Hoe een versleuteld bericht toch bewijs kan zijn van schending geheimhouding

Een oud-werknemer moet een boete van ruim 15.000 euro betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Dat is de samenvatting van een recent Amsterdams vonnis in een arbeidszaak met een ict-tintje: het bestand was namelijk versleuteld, en hij was het wachtwoord vergeten dan wel gebruikte het dagelijks, waarom hij het niet wilde geven. Eh ja. Hoe kan dat leiden tot bewijs van een schending van je contractuele geheimhoudingsplicht?

De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding. Op overtreding ervan was een boete gesteld van grofweg vijf bruto maandsalarissen. En ja, dat mag: geheimhouding schenden is een ding waar rechters weinig sympathie voor hebben (tenzij je heel duidelijk aan het klokkenluiden bent natuurlijk). Concurrentie- en relatiebedingen krijg je nog wel omver, maar dit is echt andere koek.

Op 23 maart 2022 heeft [werkgever], na onderzoek van haar IT-afdeling, geconstateerd dat [gedaagde] op 17 maart 2022 een Excelbestand genaamd “ListeRenewableEnergyxVCMxBioMethane” heeft hernoemd tot “Stuff tot do”, dit heeft beveiligd met een wachtwoord en verzonden naar een van zijn privé emailadressen. Ook heeft [werkgever] geconstateerd dat [gedaagde] op 20 maart 2022 nog een e-mail met eveneens het beveiligde Excelbestand genaamd “Stuff to do” heeft verzonden naar een ander privé e-mailadres. [werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.
Wat was hier aan de hand? De werknemer legde uit:
Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen, om zo te komen tot een lijst met potentiële klanten waarmee hij na zijn carrière bij [werkgever] zonder risico zou kunnen werken. Zover is het echter niet gekomen omdat dit te bewerkelijk werd. Met de lijst van klanten van [werkgever] die hij had gevonden in het CRM systeem van [werkgever] heeft hij dus niets gedaan.
De sleutel wilde hij echter niet geven, en dat wekte wat wrevel op bij de rechter:
Verder valt op dat [gedaagde] weinig coöperatief is geweest tijdens de gesprekken met [werkgever], bedoeld om [werkgever] duidelijkheid te verschaffen over de inhoud van het door [gedaagde] verstuurde bestand. Zo blijkt uit een niet betwiste transcriptie van een op 28 maart 2022 gevoerd telefoongesprek (productie 25 [werkgever]) dat hij tijdens dat gesprek heeft verklaard het wachtwoord niet te willen geven omdat hij dit dagelijks gebruikt, terwijl hij op de mondelinge behandeling heeft verklaard het wachtwoord niet meer te weten. Voorts heeft [gedaagde] verklaard het bestand te hebben weggegooid.
Ik zou dit ook een ietwat irritante houding geven. Maar enkel irritant doen is natuurlijk geen reden om je een rechtszaak te laten verliezen. Dat kan wel als je de bewijslast omkeert, en de rechter ziet daar – naast bovengenoemde houding – genoeg inhoudelijke gronden voor:
[Gedaagde] heeft daarbij gewezen op de door [werkgever] overgelegde nog niet met een wachtwoord beveiligde versie, waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld. Daarbij staat onbetwist vast dat [gedaagde] voorafgaand aan de verzending van het bestand gegevens heeft gedownload uit het zg. CRM systeem van [werkgever]. Bovendien valt niet goed te begrijpen waarom [gedaagde] een bestand met – zoals hij zelf stelt – slechts openbaar toegankelijke informatie überhaupt met een wachtwoord zou moeten beveiligen.
Het is inderdaad voorstelbaar dat je aan een bestaand Excel-bestand een extra tab toevoegt met wel vertrouwelijke informatie, zeker in de context waarin je ziet dat iemand wat eerder nog vertrouwelijke gegevens heeft gedownload. En als kers op de taart dan de vraag wáárom je zo’n bestand versleutelt als er niets bijzonders in staat. Natuurlijk, daar zijn weer logische antwoorden op te verzinnen (“dat doe ik altijd”), maar dat moet je dan wel zeggen en het moet natuurlijk wel kloppen. Alles bij elkaar vindt de rechter dat het verhaal aan de kant van werknemer te zeer rammelt, en draait hij de bewijslast om. Dat mag van de wet, art. 150 Rechtsvordering:
De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, draagt de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.
De hoofdregel is dus “wie stelt, bewijst”, maar dan iets preciezer geformuleerd: wie wil profiteren van het gevolg van een stelling, moet deze bewijzen. De werkgever wil de boete incasseren, dus moet de werkgever bewijzen dat het beding geschonden is. Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild.

