Juridische vraag: Werknemer aansprakelijk voor besmet bedrijfsnetwerk?
Regelmatig krijgen we op de redactie van Security.nl vragen over ICT en recht, vandaar dat we in samenwerking met ICT-jurist Arnoud Engelfriet een nieuwe rubriek zijn begonnen waar de vragen van lezers centraal staan. Heb je dus een vraag over je privacy op het web, je aankoop bij een webshop, het downloaden van materiaal of het feit dat je baas je e-mail leest? Stuur hem naar juridischevraag@security.nl. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek "De wet op internet" zal ontvangen.
Werknemer aansprakelijk voor besmet bedrijfsnetwerk?
Stel, je hebt van huis een memory stick meegenomen naar je werk met daarop een virus, uiteraard zonder dat je dit zelf weet. Vervolgens besmet je met het virus in je PC het Intranet van het bedrijf waar je werkt, en het systeembeheer weet te achterhalen dat het virus van jouw PC afkomstig is. Kan je als medewerker van het bedrijf dan aansprakelijk worden gesteld voor eventueel geleden schade?
Arnoud: De wet zegt dat je schade moet vergoeden die het gevolg is van een onrechtmatige daad (art. 6:162 BW). Een handeling of een nalaten is onrechtmatig als je een wettelijke plicht verzaakt, inbreuk pleegt op een recht of wanneer je handelen of nalaten in strijd is met de maatschappelijke zorgvuldigheid. Dat laatste is een heel algemeen criterium, bedoeld om alles te kunnen afvangen dat niet expliciet in de wet staat maar waarvan de rechter wel vindt dat de veroorzaker ervoor moet opdraaien.
Is per ongeluk een virus verspreiden nu onrechtmatig? Artikel 350b Strafrecht zegt dat het strafbaar is om virussen en dergelijke te verspreiden als je daar 'schuld' aan hebt. Doe je dit toch, dan verzaak je een wettelijke plicht en daarmee is de onrechtmatigheid gegeven. 'Schuld' is een lagere eis dan 'opzet'. (Opzettelijk virussen verspreiden is strafbaar gesteld in artikel 350a trouwens.) Je hebt schuld aan de verspreiding als je de verspreiding had kunnen voorzien met de nodige veiligheidsmaatregelen of onderzoek, en het onzorgvuldig is dat je dat niet hebt gedaan.
Nu lijkt het mij dat iedereen tegenwoordig wel moet weten dat Windows kwetsbaar is voor virussen. Een virusscanner installeren en up-to-date houden is mijns inziens dan ook een redelijke voorzorgsmaatregel. Zeker als je USB-sticks van en naar je werk transporteert. Dus het lijkt mij dat je al snel aansprakelijk bent voor de schade als je in het geheel geen scanners gebruikt. Heb je je systeem redelijk dichtgetimmerd, en glipt er toch een virus doorheen, dan denk ik niet dat je strafbaar handelt of dat je voor de schade moet opdraaien.
Ook speelt mee hoe zeer jij als persoon zelf kennis hebt van beveiliging en virussen. Een medewerker van de postkamer is wat dat betreft in een andere positie dan een systeembeheerder of security officer. Al met al een vraag waarvan het antwoord heel erg af zal hangen van de betrokken persoon, het soort malware en de andere omstandigheden van het geval. Iets wat advocaat Joost Meijer in 2001 ook al schreef trouwens.
Als bedrijf zou je nog in je reglement over ICT-gebruik kunnen opnemen dat het verboden is om software of data uit te wisselen tussen het bedrijfsnetwerk en eigen systemen. Maar het lijkt mij nogal lastig om dat waterdicht op te schrijven. Voor je het weet, verbied je het lezen van e-mail via webmail of het aansluiten van de bedrijfslaptop op je thuisnetwerk. En zelfs als je dat lukt, dan zit je nog met het probleem dat je als overtreder van het reglement verwijtbaar gehandeld moet hebben. De schuldvraag blijft dus dezelfde.
Wat kun je als bedrijf trouwens doen om te voorkomen dat mensen USB-sticks met malware je bedrijf binnenbrengen? Behalve met epoxy dichtplakken van USB poorten dan.
Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Een antwoord op je vraag:
"Wat kun je als bedrijf trouwens doen om te voorkomen dat mensen USB-sticks met malware je bedrijf binnenbrengen? "
is: installeer software die ervoor zorgt dat wat er op stick geplaatst wordt vanaf bedrijfscomputers altijd versleuteld wordt met bedrijfssleutels, en sta het niet toe bestanden te lezen die niet met deze bedrijfssleutels versleuteld zijn.
Uitzonderingen zijn natuulijk altijd mogelijk, maar zijn dan wel weer een gat.
"Nu lijkt het mij dat iedereen tegenwoordig wel moet weten dat Windows kwetsbaar is voor virussen. Een virusscanner installeren en up-to-date houden is mijns inziens dan ook een redelijke voorzorgsmaatregel. Zeker als je USB-sticks van en naar je werk transporteert. Dus het lijkt mij dat je al snel aansprakelijk bent voor de schade als je in het geheel geen scanners gebruikt. Heb je je systeem redelijk dichtgetimmerd, en glipt er toch een virus doorheen, dan denk ik niet dat je strafbaar handelt of dat je voor de schade moet opdraaien. "
Volgens mij is de vraag of de computer op het werk beveiligd is d.m.v. een up-to-date virusscanner en de laatste security patches de verantwoordelijkheid van de werkgever en niet van de werknemer. Dit dient te draaien, en als het goed is geregeld kan de werknemer deze zaken niet eens uitschakelen. Wat dat betreft snap ik je argumentatie niet, en een werkgever die meent dat werknemers zelf hun systeem moeten 'dichttimmeren' moet eens nadenken over zijn eigen verantwoordelijkheid en aansprakelijkheid.
"Ook speelt mee hoe zeer jij als persoon zelf kennis hebt van beveiliging en virussen. "
Ook dit argument snap ik niet, aangezien de beveiliging van het bedrijfsnetwerk zoals gezegd de verantwoording van de werkgever is. En of je zelf zorg kunt dragen voor een goede beveiliging is primair een kwestie van rechten die je hebt op je systeem. De verdere IT kennis van de individuele medewerker is daarbij dus verder niet zo erg van belang.
Bovendien is het in eerste instantie zo dat fouten gemaakt door de werknemer tijdens werktijd juridisch gezien de verantwoordelijkheid zijn van de werkgever, die zich hiertegen kan indekken bijvoorbeeld door middel van verzekeringen. Indien een loodgieter fouten maakt tijdens zijn werk, capabel of niet, is in principe ook zijn werkgever aansprakelijk.
"Als bedrijf zou je nog in je reglement over ICT-gebruik kunnen opnemen dat het verboden is om software of data uit te wisselen tussen het bedrijfsnetwerk en eigen systemen. Maar het lijkt mij nogal lastig om dat waterdicht op te schrijven."
Wellicht lastig, maar dit is nou juist wel van essentieel belang. Immers ligt de situatie in een bedrijf waar een verbod geldt op het aansluiten van USB sticks heel anders dan in een bedrijf waar iedereen dagelijks USB sticks meeneemt, en dit dus de normale dagelijkse praktijk betreft. Zodra je kunt stellen dat de medewerker moedwillig beveiligingsprocedures heeft overtreden is de kans dat je als werkgever de werknemer aansprakelijk kunt houden stukken groter.
"Wat kun je als bedrijf trouwens doen om te voorkomen dat mensen USB-sticks met malware je bedrijf binnenbrengen? Behalve met epoxy dichtplakken van USB poorten dan."
Naast zorgen voor duidelijke procedures kan je ook technisch gezien de USB poorten uitschakelen, zodat het onmogelijk is om USB sticks en dergelijke aan te sluiten. Daarvoor heb je geen epoxy nodig.
Nu lijkt het mij dat iedereen tegenwoordig wel moet weten dat Windows kwetsbaar is voor virussen. Een virusscanner installeren en up-to-date houden is mijns inziens dan ook een redelijke voorzorgsmaatregel. Zeker als je USB-sticks van en naar je werk transporteert. Dus het lijkt mij dat je al snel aansprakelijk bent voor de schade als je in het geheel geen scanners gebruikt.
