image

Werknemer terecht ontslagen voor uploaden vertrouwelijke data naar Dropbox

maandag 18 december 2023, 12:32 door Redactie, 18 reacties

Een Amsterdams bedrijf dat logistieke diensten en oplossingen levert mocht een werknemer op staande voet ontslaan voor het uploaden van vertrouwelijke data naar Dropbox, zo heeft de kantonrechter van de rechtbank Amsterdam geoordeeld. Afgelopen juni liet het bedrijf aan de medewerker weten dat zijn arbeidsovereenkomst niet zou worden verlengd.

Begin april hadden alle werknemers al een e-mail ontvangen waarin ze werden opgeroepen om bij vertrek hun ervaring mee te nemen en niet hun bestanden. Nadat de medewerker te horen had gekregen dat zijn arbeidsovereenkomst niet werd verlengd heeft hij vervolgens 791 documenten van de bedrijfsserver naar zijn persoonlijke Dropbox-account geüpload.

De werknemer werd in juli uitgenodigd voor een gesprek, maar hij had toen vakantie en is niet op gesprek gekomen. Drie dagen later is de medewerker op staande voet ontslagen, omdat het monitoringssysteem had ontdekt dat hij gedurende meerdere dagen een groot aantal bedrijfsdocumenten van de bedrijfsserver naar zijn laptop had gedownload, om ze vervolgens naar zijn persoonlijke Dropbox-account te uploaden.

De medewerker was het niet met het ontslag eens en tekende beroep aan, waarbij hij een vergoeding van 114.000 euro eiste. Volgens de man is het ontslag niet meteen gemeld, omdat Prologis al een maand op de hoogte was. Verder stelt de werknemer dat er geen sprake is van een dringende reden. Van de 791 documenten die hij uploadde naar zijn persoonlijke Dropbox-account zijn er volgens hem slechts zestig eigendom van Prologis. De overige 731 documenten zijn eigendom van hem en bevatten onder meer eigen aantekeningen.

Verder stelt de werknemer dat de documenten van Prologis geen bedrijfsgevoelige en vertrouwelijke informatie bevatten en heeft hij de documenten niet gebruikt of met derden gedeeld. Van schending van het geheimhoudingsbeding is volgens hem dan ook geen sprake en van het beleid van Prologis was hij naar eigen zeggen niet op de hoogte. De man wil dan ook dat zijn ex-werkgever wordt veroordeeld tot het betalen van een vergoeding wegens onregelmatige opzegging en een transitievergoeding.

Het bedrijf stelt dat het ontslag wel terecht is. Zo werd het op 10 juli door de ict-afdeling ingelicht, waarna er nader onderzoek plaatsvond en het ontslag op 17 juli volgde. Daarnaast is er volgens het bedrijf wel sprake van een dringende reden. Van de 791 documenten zijn er namelijk 220 eigendom van het bedrijf en bevatten bedrijfsgevoelige en vertrouwelijke informatie. Het bedrijf eist onder anderre een schadevergoeding wegens schending van de geheimhouding en het ontslag op staande voet.

Oordeel

De rechter stelt dat de medewerker onvoldoende duidelijk heeft gemaakt dat maar zestig documenten van het bedrijf zijn, terwijl het bedrijf wel een overzicht heeft gegeven dat het om 220 bedrijfsdocumenten gaat met vertrouwelijke informatie. Volgens de kantonrechter levert het meenemen van dergelijke stukken in de aanloop naar een einde van een arbeidsovereenkomst een dringende reden op. "Het spreekt voor zich dat dit niet geoorloofd is en dat dit schade kan toebrengen aan de werkgever."

Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval bekend had moeten zijn. De kantonrechter noemt het gedrag van de medewerker ook ernstig verwijtbaar. "Het is evident dat een werknemer die zich op die manier bedrijfsgevoelige kennis van zijn werkgever toe-eigent ernstig verwijtbaar handelt. Er is dus geen transitievergoeding verschuldigd."