Dan zijn we snel klaar, want de werknemer had verklaard het wachtwoord niet meer te weten en het bestand te hebben weggegooid. Daarmee is het bewijs dus geleverd dat hij het beding heeft overtreden, zodat hij de boete moet betalen. Deze wordt wel gematigd, omdat de berekening van de werkgever meerdere keren hetzelfde feit betrof.

Merk op dat we het niet een keer hebben gehad over de gebruikte encryptietechniek of de mogelijkheden van vervalsen van berichten, deniable encryptie en ga zo maar door. Deze rechter deed precies wat rechters moeten doen: de argumentatie van partijen aanhoren en afwegen, en dan een beslissing nemen. Hoe iets technisch werkt en wat er zou kunnen is dan minder van belang dan wat er in dit specifieke geval is gebeurd. Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.

Arnoud

16 reacties

  1. Ik zou verwachten dat er een verschil in bestandsformaat zou zijn tussen het ge-encrypte verzonden bestand (met extra bedrijfgeheimentabblad toegevoegd en de versie van het bestand die het bedrijf nog heeft (desnoods daarna alsnog ge-encrypt als dat uitmaakt voor het bestandsformaat).

    Als deze persoon dus echt onschuldig was, dan kon hij alsnog zijn onschuld aantonen zonder een exemplaar van het verzonden bestand te hebben om te de-crypten.

    1. Wat voor verschil bedoel je? Een versleuteld bestand is inderdaad een ander technisch formaat, maar daaruit is niet te halen hoe veel tabbladen in het onderliggende Excelbestand zaten. Je kunt alleen zien dat het geëncrypt is met pakket ABC.

      Ook de omvang zal verschillen omdat er is geëncrypt. Maar het zou kunnen, als de publieke informatie enkele kilobytes is en het geëncrypte bestand is 10 megabyte, ja dan zou ik daar meer achter zoeken. Omdat het hier gaat om tekstuele informatie, heb je dan eerder het verschil tussen 200 en 300 kilobyte en dat is niet doorslaggevend.

      1. Ik denk dan de gedaagde de claim van het hebben toegevoegd van (meer) gegevens zou kunnen ontkrachten, door die ‘laatste’ versie die de werkgever had op eenzelfde manier te encrypten (met een vergelijkbaar wachtwoord). Dan de bestandsgrootte te vergelijken. Is dat (bijna) hetzelfde, dan is het zeer onwaarschijnlijk dat daar extra gegevens aan zijn toegevoegd (de claim zoals hier beschreven – noemt niet het overschrijven van al aanwezige gegevens).

  2. Die gedaagde heeft zoveel kans gehad om allerlei tegenargumenten op te werpen, dat ik vooral veel ‘onkunde’ (Hanlon’s razor…) zie.

    Ik ben eigenlijk wel erg benieuwd naar die tabbladden;

    gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld
    Je kan immers in een document altijd vertrouwelijke gegevens plaatsen. Waarom wijzen die tabbladen daar vooral op? En in wat voor vage werkwijze hernoem je eerst een “ListeRenewableEnergyxVCMxBioMethane” naar “Stuff to do” in plaats van het aanmaken van een nieuw bestand?

    Maar; als “[werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.” en dan “waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen.”; had de werkgever dan de laatste versie of niet? Dan vind ik niet dat je dat zo hard moet claimen.

