Illegale software op computer, wie is aansprakelijk?

Het lijkt zo voor de hand te liggen: de werknemer die een gekraakte, illegale, versie van software op zijn privé-laptop zet terwijl de werkgever heeft verboden om software te downloaden, is aansprakelijk voor de hierdoor ontstane schade. Maar is dat ook zo?

bring your own device, wie is aansprakelijk voor illegale software?Juridisch kader

Voor aansprakelijkheid van de werkgever moet er sprake zijn van een functioneel verband tussen de opgedragen werkzaamheden aan de werknemer en de foutieve gedraging. Hoofdregel is dat de werknemer die bij de uitoefening van deze werkzaamheden schade toebrengt aan de werkgever of een derde niet aansprakelijk is. Dit is alleen anders als de schade het gevolg is van opzet of bewuste roekeloosheid. De rechtbank Overijssel heeft zich hier recent over uitgelaten.

Wat is er gebeurd?

Werkgever ontwikkelt en fabriceert klimoplossingen. Denk aan steigers, hangbruggen, ladders en trappen. Siemens ontwikkelt software die kan worden gebruikt voor 3D modellering en sterkteberekening. Deze software bestaat uit verschillende modules waar onderscheidenlijke licenties voor worden verkocht. Werkgever heeft in 2006 twee licenties van Siemens gekocht met ‘update en support’. Sinds 2009 neemt werkgever geen updates en support meer af.

Per 1 januari 2012 is bij werkgever een rekenkundig engineer in dienst getreden. Deze werknemer gebruikt zijn privé-laptop. Werknemer heeft op deze laptop een gekraakte, nieuwere, versie van de software van Siemens gedownload, zonder geldig licentiebestand.
De software van Siemens bevat echter een beveiligingsmechanisme. Als een gebruiker gebruik maakt van de software die niet is voorzien van een origineel licentiebestand, wordt een melding naar de servers van Siemens gestuurd. Vanaf de privé-laptop heeft Siemens 48 meldingen ontvangen. Siemens heeft beslag laten leggen op de laptop. Op de laptop is een volledig gekraakte versie van de software aangetroffen. Geen van de modules was voorzien van een (geldig) licentiebestand. Van de software kon onbeperkt gebruik worden gemaakt. Siemens vordert onder andere schadevergoeding voor gemiste vergoedingen.

Wat vindt de werkgever?

Werkgever bestrijdt aansprakelijk te kunnen worden gehouden voor inbreuken van werknemer. Werknemer zou geheel op eigen houtje hebben gehandeld en de software op zijn privé-laptop hebben geïnstalleerd. Bovendien heeft werkgever de medewerkers schriftelijk verboden om software en applicaties te downloaden.

Wat vindt de rechter?

Voor de aansprakelijkheid van een werkgever moet er sprake zijn van een functioneel verband tussen de opgedragen werkzaamheden en de foutieve gedraging. Dit verband wordt snel aangenomen. Het feit dat bij werkgever van een oudere versie van de software gebruik werd gemaakt voor berekeningen zoals werknemer in het kader van de aan hem opgedragen taken verrichtte, heeft de kans vergroot dat werknemer een illegale versie heeft gedownload. De ‘gekraakte’ versie van de software heeft werknemer gebruikt ten behoeve van zijn werkzaamheden. 47 van de 48 inbreuken zijn gepleegd tijdens werktijd en – deels – met gebruikmaking van het netwerk van werkgever. Het downloaden, installeren en gebruiken van de software viel binnen de zeggenschap van werkgever. Het feit dat werkgever de medewerkers schriftelijk heeft verboden om software te downloaden, is niet relevant. Kortom: werkgever is aansprakelijk voor de schade die Siemens heeft geleden.

Conclusie

Ga ervan uit dat een werkgever aansprakelijk is voor door een werknemer veroorzaakte schade. Opzet en bewuste roekeloosheid doen zich zelden voor. Het gebruik van privé-apparaten (Bring your own device) wordt weliswaar steeds populairder, maar is niet zonder risico’s. Denk ook aan een verhoogd risico bij de verwerking van persoonsgegevens en op beveiligingsincidenten. Het is daarom noodzakelijk om hoge eisen te stellen aan de beveiliging van privé-apparaten en duidelijke instructies te geven over de beveiliging op basis van vastgesteld en bij de medewerkers bekend beleid. Denk hierbij ook steeds aan de (privacy) rechten van werknemers en de rol van de ondernemingsraad.

Marion Hagenaars, advocaat arbeidsrecht bij Cordemeyer & Slager / Advocaten, Haarlem.