IT beveiliging van belang voor afdwingen bedrijfsgeheimen

Laatst schreef ik over de nieuwe Wet Bescherming Bedrijfsgeheimen (Wbb). Deze nieuwe wet is op 23 oktober jl. in werking getreden. De Wbb geeft de houder van een bedrijfsgeheim een aantal rechtsmiddelen om het onrechtmatig gebruik van zijn bedrijfsgeheimen tegen te gaan.

Wat is een bedrijfsgeheim?

Er is sprake van een bedrijfsgeheim als aan de volgende drie vereisten (cumulatief) is voldaan:

  • De informatie is geheim. Alledaagse informatie valt hiermee niet onder de definitie van een bedrijfsgeheim. Dit geldt evenals voor bijvoorbeeld vaardigheden die werknemers vergaren en ervaringen die zij opdoen tijdens de normale uitoefening van hun functie.
  • De informatie heeft handelswaarde omdat deze geheim is. Een bedrijfsgeheim heeft pas handelswaarde als het onrechtmatig verkrijgen, het gebruiken of het openbaar maken ervan schadelijk kan zijn voor de belangen van de persoon die rechtmatig over deze informatie beschikt.
  • De informatie wordt geheim gehouden doordat redelijke maatregelen zijn getroffen om deze te beschermen. In de richtlijn is niet opgenomen hoe dit gedaan dient te worden. Een voor de hand liggende maatregelen is om dit contractueel te borgen zoals in arbeidsovereenkomsten. Ook gedacht kan worden aan het beveiligen van geheime informatie door middel van encryptie.

Het kan hier gaan om technologische informatie maar bijvoorbeeld ook om commerciële informatie. Om vast te stellen of informatie geheim is dient dit dus te worden getoetst aan bovengenoemde vereisten.

Eerste Jurisprudentie

Bedrijfsgeheimen worden door deze nieuwe wet beschermd tegen het onrechtmatig verkrijgen, het gebruiken en het openbaar maken ervan. De houder van een bedrijfsgeheim kan deze onrechtmatige gedragingen in rechte laten verbieden of bijvoorbeeld schadevergoeding vorderen. Een bedrijf dat een beroep doet op deze wet weet zich echter alleen beschermd wanneer het kan aantonen dat het redelijke maatregelen heeft getroffen om de informatie geheim te houden.

Nog voordat de wet in werking is getreden heeft de Rechtbank Midden-Nederland in een voorlopige voorziening een tussenuitspraak gedaan waarbij de rechtbank de Europese Richtlijn 2016/943 “betreffende de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan”  heeft toegepast.

Uit deze uitspraak blijkt dat er veel waarde wordt toegedicht aan de manier waarop bedrijven hun bedrijfsgeheimen beveiligen. De lat wordt hierbij hoog gelegd. De eiser in deze rechtszaak motiveert dat hij alle redelijke maatregelen heeft getroffen om zijn bedrijfsgeheimen te beveiligen. De rechter gaat hierin niet mee, mede op basis van argumenten en weerleggingen van de gedaagde partijen.

De omstandigheid dat op de constructietekeningen staat vermeld dat deze niet (verder) mogen worden verspreid en de eventuele geheimhoudingsbedingen in arbeidsovereenkomsten van werknemers kunnen op zichzelf bezien wel bijdragen aan het oordeel dat sprake is van de bedoelde redelijke maatregelen, maar dat baat eiser onvoldoende. Die vermelding heeft immers geen betrekking op de verspreiding aan degene tot wie die vermelding is gericht. Bovendien geldt dat in de praktijk die vermelding en die bedingen kennelijk niet verhinderen dat bedrijfsgegevens naar buiten komen, in zodanige mate dat niet op voorhand duidelijk is dat de gestelde maatregelen van eiser, mede gezien de overige omstandigheden van dit geval, hier als redelijk zijn aan te merken.

Een gekwalificeerd toegangs- en beveiligingssysteem zou, zo stelt de rechtbank, op zich wel als redelijke maatregel kunnen gelden, mits dat ertoe leidt dat alleen een beperkte groep sleutelfiguren in de organisatie toegang heeft tot de bedrijfsgeheimen. De eiser in deze zaak heeft echter onvoldoende onderbouwd dat zo’n systeem daadwerkelijk heeft gefunctioneerd.

Ook de IT beveiliging dient op orde te zijn

De uitkomst van deze tussenuitspraak is -wil er sprake zijn van een afdwingbaar bedrijfsgeheim- dat de werknemers aan voldoende geheimhouding zijn gebonden, dat er op de juiste momenten adequate geheimhoudingsovereenkomsten met klanten en partners zijn gesloten, en dat de fysieke en IT-beveiliging op orde is.

"Het blog Juridict.nl verschaft inzicht in het domein Recht en ICT. Dit zowel vanuit juridisch- als vanuit ICT perspectief."