Er zijn de laatste tijd in toenemende mate argumenten om geen virusscanner te gebruiken. Virusscanners kosten geld (er zijn "gratis" scanners voor prive-gebruikers maar die hebben vaak beperkte functionaliteit), ze vreten geheugen, kosten performance (voor als je veel file-I/O doet bijv. bij het compileren van grotere c++ projecten), genereren false-positives, kosten tijd (installatie, verlengen contract, installeren grotere updates), gebruiken netwerkbandbreedte, gaan spontaan mijn USB-harddisk scannen waardoor ik deze niet mag unmounten, en hebben zelf regelmatig kwetsbaarheden - om maar wat nadelen te noemen.
Bovendien zijn lang niet alle platformen even geschikt voor virusscanners (denk aan Windows Mobile op PDA's).
En last but not least: detection-rates van verse malware zijn [url=http://www.security.nl/artikel/26897/1/Virusscanners_detecteren_slechts_37%25_alle_malware.html]bedroevend[/url], waarbij een beetje malware je [url=http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml#details]DNS instellingen wijzigt[/url] waardoor je virusscanner zichzelf niet meer van nieuwe definities kan voorzien. Kortom, ook al heb je een virusscanner (zie ook dit Londonse [url=http://www.security.nl/artikel/26868/1/%22Infectie_4700_ziekenhuiscomputers_was_onnodig%22.html]ziekenhuisverhaal[/url] dan wil dit niet zeggen dat (verse) malware wordt gedetecteerd.
Mijn vragen luiden:
1) Wat is het omslagpunt in de afweging van nadelen van een virusscanner t.o.v. de detectiekans van (verse) malware, waarbij niet langer te rechtvaardigen valt dat iemand, die bewust géén vrirusscanner heeft geïnstalleerd, aansprakelijk gesteld kan worden voor het onbewust verspreiden van malware?
2) Is er in Nederland jurisprudentie waarbij iemand vanwege het niet geïnstalleerd hebben van een virusscanner aansprakelijk werd gesteld voor het onbewust verspreiden van malware?
Er lijkt mij, zeker in een zakelijke omgeving, geen enkel valide argument om geen virus scanners te gebruiken. Wellicht dat je performance iets minder is, maar kijk naar de impact van een grootschalige virus- of wormuitbraak binnen een bedrijfsnetwerk. Dit kan zeer grote gevolgen hebben voor de vertrouwelijkheid, integriteit en beschikbaarheid van de systemen binnen het netwerk en de informatie op deze systemen.
Geen van bovengenoemde redenen lijkt mij een een argument om je systemen niet afdoende te beveiligen, waarbij je bewust het risico neemt dat er bestanden corrupt raken, bedrijfsinformatie naar buiten wordt gestuurd of denial of service aanvallen plaats vinden op het bedrijfsnetwerk. Denk maar aan de impact van W32.DownAdUp/Conficker de afgelopen maand bij bedrijven die hun antivirus beveiliging en hun windows security updates niet op orde hadden, of wormen zoals bijvoorbeeld MsBlaster.
Indien je je bedrijfsnetwerk niet goed beschermd, dan neem je willens en wetens zeer grote risico's. Ook kan je je overigens afvragen of bijvoorbeeld een verzekeringsmaatschappij de schade dekt wanneer blijkt dat schade van een virus of worm mede veroorzaakt werd door het feit dat er geen gebruik werd gemaakt van afdoende beveiligingsmaatregelen. Wel blijft de beveiliging van het bedrijfsnetwerk, inclusief eindgebruiker stations, ten alle tijde primair de verantwoording van de werkgever, in tegenstelling tot wat beweerd wordt in het artikel van Arnoud.
En inderdaad is in eerste instantie de werkgever aansprakelijk voor schade. De schade kan pas op de werknemer worden verhaald als er sprake is van opzet of grove nalatigheid bij de werknemer. Maar als jij een virusscanner had moeten gebruiken en dat hebt nagelaten, is dat een vorm van grove nalatigheid en kan de werkgever een en ander op jou verhalen.
