'Werkgeversaansprakelijkheid’ onder de AVG
13 november 2018De praktische werking van de Algemene verordening gegevensbescherming (AVG) wordt een half jaar na de inwerkingtreding steeds duidelijker. Echter, over bijvoorbeeld datalekken bestaan nog wel onduidelijkheden bij ondernemingen. Van belang hierbij is het antwoord op de vraag of een onderneming (civielrechtelijk) aansprakelijk is voor schade als gevolg van een datalek, dat door een eigen personeelslid is veroorzaakt en of de onderneming deze schade op het personeelslid kan verhalen.
In Nederland is hierover nog nauwelijks jurisprudentie, maar de Britse High Court (en in navolging hiervan ‘the Court of Appeal’) geeft handvatten, die ook in Nederland van belang kunnen zijn.
Wat speelde er in Groot-Brittannië? Aan de supermarktketen Morrisons was het verzoek gedaan om een kopie van haar payrollgegevens aan te leveren ten behoeve van een jaarlijkse externe audit. Een senior IT-auditor van Morrisons heeft de gevraagde payrollgegevens op een versleutelde USB-stick laten zetten en deze gegevens ook op een versleutelde USB-stick van een externe auditor laten overzetten, maar heeft de gegevens tegelijkertijd op een persoonlijke USB-stick overgezet en deze gegevens – uit frustratie over een eerdere disciplinaire maatregel – op het internet gepubliceerd, waardoor de NAW- en BSN-gegevens van bijna 100.000 personeelsleden openbaar werden. Als reactie hierop heeft een groot aantal personeelsleden van Morrisons collectief een schadevergoeding gevorderd voor onder andere schending van de AVG.
Uiteraard hangt eventuele aansprakelijkheid af van de omstandigheden, maar in de hiervoor genoemde kwestie heeft het Britse High Court geoordeeld dat Morrisons aansprakelijk is voor het door de IT-auditor veroorzaakte datalek en de daaruit voortvloeiende schade. Wat betekent deze uitspraak voor de Nederlandse rechtspraak?
Op de eerste plaats is een werkgever op grond van artikel 6:170 van het Burgerlijk Wetboek (risico)aansprakelijk voor de door een ondergeschikte veroorzaakte schade. Er dient wel een causaal verband te bestaan tussen de gedragingen en de werkzaamheden van de ondergeschikte. Het hoeft hierbij overigens niet te gaan om gedragingen onder werktijd, want ook gedragingen van de ondergeschikte in privétijd kunnen aan de werkgever worden toegerekend. Daarna komt aan de orde of de werkgever de schade op de ondergeschikte kan verhalen. Artikel 7:661 van het Burgerlijk Wetboek bepaalt dat de schade veroorzaakt door een werknemer in principe voor rekening van de werkgever komt, tenzij er sprake is van opzet of bewuste roekeloosheid van de werknemer. Deze laatste twee elementen zijn doorgaans moeilijk aan te tonen, zodat de schade vaak voor rekening van de werkgever komt.
Het naleven van de privacyregels, het opstellen van een datalekprotocol en bijvoorbeeld een privacybeleid, waarin wordt vastgelegd hoe werknemers met persoonsgegevens moeten omgaan, geven een werkgever een sterkere positie. Hiermee kan een werkgever meer grip krijgen op het proces van datalekken en wordt de mogelijkheid wellicht vergroot om de ontstane schade op een werknemer te verhalen.
Ook kan dergelijke problematiek worden beperkt c.q. voorkomen door beperkte toegang tot de persoonsgegevens te verlenen en regels op te stellen voor het verwerken van persoonsgegevens. Voorkomen is natuurlijk beter dan genezen!
Voor meer informatie hierover kunt u contact opnemen met de privacyspecialisten van Pellicaan Advocaten.
Voor meer informatie over privacygerelateerde onderwerpen kunt u contact opnemen met (een van) de privacyspecialisten van Pellicaan Advocaten.
