image

Juridische vraag: is werknemer aansprakelijk voor datalek?

woensdag 11 november 2015, 10:47 door Arnoud Engelfriet, 19 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?

Antwoord: Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.

Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een 'handje' van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.

Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer "niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid."

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.

Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.

Nu kun je dus twee dingen doen: (1) tekenen "want het is tegen de wet" of (2) niet tekenen, want "kom nou wat een flauwekul". Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).

Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij een slechte werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
11-11-2015, 10:54 door Anoniem
Is deze wet ook van toepassing op de overheid want die zijn vaak onschendbaar?
11-11-2015, 11:20 door Ron625 - Bijgewerkt: 11-11-2015, 11:21
Er lopen m.i. een paar dingen door elkaar.
De werkgever is verantwoordelijk voor de beveiliging en is dan ook veroordeelbaar.
Maar wanneer een werknemer e.e.a. op een USB stick zet, om mee naar huis te nemen en hij verliest deze USB stick, waarna er misbruik gemaakt wordt van de gegevens, dan kan de werkgever m.i. alle schade, dus ook een boete, verhalen op dit personeelslid.
Het is tenslotte in alle overeenkomsten niet toegestaan,om gevoelige informatie te kopiëren voor eigen gebruik.

Het is een algemene wet, dus van toepassing op alle Nederlanders, dus ook voor ambtenaren.
Hierbij denk ik vooral aan kleine gemeenten waar iemand achter het loket zit, die veel taken moet doen.
Voor het verlengen voor een rijbewijs is b.v. geen inzage in de financiën nodig,
voor het aanvragen van een uitkering, is geen inzicht in een medisch verleden nodig.
Dit zijn nu net de dingen, waarbij vooral kleinere gemeenten de mist mee ingaan.
11-11-2015, 11:20 door Anoniem
@Anoniem hierboven: Ja, het meldplicht geldt ook voor overheidsinstanties zelf. Goede kans dat inlichtingendiensten wel buiten schot vallen.

Bron: http://webwereld.nl/security/57347-meldplicht-cyberaanvallen-ook-voor-energiebedrijven (even verder lezen, staat hier vermeld)
11-11-2015, 11:37 door Anoniem
En dan gaat het hier nog om de werknemer tov de werkgever.
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen.

Ik heb dat geweigerd omdat ik het nut niet zie van het overleggen van mijn persoonlijke ID aan een extern bedrijf, omdat immers niet mijn persoonlijke identiteit maar de identiteit van mijn werkgever van belang is. Laat ze maar een afschrift KVK sturen ofzo, ik heb persoonlijk geen contract met dat externe bedrijf en ben niet verantwoordelijk voor de handelingen die ik daar verricht na opdrachten van daartoe geautoriseerde personen binnen mijn werkgever.

Ik kreeg toen geen account daar. Is gelukkig verder niet zo'n probleem omdat er voldoende andere medewerkers zijn die hier wel ingetrapt zijn, maar ik vind het maar een vreemde zaak. Zeker ook omdat het allemaal alleen maar telefonische cq webomgeving handelingen betreft en de kopie ID dus op geen enkele manier gebruikt kan worden ter authenticatie, en dus alleen maar bedoeld kan zijn om een handvat te hebben voor rechtstreeks procederen tegen mij als werknemer.
11-11-2015, 15:13 door Anoniem
Maar wanneer een werknemer e.e.a. op een USB stick zet, om mee naar huis te nemen en hij verliest deze USB stick, waarna er misbruik gemaakt wordt van de gegevens, dan kan de werkgever m.i. alle schade, dus ook een boete, verhalen op dit personeelslid.

Hoezo is dat de verantwoording van de werknemer ? Immers kan de werkgever bijvoorbeeld middels endpoint protection zorgen dat de medewerker geen USB sticks, of enkel goedgekeurde encrypted USB sticks kan gebruiken.

Verder is het zoals Arnoud zegt; het is primair de verantwoording van de werkgever indien de medewerker deze informatie bij zich heeft in het kader van zijn werkzaamheden.

