Een cyberaanval kan een organisatie langere tijd volledig platleggen en behoorlijk op kosten jagen. Mag de werkgever in zo’n situatie de werknemers vragen om vakantie-uren op te nemen? Dat is een belangrijke vraag voor de ondernemingsraad (OR).
Door allerlei onvoorziene omstandigheden kunnen de werkzaamheden in een organisatie stil komen te liggen. De coronacrisis is daar een goed voorbeeld van, maar ook een cyberaanval is een reëel risico voor organisaties. Volgens de Kamer van Koophandel krijgt maar liefst 1 op de 5 organisaties vroeg of laat te maken met een hack. Werkgevers vragen werknemers in zo'n geval soms om extra vakantie-uren op te nemen omdat het werk tijdelijk stilligt, maar daar hoeft de werknemer niet zomaar gehoor aan te geven. Krijgt de OR signalen dat er vanuit de organisatie bij werknemers op wordt aangedrongen om extra vrije dagen op te nemen, dan moet de OR bij de bestuurder aan de bel trekken. De OR moet immers bevorderen dat de werkgever de regels op het gebied van de arbeids- en rusttijden goed naleeft (artikel 28, lid 1 van de Wet op de ondernemingsraden, WOR).
Uitgangspunt is dat het risico van cybercrime bij de ondernemer ligt. De werkgever moet voldoende maatregelen treffen om zijn organisatie te beschermen tegen cybercrime (toolbox) en ook de schade komt voor zijn rekening als de organisatie wordt gehackt. Goede cybersecurity is dus van groot belang. Om de schade te beperken, kan de werkgever werknemers vragen om vakantiedagen op te nemen als het werk tijdelijk stilligt. In principe hoeft de werknemer hier geen gehoor aan te geven. Hij is immers vrij om zelf te bepalen wanneer hij vrij neemt. Bevat de vakantieregeling een regeling voor plus- en minuren, dan kan de werknemer zo’n verzoek echter niet zomaar weigeren. De OR moet dus goed weten wat er in de vakantieregeling staat om te bepalen of het verzoek van de werkgever redelijk is.
De OR heeft instemmingsrecht bij het vaststellen, wijzigen of intrekken van een vakantieregeling (artikel 27, lid 1b WOR). De OR moet in zo'n geval afwegen of het verzoek redelijk is en daarbij rekening houden met zowel de belangen van de achterban als die van de organisatie. Zo berekent de Rabobank de gemiddelde schade van een hack inmiddels op maar liefst € 300.000 per incident. Dreigt de organisatie ten onder te gaan aan een cyberaanval, dan is het redelijk dat de bestuurder de werknemers om hun medewerking vraagt. Zijn de organisatiebelangen niet zo groot, dan kan de OR bij zowel de bestuurder als de achterban benadrukken dat het verzoek vrijblijvend moet zijn en dat werknemers zich niet verplicht moeten voelen om hier gevolg aan te geven.