Een lezer vroeg me:
Als een werknemer illegale software installeert op een werkcomputer, wanneer is de werkgever daar dan voor aansprakelijk?
Juridisch gezien is het gebruik van software zonder licentie niet anders dan het omschoppen van een vaas bij de klant. Een ander heeft schade, en dat zal de werkgever moeten vergoeden. Ja, de werkgever. Een werkgever is naar derden toe namelijk eigenlijk altijd aansprakelijk voor onrechtmatig handelen door zijn werknemers, mits dat handelen maar in enig verband staat tot het werk (art. 6:170 lid 1 BW).
Het idee is dat de werkgever bepaalt welk werk er wordt uitgevoerd. Daarom is hij dus ook verantwoordelijk (én aansprakelijk) voor dat werk. Pas bij “opzet of bewuste roekeloosheid” van de werknemer ligt er aansprakelijkheid bij hem, en de lat daarvoor ligt érg hoog. Je moet hebben geweten dat de kans groot was dat er iets goed mis kon gaan. En als je “gewoon” je werk doet, is daarvan eigenlijk nooit sprake. Ook niet als je fouten maakt, fouten maken hoort bij het werk en is dus risico werkgever.
Aansprakelijkheid bij de werknemer leggen kan wel (art. 7:661 BW), maar onder twee strikte voorwaarden: (1) Dat moet schriftelijk zijn afgesproken, en (2) de werknemer moet er voor verzekerd zijn. In de ICT is (2) vrijwel onmogelijk, probeer maar eens een beroepsaansprakelijkheidsverzekering te krijgen in die branche. Lukt je niet. Verzekeren tegen fysieke schade kan wellicht wel, maar dat is het probleem zelden bij ICT-werknemers.
Een reglement gaat hier weinig aan veranderen. Bewuste roekeloosheid of opzet krijg je niet bewezen met enkel “in het reglement staat dat het niet mocht”. Iemand aanspreken op illegale software en/of concrete barrières opwerpen tegen het installeren kan wel helpen: wie daarna door gaat of de barrière omzeilt, is eerder opzettelijk of bewust roekeloos bezig.
Bij illegale software zal de vraag nog wel zijn, hoe relevant voor het werk was die software. Het besturingssysteem en de Office-software, dat lijkt me erg werkrelevant. Een spelletje zou ik privésoftware noemen, weinig mensen spelen immers spelletjes voor het werk. Staat dat spel er illegaal dan draait de werknemer daar dus voor op.
En daar tussen? Dan wordt het lastig. Autohotkey, om veel verrichte taken te automatiseren? Fotobewerkingssoftware omdat je af en toe een plaatje nodig hebt in je zakelijke presentaties? En maakt het dan nog uit of de marketingafdeling beschikbaar is om plaatjes aan te leveren en jij daar te eigenwijs voor was?
Arnoud
” AutoHotkey is a free, open-source utility for Windows “
Open source software wordt ook onder bepaalde licentievoorwaarden verstrekt, en die kan je, in theorie althans, best schenden. Alleen: meestal zal daar bij normaal gebruik geen sprake van zijn.
Nog mooier, AutoHotKey kun je vanaf de source zelf compileren met Microsoft Visual C++ 2010 Express dat dus ook weer gratis is!
En als de werknemer daar een duidelijk “illegale” (speciaal tussen aanhalingstekens) actie bij uitvoert zoals downloaden van The Pirate Bay en een crack installeren en een serial number genereren? Want je moet door best wat brandende hoepels heen springen om een niet-betaalde versie van Photoshop op je systeem te laten draaien, heb ik mij laten vertellen. Is na al die trucs de werknemer nog steeds niet aansprakelijk? Zelfs niet als hij zijn privelaptop iedere dag mee neemt naar zijn werk om daar zijn werk op te doen?
Photoshop is nu juist een slecht voorbeeld – daar heb je AdobeTool voor, die installeert en patcht Adobe-software naar keus, volautomatisch.