Het is tenslotte in alle overeenkomsten niet toegestaan,om gevoelige informatie te kopiëren voor eigen gebruik.

Hoezo voor eigen gebruik, dagelijks lopen tienduizenden mensen de deur uit bij kantoren met gevoelige informatie, om daar thuis mee te werken voor de werkgever.

Niemand stelt hier dat er gekopieerd wordt voor eigen gebruik. Doet men dat wel, dan is dat natuurlijk een misdrijf, ongeacht of die informatie uitlekt naar derden. Dan heb je het immers over diefstal.
11-11-2015, 16:09 door ph-cofi
Ik zou bereid zijn een dergelijk document te tekenen, mits het expliciet duidelijk is welk omgang met persoonsgegevens wel en niet zijn toegestaan in het bedrijf. Oftewel, als mij op voorhand duidelijk is gemaakt waar "nalatigheid" precies begint. Vergelijkbaar met de al bestaande geheimhoudingsverklaringen. Misschien wel tijd voor een zelf afgesloten rechtsbijstandverzekering om hulp te krijgen bij eventuele kwesties met de bedrijfsjuristen.
11-11-2015, 16:10 door Anoniem
Door Anoniem: Is deze wet ook van toepassing op de overheid want die zijn vaak onschendbaar?
Ja dit geldt ook voor de overheid. De overheid is in deze ook gewoon een werkgever met de zelfde rechten en plichten. De overheid heeft ook een juridische dienst en vakbond waar dit soort zaken gewoon aan kunnen worden voorgelegd.
De overheid is zeker niet onschendbaar. Er wordt zelfs extra op de overheid gelet.
11-11-2015, 17:42 door Anoniem
Door ph-cofi: Ik zou bereid zijn een dergelijk document te tekenen, mits het expliciet duidelijk is welk omgang met persoonsgegevens wel en niet zijn toegestaan in het bedrijf. Oftewel, als mij op voorhand duidelijk is gemaakt waar "nalatigheid" precies begint.
Wat betreft de definitie van de nalatigheid kan ik daar nog wel in meegaan, maar het begrip "persoonsgegevens" is zo
belachelijk breed gedefinieerd dat ik toch niet bereid zou zijn op die manier te werken.
12-11-2015, 14:08 door Anoniem
De wettekst gaat in op de bestuurdersaansprakelijkheid. Niet op de individuele werknemer. Die is inderdaad slechts bij moedwillige acties, lees express lekken of sabotage, aansprakelik. Mede omdat de werkgever niet specificeert om welke soorten nalatigheden het gaat is dit document te vaag om erg veel impact te hebben in juridische zin.
12-11-2015, 14:19 door Sokolum
Door Anoniem: En dan gaat het hier nog om de werknemer tov de werkgever.
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen..

Dit is in de IT normale handeling wanneer je bijvoorbeeld een Datacenter in wilt. Je kunt wel met een visite kaartje van je werkgever gaan zwaaien, de portier wilt toch weten of jij wel Dirkje bent dit een Harddrive moet gaan vervangen. Zo zal dat exact ook zo zijn voor een account beheer, ze willen weten of jij het wel bent. Ze zullen vast een goede reden hebben omdat te vragen. Ik zou dit gewoon hebben gedaan, welk kwaad is er in het spel, je tekent geen geheimhoudingsverklaring.
12-11-2015, 15:25 door Anoniem
@sokolum: Des te meer organisaties beschikken over een kopie van een paspoort/id-kaart des te groter het risico dat er met jouw identiteit fraude wordt gepleegd. Ik zou hier daarom erg terughoudend in zijn (wanneer je ergens fysiek komt en je moet je identificeren dan is het laten zien van je id-kaart voldoende)
12-11-2015, 15:27 door Anoniem
@Solokum, een kopie van je paspoort afstaan gaat daarin wat ver. Ze hebben geen kopie nodig om te zien wie ik ben. Ik kan mijn paspoort gewoon tonen, ze bekijken hem even, en zien dat ik ben wie ik claim wie ik ben. Maken zij wel een kopie, dan overtreden ze (imho) de wet, omdat ze het BSN verwerken zonder hiertoe bevoegd te zijn. Daarnaast is er simpelweg geen enkele reden om een kopie te maken. Bewijssoort (paspoort, rijbewijs, ID-kaart) en nummer van dat ID opschrijven is voldoende om mij te achterhalen. Meer krijgen ze van mij dan ook niet, tenzij ze heel erg goed aan kunnen geven waarom dit nodig is, en op welke wettelijke grond zij zich beroepen.

