Ik heb persoonsgegevens van het werk gedownload, kan ik nu een boete krijgen van de AVG?

Photo by Miguel Á. Padriñán on Pexels

Via Reddit:

Six weeks ago, a coworker messaged me he wanted to talk to me in private, and told me HR files were online and unprotected. He sent me the website with the unprotected files, and I went to the website and downloaded the files on my work PC and my private desktop at home, just to confirm it was actual protected data that was at risk of getting leaked. …

HR told me they wanted to speak to me and they questioned me about what happened with a lawyer present. Afterwards, they told me I had two options, either leave the company or they would fire me. If I left the company, they said they wouldn’t press charges. Otherwise, they said I could get a fine of up to 100k euros and a prison sentence of 6 months up to two years based on GDPR laws.

Uit de discussie blijkt dat deze bestanden met persoonsgegevens ergens in de bedrijfsomgeving voor iedereen toegankelijk waren. Wel moest je ingelogd zijn met je werknemersaccount, en je moest maar net weten wat de (niet te raden) URL precies was. Dat klinkt wel als een stukje gebrekkige beveiliging.

Is het handig zoiets te doen? Nee, maar tegelijk snap ik wel dat je toch even wil kijken als je zoiets raars tegenkomt. Ik zou alleen wél verwachten dat je daarna aan de bel trekt bij de CISO, FG of je manager en daarna de gegevens wist. Je wenkbrauwen optrekken en wat anders gaan doen (en de bestanden laten staan) is, hoe zeg je dat, niet aan te raden.

De reactie van het bedrijf is ook weer enigszins overtrokken. Allereerst kun je iemand op grond van een datalek veroorzaken al niet ontslaan, laat staan iemand die alleen kéék naar een datalek. Ten tweede is het volstrekt idioot en actief onwaar dat je als werknemer een wettelijke boete of celstraf kunt krijgen als je de AVG overtreedt.

De enige die een boete kan krijgen, is het bedrijf zelf. Heel misschien kom je uit bij persoonlijke aansprakelijkheid van de directie, maar afgezien daarvan zijn er geen personen die boetes kunnen krijgen. Mogelijk dat men hier indirect dreigde met aangifte voor computervredebreuk. Maar nog steeds: zwáár overtrokken reactie.

Desondanks natuurlijk buitengewoon vervelend om in zo’n situatie te komen. De kans is groot dat hoe je dit geschil ook vlot trekt, de werkrelatie blijvend verstoord is. Daar is alleen geen juridisch antwoord op.

Arnoud

9 reacties

  1. Ik vraag me af waarom je twee volledige kopieën nodig hebt om een datalek aan te tonen, een enkel bestand zou genoeg moeten zijn voor de demonstratie. (En ja, meld dat via de officiële kanalen.)

    Maar de wijze waarop de werknemer onder druk wordt gezet om ontslag te nemen is TOTAAL ONACCEPTABEL. Het lek is niet door de werknemer veroorzaakt; het kan wel zijn dat de werknemer door zijn handelen policies over het computergebruik overtreden is, maar iemand daarvoor ontslaan kan alleen bij herhaaldelijke ernstige overtredingen.

    1. Zoals ik het lees heeft hij één kopie op het werk gedownload en één kopie thuis. Dat kun je verantwoorden door te stellen dat hij wilde weten of het lek niet alleen binnen de werkomgeving bestaat maar ook daarbuiten.

      Maar stel dat hij op het werk nog een tweede kopie had gedownload? Gewoon omdat dat hij dacht “Kan dit nu echt?” Strikt genomen heeft hij dan meer gedownload dan noodzakelijk is maar is dat daarmee dan ook meteen een zware overtreding? Eén of twee kopieën zitten binnen dezelfde orde van grootte, meteen het hele personeelsbestand downloaden lijkt me iets anders.

      1. Dat je onterecht toegang hebt tot gevoelige data, is voldoende om een melding te maken. Dat je een kleine steekproef van die data neemt om te verifiëren dat de data echt is en je ook daadwerkelijk toegang hebt, valt nog te verantwoorden.

        Dat je een grotere hoeveelheid data kopieert en in het bijzonder ook buiten de beveiligde werkomgeving brengt, kan wel echt een serieuze overtreding van een aantal interne reglementen zijn. “Ik wilde even kijken of het kon” is dan wel een mager excuus.

        Het is natuurlijk corporate paniekvoetbal met de nodige intimidatie; dit had een heel stuk netter opgelost kunnen worden. Maar ik snap ook wel weer dat een bedrijf er iets anders in gaat als je zegt “Zo hee, ik kwam er achter dat ik bij de HR-schijf kon. Ik heb nu thuis echt van alles op mijn PC staan.” in plaats van “ik kwam er achter dat ik toegang had tot een aantal bestanden. Ik heb er één bekeken om te kijken wat het was, en volgens mij waren dit de loonstrookjes van Peter van de administratie. Ik heb het bestand direct gesloten, volgens mij is dit iets waar ik echt helemaal niet bij hoor te kunnen.”

        1. We hebben onvoldoende informatie over de details van deze zaak om een gefundeerd oordeel te kunnen vormen over de reactie van het bedrijf… In eerste instantie lijkt het een niet-Nederlands overdreven reactie, maar we weten niet of de medewerker al eerder waarschuwingen op het gebied van computergebruik had gekregen, welke data er precies gekopieerd is en of de werknemer zich beperkt heeft tot het kopiëren van een minimale hoeveelheid data. Het kan ook zijn dat de jurist achteraf tegen HR gezegd heeft “Als je deze man straf geeft voor jullie fouten kunnen jullie meer herrie verwachten dan jullie leuk vinden.”

          Ik ben in mijn carrière een aantal maal tegen foutief geconfigureerde NFS (Unix/Linux filesharing) servers aangelopen. In een professionele organisatie wordt dat professioneel opgepakt en krijg je een dag na de melding het verzoek om even te controleren of de toegang nu wel dicht zit. Soms moet je escaleren, maar de brenger van het slechte nieuws aanpakken is een hele slechte “oplossing”. (Waarom beiden zoveel bedrijven “bug-bounties”?)

  2. Ook wel eens gehad, heel wat jaren geleden. Het hele personeelsbestand was te downloaden (erger, ik kreeg het ongevraagd mee in een grote zip gebundeld met andere gegevens die ik wel voor mijn werk nodig had). Gelijk gemeld bij de verantwoordelijke persoon, die op zijn zachts gezegd “not amused” was, maar verder is er nooit een probleem van gemaakt. Zou ook heel raar zijn, want daarmee werk je in de hand dat dit soort lekken niet gemeld worden.

    Ik ken niet genoeg details voor deze casus, maar het lijkt me verstandig om uit te zien naar een andere werkgever, die privacy wel serieus neemt, en dus de juiste procedures heeft voor het omgaan met dit soort dingen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.