<div dir="ltr"><a href="http://www.jdsupra.com/legalnews/corporate-cybersecurity-can-only-be-as-37145/" target="_blank">http://www.jdsupra.com/<wbr>legalnews/corporate-<wbr>cybersecurity-can-only-be-as-<wbr>37145/</a><br><div><br></div><div><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">While corporate executives are increasingly becoming aware of <em>their</em> obligation to be informed of cybersecurity threats and the steps being taken by their company to prevent data breaches, it is equally important for executives to ensure that the employees are educated with respect to cyber threats. The data breach prevention protocol of a company may only be as strong as its weakest link.</p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Negligence or recklessness by a company’s employee which contributes to a successful data breach may expose the company to liability. For example, employees may create risk by negligently clicking on what is deemed to be an obvious phishing link, or recklessly updating social media. </p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">The scope of negligence in the cyber context remains largely unexplored by case law. However, given the increasing awareness of the frequency and nature of cyber threats, the standard of care owed by a company to those individuals whose personal data is stored may expand. With this expanded duty, companies could be exposed to increased vicarious liability for their employees’ mistakes. </p><h3 style="margin:0px 0px 15px;font-family:"open sans",arial,verdana,geneva,sans-serif;letter-spacing:0.2px;line-height:1.618em;font-size:15px;color:rgb(0,0,0)">Vicarious Liability: The Test </h3><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">A company may be vicariously liable for an employee’s negligent acts if the acts are committed in the course of employment. This test gives rise to two questions: (1) who is an employee and (2) what activities are committed in the course of employment?</p><h4 style="margin:0px 0px 15px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em;color:rgb(0,0,0)">Who is an employee?</h4><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">The question of who is an employee for purposes of determining vicarious liability is not as simple as determining whether an individual is designated an employee by the company. </p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Generally, a party is not vicariously liable for the tortious actions of an independent contractor.<span style="line-height:0;vertical-align:baseline">1</span> In determining whether a party acts as an employee or as an independent contractor, courts consider a number of factors including the amount of control exercised over the worker, whether the worker uses his or her own equipment, whether the worker hires independent help, whether the worker takes on financial risk, the degree of responsibility for investment and management held by the worker and the worker’s opportunity for profit.<span style="line-height:0;vertical-align:baseline">2</span></p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Do not assume that because someone is not designated as an employee, that liability for cyber breaches do not flow from their negligent, reckless conduct or intentional conduct.</p><h4 style="margin:0px 0px 15px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em;color:rgb(0,0,0)">What activities are committed in the course of employment?</h4><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Activities committed in the “course of employment” include activities that the employer authorizes, as well as activities carried out by the employee using the authority granted to them by the employer.<span style="line-height:0;vertical-align:baseline">3</span> If the employer did not authorize the wrongful activity, the court will consider whether the employer “introduced the risk of the wrong”.<span style="line-height:0;vertical-align:baseline">4</span> Put another way, the court may consider whether the employer cloaked the individual with the authority through which they committed the wrong.</p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Do not assume that because an employee is not authorized to engage in particular tasks that the company will not be exposed to the employee’s negligent or reckless conduct in connection with cyber threats.</p><h3 style="margin:0px 0px 15px;font-family:"open sans",arial,verdana,geneva,sans-serif;letter-spacing:0.2px;line-height:1.618em;font-size:15px;color:rgb(0,0,0)">Conclusion: Application in Cybersecurity</h3><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">In the world of cybersecurity, the actions of an organization's employees are critical. Companies must train employees around cybersecurity risks and ensure sufficient oversight of employees with access to personal data. </p><p style="margin:0px 0px 24px;font-family:"open sans",arial,verdana,geneva,sans-serif;font-size:15px;line-height:1.618em">Data breaches are inevitable; but liability for those breaches may be minimized. Proper training and supervision of employees is an essential element of data breach prevention.</p></div></div>