Bedrijfsgeheim beschermen: welke maatregelen moet u nemen?

Op 23 oktober 2018 is de Wet bescherming bedrijfsgeheimen in werking getreden. Bedrijven hebben daarmee een sterk instrument om op te treden tegen gebruik van geheime know how en bedrijfsinformatie. De bescherming van een bedrijfsgeheim staat in bepaalde opzichten gelijk aan de bescherming van intellectuele eigendomsrechten en gaat soms zelfs verder.

Dat klinkt als goed nieuws voor bedrijven die informatie willen beschermen maar geen beroep kunnen doen op bijvoorbeeld een octrooi.

Maar het is niet in alle gevallen vanzelfsprekend dat informatie beschermd is als bedrijfsgeheim. Als de eigenaar de informatie niet voldoende beveiligt, is geen sprake van een beschermd bedrijfsgeheim. Dat betekent dat bedrijven het zelf in de hand hebben of zij een beroep kunnen doen op de nieuwe wet. Advocaat Douwe Linders legt uit.


Wanneer is sprake van een beschermd bedrijfsgeheim?

Onder de Wet bescherming bedrijfsgeheimen kan elke soort informatie een bedrijfsgeheim zijn. Het kan gaan om technische werkwijzen, uitvindingen, productieprocessen, recepten of algoritmes. Ook commerciële informatie kan een bedrijfsgeheim zijn zoals businessplannen, klantenlijsten, klantgegevens, gegevens over leveranciers, marketingplannen en korting- en bonusregelingen.

In de praktijk zal de bescherming als bedrijfsgeheim vooral voor de genoemde commerciële informatie worden ingezet of als alternatief voor een octrooi. Ook valt te denken aan concepten, ontwerpen of eerste schetsen van producten of diensten die (nog) niet in aanmerking komen voor auteursrechtelijke bescherming.

In alle gevallen moet informatie echter aan de volgende wettelijke voorwaarden voldoen om te worden beschermd als bedrijfsgeheim:

  • De informatie moet geheim zijn;
  • De informatie moet handelswaarde bezitten, juist omdat deze geheim is; en
  • De rechthebbende moet redelijke maatregelen hebben genomen om de informatie geheim te houden.

Geheime informatie

Er is sprake van een ‘geheim’ wanneer de informatie niet algemeen bekend is of gemakkelijk toegankelijk voor personen die zich normaal gesproken met dit soort informatie bezighouden. Er wordt dus niet getoetst aan het algemeen publiek, maar aan deskundigen. Is de informatie voor de betreffende groep deskundigen gemakkelijk toegankelijk, dan is geen sprake van een geheim.

Ervaring en vaardigheden die werknemers opdoen tijdens de normale uitoefening van hun functie, vallen buiten de definitie van bedrijfsgeheim.

Informatie met handelswaarde

Er is al snel sprake van informatie die ‘handelswaarde’ heeft. Dat is het geval wanneer het onrechtmatig gebruiken of openbaar maken van de informatie schadelijk kan zijn voor de rechthebbende. Die schadelijkheid kan onder andere bestaan uit afbreuk aan zakelijke of financiële belangen, strategische posities of het concurrentievermogen van de rechthebbende.

bedrijfsgeheim

Redelijke maatregelen om informatie geheim te houden

Het vereiste dat de houder ‘redelijke maatregelen’ moet nemen zal voor de praktijk het belangrijkste zijn.

Het vereiste is onderdeel van de definitie van een bedrijfsgeheim. De houder moet dus redelijke maatregelen nemen om informatie überhaupt als bedrijfsgeheim in aanmerking te laten komen.

Indien een derde de informatie verkrijgt van een werknemer die daarmee een geheimhoudingsbeding in zijn arbeidsovereenkomst schendt, staat daarmee op zichzelf vast dat de derde de informatie onbevoegd heeft verkregen. Als hij echter kan bewijzen dat de rechthebbende voor het overige geen redelijke maatregelen heeft genomen, is helemaal geen sprake van een bedrijfsgeheim en dus niet van een inbreuk. Zo kan de verkrijger aanvoeren dat de informatie ook via een slecht beveiligde server bereikbaar was of dat bedrijfsgeheimen regelmatig via onbeveiligde e-mail werden verzonden.

Om uw bedrijfsgeheim bescherming te bieden onder de nieuwe wet is het dus nodig dat u ‘redelijke maatregelen’ neemt om de informatie geheim te houden.

Maar wat zijn redelijke maatregelen?

De wetgever heeft bewust gekozen voor het open begrip ‘redelijke maatregelen’ en niet voor een opsomming van maatregelen die genomen moeten worden. Wel zijn in de toelichting bij de wet een aantal voor de hand liggende voorbeelden genoemd:

  • Het opnemen van geheimhoudingsclausules in handelscontracten en arbeidsovereenkomsten;
  • Het hanteren van een need-to-know-beleid: alleen de noodzakelijke werknemers hebben toegang tot het geheim;
  • Het bewaken van het bedrijfsterrein;
  • Het expliciet benoemen en registreren van bedrijfsgeheimen, zoals door middel van een i-depot; en
  • Encryptie van digitale informatie.

bedrijfsgeheim

Wat moet u doen?

Met deze opsomming bent u er echter niet. Om waardevolle bedrijfsinformatie optimaal te beschermen als bedrijfsgeheim moet werk worden verzet.

