Alis Advocaten - Het belang van een phishingbeleid voor de werkgever

Het belang van een phishingbeleid voor de werkgever

Mijn kantoorgenote Lauren Pols informeerde vorige week in een artikel over het verschil in bescherming tussen ondernemingen en consumenten wanneer zij slachtoffer worden van phishing. Samengevat: consumenten genieten wel bescherming en ondernemingen niet. Zij zullen dus nooit de bank aansprakelijk kunnen stellen voor hun schade.

Als je als eigenaar van de onderneming dus zelf in de val trapt en schade ondervindt, zal je deze wellicht nooit vergoed krijgen, tenzij je over een cyberverzekering beschikt.

Het gebeurt evenwel ook dat de onderneming slachtoffer wordt terwijl de fout werd begaan door een werknemer. Wat dus indien een werknemer in een phishing bericht op een link heeft geklikt met schade voor de werkgever als gevolg?  De werkgever zou dan wel geneigd kunnen zijn om actie te ondernemen naar de werknemer. Kan dat wel? Veel hangt o.i. af van het beleid dat de werkgever hierover voert.

De regel is immers dat een werknemer enkel aansprakelijk is voor zijn bedrog, zijn zware schuld en voor lichte schuld als die bij hem eerder gewoonlijk dan toevallig voorkomt. Dit is een dwingende regel wat betekent dat je hiervan niet contractueel kan afwijken, tenzij bij een door KB algemeen verbindend verklaarde CAO. Het is dus de rechter die zal bepalen of de fout die de werknemer beging door op de phishing link te klikken onder de categorie “zware schuld” valt. In de rechtspraak werd deze zware schuld al gedefinieerd als “een onopzettelijke maar dusdanig grove en extreme fout dat ze niet verschoonbaar is”. Belangrijk om weten is dat de omvang van de schade hierbij geen enkele rol speelt.

Wanneer zal de rechter oordelen dat de foutieve klik een dusdanig grove en extreme fout is dat ze niet verschoonbaar is? Dat is een moeilijke inschatting en zal enerzijds afhangen van de phishing mail zelf. Als het vrij duidelijk was dat de mail een phishing mail betrof, speelt dit in het nadeel van de werknemer. Waar anderzijds ook mee rekening kan worden gehouden, zijn de inspanningen die de werkgever zelf deed om dergelijke situaties te vermijden, hierin begrepen de inspanningen om zijn werknemers te informeren over het belang om zeer voorzichtig te zijn bij verdachte mails. Als de werkgever hierover een doortastend beleid voert en op regelmatige basis het personeel informeert en opleidt en daarbij ook aangeeft hoe belangrijk het is voor de onderneming dat dit beleid zeer strikt wordt gevolgd, kan dit in het voordeel van de werkgever spelen. Zo kan de werkgever ook in het arbeidsreglement het belang dat hij hecht aan het volgen van het beleid tot uitdrukking brengen. De rechter is daarom niet verplicht dit te volgen, maar kan er wel het belang uit afleiden dat de werkgever er zelf aan hecht. 

Of de rechtbank zal oordelen dat de fout van de werknemer, ingeval er sprake is van dergelijk doortastend beleid van de werkgever, een grove en extreme fout is, is daarmee zeker niet vaststaand. Als evenwel de werkgever op geen enkele manier kan aantonen dat er een beleid is hierover, zijn de kansen dat de werknemer aansprakelijk wordt gesteld eerder klein. Hoe grof en extreem kan een fout van een werknemer immers zijn, als de werkgever zelf niet kan aantonen hoeveel belang hij hecht aan het vermijden van die fout?

Wanneer dan de werknemer aansprakelijk kan worden gesteld, kan de schade verhaald worden op de werknemer, eventueel door inhoudingen op het loon.

Een andere vraag is of dit ook aanleiding kan geven tot een ontslag om dringende redenen? Dergelijk ontslag kan alleen maar wanneer er sprake is van een ernstige tekortkoming die elke professionele samenwerking onmiddellijk en definitief onmogelijk maakt. Deze beoordeling is opnieuw aan de rechter en is verschillend van het begrip “zware schuld” in de aansprakelijkheidsregeling. Zo werd er door rechters wel al geoordeeld dat de werknemer aansprakelijk was terwijl de begane fout geen reden was voor ontslag om dringende reden en omgekeerd. Opnieuw geldt echter dat het moeilijk te verantwoorden is dat de samenwerking definitief en onmiddellijk onmogelijk is geworden als de werkgever niet kan aantonen inspanningen te hebben geleverd om de werknemer grondig te informeren.

Elke werkgever zou aldus een doortastend beleid moeten hebben tegen phishing en computerfraude in het algemeen. Dit gaat verder dan uitgeschreven te volgen richtlijnen voor personeel en dienen vooral ook ingebed te worden in de IT-infrastructuur. Wanneer de werkgever immers niet kan aantonen (voldoende) in de IT-beveiliging te hebben geïnvesteerd kan dit de rechtbank eveneens beïnvloeden in de beoordeling.

Maar het allerbelangrijkste van dergelijk beleid is preventie. Door het personeel op te leiden over deze problematiek, wordt de kans om het slachtoffer te worden van een fout van een werknemer steeds kleiner. En voorkomen is nog steeds beter dan genezen.

Heeft u hulp nodig in deze materie, neem dan gerust contact met ons op via contact@alisadvocaten.be.