@Bitwiper: ik geef toe dat dat een discutabele stelling is, maar het is wel precies de essentie. Het is niet zo dat je elk risico moet uitsluiten of aansprakelijk wordt voor de gevolgen. Griep lijkt me geen risico waar je als werknemer rekening mee moet houden, tenzij je bv. werkt op de intensive care van een ziekenhuis of in de keuken van een restaurant. Dan hoor je op zijn minst een mondkapje op te doen. Doe je dat niet en worden je klanten ziek, dan is er wel een claim denkbaar ja. Kleine moeite nalaten met grote gevolgen betekenen meestal schadeclaims.
Ik weet niet of er een omslagpunt is, want het hangt dus af van de omstandigheden. Welke rol heb jij, waarom nam je die stick mee, waarom heeft je bedrijf bepaalde veiligheidsmaatregelen wel of niet en had jij daar rekening mee moeten/kunnen houden?
Bij de development workstation met zware I/O kan ik me voorstellen dat je geen virusscanner wilt. Maar waarom steek jij als ontwikkelaar dan een USB stick in die workstation, in plaats van in je eigen terminal waar wel een scanner draait? Je kunt het bestand dan via het netwerk doorsturen naar de workstation. Wat staat er op die stick dat het van jouw huis direct daarheen moet? Kennelijk iets belangrijks, maar is het dan niet juist gepast dat je het even controleert voordat je in de buurt van de (ook belangrijke) codebase komt?
Ik ken geen jurisprudentie over virussen of andere kwaadaardige code. Op andere gebieden zijn er wel stapels jurisprudentie, waarbij het altijd draait om de vraag welke mate van zorg de werknemer had moeten hanteren.
"En inderdaad is in eerste instantie de werkgever aansprakelijk voor schade. De schade kan pas op de werknemer worden verhaald als er sprake is van opzet of grove nalatigheid bij de werknemer. Maar als jij een virusscanner had moeten gebruiken en dat hebt nagelaten, is dat een vorm van grove nalatigheid en kan de werkgever een en ander op jou verhalen."
Klopt, maar is het de verantwoording van de individuele medewerker om zorg te dragen voor een virusscanner op zijn systeem ? M.i. is dit de verantwoording van het bedrijf, waarbij dit tevens wat betreft rechten zo moet worden ingesteld dat de gebruiker zelf de virusscanner niet zomaar kan uitschakelen.
Je kunt je afvragen of een werkgever die deze verantwoording bij de individuele gebruiker legt zelf niet nalatig is. Hierbij speelt naast het beveiligings aspect ook nog mee dat het de verantwoording van de werkgever is om te zorgen voor de software en bijbehorende licenties.
"Van een beveiligingsexpert mag je toch wel verwachten dat hij een virusscanner heeft draaien thuis, lijkt mij. "
Wat iemand op zijn prive systeem thuis heeft draaien is een individuele verantwoordelijkheid. Of iemand beveiligingsexpert is of niet is daarbij feitelijk irrelevant. Misschien dat het een verwachtingspatroon creeert, maar juridisch gezien maakt het niet uit. Als werkgever ga je daar nu eenmaal niet over, net zoals je niet voorkomt dat iemand een usb stick bij een kennis in het systeem prikt, of in een internet cafe.
Verder is het verstandig als werkgever om IT middelen ter beschikking te stellen aan werknemers die thuis moeten werken, zodat de policies van het bedrijf op dat systeem van toepassing zijn, en dan is er sprake van een andere situatie.
"Bij de development workstation met zware I/O kan ik me voorstellen dat je geen virusscanner wilt. "
Indien er systemen zijn waarbij er een zwaarwegende reden is om geen virusscanner te gebruiken, dan is het verstandig deze in een geisoleerd vlan te plaatsen. Daarnaast is het een risico dat vooraf door de werkgever geaccepteerd dient te worden, en niet de beslissing van de werknemer zelf.
