All posts in Nieuws voor het MKB(BV), juridisch, ondernemingsrecht (exclusief jaarrekeningrecht)

In 2018 zijn er in totaal 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens gemeld. Vooral vanuit de sectoren gezondheid en welzijn, financiële en zakelijke dienstverlening, IT-sector en openbaar bestuur. In dit artikel bespreken we wat u moet doen tegen of bij datalekken, en wat we van de datalekken in 2018 kunnen leren.

Wat is een datalek?

Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

De meest voorkomende type datalekken in 2018 waren:

• Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Denk hierbij aan een e-mail met persoonsgegevens die naar een verkeerde persoon wordt gestuurd, bijvoorbeeld door een typefout. Of een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend.
• Het kwijtraken van papieren of de diefstal van een gegevensdrager, zoals een laptop of usb-stick.
• Verlies van gegevens door hacking, phishing of malware.

Gegevens datalek

De soorten persoonsgegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens (naam, adres, woonplaats), BSN- en medische gegevens.

Wat schrijft de AVG voor?

De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de AP. In sommige situaties moet u ook de betrokkenen (bijvoorbeeld de klanten of werknemers) bij het datalek informeren.

Waarschuwing Autoriteit Persoonsgegevens

In 2018 heeft de Autoriteit Persoonsgegevens (AP) in veel gevallen organisaties uitleg gegeven over te nemen beveiligingsmaatregelen. Daarnaast heeft de AP acties ondernomen zoals een waarschuwing en aansturen op het beëindiging van de overtreding.

In het bijzonder zal de AP in 2019 aandacht schenken aan het ten onrechte niet of te laat melden van datalekken aan betrokkenen of aan de AP. Niet alle meldplichtige datalekken worden namelijk door organisaties gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen melding maken van een datalek, terwijl dat door de organisatie zelf niet is gedaan. Het is dus belangrijk hier aandacht voor te hebben.

Boete Uber

In november 2018 heeft de AP vervoersdienst Uber een boete van € 600.000 opgelegd voor het willens en wetens te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Wat kunt u doen rondom datalekken?

Belangrijke zaken die u binnen uw organisatie op kunt pakken zijn:

• Blijf aandacht geven aan het vergroten van het bewustzijn van uw medewerkers met betrekking tot het verwerken van persoonsgegevens en de risico’s hiervan.
• Gaat het een keer fout? Zorg dan dat medewerkers het beveiligingsincident/datalek ook daadwerkelijk melden bij de intern verantwoordelijke hiervoor. U wilt voorkomen dat u aangeschreven wordt door de AP over een datalek binnen uw organisatie waar u zelf geen weet van hebt.
• Zorg dat er een interne procedure is voor het omgaan met datalekken, zodat u precies weet wat u moet doen bij een datalek. Let op: er is een maximale aanmeldtermijn van 72 uur.
• Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze periodiek en beoordeel wat u op basis hiervan kunt verbeteren binnen uw bedrijf.

Welke verplichtingen heeft u bij een datalek?

• Bij een datalek moet u deze uiterlijk 72 uur nadat u er kennis van heeft genomen, melden bij de AP. Hiervoor moet u het digitale meldingsformulier op de website van de AP gebruiken.
• Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit houdt in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.
• Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet u de betrokkene(n) direct informeren. Dit hoeft niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, zoals door versleuteling van gegevens.
• Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u, omdat u verantwoordelijke bent, direct informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid heeft tijdig de AP te informeren.
• U moet alle datalekken – met inbegrip van de feiten over de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – documenteren. Dit betreft zowel datalekken die u niet heeft gemeld aan de AP als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister.

(Bron: DRV)

Het zal u niet zijn ontgaan dat Nederland sinds 1 januari 2018 nieuwe regels heeft voor gehuwden en geregistreerde partners. Wat u mogelijk wel is ontgaan is de regeling die is gaan gelden voor alle ondernemers van wie de onderneming geen gemeenschappelijk vermogen met een partner is.

Het gaat om de volgende ondernemers:

Gehuwd en geregistreerd partner vóór 1 januari 2018?

• U hebt een eenmanszaak, bent vennoot in een vof, cv of maatschap, of u bent directeur-grootaandeelhouder van een (of meerdere) BV’s (hierna: uw onderneming)
• Daarnaast bent u gehuwd op huwelijkse voorwaarden (of u hebt partnerschapsvoorwaarden), waarin is vastgelegd dat uw onderneming tot uw privévermogen behoort en al het overige vermogen van u en uw partner (of een deel daarvan) in een huwelijksgemeenschap valt, 
  OF
• Daarnaast bent u gehuwd in algehele gemeenschap van goederen en u hebt uw onderneming geërfd of geschonken gekregen met toepassing van een uitsluitingsclausule.

