Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Aansprakelijkheid, Arbeidsrecht | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag je geen “bijna vijf uur” mails meer sturen op je werk?

| AE 9053 | Arbeidsrecht, E-mail | 13 reacties

je-hoeft-niet-gek-te-zijn-om-hier-te-werken-maar-het-helpt-wel.jpgEen lezer vroeg me:

Afgelopen vrijdag stuurde ik om 16:50 een mail naar mijn directe collega’s “Jongens bijna vijf uur: weekend!!” met een uitnodiging te gaan borrelen. Die mail is bij mijn manager terecht gekomen, en die heeft me zojuist berispt omdat dit blijk geeft van een slechte werkhouding. Als ik niet wil werken tot vijf uur, dan moet ik misschien maar een andere baan zoeken?! Mag dat überhaupt wel, me aanspreken op zo’n privémail naar collega’s?

Dit is een nogal overdreven reactie van die manager. Nog even afgezien van het pedante punt dat de mail zegt bijna vijf uur, en je dus kunt zeggen dat hij wel degelijk wil blijven werken tot vijf uur. Ik snap het punt dat die man wil maken, maar gezien de aard van deze mail kun je hier écht niets mee, arbeidsrechtelijk gezien.

Het is op zich niet verboden om zulke mails door te sturen, omdat het interne berichten binnen een organisatie zijn. Ik zie daar niets principieels verkeerds aan, nog even los van briefgeheim dat niet geldt op e-mail. En ja, je hebt privacy op je werk maar wel binnen grenzen: stel je had dit gezégd tegen je collega’s en de de manager had het toevallig gehoord, dan zouden we dat ook geen privacykwestie vinden. Als de informatie ter kennis komt van de manager, dan mag hij daar wat mee. Ik zie niets illegaals aan dat doorsturen binnen de organisatie. Maar sjonge.

Arnoud

Mag mijn werkgever privébestanden in de zakelijke OneDrive bekijken?

| AE 8998 | Arbeidsrecht | 39 reacties

archief-opslag-bestanden-filesEen lezer vroeg me:

Mag en kan mijn werkgever mijn OneDrive van Office 365 lezen? We hebben tegenwoordig office365, met daarbij meer dan een terabyte aan opslagruimte. Dat is zakelijk veel meer dan wat ik nodig heb, en privé kom ik opslagruimte te kort. Dus ik dacht, niemand heeft er last van als ik daar mijn privézaken backup (ongeveer 150 gigabyte). Niets illegaals, gewoon een archief van een familieleven. Mag dat?

Vaste lezers van mijn blog kennen mogelijk het antwoord al: ook op het werk heb je privacy. Niet zo veel als thuis, maar meer dan nul. Een werkgever heeft zich daaraan te houden en mag dus niet zomaar gaan snuffelen in opgeslagen gegevens of daar wellicht iets privés tussen zit.

De werkgever mag niet gaan spitten, maar gezien de aard van deze gegevens is de kans aanwezig dat hij er toevallig tegenaan loopt. En dan mag hij er zeker wat van zeggen. Het is immers niet de bedoeling dat je privézaken doet via de werkmail of -opslag. Af en toe een mailtje, bestandje of printje zou geen punt moeten zijn, maar structureel je werk gebruiken als backup gaat mij ergens toch te ver.

Ook wanneer je deze bestanden in een submap stopt die “Privé” heet, zou dit een probleem blijven. De werkgever mag dan op zich die map niet zomaar aanklikken, maar hij kan en mag wél opvragen hoe groot deze is. En als dat dan zo’n vijftien procent is van de totale opslag, dan zou ik daar toch wat van vinden als werkgever.

Dus nee, ik zou dit écht niet doen en een berisping zou ik zomaar logisch vinden als de werkgever dit per toeval aantreft. Dan liever een paar euro voor extra opslag bij Microsoft (of elders).

Arnoud

Mogen wij aangekochte foto’s ook op Linkedin publiceren?

| AE 8883 | Arbeidsrecht, Auteursrecht | 5 reacties

Een lezer vroeg me: Bij ons bedrijf bloggen veel medewerkers, en daarbij plaatsen we dan foto’s uit betaalde beeldbanken. Die blogs zetten we ook door op bijvoorbeeld LinkedIn, maar mag dat eigenlijk wel? Zo’n LinkedInprofiel zien wij als eigendom van de medewerker, dus treden we dan niet buiten de licentie die voor ons bedrijf geldt?… Lees verder

Je bent als bedrijf aansprakelijk voor stiekem geïnstalleerde software door je werknemer

| AE 8865 | Arbeidsrecht, Software | 28 reacties

Een werkgever is aansprakelijk voor illegale software geïnstalleerd door een werknemer, en daarbij maakt het niet uit of dat expliciet verboden was door de werkgever. Dat maak ik op uit een recent vonnis (via) van de rechtbank Rotterdam. Er is sprake van zogeheten risico-aansprakelijkheid: ongeacht wat je doet, je draait op voor eventuele inbreuken op… Lees verder

Onze systeembeheerder heeft alles versleuteld, wat nu?

| AE 8408 | Arbeidsrecht | 30 reacties

Een lezer vroeg me: Onlangs is onze systeembeheerder ontslag aangezegd vanwege allerlei negatieve zaken die ik liever niet toelicht. Zijn opvolger meldde ons vanochtend dat alle belangrijke bestanden zijn versleuteld, inclusief de backups. De ex-beheerder zelf zit thuis en weigert ieder contact. Wat kunnen wij het beste doen? Helaas komt het wel vaker voor dat… Lees verder

Je baas mag meegluren in je privéberichten op je werk?

| AE 8345 | Arbeidsrecht, Privacy | 16 reacties

’t Is legaal: je baas mag meegluren in je privéberichten op je werk. Dat stond op RTL Z gisteren. Het Hof voor de Rechten van de Mens bepaalde (zaaknr 61496/08) dinsdag dat de privacy van een werknemer niet geschonden werd door een ontslagzaak waarbij een privéchat was gelezen door de werkgever. Maar het ligt iets… Lees verder

Mag de werkgever je privételefoon gebruiken voor tweefactorauthenticatie?

| AE 8323 | Arbeidsrecht, Beveiliging | 56 reacties

Een lezer vroeg me: Vanwege de Wet datalekken is bij ons bedrijf de security aangescherpt. We moeten nu altijd met tweefactorauthenticatie inloggen: na aanmelden met wachtwoord krijg je een SMS met een code die je dan ook moet invoeren. Maar mensen die geen bedrijfstelefoon hebben, moeten nu hun privé-06-nummer opgeven. Mag ik dat weigeren? Ik… Lees verder

Ik moet tekenen voor aansprakelijkheid voor datalekken bij ons bedrijf!

| AE 8168 | Aansprakelijkheid, Arbeidsrecht, Beveiliging | 15 reacties

Een lezer vroeg me: In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit… Lees verder

Werknemer, zelfstandig ondernemer of iets anders?

| AE 7862 | Arbeidsrecht | 21 reacties

Volgens het recht ben je óf een werknemer óf een zelfstandig opdrachtnemer. Dat levert lastige situaties op in de deeleconomie, zo wordt betoogd in de NY Mag. Mensen willen graag flexibel werken – en dus zelfstandig zijn – maar toch ook wel enige bescherming tegen uitbuitende opdrachtgevers genieten – en dus als werknemer behandeld worden…. Lees verder