Is er ook een meldplicht datalekken voor bedrijfsdata?

Een lezer vroeg me: Vraag: De laatste jaren is er veel te doen over datalekken. Daarbij gaat het echter steeds over privacygevoelige data, wat ik snap gezien de gevolgen bij consumenten maar hoe zit het met andere bedrijfsdata? De term ‘datalek’ is immers breder, maar ik kan niet vinden hoe het zit met de meldplicht voor bijvoorbeeld diefstal van bedrijfsgeheimen. Hoe zit dit?

De term ‘datalek’ is inderdaad een tikje misleidend, omdat het wettelijk gezien echt alleen gaat over het lekken/misbruiken van persoonsgegevens. Er is geen algemene regeling over het moeten melden van andersoortige security-incidenten of misbruik van gevoelige bedrijfsgegevens.

Specifiek bij de Rijksoverheid en vitale aanbieders geldt wel een aparte meldplicht voor andere security-incidenten. Op 1 oktober 2017 is de Wet gegevensverwerking en meldplicht cybersecurity (Wgmc) in werking getreden. Per 1 januari 2018 moeten deze organisaties incidenten melden bij het NCSC, zodat deze de impact en risico’s voor de samenleving kan inschatten. Dit geldt alleen als je als organisatie bent aangewezen als ‘vitale aanbieder’.

Ben je niet ‘vitaal’, dan is de omgang met diefstal of vernieling met bedrijfsdata geheel je eigen keuze. Melden kan niet, er is geen loket dat dit in behandeling neemt. Vaak zal dergelijk handelen strafbaar zijn (denk aan computervredebreuk of afluisteren/aftappen van data) en dan kun je aangifte doen natuurlijk van die feiten. De waarde van die data kan dat strafbaar feit dan meer gewicht geven.

Eind oktober is ook de Wet bescherming bedrijfsgeheimen in werking getreden. Deze biedt organisaties de mogelijkheid om zelf op te treden tegen ongeautoriseerd gebruik van data die waarde heeft omdat deze niet algemeen bekend is. Met die wet in de hand kun je dus optreden tegen bijvoorbeeld een concurrent die een setje offertes weet te bemachtigen door een slechte beveiliging. Dit moet je wel zelf doen bij de civiele rechter.

Opmerkelijk aan die wet vind ik overigens nog dat er expliciet is gezegd dat een bedrijfsgeheim géén IE-recht is. Je kunt een geheim niet verkopen of in licentie geven. Wel heb je ongeveer dezelfde middelen ter beschikking om een inbreukmaker aan te pakken, zoals beslag en een volledige proceskostenvergoeding – maar dat laatste alleen als dat gepast is gezien de waarden van je geheim.

Arnoud

“Stelen van broncode is niet strafbaar”

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud

“Stelen van broncode is niet strafbaar”

Het meenemen van broncode van de (ex-)werkgever is niet illegaal en valt niet onder het stelen van bedrijfsgeheimen, las ik bij Webwereld. In een ‘bizarre’ uitspraak bepaalde de New Yorkse hogerberoepsrechter dat een werknemer die handelsgeheimen had meegenomen van zijn werkgever, geen diefstal heeft gepleegd en ook de wet op de handelsgeheimen niet had geschonden. “Deze uitspraak is een slag in het gezicht van de federale overheid die juist alles wil doen om industriële en bedrijfsspionage hard wil aanpakken”. Eh wacht, lees ik hier een ronkend persbericht van Justitie of een nieuwsbericht in de categorie “buitenland / en dan dit”?

Het ging in deze zaak om een programmeur die broncodes van zijn ex-werkgever had geupload naar een server van een derde. Die broncodes waren deel van het “high-frequency trading” systeem van de werkgever, en dus commercieel erg waardevol want bij dergelijke aandelenhandel kan een minuut het verschil maken tussen winst en verlies. Ik kan niet achterhalen waarom, maar op zijn laatste dag uploadde hij 500.000 regels broncode naar een Duitse server.

Diefstal van handelsgeheimen en intellectueel eigendom, brieste de werkgever en deed aangifte. In eerste instantie werd meneer veroordeeld, maar in hoger beroep werd dus anders beslist.

Het punt van diefstal eerst maar, want dat is het makkelijkst. Het is strafbaar in New York om enig goed te verhandelen, verzenden of over te dragen dat door diefstal of ander misdrijf is verkregen (zeg maar: heling). Maar is sprake van een ‘goed’ als je alleen gegevens kopieert? Nee, zegt dit Gerechtshof. Het moet gaan om een tastbaar fysiek object, en daarvan is hier geen sprake.

Wat daar bizar aan is, zie ik niet helemaal. Dat is precies wat onze Hoge raad ook vindt. Hoewel ze in de VS intellectueel eigendom al snel als echt eigendom behandelen, is dat in het geval van ‘diefstal’ dus niet juist.

Ook is het strafbaar om opzettelijk een handelsgeheim te verspreiden, over te dragen, te uploaden of in een product te verwerken als je daarmee een ander dan de eigenaar ervan benadeelt. Bij ons is het strafbaar voor een werknemer om “bijzonderheden waarvan hem geheimhouding is opgelegd” bekend te maken of niet-publieke gegevens uit een computersysteem van de werkgever bekend te maken of uit winstbejag te gebruiken (art. 273 Strafrecht). Dat is dus breder, hoewel je je bij het enkele uploaden kunt afvragen of uploaden naar een server waarvan alleen jij het wachtwoord hebt, “bekend maken” is.

Maar in New York is van een ‘handelsgeheim’ pas sprake als het gaat om informatie over een product dat bestemd is voor de handel. En nu wordt het leuk: is een highfrequencytradingsoftwareprogramma een “product bestemd voor de handel”?

Nee, aldus het Hof (goh). De software zelf wordt niet in de handel gebracht, en dat is toch echt de betekenis van “bestemd voor de handel”. Natuurlijk zou je die term kunnen oprekken, maar dat mag niet: in de Amerikaanse wet kent men namelijk ook de generieke frase “met invloed op de handel” (affecting trade) die bedoeld is om alles te dekken dat buiten “bestemd voor de handel” valt. Maar hee, die generieke frase is hier niet gebruikt. Dus kennelijk wilde de wetgever alleen specifiek handelsgeheimen beschermen over “producten bestemd voor de handel”. Want zo werkt strafrecht: termen worden beperkt uitgelegd, zéker als er een bredere term bestaat die hier nadrukkelijk niet gebruikt is.

Ook hier weer: wat is er ‘bizar’ aan deze uitspraak? Het is toch volstrekt logisch dat je bij een vermeende wetsovertreding kijkt welk wetsartikel is overtreden? Strafwetten gaan oprekken om nieuwe situaties te dekken is héél eng. Toegegeven, dit handelen van meneer zou best strafbaar mogen zijn an sich. Maar dan pas je dus de wet aan die kennelijk ontoereikend is.

Arnoud