Gehuwd en geregistreerd partner ná 1 januari 2018?

• U hebt een eenmanszaak, bent vennoot in een vof, cv of maatschap, of u bent directeur-grootaandeelhouder van een (of meerdere) BV’s (hierna: uw onderneming)
• Daarnaast bent u gehuwd op huwelijkse voorwaarden (of u hebt partnerschapsvoorwaarden), waarin is vastgelegd dat uw onderneming tot uw privévermogen behoort en al het overige vermogen van u en uw partner (of een deel daarvan) in een huwelijksgemeenschap valt, 
  OF
• Daarnaast bent u gehuwd volgens de nieuwe wettelijke regels, zodat uw onderneming tot uw privévermogen behoort.

Ondernemer is vergoeding verschuldigd aan de huwelijksgemeenschap

In het nieuwe huwelijksvermogensregime gaat de wetgever ervan uit, dat alle inkomsten die u en uw partner gedurende het huwelijk verdienen in de huwelijksgemeenschap vallen. Voor u als ondernemer valt derhalve uw arbeidsbeloning (of de privé-onttrekkingen aan uw onderneming) in de huwelijksgemeenschap. Omdat u als ondernemer echter ook ‘verdiensten’ heeft uit uw onderneming in de vorm van waardegroei of dividend (al dan niet opgepot in uw onderneming), vindt de wetgever dat u deze ‘verdiensten’ aan de huwelijksgemeenschap moet vergoeden. Het gaat daarbij om een vergoeding die naar maatstaven van redelijkheid wordt bepaald: een redelijke vergoeding. 

Deze redelijke vergoeding heeft alleen betrekking op de waardegroei die is ontstaan door arbeidsinspanningen tijdens de huwelijkse periode. Het gaat niet om waardegroei die vóór uw huwelijk als bestond of welke is ontstaan door externe marktfactoren of autonome waardegroei (zoals bijvoorbeeld bij vastgoed). 

Hebt u een BV met winstreserves? Dan vertegenwoordigen die reserves de basis voor het bepalen van de redelijke vergoeding.

Kortom: volgens de wet deelt u als ondernemer niet alleen uw arbeidsbeloning met uw partner maar ook een redelijke vergoeding uit de meerwaarde of uit opgepotte winsten van uw onderneming. 

Let op! Gehuwd en geregistreerd partner vóór 1 januari 2018? 
Deze regeling geldt ook voor u, als u voldoet aan de voorwaarden zoals hierboven genoemd. Het gaat dan om de waardegroei van uw onderneming vanaf 1 januari 2018 tot aan het einde van uw huwelijk.

Kom in actie en voorkom financiële problemen voor uw onderneming

Het zal u direct duidelijk zijn, dat deze nieuwe wettelijke regel voer voor discussie is bij een onverhoopte echtscheiding. 
Want hoe hoog is die redelijke vergoeding in uw situatie? Wat betekent dit voor de continuïteit van en liquiditeit in uw onderneming? Hoe bepaalt u de meerwaarde in uw onderneming die louter door uw arbeid is ontstaan? De wetgever geeft geen antwoord op al deze vragen en laat de beantwoording ervan over aan de rechtspraak.

Gelukkig kunt u met uw partner afspreken hoe u wilt omgaan met deze nieuwe wettelijke regel. Misschien wilt u ervan afwijken en samen een andere regeling treffen? Of wellicht bent u het er samen over eens dat de ontvangen arbeidsbeloning voor u samen al de ‘redelijke vergoeding’ vertegenwoordigt?

Hebt u huwelijkse of partnerschapsvoorwaarden, dan legt u de onderling gemaakte afspraken daarin vast. Daarvoor is een bezoek aan de notaris noodzakelijk. 
Hebt u geen huwelijkse of partnerschapsvoorwaarden? Dan is het zeker zaak om deze alsnog op te stellen, als is het alleen maar om de afspraken over de redelijke vergoeding daarin vast te leggen.

Wij kunnen u hierbij uiteraard helpen. Niet alleen met het cijfermatige deel van de afspraken, maar ook met de begeleiding richting uw notaris.

(Bron: HLB van Daal)

Op 23 oktober 2018 is in werking getreden de Wet bescherming bedrijfsgeheimen (‘Wbb’) (Stb. 2018, 369, i.w.tr. Stb. 2018, 370).

De Wbb vormt een implementatie van Europese Richtlijn 2016/943/EU die op zijn beurt de implementatie vormt van art. 39 van het WTO-TRIPs-verdrag dat bescherming van bedrijfsgeheimen voorschrijft.

