Werkgeversaansprakelijkheid bij een datalek door een werknemer

Uit recent onderzoek blijkt dat werknemers regelmatig hun werkbestanden naar hun persoonlijke e-mailadres sturen of opslaan op hun persoonlijke laptop. Echter hier zijn risico’s voor werkgevers aan verbonden, zoals blijkt uit een recente kwestie in het Verenigd Koninkrijk. Daar werd de Britse supermarktketen Morrisons aansprakelijk gesteld voor een datalek van payroll gegevens van bijna 100.000 werknemers van Morrisons. De veroorzaker van het datalek was een werknemer van Morrisons zelf, die de payrolldata op zijn eigen persoonlijke USB stick had opgeslagen en de informatie vervolgens kwaadwillig op internet publiceerde. Dit roept verschillende juridische vragen op, waaronder over aansprakelijkheid. Kan een werkgever wel aansprakelijk worden gesteld voor de schade van een datalek die (kwaadwillig) door zijn eigen werknemer is veroorzaakt? In deze blog staan we hierbij stil.

De feiten in de Morrisons zaak

Een externe auditor van Morrisons had verschillende data nodig voor het uitvoeren van een jaarlijkse audit. Bij het verzoek van de externe auditor werd er gevraagd om een kopie van de payroll gegevens van Morrisons. De interne senior IT auditor van Morrisons, de heer S., verkreeg op 1 november 2013 de payroll gegevens van het HR departement op een versleutelde USB stick om deze vervolgens op een versleutelde USB stick van de externe auditor te plaatsen. Zo gezegd, zo gedaan. Echter, enkele dagen later op 18 november kopieerde de heer S. op zijn werk de payroll gegevens op een persoonlijke USB stick met het oog om het later te publiceren op internet. Uit woede voor een eerdere disciplinaire waarschuwing, publiceerde de heer S. op 12 januari 2014 een bestand van de payroll gegevens van zijn persoonlijke USB stick op een ‘file sharing’ website. Het betrof payroll gegevens van bijna 100.000 werknemers van Morrisons en bestond o.a. uit namen, adressen, geslacht, geboortedata, burgerservicenummers, bankgegevens en salarisgegevens. De heer S. plaatste de gegevens opzettelijk onder een naam van een collega ter misleiding. Kort daarna, verspreidde de heer S. links naar de file sharing website ook elders op het internet.

Twee maanden later, in maart 2014, stuurde de heer S. anoniem een CD met een kopie van de payroll gegevens naar drie Britse dagbladen. De dagbladen publiceerde de gegevens niet, maar lichtte diezelfde dag Morrisons in. Morrisons schakelde direct de politie in en binnen een paar uur waren er maatregelen genomen om de website met de gegevens offline te halen.

Enkele dagen later werd de heer S. gearresteerd. Hij werd uiteindelijk een jaar later veroordeeld tot een gevangenisstraf van acht jaar voor fraude, ongeoorloofde toegang tot computer materiaal en het publiceren van persoonlijke informatie.

Collectieve actie tegen Morrisons

Een groep van 5518 werknemers van Morrisons is vervolgens een collectieve actie gestart tegen Morrisons voor een schadevergoeding voor het misbruiken van persoonlijke informatie, het schenden van vertrouwen en het schenden van de Data Protection Act 1998 (implementatiewet gegevensbeschermingsrichtlijn, voorganger AVG). De rechtszaak werd gesplitst in een zaak over de aansprakelijkheid en een zaak over de schade. In deze blog staat de uitspraak over de aansprakelijkheid centraal. Daarbij oordeelde de High Court op 1 december 2017 dat Morrisons als werkgever aansprakelijk was voor het datalek dat de heer S. als werknemer veroorzaakte. Morrisons was onder het Engelse recht niet hoofdelijk aansprakelijk omdat de heer S. zijn gedragingen niet namens Morrisons waren gedaan en Morrisons niet de verwerkingsverantwoordelijke was (dat was namelijk de heer S.). Echter was Morrisons wel als werkgever ‘secundair’ aansprakelijk (vicarious liability). Er was namelijk voldoende verband tussen het werk van de heer S. en het publiceren van de payrollgegevens. Dit verband stond vast om de volgende redenen:

• De gedragingen van de heer S. waren een continue, ononderbroken ketting van gebeurtenissen gerelateerd aan de werkzaamheden van S.;
• Morrisons had de heer S. de gegevens welbewust toevertrouwd tijdens zijn werkzaamheden. Morrisons had het risico genomen dat het wellicht verkeerd zou zijn om de heer S. te kunnen vertrouwen met de gegevens;
• Morrisons gaf aan de heer S. de opdracht om de payroll gegevens te ontvangen, op te slaan en aan de externe auditor te overhandigen. Dat was in essentie zijn taak. Het feit dat hij er voor koos de gegevens te publiceren op internet was, ondanks het feit dat Morrisons hier geen toestemming voor gaf en het een onrechtmatige gedraging betrof, nauw gerelateerd aan zijn taak;

Het verband was tevens voldoende ongeacht het feit dat de payrollgegevens waren gepubliceerd buiten werktijd, vanaf een persoonlijke computer, enkele maanden na het kopiëren van de data en opzettelijk om Morrisons schade te berokkenen.

