Juridische vraag: Mag mijn werkgever mij persoonlijk aansprakelijk stellen voor datalekken en niet-naleving van de AVG?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Mijn werkgever eist dat ik een addendum op mijn arbeidscontract teken waarin opgenomen is dat ik persoonlijk aansprakelijk ben voor datalekken en niet-naleving van de AVG, inclusief een boetebeding voor 5.000 euro per geval. Ben ik verplicht dit te tekenen? Ik vind het wel héél ver gaan en overweeg serieus ontslag te nemen.
Antwoord: Een werkgever kan in principe niet eisen dat je iets ondertekent, tenzij de handtekening uitsluitend dient als bewijs dat je iets gezien hebt. Een akkoord kan in principe niet worden afgedwongen.
Specifiek bij wijzigingen van een arbeidscontract is er iets meer ruimte, grofweg wanneer de werknemer redelijkerwijs niet zou moeten weigeren. Dat zou kunnen spelen bij een functiewijziging, maar bij een beding als dit lijkt me dat niet op te gaan.
Minstens zo belangrijk is dat het juridisch niet mág, een werknemer persoonlijk aansprakelijk stellen voor niet-naleving van de AVG. Fouten in het werk die leiden tot zo'n niet-naleving zijn gewoon wanprestaties bij het werk, en die komen voor rekening van de werkgever (art. 6:170 BW).
Dit tenzij sprake is van opzet en grove nalatigheid, maar de lat daarvoor ligt zo hoog dat je er bij dit soort dingen vrijwel nooit aan komt. Sommige reglementen vermelden dan ook expliciet "iedere overtreding van de AVG wordt aangemerkt als opzet of grove nalatigheid" maar dat haalt niet eens de bulderlachtoets, laat staan de giecheltoets.
Ook een boete mag niet zomaar. Allereerst moet die boete in het arbeidscontract zelf staan (inclusief uitgewerkte regeling wanneer deze in werking treedt). Boetes in een eenzijdig aangekondigd reglement zijn sowieso niet geldig. Hier wordt de boete formeel in het contract zelf gezet, maar deze contractswijziging is geforceerd en dus ook niet rechtsgeldig.
Daarnaast mag een boete nooit hoger zijn dan een halve dag loon (art. 7:650 lid 5 BW). Met deze bedragen gaat het boetebeding dus sowieso van tafel.
Beide constructies zijn juridisch dus niet rechtsgeldig. Je hoeft dus niet te tekenen en dat kan juridisch geen gevolgen hebben. Natuurlijk mag de werkgever wel regels stellen over hoe je AVG-proof moet gaan werken, en mag hij je berispen of in extreme gevallen zelfs ontslaan als je die regels overtreedt. Die regels mag hij eenzijdig stellen, je akkoord als werknemer is daarvoor niet nodig. (Specifiek hier is die handtekening "voor gezien" wel nuttig, dan kun je niet ontkennen dat je wist van de regel.)
Een praktisch probleem blijft natuurlijk hoe je dat aan de werkgever overbrengt, zeker in situaties waarin deze zegt dat het wél moet en dat het wel rechtsgeldig is. Je kunt dan proberen het te escaleren via de vakbond of ondernemingsraad, of samen met collega's bezwaar maken en kijken of dat meer indruk maakt.
Als men blijft vasthouden, dan zijn er twee opties: 1) je tekent niet, en hoopt dat hij je daar niet op afrekent door bv. een promotie te weigeren, 2) je tekent wel, en als het beding dan wordt ingeroepen dan start je een procedure bij de rechtbank om dat ongedaan te maken. Bij die tweede optie zou ik wel eerst de rechtsbijstandsverzekering vragen of ze dit dekken.
Wat zouden jullie doen?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Bij zo'n werkgever zou ik niet willen werken. Maar ja, ergens wel zonde want het kan zijn dat dit een overijverige manager is die vanzelf tot inkeer komt (of eruit gekwakt wordt) en dan ben je voor niks weggegaan.
Met zaken tekenen waar je niet achter staat omdat je werkgever vreselijk aandringt en dan na ondertekening zegt dat je het niet perse had hoeven doen maar dat het je eigen keus is geweest, heb ik slechte ervaring. Het gaat ten koste van je zelfgevoel.
Als alternatief zijn er rechtsbijstandswinkels.
De vraag is natuurlijk wat de werkgever doet als de werknemer niet tekent.
In ieder geval, niet tekenen, maar eerst bovenstaande doen. Volg i.i.g. het advies van een advocaat precies op, dan weet je dat er bij een vervolg niets aan jou kan worden verweten. Succes.
