Juridische vraag: is werknemer aansprakelijk voor datalek?
ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?
Antwoord: Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.
Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een 'handje' van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.
Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer "niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid."
De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.
Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.
Nu kun je dus twee dingen doen: (1) tekenen "want het is tegen de wet" of (2) niet tekenen, want "kom nou wat een flauwekul". Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).
Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij een slechte werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
De werkgever is verantwoordelijk voor de beveiliging en is dan ook veroordeelbaar.
Maar wanneer een werknemer e.e.a. op een USB stick zet, om mee naar huis te nemen en hij verliest deze USB stick, waarna er misbruik gemaakt wordt van de gegevens, dan kan de werkgever m.i. alle schade, dus ook een boete, verhalen op dit personeelslid.
Het is tenslotte in alle overeenkomsten niet toegestaan,om gevoelige informatie te kopiëren voor eigen gebruik.
Het is een algemene wet, dus van toepassing op alle Nederlanders, dus ook voor ambtenaren.
Hierbij denk ik vooral aan kleine gemeenten waar iemand achter het loket zit, die veel taken moet doen.
Voor het verlengen voor een rijbewijs is b.v. geen inzage in de financiën nodig,
voor het aanvragen van een uitkering, is geen inzicht in een medisch verleden nodig.
Dit zijn nu net de dingen, waarbij vooral kleinere gemeenten de mist mee ingaan.
Bron: http://webwereld.nl/security/57347-meldplicht-cyberaanvallen-ook-voor-energiebedrijven (even verder lezen, staat hier vermeld)
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen.
Ik heb dat geweigerd omdat ik het nut niet zie van het overleggen van mijn persoonlijke ID aan een extern bedrijf, omdat immers niet mijn persoonlijke identiteit maar de identiteit van mijn werkgever van belang is. Laat ze maar een afschrift KVK sturen ofzo, ik heb persoonlijk geen contract met dat externe bedrijf en ben niet verantwoordelijk voor de handelingen die ik daar verricht na opdrachten van daartoe geautoriseerde personen binnen mijn werkgever.
Ik kreeg toen geen account daar. Is gelukkig verder niet zo'n probleem omdat er voldoende andere medewerkers zijn die hier wel ingetrapt zijn, maar ik vind het maar een vreemde zaak. Zeker ook omdat het allemaal alleen maar telefonische cq webomgeving handelingen betreft en de kopie ID dus op geen enkele manier gebruikt kan worden ter authenticatie, en dus alleen maar bedoeld kan zijn om een handvat te hebben voor rechtstreeks procederen tegen mij als werknemer.
Hoezo is dat de verantwoording van de werknemer ? Immers kan de werkgever bijvoorbeeld middels endpoint protection zorgen dat de medewerker geen USB sticks, of enkel goedgekeurde encrypted USB sticks kan gebruiken.
Verder is het zoals Arnoud zegt; het is primair de verantwoording van de werkgever indien de medewerker deze informatie bij zich heeft in het kader van zijn werkzaamheden.
Hoezo voor eigen gebruik, dagelijks lopen tienduizenden mensen de deur uit bij kantoren met gevoelige informatie, om daar thuis mee te werken voor de werkgever.
Niemand stelt hier dat er gekopieerd wordt voor eigen gebruik. Doet men dat wel, dan is dat natuurlijk een misdrijf, ongeacht of die informatie uitlekt naar derden. Dan heb je het immers over diefstal.
De overheid is zeker niet onschendbaar. Er wordt zelfs extra op de overheid gelet.
belachelijk breed gedefinieerd dat ik toch niet bereid zou zijn op die manier te werken.
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen..
Dit is in de IT normale handeling wanneer je bijvoorbeeld een Datacenter in wilt. Je kunt wel met een visite kaartje van je werkgever gaan zwaaien, de portier wilt toch weten of jij wel Dirkje bent dit een Harddrive moet gaan vervangen. Zo zal dat exact ook zo zijn voor een account beheer, ze willen weten of jij het wel bent. Ze zullen vast een goede reden hebben omdat te vragen. Ik zou dit gewoon hebben gedaan, welk kwaad is er in het spel, je tekent geen geheimhoudingsverklaring.
"Doe niet zo flauw" of "Zo doen wij dat hier nu eenmaal" zijn geen valide argumenten daarin.
https://cbpweb.nl/sites/default/files/downloads/rs/rs_kopie-identiteitsbewijs.pdf
De werkgever is verantwoordelijk voor de beveiliging en is dan ook veroordeelbaar.
