Is er ook een meldplicht datalekken voor bedrijfsdata?

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

De term ‘datalek’ is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico’s voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als ‘vitale aanbieder’.

Ben je niet ‘vitaal’, dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Opmerkelijk aan die wet vind ik overigens nog dat er expliciet is gezegd dat een bedrijfsgeheim géén IE-recht is. Je kunt een geheim niet verkopen of in licentie geven. Wel heb je ongeveer dezelfde middelen ter beschikking om een inbreukmaker aan te pakken, zoals beslag en een volledige proceskostenvergoeding – maar dat laatste alleen als dat gepast is gezien de waarden van je geheim.

Arnoud

3 reacties

  1. Arnoud, We kennen ook nog de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) die de meldplicht en zorgplicht voor digitale dienstverleners regelt. Digitaledienstverleners, zoals clouddiensten, online marktplaatsen en zoekmachines, moeten vanaf 1 januari 2019 storingen en uitval van hun diensten ook melden bij het Computer Security Incident Response Team (CSIRT) voor digitale diensten. De Wbni heeft per 09-11-2018 de Wgmc vervangen.

    Jacques

  2. Je kan ook een I-depot vastleggen, dat maakt de bewijsvoering wat makkelijker. Maar als het bedrijfsgeheim slechts een idee of gedachte is zonder concrete uitwerking, dan is dit geen IE-recht, dus ik snap wel dat ze dat expliciet uitsluiten in de wet.

  3. Het grote verschil tussen een bedrijfsgeheim en een IE recht is dat je bij een bedrijfsgeheim eerst maar eens moet aantonen dat dat onrechtmatig verkregen is.

    Als bedrijf A dus iets gebruikt dat bedrijf B als bedrijfsgeheim beschouwt, moet B dus gaan bewijzen onschuldig te zijn. Ik zie dat in de praktijk tegen allerlei problemen aanlopen. Hoe kun je in ’s hemelsnaam bewijzen dat je iets niet gedaan hebt? En waarom zou je, er is immers een aanname van onschuld?

    Ik denk dat je als bedrijf B een heel eind komt als men vraagt ‘hoe weet je dat’ door te antwoorden ‘beredeneerde gok’, of zelfs ’tja, dat is MIJN bedrijfsgeheim….’

    En als het echt om industriele spionage gaat, dan zijn er genoeg middelen om dat te verbloemen (een experimenteel programma dat bij toeval als tweede of derde experiment de ideale instellingen gebruikte, of een via een industrie-consultant buiten de EU werken).

    Kortom, mooi voor de show, zo’n wet, maar zal in de praktijk weinig veranderen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.