Is er ook een meldplicht datalekken voor bedrijfsdata?

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

De term ‘datalek’ is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico’s voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als ‘vitale aanbieder’.

Ben je niet ‘vitaal’, dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Opmerkelijk aan die wet vind ik overigens nog dat er expliciet is gezegd dat een bedrijfsgeheim géén IE-recht is. Je kunt een geheim niet verkopen of in licentie geven. Wel heb je ongeveer dezelfde middelen ter beschikking om een inbreukmaker aan te pakken, zoals beslag en een volledige proceskostenvergoeding – maar dat laatste alleen als dat gepast is gezien de waarden van je geheim.

Arnoud

De rechtspraak en de bedrijfsgeheime bewijsanalyse

Steeds meer bedrijven leunen zwaar op de wettelijke bescherming voor bedrijfsgeheimen, en dat heeft grote impact op de strafrechtspraak. Dat las ik bij Boing Boing een tijdje terug. Het gaat om software die analyses doet op data gebruikt als bewijs, of inschattingen van vluchtgevaar of recidive. Wie als verdachte de bevindingen van die software wil aanvechten, moet eigenlijk wel de broncode en/of brondata er bij hebben. En dat mag dus niet, omdat die bedrijven zich beroepen op de bescherming van handelsgeheimen. Een erg zorgelijke ontwikkeling.

Software in de rechtspraak is de laatste paar jaar aan een forse opmars bezig. Steeds vaker wordt software daarbij ingezet die adviezen of analyses doet waar rechters, advocaten en officieren op kunnen werken. Een bekend (berucht?) voorbeeld is COMPAS, dat recidivisme voorspelt. Daarmee kan een rechter makkelijker bepalen of iemand op vrije voeten gesteld moet worden of liever toch niet.

Het grote probleem met al deze software is dat ze vaak moeilijk (of gewoon helemaal niet) aangeven hoe ze tot hun analyse komen. Steeds vaker proberen gedaagden dan ook inzage te krijgen in de broncodes en achterliggende algoritmes. En dat lukt dus niet, omdat de leveranciers zich kunnen beroepen op bescherming van handelsgeheimen. De definitie van een handelsgeheim is immers dat iets waarde heeft omdat het geheim is, en dat past goed bij zo’n algoritme.

Het wringt natuurlijk enorm met het vereiste van transparantie in de rechtspraak. Wat mij betreft zou het dus een goede zaak worden als het verboden wordt software-analyses als bewijsondersteunend middel te gebruiken tenzij de werking transparant is en er een externe analyse op eventuele bias geweest is.

Arnoud

Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben?

sms-belasting-telefoon.pngEen lezer vroeg me:

Mag een werkgever je verbieden op de werkvloer een mobiele telefoon bij je te hebben? Als reden geeft mijn werkgever op dat hier securityrisico’s aan zitten, omdat je met dergelijke telefoons bedrijfsgeheimen kunt fotograferen of kopiëren naar een intern geheugen (usb). Het rare is dat je wel je zakelijke telefoon mee mag nemen waarmee precies datzelfde ook kan…

Een werkgever heeft een instructiebevoegdheid: hij bepaalt hoe het werk wordt uitgevoerd en welke gereedschappen en uitrusting je daarbij mag en moet gebruiken. Deze bevoegdheid is eenzijdig; instemming van de werknemer is in principe niet nodig. Wil de werkgever dat je onder Windows werkt, dan heb je als MacOS-fan helaas pech.

Natuurlijk moeten instructies wel redelijk zijn. Ze moeten een bedrijfsbelang dienen, maar ook rekening houden met de redelijke belangen van de werknemer.

Een werkgever mag privételefoontjes bijvoorbeeld niet 100% verbieden, want dat houdt geen rekening met de redelijke privacybelangen van de werknemer. Maar hij kan wel verlangen dat je die niet op de werkvloer doet, want dat stoort collega’s.

Ook kan de werkgever privéopslagapparatuur verbieden omdat daarmee de bedrijfsdataveiligheid in gevaar kan komen. Maar dat verbod zou dan beperkt moeten zijn tot de werkvloer waar bedrijfsgeheimen verwerkt worden. En hij moet dan een veilige plek bieden (kluisjes of lockers) voor die telefoons of opslagapparatuur.

En die zakelijke telefoons? Tsja. Misschien denkt de werkgever dat hij die goed dichtgetimmerd heeft, of heeft hij logging geinstalleerd waardoor hij kan zien wat er wordt gefotografeerd of gekopieerd. En misschien denkt hij wel gewoon niet goed na, dat is altijd een optie bij (bedrijfs-)beleid.

Arnoud

“Stelen van broncode is niet strafbaar”

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

“Stelen van broncode is niet strafbaar”

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud