Hilton mocht werkneemster ontslaan voor doorsturen klantgegevens naar privémail
Hotelketen Hilton mocht een werkneemster op staande voet ontslaan voor het doorsturen van gevoelige klantgegevens naar haar privémail, zo heeft de kantonrechter van de rechtbank Noord-Holland geoordeeld. De vrouw stuurde vanaf haar werkmail een 23-pagina's tellend Word-bestand met gegevens van 71 Hilton-gasten naar haar eigen privé-mailadres. Het document bevatte bedrijfsnaam, marktsector, naam, functietitel, telefoonnummer, e-mailadres, postadres en website van de gasten.
Het document werd op 7 april dit jaar door de vrouw naar haar privémail gestuurd. Hilton ontdekte dit bij toeval op 1 mei, waarna een gesprek met de vrouw volgde. Na het gesprek liet de werkneemster weten dat ze de gegevens naar zichzelf had doorgestuurd om met de gasten op LinkedIn te connecten. De volgende dag werd de vrouw op staande voet ontslagen, die naar de rechter stapte om het ontslag te laten vernietigen.
Volgens de rechter heeft de vrouw de gedragscode van Hilton overtreden. "Het betoog van [verzoeker] dat geen sprake is van een overtreding, omdat het slechts openbaar beschikbare informatie betreft, overtuigt niet. In het portfolio staan concurrentie- en privacygevoelige (persoons-)gegevens van gasten van Hilton, die wel degelijk een vertrouwelijk karakter hebben en waarover [verzoeker] alleen kon beschikken omdat zij bij Hilton werkt", laat de rechter aanvullend weten.
De kantonrechter verwerpt ook het standpunt van de vrouw dat er geen sprake is van een overtreding, omdat het portfolio is opgesteld en verstuurd in het kader van haar werkzaamheden. "Allereerst staat dat haaks op de ook door [verzoeker] ingenomen stelling dat zij dat ‘voor eigen gebruik’ heeft gedaan. Daarbij komt dat [verzoeker] niet heeft kunnen uitleggen waarom zij dit in het kader van haar werkzaamheden moest doen", laat de rechter daarover weten.
Volgens de rechter heeft Hilton voldoende onderbouwd dat zij belang heeft bij de naleving en handhaving van haar regels voor een zorgvuldige omgang met vertrouwelijke gegevens. Het portfolio bevat niet alleen concurrentiegevoelige informatie, maar ook persoonsgegevens van gasten die op grond van privacywetgeving beschermd moeten worden, voor welke bescherming Hilton verantwoordelijk is.
Daarnaast vindt de rechter het niet geloofwaardig dat de vrouw zich ‘van geen kwaad bewust was’. "Nog daargelaten dat het beleid duidelijk en bekend was, geldt dat Hilton (onbetwist) heeft gesteld dat [verzoeker] in het gesprek op 6 mei in eerste instantie heeft ontkend dat het portfolio bestond en dat zij dat naar haar privé-adres had doorgestuurd. Pas nadat het bewijs daarvan op tafel kwam, heeft zij dit toegegeven." De rechter oordeelt dan ook dat Hilton de vrouw op staande voet mocht ontslaan. Als verliezende partij moet zij de proceskosten van de hotelketen betalen, die op 814 euro uitkomen.
Een beetje bedrijf heeft ervoor gezorgd dat dat niet kan of op z'n minst wordt gelogd en een alarm doet afgaan bij systeembeheer.
Belangrijker is iedereen in je organisatie te overtuigen van de redenen voor het beleid, zowel qua security als privacy. Helaas is de verplichte jaarlijkste cursus een video van 5 minuten en een multiple-choice vragenlijstje. Dat zorgt ervoor dat de security officer ergens een vinkje kan zetten, maar niet dat de cultuur binnen een bedrijf verandert.
Belangrijker is iedereen in je organisatie te overtuigen van de redenen voor het beleid, zowel qua security als privacy.
Dat is waar.
Maar in deze casus lijkt het geen geval van "niet begrepen" , of "willen thuiswerken maar het security risico niet overzien " .
, maar gewoon bewuste opzet om die klantgegevens zelf te willen hebben .
Het "excuus" van mevrouw was dat ze deze klanten aan haar (eigen) linkedin wilde koppelen .
Misschien waar, of misschien was het doel (nog) slechter - phishing of andere criminele redenen, dat wordt verder niet duidelijk in het vonnis.
tegen zo'n zeer welbewuste overtreding vanwege een eigenbelang helpt een "uitleggen van het beleid" cursus, hoe lang of hoe goed ook, niet.
Helaas is de verplichte jaarlijkste cursus een video van 5 minuten en een multiple-choice vragenlijstje. Dat zorgt ervoor dat de security officer ergens een vinkje kan zetten, maar niet dat de cultuur binnen een bedrijf verandert.
