Categorie: Ondernemingsvrijheid

Een lezer vroeg me:

Bij mijn nieuwe werk moet ik een héél uitgebreid geheimhoudingscontract tekenen. Hieronder valt ook alles dat ik leer tijdens het werk, inclusief lijkt mij dus alle opgedane ervaring over programmeertechnieken en dergelijke. Kan een werkgever werkelijk zó ver gaan met geheimhouding?

Papier is natuurlijk geduldig, en in mijn ervaring zijn geheimhoudingscontracten naar werknemers toe vaak héél streng geformuleerd. Vaak bewust: dan zullen die werknemers wel extra uitkijken voor ze iets doen met bedrijfs-informatie. Maar helemaal eerlijk is dat niet, als er zo ook legale dingen verboden worden. En met een boetebeding erbij is dat toch heel erg dreigend.

De wet beschermt bedrijfsgeheimen (Engels: trade secrets) tegen lekken en onrechtmatig gebruik. Grofweg is informatie beschermd als deze daadwerkelijk geheim is, waarde heeft vanwege die geheime status en er maatregelen tegen geheimhouding worden genomen. Een NDA of geheimhoudingscontract is een gebruikelijke maatregel.

Het punt blijft natuurlijk dat informatie wel geheim moet zijn. Als jij uit een openbare bron een handige techniek leert, en die inzet voor het werk, dan is die informatie nog steeds openbaar en valt dit dus niet onder de geheimhouding. Dat zou bij bedrijfsspecifieke details anders kunnen liggen, omdat die meestal geheim gehouden worden en daarom ook waarde hebben.

Een geheimhoudingscontract mág verder gaan dan de wet en ook zaken geheim verklaren die dat mogelijkerwijs niet zijn. Alleen kom je dan al heel snel in wat heet de beperkende werking van redelijkheid en billijkheid: als informatie gewoon openbaar is, waarom in vredesnaam moet deze werknemer dan tóch zijn mond erover houden? Ik zie dat alleen werken in situaties waarin de openbare en de geheime informatie heel dicht naast elkaar ligt.

Als laatste: geheimhouding afspreken tussen werkgever en werknemer kan eigenlijk alleen bij het aangaan van het arbeidscontract. Dat is het moment om de scope van je verplichtingen als werknemer te onderhandelen. Komt men na twee maanden met een NDA – bijvoorbeeld omdat je nu een supergeheim project mag gaan doen – dan is dat rijkelijk laat, en je opdragen dat te tekenen is niet rechtsgeldig.

Wat wél kan is dat de werkgever je bij een concreet project vertelt dat het supergeheim is, en jou instructies geven hoe om te gaan met de geheime informatie. Hij kan verlangen dat je dan tekent “voor gezien”, als bewijs dat je dit allemaal wist.

Zo’n “voor gezien” document kan helpen bij discussies over nalatigheid of zelfs opzettelijk schenden van geheimhouding. Maar dat is niet hetzelfde als een NDA tekenen; je gaat nergens mee akkoord maar je geeft bewijs dat je bent geïnstrueerd.

Arnoud

 

Via Reddit:

Ik heb eergister tijdens de gaande “Blackfriday deal periode” een nieuwe QD-Oled televisie gekocht via de webshop van Blokker. (…) Deze televisie was qua prijs 2019,- euro. (…) Niet heel veel later kreeg ik ineens een telefoontje van het verkopende bedrijf met de mededeling dat een “ICT fout” ervoor heeft gezorgd dat er een verkeerde prijs voor deze televisie op de website van Blokker stond en dat deze eigenlijk rond de 3050 euro moest zijn.

Discussies over prijsfouten en kennelijke vergissingen bij online aankopen zijn een populaire op deze blog. U herinnert zich vast nog mijn blog uit 2008 over het Otto-arrest, dat er grofweg op neerkomt dat je als consument onraad moet ruiken bij extreem lage prijzen.

Deze consument had onderzoek gedaan en gezien dat deze televisie elders tussen de 2700 en 3200 kostte. Dan is 2019 euro een hele leuke Black Friday aanbieding, dus snel gekocht en betaald en zelfs een orderbevestiging gehad. En dan komt zo’n telefoontje rauw op je dak.