Ook als je niet betaalt? Nou ja, ik heb ooit geconstateerd dat het moeilijker was dan dat. Vraag blijft staan, wat als de werknemer ‘evident’ illegale handelingen heeft verricht, zoals downloaden uit illegale bron of het kraken van een beveiliging?
Als de werknemer niet verantwoordelijk t.o.v. derden kan worden geacht bij bedrijfssoftware, betekent dat dan automatisch dat de werkgever ook niet later de kosten (schade) op de werknemer kan verhalen?
De werknemer is naar de werkgever alleen aansprakelijk voor opzettelijk of grof nalatig handelen, en dat is een hoge grens. Je mag daar in het arbeidscontract van afwijken, dus de werknemer voor méér aansprakelijk zijn, maar (1) dat moet schriftelijk zijn afgesproken, en (2) de werknemer moet er voor verzekerd zijn.
Dus in een contract zetten dan het installeren van illegale software op bedrijfsnetwerk leidt tot ontslag is prima want dan staat het op papier en voor ontslag is iedereen verzekerd.
Ik heb zo’n twee jaar geleden meegemaakt dat een collega een belangrijke presentatie gaf aan de medewerkers, die uiteindelijk ook naar buiten toe gestuurd zou worden. Jammer genoeg was hij vergeten om het woord “StockPhoto” van enkele plaatjes te verwijderen. Daar heb ik meteen maar wat van gezegd en die collega wist dat hij fout zat en dat het bedrijf een specifieke beeldbank heeft. Hij had alleen nog geen tijd gehad om de licenties voor deze afbeeldingen te regelen. En dat maakt het interessant. De werknemer “misbruikt” auteursrechtelijk beschermd materiaal omdat hij nog geen tijd had om door de administratieve molen heen te gaan om een licentie te regelen. Kan de werknemer dan alsnog verantwoordelijk gehouden worden? De werkgever heeft dan immers een duidelijk beleid rond dit alles, wat de werknemer dus heeft genegeerd wegens tijddruk…
Dit lijkt me nu juist een prima voorbeeld van dat de werknemer niet aansprakelijk is. De werkgever moet er voor zorgen dat de presentatie niet naar buiten gestuurd wordt voordat de licenties geregeld zijn.
En dat gebeurt ook dus is daar niets mis mee. Alleen wordt de presentatie ook intern gegeven aan al het personeel en enkele externen en dat mag dus niet. De werkgever is op dat moment nog bezig om de licenties te regelen voor de afbeeldingen maar de werknemer wacht er niet op en gaat alvast de presentatie uitdelen en weergeven. Als het beleid van het bedrijf is dat er eerst een licentie nodig is voordat afbeeldingen gebruikt mogen worden dan gaat de werknemer dus duidelijk tegen dat beleid in. En zou de werknemer juist wel aansprakelijk zijn. Toch? (De betreffende medewerker had overigens meegewerkt aan het opstellen van dat beleid, dus moest hij er van weten.)
Maar alleen tegen het beleid in gaan is niet voldoende, het moet een grove nalatigheid zijn.
Misschien zou het kunnen als de werkgever de werknemer al 10 keer had gezegd dat de licenties geregeld moesten zijn en dit vlak voor de presentatie nog een keer gevraagd had. Als de werknemer dan liegt dat het geregeld is dan is hij misschien aansprakelijk.
Laatst was er een post (of voorbeeld) dat zelfs bij het niet dragen van een bouwhelm de werkgever aansprakelijk blijft. Zelfs als dat duidelijk tegen alle veiligheidsvoorschriften in gaat. (Arnoud: Wanneer kunnen we ook zoeken door de comments?)
Dat was deze zaak:
Het moet dus waarschuwing + voorlichting zijn eigenlijk. Niet “Verboden langs de rand te lopen” maar “Als je hier valt, dan breek je je nek en zit je de rest van je leven in een rolstoel. En ja je gáát vallen, overmoedige figuur dat je er bent. Doe het niet!”
