Email controleren bij fraude-signalen?
In deze tijd, waarin een groot deel van de mensen thuiswerkt, is de vraag of (en wanneer) een werkgever de email van zijn werknemer mag controleren relevanter dan ooit. Een werkgever die zijn werknemer van fraude verdenkt zal snel genegen zijn de email van zijn werknemer te controleren. Als hierbij echter niet de juiste regels in acht worden genomen, kan dit tot gevolg hebben dat de werknemer vrijuit gaat. Dus ook wanneer het vermoeden wordt bevestigd. Bezint eer ge begint!
De 6 Barbulescu-vragen
Mijn kantoorgenote Karin Nijman schreef in september 2017 al een een blog met de pakkende titel: “Mag mijn baas mijn e-mail controleren?” In deze blog loopt zij aan de hand van de Barbulescu-uitspraak van het Europese Hof voor de Rechten van de Mens de regels na die gelden in dit soort gevallen. Het Europese Hof heeft in deze uitspraak 6 duidelijke vragen geformuleerd die werkgevers zichzelf moeten stellen voordat zij overgaan tot het controleren van de email van hun werknemer. Kort samengevat:
- Inlichtingen over de controle? Is de werknemer van te voren duidelijk ingelicht over de controle van correspondentie of andere communicatie of de invoering van controlemaatregelen door de werkgever en ook over de aard van die controle?
- Omvang van de controle: Welke omvang heeft de controle door de werkgever?
- Gaat het om controle van de stroom van communicatie of om controle van de inhoud?
- Is alle communicatie gecontroleerd of slechts een deel daarvan?
- Vond de controle altijd of slechts tijdelijk plaats?
- Hoeveel mensen kregen toegang had tot de gecontroleerde gegevens?
- Hoe groot was het ruimtelijk bereik van de controles?
- Reden voor de controle: Had de werkgever goede redenen voor de controle van de communicatiestroom en/of inhoud? Hoe zwaarder de inbreuk (controle op inhoud), hoe zwaarwegendere de vereiste rechtvaardiging.
- Alternatieven: Was het mogelijk om een minder ingrijpend controlesysteem in te bouwen dan het inzien van de inhoud van de communicatie van werknemers? Kon het doel dat door de werkgever wordt nagestreefd (zie punt 3) op een andere manier bereikt worden dan door het inzien van de volledige communicatie?
- Gevolgen voor werknemer en gebruik voor het juiste doel? Wat zijn de gevolgen van de controle voor de werknemer? En werden de resultaten gebruikt voor het gestelde doel (zie punt 3)?
- Beschermingsmaatregelen? Waren er voldoende beschermingsmaatregelen voor de werknemer daar waar de controle inbreuk maakte op zijn privacy? Zulke beschermingsmaatregelen moeten in het bijzonder verzekeren dat de werkgever geen toegang krijgt tot de inhoud van de communicatie, tenzij de werknemer van te voren op de hoogte gesteld wordt van de mogelijkheid dat zijn werkgever de inhoud van de communicatie zal inzien.
Hoe moeten deze regels worden toegepast bij fraudesignalen?
Deze vraag kwam aan de orde in een uitspraak van de kantonrechter van de Rechtbank Midden Nederland van 16 december 2021. Naar aanleiding van (volgens de werkgever) twee concrete signalen, die aanleiding gaven om te vermoeden dat de werknemer bij strafbare feiten was betrokken, is de werkgever een onderzoek naar de werknemer begonnen.
Bij dit onderzoek werd ook het emailgebruik van de werknemer gecontroleerd. De uitslag van het onderzoek is met de werknemer besproken. Het onderzoek en gesprek waren voor de werkgever aanleiding een ontbindingsverzoek van de arbeidsovereenkomst in te dienen. Dit verzoek wordt echter afgewezen door de kantonrechter omdat de werkgever niet de 6 ‘Barbulescu-vragen’ heeft beantwoord.
Wat ging er mis? De werkgever had wél een protocol waarin is vastgelegd dat bij laakbaar en/of strafbaar gedrag controles gerechtvaardigd waren. Ook krijgen werknemers steeds bij het inloggen een melding waarin wordt aangegeven dat het internetgebruik gecontroleerd kan worden. Pas als deze melding met ‘OK’ wordt weggeklikt kan de werknemer aan de slag op zijn computer.
Wat deed de werkgever verkeerd?
De werkgever kon aan de kantonrechter geen informatie verstrekken over de aard van de fraudesignalen die zij had ontvangen en die de reden waren voor de controle van het emailgebruik. De kantonrechter kon zo niet beoordelen of aan vraag 3 van de Barbulescu-vragen was voldaan. Het was niet duidelijk of de resultaten uit het onderzoek te maken hadden met deze fraudesignalen of dat deze als ‘bijvangst’ zijn opgepikt tijdens het onderzoek (vraag 5). Ook was er geen duidelijkheid over de wijze waarop de monitoring plaatsvond, structureel of steekproefsgewijs (vraag 2).
Gelet op deze onduidelijkheid kan met de melding die bij het inloggen standaard verschijnt over de mogelijkheid van controle niet worden gezegd dat de werknemer voldoende is geïnformeerd over de mogelijkheid van controle (vraag 1). Gelet op deze onduidelijkheid kon de kantonrechter niet beoordelen of de inbreuk op de privacy van de werknemer toelaatbaar was ja of nee (vraag 4 en 5). Dat het ontbindingsverzoek werd afgewezen zal inmiddels geen verrassing meer zijn.
Hoe had de werkgever wél moeten handelen?
Het antwoord staat al in deze blog. Stel de 6 ‘Barbulescu- vragen’ centraal en leg het antwoord vast in een dossier. In deze casus bood het email- en internetprotocol onvoldoende duidelijkheid over de vraag in welke concrete situatie de werkgever zijn werknemer mocht controleren. Ook had de werknemer hier niet expliciet mee ingestemd. Een algemene melding voor het inloggen over een mogelijke controle is dan onvoldoende.
Wanneer er sprake is van een fraudeverdenking ligt dat altijd gevoelig. Zorg er voor dat u niet overhaast te werk gaat, maar alle stappen (vragen) zorgvuldig zet, en documenteer dit ook. Zorg voor een voldoende duidelijk email- internetprotocol. De gespecialiseerde advocaten van mijn kantoor hebben veel ervaring met dit soort casussen en kunnen u altijd met raad en daad terzijde staan. Wij kunnen u ook helpen aan een duidelijk protocol wat al veel onzekerheid kan wegnemen.
Wilt u hier nu al meer over weten? Bel mij gerust op tel. 0172 – 42 41 72 of vul het contactformulier in.