weer enige weken – tot 9 januari 2013 – voordat de ambtenaar door zijn leidinggevende met de bevindingen uit het rapport werd geconfronteerd. Gerekend vanaf augustus 2012 waren we dus inmiddels een fors aantal maanden verder: ambtelijke molens draaien niet altijd snel.

Loggegevens bewaren?
Direct al bij de eerste confrontatie in januari 2013 wees de ambtenaar alle verwijten van de hand, daarbij ook aangevend dat hij zijn wachtwoorden nimmer aan een ander had gegeven. Wel erkende hij eerlijk dat hij zijn computer nooit vergrendelde. Dat alles mocht de man echter niet baten: hij werd – zoals gezegd – geschorst en later ook ontslagen.

De man pikte dit niet en stapte – bijgestaan door een forensisch IT-expert – naar de rechtbank, die hem in een procedure tegen de minister in het gelijk stelde. Ook in het door de minister vervolgens ingestelde hoger beroep koos de Centrale Raad van Beroep – mijn inziens volkomen terecht – de zijde van de ambtenaar. Het rechtscollege kende doorslaggevende betekenis toe aan het feit dat de afdeling Security van het SSC-I de originele loggegevens van het account van de ambtenaar nimmer had veiliggesteld. Uit de uitspraak blijkt dat het beleid en praktijk van het SSC-I was om de originele log van alle gebruikers maximaal twee maanden te bewaren. Dit laatste kon, aldus de Centrale Raad van Beroep, in een kwestie als deze niet door de beugel, want originele loggegevens zijn zonder meer nodig om het precieze zoekgedrag van de man te kunnen reconstrueren. Dat was in deze rechtszaak dus niet meer mogelijk.

De minister verdedigde zich in de rechtszaal nog met de stelling dat het praktisch onmogelijk is om de loggegevens van het internetgebruik van alle 15.000 gebruikers vast te leggen. Aan dat verweer had de Centrale Raad van Beroep echter geen enkele boodschap; het SSC-I had vanaf het moment dat het de opdracht had gekregen om het internetgedrag van de betrokken ambtenaar te onderzoeken, de loggegevens van deze ene man wèl moeten vastleggen en bewaren. Nu dat niet was gebeurd, verwees het rechtscollege het onzorgvuldige onderzoek linea recta naar de prullenmand. Daarmee ging de minister onderuit.

Saillant detail is dat de rechters ook hebben geoordeeld dat de ambtenaar recht had op vergoeding van zijn kosten voor de inschakeling van de IT-beveiligingsdeskundige voor bijstand in de rechtszaak – ruim 7.000 euro.

Faire behandeling
Wat leert ons deze uitspraak? Zij maakt duidelijk dat een werkgever zich in arbeidskwesties niet altijd kan verschuilen achter de binnen zijn organisatie bestaande praktijken rondom het restrictief verzamelen en bewaren van zoekgegevens zoals loggegevens. Als een afdeling Security bij een onderzoek naar mogelijk dubieus internetgedrag van een van de personeelsleden betrokken wordt, moet zij van meet af aan alle loggegevens van die persoon verzamelen en bewaren, ook al staat dat op gespannen voet met de bewaarpraktijk. Een faire behandeling van het betrokken personeelslid rechtvaardigt dat.


Lees meer over