Maar wanneer een werknemer e.e.a. op een USB stick zet, om mee naar huis te nemen en hij verliest deze USB stick, waarna er misbruik gemaakt wordt van de gegevens, dan kan de werkgever m.i. alle schade, dus ook een boete, verhalen op dit personeelslid.
Het is tenslotte in alle overeenkomsten niet toegestaan,om gevoelige informatie te kopiëren voor eigen gebruik.
[.....]
Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer "niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid."
De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.
Wat ik laatst meemaakte is dat een bedrijf waar mijn werkgever een contract mee heeft een "kopietje ID" vroeg bij het maken van een account voor beheer van de bij dat bedrijf afgenomen diensten. Waarop mijn werkgever dan weer aan mij vroeg om die te overleggen..
Dit is in de IT normale handeling wanneer je bijvoorbeeld een Datacenter in wilt. Je kunt wel met een visite kaartje van je werkgever gaan zwaaien, de portier wilt toch weten of jij wel Dirkje bent dit een Harddrive moet gaan vervangen. Zo zal dat exact ook zo zijn voor een account beheer, ze willen weten of jij het wel bent. Ze zullen vast een goede reden hebben omdat te vragen. Ik zou dit gewoon hebben gedaan, welk kwaad is er in het spel, je tekent geen geheimhoudingsverklaring.
Het ging hier niet om een fysiek bezoek zoals ik al schreef. Dat ze over een kopie van mijn ID beschikken voegt helemaal
niks to mbt mijn identificatie, en het is wel een van die bedrijven waarvan bekend is dat zij zelf het beschikken over een
kopie ID zien als een legitimatie, wat naar mijn mening totaal onacceptabel is. Alleen een echte ID is een ID, een een
kopie is helemaal niks. Maar als zij dat anders zien dan ga ik ze geen kopie geven, want voor je het weet zit je ergens
aan vast wat op diezelfde onacceptabele handelswijze gebaseerd is. Zolang kopie ID gezien wordt als een legitimatie
geef ik die niet af aan leveranciers, datacenters, of meer van dat soort instanties. Ze bekijken het maar.
(het is een onbegrijpelijke situatie: de overheid wordt geacht al het mogelijke te doen om ID kaarten en paspoorten
onvervalsbaar te maken, en als dat niet helemaal gelukt is dan is dat een regeringscrisis waard, maar dan mogen
bedrijven wel met een kopietje werken en daar dingen mee bewijzen. dat wil er bij mij niet in!)
Een bedrijfscomputer die niet degelijk beveiligd is met de nodige beveiligingssoftware en niet UP to Date is met de laatste virusdefinities. Weet je wat ik tegen mijn werkgever ga zeggen . Trek uw plan met onbeveiligde computers en werk er zelf mee . Een autocar bestuurder moet voor hij vertrekt ook controleren of het voertuig volledig in orde is met alle veiligheidsvoorschriften, of hij mag ook weigeren om er met te vertrekken, en een bedrijfscomputer is net hetzelfde . Weigert de werkgever om zijn systeem degelijk te beveiligen en de beveiliging Up to date te houden, is hij zelf verantwoordelijk volgens mij .
Opletten met gevonden USB sticks die lijken alsof ze verloren zijn, per vergetelheid ergens laten liggen voor de schijn, en men benieuwd is naar de inhoud .
Moet je eens gaan googlen naar : Road apple social engineering attack
Men mag niet vragen om een kopie van een ID bewijs, behalve als het bijvoorbeeld een bank, notaris of werkgever is, die moeten dat wettelijk doen. Vraag maar na bij de CBP.
https://www.cbpweb.nl/nl/onderwerpen/identificatie/identiteitsbewijs
@14:19 door Sokolum
Nee, een datacenter mag alleen vragen een identificatiebewijs te tonen. Er is geen wettelijke noodzaak, een kopie overleggen mag men niet vragen.
De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben "wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van". De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.
Het is een beetje off-topic, maar op grond van het artikel dat Arnoud aanhaalt is ook het eigen risico dat veel werkgevers bij de werknemer verrekenen in geval van schade aan de lease auto niet juist en aanvechtbaar.
Hierover heb ik jaren geleden met een (ex-)werkgever gesteggeld. Uiteindelijk is het niet voor de rechter gekomen omdat deze werkgever mij dit bedrag 'uit coulance' heeft kwijtgescholden.......
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.