Werknemer terecht ontslagen voor uploaden vertrouwelijke data naar Dropbox
Een Amsterdams bedrijf dat logistieke diensten en oplossingen levert mocht een werknemer op staande voet ontslaan voor het uploaden van vertrouwelijke data naar Dropbox, zo heeft de kantonrechter van de rechtbank Amsterdam geoordeeld. Afgelopen juni liet het bedrijf aan de medewerker weten dat zijn arbeidsovereenkomst niet zou worden verlengd.
Begin april hadden alle werknemers al een e-mail ontvangen waarin ze werden opgeroepen om bij vertrek hun ervaring mee te nemen en niet hun bestanden. Nadat de medewerker te horen had gekregen dat zijn arbeidsovereenkomst niet werd verlengd heeft hij vervolgens 791 documenten van de bedrijfsserver naar zijn persoonlijke Dropbox-account geüpload.
De werknemer werd in juli uitgenodigd voor een gesprek, maar hij had toen vakantie en is niet op gesprek gekomen. Drie dagen later is de medewerker op staande voet ontslagen, omdat het monitoringssysteem had ontdekt dat hij gedurende meerdere dagen een groot aantal bedrijfsdocumenten van de bedrijfsserver naar zijn laptop had gedownload, om ze vervolgens naar zijn persoonlijke Dropbox-account te uploaden.
De medewerker was het niet met het ontslag eens en tekende beroep aan, waarbij hij een vergoeding van 114.000 euro eiste. Volgens de man is het ontslag niet meteen gemeld, omdat Prologis al een maand op de hoogte was. Verder stelt de werknemer dat er geen sprake is van een dringende reden. Van de 791 documenten die hij uploadde naar zijn persoonlijke Dropbox-account zijn er volgens hem slechts zestig eigendom van Prologis. De overige 731 documenten zijn eigendom van hem en bevatten onder meer eigen aantekeningen.
Verder stelt de werknemer dat de documenten van Prologis geen bedrijfsgevoelige en vertrouwelijke informatie bevatten en heeft hij de documenten niet gebruikt of met derden gedeeld. Van schending van het geheimhoudingsbeding is volgens hem dan ook geen sprake en van het beleid van Prologis was hij naar eigen zeggen niet op de hoogte. De man wil dan ook dat zijn ex-werkgever wordt veroordeeld tot het betalen van een vergoeding wegens onregelmatige opzegging en een transitievergoeding.
Het bedrijf stelt dat het ontslag wel terecht is. Zo werd het op 10 juli door de ict-afdeling ingelicht, waarna er nader onderzoek plaatsvond en het ontslag op 17 juli volgde. Daarnaast is er volgens het bedrijf wel sprake van een dringende reden. Van de 791 documenten zijn er namelijk 220 eigendom van het bedrijf en bevatten bedrijfsgevoelige en vertrouwelijke informatie. Het bedrijf eist onder anderre een schadevergoeding wegens schending van de geheimhouding en het ontslag op staande voet.
Oordeel
De rechter stelt dat de medewerker onvoldoende duidelijk heeft gemaakt dat maar zestig documenten van het bedrijf zijn, terwijl het bedrijf wel een overzicht heeft gegeven dat het om 220 bedrijfsdocumenten gaat met vertrouwelijke informatie. Volgens de kantonrechter levert het meenemen van dergelijke stukken in de aanloop naar een einde van een arbeidsovereenkomst een dringende reden op. "Het spreekt voor zich dat dit niet geoorloofd is en dat dit schade kan toebrengen aan de werkgever."Daarbij komt dat het bedrijf ook nog eens een duidelijk beleid hanteert waarmee de werknemer bekend was of in ieder geval bekend had moeten zijn. De kantonrechter noemt het gedrag van de medewerker ook ernstig verwijtbaar. "Het is evident dat een werknemer die zich op die manier bedrijfsgevoelige kennis van zijn werkgever toe-eigent ernstig verwijtbaar handelt. Er is dus geen transitievergoeding verschuldigd."
De rechter voegt toe dat er niet is gebleken dat de man de informatie die hij naar zijn persoonlijke Dropbox-account heeft geüpload met derden heeft gedeeld. Zolang dat niet is gebeurd, is er volgens de kantonrechter geen sprake van schending van het geheimhoudingsbeding. Het verzoek om de werknemer tot een boete hiervoor te veroordelen wordt dan ook afgewezen. Wel moet de man de 220 bedrijfsdocumenten vernietigen en zijn ex-werkgever een 'gefixeerde schadevergoeding' van bijna 13.000 euro betalen, omdat hij schuld heeft aan het ontslag op staande voet.