    Ik snap trouwens ook best wel dat je tegen de werkgever in eerste instantie claimt dat je het wachtwoord niet meer weet, als je dat wachtwoord (je wachtwoord voor inlog?) hergebruikt voor andere zaken…

  3. Ik heb toch wat moeite om (in deze case) de vertrouwelijke informatie te vinden. Een lijst van spelers in een bepaalde markt, zelfs met een geschatte grootte of een contactpersoon erbij is dat (uitzonderingen daargelaten) niet. Dat soort info koop je voor een appel en een ei bij diverse aanbieders.

    De werknemer heeft allerlei rare dingen uitgehaald die vreemd zijn en dat werkt tegen hem, maar de rechter gaat, naar mijn inschatting, wel heel makkelijk mee met de aanname dat het vertrouwelijke info was.

    1. De rechter constateert dat er een inconsistent verhaal is over de sleutel van het bestand; wil het niet geven want vaker gebruikt gaat naar weet het niet meer. Dat laatste is gezien het eerste totaal ongeloofwaardig. Dan heb je civielrechtelijk al een 1-0 achterstand.

      Daaruit is blijkbaar – in mijn ogen logisch – de conclusie getrokken dat de beschuldigde persoon iets te verbergen heeft en dat maakt het verhaal van de werkgever aannemelijk. Dan vind ik het niet zo gek dat een rechter zegt nu vind ik het verhaal van de werkgever aannemelijker, als je dat wil weerleggen beste werknemer kan je dat makkelijk doen door het bestand te ontsleutelen.

      1. In je blog staat ‘een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden’. Potentiële is hierbij een belangrijk woord. Om het bot te zeggen: iedereen in die betreffende sector is (natuurlijk) een potentiële klant.

        Het feit dat de werkgever deze lijst leidend vindt?….. Ook niet overtuigend. Ten eerste, dat is niet gesteld en blijkt ook niet uit de omstandigheden (er gaan zoveel lijsten van potentiële/huidige/ex klanten rond in bedrijven, zowel correcte lijsten als wenslijsten als achterhaalde wenslijsten), en ten tweede: dan zou het element dat die werkgever die lijst belangrijk vindt de vertrouwelijke info zijn, niet de lijst zelf, en die info is niet naar een priveadres gestuurd of anderszins gelekt door de werknemer.

        Echte verkoopsprijzen en verkochte aantallen, offertes, en dat soort dingen zijn natuurlijk wel vertrouwelijk. Allerlei technische en strategische ontwikkelingen ook. Maar ‘Nestle is een leverancier van Albert Heijn’ is dat natuurlijk niet.

        Was in deze case de info op een of andere manier als vertrouwelijk aangeduid binnen het bedrijf, of had een verstandige werknemer dat moeten begrijpen? Zo niet, dan zou ik in het algemeen denken dat je niet zomaar van vertrouwelijke info kunt spreken omdat het management dat ACHTERAF zegt.

        Ja, de werknemer heeft wel een aantal rare dingen in zijn gedrag en verklaringen, en wellicht gelooft hij zelf dat hij iets verkeerd gedaan heeft, maar dat wil niet zeggen dat hij vertrouwlijke info gelekt heeft, het kan ook gewoon zijn dat hij zich realiseert dat hij zich niet loyaal heeft gedragen en zich daarvoor schaamt.

        1. Ik heb ooit een (concept-) arbeidscontract gezien waar de werknemer “alle zaken betreffende werk en werkgever” geheim moest houden. Toen ik er op wees dat dat ook zou gelden voor “promotiemateriaal” als de publieke website van het bedrijf, is het geheimhoudingsbeding genuanceerd.

          En ja, wanneer het bedrijf in het arbeidscontract een boetebeding heeft op sturen van zakelijke informatie naar je privé-adres, dan hoeft er niet veel bewezen te worden. Daarbij maakt de werknemer zich verdacht door het bestand te versleutelen.

          1. Arnoud schrijft ‘De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding’

            Dus EERST moet vaststaan dat de info vertrouwelijk was, anders springt het geheimhoudingsbeding niet in werking.

            Er was geen boetebeding op het sturen van zakelijke informatie, alleen op het sturen van vertrouwelijke informatie.

