Werknemers sturen regelmatig werkbestanden naar hun persoonlijke e-mailadres of slaan deze op hun persoonlijke laptop op. Dat is niet altijd met goede bedoelingen, zo blijkt uit een recent voorval bij een Britse supermarktketen. Is een werkgever aansprakelijk wanneer een werknemer een datalek veroorzaakt?
Voor het uitvoeren van de jaarlijkse audit, had een externe partij de salarisgegevens van medewerkers van de supermarktketen nodig. Een interne IT-medewerker werd de opdracht gegeven deze aan te leveren. Hiervoor kreeg hij een versleutelde USB-stick van de externe partij in bruikleen, waarop hij de gegevens vervolgens kopieert. Enkele dagen later kopieert de IT-medewerker de gegevens opnieuw, deze keer naar een eigen USB-stick welke hij meeneemt naar huis. De medewerker beschikt nu over de salarisgegevens van bijna 100.000 collega’s.
Kwade bedoelingen
Op een gegeven moment besluit de medewerker het bestand met de salarisgegevens te publiceren op een ‘file sharing’ website, nadat hij eerder een disciplinaire waarschuwing van zijn werkgever heeft gekregen. Niet alleen salarisgegevens, ook onder andere namen, adressen, bankgegevens en burgerservicenummers zijn in het bestand opgenomen. Om zijn werkgever op een verkeerd been te zetten publiceert hij de gegevens onder de naam van een collega. Na de publicatie verspreidt hij de link ook elders op het internet. De werknemer hoopt duidelijk op aandacht voor deze gegevens, maar de verwachte gevolgen blijven echter uit. De medewerker besluit daarom – anoniem – een kopie van de gegevens naar drie Britse dagbladen te sturen. Deze dagbladen publiceren de gegevens echter niet, maar nemen contact op met de supermarktketen. De supermarktketen schakelt de politie in en binnen enkele uren zijn de bestanden offline gehaald. De medewerker wordt gearresteerd en veroordeeld tot een gevangenisstraf van acht jaar.
Gevolgen voor de organisatie
De onrust binnen de supermarktketen blijft niet uit: werknemers zijn not amused over het lekken van de vertrouwelijke informatie en eisen een schadevergoeding. Volgens de rechtbank is de supermarktketen als werkgever ‘secundair aansprakelijk’ voor het datalek, mede omdat de medewerker toegang tot deze informatie was toevertrouwt en hem de opdracht was gegeven deze gegevens voor de auditor te kopiëren.
Ook in Nederland is het mogelijk dat een werkgever aansprakelijk wordt gesteld voor schade die door werknemers aan derden worden toegebracht. Daarbij dient te worden aangetoond dat de kans op de schade is vergroot door de taak of opdracht van de werknemer, terwijl de werkgever zeggenschap had over de gedraging waarbij de schade werd veroorzaakt. Er dienst dus, net als in de genoemde zaak, een verband te zijn tussen de daad en de taak van de werknemer. Een werkgever kan dus aansprakelijk worden gesteld als een werknemer gegevens lekt, waartoe hij uit hoofde van zijn functie toegang tot heeft. Zeker wanneer veel mensen ‘slachtoffer’ zijn van het datalek of wanneer een datalek veel gevoelige informatie bevat, kan dit verregaande gevolgen hebben voor het imago en de continuïteit van de onderneming.
Voorkomen
Als organisatie kunt u meer doen dan alleen voldoen aan privacywetgeving. Neem technische, maar vooral ook organisatorische maatregelen om misbruik van informatie te voorkomen. Hoe? Stel duidelijke regels op, organiseer trainingen voor uw medewerkers en laat medewerkers op cruciale posities screenen. Signum Interfocus is u daarbij graag van dienst. Benieuwd naar de mogelijkheden? Neem dan gerust contact met ons op.
Meer informatie
Deze blog is geschreven door Jan Willem Middelesch, particulier onderzoeker en consultant bij Signum Interfocus en is (deels) gebaseerd op een artikel van Privacyweb, dat in november 2018 werd gepubliceerd op hun website. Meer informatie over Jan Willem en onze andere medewerkers vindt u op deze pagina.