@Bitwiper: ik geef toe dat dat een discutabele stelling is, maar het is wel precies de essentie. Het is niet zo dat je elk risico moet uitsluiten of aansprakelijk wordt voor de gevolgen. Griep lijkt me geen risico waar je als werknemer rekening mee moet houden, tenzij je bv. werkt op de intensive care van een ziekenhuis of in de keuken van een restaurant. Dan hoor je op zijn minst een mondkapje op te doen. Doe je dat niet en worden je klanten ziek, dan is er wel een claim denkbaar ja. Kleine moeite nalaten met grote gevolgen betekenen meestal schadeclaims.
Ik weet niet of er een omslagpunt is, want het hangt dus af van de omstandigheden. Welke rol heb jij, waarom nam je die stick mee, waarom heeft je bedrijf bepaalde veiligheidsmaatregelen wel of niet en had jij daar rekening mee moeten/kunnen houden?
Bij de development workstation met zware I/O kan ik me voorstellen dat je geen virusscanner wilt. Maar waarom steek jij als ontwikkelaar dan een USB stick in die workstation, in plaats van in je eigen terminal waar wel een scanner draait? Je kunt het bestand dan via het netwerk doorsturen naar de workstation. Wat staat er op die stick dat het van jouw huis direct daarheen moet? Kennelijk iets belangrijks, maar is het dan niet juist gepast dat je het even controleert voordat je in de buurt van de (ook belangrijke) codebase komt?
Ik ken geen jurisprudentie over virussen of andere kwaadaardige code. Op andere gebieden zijn er wel stapels jurisprudentie, waarbij het altijd draait om de vraag welke mate van zorg de werknemer had moeten hanteren.
Overigens denk ik dat iemand in de geschetste situatie (thuis geen virusscanner, onbewust malware op USB-stick, besmet daarmee bedrijfs-PC of PC's) niet aansprakelijk te stellen valt, want kennelijk draait er in die situatie op de bedrijfs PC's ook geen vriusscanner die de malware detecteert (of überhaupt geen virusscanner).
Nee, dat kan je een werknemer niet verplichten. Een werkgever gaat daar niet over. Wel kan je in je procedures opnemen dat het gebruik van een USB stick niet toegestaan is, of dat je deze enkel mag gebruiken op systemen die onder het beheer van het bedrijf vallen (eventueel gecombineerd met technische restricties). Wanneer werknemers thuis werken is het daarom verstandig om voor dat doeleinde bedrijfsmiddelen ter beschikking te zetten waarover je wel controle hebt m.b.t. de beveiliging.
In dat geval kan je de werknemer er wel op aanspreken indien hij deze procedures overtreedt, en op deze manier kan je procedureel ook bijvoorbeeld verbieden om uberhaupt bedrijfsinformatie op prive systemen te plaatsen. Daarnaast zouden de beveiligingsmaatregelen op de werk pc een besmetting moeten voorkomen - al is antivirus beveiliging natuurlijk altijd reactief, waardoor een virus mogelijk nog niet in de definities is opgenomen.
"Dit omdat er situaties mogelijk zijn waarin je de inhoud van die stick buiten de viruscontrole op het werk om op het bedrijfsnetwerk kunt plaatsen. "
Je kunt je afvragen wiens fout dit precies is wanneer dit mogelijk is; is het de fout van de werknemer of van de werkgever ? Feitelijk stel je nu dat wanneer de werkgever zorgt voor een zwakke beveiliging op het werk, waardoor de besmetting mogelijk is, hij de juridische verantwoording zou kunnen afschuiven op de werknemer, die thuis (eveneens) een zwakke beveiliging heeft op een systeem waarover de werkgever geen zeggenschap heeft.
Juridisch gezien heeft een werkgever niets te maken met de vraag hoe een privecomputer van een werknemer thuis is beveiligd, en zolang de werknemer geen beveiligingsmaatregelen of procedures overtreedt sta je dus heel erg zwak.
Toen hij wist dat zo success zou zijn schreef hij via deze worm nog gevaarlijker exemplaar.
Hoeveel geld krijg jij nou van Microsoft per bericht?
Juridisch gezien maakt het wel degelijk uit, gecombineerd met een policy dat je geen eigen apparaten op de PC aan mag sluiten. Het zijn weer extra veiligheidsmaatregelen welke iemand bewust moet omzeilen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
