Werknemer als datalek? Werkgever aansprakelijk voor schade!

Bron: http://www.ponemon.org/blog/the-post-breach-boom

Uit het genoemde onderzoek van het Ponemon Institute blijkt eveneens dat organisaties als voornaamste oorzaak van het niet voorkomen van datalekken een tekort aan in-house expertise, niet-adequate beveiligingsprocedures en een tekort aan verantwoording noemen. Juist het laatste punt is van groot belang. Een organisatie kan uitstekende beveiligingsprocedures hebben (zoals Europol), maar als werknemers zich niet aan deze procedures houden hebben dergelijke investeringen weinig nut.

De schade door een datalek kan hoog oplopen voor de werkgever. Allereerst kan een boete worden opgelegd van maximaal € 820.000,- (en vanaf 25 mei 2018 een boete van maximaal € 20.000.000,-). Daarnaast kan verdere financiële schade volgen uit het feit dat vertrouwelijke bedrijfsinformatie openbaar is geworden. De grootste schade bestaat voor veel organisaties echter uit reputatieschade. Datalekken zijn een ‘hot issue’ in de media, waardoor datalekken veelal grootst worden uitgementen.

Veel werkgevers hebben wel een beleid met betrekking tot het (veilig) gebruik van internet, computers, smartphones en andere IT-systemen maar desondanks is gebleken dat werknemers toch de voornaamste oorzaak van datalekken zijn. Waar schort het aan?

Het begint met besef: de werknemer moet zich realiseren van welk belang het voorkomen van datalekken is. Niet alleen is van belang dat afspraken worden gemaakt over het gebruik van de verschillende bestaande communicatiediensten, en voor welk soort informatie deze geschikt zijn. In zijn algemeenheid geldt dat ‘onveilige’ vormen van opslag of communicatie kunnen worden gebruikt, mits de bestanden vooraf worden versleuteld. Zo is het gebruik van een USB-stick met onversleutelde informatie niet veilig, maar kan dit worden ondervangen door de informatie voorafgaand aan het kopiëren naar de USB-stick te versleutelen.

Diensten als Whatsapp, Dropbox en WeTransfer zijn echter ongeschikt voor het verzenden van (onversleutelde) vertrouwelijke informatie. Voor het verzenden van vertrouwelijke informatie zijn deze diensten simpelweg niet goed genoeg beveiligd. Voor het verzenden van vertrouwelijke informatie per e-mail geldt dat de veiligheid hiervan afhankelijk is van zowel de verzendende als de ontvangende partij. Indien beide partijen de mogelijkheid tot ‘end-to-end encryptie’[1]hebben ingeschakeld, is de e-mail een veilige methode om vertrouwelijke informatie te verzenden. Kortom, het grootste risico op een datalek blijkt de eigen werknemer te zijn. Werkgevers moeten hierop dan ook actie ondernemen. Al is het maar omdat op een werkgever een risicoaansprakelijkheid rust.

De risicoaansprakelijkheid van de werkgever betekent dat deze aansprakelijk is voor de door een fout van zijn werknemer veroorzaakte schade, als sprake is van een functioneel verband tussen de aan werknemer opgedragen werkzaamheden en de door deze werknemer gemaakte fout. Het gaat er om dat de werkgever zeggenschap heeft en dus de bevoegdheid de werknemers erop te wijzen dat zij geen datalek mogen veroorzaken. Om dit risico in te perken is het van belang dat werkgevers hierover concrete afspraken met werknemers maken. Om een werknemer aan dergelijke afspraken en IT- en beveiligingsprocedures te kunnen houden is vereist dat deze procedures met de werknemer zijn overeengekomen (in de arbeidsovereenkomst). Een praktische – en veel voorkomende – wijze hiertoe is de werknemer te wijzen op de toepasselijkheid van het personeelshandboek, en in dit handboek IT- en beveiligingsprocedures op te nemen, of te verwijzen naar een protocol.

Juist ondernemingsraden kunnen daar een rol in spelen. Die hebben immers op grond van artikel 27 lid 1 van de Wet op de Ondernemingsraden een instemmingsrecht ten aanzien van het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen. De ondernemingsraad zal dan ook zeker geïnteresseerd zijn in eventueel gerapporteerde datalek-incidenten. Voor wat betreft de verwerking van persoonsgegevens van niet binnen de organisatie werkzame personen kan de ondernemingsraad – met gebruikmaking van zijn initiatiefrecht – de ondernemer wijzen op het belang van een protocol, waarin niet alleen staat opgenomen hoe datalekken kunnen worden voorkomen maar vooral ook is geregeld hoe in het geval van een datalek – o.a. vanwege de strakke meldingstermijn – moet worden gehandeld.

Naast het overeenkomen van aan IT- en beveiligingsprocedures met de medewerker (al dan niet via het personeelshandboek of een protocol) is het van belang een sanctie te stellen op het overtreden van de IT- en beveiligingsprocedures. Procedures waar geen sanctie aan is verbonden zijn immers weinig meer dan een wassen neus. Mogelijke sancties op het overtreden van IT- en beveiligingsprocedures variëren van een officiële waarschuwing tot zelfs ontslag op staande voet (waarbij de gevolgen van het datalek van belang zijn).

Tot slot is het van belang dat de werkgever daadwerkelijk actief zorgdraagt voor naleving van de regels op dit gebied. Een eenmalige verwijzing naar het personeelshandboek, procedure of het protocol volstaat in de praktijk niet. De werkgever zal steeds weer duidelijk moeten maken wat het belang is voor de onderneming en de daarin werkzame medewerker.

[1] Bij end-to-end encryptie wordt de informatie voorafgaand aan verzending door de verzender versleuteld en door de ontvanger na ontvangst ontsleuteld. Dit zorgt ervoor dat partijen tussen verzendingen en ontvangst, zoals de telecomprovider of kwaadwillende buitenstaanders, de informatie niet (gemakkelijk) kunnen lezen

Ernst van Win, advocaat/partner Arbeid, Medezeggenschap & Mediation.

 Heeft u vragen over dit artikel, neemt u dan contact op met Ernst van Win, advocaat/partner Arbeid, Medezeggenschap & Mediation.