De rechter voegt toe dat er niet is gebleken dat de man de informatie die hij naar zijn persoonlijke Dropbox-account heeft geüpload met derden heeft gedeeld. Zolang dat niet is gebeurd, is er volgens de kantonrechter geen sprake van schending van het geheimhoudingsbeding. Het verzoek om de werknemer tot een boete hiervoor te veroordelen wordt dan ook afgewezen. Wel moet de man de 220 bedrijfsdocumenten vernietigen en zijn ex-werkgever een 'gefixeerde schadevergoeding' van bijna 13.000 euro betalen, omdat hij schuld heeft aan het ontslag op staande voet.

Reacties (18)
18-12-2023, 12:50 door Anoniem
Heel terecht... En wellicht ook ff iets voor die toko mbt. hoe makkelijk het is om dingen mee te nemen - nu is het allemaal 'achteraf'.
18-12-2023, 14:04 door Anoniem
Hoe kan je als IT zijnde dit goed monitoren?
18-12-2023, 14:34 door Anoniem
Ik vraag mij af. Er staat van bedrijfsserver naar zijn laptop. Ik neem aan dat dit bedrijfslaptop moet zijn. Want op eigen laptop's van medewerkers heb je niet voldoende monitoringssoftware om vast te stellen wat daarna met de bestanden is gebeurd.
18-12-2023, 14:42 door Anoniem
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?

DLP
18-12-2023, 14:59 door Anoniem
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?
DLP features gebruiken. meestal een vergevorderde it omgeving welke strak ingericht is, anders mis je dit.
18-12-2023, 15:26 door Anoniem
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?
Dat doet Microsoft software. Heb ik ook last van gehad. De software vond het vreemd dat ik veel documenten (gedownload van internet en persoonlijke aantekeningen) had verwijderd. Niks aan de hand maar wel een scheef oog.
Sinds die tijd weiger ik met Microsoft software te werken.
18-12-2023, 15:36 door Anoniem
Persoonlijke Dropbox van het bedrijf of prive thuis?
Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval b]bekend had moeten zijn[/b]
Dit kom ik vaker tegen. Nogal eens uit de duim gezogen om van iemand af te komen omdat hij niet vrijwillig opstapt na aandringen omdat een project is gestopt. Zolang de werknemer niet getekend heeft heeft het bedrijf geen poot om op te staan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
18-12-2023, 15:38 door Anoniem
Dat doet DLP software (data loss prevention software)
Microsoft heeft ook DLP software, dus het kan kloppen dat die Microsoft DLP software dat bij jou heeft gedetecteerd.

Dat heeft echter geen zier te maken met Microsoft software in het algemeen.
18-12-2023, 15:57 door Anoniem
Door Anoniem: Persoonlijke Dropbox van het bedrijf of prive thuis?
Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval b]bekend had moeten zijn[/b]
Dit kom ik vaker tegen. Nogal eens uit de duim gezogen om van iemand af te komen omdat hij niet vrijwillig opstapt na aandringen omdat een project is gestopt. Zolang de werknemer niet getekend heeft heeft het bedrijf geen poot om op te staan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Je behoort je ten aller tijden fatsoenlijk te gedragen. Veel bedrijfsdocumenten naar Dropbox slepen zonder management toestemming hoort daar bij. Als je dat niet begrijpt, is dat een extra reden om iemand te ontslaan
18-12-2023, 15:59 door Anoniem
Door Anoniem: Dat doet DLP software (data loss prevention software)
Microsoft heeft ook DLP software, dus het kan kloppen dat die Microsoft DLP software dat bij jou heeft gedetecteerd.

Dat heeft echter geen zier te maken met Microsoft software in het algemeen.
Is mij niet verteld en had het ook niet kunnen weten. Onbetrouwbare spy-software dus. Ik blijf bij mijn besluit.
18-12-2023, 16:46 door Anoniem
Door Anoniem: Persoonlijke Dropbox van het bedrijf of prive thuis?
Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval b]bekend had moeten zijn[/b]
Dit kom ik vaker tegen. Nogal eens uit de duim gezogen om van iemand af te komen omdat hij niet vrijwillig opstapt na aandringen omdat een project is gestopt. Zolang de werknemer niet getekend heeft heeft het bedrijf geen poot om op te staan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Als in de arbeids overeenkomt en beleid documenten staat vermeldt wat de spelregels zijn en er aangetoont kan worden dat de medewerker ooit in verleden hiervan kennis heeft genomen gaat een hoger beroep echt niks uitmaken en Prologis een multi bilion corporation zal echt niet zo domme fout hebben begaan. DLP met SIEM kan tevens worden gebruikt door een advocaat om onschuld aan te tonen. In dit geval is echter aangetoont dat er wel degelijk overtredingen hebben plaats gevonden en de veroordeelde heeft dit ook gedeeltelijk toegegeven.