Morrisons ging tegen deze uitspraak van de High Court in hoger beroep. Op 22 oktober 2018 oordeelde the Court of Appeal het hoger beroep ongegrond. De rechter in hoger beroep sloot zich aan bij het oordeel van High Court. Morrisons heeft aangegeven in cassatie te gaan bij the Supreme Court.

Kan een werkgever in Nederland ook aansprakelijk worden gesteld?

De uitspraak van de Engelse rechter ziet op secundaire aansprakelijkheid onder het Engelse recht (common law). In Nederland is de secundaire aansprakelijkheid geregeld in artikel 6:170 BW. Dit artikel omvat de risicoaansprakelijkheid van de werkgever en bepaalt dat de werkgever aansprakelijk is voor de schade die aan een derde is toegebracht door een fout van een werknemer. De derde die schade heeft geleden dient dan aan te tonen dat de kans op de fout is vergroot door de taak van de werknemer, terwijl de werkgever zeggenschap had over de gedraging waarbij de fout werd gemaakt. Er moet dus een verband bestaan tussen de daad en de taak van de werknemer.

Vervolgens moet er voor de schade worden gekeken naar art. 7:661 BW, wat een uitwerking van art. 6:170 BW betreft. Dit artikel bepaalt dat de schade voor rekening van de werkgever komt, tenzij de werknemer de schade door opzet of roekeloosheid heeft veroorzaakt. In het laatste geval, komt de schade dus voor rekening van de werknemer. In het geval van Morrisons, zou Morrisons in Nederland wel aansprakelijk kunnen zijn geweest, maar de schade zou wellicht via artikel 7:661 BW voor de rekening van de werknemer kunnen komen. De werkgever dient opzet en bewuste roekeloosheid te bewijzen. Uit rechtspraak blijkt, dat werkgevers hier vaak niet in slagen. De bewijslast is aldus hoog om aan te tonen dat een werknemer opzettelijk dan wel bewust roekeloos schade heeft veroorzaakt.

Overigens is het Nederland ook mogelijk ook collectieve acties te starten op grond van artikel 3:305a BW. Zeker bij grote datalekken, zoals bij Morrisons, waarbij veel personen zijn getroffen, kan een collectieve actie een uitkomst bieden. Hierbij kan een groep een verklaring voor recht krijgen dat persoon X (of in dit geval: de werkgever) aansprakelijk is en vervolgens met die verklaring voor recht in een individuele procedure schadevergoeding vorderen.

Onder artikel 82 AVG staat tevens ook opgenomen dat degene wie materiële of immateriële schade heeft geleden, het recht heeft om van de verwerkingsverantwoordelijke of verwerker schadevergoeding te ontvangen voor de geleden schade.

Wat betekent dit voor werkgevers?

De uitkomst in de Morrisons zaak laat zien dat werkgevers aansprakelijk kunnen worden gesteld voor datalekken die worden veroorzaakt door (kwaadwillige) werknemers. Zeker bij datalekken op grote schaal kunnen de getroffenen wiens gegevens het betreft hun krachten samen bundelen om een collectieve actie te starten. De mogelijkheid om een collectieve actie te starten is ook mogelijk onder Nederlands recht, hoewel de schadevergoeding dan vervolgens (voorlopig nog) alleen in een individuele procedure kan worden gevorderd.

Hoe kunt u zich dan als werkgever tegen aansprakelijkheid weren? Allereerst begint het bij AVG compliance en maatregelen om datalekken te voorkomen. Zorg dat u adequate organisatorische en technische maatregelen neemt voor de beveiliging van persoonsgegevens. De Morrisons zaak wijst er ook op dat het verstandig is om binnen uw organisatie duidelijke regels op te stellen omtrent het gebruik van werkbestanden, bijvoorbeeld door middel van een ICT-protocol voor uw personeel. Wie heeft er allemaal toegang tot die bestanden en wordt deze toegang gelogd? Mogen de werkbestanden ook worden verstuurd naar een persoonlijk e-mailadres of worden opgeslagen op een persoonlijke computer/USB stick?

Zorg er daarnaast voor dat u een datalekkenprotocol heeft, zodat iedereen binnen de organisatie weet hoe zij moeten handelen bij een datalek.

Overigens kunnen werkgevers zich ook verzekeren tegen zulke incidenten zoals bij Morrisons. De Engelse rechter in hoger beroep wees hier ook op in zijn uitspraak. Tegenwoordig bestaan er speciale verzekeringen voor datalekken.

Heeft u vragen naar aanleiding van dit artikel? Of heeft u hulp nodig bij het opstellen van een ICT- of datalekkenprotocol? Neemt u dan gerust vrijblijvend contact op met Silvia Vinken of één van de andere leden van het Privacy-team.

Dit artikel is geschreven door Karen Knook en Sejla Okanovic, lid van het Privacy team van BANNING.