Kategorien Business News

Thuis werken? Hier moet je rekening mee houden

Door het coronavirus werken veel Nederlanders en Duitsers nu thuis. Dat kan op twee manieren: de werknemer maakt gebruik van zijn eigen digitale infrastructuur, of de werkgever heeft zijn werknemers uitgerust met een laptop, mobiele telefoon en alle andere digitale benodigdheden. In beide gevallen moeten er enkele zaken worden overwogen. Dat meldt STRICK Rechtsanwälte & Steuerberater uit Kleve.

Optie 1: De werknemer gebruikt de eigen digitale infrastructuur voor het werk

In principe kan de werkgever de werknemer niet dwingen om zijn eigen digitale infrastructuur voor zakelijke doeleinden te gebruiken. Deze infrastructuur kan alleen worden gebruikt als de werknemer hiermee uitdrukkelijk akkoord gaat.

Werkgevers moeten echter altijd rekening houden met een groot aantal risico’s. Potentiële bedrijfsgeheimen zouden bijvoorbeeld op een onbeveiligd medium kunnen worden opgeslagen als de werknemer niet regelmatig updates op zijn privécomputer uitvoert. Alleen de werknemer zelf weet of hij regelmatig updates uitvoert om zich te beschermen tegen hackers en spyware. De werkgever dient in ieder geval te zorgen voor een Virtual Private Network (VPN) verbinding, waardoor de werknemer op een veilige manier toegang heeft tot de documenten van het bedrijf.

Bij deze manier van thuiswerken moet de werkgever nauwkeurige richtlijnen geven. In deze richtlijnen moet de instructie staan dat de werknemer regelmatig software-updates op zijn privécomputer uitvoert of de werkgever moet verbieden dat bedrijfsgeheimen op de privécomputer worden opgeslagen. Daar hoort ook bij dat interne bedrijfsgegevens moeten worden verwijderd als deze zijn opgeslagen.

Ook familieleden of huisgenoten die in het huis wonen, vormen een bedreiging voor de vertrouwelijkheid. Hoe denkt de werkgever te kunnen controleren wie toegang heeft gehad tot de computer van de werknemer? Als er geen beschermende maatregelen worden genomen, zouden echtgenoten, kinderen of huisgenoten informatie kunnen verkrijgen over interne bedrijfszaken.

Er moet eveneens rekening worden gehouden met de favoriete digitale assistente van de Duitsers: Alexa of Siri. De werknemer die thuis werkt moet de instructie krijgen dat als er zakelijke telefoongesprekken vanuit huis worden gevoerd, de bewakingsfunctie van Alexa & co moet worden uitgeschakeld. Het is niet handig als ook Google weet wat er in het bedrijf speelt.

Als de werknemer thuis gebruikmaakt van zijn eigen telefoon, moet hij ook de lijst van gebelde nummers regelmatig wissen, omdat op basis daarvan ook conclusies kunnen worden getrokken over gevoerde telefoongesprekken.

Optie 2: De werknemer gebruikt de digitale infrastructuur van de werkgever

Iets anders, maar ook wel vergelijkbaar, is de situatie dat de werkgever zijn werknemer de nodige digitale infrastructuur ter beschikking stelt en de werknemer thuis werkt. Ook in dit geval moet de werkgever de werknemer precieze instructies geven. In deze situatie is de werkgever verantwoordelijk voor de veiligheid en het up-to-date zijn van de digitale infrastructuur. De computers moeten beveiligd zijn met een wachtwoord. Ook de VPN-aansluiting mag niet ontbreken. Daarnaast moet de werknemer de instructie krijgen dat het beeldscherm altijd moet worden vergrendeld als de werknemer niet achter de computer zit. Ook in dit geval moet de werknemer Alexa & co uitschakelen, of in ieder geval de luisterfunctie ervan.

Hoe zit het met bedrijfsdocumenten? Deze moeten worden opgeborgen in een afsluitbare box, zodat niemand ze onbevoegd kan inzien.

Vertrouwelijke gegevens

In beide bovengenoemde gevallen moet worden gekeken naar welke informatie de werknemer op papier of op gegevensdragers mag meenemen en hoe. Daarnaast moet de instructie worden gegeven over hoe vertrouwelijke informatie thuis veilig kan of moet worden vernietigd.

In beide gevallen is het daarnaast van belang dat de werkgever kan aantonen dat de werknemer de instructie over gegevens en IT-beveiliging heeft ontvangen en ermee akkoord is gegaan. Voor de werknemer moet duidelijk zijn aan wie en hoe snel hij een datalek moet melden. In dat geval kijken de regelgevende instanties niet meer de andere kant op; dan dreigen er aanzienlijke boetes.