Afdeling 5. Enkele bijzondere bedingen in de arbeidsovereenkomst
Artikel 650
5.
Binnen een week mag aan de werknemer geen hoger bedrag aan gezamenlijke boetes worden opgelegd dan zijn in geld vastgesteld loon voor een halve dag. Geen afzonderlijke boete mag hoger dan dit bedrag worden gesteld.
Hoe zit het dan met klant- en concurrentiebeding ? Zelfde limiet ?
Evt ontslag is onrechtmatig. En zal een flinke schadevergoeding tot gevolg hebben voor de werknemer.
Evt ontslag is onrechtmatig. En zal een flinke schadevergoeding tot gevolg hebben voor de werknemer.
Dan nog zeg ik: ik teken met de opmerking voor gezien.
Verder wil im een copie voor me zelf hebben. Foto smartphone of wat dan ook. Het document vanuit het HR systeem gaarne naar mijn privé mail vanuit het werk.
Vervolg is voor later, een afstemming met rechtsbijstand zit er als eerste stap in.
Onderwijl en in elk geval het CV oppoetsen en op zoek, want wie er zo stom is, daar hoef ik niet voor te werken. Ja, je kan het uitvechten, maar nee, dat levert bijna altijd scheve ogen en erger op, dus is het sowieso tijd om op te hoepelen. Als we met z'n allen geluk hebben doet iedereen dat en gaat het bedrijf roemloos maar terecht ten onder.
Deze discussie laten zien
Adviseren dat de overeenkomst in geen geval gaat standhouden.
Aanbieden te helpen om te voorkomen dat de manager (of het bedrijf) zijn gezicht verliest.
Bijvoorbeeld door die manager aan te bieden om te helpen iedereen volgens de AVG te (kunnen) laten werken (dat moet toch al)
Als je kan aantonen dat je fatsoenlijke training gaf aan het personeel, goede registers hebt en fatsoenlijke beveiliging ga je echt geen 4% boete krijgen!!! Je hebt dan namelijk aan alles voldaan wat de avg van je verwacht. Dus nee werkgevers jullie krijgen geen boete door een idiote medewerker.
Kortom, ik zou mijn werkgever uitleggen dat ze avg echt niet snappen als ze met deze clausule aankomen.
Als je kan aantonen dat je fatsoenlijke training gaf aan het personeel, goede registers hebt en fatsoenlijke beveiliging ga je echt geen 4% boete krijgen!!! Je hebt dan namelijk aan alles voldaan wat de avg van je verwacht. Dus nee werkgevers jullie krijgen geen boete door een idiote medewerker.
Kortom, ik zou mijn werkgever uitleggen dat ze avg echt niet snappen als ze met deze clausule aankomen.
Totdat ze slachtoffer worden van ransomware of een gerichte aanval. Dan is de wereld te klein en krijgt de IT beheerder ze op zijn kop.
[..]
Wat zouden jullie doen? [/quotq]
Sowieso escaleren. Je weet dat als je gewoon tekent en het later oplost dat een andere werknemer hiervan de klos gaat zijn die waarschijnlijk minder goed op de hoogte is van de juridische mogelijkheden. Als de werkgever maar genoeg druk zet kan een dergelijke werknemer bang worden en gewoon betalen.
Dit is zeer waarschijnlijk niet rechtsgeldig, hoe vaak je ook tekent. Dat neemt niet weg dat het niet klinkt als een bedrijf waar je wil werken.
De ICT is altijd een ondergeschoven kindje, want het is en grote kosten post, terwijl men er wel erg van afhankelijk is.
Kijk bv naar de Belastingdienst, een bak ellende, lopen jaren achter de feiten aan, maar de leidinggevende gaat wel met een salaris van een paar ton naar huis.
Maar dit geldt net zogoed voor particulieren, dat men de nieuwste smart TV, Tablet, Laptop, Mobieltjes e.d. aanschaft voor een hoop geld, maar als het om de beveiiliging gaat en als Pro de mensen adviseerd om een pro firewall met beveligingssoftware aan te schaffen en het gaat om een investering van rond de 1000,00,.
Dat vind men dan wel iets te veel van het goede en denken dat eentje van 100,00 ook wel goed is.
Voor kapitalen aan hardware in huis, maar het allerbelangrijkste stuk hardware, dat is te veel van het goede en zo blijven de meldingen binnenkomen bij Security.nl....
Kijk bv naar de Belastingdienst, een bak ellende, lopen jaren achter de feiten aan, maar de leidinggevende gaat wel met een salaris van een paar ton naar huis....
