image

Mijn persoonsgegevens zijn via mijn werkgever gelekt. Wat kan ik juridisch doen?

woensdag 28 oktober 2020, 13:33 door Arnoud Engelfriet, 22 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: De laptop van mijn leidinggevende is recent gestolen. Helaas was het systeem niet versleuteld, waardoor gevoelige persoonsgegevens (zoals mijn naam, geboortedatum, BSN, handtekening en medische gegevens) door de dief te lezen zouden kunnen zijn. Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?

Antwoord: Allereerst: erg jammer en vervelend dat er anno 2020 nog steeds werkgevers zijn die dus dit soort gevoelige gegevens rondsjouwen zonder zelfs maar full-disk encryptie. Het is erg pijnlijk om daar via een datalekmelding achter te moeten komen.

De procedure is zo te lezen netjes gevolgd: de werknemer moet worden geïnformeerd en de AP ook, want de gegevens zijn zeer gevoelig en misbruik daarvan kan zeker tot schade bij de werknemer(s) leiden. Ook als het maar een handjevol mensen was - BSN en medische gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.

Dat wil niet zeggen dat de kous daarmee af is. De werknemer kan desondanks immers schade lijden door het lek, en volgens de AVG is de werkgever daar gewoon voor aansprakelijk stellen.

Het lastige hierbij is natuurlijk aan te tonen wat je schade is, zeker als er nog geen kwaadwillend gebruik van je gegevens is gemaakt. En bij diefstal van een laptop is de kans reëel dat dat ook niet gaat gebeuren; waarschijnlijk herinstalleert de dief Windows en verkoopt hij het ding tweedehands. Je kunt dan natuurlijk gaan monitoren op misbruik maar je zult waarschijnlijk niets tegenkomen.

Het gaat me wat ver om te zeggen dat een werkgever maar gewoon een bedrag moet geven bij wijze van forfaitaire schadevergoeding. Maar zonder concreet aangetoonde schade kan de werknemer verder niet zo veel. Bij financiële gegevens zou je nog kunnen eisen dat de werkgever een monitoringdienst betaalt om op het ahem "dark web" te kijken of je creditcard daar opduikt, maar voor bsn's of medische dossiers is er niet echt zo'n markt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (22)
28-10-2020, 14:04 door Anoniem
Ik kan me helemaal vinden in het antwoord van Arnoud, maar ik wil hier ook kritisch naar de vraag steller kijken. Hij/zij schrijft:
Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?

- Waarom vind je dit niet genoeg? Je kan eisen dat de werkgever dat nooit meer zo doet, maar ik vermoed dat deze met al het gedoe en een AP melding zijn lesje nu wel geleerd heeft.
- Op het moment dat je daadwerkelijk schade ondervindt, is die - zoals Arnoud schrijft - verhaalbaar. Maar zolang er geen schade is, wat wil je dan?
- Je hebt het over 'juridisch doen tegen...'. Waarom gelijk over de juridische as? Zou gewoon een goed gesprek met je werkgever niet meer opleveren dan een juridische procedure. Wat gebeurd is, is toch niet terug te draaien. Verbetering moet je dus zoeken in de toekomst. Vraag bijvoorbeeld of je werkgever bereid is een privacy audit uit te laten voeren om zo te toetsen dat zijn bedrijfsvoering qua privacy op orde is.

Of.....ben je enkel op zoek naar een manier om hier persoonlijk geldelijk gewin uit te halen? Bespaar je dan de moeite. Juristen en rechters wegen belangen af. Als jij geen schade hebt, is er geen reden om je een financiële compensatie te geven.
28-10-2020, 14:04 door Anoniem
Waarop ik me dan voorzichtig afvraag... waarom staan die gegevens op de laptop van jouw 'leidinggevende'?
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.

De basis van het probleem blijf dat die gegevens ergens beschikbaar zijn waar ze niet horen te zijn. Enige uitzondering zou zijn dat jij bij HRM werkt en dat dus alle data van het hele bedrijf door operhoofd HRM zijn verloren.