De bescherming van bedrijfsgeheimen verliep in Nederland tot de invoering van de Wbb 99 jaar lang (sinds het arrest Lindenbaum/Cohen, HR 31 januari 1919, NJ 1919/161) via de onrechtmatige daad (art. 6:162 BW), via het contractenrecht en via het strafrecht.

Ieder verkrijgen, gebruiken of openbaar maken van bedrijfsgeheimen zonder toestemming is onrechtmatig. Dat klinkt begrijpelijk en eenvoudig. Maar de uitwerking roept tal van interessante vragen op.

Wanneer is iets (een bedrijfs)geheim?

In art. 1 Wbb is de volgende definitie opgenomen:

bedrijfsgeheim: informatie die aan de volgende voorwaarden voldoet:

1. zij is geheim in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie;
2. zij bezit handelswaarde omdat zij geheim is, en
3. zij is door degene die daar rechtmatig over beschikt, onderworpen aan redelijke maatregelen, gezien de omstandigheden, om deze geheim te houden.

‘Geheim’ betekent dat de informatie niet gemakkelijk toegankelijk is, ook niet voor deskundigen. ‘Handelswaarde’ betekent dat ‘onrechtmatig verkrijgen, gebruiken of openbaar maken daarvan schadelijk zou kunnen zijn voor de belangen van de persoon die rechtmatig over de informatie beschikt, aangezien daardoor afbreuk wordt gedaan aan het wetenschappelijk en technisch potentieel, de zakelijke of financiële belangen, de strategische posities of het concurrentievermogen van die persoon’ (ov. 14 bij de Richtlijn).

Dit klinkt erg ruim en dat is het ook. Vaak zal het gaan om informatie waarmee geld verdiend kan worden door deze toe te passen. Denk aan geheime recepten en productieprocessen. Maar strategische plannen van een onderneming kunnen er ook onder vallen. En televisieformats, of marketingplannen die nog niet zijn openbaar gemaakt. En wat te denken van examenopgaven die nog geheim zijn?

Het is niet eenvoudig om voorbeelden te bedenken van geheimen van of over bedrijven die geen handelswaarde hebben. Mogelijk valt bedrijfsgevoelige of koersgevoelige informatie over fraude, misstanden, aanstaande bestuurswisselingen, overnames of reorganisaties niet onder het begrip ‘bedrijfsgeheim’ in de zin van de Wbb. Maar dat betekent uiteraard niet dat het openbaar maken daarvan niet tóch onrechtmatig kan zijn. Voor het ‘klokkenluiden’ kent de Wbb in art. 4 overigens een expliciete uitzondering.

Redelijke maatregelen

Bij ‘redelijke maatregelen’ moet gedacht worden aan “het opnemen van geheimhoudingsclausules in handelscontracten, het opnemen van geheimhoudingsbepalingen in arbeidsovereenkomsten en arbeidsreglementen, het expliciet benoemen of registreren van bedrijfsgeheimen (dat wil zeggen een organisatorische maatregel ter beveiliging, zoals een bepaling dat alleen sleutelfiguren in een bedrijf toegang hebben tot de geheimen of het verrichten van een i-depot) en het bewaken van het bedrijfsterrein of de betrokken installatie. Voorts is te denken aan digitale beschermingsmaatregelen zoals encryptie, bijvoorbeeld ter voorkoming van het inbreken in computerbestanden of e-mail.” (W.v. 34 821, nr. 3, p.17).

Het lijkt een open deur om te stellen dat informatie die bekend wordt of uitlekt omdat er onvoldoende ‘redelijke maatregelen’ zijn genomen, daardoor niet meer geheim is en dus geen bescherming als bedrijfsgeheim meer geniet. Maar dit is vermoedelijk wel de belangrijkste praktische boodschap voor bedrijven: die ‘redelijke maatregelen’ móeten genomen worden. Die noodzaak is enigszins vergelijkbaar met de verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG). Het regelmatig verzenden van bedrijfsgeheimen via onbeveiligde e-mail of via WeTransfer betekent mogelijk al dat er dus geen redelijke maatregelen worden genomen. Het feit dat een werknemer per ongeluk een bedrijfsgeheim naar de verkeerde persoon stuurt, hoeft niet, maar kan wel betekenen dat er geen ‘redelijke maatregelen’ waren genomen om dit te voorkomen. De enkele stelling dat die werknemer in strijd handelde met zijn arbeidsovereenkomst, lijkt niet voldoende.

Wie is rechthebbende?