Een prijs van 2019 is zo’n 30% korting ten opzichte van de geciteerde bedoelde prijs van 3050. Dat is geen gek bedrag voor Black Friday. Dus wat dat betreft zou de consument geen onraad hoeven te ruiken.

Alleen: ik zie bij de Blokker een heleboel Black Friday deals maar geen enkele televisie. En dat is in zoverre een probleem dat iets pas een aanbieding is als dat erbij staat, al dan niet in enorme schreeuwende teksten. Enkel dat de prijs laag is, betekent dus niet dat je mag aannemen dat het een aanbieding is.

Als het wél een Black Friday aanbieding was, dus met de Blokker-huisstijl rondjes met de van/voor prijzen en terug te vinden in de categorie “Black Friday”, dan zit de winkel aan deze prijs vast. Een korting van 30% is dan gewoon een leuke korting, en dan is “oeps typefout” geen argument.

Arnoud

 

 

 

Een lezer vroeg me:

Vanwege een arbeidsconflict ben ik geschorst (non-actief). Ik kom er nu achter dat ik niet meer in kan loggen op mijn mail of andere ict-systemen van het werk. Mag dat zomaar?

In principe beslist de werkgever hoe jij je werk doet. Er is geen recht op toegang tot de werkplek of op specifieke werkmiddelen. De werkgever moet je geven wat nodig is, maar als je op non-actief staat dan heb je geen werkmiddelen nodig. Dus volgens mij is verdedigbaar dat ze per direct het systeem dichtzetten.

Bij een schorsing wordt je loon gewoon doorbetaald. Ook andere arbeidsvoorwaarden blijven van kracht: vakantiedagen blijven opbouwen, je leaseauto hoeft niet ingeleverd, en je mag bedrijfseigendommen zoals laptops of telefoons onder je houden. Maar let op, als er specifieke arbeidsvoorwaarden hierover gelden, dan kan op grond daarvan inleveren wél worden verlangd.

Hier komen we weer bij dat verschil tussen producten en diensten: die laptop mogen hebben is een stukje bruikleen, maar toegang tot de mailbox is een dienst die ten behoeve van het werk verricht wordt. Als er geen werk is, dan hoeft die dienst niet geleverd te worden.

Ik krijg deze vraag vaker. De achterliggende frustratie is dat in die mailbox (of ergens op het systeem) er bewijs ligt dat de werknemer wil gebruiken in de te verwachten ontslagprocedure. Mails met toezeggingen, logs die een ander beeld werpen op wat de werkgever zegt, de cruciale Powerpoint, ga zo maar door.

Juridisch gezien kun je ook met het argument “ik heb bewijs nodig” niet eisen dat de werkgever de ict-middelen weer openzet. De eigenlijke route is dat je advocaat of rechtsbijstandsverzekeraar een artikel 843a Rv-vordering instelt:

Op grond van art. 843a Rv kan een partij die daarbij rechtmatig belang heeft inzage, afschrift of uittreksel vorderen van bepaalde bescheiden met betrekking tot een rechtsbetrekking waarbij hij (of zijn rechtsvoorganger) partij is, bij degene die deze over deze bescheiden beschikt. Uit de vereisten van ‘rechtmatig belang’ en ‘bepaalde bescheiden’ vloeit voort dat het niet mag gaan om een zogenaamde ‘fishing expedition’, waarbij (min of meer) lukraak naar allerlei bewijsstukken wordt gezocht. Het moet voldoende duidelijk zijn om welke bescheiden het gaat, zodat de rechter kan bepalen of een partij rechtmatig belang heeft bij inzage, afschrift of uittreksel.

Als je dus concreet kunt aangeven om welke mails het gaat, of welke logs of andere bestanden het zou moeten betreffen, dan is opeisen daarvan mogelijk. Ik snap dat lang niet iedereen die kennis paraat heeft.

Daarom blijft het advies: kopieer bewijsstukken die jouw positie ten opzichte van de werkgever kunnen beïnvloeden. Een risico daarvan is natuurlijk weer dat je dan beschuldigd kunt worden van stelen van bedrijfsgeheimen. Beperk zoiets dus tot dingen die evident jou aangaan, zoals mails van HR of directie met toezeggingen, niet hele bergen documenten van projecten om aan te kunnen tonen dat je daaraan had gewerkt en niemand ooit had geklaagd.

