Informatieportal voor IT-recht

Dinsdag 1 september 2015

BYOD – de achilleshiel van het data security beleid

Steeds meer bedrijven besluiten om medewerkers hun werkzaamheden te laten uitvoeren met behulp van hun eigen privé hardware. Het gaat dan met name om laptops, tablets en telefoons. Deze ontwikkeling staat bekend onder de aanduiding: Bring your own device (BYOD). Voor de werknemer kan het prettig zijn om met eigen spullen te werken. Daarnaast besparen werkgevers op hardwarekosten. Het gebruik van privé apparaten op het werk heeft niet alleen tot gevolg dat de scheiding tussen werk en privé vervaagt, maar roept ook technische en juridische vragen op.1Zie bijvoorbeeld: computable.nl/artikel/nieuws/mobility/5222220/1277034/. Welke gevolgen heeft een adequate beveiliging van bedrijfsgegevens voor het privé gebruik? Kunnen illegale verrichtingen in de privésfeer leiden tot aansprakelijkheid van de werknemer voor schade die de werkgever lijdt?

In dit artikel zal uiteen worden gezet dat een verantwoorde inzet van BYOD hoge eisen stelt aan technische beveiligingsvoorzieningen. Daarnaast zullen werkgevers en werknemers duidelijke afspraken moeten maken over wederzijdse verwachtingen en verantwoordelijkheden.

Ontwikkeling van BYOD

Afgelopen jaren is het steeds gebruikelijker geworden dat werknemers hun eigen ICT apparatuur meenemen. Werknemers kunnen op basis van hun eigen voorkeur een apparaat kiezen. Waar voorheen menigeen met twee telefoons rondliep, is één exemplaar nu voldoende. De werkgever kan hierdoor besparen op hardwarekosten. Hiertegenover staan hogere kosten voor beheer omdat de complexiteit van de ICT-omgeving toeneemt.2computerworld.nl/it-beheer/75550-de-verborgen-kosten-van-byod. In dit artikel zal de kosten-batenanalyse niet verder worden uitgewerkt. Wel zal nader worden ingegaan op de risico’s die het gebruik van privé apparatuur met zich meebrengt. Daarbij zal worden gelet op de beveiliging van de data, het waarborgen van de privacy van de werknemer en de aansprakelijkheid voor eventuele schade.

Data security

Het spreekt voor zich dat een tablet die wordt gebruikt voor het werk vol staat met bedrijfsgegevens. Niet alleen informatie die betrekking heeft op de werkgever, maar ook informatie die betrekking heeft op collega’s, leveranciers en klanten. Het kan daarbij gaan om telefoonnummers, bedrijfsmail, klantendossiers et cetera. Het is belangrijk dat deze gegevens goed worden beschermd. Niet alleen vanuit een zakelijk belang, maar ook vanuit de verantwoordelijkheid van verwerkers van persoonsgegevens om privacygevoelige informatie goed te beveiligen.3Art. 13 Wbp.

Veel werknemers hebben telefoonnummers van collega’s en klanten in hun telefoon staan, inclusief bedrijfsnaam en e-mailadres. In vergelijking met bedrijfsapparatuur zijn privé devices meestal niet of veel minder goed beveiligd tegen ongeautoriseerd gebruik.4Denk hierbij bijvoorbeeld aan het gebruik van apps die toegang hebben tot de gegevens op een telefoon. Het toestaan van BYOD door de werkgever moet dan ook samen gaan met het introduceren van goede beveiligingsmaatregelen. Hierbij kan worden gedacht aan virus/malware protection, data encryptie en mobility management software. BYOD kan niet zonder meer samengaan met het uitlenen van het apparaat aan derden. Niet aan de kinderen om een werkstuk voor school te maken (of een spelletje), ook niet aan de partner om Facebook te checken. De eigenaar kan in feite niet meer volledig vrij over het apparaat beschikken, tenzij wordt gekozen voor een beveiligingsoplossing waarbij het zakelijk gebruik volledig is afgeschermd van privé gebruik.