Ik denk niet dat dit specifieke geval iets over "de cultuur" zegt , maar gewoon een behoorlijk rotte appel was.
Je kan "removable media" op slot zetten zodat niemand een USB stick kan gebruiken op die PC's.
En aangezien Hilton dus je desktop in de gaten houdt, en al je mail controleert, anders waren ze hier niet achter gekomen, dan ga ik ervan uit dat ze dat ook gedaan hebben.
Maargoed, ze had ook gewoon ter plekke een naam op linkedIN kunnen opzoeken en toevoegen op het moment dat ze met deze persoon aan het praten was.
Daarvoor heeft ze alleen een naam nodig, en niet de gehele lijst met data die ze naar zichzelf stuurde.
Hangt er van af; als ze (zoals ze zelf aangaf) de lijst alleen had om te connecten op LinkedIn moet je die 71 personen toch zelf met de hand gaan zoeken. Of je dat nou doet vanaf een foto of vanaf een Excel maakt dan niet meer uit...
Je kan "removable media" op slot zetten zodat niemand een USB stick kan gebruiken op die PC's.
En aangezien Hilton dus je desktop in de gaten houdt, en al je mail controleert, anders waren ze hier niet achter gekomen, dan ga ik ervan uit dat ze dat ook gedaan hebben.
Maargoed, ze had ook gewoon ter plekke een naam op linkedIN kunnen opzoeken en toevoegen op het moment dat ze met deze persoon aan het praten was.
Daarvoor heeft ze alleen een naam nodig, en niet de gehele lijst met data die ze naar zichzelf stuurde.
Precies dit. Waarom een heel bestand sturen terwijl je dit ter plekke gewoon zou kunnen doen?
Naar mijn idee was haar uiteindelijke echte doel dan misschien ook wel anders dan dat zij nu durft te beweren.
Was er meer kwaad in de zin? Om welke gasten in welke periode ging dit?
Zaten hier hoog gevoelige personen bij en is zij misschien zelfs wel onder druk gezet en durft het nu niet te zeggen bang voor represailles?
Zeg het maar.... Naar mijn idee zit dit lastiger in elkaar dan zo op het eerste oog lijkt.
Je kan "removable media" op slot zetten zodat niemand een USB stick kan gebruiken op die PC's.
En aangezien Hilton dus je desktop in de gaten houdt, en al je mail controleert, anders waren ze hier niet achter gekomen, dan ga ik ervan uit dat ze dat ook gedaan hebben.
Maargoed, ze had ook gewoon ter plekke een naam op linkedIN kunnen opzoeken en toevoegen op het moment dat ze met deze persoon aan het praten was.
Daarvoor heeft ze alleen een naam nodig, en niet de gehele lijst met data die ze naar zichzelf stuurde.
Precies dit. Waarom een heel bestand sturen terwijl je dit ter plekke gewoon zou kunnen doen?
Misschien natuurlijk dat ze het rustig wou bekijken of ze pietje wel en jantje niet wilde toevoegen, en is het ter plekke te druk of te opvallend om dat te doen.
Naar mijn idee was haar uiteindelijke echte doel dan misschien ook wel anders dan dat zij nu durft te beweren.
Was er meer kwaad in de zin? Om welke gasten in welke periode ging dit?
Zaten hier hoog gevoelige personen bij en is zij misschien zelfs wel onder druk gezet en durft het nu niet te zeggen bang voor represailles?
Altijd leuk scenario duimzuigen, maar ook zonder (externe) druk is het puur in haar belang om een onschuldige reden als smoes te geven.
Zeggen dat ze die gasten wilde (laten)phishen, of afpersen ,of de adressen verkopen, of werven als (seks)klant - het klinkt allemaal slechter dan "mijn linkedin uitbreiden." .
Vonnis spreekt nog over "beperkte impact op haar carriere" waardoor het ontslag geen te zware maatregel is.
Ze heeft hoe dan ook een eigenbelang om een 'onschuldige' reden te geven voor haar gedrag , waar of niet.
En kan met een klein beetje liegen ('ik had wat frictie met mijn leidinggevende en zat aan het plafond voor mijn functie') gewoon elders aan de slag .
Niet eens een VoG probleem.
Zeg het maar.... Naar mijn idee zit dit lastiger in elkaar dan zo op het eerste oog lijkt.
Dit vonnis ging alleen maar over het arbeidsrechtelijke aspect - was dit erg genoeg voor een staande voet ontslag .
Het is een beperkte waarheidsvinding - als de geclaimde feiten niet aannemelijk weersproken door de tegenpartij neemt de rechter ze aan voor het vonnis.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?