Rechthebbende op een bedrijfsgeheim is de houder van het bedrijfsgeheim: ‘iedere natuurlijke persoon of rechtspersoon die rechtmatig over een bedrijfsgeheim beschikt’. Ook deze definitie roept vragen op.

Betekent dit dat íedere licentienemer die rechtmatig kennis heeft van het bedrijfsgeheim en die kennis ook toepast, ook gerechtigd is om de rechten verbonden aan het zijn van houder van een bedrijfsgeheim op zijn eigen houtje uit te oefenen jegens derden? Denk aan het instellen van verbodsvorderingen, beslagleggen en schadevergoedingsvorderingen. Dat zal toch meestal niet de bedoeling zijn van de licentiegever van wie het bedrijfsgeheim afkomstig is. Maar dat zal hij dan vermoedelijk wel contractueel moeten vastleggen.

Betekent dit ook dat een ieder die door reverse engineering een geheim ontdekt heeft, zelf ook weer rechthebbende op dat geheim wordt en dat recht kan uitoefenen? ‘Observatie, onderzoek, demontage of testen van een product of voorwerp dat ter beschikking van het publiek is gesteld of dat op een rechtmatige manier in het bezit is van degene die de informatie verwerft en die niet gebonden is aan een rechtsgeldige verplichting het verkrijgen van het bedrijfsgeheim te beperken’ is namelijk toegestaan en levert rechtmatig gebruik op. Of is het bedrijfsgeheim niet meer geheim zodra iemand door reverse engineering heeft ontdekt wat het is?

Wie maakt inbreuk?

Verkrijgen

Verkrijging van een bedrijfsgeheim is onrechtmatig wanneer iemand zich schuldig maakt aan ‘onbevoegde toegang tot of het zich onbevoegd toe-eigenen of kopiëren van documenten, voorwerpen, substanties, materialen of elektronische bestanden waarover de houder van het bedrijfsgeheim rechtmatig beschikt en die het bedrijfsgeheim bevatten of waaruit het bedrijfsgeheim kan worden afgeleid’.

Gebruiken of openbaar maken

Gebruiken of openbaar maken is onrechtmatig als het bedrijfsgeheim onrechtmatig is verkregen of wanneer een contractuele verplichting tot geheimhouding wordt geschonden. Dit ligt voor de hand.

Had moeten weten

Maar, ‘het verkrijgen, gebruiken of openbaar maken van een bedrijfsgeheim is ook onrechtmatig wanneer een natuurlijke persoon of rechtspersoon op het moment van het verkrijgen, gebruiken, of openbaar maken, wist, of gezien de omstandigheden, had moeten weten dat het bedrijfsgeheim direct of indirect werd verkregen van een andere natuurlijke persoon of rechtspersoon die het bedrijfsgeheim op een onrechtmatige manier gebruikte of openbaar maakte’ (art. 2 lid 3).

Hier komen we in de sfeer van het profiteren van andermans wanprestatie. In geval van opzet of kwader trouw is dit duidelijk. Maar derden kunnen lang niet altijd weten dat iets een bedrijfsgeheim is (geweest).

Verkoop van ‘inbreukmakende goederen’

Nog verder gaat het dat iemand die ‘inbreukmakende goederen’ invoert, aanbiedt of opslaat ook onrechtmatig kan handelen. (inbreukmakende goederen: ‘goederen waarvan het ontwerp, de kenmerken, de werking, het productieproces of het in de handel brengen aanzienlijk voordeel heeft of hebben bij bedrijfsgeheimen die onrechtmatig zijn verkregen, gebruikt of openbaar gemaakt’).

Als een handelaar ‘wist of, gezien de omstandigheden, had moeten weten dat het bedrijfsgeheim onrechtmatig werd gebruikt’ bij het in het verkeer brengen, kan er ook bij hem op dergelijke goederen beslag worden gelegd of een verkoopverbod worden gevorderd. Maar wat nu als de handelaar op het moment van inkoop van niets wist, maar vervolgens op de hoogte wordt gesteld? Mag hij dan nog iets verkopen?

Wat te denken van goederen waar op zichzelf niets mis mee is, maar waarbij bij de eerste verkoop gebruik is gemaakt van een klantenlijst die door een ex-werknemer aan een concurrent is doorgespeeld? Zijn die goederen dan ‘besmet’ en mag de verdere (door)verkoop ervan worden verboden vanwege die schending van een bedrijfsgeheim bij de eerste verkoop?

Het heeft er alle schijn van dat onvoldoende is nagedacht over dit vergaande ‘zaaksgevolg’ van schending van bedrijfsgeheimen.