Dit wordt extra duidelijk als we bedenken dat sommige werkgevers het recht bedingen om een apparaat in geval van diefstal op afstand te wissen. Dat is niet onbegrijpelijk in het licht van de bedrijfsbelangen. De werknemer moet dan wel op tijd een back-up maken van zijn vakantiefoto’s.

Privacy werknemer

Nu is de werkgever in staat om dagelijks back-ups te maken van alle gegevens. Niet alleen van de vakantiefoto’s, maar van alle bestanden op de betrokken devices: zakelijk en privé. Hierbij is het lastig, zo niet onmogelijk, om goed onderscheid te maken. Privé informatie kan betrekking hebben op huishoudfinanciën, ziektekostendeclaraties en (wie weet) sollicitaties. Maar het gaat vaak ook om gegevens van anderen, zoals bijvoorbeeld de ledenadministratie van de sportvereniging of de gemeenteraadsstukken van een politieke partij. De werkgever is verplicht om de privacy van werknemers te beschermen.5EHRM 17 juli 2008, nr. 20511/03 (Case of I. v. Finland). Werknemers mogen op hun werk uitgaan van een ‘redelijke verwachting van privacy’.6EHRM 3 april 2007, nr. 62617/00 (Copland). Wat redelijk is zal in belangrijke mate afhangen van wat partijen hierover onderling hebben afgesproken.

Het is belangrijk om in een BYOD-overeenkomst heel concreet afspraken te maken. Het is bepaald niet vanzelfsprekend dat partijen hier op één lijn zitten. Software die wordt ingezet om privé devices te beveiligen, kan ook worden gebruikt om naleving van gemaakte afspraken te controleren. Bijvoorbeeld ten aanzien van internetgebruik. In het kader van de al genoemde ‘redelijke verwachting van privacy’ is dit alleen toegestaan als de werknemers hiervan vooraf op de hoogte zijn gebracht.

Aansprakelijkheid

Of werkgevers ook aansprakelijk kunnen worden gesteld voor eventueel verlies van gegevens van de voetbalclub of politieke partij, is twijfelachtig. Bij BYOD vervaagt de grens tussen werk en privé. Hierdoor is het niet altijd duidelijk of een schadeveroorzakende gebeurtenis in de werk- of in de privésfeer plaatsvindt. Daarnaast is de kans op schade, juist door privé gebruik, relatief groot. Bijvoorbeeld als gezinsleden de apparaten ook gebruiken of als de spullen meegaan op vakantie.

Hieronder zal eerst kort het wettelijk kader worden geschetst. Hierbij is altijd van belang om in het oog te houden wie de schade lijdt: de werknemer, de werkgever of derden.

Volgens de wet is degene die schade veroorzaakt, ook gehouden om de ontstane schade te vergoeden.7“Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden.” (art. 6:162 BW). Hierop ken de wet een aantal uitzonderingen. Zo is de werkgever aansprakelijk voor schade die door een werknemer is toegebracht aan de werkgever of aan derden, tenzij er van de zijde van de werknemer sprake is van opzet of bewuste roekeloosheid.8Art.7:661 lid 1 BW. Zie verder: Asser/Heerma van Voss 7-V 2012/272. In dit artikel beperken we ons tot een gewone arbeidsverhouding werkgever – werknemer. De situatie wordt complexer als er sprake is van bijzondere arbeidsverhoudingen, zoals bijvoorbeeld bij ambtenaren, medici en bij de inhuur van werknemers. Het gaat hierbij om schade die is toegebracht bij de uitvoering van de arbeidsovereenkomst. Als de werkgever ook aansprakelijk is, hoeft de werknemer niet bij te dragen in de vergoeding van de schade.9Art. 6:170 lid 3 BW. Ook hier geldt weer de voorwaarde dat de schade geen gevolg mag zijn van opzet of bewuste roekeloosheid. Hierbij kan bijvoorbeeld worden gedacht aan respectievelijk sabotage (opzet) of rijden onder invloed (bewuste roekeloosheid).10HR 12 januari 2007, ECLI:NL:HR:2007:AZ2895,  Rb. Amsterdam 30 januari 2007, JAR 2007/55.