Stel de risico’s vast

In ieder geval zal het absolute minimum gedaan moeten worden, zoals het laten ondertekenen van geheimhoudingsverklaringen door eenieder aan wie het bedrijfsgeheim wordt verstrekt. Om vast te stellen wat daarbovenop moet gebeuren, zal een analyse moeten worden gemaakt waarbij verschillende vragen moeten worden behandeld:

  • Hoe waardevol is het bedrijfsgeheim voor de houder en voor mogelijke inbreukmakers?
  • Wat is de potentiële schade bij een inbreuk?
  • Hoe bezwaarlijk is het om maatregelen te treffen en hoe kostbaar zijn die maatregelen?
  • In welke geografische of economische markt is het bedrijfsgeheim van waarde, en levert dat specifieke risico’s op?
  • Zijn er aanwijzingen dat er mogelijk inbreuk op het bedrijfsgeheim gemaakt zal worden?
  • Hoeveel mensen moeten noodzakelijkerwijs beschikken over het bedrijfsgeheim?

Informatiebeveiligingsbeleid en register bedrijfsgeheimen

In een informatiebeveiligingsbeleid kunt u vastleggen waarom bepaalde maatregelen wel en andere maatregelen niet zijn genomen, op basis van de risicoanalyse hierboven. Dat geeft de rechter houvast bij de beoordeling of sprake is van ‘redelijke’ maatregelen.

Het beleid kan verschillende maatregelen omvatten zoals:

  • Het markeren van gevoelige documenten als vertrouwelijk;
  • De scheiding van vertrouwelijke informatie in afzonderlijke delen, zodat geen enkele persoon volledige controle heeft; en
  • Het houden van exitgesprekken met werknemers waarbij de teruggave van vertrouwelijke informatie ter sprake komt.

Ook is het belangrijk om een register bij te houden waarin is opgenomen welke bedrijfsgeheimen er zijn en welke maatregelen ten aanzien van die verschillende bedrijfsgeheimen gelden.

Personeel en derde partijen

Het sluiten van geheimhoudingsovereenkomsten is belangrijk. Daarnaast moet u werknemers en derden informeren over welke informatie als bedrijfsgeheim is aan te merken en wat hun rol is bij de bescherming ervan.

  • Sluit geheimhoudingscontracten;
  • Neem non-concurrentiebedingen op in arbeidscontracten van personeel met toegang tot bedrijfsgeheimen;
  • Neem non-sollicitatiebedingen en relatiebedingen op in arbeidscontracten van personeel in een managementfunctie;
  • Informeer het personeel over het beveiligingsbeleid; en
  • Om beveiligingsbewustzijn te versterken, kunt u personeel elk jaar een geheimhoudingsverklaring laten ondertekenen in plaats van slechts één keer.

bedrijfsgeheim

Fysieke beveiliging en netwerkbeveiliging

Vanzelfsprekend moet de houder gebouwen en terreinen goed beveiligen.  Dat geldt natuurlijk ook voor IT-systemen.

Zulke beveiligingseisen vloeien ook voort uit andere wetgeving, zoals de Algemene Verordening Gegevensbescherming indien persoonsgegevens worden verwerkt. De eisen vanuit die regelgeving kunnen echter geheel anders zijn dan voor de bescherming als bedrijfsgeheim. Bedrijven die high tech uitvindingen doen zullen (doorgaans) niet veel gevoelige persoonsgegevens verwerken. Beveiliging is toch cruciaal.

Bij het ontwerp van veel IT-systemen is geen specifieke aandacht besteed aan de bescherming van bedrijfsgeheimen of intellectuele eigendomsrechten. Een evaluatie hiervan is dus vaak hard nodig. Te denken valt aan maatregelen als:

  • Toegangscontrole ten aanzien van bepaalde netwerkonderdelen;
  • Netwerkafscherming en -opdeling;
  • Firewalls;
  • Virusbescherming;
  • Patching;
  • Monitoring en logging van netwerkactiviteit;
  • Controle en beheer van door werknemers bezochte internetsites; en
  • Het beperken van het gebruik van externe apparatuur zoals USB-drives en laptops.

Stel een informatiebeveiligingsteam aan

Verschillende soorten bedrijfsgeheimen bevinden zich vaak in verschillende delen van een organisatie. Het aanstellen van een multidisciplinair team onder leiding van een persoon met voldoende bevoegdheden helpt te zorgen voor adequate beveiliging en een effectieve reactie in geval van een inbreuk.

Controleer en neem handhavende maatregelen

Bij de beoordeling van de vraag of sprake is van een beschermd bedrijfsgeheim zal een rechter belang hechten aan een systematische benadering van beveiliging in plaats van ad hoc bescherming. Het opzetten, monitoren en verbeteren van procedures is belangrijk voor een robuuste bescherming van bedrijfsgeheimen. Ook kan het helpen indien de houder kan aantonen dat hij eerder tegen inbreuken op bedrijfsgeheimen heeft opgetreden.


advocaat bescherming bedrijfsgeheimenDeze blog is geschreven door Deikwijs advocaat Douwe Linders. Douwe heeft veel ervaring in procedures over intellectuele eigendomsrechten en in AVG-compliance trajecten waarin de bescherming van grote hoeveelheden gevoelige data centraal stond. Een perfecte combinatie van ervaring en vaardigheden om u bij te staan bij de bescherming van uw bedrijfsgeheimen.


 

Afbeeldingen via pixabay.com (CC0 public domain).

Auteursrecht op tafels - blog door advocaat Merle Hafkamp