"Doe niet zo flauw" of "Zo doen wij dat hier nu eenmaal" zijn geen valide argumenten daarin.
12-11-2015, 16:08 door Anoniem
Door Sokolum: Dit is in de IT normale handeling wanneer je bijvoorbeeld een Datacenter in wilt. Je kunt wel met een visite kaartje van je werkgever gaan zwaaien, de portier wilt toch weten of jij wel Dirkje bent dit een Harddrive moet gaan vervangen.
Kopieën en scans bewijzen helemaal niets, die zijn namelijk doodeenvoudig te manipuleren voor iedereen die maar een basale vaardigheid met een tekenpakket heeft opgebouwd. Dat datacenter moet je echte identiteitsbewijs inspecteren, dat bevat moeilijk te vervalsen echtheidskenmerken die niet aan de hand van een kopie gecontroleerd kunnen worden. Ze kunnen type en documentnummer noteren, maar ook zij mogen geen kopie maken tenzij ze dat (tegenover CBP) met heel solide argumenten kunnen onderbouwen.
Zo zal dat exact ook zo zijn voor een account beheer, ze willen weten of jij het wel bent.
En dat weten ze dus helemaal niet als ze een kopie of een scan krijgen. Het levert hun niet alleen schijnzekerheid op, het levert jou het risico op identiteitsfraude op. Iedereen die zo'n scan heeft ontvangen of zelfs maar een paar van jouw gegevens in een andere scan invult met een tekenpakket kan zich voor jou uitgeven tegenover iedereen die zo naïef is om te geloven dat die scan iets bewijst. Als het niets toe zou voegen was het tot daar aan toe, maar dit is schadelijk.

https://cbpweb.nl/sites/default/files/downloads/rs/rs_kopie-identiteitsbewijs.pdf
12-11-2015, 16:09 door Dick99999
Door door Ron625 Er lopen m.i. een paar dingen door elkaar.
De werkgever is verantwoordelijk voor de beveiliging en is dan ook veroordeelbaar.
Maar wanneer een werknemer e.e.a. op een USB stick zet, om mee naar huis te nemen en hij verliest deze USB stick, waarna er misbruik gemaakt wordt van de gegevens, dan kan de werkgever m.i. alle schade, dus ook een boete, verhalen op dit personeelslid.
Het is tenslotte in alle overeenkomsten niet toegestaan,om gevoelige informatie te kopiëren voor eigen gebruik.
[.....]
Arnoud Engelfriet onderbouwd de niet-aansprakelijkheid toch wel 'iets beter', kansloos tenzij je de stick opzettelijk verliest, als dat bestaat.
Door Arnoud Engelfriet
Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer "niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid."

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.
12-11-2015, 17:54 door Anoniem
Door Sokolum:
Door Anoniem: En dan gaat het hier nog om de werknemer tov de werkgever.
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen..

Dit is in de IT normale handeling wanneer je bijvoorbeeld een Datacenter in wilt. Je kunt wel met een visite kaartje van je werkgever gaan zwaaien, de portier wilt toch weten of jij wel Dirkje bent dit een Harddrive moet gaan vervangen. Zo zal dat exact ook zo zijn voor een account beheer, ze willen weten of jij het wel bent. Ze zullen vast een goede reden hebben omdat te vragen. Ik zou dit gewoon hebben gedaan, welk kwaad is er in het spel, je tekent geen geheimhoudingsverklaring.

