Werknemer lekt data, werkgever aansprakelijk

Een Engelse werkgever is door de rechter aansprakelijk gesteld voor de schade die een werknemer heeft veroorzaakt door het plaatsen van de gegevens van zo’n 100.000 medewerkers op internet. Ook in hoger beroep werd de werkgever aansprakelijk gesteld.

De medewerker, een interne auditor, had van de personeelsafdeling de payrollgegevens gekregen van bijna 100.000 medewerkers in versleutelde vorm op een usb-stick. De gegevens waren nodig voor de jaarlijkse audit door een externe partij. Maar de interne auditor kopieerde de gegevens ook op een persoonlijke usb-stick en verspreidde de gegevens vervolgens via internet. Namen, adressen, geslacht, geboortedata, Burgerservicenummers, bankgegevens en salarisgegevens van bijna 100.000 mensen lagen op straat. De zaak kwam in een stroomversnelling toen de auditor een cd met dezelfde payrollgegevens naar drie Britse kranten stuurde. De kranten publiceerden de gegevens echter niet, maar meldden zich dezelfde dag nog bij de werkgever, die op zijn beurt de politie inlichtte. De auditor werd gearresteerd en veroordeeld tot een gevangenisstraf van acht jaar voor fraude, ongeoorloofde toegang tot computermateriaal en het publiceren van persoonlijke informatie.

Maar daarmee was de zaak niet afgedaan. Ruim 5500 medewerkers begonnen een procedure tegen de werkgever. Ze eisten een schadevergoeding voor het misbruiken van persoonlijke informatie, het schenden van vertrouwen en het schenden van de Data Protection Act 1998 (de Engelse voorganger van de AVG).

Aansprakelijkheid en schade

De Engelse rechtbank oordeelde dat de werkgever aansprakelijk was voor het datalek. Omdat de werknemer zijn gedragingen niet namens het bedrijf had gedaan en de werkgever niet de verwerkingsverantwoordelijke was, was de werkgever weliswaar niet hoofdelijk aansprakelijk, maar wel ‘secundair’ aansprakelijk. Er was namelijk voldoende verband tussen het werk van de heer S. en het publiceren van de payrollgegevens. Wat de werknemer gedaan had was gerelateerd aan zijn werk. De werkgever had de gegevens welbewust aan de werknemer toevertrouwd en daarmee het risico genomen dat hij daarvan misbruik zou maken. De taak van de werknemer was om de payrollgegevens te ontvangen, op te slaan en aan de externe auditor te overhandigen. Dat hij de gegevens zonder toestemming op internet publiceerde, was – hoewel onrechtmatig – gerelateerd aan zijn taak. Dat de payrollgegevens waren gepubliceerd buiten werktijd, vanaf een persoonlijke computer, enkele maanden na het kopiëren van de data, deed daar niets aan af. Ook in hoger beroep werd de werkgever aansprakelijk gesteld.

Inmiddels is de AVG in werking getreden. Onder artikel 82 AVG staat opgenomen dat degene die materiële of immateriële schade heeft geleden, het recht heeft om van de verwerkingsverantwoordelijke of verwerker schadevergoeding te ontvangen voor de geleden schade.

Nederlandse situatie

Ook in Nederland is de werkgever, op grond van artikel 6:170 BW, aansprakelijk voor de schade die aan een derde is toegebracht door een fout van een werknemer. De derde die schade heeft geleden moet dan wel aantonen dat de kans op de fout is vergroot door de taak van de werknemer, terwijl de werkgever zeggenschap had over de gedraging waarbij de fout werd gemaakt.

Art 7:661 BW bepaalt vervolgens dat de werkgever de schade moet vergoeden, behalve wanneer sprake is van opzet of roekeloosheid aan de kant van de werknemer. Is dit laatste door de werkgever bewezen, dan komt de schade dus voor rekening van de werknemer. Gelet op rechtspraak op dit punt, betreft het hier een hoge drempel voor de werkgever.

Voorkomen is beter

Als werkgever wilt u natuurlijk niet in de situatie terechtkomen dat u aansprakelijk gesteld wordt voor (frauduleuze) handelingen van een medewerker die leiden tot een datalek. Hoe kan de kans worden verkleind dat zich een datalek voordoet?

• Zorg dat u adequate organisatorische en technische maatregelen neemt voor de beveiliging van persoonsgegevens. U bent hiertoe ook verplicht op grond van de AVG.
• Leg regels vast over het gebruik van e-mail, internet en werkbestanden. Dit kan al door het opnemen van een ICT-protocol in het bedrijfsreglement of de personeelsgids. In dit protocol kan bijvoorbeeld worden opgenomen wie toegang heeft tot bepaalde documenten, maar ook op welke wijze bestanden moeten worden opgeslagen, hoe met een USB-stick dient te worden omgegaan en aan welke eisen wachtwoorden dienen te voldoen. Denk hierbij ook (of misschien wel: met name) aan de werknemer die thuis en onderweg werkt. Zorg er ook voor dat er (noodzakelijke en gepaste) sancties worden opgenomen, indien de regels uit het protocol worden overtreden.
• Zorg ervoor dat u regelmatig met uw personeel spreekt over de wijze waarop zij met persoonsgegevens omgaan. Hiermee wordt meer bewustzijn gecreëerd en dit verkleint de kans op datalekken (of overige schendingen met de privacywet- en regelgeving).

Protocol datalekken

Uiteraard kunnen niet alle datalekken worden voorkomen. Daarom is het verplicht om over een protocol datalekken te beschikken. Er kan bijvoorbeeld al sprake zijn van een datalek bij een verloren USB-stick, een verkeerd aangeklikte link in de mailbox of een gestolen laptop. In het protocol (bedoeld voor intern gebruik) dient een proces te zijn opgenomen dat moet worden gevolgd als zich een datalek voordoet. Binnen de organisatie moet bekend zijn wat er op zo’n moment moet gebeuren. Ook is het noodzakelijk dat u weet wanneer een datalek daadwerkelijk dient te worden gemeld (en aan wie) en dient u te beschikken over een register waarin datalekken worden geregistreerd.

De AP heeft al aangegeven actief te gaan onderzoeken of bedrijven beschikken over het verplichte protocol datalekken en het register waarin de datalekken worden bijgehouden.

Heeft u hulp nodig met het vormgeven van een ICT-protocol of het opstellen van een datalekprotocol? Neem dan contact met ons op!

Gieljan Stevelmans