Werkgever en werknemer zijn het aan elkaar verplicht om zich als ‘goed werkgever en werknemer te gedragen’.11Art. 7:611 BW. Uit deze verplichting kan voortvloeien dat de werkgever de schade aan apparatuur van de werknemer moeten vergoeden als de schade is ontstaan tijdens het werk, of in voldoende mate met het werk verband houdt.12HR 16 oktober 1992, ECLI:NL:HR:1992:ZC0717. Zie verder: Verhulp 2014, (T&C BW), art. 7:661, aant. 3. Daarnaast heeft de werkgever een zorgplicht om het optreden van letselschade bij de werknemer te voorkomen.13Art. 7:658 lid 1 BW. Werknemers zijn op hun beurt verplicht om zich te houden aan de voorschriften van de werkgever.14Art. 7:660 BW. De werkgever is jegens de werknemer aansprakelijk voor letselschade die de werknemer lijdt in de uitoefening van zijn werkzaamheden, tenzij hij kan aantonen niet tekort te zijn geschoten in zijn zorgplicht, of de schade in belangrijke mate het gevolg is van opzet of bewuste roekeloosheid van de werknemer.15Art. 7:658 lid 2 BW. Zie verder: Asser/Heerma van Voss 7-V 2012/261. Werkgevers mogen ten aanzien van de aansprakelijkheid niet afwijken van de wettelijke regeling als hun werknemers daardoor in een nadeliger positie komen.16 Art. 7:658 lid 3 BW. Het gaat hier dus om regels van dwingend recht.

Door gebruik van privéapparatuur op het werk kan op verschillende manieren schade ontstaan. Voor een werknemer kan het gaan om verlies of diefstal van het device zelf, verlies van privégegevens, aantasting van de privacy door datalekken of zelfs om lichamelijke klachten door intensief gebruik (RSI). Een werkgever kan schade lijden als gevolg van verlies van bedrijfsgegevens (waaronder gegevens van derden), aansprakelijkheid jegens derden of imagoschade als gevolg van datalekken. Ook derden kunnen schade lijden als gevolg van verlies van bedrijfsgegevens, datalekken of door aantasting van de privacy.

Uit het hierboven geschetste wettelijk kader kunnen ten aanzien van BYOD een aantal belangrijke uitgangspunten worden afgeleid:

– voor de aansprakelijkheidsvraag is het relevant of de schadeveroorzakende gebeurtenis werkgerelateerd is of in de privésfeer valt;

– werkgevers zijn in beginsel aansprakelijk voor schade die hij zelf lijdt en voor schade die een derde lijdt, als die voldoende verband houden met de werkzaamheden;

– werkgevers zijn verplicht om maatregelen te treffen om schade te voorkomen. Dit kan concreet worden ingevuld met werkinstructies, beveiligingssoftware of andere

– beveiligingsmaatregelen. Het verwaarlozen van deze zorgplicht leidt in beginsel tot aansprakelijkheid voor ontstane schade bij werknemers;

– werknemers moeten zich houden aan gegeven werkinstructies: het niet opvolgen daarvan kan leiden tot aansprakelijkheid voor eigen schade, maar niet voor de schade van de werkgever en/of derden.

