Ik moet tekenen voor aansprakelijkheid voor datalekken bij ons bedrijf!

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?

Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.

Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een ‘handje’ van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.

Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer “niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid.”

De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben “wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van”. De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.

Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.

Nu kun je dus twee dingen doen: (1) tekenen “want het is tegen de wet” of (2) niet tekenen, want “kom nou wat een flauwekul”. Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).

Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij slecht werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering. Wil of kan die ook niets betekenen, dan wordt het tijd voor een stevige discussie in de kantine. Of hebben jullie betere tips?

Arnoud

15 reacties

  1. Tekenen voor aansprakelijkheid is geen wijziging van arbeidsvoorwaarden waar de OR wat over moet zeggen volgens mij. Daarvoor is nodig dat het een regeling is voor een groep werknemers. Als de werkgever dit alleen een paar individuen laat tekenen, is de Wet OR niet van toepassing. Wel als hij het collectief doet, maar dan twijfel ik onder welk kopje het valt (art. 27 Wet OR): a. een regeling met betrekking tot een pensioenverzekering, een winstdelingsregeling of een spaarregeling; b. een arbeids- en rusttijdenregeling of een vakantieregeling; c. een belonings- of een functiewaarderingssysteem; d. een regeling op het gebied van de arbeidsomstandigheden, het ziekteverzuim of het reïntegratiebeleid; e. een regeling op het gebied van het aanstellings-, ontslag- of bevorderingsbeleid; f. een regeling op het gebied van de personeelsopleiding; g. een regeling op het gebied van de personeelsbeoordeling: h. een regeling op het gebied van het bedrijfsmaatschappelijk werk; i. een regeling op het gebied van het werkoverleg; j. een regeling op het gebied van de behandeling van klachten; k. een regeling omtrent de registratie van, de omgang met en de bescherming van persoonsgegevens van de in de onderneming werkzame personen; l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

   Een afspraak over verhalen van schade valt voor zover ik kan zien niet onder een van deze letters.

   1. De OR is bevoegd om over alle zaken die de onderneming, of een (of meer) van haar stakeholders aangaat overleg te voeren met de bestuurder. Dus als de bestuurder zegt: ‘Lalala, ik doe er niets mee, dat de OR dit een dom idee vind’ is prima, maar de OR kan wel de notulen (of een samenvatting van de vergadering) aan de onderneming kenbaar maken. Als de OR heeft aangegeven dat het document onzin is, en de directie toch iedereen onder druk heeft laten zetten te tekenen, wordt het wat makkelijker voor de arbeidsrechtadvokaten die de werknemers bijstaan.

   2. “Daarvoor is nodig dat het een regeling is voor een groep werknemers. Als de werkgever dit alleen een paar individuen laat tekenen, is de Wet OR niet van toepassing.”

    Als je casus slechts over enkele werknemers gaat, en dat lijk je hier te suggereren, dan vraag ik me af wat die werknemers zo bijzonder maakt dat alleen zij dit document moeten tekenen. Zijn het bijvoorbeeld de systeembeheerders? Dat lijkt mij een ‘groep’. Zelfs al zou die groep uit één persoon bestaan, is het nog een groep. Zou wel erg lullig zijn als de OR juist over de zwakste geen bevoegdheid heeft.

    Bij een kleine groep denk ik ook dat bij ziekte en dergelijke al snel externen worden ingeschakeld. Zijn freelancers wel aansprakelijk te stellen voor boetes van tonnen?

 1. Kan het niet zijn dat het een verklaring is om vertrouwelijk om te gaan met persoonsgegevens? Dát is namelijk niet ongebruikelijk; ik heb zelf bij enkele verzekeraars gewerkt en daar steeds zo’n verklaring moeten ondertekenen.

  Wat is de precieze tekst van de verklaring?

  1. Ik kan niet letterlijk citeren ivm anonimisering van de casus, maar de strekking is iets als dit:

   Werknemer verklaart persoonsgegevens waarvoor werkgever verantwoordelijk is, strikt vertrouwelijk te behandelen en alleen gebruiken voor de door werkgever aangewezen bedrijfsdoeleinden. Werknemer realiseert het belang van een goede omgang met persoonsgegevens. Indien werknemer de persoonsgegevens in strijd met voornoemd behandelt en werkgever hierdoor schade lijdt, zal werknemer deze schade vergoeden.
   Weinig subtiliteit dus, en geen rekening houdend met de wet.

   1. Dat lijkt inderdaad wel op wat ik ook wel eens ondertekend heb. Ik weet niet zeker of er toen ook over schade lijden en vergoeden gesproken werd, maar er werd wel benadrukt dat we met vertrouwelijke gegevens om moeten kunnen gaan. Dus bijv. niet eens even niet in het systeem gaan zoeken wat ene K. Schuurman of G.J. Joling voor auto’s verzekerd heeft staan, waarna die informatie via-via bij “de bladen” terechtkomt. En ook niet voor hoeveel het huis van de buren waar je een conflict mee hebt, verzekerd is.

 2. Ik vind het moeilijk voor te stellen dat een rechter je met de ondertekening van zoiets laat hangen bij iets waar die dat normaal niet zou doen. Ik zou als bestuurder of anderszins manager (zeker als contact met de pers, outsourcing, of data beveiliging oid tot je takenpakket behoort) wel checken dat ik hiervoor verzekerd ben.

  1. Goed punt. Als bestuurder kun je wél persoonlijk aansprakelijk zijn voor fouten met betrekking tot persoonsgegevens, als het te herleiden is tot een directiebeslissing of grove nalatigheid in de besluitvorming. Stel dat je besluit, we doen even niets aan security-updates want dat is me te duur, dan is een datalek als gevolg van zo’n gemiste update jou persoonlijk aan te rekenen (bestuurdersaansprakelijkheid).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.