Wat je beschrijft over ingehuurde managers (extern buiten salarischaal) kan goed fout zitten. Het gedoe rond Pieter van de Cloo die door ivo Opstelten aan zeer lucratief iets geholpen is (ict politie) is daar een voorbeeld van.
Als je als ambtenaar een slechte keus hebt om je werk te moeten verlaten wegens geplande krimp en daar een schamel bedragje voor krijgt, dan is dat triest. Nog vreemder is dat zoiets als riante vertrekregeling in het nieuws gezet wordt. Wat moet je als je nog 10 jaar of langer zou moeten. Het specifieke overheidswerknemers wordt nergens anders gedaan je bent starter voor elk ander iets.
Neem het D&A gebeuren en je had iets van modernisering. Dat is heel vakkundig onderuit gehaald door politieke schuld bij de personen op de vloer te zoeken en op de te man te spelen. Zo'n juridische vraag of dat wel mag is in het publieke politieke steekspel niet eens gesteld. Het was schuldig en hangen we moeten terug naar het oude.
Kijk bv naar de Belastingdienst, een bak ellende, lopen jaren achter de feiten aan, maar de leidinggevende gaat wel met een salaris van een paar ton naar huis....
Wat je beschrijft over ingehuurde managers (extern buiten salarischaal) kan goed fout zitten. Het gedoe rond Pieter van de Cloo die door ivo Opstelten aan zeer lucratief iets geholpen is (ict politie) is daar een voorbeeld van.
Als je als ambtenaar een slechte keus hebt om je werk te moeten verlaten wegens geplande krimp en daar een schamel bedragje voor krijgt, dan is dat triest. Nog vreemder is dat zoiets als riante vertrekregeling in het nieuws gezet wordt. Wat moet je als je nog 10 jaar of langer zou moeten. Het specifieke overheidswerknemers wordt nergens anders gedaan je bent starter voor elk ander iets.
Neem het D&A gebeuren en je had iets van modernisering. Dat is heel vakkundig onderuit gehaald door politieke schuld bij de personen op de vloer te zoeken en op de te man te spelen. Zo'n juridische vraag of dat wel mag is in het publieke politieke steekspel niet eens gesteld. Het was schuldig en hangen we moeten terug naar het oude.
Ik bedoel het n iet als een persoonlijke aanval en weet dat men in het bedrijfsleven veel meer verdiend met bijklussen, dan de Secretaris Generaal...hij/zij moet het doen met net iets meer dan 9000,00 in de maand.
Voor zo'n functie en de bijbehorende verantwoordelijk heden, vind ik het meer een vergoeding, dan salaris.
Maar wat mij de afgelopen 30 jaar is opgevallen, dat zeker vandaag de dag de problemen met de ICT Infrastuctuur niet bij de klant kunt neerleggen en de gebruikers de schuld in de schoenen wordt geschoven door de leverancier en van nalatigheid beschuldigd worden.
Voor een leek is maar een ding belangrijk. Het moet gebruiksvriendelijk zijn en de klus klaren.
Dat bij veel ondernemingen en overheidsinstellingen, de ICT tewense overlaat, komt door enorme gebrek aan kennis en machogedrag en dat begint al bij de systeembeheerder die werkzaam is voor de klant waar men hun ellende aan slijten willen.
Want van de systeembeheerder wordt verwacht, dat deze de kennis en kunde in huis heeft voor eventuele ICT problemen.
Gezien ICT een vak appart is en intern niemand er iets van snapt, heeft de systeembeheerder een machtpositie en daar mogen ze graag mee lopen pronken.
En deze persoon laat door onkundige zich een bepaald pakket door de neus boren, terwijl hij er niets van snapt, maar net doet als of.
Dan wordt besloten met de keverancier in zee te gaan en deze moet er dan voor zorgen dat het pakket zonder problemen geimplementeerd wordt in het huide systeem en dan kun je de lol op[.
De kennis in Nederland is van zo'n belabberd niveau en ik spreek uit ervaring en meer troubleshooter was, dan Developer.
Want de systeembeheerder snapt er vaak de ballen van, dan komt zo'n ICT onderneming ook nog binnen met een heel peleton aan 'experts' en de trent van tegenwoordig maakt het alleen nog maar ingewikkelder, gezien elk persoon zijn eigen taak heeft en wat zijn collega doet geen kaas van geten heeftt.
Dan komt men met een onbekend en vreemd produkt aan, dat ergens ontwikkeld is en zij de landelijk hoofdleverancier van zijn.
