image

Juridische vraag: In hoeverre is een bedrijf aansprakelijk voor de schade die een werknemer veroorzaakt?

woensdag 21 december 2016, 12:22 door Arnoud Engelfriet, 9 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel één van onze systeembeheerders met roottoegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de back-ups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Antwoord: Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is immers de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk - je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak back-ups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (9)
21-12-2016, 13:50 door Anoniem
Vraag bij een concurrent een hele grote SFTP aan, encrypt alle backupdata aan je eigen zijde met een wachtwoord dat alleen de eigenaar heeft , en copy paste die hele boel periodiek over de schutting van de concurrent met Write rechten en geen delete/ovewrite. spreek aan de overkant een retentie van x sets af. De eigenaar moet ook periodiek zijn data aan de overkant terug copypasten, en unencrypten met zijn password.(waarmee voorkomen wordt dat de lokale admin encrypt met een ander wachtwoord)

Daarmee kan een lokale beheerder geen kwaad, en een remote beheerder ook niet met de data die hij beheert.
Dataloss is de tijd die zit tussen de periodiekigheid(3x woordwaarde).
Tel er ook wel bij op dat een set data geen serverpark met werkende alles is,
en ook geen nieuwe systeembeheerder is als je de oude net op hebt laten sluiten.
21-12-2016, 18:03 door Hatsikidee
een Seperation of Duties policy is hiervoor bedoeld, om te voorkomen dat 1 persoon te veel macht heeft. Bijvoorbeeld degene met toegang tot alle productie data, zou geen toegang tot back-up data mogen hebben.

Daarnaast is mandatory vacation belangrijk, om gebruikers te verplichten vakantie te nemen (waarbij een contactverbod is met het bedrijf), zodat iemand anders de rol geheel moet overnemen en waarmee eventuele problemen of fraude aan het licht kan komen.

Tenslotte kan ook job rotation meerwaarde hebben, zodat iemand niet te lang een bepaalde taak kan uitvoeren.
22-12-2016, 08:56 door Secu_jay
Als je dit soort dingen al mogelijk ziet, is er iets goed fout met de manier waarop je het eea hebt ingericht. Dergelijke schade beperken is al met zeer kleine bezetting te borgen. Daarnaast is het voor alle bedrijven zinnig om je personeel in de gaten te houden. De term 'ik zag het niet aankomen', is meer 'ik heb er nooit zo op gelet'.
22-12-2016, 12:00 door Anoniem
Door Secu_jay: Daarnaast is het voor alle bedrijven zinnig om je personeel in de gaten te houden..

Dat kan met een camera, maar ook met een periodieke salaris-check, of gewoon een kop koffie en de vraag wat er goed gaat, en beter kan.
Systeembeheerders zijn over het algemeen extreem betrouwbare en trouwe medewerkers, maar hoe strakker je een boog spant, hoe harder de impact als deze losschiet.
Ach, je hebt er wel eens een die een slechterik is, maar ik acht de kans aanwezig dat een "disgruntled employee" ontstaat binnen de relatie tussen werkgever en nemer.
22-12-2016, 22:36 door Anoniem
Door Hatsikidee: een Seperation of Duties policy is hiervoor bedoeld, om te voorkomen dat 1 persoon te veel macht heeft. Bijvoorbeeld degene met toegang tot alle productie data, zou geen toegang tot back-up data mogen hebben.
Klinkt heel goed. Maar is bij veel bedrijven niet haalbaar. Als het bedrijf maar uit een paar mensen bestaat, dan is dit lastig te implementeren.


Daarnaast is mandatory vacation belangrijk, om gebruikers te verplichten vakantie te nemen (waarbij een contactverbod is met het bedrijf), zodat iemand anders de rol geheel moet overnemen en waarmee eventuele problemen of fraude aan het licht kan komen.

