Kan mijn baas meekijken op mijn laptop?

Kan mijn werk zien wat ik op mijn computer doe?

Werkgevers mogen privé online activiteiten op een werkcomputer niet monitoren.Openbaar lasterlijke handelingen tegen de werkgever kunnen wel leiden tot ontslag.

De klok tikt, hoor je dat? Die stilte. Dan denk je na over dingen. Over wat er echt gebeurt, overdag. Of ze het zien, bedoel ik. Die computer, mijn werk. Het voelt soms zo... zo dichtbij. En toch zo ver weg van wat privé is.

Nee, ze mogen het niet. Dat weet ik wel. Een werkgever mag onze privé online activiteiten niet monitoren. Dat is de regel. Die laptop staat daar dan wel, op mijn bureau, met mijn vingers erop. Maar mijn gedachten, die zijn van mij. En de websites waar ik naartoe ga, als het even kan.

Maar er is altijd een 'maar', toch? Ze zien wel wat dataverbruik. En de algemene flow. Dat is anders dan inhoud. Maar toch, die gedachte knaagt. Dat er ergens een logbestand is. Een spoor. Het is niet hetzelfde, nee. Maar het is er wel.

Alleen als ik echt iets stoms doe. Iets wat openbaar is. En écht kwetsend voor de zaak. Als privé online activiteiten openbaar lasterlijk zijn voor de werkgever, kan dit leiden tot ontslag. Dat is logisch. Je bijt de hand niet die je voedt. Maar privé en openbaar… die lijn is soms vaag. Zeker met sociale media. Een tweet, een berichtje. Voor je het weet is het overal.

Die gedachte, dat ze meekijken. Het voelt als een koude hand in je nek. Ook al zeggen ze van niet. Het gaat om vertrouwen, toch? En als je je afvraagt of ze meekijken, dan is dat vertrouwen al een beetje weg. Versnipperd, zoals de dromen die ik 's nachts heb. Nooit helemaal helder.

Wat doen ze dan wel, legitiem? Ik denk aan de technische dingen, puur om het netwerk te laten draaien. Die zien ze wel. Netwerkverkeer, hoeveel data er beweegt. Niet de inhoud van je email, of wat je typt. Maar wel de stroom. Ja, de stroom.

En ook die interne logbestanden. Wie logde in, wanneer. Welke programma's starten op. Dat zijn systeemgegevens. Puur functioneel. Ze monitoren ook gebruik van bedrijfsmiddelen, dat een laptop werkt zoals het hoort. En security alerts, natuurlijk. Als er virussen zijn. Dat moet. Dat snap ik.

Mijn eigen laptop, die thuis staat, daar voelt het anders. Vrijer. Maar die van het werk... die draag ik als een last soms. Zelfs als ik 'm dichtklap. Alsof een deel van het werk daar in zit, altijd. Altijd een beetje aanwezig. Het is maar een machine, toch? Waarom voelt het dan zo zwaar?

Ze hebben ook zo'n privacy beleid, toch? Zo'n document. Waar alles in staat. Heb ik dat ooit echt gelezen? Oppervlakkig, denk ik. Wie doet dat nou echt, helemaal? Misschien had ik het moeten doen. Dan had ik nu niet zo liggen piekeren. Of juist wel. Omdat de woorden me dan nog meer zouden klemmen.

Het blijft een spel van macht, denk ik. Wie kijkt er, en wie wordt er gekeken? En of je je er comfortabel bij voelt. Ik niet helemaal, nee. De nacht is lang. En de gedachten blijven hangen. Zoals een lichte mist. Morgen weer zo'n dag. Met die laptop.

Mag mijn baas mijn computer bespioneren?

Je baas mag je computer monitoren. Dat is toegestaan onder strikte voorwaarden. Een noodzaak. Altijd een reden. De monitoring moet zwaarder wegen dan jouw privacy. Een afweging op papier, vaak. Dit vereist een Data Protection Impact Assessment (DPIA). Een document. Vooraf. De werkgever informeert je hierover, over de methoden. Duidelijkheid, voor zover men die wil zien.

Zonder noodzaak, geen monitoring. Het is geen hobby. Vaak draait het om beveiliging. Bedrijfsgeheimen. Data. Productiviteit, zeggen ze dan. Wat je doet, is traceerbaar. Elke klik laat een spoor na. Privacy is een concept, geen garantie op de werkvloer. Het contract is leidend.

Wat ze zien? Alles. Je internethistorie. E-mails, zeker de zakelijke. Bestanden. Soms toetsaanslagen. Schermopnames, als het echt moet. Ze noemen het 'beveiligingsmaatregelen'. Ik zie dat veel mensen dit vergeten. Tot het te laat is. Dan staat HR aan je bureau. Denk aan:

• Websites bezocht
• Verzonden e-mails
• Downloads/uploads
• Bestanden geopend
• Tijd op apps

De Algemene Verordening Gegevensbescherming (AVG) is de ruggengraat. Of de zweep. Zonder de juiste procedures riskeert een werkgever boetes. Hoog. Toch gebeurt het. De wet is er. Naleving, dat is een ander verhaal. Soms een blinde vlek.

Wat jij kunt doen? Vragen naar het privacybeleid. Het staat ergens, waarschijnlijk. Ken je rechten. Als er geen beleid is, of als het onduidelijk is, heb je een punt. Klacht indienen kan. Bij de Autoriteit Persoonsgegevens. Een lange weg, meestal.