Nou dat zegt al genoeg en dan beginnen de problemen pas echt en duurt het geen dagen, maar enekel maanden tot jaren, voordat er schot in zit.
Ze begrijpen van elkaar niet wat ze doen en de problemen stapelen zich op bugs en storingen tot het om zeep helpen van de servers en blijven volhouden dat het wel losloopt en alles onder controle.
Het zijn een stelletje prutsres bij elkaar en hoevaak ik die dropveters uit de ellende heb geholpen is te belagelijk voor woorden.
Oorzaak is pure winstbejag, door het aanbieden van rotzooi en de enorme gebrek aan kennis.
Ze vinden het ook nog raar, dat de servers het pakket niet ondersteunen of de nek om wordt gedraaid, dus wordt er doodleuk gemeld, dat de oorzaak bij de serversoftware van Microsoft of wel erkend bedrijf dan ook.ligt
Hier lopen alleen maar de prutsers rond, want als ze echt kennis van zaken hadden, dan werd men wel ingelijfd door de grote jongens en is men wereldwijd actief., zoals voor CMG.
Ik ben nog van de oude stempel en 30 jaar geleden intern bij Microsoft opgeleid en een vereisde is kennis van elk pakket wat er maar op de markt is.
Tegenwoordig ROC omscholing en dan denken dat ze er zijn. Pffff
Wat Di roc opleiding betreft als frustratie. Dat speelde vroeger in de hypes ook. Onkundige schoolverlaters werden als de oplossing gebracht voor al uw ict problemen via de externe dienstverleners. De interne beslissers geloofden het nog ook totdat ... Niets nieuws dus.
Alleen de schade komt altijd bij de interne idealisten.
Lijkt me een prima overzicht van de stand van zaken...
Wat Di roc opleiding betreft als frustratie. Dat speelde vroeger in de hypes ook. Onkundige schoolverlaters werden als de oplossing gebracht voor al uw ict problemen via de externe dienstverleners. De interne beslissers geloofden het nog ook totdat ... Niets nieuws dus.
Alleen de schade komt altijd bij de interne idealisten.
Karma4, goed om te lezen, dat goed opgevat wordt.
Helaas komt het vaak voor dat men eesrt vol in de verdediging gaat en dan vol in de aanval gereageerd wordt.
Dat ROC verhaal is geen frustratie, want ik maak het ook mee met stagiares van de UT.
Je kunt nog zoveel papieren hebben, maar in de praktijk leer je het echte werk en dan komen de echte talenten omhoog drijven en die worden ook snel ingelijfd door de gerenomeerde ondernemingen.
Net wat je zegt, het is allemaal niets nieuws, maar verontrustend dat het probleem wel erkend wordt, maar er niets aan gedaan wordt.
Maar ja...Laat gaan...
Altijd worden Anoniem komt men met zulke onbenullige opmerkingen.
Info waar niemand wat aan heeft, kom met feiten of onderbouwde argumenten.
En ook niet duidelijk aan wie het gericht is en wat men hiermee probeert te bereiken.
Beetje Jammer...
In dit geval lijkt belangrijker: Heeft deze werkgever zijn zaakjes wel op orde tav de AVG.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Security Trainer
Is security je passie? Dan ben je bij ons aan het juiste adres. Wij zijn 24/7, 365 dagen per jaar bezig met security. Je werkt in een team van internationaal bekende security-experts, het delen van kennis staat centraal. We zijn een organisatie met een informele bedrijfscultuur. Security is serious fun! Als technical security trainer geef je hands-on security trainingen op basis van de Certified Secure challenges en certificeringen.
Senior adviseur compliance, risicomanagement en informatiebeveiliging
Ministerie van Buitenlandse Zaken
Begin 2018 is binnen het ministerie van Buitenlandse Zaken het Cyber Security Center ingericht. Dit team is de spil in de dynamische wereld van cybersecurity en de borging van privacy in het kader van de Algemene verordening gegevens-bescherming. Als senior adviseur versterk jij dit gloednieuwe team op de gebieden risicomanagement, informatiebeveiliging en compliance.
IT-securityspecialist
Bij de AIVD
Een veilig Nederland vereist veilige ICT–voorzieningen binnen de AIVD, daar ben jij als security-specialist verantwoordelijk voor! Als IT-securityspecialist vorm je de brug tussen het beveiligingsbeleid en de uitvoering. Omdat we een bijzondere organisatie zijn, kunnen we op ‘papier’ niet alles vertellen, maar tijdens een sollicitatiegesprek des te meer!