            Trouwens ook vreemd, zo’n ‘getrapte’ formulering: er is een boete voor het openbaarmaken van vertrouwelijke info, en het sturen van vertrouwelijke info naar een prive email adres wordt vervolgens beschouwd als openbaarmaken. Dat ‘beschouwen’ mag ook nog wel eens getoest worden.

            Aangezien de werknemer het naar een EIGEN priveadres stuurde is die aanname dat dat een openbaarmaking was, wel heel flinterdun. Een openbaarmaking vereist immers een ontvanger van de informatie. Bij afwezigheid van een ontvanger kan er geen openbaarmaking zijn. Wellicht was dat sturen wel een inbreuk op het arbeidsreglement waar een terechte sanctie op staat, maar ik zie niet direct in dat het een ‘openbaarmaking’ is waar 5 maanden boete op staat.

        2. De tekst in de gequote passage gaat verder: “Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen […].”

          De werknemer heeft zelf aangegeven dat hij deze informatie had verzameld om na zijn dienstverband een lijst met potentiële klanten te hebben met wie hij zonder risico zou kunnen werken. Dat doel bereik je door te weten wie er al een klant is bij je huidige werkgever, en welke mogelijke klanten jouw werkgever geïdentificeerd heeft die misschien (nog) niet in dergelijke publieke lijsten voorkomen. En dat is wel degelijk vertrouwelijke informatie.

          Met andere woorden, de werkgever ziet dat jij iets hebt gedaan waar je vertrouwelijke informatie voor nodig hebt, dat je die informatie ook hebt geraadpleegd, en dat je vervolgens een zekere hoeveelheid onbekende informatie hebt versleuteld, hernoemd, en weggesluisd. Omdat de werkgever jouw versleuteling niet ongedaan kan maken, kan ze niet strikt bewijzen dat die vertrouwelijke informatie onderdeel uitmaakte van hetgeen je hebt weggesluisd.

          De rechter is het er mee eens dat het er alle schijn van heeft dat dit wel gebeurd is, en zegt dus tegen de werknemer: “Ik vind dit een aannemelijk verhaal, en het is voor jou eenvoudig aan te tonen dat de situatie anders is dan gesteld (namelijk door het bestand te ontsleutelen en de inhoud te tonen). Doe je dat niet, ga ik mee in het verhaal van de werkgever en veroordeel ik je.”

          Naast het hele geheimhoudingsbeding vraag ik me ook af welke AVG-consequenties hier nog aan vast zouden kunnen zitten; als het gaat om persoonsgegevens is er ook nog eens sprake van een datalek.

          1. Ik heb het vonnis nog eens goed gelezen. En eerlijk is eerlijk, de werknemer heeft zich wel in de nesten gewerkt (maar ik kan me goed voorstellen dat mensen in paniek raken na een kleine fout die ontdekt wordt en daarna niet meer rationeel handelen) door rare acties.

            Maar in plaats van duidelijker, wordt het er minder duidelijk op. Het lijkt mij dat het het volgende aan de hand is: 1) Werknemer heeft ‘een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden’ op zijn werk gemaakt/gevonden en hernoemd en naar zichzelf gestuurd. 2) Werknemer was van plan om deze lijst aan te vullen met een lijst van (potentiele) klanten van werkgever en heeft daartoe op het werk een dergelijke lijst gegenereerd. Onduidelijk is wat hij met deze lijst gedaan heeft. 3) zodat hij door de ene lijst van de de andere af te trekken een lijst overhield waar hij zonder conflict met een concurrentiebeding zou gaan kunnen werken in de toekomst.

            En dan wordt het onduidelijk. Ik zie niet dat 1) wordt beschouwd als probleem (maar misschien zie ik het mis), maar het lijkt eerder dat, als hij 2) inderdaad heeft uitgevoerd, dat het echte probleem is.

            De rechter draait nu de bewijslast voor punt 2 om, omdat ‘ Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van ACT te worden gevuld.’

            Dat is wel heel magertjes als grond om de bewijslast om te draaien: ‘het valt niet uit te sluiten en het had technisch gekund’

            Ik zie juist een werknemer die het goed wil doen en zijn concurentiebeding niet wil breken in de toekomst, maar dat natuurlijk alleen kan als hij een lijst heeft van huidige klanten, en dan letterlijk ‘out of his depth’ is en vastloopt in een net van strenge contractuele bepalingen en formeel handelende HRmedewerkers/juristen. Daar heb ik medelijden mee.

