Als het om datalekken gaat moet je Morrissons kennen

Als het om datalekken gaat denken we bijna automatisch aan incidenten waarbij gegevens van klanten op straat zijn beland. Veel minder horen we dat gegevens van leveranciers of van het eigen personeel in verkeerde handen zijn beland. Ook dat zijn datalekken die gemeld moeten worden en die veel geld kunnen kosten. De zaak Morrisons is daarom belangrijk genoemd te worden.

Afgelopen week heeft de Britse High Court uitspraak gedaan in de eerste zaak die door een groep datalek slachtoffers tegen een bedrijf is aangespannen. Een class action dus. Alleen dat is al bijzonder. Het is echter niet zomaar een groep slachtoffers, het zijn werknemers van de supermarktketen Morrisons.

Wraak

Morrisons kreeg in 2014 te maken met een type datalek dat wel vaker voorkomt. Een werknemer had als wraak actie een overzicht van alle gegevens van 100.000 werknemers online gezet en naar de pers gemaild. De NAW, overige contactgegevens, loonstroken en nog wat meer lagen op straat. De ex-werknemer werd snel in de kladden gegrepen en veroordeeld tot onder andere het betalen van schadevergoeding aan Morrisons. Daarmee was voor Morrisons de zaak achter rug.

Althans dat had de directie gedacht. Waar ze totaal geen rekening mee hadden gehouden was dat het personeel schade had geleden en die geen partij was geweest in de strafzaak. Gesteund door advocaten die de mogelijkheid van een class action op dit punt wilde testen stapten ruim 5.500 medewerkers naar de rechter. Zij claimden recht te hebben op een schadevergoeding van de werkgever, omdat die het datalek had kunnen en moeten vermijden.

Schadevergeoding

Morrisons dacht daar natuurlijk anders over. Het stelde dat de GBP 170.000 die het van de veroordeelde werknemer had gehad puur voor het bedrijf was (het datalek had de supermarkt naar eigen zeggen ruim GBP 2 miljoen gekost). De schade voor de werknemers zou ook te verwaarlozen klein zijn omdat de data binnen een paar uur offline was gehaald.

De High Court was echter niet onder de indruk van de argumenten. De rechter heeft geoordeeld dat de werkgever verantwoordelijk is voor de gedragingen van de werknemers. De ruim 5.500 werknemers die de claim advocaten vertegenwoordigden hebben dan ook recht op compensatie. De uitspraak biedt ook de overige 94.500 werknemers de mogelijkheid bij Morrisons compensatie te eisen.

Dubbele primeur

Tot zover bekend hebben we daarmee zowel de eerste class action zaak in de EU als de primeur voor een zaak tegen de eigen werkgever wegens het lekken van data. Dat Morrisons door procedeert zal niet verbazen. Het laat echter onverlet, dat we hier een krachtige reminder hebben die iedere werkgever met de neus op de feiten drukt.

Als het om datalekken gaat, kan een werkgever zijn handen niet in onschuld wassen.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.