'Werkgeversaansprakelijkheid’ voor een datalek
13 november 2018Nu de Algemene Verordening inzake Gegevensbescherming (‘AVG’) reeds een tijdje in werking is getreden, wordt er steeds meer duidelijk omtrent de praktische werking hiervan. Toch blijven er ook nog veel onduidelijkheden bestaan. Zo worstelen veel ondernemingen met het omgaan met (eventuele) datalekken. Daarnaast is natuurlijk een belangrijke vraag of een onderneming (civielrechtelijk) aansprakelijk kan zijn voor de schade voortvloeiend uit een datalek, veroorzaakt door een eigen werknemer.
Een belangrijke vervolgvraag is of een onderneming dergelijke schade kan verhalen op zijn eigen werknemer. In Nederland is over dergelijke problematiek nog weinig jurisprudentie. Wel geeft de Britse High Court (en in navolging hiervan the Court of Appeal) hieromtrent enige handvatten, die ook voor de Nederlandse rechtspraktijk richtinggevend kunnen zijn. Wat was er in deze zaak aan de hand?
De Britse supermarktketen Morrisons is in verband met een jaarlijkse externe audit verzocht om een kopie van haar payrollgegevens aan te leveren. In dat kader heeft de interne senior IT-auditor van Morrisons de payrollgegevens op een versleutelde USB-stick laten zetten om deze vervolgens op een versleutelde USB-stick van de externe auditor over te laten zetten. Echter, tevens heeft deze IT-auditor van Morrisons de payrollgegevens op een persoonlijke USB-stick overgezet, om deze aansluitend – uit woede over een eerdere disciplinaire maatregel – te publiceren op internet. Hierdoor zijn alle payrollgegevens, waaronder NAW-gegevens en BSN-gegevens van bijna 100.000 werknemers, op straat komen te liggen.
Daaropvolgend is een grote groep van werknemers van Morrisons een collectieve actie gestart om een schadevergoeding te verkrijgen voor (onder meer) schending van de voorganger van de AVG. Hierover heeft de Britse High Court geoordeeld dat Morrisons als werkgever aansprakelijk is voor het datalek dat de senior auditor als werknemer heeft veroorzaakt. Uiteraard hangt (eventuele) aansprakelijkheid af van alle omstandigheden van het geval, maar wat betekent onderhavige zaak voor de Nederlandse rechtspraktijk?
Ten eerste is een werkgever op grond van artikel 6:170 van het Burgerlijk Wetboek (risico)aansprakelijk voor de schade veroorzaakt door een ondergeschikte (lees: werknemer). Hierbij dient er (onder meer) sprake te zijn van een causaal verband tussen de gedraging en de werkzaamheden van de werknemer. Let hierbij op dat het niet per se hoeft te gaan om gedragingen van de werknemer onder werktijd, maar dat ook gedragingen van de werknemer in privétijd (zoals in de zaak Morrisons) aan de werkgever kunnen worden toegerekend.
In beginsel kan een werkgever derhalve aansprakelijk worden gesteld voor de schade voortvloeiend uit een datalek, veroorzaakt door een eigen werknemer. Ten tweede is het dan de vraag of de werkgever de schade kan verhalen op de werknemer. Hiervoor dient te worden gekeken naar artikel 7:661 van het Burgerlijk Wetboek, welk artikel bepaalt dat de schade veroorzaakt door een werknemer in principe voor rekening van de werkgever komt, tenzij er sprake is van opzet of bewuste roekeloosheid van de werknemer. Echter, het aantonen dat de schade het gevolg is van opzet of bewuste roekeloosheid is in de praktijk een behoorlijk hoge drempel. De schade veroorzaakt door een werknemer zal dus (helaas) vaak voor rekening van de werkgever komen.
Toch staat u als werkgever niet met lege handen. Allereerst begint het (uiteraard) bij AVG-compliance en maatregelen om datalekken te voorkomen. Hierbij kan worden gedacht aan een datalekprotocol, zodat iedereen binnen de onderneming weet hoe te handelen bij een datalek en zodat de werkgever zoveel mogelijk grip kan hebben op het proces rondom datalekken. Ook kan een werkgever een privacybeleid opstellen, waarin wordt voorgeschreven hoe de werknemers met persoonsgegevens binnen de organisatie moeten omgaan. Op die manier is de kans wellicht groter om de schade van de werkgever op de werknemer te verhalen, omdat het de werknemer dan op voorhand expliciet duidelijk is welke gedragingen uit den boze zijn.
Daarnaast dienen er adequate organisatorische en technische maatregelen te worden genomen voor de beveiliging van persoonsgegevens. Hierbij kan worden gedacht aan beperkte toegang, alsmede aan regels omtrent het verwerken van persoonsgegevens middels persoonlijke gegevensdragers of via een persoonlijk e-mailadres. Op die manier kunnen er al veel problemen worden voorkomen en voorkomen is beter dan genezen!
Voor meer informatie over privacygerelateerde onderwerpen kunt u contact opnemen met (een van) de privacyspecialisten van Pellicaan Advocaten.
