Een cyberaanval kan een organisatie langere tijd volledig platleggen. Onlangs gebeurde dit nog bij het industriële familiebedrijf VDL. Mag de werkgever werknemers in zo’n situatie vragen vakantie-uren op te nemen? Dat is een belangrijke vraag voor de ondernemingsraad (OR).
Door allerlei onvoorziene omstandigheden kunnen de werkzaamheden in een organisatie stil komen te liggen. De coronacrisis is daar een goed voorbeeld van, maar ook een cyberaanval is een reëel risico voor organisaties. Volgens de Kamer van Koophandel krijgt maar liefst 1 op de 5 organisaties vroeg of laat te maken met een hack. Werkgevers vragen werknemers soms om extra vakantie-uren op te nemen als het werk tijdelijk stilligt, maar daar hoeft de werknemer niet zomaar gehoor aan te geven. Krijgt de OR signalen dat de bestuurder werknemers vraagt om extra vrije dagen op te nemen, dan moet de OR bij de bestuurder aan de bel trekken.
Uitgangspunt is dat het risico van cybercrime bij de ondernemer ligt. De werkgever moet voldoende maatregelen treffen om zijn organisatie te beschermen tegen cybercrime en ook de schade komt voor zijn rekening als de organisatie wordt gehackt. Om de schade te beperken kan de werkgever werknemers vragen om vakantiedagen op te nemen als het werk tijdelijk stilligt. In principe hoeft de werknemer hier geen gehoor aan te geven. Hij is immers vrij om zelf te bepalen wanneer hij vrij neemt. Bevat de vakantieregeling een regeling voor plus- en minuren, dan kan de werknemer zo’n verzoek echter niet zomaar weigeren. De OR moet dus goed weten wat er in de vakantieregeling staat en of het verzoek van de werkgever redelijk is.
De OR moet bevorderen dat de werkgever de regels op het gebied van de arbeids- en rusttijden goed naleeft (artikel 28, lid 1 van de Wet op de ondernemingsraden, WOR). De bestuurder doet er verstandig aan om een verzoek aan werknemers om extra vakantie-uren op te nemen eerst voor te leggen aan de OR. De OR kan dan een afweging maken en daarbij rekening houden met zowel de belangen van de achterban als die van de organisatie. Zo kost een geslaagde hack volgens de Kamer van Koophandel een organisatie gemiddeld € 67.000, maar de schade kan oplopen tot vele miljoenen euro’s. Dreigt de organisatie ten onder te gaan aan een cyberaanval, dan is het redelijk dat de bestuurder de werknemers om hun medewerking vraagt. Zijn de organisatiebelangen niet zo groot, dan kan de OR bij zowel de bestuurder als de achterban benadrukken dat het verzoek vrijblijvend moet zijn en dat werknemers zich niet verplicht moeten voelen om hier gevolg aan te geven.
Hoe uw organisatie zich kan wapenen tegen cybercrime, leest u in de toolbox ‘Zo verbetert u de cybersecurity van uw organisatie’.