Tenslotte kan ook job rotation meerwaarde hebben, zodat iemand niet te lang een bepaalde taak kan uitvoeren.
Mooie punten, maar ook vaak niet haalbaar. Hoe goed het ook zou zijn.
22-12-2016, 23:59 door Anoniem
Hosting bedrijven zouden smart backup oplossingen moeten inzetten. 90% van alles gebruikere heeft maandelijks 0 mutaties, dus afgezien van mail hoef je eigenlijk maar weinig te backuppen. Dus hoster zouden snapshots moeten maken en als download moeten aanbieden aan klanten.

Download en bewaard de klant zelf zijn backups dan kost het nietd extra, moet de hoster her bewaren dan reken je de kosten plus marge.

Over toegang, hosters zouden user rights moeten beperken en nauit diensttreding het useraccount deactiveren. Ik werkte bij voor een projevt bij een bank. Kreeg maanden later de vraag wat mijn wachtwoord was. Bleek mijn account nog actief te zijn. Ik had nog steeds alle rechten. Dat is gewoon erg slordig en mijn inziens verwijtbaar nalatig.

Wachtwoorden moeten ook periodiek worden aangepast en medewerkers nda contracten laten tekenen en ze mededelen dat er bij misbruik altijd aangifte wordt gedaan. Dat schrikt ook af.

Opmerking over medewerkers in de gaten houden dmv camera's is trouwens niet zomaar toegestaan en moet je niet willen. Geef het goede voorbeeld.
23-12-2016, 03:43 door Anoniem
Vergeet niet dat dit ook niet moedwillig kan gebeuren:

- Fouten (handelingen of in software)
- Malware

kunnen tot hetzelfde resultaat leiden.

Er zal dus zonder meer wat moeten veranderen zeker als dit ..eventueel..ook nog private data betreft want dan komt de wetgeving ook om de hoek kijken.
23-12-2016, 09:08 door Secu_jay
Door Anoniem:
Door Secu_jay: Daarnaast is het voor alle bedrijven zinnig om je personeel in de gaten te houden..

Dat kan met een camera, maar ook met een periodieke salaris-check, of gewoon een kop koffie en de vraag wat er goed gaat, en beter kan.
Systeembeheerders zijn over het algemeen extreem betrouwbare en trouwe medewerkers, maar hoe strakker je een boog spant, hoe harder de impact als deze losschiet.
Ach, je hebt er wel eens een die een slechterik is, maar ik acht de kans aanwezig dat een "disgruntled employee" ontstaat binnen de relatie tussen werkgever en nemer.
Dat bedoelde ik niet met in de gaten houden. Er is bewezen dat zonder camera, mensen juist beter en veiliger werken. Ik doelde meer op het herkennen van onvrede en kwetsbaarheden bij personeel. Organisaties moeten herkennen of meer gerichte insider threat een risico is, en dan al bij de sollicitatieprocedure meer maatregelen inzetten zoals profiling en goede interviews.

Signalen van onvrede en insider threat zijn vooraf te zien, maar het vereist wel inspanning. Deze inspanning kan je weer afzetten tegen de kans en het risico om te komen tot een goed riskmanagement target. Je uitspraak dat sysadmins meer betrouwbaar zijn dan de gemiddelde mens, steun ik niet. Het zijn ook mensen met zwakheden, en IT skills hebben geen correlatie met minder kwetsbaar zijn in mijn ervaring.
23-12-2016, 19:07 door Anoniem
Door Secu_jay: Als je dit soort dingen al mogelijk ziet, is er iets goed fout met de manier waarop je het eea hebt ingericht. Dergelijke schade beperken is al met zeer kleine bezetting te borgen. Daarnaast is het voor alle bedrijven zinnig om je personeel in de gaten te houden. De term 'ik zag het niet aankomen', is meer 'ik heb er nooit zo op gelet'.

Iemand keihard beschuldigen van nalatigheid -zonder te zeggen hoe het dan wel moet volgens jou- helpt niet.

Leg maar eens uit hoe je dat organisatorisch en technisch -werkbaar- met 2 beheerders kan regelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.