Een lezer vroeg me:
In januari komt er een wet tegen datalekken, met hoge boetes. Nu krijgen wij allemaal een verklaring van onze werkgever die we moeten tekenen, waarin staat dat we begrijpen hoe belangrijk dit is voor onze organisatie en dat wij persoonlijk aansprakelijkheid aanvaarden als we nalatig zijn met persoonsgegevens. Moeten wij dit tekenen?
Het klopt dat we vanaf 1 januari een wijziging in de Wet bescherming persoonsgegevens krijgen, die onder meer boetes stelt op inadequate beveiliging en het niet melden van datalekken (ongeacht of die laatste komen door nalatige beveiliging of ondanks alle inspanningen). Daarnaast kunnen (en konden) mensen schadeclaims indienen door gegevensverlies of -diefstal als gevolg van gebrekkige beveiliging.
Die boetes en schadeclaims zijn gericht tegen de verantwoordelijke, tegen het bedrijf dat de persoonsgegevens beheerde dus. Een werknemer is daarbij in beginsel niet meer dan een ‘handje’ van dat bedrijf. Hij opereert daar niet als individu en is daarom ook niet als individu aan te spreken op de schade.
Er zijn in theorie mogelijkheden om als werkgever schade (en boetes) te verhalen op de werknemer die het veroorzaakte. Echter, dat is zeer beperkt. Art. 7:661 BW bepaalt dat de werknemer “niet jegens de werkgever aansprakelijk [is], tenzij de schade een gevolg is van zijn opzet of bewuste roekeloosheid.”
De lat bij die twee opties ligt erg hoog. Je moet echt expliciet van plan zijn je werkgever eens flink schade te gaan berokkenen, of op zijn minst geweten te hebben “wat ik nu doe, gaat een datalek veroorzaken, maar ach boeien, daar heb ik geen last van”. De bewijslast dat jij zo dacht, ligt bij de werkgever, dus ik wens hem veel succes daarmee. Dit rond krijgen is buitengewoon zeldzaam in het arbeidsrecht.
Afwijken van deze regel mag alleen als dat schriftelijk gebeurt én alleen als de werknemer ervoor verzekerd is. En ik weet 100% zeker dat geen consumentenverzekering datalekken dekt. Dus nee, dit gaat hem niet worden.
Nu kun je dus twee dingen doen: (1) tekenen “want het is tegen de wet” of (2) niet tekenen, want “kom nou wat een flauwekul”. Optie 1 zal voor veel mensen toch onprettig voelen, want het stáát er toch maar en het biedt een haakje voor arbeidsconflicten, plus je moet toch een advocaat inschakelen om bovenstaand argument te voeren. Optie 2 is ook vervelend, want dan weiger je iets dat je werkgever heel belangrijk vindt en ook nog eens met een argument waar jij helemaal niet over gaat (JZ is een andere afdeling, immers).
Ik zou zelf denk ik toch voor optie 2 kiezen, maar wel met eerst de route langs Juridische Zaken met een onschuldig ogende vraag of dit wel klopt zo. Dit in de hoop dat die jurist dan zegt, ho stop dit kan niet, zo zijn wij slecht werkgever en dat kan leiden tot hogere ontslagvergoedingen als het ooit misloopt. Is er geen bedrijfsjurist dan misschien via de eigen rechtsbijstandsverzekering. Wil of kan die ook niets betekenen, dan wordt het tijd voor een stevige discussie in de kantine. Of hebben jullie betere tips?
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!