Arnoud

 

De Amerikaanse bedrijfstoezichthouder SEC komt met een aanklacht tegen de diepgaand gehackte leverancier van beheersoftware én tegen de CISO van het bedrijf. Dat meldde AG Connect onlangs. Zorgen over aansprakelijkheid voor topmanagers laaien nu weer op. Hoe zou dat in Nederland uitpakken?

Eind augustus 2021 blogde ik ook over zo’n claim tegen de CISO persoonlijk, maar dat ging toen over een civielrechtelijke claim van aandeelhouders die securities fraud zagen in de wanboel die deze man ervan had gemaakt. Nu is het dus de beurstoezichthouder, maar de insteek is hetzelfde: door enerzijds te zeggen dat de security top is, en anderzijds diezelfde security volledig te verprutsen, misleid je aandeelhouders.

Kun je zoiets de CISO persoonlijk verwijten? Dat hangt allereerst af van waar deze staat. Ondanks de C-titel is een CISO namelijk niet perse een chief, een directeur of vergelijkbaar. Zoals het NCSC het uitlegt:

De CISO heeft, als kenner van cybersecurity, een adviserende, coördinerende en controlerende rol. De CISO heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie. De CISO is namelijk geen eigenaar van IT- of OT-systemen. Die rol wordt altijd belegd bij het lijnmanagement van de organisatie.

Een adviseur of controlerende functie in een organisatie is natuurlijk geen bestuurder en kan dan niet persoonlijk aansprakelijk gehouden worden door derden. De juridische norm van “opzet of bewuste roekeloosheid” (art. 7:661 BW) ligt zó hoog dat je dit in de praktijk vrijwel nooit haalt.

Wie wél bestuurder is (een CISO in de board, dus) zou wel als bestuurder persoonlijk aansprakelijk gesteld kunnen worden. Het criterium is dan kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.

Het gaat dan vaak om zaken als willens en wetens verplichtingen aangaan die het bedrijf niet kan hebben, opzettelijk aansturen op contractbreuk enzovoorts. Maar hier gaat het primair om je werk niet goed doen, zitten te slapen in plaats van de security op orde te maken. Dat ligt een stuk moeilijker:

… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.

De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

Voor de falende security zelf zie ik ook geen claims richting de bestuurder-CISO persoonlijk. Dat is ‘gewoon’ tekortschieten in je werk, en geen opzet om klanten of anderen schade toe te brengen.

In Europa kan er straks onder de NIS2-richtlijn meer. Het governance-artikel (20) bepaalt namelijk in lid 1:

De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.

De bestuursorganen (zoals de directie) moeten dus zorgen voor adequate cyberbeveiliging. En dan staat in artikel 29:

De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.

Een eindverantwoordelijke voor informatiebeveiliging zou dus in theorie aan te spreken kunnen worden onder de NIS2 regels. Maar dat gaat niet direct over “de security was bagger” maar over “je bedrijf was zo ingericht dat de security wel bagger moest zijn”, over het niet kunnen nakomen van de richtlijn vanwege te beperkte bevoegdheden.

Arnoud

De BlueSea Frontier Compute Cluster komt eraan. 10,000 NVIDIA H100 GPU’s op een groot vlot, en dat is juridisch gezien een nieuw land. Nee, dat gaat vast beter werken dan het cryptoschip Satoshi dat in 2021 helemaal niets werd. Laten we hopen dat het een grap is.

De directe aanleiding voor deze aankondiging is die executive order van gisteren, plus de ‘dreiging’ van de AI Act:

Government overreach not only stalls the pace of innovation, but also interferes with the cosmic endowment of humanity. These AI are not mere tools. They’re the embodiment of human ambition, the realization of our potential as a civilization.

(Ja, ik denk ook dat dit John Perry Barlow is die door ChatGPT is geparafraseerd.)

Afijn, het idee is natuurlijk weer dat je op de grote blauwe oceaan vrij bent van alle statelijke bemoeienis, zodat je daar je eigen land kunt beginnen. En op Wikipedia kun je nalezen wanneer je een land bent:

Their statehood is recognized through the United Nations Convention on the Law of the Sea and the Montevideo Convention. Each BSFCC fulfills the criteria for statehood: – permanent population – defined territory – a government – capacity to enter into relations with other states.