Een werkplek is geen privéplek. Dat is de essentie. Je bent onderdeel van een systeem. Functioneel. Altijd functioneel. Monitoren is een instrument. Net als je toetsenbord, of je muis. Een tool. Meer niet.

Wat mag een werkgever screenen?

Een werkgever screent wat relevant is. En wat niet. Alles is data.

Het is een checklist. Geen kennismaking.

• Identiteitsbewijs. Een verplichting. Je bent wie je paspoort zegt dat je bent. Niet meer, niet minder.

• Referenties en werkervaring. Ze bellen je vorige baas. Vragen niet hoe goed je was. Vragen of je een probleem was. Een subtiel verschil.

• Social media. Officieel met toestemming. In de praktijk is alles openbaar. Je digitale schaduw is je ware cv. Die vakantiefoto van drie jaar terug bepaalt je toekomst.

• Diploma’s en certificaten. Controle op echtheid. De papieren realiteit moet kloppen. Kennis is secundair. Het bewijs telt.

• Verklaring Omtrent het Gedrag (VOG). Voor sommige functies een eis. Voor andere een formaliteit. Het bewijs dat je in het verleden geen sporen hebt achtergelaten. Of niet bent gepakt.

• Financiële achtergrond. Bij functies met geld. Een BKR-registratie is een stempel. Schulden worden gezien als een karaktereigenschap. Armoede als een risico.

Vertrouwen is een illusie. Controle is de norm. De mens is een risico dat gemanaged moet worden.

Waar moet een screening aan voldoen?

Goh, je vraagt waar een screening aan moet voldoen. Nou, laat me je vertellen, toen me vader die oproep kreeg voor darmonderzoek dacht ik echt, waar is dit goed voor. Maar het is best een logisch systeem, als je erover nadenkt. Het is niet zomaar een testje doen, er zitten hele strikte regels aan vast.

Ze gaan niet zomaar iedereen voor van alles en nog wat screenen, dat zou zonde van de tijd en het geld zijn. En het levert een hoop stress op voor niks als het niet goed gebeurt. Het moet echt nut hebben, weet je wel.

Dus, waar moet zo'n screening dan aan voldoen? Nou, hier komt het:

• De ziekte moet een herkenbaar stadium hebben voordat de echte symptomen beginnen. Ze moeten dus iets kunnen vinden als het nog 'stil' is. Bij me pa vonden ze een poliepje, nog geen kanker, maar het had het kunnen worden. Perfect voorbeeld.
• Er moet een goeie, betrouwbare test zijn. De test moet het ook echt vinden en niet te vaak een foute uitslag geven. Anders maak je mensen voor niks bang of stel je ze onterecht gerust.
• De test moet acceptabel zijn voor mensen. Als het een hele pijnlijke of enge test is, komt er niemand opdagen. Die darmtest met dat potje is niet leuk, maar het is te doen. Niemand wil een pijnlijke procedure.
• Ze moeten precies weten hoe de ziekte zich ontwikkelt zonder behandeling. Wat gebeurt er als je niks doet? Wordt het altijd erger? Die kennis is cruciaal om te bepalen of vroegtijdigge opsporing wel zin heeft.

En wat ze vaak vergeten te zeggen, er moet ook een effectieve behandeling zijn voor als ze iets vinden. Het heeft geen nut om een ziekte vroeg op te sporen als je er vervolgens niks aan kan doen. Dat is alleen maar mentaal slopend. Logisch toch.

Wat mag niet volgens de AVG?

Het is laat. En stil. Dit zijn de uren waarin je hoofd niet stopt met draaien. Over al die stukjes van jezelf die ergens online zweven. De AVG. Het is een poging tot controle, een schild. Maar het voelt zo... breekbaar.

De AVG verbiedt het verwerken van persoonsgegevens zonder een geldige rechtsgrond, zoals toestemming of een contract.Het verzamelen van meer gegevens dan strikt noodzakelijk is verboden.Gegevens langer bewaren dan nodig is voor het oorspronkelijke doel mag ook niet.

Ik kreeg vorige maand een brief van mijn oude sportschool. Een datalek. Mijn naam, adres, zelfs mijn bankrekeningnummer. Ligt nu ergens op straat, digitaal dan. Dan voel je hoe weinig die regels soms waard zijn. Het kwaad is al geschied. Ze mogen dat niet laten gebeuren, maar het gebeurt.

Wat echt niet mag, wat de kern is van die hele wet:

• Je gegevens stiekem doorverkopen. Je vertrouwt een webshop met je adres, en ineens krijg je post van bedrijven waar je nog nooit van hebt gehoord. Dat is handel in vertrouwen. Dat is wat ze niet mogen doen.
• Je dwingen om overbodige info te geven. Waarom heeft die game op mijn telefoon toegang tot mijn microfoon nodig? Dat is niet nodig voor het spel. Dat is data graaien. Dat is verboden.
• Beslissingen over jou nemen puur op basis van een algoritme. Een computer die beslist of je een lening krijgt, zonder dat er een mens naar kijkt. Dat voelt zo koud. En het mag niet, niet zomaar.
• Je medische gegevens zomaar gebruiken. Dat is het meest persoonlijke wat er is. Je gezondheid. Daar mag niemand aankomen zonder dat jij heel duidelijk ja hebt gezegd. Dat is de grens.

Het is een gevecht tegen onzichtbare reuzen. Deze regels zijn de stenen in je hand. Soms voelt het hopeloos, maar het is het enige wat we hebben. Een poging om mens te blijven in een wereld van data.