Afpersende IT-medewerker moet schade werkgever betalen


Een IT-medewerker probeert een van de grootste klanten van zijn werkgever af te persen. Dit door te dreigen om gevoelige data openbaar te maken. De werkgever vergoedt de schade van haar klant op grond van art. 6:170 BW “aansprakelijkheid voor handelen van een ondergeschikte”. De werkgever kan voor de schade die zij aan haar klant heeft vergoed, regres nemen op de ex-werknemer.

Geschatte leestijd: 7 minuten

IT-medewerker probeert een klant van zijn werkgever af te persen

Een stichting ontvangt van een onbekende afzender het bericht dat die de afzender in het bezit is gekomen van alle cliëntdata van deze stichting en toegang had tot haar IT-systemen. De afzender maakte aanspraak op een bitcoin-betaling omdat anders de data verkocht zouden worden aan de hoogste bieder en dat lokale kranten daarover zouden worden geïnformeerd. De stichting doet vervolgens aangifte van afdreiging, diefstal van gegevens en computervredebreuk. 

Na strafrechtelijk onderzoek is een verdachte aangehouden die als IT-medewerker werkzaam is voor de dienstverlenende organisatie die over gevoelige data beschikt, waaronder die van de stichting. Deze stichting is een van de grootste klanten van deze organisatie. Deze IT-medewerker heeft onmiskenbaar misbruik gemaakt van de toegang die hij uit hoofde van zijn functie had tot de (cliënt)gegevens van de stichting. 

De stichting houdt de organisatie, naast de betrokken IT-medewerker, aansprakelijk omdat deze organisatie kennelijk tekort is geschoten in haar contractuele verplichtingen als verwerker van de (cliënt)gegevens. Daarbij kwalificeert de stichting het handelen van de IT-medewerker in dienst van de organisatie als een fout van een ondergeschikte in de zin van art. 6:170 BW.

De kantonrechter van de rechtbank Midden-Nederland wijst de vordering tot het betalen van schadevergoeding aan de organisatie (de werkgever) op de IT-medewerker toe. De organisatie kan voor schade die zij op grond van artikel 6:170 BW, aansprakelijkheid voor handelen van een ondergeschikte, aan haar klant heeft vergoed, regres nemen op haar inmiddels ex-werknemer.

Wat is er gebeurd?

Uit het politieonderzoek dat is uitgevoerd naar aanleiding van de aangifte van de stichting, is gebleken dat de IT-medewerker verantwoordelijk is voor de afpersing van de stichting. De IT-medewerker bood specialistische ondersteuning zoals het onderhouden van de koppelingen waarmee klanten hun gegevens kunnen benaderen op de server. De IT-medewerker had voor deze werkzaamheden toegang tot de technische informatie. De IT-medewerker had gedreigd met publicatie van vertrouwelijke (medische) gegevens wat voorkomen kon worden door een bepaald bedrag in crypto-coins te betalen. De organisatie ontslaat de IT-medewerker naar aanleiding hiervan op staande voet. De organisatie heeft dit ontslag gebaseerd op de informatie die de politie heeft verstrekt. 

De meervoudige strafkamer van de rechtbank Noord-Holland heeft bewezen verklaard dat de IT-medewerker opzettelijk en wederrechtelijk is binnengedrongen in een server van de organisatie, waarop de medische gegevens van patiënten van de stichting stonden. Hierbij onbevoegd gebruik makend van een toegangscertificaat met bijbehorend wachtwoord met een ander doel dan waarvoor het certificaat en wachtwoord was verschaft en waarvoor hem de toegang tot die server was toegestaan en dat hij vervolgens een hoeveelheid opgeslagen gegevens voor zichzelf heeft overgenomen. Daarna heeft de IT-medewerker onder vals naam meerdere berichten gestuurd via het contactformulier op de website van de stichting met de inhoud dat hij beschikt over de gehele database met medische gegevens van de stichting. Daarbij gaf hij aan dat de stichting een of meerdere bitcoins moet betalen om te voorkomen dat die gegevens openbaar worden gemaakt en/of verkocht aan de hoogste bieder.

Vaststellingsovereenkomst

De organisatie en de stichting hebben vervolgens overleg gevoerd dat heeft geleid tot het sluiten van een vaststellingsovereenkomst. Daarin wordt afgesproken dat de organisatie een bedrag van € 75.000. De stichting heeft daarmee afstand gedaan van de door haar gestelde schade van ruim € 150.000. De stichting onderbouwt dat er sprake is van aanzienlijke gemaakte kosten voor ingeschakelde juridische bijstand en forensisch onderzoek, getroffen extra beveiligingsmaatregelen, communicatie met cliënten en andere stakeholders en interne kosten in verband met aan de zaak bestede tijd. Blijkens de considerans van de vaststellingsovereenkomst is daarmee een einde gemaakt aan een verschil van inzicht tussen de organisatie en de stichting over de vraag of de organisatie aansprakelijk is op grond van art. 6:170 BW. De organisatie heeft na verkregen verlof van de voorzieningenrechter conservatoir (derden)beslag laten leggen ten laste van de IT-medewerker.

