Het wetsvoorstel bescherming bedrijfsgeheimen - waar collega Bram de Vos eerder dit jaar al over schreef - vergemakkelijkt het beschermen van niet-openbaar gemaakte knowhow en bedrijfsinformatie. Ook privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) heeft op een aantal punten invloed op de bescherming van bedrijfsgeheimen of bedrijfsgevoelige informatie, onder andere doordat deze persoonsgegevens kunnen bevatten. Hoe moet hiermee om gegaan worden?
Bedrijfsgeheimen kunnen persoonsgegevens bevatten; informatie die direct of indirect te herleiden is tot een persoon. Uit de EU-richtlijn 2016/943, waarop het wetsvoorstel bescherming bedrijfsgeheimen is gebaseerd, blijkt dat deze geen afbreuk mag doen aan de privacywetgeving. Volgens overweging 34 en 35 van de betreffende richtlijn dient ook de privacy te worden gerespecteerd van personen wier persoonsgegevens deel uitmaken van het bedrijfsgeheim. Tijdens gerechtelijke procedures dienen bedrijfsgeheimen eveneens vertrouwelijk te worden behandeld, ook de persoonsgegevens die hier eventueel deel van uitmaken.
Voor zowel persoonsgegevens als andere geheime informatie zal een organisatie willen dat medewerkers aan geheimhouding gebonden zijn. Neem dus een geheimhoudingsbeding op in nieuwe arbeidsovereenkomsten. Let op: het tijdens het dienstverband eenzijdig opleggen van geheimhoudingsbedingen kan slechts in zeer beperkte gevallen als werkinstructie, of als eenzijdige wijziging van de arbeidsovereenkomst.
Overigens zijn werknemers ook wettelijk gezien al aan een vorm van geheimhouding gebonden: via de plicht tot goed werknemerschap, en een strafrechtelijke bepaling. Aanvullende afspraken zijn echter zeer aan te raden. In de AVG is ook opgenomen dat persoonsgegevens geheim gehouden dienen te worden, en dat hierover in een verwerkersovereenkomst afspraken moeten worden gemaakt. Ook mogen binnen de organisatie alleen die personen toegang hebben tot de persoonsgegevens die dit voor hun taken nodig hebben.
Een bedrijfsgeheim is geen op zichzelf staande reden om een verzoek van een betrokkene (degene over wie de persoonsgegevens gaan) tot bijvoorbeeld inzage in zijn persoonsgegevens te weigeren; er dient dan een belangenafweging te worden gemaakt. Rechten van betrokkenen mogen geen afbreuk doen aan rechten en vrijheden van anderen, maar de drempel voor afwijzing van een verzoek om deze reden is naar verwachting hoog. De betrokkene mag niet eisen dat auteursrechtelijk beschermde software wordt meegeleverd om de gegevens te kunnen inzien, maar er kan vaak wel een kopie worden verschaft in een algemeen bruikbaar format zoals Excel, als tussenoplossing. Hergebruik van zo’n kopie mag ook niet worden gehinderd door geheimhouding te verlangen, of bijvoorbeeld een databankrecht te claimen.
Maakt u gebruik van geautomatiseerde besluitvorming binnen uw organisatie? Geautomatiseerde besluitvorming is het automatisch nemen van een beslissing op basis van persoonsgegevens. Een besluit is hier: iets wat rechtsgevolgen heeft of iemand in aanmerkelijke mate treft, bijvoorbeeld aan de hand van klantprofielen. Het is dan verplicht om de betrokkene daarover te informeren. Hij moet te weten komen welke logica eraan ten grondslag ligt, wat het belang ervan is en wat de gevolgen ervan zijn.
Bijvoorbeeld dat op basis van eerder aankoop- en betaalgedrag bepaald wordt of iemand voor achterafbetaling in aanmerking komt. De uitleg van de precieze logica/het gebruikte algoritme kan raken aan bedrijfsgeheimen (of auteursrechten). Men mag echter niet op basis hiervan geheel weigeren om informatie te verstrekken (zie overweging 63 bij de AVG). Er dient een balans gevonden te worden tussen welke informatie wel en niet wordt verstrekt. Een samenvatting of deel van de informatie kan ook voldoende zijn, als de betrokkene maar in hoofdlijnen erachter kan komen hoe een besluit wordt genomen en wat voor hem de gevolgen zijn.
Het wetsvoorstel bescherming bedrijfsgeheimen staat naast de meldplicht voor datalekken in artikel 33 en 34 AVG; de regelingen hebben geen invloed op elkaar. Er kan zich een situatie voordoen waarbij een inbreuk op een bedrijfsgeheim tevens een datalek is. Persoonsgegevens, zoals namen van personen die klant zijn of met wie wordt samengewerkt, kunnen immers deel uitmaken van een bedrijfsgeheim. Deze informatie kan uitlekken, en onbevoegden kunnen daar dan gebruik van maken.
Dan kan worden opgetreden tegen de inbreuk op het bedrijfsgeheim, maar dient tevens bij de Autoriteit Persoonsgegevens melding te worden gemaakt van het datalek (als dit een risico inhoudt voor de betrokkenen). Dat zal al gauw het geval zijn wanneer er bijvoorbeeld informatie uitlekt over met wie zij hebben samengewerkt aan een nieuw, nog onbekend product; of wie er allemaal klant zijn. Als er een hoog risico is voor betrokkenen, zal het ook aan hen moeten worden gemeld. Dit tenzij de gegevens bijvoorbeeld versleuteld/encrypted zijn en de sleutel niet is gelekt. Documenteer het lek dan wel intern, want het kan zijn dat later de sleutel uitlekt of de betreffende encryptiemethode wordt gekraakt, waardoor alsnog een melding aan de betrokkenen nodig is.
Eventuele schadevergoeding voor het lekken van een bedrijfsgeheim kan worden gevorderd door het bedrijf waarvan de informatie was. Schadevergoeding voor negatieve gevolgen van het lekken van persoonsgegevens kan worden gevorderd door de betrokkene; althans voor zover dit het gevolg is van een fout van de verwerkingsverantwoordelijke of verwerker. Als echter een bedrijf schade lijdt, kan het deze vaak ook verhalen, voor zover de schade aan een andere partij toe te rekenen is. Schade doet zich bijvoorbeeld voor als een boete is opgelegd door de Autoriteit Persoonsgegevens (dit gebeurt niet wegens een datalek op zich, maar wel wanneer de beveiliging niet goed was of een lek niet wordt gemeld), of wanneer het bedrijf met claims van betrokkenen te maken krijgt.
Let er bij verwerkersovereenkomsten op dat deze alleen zien op persoonsgegevens, en niet op andere (weliswaar geheime/bedrijfsgevoelige) informatie. Sommige partijen proberen in deze afspraken een definitie op te nemen van ‘data’ die zo breed is dat daar ook bedrijfsinformatie onder valt die niet tot personen te herleiden is. Bijvoorbeeld de broncode van software, of een beschrijving van een bedrijfsproces. Begrijpelijk uiteraard dat zij hier afspraken over willen maken; doe dit echter in een losse geheimhoudingsovereenkomst (Non-Disclosure Agreement, NDA) of in een hoofdovereenkomst, en niet in de verwerkersovereenkomst. De verplichtingen uit de AVG dienen namelijk niet te gelden voor geheime informatie die niet ziet op personen. Let er ook op dat eventuele beperkingen van aansprakelijkheid in de verwerkersovereenkomst, alleen zien op schade door onjuist gebruik van persoonsgegevens, niet van bedrijfsgeheimen die geen persoonsgegevens bevatten.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.