En ja, dat staat in de staatsrechtboekjes als een veelgebruikte definitie van een land. Maar daarbij wordt altijd één belangrijk detail vergeten: je bent pas een land als andere landen je als zodanig zien. Er is geen internationale rechtbank die hier uitspraken over doet of zoiets. Dus je kunt wel honderd keer roepen dat je een “defined territory” hebt, maar als andere landen vinden dat dat territorium van hen is, dan heb je pech.

Zelf ben ik meer gecharmeerd van de definitie die neerkomt op belastingen kunnen innen en je grondgebied kunnen verdedigen. Dan besta je echt, en ben je ook wat structureler in business dan wanneer je met een schip net buiten het normale bereik van de kustwacht bent.

Natuurlijk, er is een kans dat men je gewoon laat zitten, net als meneer Bates die in 1967 Sealand claimde en daarmee wegkwam omdat niemand dat verlopen geschutsplatform in de Noordzee wilde hebben.

Het grote probleem blijft het contact met het vasteland. En dat heb je nodig: je platform roest onder je weg waar je bij staat, dus je moet voor onderhoud terug. Je hebt brandstof nodig voor je schip, zonnepanelen gaat echt niet genoeg zijn. Je mensen hebben voedsel en water nodig, en dat is er niet midden op zee.

Ook zul je mensen nodig hebben die werk komen doen, en die willen graag betaald. Bij scheepspersoneel gelden allerlei regels, en een werkgever die niet op voorhand zich daaraan committeert die krijgt geen werknemers. Een zo’n regel is dat je je onderwerpt aan een bepaald land (zodat je daar gesued kan worden voor achterstallig loon, bijvoorbeeld). En als men daar dan bij je geld kan, dan kan dat ook voor andere dingen.

Plus, wat veel mensen vergeten: hoe krijg je daar internet? Nog even los van het feit dat er geen high-speed internet te krijgen is zo ver van land, je zult een contract met een private partij moeten sluiten. En die zit met zijn downlink in een land waar wél regels gelden, en zal dus al snel zich gedwongen zien je af te sluiten als jij je niet aan die regels houdt.

Arnoud

Vanaf november heb je op Facebook en Instagram de keuze uit een gratis versie met gepersonaliseerde reclame, of een betaalde versie zonder reclame. Dat meldde Nu.nl onlangs. Daarmee hoopt Facebook-moederbedrijf Meta te voldoen aan de strenge Europese privacywet – ze bedoelen die recente uitspraak van het Hof die in feite het businessmodel van Meta afschoot. Dus hoezo zou dit nu wél moeten gaan werken?

Die uitspraak ging goeddeels over het mededingingsrechtelijk aspect van misbruik van persoonsgegevens, maar het Hof deed nog iets opmerkelijks: het sprak zich hard en duidelijk uit tegen de grond toestemming bij dominante platforms zoals Meta:

Thus, those users must be free to refuse individually, in the context of the contractual process, to give their consent to particular data processing operations not necessary for the performance of the contract, without being obliged to refrain entirely from using the service offered by the online social network operator, which means that those users are to be offered, if necessary for an appropriate fee, an equivalent alternative not accompanied by such data processing operations.

De achterliggende motivatie is dat omdat Facebook zo’n dominante positie in de markt heeft, gebruikers niet zomaar ergens anders heen kunnen gaan. Er is dan niet echt een keuze, en zonder keuzevrijheid is toestemming niet rechtsgeldig.

De hint van “if necessary for an appropriate fee” werd duidelijk gehoord in Menlo Park en daarom krijgen we nu dus betaalde opties:

Voor Facebook en Instagram zonder reclame kun je vanaf november een abonnement afsluiten. Die kost via de website 9,99 euro per maand en via de app 12,99 per maand. Via de app is duurder omdat Google en Apple een commissie inhouden op betalingen via de Play Store en de App Store.

(Hogere prijzen vragen buiten de App Store om mocht dacht ik niet van Apple, maar dat terzijde.)

Meta zegt de data van betalende gebruikers niet te gebruiken voor advertenties.

Arnoud