Ben ik als werknemer ook aansprakelijk voor naleving van de AVG?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als nieuwe developer bij een gamebedrijf loop ik tegen een AVG conflict aan. Ik zie in de database dat gegevens van oude (ex-)gebruikers van de game (een gratis app) nog bewaard worden, in strijd met de bewaartermijn uit de privacyverklaring en dus in strijd met de AVG. Ik wil dit weggooien en mijn boze baas zegt, dat mag niet want dan zien onze gebruikersaantallen er slechter uit. Kan ik dit doen? Ik ben bang beboet te worden als ik het niet doe.
Antwoord: Die reactie snap ik wel, alleen ja, als je gezegd hebt dat je bewaartermijn zeg twee maanden na einde gebruik is, dan hadden die userprofielen echt allang weggemoeten. Afgaande op de vraagsteller is de AVG overtreding evident.
Maar wat nu: wet zegt weg, baas zegt nietes. Nou ja, dan wint de wet natuurlijk. Maar de wet zegt wat het bedrijf moet doen, en uiteindelijk is het de directie die beslist wat het bedrijf gaat doen. (Mogelijk op advies van de FG, als die er is.) Niet een individuele werknemer. Dus zelf een weggooiactie ondernemen om het bedrijf weer AVG-compliant te krijgen, dat is géén goed idee.
Inderdaad ben je als werknemer niet verplicht om dingen te doen die (evident) in strijd zijn met de wet. Je werkgever kan je niet ontslaan omdat je weigert iets te doen dat niet mag. Alleen hier gaat het om iets wél willen doen waarvan de werkgever het verboden heeft, namelijk een grote groep klantgegevens wissen. Dan kom je bij de arbeidsrechter niet ver met "maar volgens mij mochten wij die gegevens niet bewaren, daarom heb ik ze weggegooid" want als je werkgever expliciet nee zegt, dan is het nee.
Loop je nu persoonlijk een risico dat de AP achter je aankomt? Nee, in het geheel niet. In zo’n situatie is de wet duidelijk: de werkgever (het bedrijf, niet je manager privé) is aansprakelijk voor naleving van de AVG, en kan dus beboet of anders gesanctioneerd worden als de AP erachter komt. Betrokkenen kunnen claims indienen, die het bedrijf dan moet betalen.
Dus nee, het is zuur maar ik zie geen manier om deze AVG schending te beëindigen als de verantwoordelijke in de hiërarchie zegt dat ze er vrolijk mee door gaan. Over diens hoofd gaan kán natuurlijk: weet de bedrijfsjurist en/of FG hiervan, en wat zouden die tegen de algemeen directeur zeggen? Alleen is het een bekend verschijnsel in grotere bedrijven dat over het hoofd van je lijnmanager gaan, zelden tot goede resultaten leidt.
Als je dit een zeer ernstige misstand vindt, dan kun je gaan klokkenluiden. Ik zag in een vergelijkbare zaak de tip om de lijst met adressen te dumpen, en in de bibliotheek vanuit een nieuw aangemaakt mailadres die mensen te tippen dat hun account bij X nog steeds bestaat. Zullen we dat gewoon niet doen? Werknemer A klaagt, er gebeurt niets, de klanten krijgen van een anoniempje een signaal en dienen claims in, goh wie oh wie zou daarvoor gezorgd hebben en welk boetemaximum staat er in zijn arbeidscontract bij de geheimhoudingsclausule?
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Of het is een deelfunctie ergens in de directie. Wellicht zijn baas, die heeft ie al geinformeerd.
Daar ken ik er meerdere van.
Bedrijven die in Nederland security events organiseren en hun vrijwilligers Linkedin, Facebook, Werk.nl* laten schrapen voor mobiele nummers, email adressen, data enz visite kaartjes verzamelen en dit alles samen met interesse, skills, werkgever en wat nog meer. Wat vervolgens in een Googel document komt.
Mag niet maar gebeurd gewoon onder ogen van de Nederlandse wet.
*werk.nl van het UWV dat volstaat met Cv's en contact gegevens van ICT'ers
Allerlei hiërarchieën in bedrijven kunnen toch geen belemmering zijn voor mensen te handelen in de geest van de wet?
Hoe zit het in ziekenhuizen als een manager zou verbieden patiënten pijnstillers te geven en je doet het toch? Je bent dokter, je hebt de plicht mensen niet te laten lijden, en je geeft paracetamol. Dat is je werk.
Je bent systeembeheerder en je gooit gegevens weg omdat ze niet bewaard mogen worden. Wat is het verschil precies?