Dat doet echter geen recht aan medische gegevens. Die hoort je werkgever gewoon niet eens te hebben. Ook HRM niet.
28-10-2020, 14:35 door _R0N_
Ik kan me goed vinden in het gegeven antwoord.

De kans dat de gegevens misbruikt worden is klein, de kans is zelfs groot dat de gegevens vernietigd worden en dat de schade dus meevalt.
Iemand die persoonsgegevens zou willen verkopen steelt niet een laptop van een stropdas maar breekt in bij HRM en download een backup van de database of zo.

Wat "14:04 door Anoniem" ook al aangeeft; Je laat erg doorschemeren dat je uit bent op een zak geld, dat zal de relatie met je werkgever nooit ten goede komen en zal hoogst waarschijnlijk resulteren in een zoek opdracht op Monsterboard.
28-10-2020, 14:53 door Anoniem
Wat doen medische gegevens in de database, van een werkgever ? Een werkgever mag je niet eens vragen, naar medische details bij ziekte.
28-10-2020, 15:16 door Erik van Straten
Door Arnoud Engelfriet: op het ahem "dark web" te kijken of je creditcard daar opduikt, maar voor bsn's of medische dossiers is er niet echt zo'n markt.
Hoe weet je dat zo zeker? Bovendien, wat niet is, kan nog komen (verzamelen kan al plaatsvinden voordat de winkel opent).

In kennelijk toenemende mate worden mensen zogenaamd door hun bank gebeld waarbij de bellers over allerlei vertrouwelijke gegevens blijken te beschikken. Daarmee overtuigen zij de gebelde dat het echt om een bankmedewerker moet gaan. Die gegevens moeten ergens vandaan komen, en steeds vaker lijken er allerlei "diensten" te bestaan die (deels vertouwelijke) identificerende gegevens verzamelen en verkopen. Niet alleen op het dark web; bijv. ook in chatgroepjes.

Recent voorbeeld: "Onderzoekers TU/e vinden enorme zwarte markt voor handel in online ‘fingerprints’" (van webbrowsers). Kennelijk zijn ook die gegevens al geld waard: https://www.security.nl/posting/675689/Marktplaats+voor+gestolen+profielgegevens+laat+criminelen+RBA-systemen+omzeilen.
28-10-2020, 15:21 door Anoniem
Door Anoniem: Waarop ik me dan voorzichtig afvraag... waarom staan die gegevens op de laptop van jouw 'leidinggevende'?
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.

...
Het hebben van een HRM afdeling is geen verplichting (het zorgvuldig omgaan met persoongegevens wel). Bij kleine bedrijven is er over het algemeen geen aparte HR afdeling en zijn HR taken gewoon wij de leidinggevende belegd.
28-10-2020, 16:48 door Anoniem
Door Anoniem: Juristen en rechters wegen belangen af. Als jij geen schade hebt, is er geen reden om je een financiële compensatie te geven.

Nou, dat weet ik niet. Als mij dit zou overkomen dan zou ik diep ongelukkig zijn, net zoals jij ook zou moeten zijn, en zou ik de gang naar de AP geen "straf" vinden voor mijn werkgever. Deze heeft tenslotte bewezen een überprutser van de bovenste plank te zijn en heeft daarmee met mijn persoonlijke gegevens zitten spelen.
Wat mij betreft zou het anno 2020 duidelijk moeten zijn dat je dit niet meer kan doen en zou dit daadwerkelijk afgestraft moeten worden met een (symbolische, waarschijnlijk geldelijke) boete, naar rato van de omzet van het bedrijf: het bedrijf hoeft niet om zeep (bij voorkeur niet), maar ze mogen er wel iets voelen zodat er wat meer motivatie ontstaat om de gang van zaken te verbeteren. Ik zou daarbij niet noodzakelijk op een geldsom voor mij persoonlijk uit te zijn, maar misschien wel voor een goed doel of zo. Een "goed gesprek" met mijn werkgever is volgens mij hiervoor niet de manier.

