• 30 jul

    2019

    Aansprakelijkheid werkgever bij datalek door werknemer

    Er zijn NAW-gegevens uit het RDW-kentekenregister gelekt (hierna: ‘de Gegevens’). Uit een onderzoek van RTL nieuws blijkt dat de Gegevens op grote schaal werden verhandeld. Zodoende kwamen de Gegevens in handen van derden, die geen toegang tot die Gegevens behoorden te hebben. Er is dus sprake van een datalek. Hoewel het (nog) niet vaststaat, lijkt het aannemelijk dat werknemers van de RDW de Gegevens opzettelijk onrechtmatig hebben verstrekt. In hoeverre is de werkgever hiervoor aansprakelijk?

    Aansprakelijk: hoofdregel

    De hoofdregel van de AVG is dat de verwerkingsverantwoordelijke of de verwerker de materiële en immateriële schade moet vergoeden die iemand lijdt door een inbreuk op de verordening. Hieruit volgt dat de werkgever doorgaans aansprakelijk is voor een datalek, ook als het datalek veroorzaakt is door de werknemer. Dit is overigens in de lijn met ons burgerlijk wetboek. Ook daarin staat dat de werkgever aansprakelijk is voor de schade die zijn werknemer toebrengt aan een derde. Zelfs als de werkgever zelf geen verwijt te maken valt. Dit wordt een risico-aansprakelijkheid genoemd.

    Opzettelijk handelen werknemer

    Maar wat als er sprake is van opzet? Is er een verschil tussen aansprakelijkheid voor het handelen van de werknemer die per ongeluk iets verkeerd doet en degene die opzettelijk persoonsgegevens lekt? Ja, er is een verschil. Als er sprake is van opzet, dan is de werknemer zelf aansprakelijk. De werkgever moet dan wel aantonen dat er sprake was van opzet bij de werknemer. In het geval van de RDW moet de RDW dus aantonen dat het niet om ‘per ongeluk’ verstrekte informatie gaat, maar om het opzettelijk verstrekken van informatie aan derden die die informatie niet behoren te hebben.

    Belang beveiligingsmaatregelen

    Toch wil aansprakelijkheid van de werknemer niet zeggen dat er helemaal geen (financiële) consequenties zijn voor de werkgever. De mate waarin de werkgever maatregelen heeft genomen om een datalek te voorkomen is hierbij van belang. Hoe makkelijk was het voor bijvoorbeeld de RDW-medewerker om data te lekken? In mijn blog over beveiligingsmaatregelen schreef ik dat het bij beveiliging van persoonsgegevens niet alleen gaat om technische, maar om organisatorische maatregelen. Zoals, waar mogelijk, het beperken van toegang tot persoonsgegevens tot werknemers met een bepaalde functie. Is de werkgever tekort geschoten in zijn verplichting tot het nemen van beveiligingsmaatregelen, dan heeft dat mogelijk financiële consequenties. De vraag dringt zich dan immers op of de (volledige) schade zou zijn ontstaan als er wel voldoende beveiligingsmaatregelen genomen zouden zijn.

    Schadevergoeding en boete

    Wie er ook aansprakelijk is, de kans op een veroordeling tot het betalen van een (hoge) schadevergoeding aan gedupeerden is in Nederland vooralsnog niet zo groot. Dat heeft te maken met het feit dat schade door een datalek vaak immateriële schade is. En onze rechter is nu eenmaal terughoudend met het opleggen van een immateriële schadevergoeding. Mogelijk komt daar in de toekomst verandering in. De kans op een boete is op dit moment in ieder geval veel groter. Zo kreeg het Haga Ziekenhuis een forse boete van de Autoriteit Persoonsgegevens vanwege slechte interne beveiliging. De financiële gevolgen van een datalek zitten dus meer in de ‘boetehoek’.

    Samengevat

    Een werkgever is in principe aansprakelijk voor schade tengevolge van een datalek. Dit kan anders zijn als er sprake is van opzet bij de werknemer. Opzet of niet, de mate waarin de werkgever voldoet aan haar verplichting tot het nemen van beveiligingsmaatregelen is ook van belang. Neemt de werkgever onvoldoende beveiligingsmaatregelen, dan kan dit behoorlijke financiële consequenties hebben. Ook als het datalek an sich te wijten is aan opzet van de werknemer. Het is dus van belang om goede maatregelen te nemen ter beveiliging van de persoonsgegevens die je verwerkt.

    Heb je vragen over de regels waar je je aan moet houden bij de verwerking van persoonsgegevens? Neem gerust contact met ons op. We helpen je graag!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Klanten die Doen