Beperkingen

De Wbb kent beperkingen ten gunste van de pers- en informatievrijheid en van het ‘klokkenluiden’(het onthullen van wangedrag, fouten of illegale activiteiten) (art. 4).

Procesrechtelijke bepalingen

Een apart sub-specialisme is de geheimhouding tijdens een procedure over de beweerdelijke schending van bedrijfsgeheimen. Regels daarover zijn onder andere opgenomen in een nieuwe titel 15a Rv, art. 1019ia t/m 1019ie. Om te bewijzen dat iemand anders gebruik maakt van jouw bedrijfsgeheim is het nodig om in ieder geval aan de rechter, maar ook aan de wederpartij, duidelijk te maken wat het bedrijfsgeheim is en waaruit blijkt dat de wederpartij het gebruikt. Maar daarbij wil je het geheim zèlf tegelijkertijd ook geheimhouden, in ieder geval voor derden. En om dat inbreukmakend gebruik aan te tonen, wil je mogelijk bewijsbeslag leggen bij de wederpartij. Maar dat mag weer niet uitmonden in een fishing expedition waarbij juist bedrijfsgeheimen van die wederpartij worden onthuld. Zie bijvoorbeeld het recente arrest van de Hoge Raad waarin al wordt geanticipeerd op de Wbb. (HR  28 september 2018, ECLI:NL:HR:2018:1775, Organik / Dow).

Daarom is nu in art. 1019ib expliciet bepaald dat het aan deelnemers aan ‘gerechtelijke procedures tot bescherming van bedrijfsgeheimen ingevolge de Wet bescherming bedrijfsgeheimen’ verboden is ‘bedrijfsgeheimen of vermeende bedrijfsgeheimen te gebruiken of openbaar te maken die de rechter op verzoek van een partij als vertrouwelijk heeft aangemerkt en die hun ter kennis zijn gekomen als gevolg van een dergelijke deelname of toegang’. De rechter kan ook bepalen wie er kennis mogen nemen van die geheimen.

Maar die mogelijkheid bestaat ook voor procedures die zelf niet over bedrijfsgeheimen gaan. Aan art. 22 wordt een nieuwe derde lid toegevoegd:

“De rechter kan, indien kennisneming van stukken door een partij de bescherming van een bedrijfsgeheim als bedoeld in artikel 1 van de Wet bescherming bedrijfsgeheimen onevenredig zou schaden, bepalen dat deze kennisneming is voorbehouden aan een gemachtigde die advocaat is dan wel daarvoor van de rechter bijzondere toestemming heeft gekregen. […]”

Dit roept ook weer belangrijke vragen op. Wat moet een advocaat met informatie die hij niet met zijn cliënt mag delen? Is dit niet een inbreuk op de bijzondere vertrouwensrelatie tussen de advocaat en zijn cliënt? De advocaat kan vaak niet oordelen over de (technische) geheime informatie waar hij wèl kennis van mag nemen, maar die hij níet met zijn client mag delen. Hoe kan hij daar dan iets zinnigs mee doen?

Volledige proceskosten

Voor het overige bevat de nieuwe titel 15a Rv bepalingen die grote gelijkenis vertonen met het IE-procesrecht opgenomen in titel 15 Rv. Bij amendement is daar ook de mogelijkheid van een volledige proceskostenveroordeling bij opgenomen. Die volledige proceskostenveroordeling stuitte bij een deel van de Eerste Kamer op grote bezwaren, hetgeen ook de reden is dat de Wbb niet tijdig is geïmplementeerd. De Richtlijn had al op 8 juni 2018 moeten zijn geïmplementeerd. Om aan deze bezwaren tegemoet te komen, is een wijziging aangekondigd waardoor het mogelijk wordt om bij AMvB ten aanzien van zaken over bedrijfsgeheimen regels te stellen ‘in welke gevallen de rechter de in het ongelijk gestelde partij kan veroordelen in de kosten’. (w.v. 34 821, H).

Veel ervaring in common law landen

Tot slot is het nuttig om te melden dat er in de Angelsaksische wereld heel veel ervaring bestaat met trade secret protection als onderdeel van confidential information. Er is daar veel rechtspraak en allerlei leerstukken, zoals relative secrecy en de springboard doctrine, zijn daar al decennia in ontwikkeling. Bescherming van bedrijfsgeheimen en het bijbehorende procesrecht is daar al heel lang een belangrijke en afzonderlijke tak van sport. En dat gaat het in Nederland en de rest van de EU de komende jaren zeker ook worden. Met veel vragen van uitleg aan het HvJ EU over de verschillende geharmoniseerde begrippen en regels.

(Bron: mr-online)