Het ging hier niet om een fysiek bezoek zoals ik al schreef. Dat ze over een kopie van mijn ID beschikken voegt helemaal
niks to mbt mijn identificatie, en het is wel een van die bedrijven waarvan bekend is dat zij zelf het beschikken over een
kopie ID zien als een legitimatie, wat naar mijn mening totaal onacceptabel is. Alleen een echte ID is een ID, een een
kopie is helemaal niks. Maar als zij dat anders zien dan ga ik ze geen kopie geven, want voor je het weet zit je ergens
aan vast wat op diezelfde onacceptabele handelswijze gebaseerd is. Zolang kopie ID gezien wordt als een legitimatie
geef ik die niet af aan leveranciers, datacenters, of meer van dat soort instanties. Ze bekijken het maar.

(het is een onbegrijpelijke situatie: de overheid wordt geacht al het mogelijke te doen om ID kaarten en paspoorten
onvervalsbaar te maken, en als dat niet helemaal gelukt is dan is dat een regeringscrisis waard, maar dan mogen
bedrijven wel met een kopietje werken en daar dingen mee bewijzen. dat wil er bij mij niet in!)
12-11-2015, 19:19 door swake - Bijgewerkt: 12-11-2015, 19:21
USB sticks zijn niet de grote boosdoeners van datalekken hoor . Meeste data word gestolen door roekeloosheid van de werknemer zelf .Heel wat bedrijfscomputers kunnen ook op het internet , en velen nemen het niet nauw om bedrijfscomputers ook te gebruiken om te gaan Facebooken . Even een filmpje gaan openen en hop , trojaans paard binnengehaald zonder men het zelf weet en op de achtergrond data kan doorsturen naar de computers van criminelen .
Een bedrijfscomputer die niet degelijk beveiligd is met de nodige beveiligingssoftware en niet UP to Date is met de laatste virusdefinities. Weet je wat ik tegen mijn werkgever ga zeggen . Trek uw plan met onbeveiligde computers en werk er zelf mee . Een autocar bestuurder moet voor hij vertrekt ook controleren of het voertuig volledig in orde is met alle veiligheidsvoorschriften, of hij mag ook weigeren om er met te vertrekken, en een bedrijfscomputer is net hetzelfde . Weigert de werkgever om zijn systeem degelijk te beveiligen en de beveiliging Up to date te houden, is hij zelf verantwoordelijk volgens mij .
Opletten met gevonden USB sticks die lijken alsof ze verloren zijn, per vergetelheid ergens laten liggen voor de schijn, en men benieuwd is naar de inhoud .
Moet je eens gaan googlen naar : Road apple social engineering attack
12-11-2015, 22:54 door bas-d
Hoe zit op dit moment, zijn bedrijven / verenigingen of stichtingen etc., zijn er nu al verplichting als er lek is geweest ?
13-11-2015, 03:10 door Anoniem
@17:54 door Anoniem

Men mag niet vragen om een kopie van een ID bewijs, behalve als het bijvoorbeeld een bank, notaris of werkgever is, die moeten dat wettelijk doen. Vraag maar na bij de CBP.

https://www.cbpweb.nl/nl/onderwerpen/identificatie/identiteitsbewijs

@14:19 door Sokolum
Nee, een datacenter mag alleen vragen een identificatiebewijs te tonen. Er is geen wettelijke noodzaak, een kopie overleggen mag men niet vragen.
13-11-2015, 06:48 door Anoniem
Door Arnoud Engelfriet:Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer "niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid."

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.

Het is een beetje off-topic, maar op grond van het artikel dat Arnoud aanhaalt is ook het eigen risico dat veel werkgevers bij de werknemer verrekenen in geval van schade aan de lease auto niet juist en aanvechtbaar.

Hierover heb ik jaren geleden met een (ex-)werkgever gesteggeld. Uiteindelijk is het niet voor de rechter gekomen omdat deze werkgever mij dit bedrag 'uit coulance' heeft kwijtgescholden.......
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.