Opzet en bewuste roekeloosheid van de kant van de werknemer leidt in alle gevallen tot aansprakelijkheid voor de ontstane schade. De ondergrens voor bewuste roekeloosheid is echter niet eenvoudig vast te stellen. Valt het installeren (op de eigen laptop!) van illegale software voor privé doeleinden onder ‘bewust roekeloos handelen’? En het (heel kort) onbeheerd laten liggen van een tablet op de tafel van een restaurant? Is dat alleen maar onverstandig of is het bewust roekeloos? De rechter is terughoudend op dit punt. Een buschauffeur die in strijd met de voorschriften geld en strippenkaarten onbeheerd in de bus achterliet, werd voor de diefstal niet aansprakelijk gehouden.17Rb Den Haag 1 oktober 2009, ECLI:NL:RBSGR:2009:BK7582. Zie verder: Verhulp 2014, (T&C BW), art. 7:661, aant. 2. Hierbij moet wel opgemerkt worden dat de rechter de specifieke omstandigheden van dit geval sterk liet meewegen. Er was bijvoorbeeld geen personeelskluisje aanwezig waar het geld veilig kon worden opgeborgen. Bewuste roekeloosheid vereist in ieder geval dat een werknemer zich op het moment van de schadeveroorzakende gedraging bewust is van de risico’s, om die vervolgens voor lief te nemen.18HR 10 mei 1996, ECLI:NL:HR:1996:ZC2066.

De business case

Invoering van BYOD vraagt van elke organisatie een goed doordacht beleid. Er moet onder meer worden nagedacht over data security, privacy en aansprakelijkheid. Wederzijdse rechten en plichten kunnen worden vastgelegd in een overeenkomst tussen werkgever en werknemer. Hiermee zullen vermoedelijk veel onaangename conflicten worden voorkomen. Of de voordelen van BYOD opwegen tegen de nadelen zal ook in kaart moeten worden gebracht. Recent onderzoek wijst uit dat dit lang niet altijd het geval is.19 automatiseringgids.nl/nieuws/2013/16/byod-hype-maakt-besparing-niet-waar. De kosten voor beheer vallen vaak hoger uit dan vooraf ingeschat. Reden om de business case voor BYOD met enige regelmaat nog eens goed tegen het licht te houden.

   [ + ]

1. Zie bijvoorbeeld: computable.nl/artikel/nieuws/mobility/5222220/1277034/.
2. computerworld.nl/it-beheer/75550-de-verborgen-kosten-van-byod.
3. Art. 13 Wbp.
4. Denk hierbij bijvoorbeeld aan het gebruik van apps die toegang hebben tot de gegevens op een telefoon.
5. EHRM 17 juli 2008, nr. 20511/03 (Case of I. v. Finland).
6. EHRM 3 april 2007, nr. 62617/00 (Copland).
7. “Hij die jegens een ander een onrechtmatige daad pleegt, welke hem kan worden toegerekend, is verplicht de schade die de ander dientengevolge lijdt, te vergoeden.” (art. 6:162 BW).
8. Art.7:661 lid 1 BW. Zie verder: Asser/Heerma van Voss 7-V 2012/272. In dit artikel beperken we ons tot een gewone arbeidsverhouding werkgever – werknemer. De situatie wordt complexer als er sprake is van bijzondere arbeidsverhoudingen, zoals bijvoorbeeld bij ambtenaren, medici en bij de inhuur van werknemers.
9. Art. 6:170 lid 3 BW.
10. HR 12 januari 2007, ECLI:NL:HR:2007:AZ2895,  Rb. Amsterdam 30 januari 2007, JAR 2007/55.
11. Art. 7:611 BW.
12. HR 16 oktober 1992, ECLI:NL:HR:1992:ZC0717. Zie verder: Verhulp 2014, (T&C BW), art. 7:661, aant. 3.
13. Art. 7:658 lid 1 BW.
14. Art. 7:660 BW.
15. Art. 7:658 lid 2 BW. Zie verder: Asser/Heerma van Voss 7-V 2012/261.
16. Art. 7:658 lid 3 BW. Het gaat hier dus om regels van dwingend recht.
17. Rb Den Haag 1 oktober 2009, ECLI:NL:RBSGR:2009:BK7582. Zie verder: Verhulp 2014, (T&C BW), art. 7:661, aant. 2.
18. HR 10 mei 1996, ECLI:NL:HR:1996:ZC2066.
19. automatiseringgids.nl/nieuws/2013/16/byod-hype-maakt-besparing-niet-waar.