In juni 2016 heeft de EU de Richtlijn Bedrijfsgeheimen aangenomen. Nederland heeft deze richtlijn omgezet in de Wet bescherming bedrijfsgeheimen, die op 23 oktober 2018 in werking is getreden.

Bedrijfsgeheimen kunnen betrekking hebben op een breed scala aan informatie, van technologische kennis, zoals fabricagemethoden en recepturen, tot handelsgegevens, zoals informatie over klanten en leveranciers, bedrijfsplannen of marktonderzoek en marktstrategieën.

De Wet bescherming bedrijfsgeheimen bepaalt dat informatie alleen als ‘bedrijfsgeheim’ wordt beschermd als er ‘redelijke maatregelen’ zijn genomen om de informatie geheim te houden. Bedrijven moeten dus hun huidige situatie beoordelen en wellicht aanvullende stappen ondernemen zodat zij kunnen profiteren van de wettelijke bescherming van hun informatie:

Stap 1: Vaststellen van de status quo

In de eerste plaats dienen bedrijven vast te stellen welke informatie ze bezitten en hoe deze wordt beschermd. Een overzicht moet gemaakt worden van:

  • welke informatie van het bedrijf moet worden beschermd
  • waar deze informatie zich bevindt
  • welke beschermingsmaatregelen er momenteel worden genomen om de informatie geheim te houden.

Stap 2: Evalueren en implementeren van de beschermingsmaatregelen

In de tweede plaats dienen bedrijven de bestaande beschermingsmaatregelen kritisch te beoordelen en indien nodig aanvullende maatregelen nemen. Afhankelijk van de waarde en gevoeligheid van de informatie kunnen de volgende juridische, organisatorische en technische beschermingsmaatregelen worden genomen.

2.1 Juridisch

Juridische maatregelen die bedrijven in ieder geval moeten nemen zijn:

  • het opnemen van geheimhoudingsbepalingen in arbeidsovereenkomsten en het personeelshandboek
  • het opnemen van geheimhoudingsverplichtingen in handelscontracten: bijvoorbeeld in een samenwerkingsovereenkomst, licentieovereenkomst, toeleveringsovereenkomst, R&D-overeenkomst

In de rechtspraak wordt aangenomen dat dit redelijke en weinig inspanning vergende maatregelen zijn om geheimhouding van informatie te verzekeren. Bij het ontbreken van dergelijke geheimhoudingsbepalingen wordt geoordeeld dat de betreffende informatie niet als bedrijfsgeheim wordt gekwalificeerd en beschermd.[1] Dit betekent echter niet dat met deze maatregelen kan worden volstaan. Een ander belangrijk component van de bescherming van bedrijfsgeheimen is een louter feitelijke: men moet ervoor zorgen dat de ontoegankelijkheid van zijn kennis behouden blijft.

Verder kan een bedrijf ook reverse engineering van zijn producten contractueel verbieden in overeenkomsten met licentiehouders, leveranciers of andere zakelijke partners.

2.2: Organisatorisch

Organisatorische maatregelen die bedrijven kunnen nemen zijn het:

  • beperken van de toegang tot de informatie (toegang alleen voor werknemers op ‘need to know’-basis en na individuele autorisaties)
  • bijhouden wanneer bepaalde informatie is bekeken of gebruikt (voor zover toegestaan door privacywetgeving)
  • bepalen welke werknemers verantwoordelijk zijn voor het beheer van bepaalde informatie;
  • opleiden van werknemers over de juiste omgang met bedrijfsgeheimen, de plichten die daarbij horen en de gevolgen van het schenden ervan
  • markeren van interne en externe correspondentie als vertrouwelijk
  • bewaken van het bedrijfsterrein of de betrokken installatie
  • vervangen van verpakkingen van bepaalde ingrediënten en voorzien van een label met een anoniem identificatiemiddel voordat de ingrediënten worden verscheept naar productieplaatsen

2.3 ICT

Vanwege een snel toenemend aantal cyberaanvallen zoals "WannaCry" en "NotPetya" neemt het belang van IT-beveiliging toe. Bedrijven moeten dus ook adequate ICT-maatregelen nemen met betrekking tot hun informatie, zoals:

  • gepersonaliseerde gebruikersnamen en wachtwoord
  • two factor authentication (2FA)
  • een User Administration systeem om de toegang tot de informatie beperken
  • encryptie van gegevens en verbindingen
  • software die alle handelingen met bestanden automatisch bijhoudt. Elke handeling moet zijn te herleiden tot een individueel persoon
  • virus- en malwarebescherming
  • de externe toegang tot servers met gevoelige informatie blokkeren

Stap 3: De beschermingsmaatregelen regelmatig evalueren en aanpassen

Ten slotte is het aan te bevelen dat bedrijven de genomen maatregelen regelmatig evalueren en indien nodig aanpassen.