Maar inderdaad, ik ben geen jurist en ook geen rechter. En zolang die niet nadenken over dit soort motivaties blijft het pappen en nathouden.

Verder, full-disk encryptie of niet, ik vraag me af waarom het anno 2020 noodzakelijk is om al dat soort persoonlijke gegevens op een disk in je laptop mee te nemen. Gebruik een VPN, of iets Citrix-achtigs of zo. Dat is veel controleerbaarder. Voor kleine bedrijven kan ik me voorstellen dat iets Citrix-achtigs wat duur kan zijn, maar een VPN kost niemand meer de kop.
28-10-2020, 17:42 door Anoniem
Door Anoniem: Wat doen medische gegevens in de database, van een werkgever ? Een werkgever mag je niet eens vragen, naar medische details bij ziekte.

Maar de werknemer mag het wel vertellen, en als dat via email gaat staat het in een database. En als je met beperking te maken gaat krijgen of dat er speciale apparatuur nodig is om je je werk te laten doen is het wel heel erg vreemd om helemaal niet te zeggen. Of het zijn zaken die aan de buitenkant zichtbaar zijn zoals een gebroken been, je kan het hem zeggen of hij ziet het als je in het gips op kantoor aankomt.
28-10-2020, 21:37 door Anoniem
Ik ben netjes geïnformeerd en het lek wordt gemeld, maar ik vind dit niet genoeg. Wat kan ik juridisch doen tegen mijn werkgever?

Tenzij er sprake is van daadwerkelijke schade, is een verstoorde arbeidsrelatie waarschijnlijk waar dit op uit zal lopen.

Juridisch valt er niets te halen, en je werkgever zal niet gecharmeerd zijn, indien je op deze manier reageert.

Waarom wil je de juridische weg bewandelen, wat hoop je te bereiken ?

Kan je niet beter in gesprek, en bijvoorbeeld vragen welke maatregelen er worden genomen, om herhaling te voorkomen ?
29-10-2020, 00:34 door Anoniem
Door Anoniem:

Maar inderdaad, ik ben geen jurist en ook geen rechter. En zolang die niet nadenken over dit soort motivaties blijft het pappen en nathouden.
.
Gelukkig laten onze rechters zich leiden door de Nederlandse wetgeving en niet door hun onderbuikgevoel!
29-10-2020, 07:23 door Rexodus
Door Anoniem:Waarom gelijk over de juridische as? Zou gewoon een goed gesprek met je werkgever niet meer opleveren dan een juridische procedure. Wat gebeurd is, is toch niet terug te draaien. Verbetering moet je dus zoeken in de toekomst. Vraag bijvoorbeeld of je werkgever bereid is een privacy audit uit te laten voeren om zo te toetsen dat zijn bedrijfsvoering qua privacy op orde is.

De tijd van praten met dat soort lui is voorbij. Nu wordt het bloeden. En voorbeelden stellen. Echt. Dat kon in 2000 misschien nog maar als je nu niet weet hoe het moet, ben je gewoon een gedrocht dat straf moet krijgen. En wel straffen naar draagkracht! Enige manier om dat soort te laten doen wat moet gebeuren. Want zolang ze overal mee wegkomen, interesseert dat stropdassen tuig totaal niet wat met andermans gegevens gebeurt.
29-10-2020, 09:04 door Anoniem
Ik denk dat de werkgever hier zeker wel gestraft zou moeten worden. Niet door de werknemer maar door de AP.
Dit is namelijk een schoolvoorbeeld van hoe je niet met persoonsgegevens moet omgaan.

