Morrisons in de polder: de risico’s van rogue employees

Ben je als werkgever aansprakelijk voor schade als gevolg een datalek dat een werknemer opzettelijk heeft veroorzaakt? In Engeland overkwam het supermarktketen Morrisons. Hieronder bekijken wij de Nederlandse situatie.

De Morrisons-zaak

De Engelse supermarktketen Morrisons moest in het kader van een jaarlijkse audit haar payroll gegevens aanleveren bij een externe auditor. Andrew Skelton, een interne senior IT-auditor, verstrekt de gegevens door middel van een versleutelde USB-stick aan de externe auditor. Skelton houdt echter een kopie achter. Als reactie op een aan hem opgelegde disciplinaire maatregel publiceert Skelton vervolgens opzettelijk de payroll gegevens, waaronder de NAW-gegevens en het nationaal identificatienummer van bijna 100.000 werknemers op het internet.

Door middel van een collectieve actie vorderen 5.518 werknemers schadevergoeding van Morrisons onder andere op grond van misbruik van persoonlijke informatie en schending van de voorganger van de Algemene verordening gegevensbescherming (AVGB). De Britse High Court houdt Morrisons aansprakelijk op grond van vicarious liability voor het door Skelton opzettelijk veroorzaakte datalek. Hoe verhoudt dit zich tot de Nederlandse wetgeving?

Kan een werkgever in Nederland net zoals Morrisons aansprakelijk worden gesteld?

Een werkgever in Nederland is op grond van artikel 6:170 BW risicoaansprakelijk voor schade die een derde lijdt door een fout van een werknemer. Voorwaarde is dat de kans op de fout door de opdracht tot het van de werkzaamheden is vergroot, waarbij de werkgever zeggenschap heeft over deze werkzaamheden. Er dient een voldoende nauw verband te zijn tussen de schadeveroorzakende handeling en de door de werknemer te verrichten werkzaamheden. De vraag die moet worden beantwoord is of tussen de fout van de werknemer en zijn werk in dienstbetrekking een zodanig verband bestaat dat de werkgever voor de daardoor ontstane schade aansprakelijk is. Als de werknemer die opzettelijk persoonsgegevens lekt, op zich toegang mocht hebben tot die gegevens (zoals bij Morrisons), dan lijkt dat verband al snel aanwezig.

Artikel 7:661 BW bepaalt dat wanneer een werknemer opzettelijk of bewust roekeloos schade aan derden veroorzaakt, de werkgever regres heeft op die werknemer. Het is natuurlijk maar zeer de vraag wat dit in de praktijk oplevert, omdat de kans aanzienlijk is dat een werknemer onvoldoende verhaal zal bieden voor de geleden schade, zeker bij een groot incident.

Collectieve actie

Een (grote) groep benadeelden kan door middel van een collectieve actie op grond van artikel 3:305a BW een verklaring voor recht vorderen dat de werkgever aansprakelijk is voor schade voortvloeiende uit de datalek. Met deze verklaring kunnen de benadeelden vervolgens in individuele schadevergoedingsprocedures hun schade op de werkgever verhalen. Artikel 3:305a biedt (nog) niet de mogelijkheid om in de collectieve actie de schade te verhalen. Er is een wetsvoorstel aanhangig bij de Eerste Kamer dat hier verandering in brengt (beoogde stemmingsdatum: 19 maart 2019).

Datalekken: voorkomen is beter dan genezen

Datalekken kunnen nooit helemaal worden uitgesloten, maar het risico op en de gevolgen van een datalek kunnen wel worden beperkt. Enkele suggesties:

  • Stel een datalekkenprotocol op waarin de reactie op verschillende situaties, uiteenlopend van een cyberaanval tot een kwaadwillende werknemer, is uitgewerkt.
  • De AVGB verplicht verantwoordelijken passende technische en organisatorische maatregelen te nemen om datalekken te voorkomen. Hoewel dit in de Morrisons-zaak onvoldoende zou zijn geweest, is het versleutelen van persoonsgegevens een goede technische maatregel.
  • De toegang tot persoonsgegevens moet beperkt zijn tot diegenen die uit hoofde van hun functie toegang moeten hebben.
  • Het installeren van data loss prevention software kan het ongeoorloofd extern versturen van persoonsgegevens (maar ook van andere vertrouwelijke gegevens zoals bedrijfsgeheimen en IE) voorkomen.
  • Een privacybeleid en een ICT-protocol creëren duidelijkheid voor werknemers over de wijze waarop zij met persoonsgegevens moeten omgaan. Gecombineerd met (online) trainingen zal dit het privacybewustzijn van werknemers vergroten.
  • Een cyberverzekering kan de financiële gevolgen van een incident beperken. Veel zal echter afhangen van de dekking. Voorkomen blijft hoe dan ook beter dan genezen.

Over de auteur(s)

Marc Elshof

020-7953609
marc.elshof@dentons.com
https://dentons.boekel.com/en/marc-elshof
https://www.linkedin.com/in/melshof/

I am a lawyer and partner in Dentons’ Amsterdam IT & IP team and have specialised experience in complex IT and data protection matters. I head our European Data Privacy and Security practice.

For over ten years, I have been advising our global clients on their data protection issues as well as on adopting their international privacy strategy. I am currently assisting various clients on the operational challenges of their GDPR implementation programs.

I am particularly involved in IT matters, including development agreements for software, cloud computing agreements, software licensing, and claims arising from failed IT projects.

Furthermore, I assist our clients with their contentious and non-contentious intellectual property questions.

©2025 | All Rights Reserved