DLP
Sinds die tijd weiger ik met Microsoft software te werken.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Microsoft heeft ook DLP software, dus het kan kloppen dat die Microsoft DLP software dat bij jou heeft gedetecteerd.
Dat heeft echter geen zier te maken met Microsoft software in het algemeen.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Microsoft heeft ook DLP software, dus het kan kloppen dat die Microsoft DLP software dat bij jou heeft gedetecteerd.
Dat heeft echter geen zier te maken met Microsoft software in het algemeen.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
In dit geval heeft de veroordeelde donders geluk dat het bedrijf niet heeft kunnen aantonen dat er niet geautoriseerde replicatie heeft plaatsgevonden buiten het persoonlijke Dropbox account want als dat wel zo was was denk ik niet dat Prologis dit liet afwikkelen door een lokaal legal team. Dit bedrijf heeft het geld tijd en middelen om iemand mentaal helemaal kapot te procederen naast dat de cyber security firm (Snowflake) die Prologis mee vergevorderd gepartnerd is ook de beveiliging van Dropbox zelf tendered. Hoe stupide kun je zijn als ex-medewerker om dat risico te willen lopen.
Hiervoor kun je ook andere oplossingen dan enkel DLP gebruiken.
Microsoft heeft de volgende subscriptions die je af kunt nemen om te helpen zaken als het gebruik van Dropbox onmogelijk te maken.
Microsoft Defender for Endpoint
Hiermee kun je centraal alle Windows Defender installaties van jouw werkstations monitoren en configureren.
Microsoft Defender for Cloud Apps
Hiermee kun je apps monitoren, toestaan en verbieden.
Wanneer je de informatie die Microsoft Defender for Endpoint verzamelt, koppelt aan Microsoft Defender for Cloud Apps, dan kun je in laatstgenoemde exact zien welke applicaties op welke computers staan geïnstalleerd, hoeveel data deze applicaties up- of downloaden, policies maken die jou waarschuwen wanneer een applicatie veel data aan het uploaden is en nog veel meer.
Maar... je kunt ook apps op "sanctioned" of "unsanctioned" zetten. De eerste optie geeft aan dat die app toegestaan is; de tweede optie dat die juist niet toegestaan is. Wanneer je Defender for Cloud Apps zo configureert dat je dit op "enforce" zet, dan mogen de medewerkers unsanctioned apps helemaal niet starten! Zo kun je dus dropbox verbieden.
Sinds die tijd weiger ik met Microsoft software te werken.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
Hier lijkt de rechter te blunderen. Het is geen wetgeving die je behoord te weten. De gefixeerde schadevergoeding klinkt ook dubieus. Ik zou in hoger beroep gaan.
In dit geval heeft de veroordeelde donders geluk dat het bedrijf niet heeft kunnen aantonen dat er niet geautoriseerde replicatie heeft plaatsgevonden buiten het persoonlijke Dropbox account want als dat wel zo was was denk ik niet dat Prologis dit liet afwikkelen door een lokaal legal team. Dit bedrijf heeft het geld tijd en middelen om iemand mentaal helemaal kapot te procederen naast dat de cyber security firm (Snowflake) die Prologis mee vergevorderd gepartnerd is ook de beveiliging van Dropbox zelf tendered. Hoe stupide kun je zijn als ex-medewerker om dat risico te willen lopen.
Hiervoor kun je ook andere oplossingen dan enkel DLP gebruiken.
Microsoft heeft de volgende subscriptions die je af kunt nemen om te helpen zaken als het gebruik van Dropbox onmogelijk te maken.
Microsoft Defender for Endpoint
Hiermee kun je centraal alle Windows Defender installaties van jouw werkstations monitoren en configureren.
Microsoft Defender for Cloud Apps
Hiermee kun je apps monitoren, toestaan en verbieden.
Wanneer je de informatie die Microsoft Defender for Endpoint verzamelt, koppelt aan Microsoft Defender for Cloud Apps, dan kun je in laatstgenoemde exact zien welke applicaties op welke computers staan geïnstalleerd, hoeveel data deze applicaties up- of downloaden, policies maken die jou waarschuwen wanneer een applicatie veel data aan het uploaden is en nog veel meer.
Maar... je kunt ook apps op "sanctioned" of "unsanctioned" zetten. De eerste optie geeft aan dat die app toegestaan is; de tweede optie dat die juist niet toegestaan is. Wanneer je Defender for Cloud Apps zo configureert dat je dit op "enforce" zet, dan mogen de medewerkers unsanctioned apps helemaal niet starten! Zo kun je dus dropbox verbieden.
Sinds die tijd weiger ik met Microsoft software te werken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