In dit geval heeft de veroordeelde donders geluk dat het bedrijf niet heeft kunnen aantonen dat er niet geautoriseerde replicatie heeft plaatsgevonden buiten het persoonlijke Dropbox account want als dat wel zo was was denk ik niet dat Prologis dit liet afwikkelen door een lokaal legal team. Dit bedrijf heeft het geld tijd en middelen om iemand mentaal helemaal kapot te procederen naast dat de cyber security firm (Snowflake) die Prologis mee vergevorderd gepartnerd is ook de beveiliging van Dropbox zelf tendered. Hoe stupide kun je zijn als ex-medewerker om dat risico te willen lopen.
19-12-2023, 08:10 door musiman
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?

Hiervoor kun je ook andere oplossingen dan enkel DLP gebruiken.

Microsoft heeft de volgende subscriptions die je af kunt nemen om te helpen zaken als het gebruik van Dropbox onmogelijk te maken.

Microsoft Defender for Endpoint

Hiermee kun je centraal alle Windows Defender installaties van jouw werkstations monitoren en configureren.

Microsoft Defender for Cloud Apps

Hiermee kun je apps monitoren, toestaan en verbieden.

Wanneer je de informatie die Microsoft Defender for Endpoint verzamelt, koppelt aan Microsoft Defender for Cloud Apps, dan kun je in laatstgenoemde exact zien welke applicaties op welke computers staan geïnstalleerd, hoeveel data deze applicaties up- of downloaden, policies maken die jou waarschuwen wanneer een applicatie veel data aan het uploaden is en nog veel meer.
Maar... je kunt ook apps op "sanctioned" of "unsanctioned" zetten. De eerste optie geeft aan dat die app toegestaan is; de tweede optie dat die juist niet toegestaan is. Wanneer je Defender for Cloud Apps zo configureert dat je dit op "enforce" zet, dan mogen de medewerkers unsanctioned apps helemaal niet starten! Zo kun je dus dropbox verbieden.
19-12-2023, 08:26 door Anoniem
Door Anoniem:
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?
Dat doet Microsoft software. Heb ik ook last van gehad. De software vond het vreemd dat ik veel documenten (gedownload van internet en persoonlijke aantekeningen) had verwijderd. Niks aan de hand maar wel een scheef oog.
Sinds die tijd weiger ik met Microsoft software te werken.
Je hebt een probleem dat DLP software doet wat het hoort te doen ?
19-12-2023, 10:17 door Anoniem
Door Anoniem:
Door Anoniem: Persoonlijke Dropbox van het bedrijf of prive thuis?
Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval b]bekend had moeten zijn[/b]
Dit kom ik vaker tegen. Nogal eens uit de duim gezogen om van iemand af te komen omdat hij niet vrijwillig opstapt na aandringen omdat een project is gestopt. Zolang de werknemer niet getekend heeft heeft het bedrijf geen poot om op te staan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Je behoort je ten aller tijden fatsoenlijk te gedragen. Veel bedrijfsdocumenten naar Dropbox slepen zonder management toestemming hoort daar bij. Als je dat niet begrijpt, is dat een extra reden om iemand te ontslaan
Flauwekul zo lang hij nergens voor heeft getekend. Je gaat ook niet aan het management vragen om te pissen. Als die documenten slecht beschikbaar zijn (sharepoint) zou het zelfs een goede reden kunnen zijn om te downloaden.
19-12-2023, 10:20 door Anoniem
Door Anoniem:
Door Anoniem: Persoonlijke Dropbox van het bedrijf of prive thuis?
Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval b]bekend had moeten zijn[/b]
Dit kom ik vaker tegen. Nogal eens uit de duim gezogen om van iemand af te komen omdat hij niet vrijwillig opstapt na aandringen omdat een project is gestopt. Zolang de werknemer niet getekend heeft heeft het bedrijf geen poot om op te staan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Als in de arbeids overeenkomt en beleid documenten staat vermeldt wat de spelregels zijn en er aangetoont kan worden dat de medewerker ooit in verleden hiervan kennis heeft genomen gaat een hoger beroep echt niks uitmaken en Prologis een multi bilion corporation zal echt niet zo domme fout hebben begaan. DLP met SIEM kan tevens worden gebruikt door een advocaat om onschuld aan te tonen. In dit geval is echter aangetoont dat er wel degelijk overtredingen hebben plaats gevonden en de veroordeelde heeft dit ook gedeeltelijk toegegeven.

