Social engineering-aanvallen zijn een groeiend risico voor bedrijven, waarbij kwaadwillenden via menselijk misverstand toegang proberen te krijgen tot vertrouwelijke informatie of systemen. De vraag rijst of een werkgever een werknemer aansprakelijk kan stellen voor de gevolgen van een dergelijke aanval.

In het algemeen geldt dat werkgevers een zorgplicht hebben om hun personeel te beschermen tegen digitale bedreigingen en om passende maatregelen te nemen, zoals training en beveiligingsprotocollen. Als een werknemer ondanks deze voorzorgsmaatregelen toch slachtoffer wordt van een social engineering-aanval, ligt de aansprakelijkheid meestal bij de organisatie en niet bij de individuele medewerker.

Toch kan dit anders zijn als de werknemer bijvoorbeeld opzettelijk heeft gehandeld of zeer nalatig is geweest, zoals het bewust doorspelen van wachtwoorden of het negeren van duidelijke beveiligingsinstructies. In zulke gevallen kan er sprake zijn van persoonlijke aansprakelijkheid, zeker wanneer de werkgever kan aantonen dat de schade door het handelen van de werknemer is veroorzaakt.

De exacte juridische positie hangt sterk af van de omstandigheden van het incident, de afspraken in de arbeidsovereenkomst en het beleid van de organisatie. Het is daarom raadzaam voor zowel werkgevers als werknemers om duidelijke regels en preventieve maatregelen vast te leggen en regelmatig voorlichting te geven over de risico's van social engineering. Zo wordt de kans op misverstanden en aansprakelijkheidskwesties verkleind.