            1. Je omschrijving klopt vrij redelijk, alleen is het wellicht goed op te merken dat hij de naam van de lijst heeft gewijzigd naar iets dat niet overeenkomt met de inhoud, het bestand heeft versleuteld, en vervolgens heeft verzonden, nadat hij de lijst van (potentiële) klanten van de werkgever heeft gegenereerd.

              Dat zijn acties die wijzen op het moedwillig willen verhullen van het niet toegestane gebruik van vertrouwelijke informatie. Aangezien in de uitspraak ook nadruk wordt gelegd op de inrichting van de laatste onversleutelde versie van het bestand die de werkgever heeft en de opmerking over de daarin gebruikte tabbladen, zou het me weinig verbazen als die versie van het bestand al was voorzien van een tabblad met de naam “klanten werkgever” of iets dergelijks.

              De uitleg van een werknemer die het goed wil doen en zijn concurrentiebeding niet wil breken is een mogelijke. Je kunt het ook zien als iemand die zonder toestemming informatie van zijn werkgever steelt om na zijn dienstverband de concurrentie met zijn voormalige werkgever aan te kunnen gaan door gebruik te maken van diens opgebouwde bestand van relaties en prospects.

              De uitleg van de rechter is dan ook niet “het valt niet uit te sluiten en het had technisch gekund”, maar “je had een reden dit te doen, je hebt alle noodzakelijke voorbereidingen getroffen, en er zijn alle aanwijzingen dat je het ook daadwerkelijk hebt gedaan”. Dat lijkt me echt niet onvoldoende reden.

              1. De uitleg van een werknemer die het goed wil doen en zijn concurrentiebeding niet wil breken is een mogelijke. Je kunt het ook zien als iemand die zonder toestemming informatie van zijn werkgever steelt om na zijn dienstverband de concurrentie met zijn voormalige werkgever aan te kunnen gaan door gebruik te maken van diens opgebouwde bestand van relaties en prospects.

                Het is wel eens interessant om na te denken over hoe een werknemer van dit bedrijf in de praktijk zowel aan zijn concurrentiebeding als aan zijn geheimhoudingsbeding kan voldoen.

                Ja hij heeft een paar acties genomen die je als verdacht zou kunnen bestempelen, maar die kun je ook zien als onhandigheid in het verhullen van iets wat vragen zou kunnen oproepen (zonder perse niet toegestaan te zijn).

  4. Volgens mij wordt er hier (door de rechter) wel heel makkelijk met de bewijsvoering omgesprongen. Waarschijnlijk voelt de rechter zich ondermijnd, omdat die geen vat op de feiten krijgt. En als dat gebeurt, gaat de overwinning maar al te vaak naar de -voor de rechter- sympathiekere partij.

    Hopelijk komt er een hoger beroep en maakt het gerechtshof hier gehakt van. Eerst maar eens bewijzen wat er nu precies in die versleutelde blob zat (en het verhaal is verder zo vaag dat er wel eens meer achter de zaak zou kunnen zitten).

    Al zou het me ook me niks verbazen dat met zo’n brak vonnis de partijen maar gaan schikken.

    Hoe dan ook druipt de encryptie-haat weer van het rechterlijke oordeel af (als Arnoud het goed weergeeft; rechtspraak.nl. is al een tijdje kapot wanneer je een normale browser gebruikt).

    Over die “open opstelling”: laat de rechtbank eerst maar eens het goede voorbeeld geven; maar al te vaak komt men eerst tot het oordeel (onderbuik) en dan pas de motivatie, terwijl de rechtbank doet alsof het andersom is. (En zo zijn er nog veel meer voorbeelden van “gebrek aan transparantie” waar openheid juist zeer gewenst is.)

    In plaats van de ketel verwijten dat hij zwart ziet, hoort de rechtbank de zwakkere procespartij juist een beetje in bescherming te nemen, omdat het recht anders wel erg krom wordt. Dat lijkt hier niet te zijn gebeurd.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.