Terugbetalen van de schade

De organisatie vordert bij de kantonrechter van de rechtbank Midden-Nederland de veroordeling van de IT-medewerker om onder andere € 64.795,28 aan de organisatie te betalen. 

Ter onderbouwing van deze vordering stelt de organisatie dat de IT-medewerker toerekenbaar is tekortgeschoten in de nakoming van de arbeidsovereenkomst en dat hij in strijd heeft gehandeld met zijn verplichtingen als “goed werknemer”. Hierdoor is hij volgens de organisatie op grond van artikel 6:74 BW gehouden de veroorzaakte schade te vergoeden. De organisatie stelt subsidiair dat de IT-medewerker aansprakelijk is op grond van onrechtmatig handelen omdat hij heeft gehandeld in strijd met een wettelijke plicht door andermans gegevens te stelen en te dreigen met een verdere inbreuk op de rechten van betrokkenen door bij de stichting te dreigen met publicatie. 

Strafvonnis heeft vrije bewijskracht

In deze zaak wordt veel opgehangen aan het strafvonnis. Op grond van art. 161 Rv levert een in kracht van gewijsde gegaan, op tegenspraak gewezen, vonnis dwingend bewijs op van door de Nederlandse strafrechter bewezenverklaarde feiten die iemand heeft begaan. 

De IT-medewerker heeft als gedaagde in deze zaak laten weten dat tegen het strafvonnis appel is ingesteld. Dit betekent dat er nog geen sprake is van een in kracht van gewijsde gegaan strafvonnis. Het strafvonnis heeft daarmee voor de beoordeling in deze civiele zaak geen dwingende, maar vrije bewijskracht

De in dat vonnis na strafrechtelijk onderzoek door de meervoudige kamer vastgestelde feiten, waarvan evident is dat deze door eiseres aan haar vordering ten grondslag zijn gelegd, zal de kantonrechter voor juist houden indien deze niet voldoende onderbouwd door gedaagde in deze procedure worden bestreden. 

Overweging 4.7

Diefstal van data en afpersing komt vast te staan

Uitgaande van deze vrije bewijskracht is het strafvonnis een serieus te nemen bewijsmiddel zo stelt de kantonrechter in deze zaak. 

De kantonrechter concludeert dat de IT-medewerker in deze procedure onvoldoende heeft gesteld tegenover de vaststellingen in het strafvonnis. De kantonrechter ziet dan ook geen grond om tot een ander oordeel te komen dan de strafrechter. Onder verwijzing naar het strafvonnis heeft de organisatie voldoende onderbouwd dat de IT-medewerker tijdens het dienstverband uit het systeem van de organisatie informatie heeft gestolen en heeft gepoogd de stichting daarmee af te persen.

Kan de organisatie regres nemen op de IT-medewerker?

De vraag is nu of de organisatie aansprakelijk is via artikel 6:170 BW voor de schade van de stichting en of zij daarvoor regres kan nemen op de IT-medewerker?

Op grond van art. 6:170 BW is degene in wiens dienst de ondergeschikte zijn taak vervult aansprakelijk voor schade aan een derde toegebracht door een fout van de ondergeschikte, indien de kans op de fout door de opdracht tot het verrichten van deze taak is vergroot en degene in wiens dienst hij stond, uit hoofde van hun desbetreffende rechtsbetrekking zeggenschap had over de gedragingen waarin de fout was gelegen.

Hoofdregel is dat de werkgever aansprakelijk is indien de “kans op de fout door de opdracht is vergroot”. Daaraan is voldaan zo stelt de kantonrechter. De IT-medewerker had vanuit zijn functie toegang tot certificaten en wachtwoorden. De organisatie gaf de IT-medewerker dus toegang tot vertrouwelijke gegevens, waardoor het voor de IT-medewerker mogelijk was deze zonder toestemming te downloaden op eigen gegevensdragers. 

Het is voor werkgeversaansprakelijkheid vereist dat de werkgever “zeggenschap had over de gedragingen waarin de fout is gelegen”. Ook daaraan is volgens de kantonrechter voldaan. De IT-medewerker beschikte over middelen van de organisatie, een certificaat en een bijbehorend wachtwoord, om toegang te krijgen tot gegevens van de stichting.

De gedaagde stelt dat regres niet mogelijk omdat niet is voldaan aan alle vereisten voor aansprakelijkheid op grond van art. 6:170 BW. De IT-medewerker stelt dat hij geen fout gemaakt en is er geen sprake van opzet of bewuste roekeloosheid. De kantonrechter gaat hierin niet mee. Gelet op de aard van zijn handelen, downloaden en afpersen, is het de kantonrechter duidelijk dat de IT-medewerker de fout opzettelijk heeft gemaakt. De hiermee toegebrachte schade, is daarom een gevolg van opzet.

Dit betekent dat de IT-medewerker aansprakelijk kan worden gehouden voor de schade die hij heeft toegebracht aan de organisatie of aan de stichting. De IT-medewerker wordt veroordeeld, onder meer om de gevorderde schadevergoeding te betalen.

Vragen over dit onderwerp?

Heb je nog vragen over dit onderwerp of over andere onderwerpen op het gebied van ICT- of Privacyrecht, neem dan gerust contact op of lees andere artikelen over dit onderwerp.