Beetje off-topic, maar bovenstaande snap ik dan weer niet (quote uit gelinkte tekst). Ging het erom dat de voorlichting ontbrak? Veel succes aan alle werkgevers die op een duidelijke, rustige manier de werknemers die aan het randje van een afgrond staan uitleggen dat dat heus heel gevaarlijk is vanwege de manier waarop de menselijke anatomie in elkaar zit. Kijk hier heb ik een overzicht van de organen die bij een val van dergelijke hoogte waarschijnlijk zullen scheuren en / of uitelkaar spatten. Pollemans?… Pollemans!!!
En náást die waarschuwing + voorlichting, moet een werkgever om aan aansprakelijkheid te ontkomen, ook nog kunnen aantonen dat de werknemer zich onmiddellijk voorafgaand aan het ongeval van het roekeloze karakter van de gedraging daadwerkelijk bewust is geweest. Een handtekening onder een verklaring ‘ik ben gewaarschuwd’, ‘ik heb de instructies ontvangen’, ‘ik heb de veligheidsfilm gezien’ etc is daarvoor niet voldoende. Ofwel, de werkgever moet aantonen wat hij in de laatste 5 seconden voorafgaan aan het ongeval in de hersenpan van de werknemer heeft waargenomen, om het maar een beetje gechargeerd te zeggen…
Tja, bij mij was het dus een medewerker die meeschreef aan het beleid en zich er vervolgens zelf niet aan hield. Als je zelf meewerkt aan het opstellen van het beleid en je vervolgens zelf al het beleid overtreedt, dan gaat dat best ver… Zoals Arnoud al aangeeft, het gaat om de waarschuwing plus voorlichting. Als je zelf de waarschuwing geeft omdat je weet waarom iets niet mag, dan ben je toch geacht om beter te weten?
Maar het blijft toch gewoon een
foutje
van de medewerker. Als een programmeur net een presentatie heeft gegeven over SQL-injectie en hij levert de volgende dag een stukje software die daar ook vatbaar voor is, is hij dan ook aansprakelijk?In dat geval zou ik sowieso weigeren om nog langer beleid op te stellen voor mijn baas…..
Ja, namelijk als het opzettelijk en/of grof nalatig is. De bewijslast lijkt me lastiger.
Overigens lijkt me dat opzet of grove nalatigheid vaak wel degelijk aan te tonen zijn, vooral bij herhaling van gedrag waar al specifiek tegen gewaarschuwd is. Maar dan nog vraag ik me af of die aansprakelijkheid zomaar over te dragen is. Eerder lijkt me dat de werkgever moet proberen de schade op de werknemer te verhalen.
En hoe zit het met werknemers die zzp’er zijn ingehuurd worden en gewoon op ons kantoor zitten en die illegale software op hun privé laptop draaien?
In principe is de opdrachtnemer aansprakelijk voor fouten die hij begaat in het uitvoeren van de opdracht. Er kan een beperking van aansprakelijkheid opgenomen zijn in de algemene voorwaarden die de zzp’er hanteert, en dan wordt het lastig. Hier geldt dat je met opzet of grove nalatigheid daar doorheen kunt, maar is daar echt sprake van als iemand software installeert zonder de licentievoorwaarden te lezen waarin dan staat “tot 8 medewerkers”? Bij getorrente software lijkt me daar wel sprake van.
De opdrachtnemer is wel aansprakelijk voor gemaakte fouten maar kan toch nooit aansprakelijk zijn voor de software die draait op de laptop van een externe?
Als Brein een inval doet bij een bedrijf en daar zit een ZZP’er met z’n eigen laptop met illegale software dan is de inhuurder daar toch niet aansprakelijk voor? En wat als hij 30 gram wiet bij zich heeft? Of een wapen?
Als die illegale software er voor zorg dat er bij de uiteindelijk klant een virus op het systeem komt dan kan ik me er iets bij voorstellen maar puur het hebben van illegale software door een externe toch niet?
De opdrachtnemer is de zzp’er, niet het bedrijf dat hem inhuurt. Dat is de opdrachtgéver.
Ik zie dat je er ooit ook al eens een post over geschreven hebt:
https://www.security.nl/posting/35780/Juridische++vraag%3A+is+baas+verantwoordelijk+voor+illegale+software+op+priv%C3%A9laptop%3F