Auw. Een medewerker van hostingprovider Verelox uit Den Haag heeft alle servergegevens verwijderd, las ik bij Tweakers. Dat betekent dat ook alle klantgegevens zijn gewist, en mogelijk ook niet allemaal meer terug te halen zijn. Buitengewoon pijnlijk voor het bedrijf, want hierdoor moet Verelox druk aan de bak om alle servers weer te herstellen. Wat te doen?
Natuurlijk is deze medewerker persoonlijk aansprakelijk voor de schade. Een werknemer is normaal nooit aansprakelijk, maar dit is vrij evident de uitzondering voor opzettelijk of bewust roekeloos handelen. Zo lees ik dat hij backdoors had aangebracht om deze schade aan te kunnen richten. Dat doe je echt niet per ongeluk. In theorie is zelfs aangifte van het strafbare feit vernieling van gegevens (art. 350a Strafrecht, twee jaar cel) mogelijk.
Daarnaast zal dit moeten worden behandeld als een datalek: als persoonsgegevens worden gewist zonder dat er backups zijn (of als de backups óók worden gewist) dan is dat hetzelfde als bij ongeautoriseerde toegang. Zeker omdat het denkbaar is dat die admin een kopie van de data heeft meegenomen om te publiceren of te verkopen. Ook die schade kan worden verhaald.
Dit is wel een geval waarin het recht in theorie duidelijk is, maar in de praktijk niets oplevert. Want of er wat te halen valt, is natuurlijk vers twee. En de strafrechtelijke route levert je ook niet perse meer op. Je kunt je daar voegen voor een schadevergoeding, maar dat komt op hetzelfde neer als een eigen civiele schadeprocedure.
Het toont voor mij maar weer duidelijk aan hoe afhankelijk we zijn van digitale data en bijbehorende diensten, en hoe makkelijk we daarin machtsposities laten ontstaan. Onmisbare mensen moet je meteen ontslaan, vertelde een HR-manager me ooit. Dat geldt ook voor systeembeheerders. Alleen, hoe borg je je dataveiligheid tegen de persoon die de dataveiligheid moet borgen?
Arnoud
Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!