In dit geval heeft de veroordeelde donders geluk dat het bedrijf niet heeft kunnen aantonen dat er niet geautoriseerde replicatie heeft plaatsgevonden buiten het persoonlijke Dropbox account want als dat wel zo was was denk ik niet dat Prologis dit liet afwikkelen door een lokaal legal team. Dit bedrijf heeft het geld tijd en middelen om iemand mentaal helemaal kapot te procederen naast dat de cyber security firm (Snowflake) die Prologis mee vergevorderd gepartnerd is ook de beveiliging van Dropbox zelf tendered. Hoe stupide kun je zijn als ex-medewerker om dat risico te willen lopen.
Kennis nemen is wat anders dan tekenen. Kennis nemen is namelijk niet te bewijzen.
19-12-2023, 10:32 door Anoniem
Door musiman:
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?

Hiervoor kun je ook andere oplossingen dan enkel DLP gebruiken.

Microsoft heeft de volgende subscriptions die je af kunt nemen om te helpen zaken als het gebruik van Dropbox onmogelijk te maken.

Microsoft Defender for Endpoint

Hiermee kun je centraal alle Windows Defender installaties van jouw werkstations monitoren en configureren.

Microsoft Defender for Cloud Apps

Hiermee kun je apps monitoren, toestaan en verbieden.

Wanneer je de informatie die Microsoft Defender for Endpoint verzamelt, koppelt aan Microsoft Defender for Cloud Apps, dan kun je in laatstgenoemde exact zien welke applicaties op welke computers staan geïnstalleerd, hoeveel data deze applicaties up- of downloaden, policies maken die jou waarschuwen wanneer een applicatie veel data aan het uploaden is en nog veel meer.
Maar... je kunt ook apps op "sanctioned" of "unsanctioned" zetten. De eerste optie geeft aan dat die app toegestaan is; de tweede optie dat die juist niet toegestaan is. Wanneer je Defender for Cloud Apps zo configureert dat je dit op "enforce" zet, dan mogen de medewerkers unsanctioned apps helemaal niet starten! Zo kun je dus dropbox verbieden.
Huh reclame. Microsoft laten regelen. Dan weet ik zeker dat het niet werkt. Doe het dan via de firewall.
19-12-2023, 10:40 door Anoniem
Begin april hadden alle werknemers al een e-mail ontvangen waarin ze werden opgeroepen om bij vertrek hun ervaring mee te nemen en niet hun bestanden
Blijkbaar komt dit vaker voor. Dubieus bedrijf investeert blijkbaar niet in personeel. "Hun" bestanden is ook vreemd gedefinieerd. Dat impliceert dat de bestanden van de werknemer zijn en dus gedownload mogen worden. Het is trouwens niet te lezen of het om de persoonlijke dropbox van de werkgever of de medewerker zelf gaat,
19-12-2023, 15:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoe kan je als IT zijnde dit goed monitoren?
Dat doet Microsoft software. Heb ik ook last van gehad. De software vond het vreemd dat ik veel documenten (gedownload van internet en persoonlijke aantekeningen) had verwijderd. Niks aan de hand maar wel een scheef oog.
Sinds die tijd weiger ik met Microsoft software te werken.
Je hebt een probleem dat DLP software doet wat het hoort te doen ?
Ik heb een probleem met bedrijven die het personeel niet vertrouwen, maar trouwens ook met AI software want veel conclusies zijn onterecht, waardoor het systeem wantrouwt wordt. Heb je nog niet in de gaten dat dit een groot ict probleem is van tegenwoordig (naast windows ransomware). Zie toeslagenaffaire en waarschijnlijk de aanleiding voor de ontslagen medewerker, waarmee ik zijn actie niet goed praat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.