Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Mag mijn werkgever privébestanden in de zakelijke OneDrive bekijken?

| AE 8998 | Arbeidsrecht | 39 reacties

archief-opslag-bestanden-filesEen lezer vroeg me:

Mag en kan mijn werkgever mijn OneDrive van Office 365 lezen? We hebben tegenwoordig office365, met daarbij meer dan een terabyte aan opslagruimte. Dat is zakelijk veel meer dan wat ik nodig heb, en privé kom ik opslagruimte te kort. Dus ik dacht, niemand heeft er last van als ik daar mijn privézaken backup (ongeveer 150 gigabyte). Niets illegaals, gewoon een archief van een familieleven. Mag dat?

Vaste lezers van mijn blog kennen mogelijk het antwoord al: ook op het werk heb je privacy. Niet zo veel als thuis, maar meer dan nul. Een werkgever heeft zich daaraan te houden en mag dus niet zomaar gaan snuffelen in opgeslagen gegevens of daar wellicht iets privés tussen zit.

De werkgever mag niet gaan spitten, maar gezien de aard van deze gegevens is de kans aanwezig dat hij er toevallig tegenaan loopt. En dan mag hij er zeker wat van zeggen. Het is immers niet de bedoeling dat je privézaken doet via de werkmail of -opslag. Af en toe een mailtje, bestandje of printje zou geen punt moeten zijn, maar structureel je werk gebruiken als backup gaat mij ergens toch te ver.

Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven. De werkgever mag dan op zich die map niet zomaar aanklikken, maar hij kan en mag wél opvragen hoe groot deze is. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. Dan liever een paar euro voor extra opslag bij Microsoft (of elders).

Arnoud

Mag mijn werkgever toegang eisen tot mijn BYOD telefoon?

| AE 8909 | Arbeidsrecht | 29 reacties

Een lezer vroeg me: Ons bedrijf heeft onlangs een Bring-Your-Own-Device beleid uitgerold waarbij je je eigen smartphone mag gebruiken voor werkzaken. Daarin vielen me twee dingen op. Allereerst moet ik een stukje software installeren waarmee men op afstand de telefoon kan overnemen en wissen. En ten tweede ben ik verplicht de telefoon af te geven… Lees verder

Mag een werkgever mobiele telefoons verbannen uit zijn bedrijf?

| AE 8897 | Arbeidsrecht | 45 reacties

Een lezer vroeg me: Onlangs gaf mijn werkgever aan dat het per september verboden is om een mobiele telefoon bij je te dragen op het werk dit omdat een aantal collega’s diverse malen zaten te appen e.d onder werktijd. Telefoons moeten bij binnenkomst in een locker worden opgeborgen en mogen alleen in de lunchpauze en… Lees verder

Mogen wij aangekochte foto’s ook op Linkedin publiceren?

| AE 8883 | Arbeidsrecht, Auteursrecht | 5 reacties

Een lezer vroeg me: Bij ons bedrijf bloggen veel medewerkers, en daarbij plaatsen we dan foto’s uit betaalde beeldbanken. Die blogs zetten we ook door op bijvoorbeeld LinkedIn, maar mag dat eigenlijk wel? Zo’n LinkedInprofiel zien wij als eigendom van de medewerker, dus treden we dan niet buiten de licentie die voor ons bedrijf geldt?… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Arbeidsrecht | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder

Mag een werkgever wachtwoorden kraken?

| AE 8653 | Arbeidsrecht, Beveiliging | 28 reacties

Een lezer vroeg me: Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat… Lees verder

Onze systeembeheerder heeft alles versleuteld, wat nu?

| AE 8408 | Arbeidsrecht | 30 reacties

Een lezer vroeg me: Onlangs is onze systeembeheerder ontslag aangezegd vanwege allerlei negatieve zaken die ik liever niet toelicht. Zijn opvolger meldde ons vanochtend dat alle belangrijke bestanden zijn versleuteld, inclusief de backups. De ex-beheerder zelf zit thuis en weigert ieder contact. Wat kunnen wij het beste doen? Helaas komt het wel vaker voor dat… Lees verder