In het bericht staat niet of de AP wel of niet een straf heeft opgelegd maar gezien hoe de AP op dit moment functioneert verwacht ik dat het bij een melding blijft.
29-10-2020, 09:41 door Anoniem
Door Rexodus:
Door Anoniem:Waarom gelijk over de juridische as? Zou gewoon een goed gesprek met je werkgever niet meer opleveren dan een juridische procedure. Wat gebeurd is, is toch niet terug te draaien. Verbetering moet je dus zoeken in de toekomst. Vraag bijvoorbeeld of je werkgever bereid is een privacy audit uit te laten voeren om zo te toetsen dat zijn bedrijfsvoering qua privacy op orde is.

De tijd van praten met dat soort lui is voorbij. Nu wordt het bloeden. En voorbeelden stellen. Echt. Dat kon in 2000 misschien nog maar als je nu niet weet hoe het moet, ben je gewoon een gedrocht dat straf moet krijgen. En wel straffen naar draagkracht! Enige manier om dat soort te laten doen wat moet gebeuren. Want zolang ze overal mee wegkomen, interesseert dat stropdassen tuig totaal niet wat met andermans gegevens gebeurt.
Oké,maar dan wel naar beide kanten. Als jij ergens een fout maakt, ook maar meteen de beuk erin ten nadele van jou, want eerlijk is eerlijk!
29-10-2020, 10:11 door Anoniem
Door Anoniem:
Verder, full-disk encryptie of niet, ik vraag me af waarom het anno 2020 noodzakelijk is om al dat soort persoonlijke gegevens op een disk in je laptop mee te nemen. Gebruik een VPN, of iets Citrix-achtigs of zo. Dat is veel controleerbaarder. Voor kleine bedrijven kan ik me voorstellen dat iets Citrix-achtigs wat duur kan zijn, maar een VPN kost niemand meer de kop.
Full-disk encryptie is meestal helemaal niet nodig. Een Windows 10 professional systeem encrypt standaard de user files, en dat zou voldoende moeten zijn voor de documentjes die deze man kennelijk op de laptop had staan.
Wellicht waren die ook wel encrypted maar was men daar niet helemaal zeker van, en heeft dus veiligheidhalve maar aangenomen dat ze niet encrypted waren.
Maar inderdaad, zet die data gewoon niet op de laptop, dan kan het ook niet zo gemakkelijk verloren gaan. Niet alleen is het slecht als het in handen van anderen valt, het is vast ook niet fijn dat de man er nu zelf niet meer over beschikt.
(laten we maar aannemen dat ie geen backups maakte)
29-10-2020, 11:15 door Anoniem
In win 10 pro géén standaard encryptie aan.
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
30-10-2020, 09:39 door Anoniem
Door Anoniem: In win 10 pro géén standaard encryptie aan.
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
Geen apparaat encryptie nee. Maar wel BitLocker encryptie van de gebruikersfiles. En daar gaat het meestal om,
wie boeit het wat als een dief jouw WORD.EXE kan lezen? Niemand toch...
Die BitLocker staat standaard aan op de HP laptops die we hebben en ik kan me niet voorstellen dat HP dat op de
een of andere manier standaard wijzigt in een Windows 10 pro install.
30-10-2020, 09:51 door Anoniem
Door Anoniem:
Door Anoniem: Waarop ik me dan voorzichtig afvraag... waarom staan die gegevens op de laptop van jouw 'leidinggevende'?
Die gegevens horen alleen bij HRM te liggen. En een beetje bedrijf zorgt ervoor dat die ergens op een in-house server staan en niet op een of andere onbeveiligde laptop.