Je kan zonder problemen alle oude records anonimiseren door er willekeurige troep in te gooien. De database blijft bestaan, de aantallen blijven gelijk, enkel de oude records zijn vernaggeld en dus niet meer te herleiden naar de oorspronkelijke data. De data is effectief verwijderd.
Dit kan in de database gedaan worden, maar ook in logfiles. Backups mogen maar bepaalde tijd bewaard blijven en desnoods haal je de backups ook door een anonimiseerproces. Problem solved.
De werknemer had dit bij de baas moeten neerleggen als optie.
De baas had dat ook allang moeten kunnen verzinnen.
Braaf zo, meneer Engelfriet. U heeft uzelf ook weer netjes ingedekt. En potentiële melders van misstanden schijnbaar ontmoedigd.
Maar als iemand gaat klokkenluiden, dan moet-ie het natuurlijk wel slim doen. Dus bij wijze van spreken niet de methode Manning/Assange (traceerbaar dumpen), en zelfs niet de methode-Snowden (netjes overhandigen aan een krant met een tijdelijke exit-strategie voor zichzelf; en door Snowden ook nog eens briljant uitgevoerd), maar op zo'n manier dat er niet alleen geen bewijs is, maar zelfs geen verdenking van de kant van de baas jegens de betreffende werknemer.
Om te beginnen zou de werknemer de zaak niet eens bij de baas onder de aandacht moeten brengen. Tuurlijk, volgens het boekje moet dat wel, maar we weten allemaal dat de baas ook niet volgens het boekje met de klokkenluider zal omgaan. Het beste is dat de potentiële klokkenluider eerst een eigen inschatting maakt van wat de baas ervan zou vinden. Zonder zekerheid dat de baas instemt met verwijdering van de gegevens, niet klagen, maar voorzorgshalve meteen plan B verzinnen.
Plan B moet inhouden dat de zaak niet alleen anoniem naar buiten komt, maar ook op zo'n manier dat het lijkt of het zonder hulp van de betreffende werknemer is gebeurd. In dit geval zou je kunnen denken aan een actie waarbij de werknemer van het data-bedrijf een onderzoeksjournalist benadert, en aan die journalist pas concrete info verstrekt nadat er is afgesproken dat die journalist twee dingen doet: ten eerste vragen aan het bedrijf stellen, bijvoorbeeld over aantallen accounts i.v.m. de viability van het bedrijf, en ten tweede een "willekeurige buitenstaander" benaderen die als "mystery guest" een account aanmaakt bij het bedrijf, en na enige tijd het account weer opzegt. En die vervolgens, nadat de bewaartermijn al flink is verstreken, onschuldig vraagt of hij zijn data mag inzien. Het bedrijf voldoet vervolgens netjes aan dat verzoek (want willen geen moeilijkheden krijgen), waarmee het bewijs in handen is van de mystery guest, die het doorspeelt aan de onderzoeksjournalist. Die gaat vervolgens opnieuw vragen aan het bedrijf stellen, en daarover publiceren.
Deze methode heeft vier grote nadelen. Het kost tijd, het kost werk, het vereist vertrouwen tussen werknemer, onderzoeksjournalist en mystery guest, en het vereist een behoorlijke professionaliteit van de werknemer, de onderzoeksjournalist en de mystery guest.
Ik heb nog nooit gezien dat deze methode van klokkenluiden in de praktijk is toegepast. Maar dat is ook logisch, want als dit goed gebeurt, ziet een buitenstaander er niks van.
Meestal begint het proces van klokkenluiden rommelig, met aan de kant van de klokkenluider veel naïviteit over dat de baas en de instanties enigszins correct met een melding zullen omgaan. Het "Huis voor Klokkenluiders" is slechts het laatste debacle, de meest recente poging om het eindelijk goed te regelen die werd gesaboteerd, zodat het uitdraaide op de zoveelste fuik om klokkenluiders niet mee te beschermen, maar mee te vangen en ze kapot te maken.
Maar inmiddels beseffen steeds meer mensen hoe het in de realiteit werkt. Succesvol klokkenluiden is mogelijk, maar alleen voor wie bereid en in staat is dat op een professionele wijze te doen. Waarschijnlijk zijn dat maar heel weinig mensen. En ze moeten ook nog voldoende gemotiveerd zijn om er zoveel tijd en moeite aan te besteden. Dat betekent dat er in de praktijk al wel meer aan de hand moet zijn in zo'n bedrijf, voordat er een bekwame klokkenluider zal opstaan, en voordat een bekwame journalist erin geïnteresseerd zal raken.
Disclaimer: ik heb het zelf ooit gedaan, maar was te naïef en meldde het wel eerst netjes intern. Wat er daarna gebeurde, houd ik voor mezelf, behalve één ding: het duurde vele jaren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
