Een IT’er die bij een klant van zijn werkgever medische gegevens stal, en daarmee de klant vervolgens probeerde af te persen, moet zijn inmiddels ex-werkgever 65.000 euro betalen. Dat las ik bij Security.nl.
Uit het vonnis valt te halen dat dat de IT’er verantwoordelijk was voor het afpersen van een grote klant met gestolen medische gegevens. Dat leidde tot een strafrechtelijk traject, en deze civiele procedure sloot daar weer op aan. Dat is namelijk een handigheidje uit het procesrecht: als er een definitief strafvonnis is, dan is dat dwingend bewijs in een latere procedure.
Hier was de strafzaak nog niet definitief: de IT’er kon nog in hoger beroep. Daarom mag de rechter het vonnis niet als dwingend bewijs accepteren, maar vanuit de regel van vrije bewijslast er wel naar kijken. Dit kwam erop neer dat de rechter er van uitgaat dat het vonnis juist is, totdat de IT’er met tegenbewijs komt.
Het begint nog rechttoe rechtaan genoeg:
In het strafvonnis is overwogen dat na onderzoek is gebleken dat op 27 maart 2021 een dataoverdracht heeft plaatsgevonden van de server van [eiseres] via een IP-adres dat door [gedaagde] gebruikt bleek te zijn. Verder is overwogen dat die gegevens beveiligd waren met een certificaat waarover [gedaagde] beschikte. Dit heeft geleid tot nader onderzoek naar [gedaagde] , onder meer door een huiszoeking in zijn woning op 22 april 2021. Bij die gelegenheid is in zijn woning een USB-stick aangetroffen met daarop datasets die omstreeks het tijdstip van de download op een telefoon (Microsoft Lumia) van [gedaagde] zijn beland. Op die USB-stick stonden ook het voor toegang tot de server van [eiseres] benodigde certificaat en bijbehorende wachtwoord. Dit alles is in dit geding niet door [gedaagde] bestreden.De ex-werknemer kwam echter met de verklaring dat derden op zijn thuisnetwerk hadden ingebroken omdat hij een gemakkelijk te raden wachtwoord had. Daar gelooft de rechter niets van, en om weer eens te laten zien dat rechters écht wel verstand van IT hebben citeer ik gewoon het vonnis:
[Verdachte geeft] geen enkele verklaring voor het feit dat het bestand, het certificaat en het bijbehorende wachtwoord op een usb stick terecht zijn gekomen (en tegelijk ook op zijn Microsoft Lumia telefoon), die in zijn woning lag. Een usb stick pleegt immers niet verbonden te zijn met een netwerk. Bovendien vraagt het veel meer toelichting dan geboden als [gedaagde] heeft willen betogen dat op het toevallige moment dat de usb stick met computer of telefoon verbonden was de download (zonder dat hij daar erg in had) plaatsvond én naar zijn telefoon én naar de usb stick.En nog even los van het technische: de kantonrechter “probeert zich een voorstelling te maken” van waarom zo’n derde dit zou doen, want wat schiet die ermee op? Die doet dan een ingewikkelde inbraak van buitenaf, maar heeft de data dan op gegevensdragers waar die vervolgens niet bij kan. En waarom dan deze meneer de gegevens in de digitale schoenen schuiven?
Alles bij elkaar gelooft de rechter er dus niets van, en de technische bewijsvoering is overtuigend genoeg dat het feit vanaf de apparatuur van de IT-er is gepleegd. Maar is dat genoeg om hem tot schadevergoeding te dwingen? In het arbeidsrecht is dat geen eenvoudige vraag want werknemers zijn vrij stevig beschermd, zelfs bij handelen dat riekt naar opzettelijk de fout in gaan.
In dit geval was de complicatie dat die grote klant zo te lezen de werkgever aansprakelijk had gesteld voor de schade. Dat wil je als werkgever dan verhalen (regres nemen), maar dat vereist bij de werknemer opzet of bewuste roekeloosheid (art. 7:661 BW). En let op: het moet dan gaan om opzet op het willen aanrichten van de schade, niet enkel maar opzet op het verrichten van de handeling.
De rechter vindt dat hier aan opzet is voldaan – downloaden en afpersen is iets dat je alleen doet als je dat ook echt van plan was. Dan wil je schade veroorzaken. Daarom moet de IT-er alle schade vergoeden, wat oploopt tot een bedrag van € 64.795,28.
Arnoud
Wat betreft de strafzaak: dit type “ICT-ers” zit in de gevangenis op zijn/haar plek. Ik hoop dat (gebrek aan) VOG ze nog wel een tijdje van ICT werk afhoudt.
Interessanter is hoe de ex-werkgever denkt de schadevergoeding te incasseren… Is er bij de verdachte ergens geld te vinden?
4.25 uit het vonnis:
Ik ben geen jurist en (ook) benieuwd hoe dat werkt. Wordt dat (in een civiele zaak) voorgeschoten door een overheidsorgaan en teruggehaald via het CJIB? Loonbeslag (wat wel even zal duren gezien het bedrag en de oplopende rente)?
Nee, in een civiele zaak moet je het zelf gaan halen. Je kunt dan een deurwaarder inschakelen, want met een vonnis in de hand kan die direct spullen in beslag nemen en verkopen als er geen geld is (het jargon: “executoriale titel”). Maar is er te weinig te halen dan heb je pech.
Hoeveel gevangenisstraf en taakstraf heeft deze gast hiervoor gehad? En maakt het feit dat het ging om medische gegevens een verzwarende factor in het strafproces?