...
Het hebben van een HRM afdeling is geen verplichting (het zorgvuldig omgaan met persoonsgegevens wel). Bij kleine bedrijven is er over het algemeen geen aparte HR afdeling en zijn HR taken gewoon wij de leidinggevende belegd.

waar ik me aan stoor is, dat er niet goed gekeken is naar de situatie schets. De gegevens van de werknemer stonden op de laptop wat op zich raar is. maar de betreffende werknemer geeft aan dat deze onversleuteld op de laptop stond. kortom het lijkt mij dat de werkgever onvoldoende heeft gedaan heeft om gegevens te beveiligen. daarna is wel netjes het proces gevolgd, maar ik kan me de werknemer goed de angst voor misbruik voorstellen. ik zou door het onbehoorlijk beveiligen en gegevens op willekeurige laptop op te slaan in plaats van in een beveiligde centrale database of dergelijke voor kunnen stellen dat er toch juridische mogelijkheden zijn. Echter gaat Arnold en anderen totaal aan voorbij. Als het een hier ging om een grote database welke gestolen is en niet behoorlijk beveiligd is, horen, zien en lezen we vaak anders. Als er geen gronde is tot iets van schade vergoeding, dan is die hele AVG wetgeving toch ook aanfluiting. want zolang het papieren proces maar gevolgd wordt is er niets aan de hand voor zowel werkgever als werknemer????

Daarnaast is het niet ondenkbaar dat er ook gegevens van anderen (bijv. collega's) op de laptop stonden, dat is echter niet vermeld.
30-10-2020, 11:04 door Anoniem
Had toch maar een ISO 27001 behaald; dan zijn de meeste zaken al doordacht en normen en kaders opgemaakt. Risico analyse gedaan en hier invulling aan gegeven.
30-10-2020, 13:22 door karma4
Ook als het maar een handjevol mensen was - BSN en ... gegevens tellen als zeer gevoelig ook bij kleine hoeveelheden.[/quote
Niet mee eens. Het BSN is enkel een unieke sleutel geen authenticatie hulpmiddel.
Dat het AP dat wel zo laat gebeuren en niet de wet gebruik BSN volgt waar de controle persoon-key bij de verwerker ligt, juist dat lijkt me een ernstig probleem. Iedereen kan wel beweren dat hij Alexander is maar daarmee is niet iedereen ook Alexander, Dat het wel makkelijk verwerken is met foute gegevens is een ander fout iets.
02-11-2020, 11:45 door Anoniem
Door Anoniem: Als er geen gronde is tot iets van schade vergoeding, dan is die hele AVG wetgeving toch ook aanfluiting. want zolang het papieren proces maar gevolgd wordt is er niets aan de hand voor zowel werkgever als werknemer????

Is er hier door de werknemer daadwerkelijk schade geleden? In dat geval zou er een grond zijn voor schade vergoeding.

Voor de werkgever zou er wel iets aan de hand kunnen zijn, maar dat is aan de ACM. Die kan de werkgever een boete opleggen, maar die boete is niet om enige schade te vergoeden.
02-11-2020, 19:19 door Anoniem
Door Anoniem:
Door Anoniem: In win 10 pro géén standaard encryptie aan.
https://support.microsoft.com/nl-nl/windows/apparaatversleuteling-in-windows-10-ad5dcf4b-dbe0-2331-228f-7925c2a3012d
Geen apparaat encryptie nee. Maar wel BitLocker encryptie van de gebruikersfiles. En daar gaat het meestal om,
wie boeit het wat als een dief jouw WORD.EXE kan lezen? Niemand toch...
Die BitLocker staat standaard aan op de HP laptops die we hebben en ik kan me niet voorstellen dat HP dat op de
een of andere manier standaard wijzigt in een Windows 10 pro install.

Onzin, er zijn maar heel weinig devices waar het aan staat. En wanneer je een Dell Laptop hebt dan moet je deze eerst ontsleutelen en opnieuw versleutelen met TPM want uit de fabriek zijn ze allemaal versleuteld zonder TPM chip en dus onveilig
05-11-2020, 12:43 door Anoniem
Als bedrijf kun je HP vragen om een windows image met een bepaalde config te leveren. Daarbij kun je dan ook opgeven encryptie standaard aan staat.

Zo hebben we dat in het bedrijf waar ik werk ook geregeld.
Als je als particulier een laptop koopt dan staat het inderdaad niet aan. Maar aangezien hij het heeft over een window10 pro install zal dat wel niet het geval zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.