Bescherming van uw kostbare data; hoe doe je dat?

16 augustus 2018, laatst geüpdatet 11 september 2024
Data zijn in beginsel niemands eigendom. Best wel vreemd in een wereld waarin het lijkt alsof alles alleen nog maar om data gaat (denk aan big data, artificial intelligence). Net zoals dat geldt bij creatieve ideeën (die zijn in beginsel ook vrij) gaat het om de specifieke uitwerking of verschijningsvorm van de data die voor bescherming in aanmerking komt of beschermd is en waar je dan dus rekening mee moet houden. In dit artikel verkennen wij hoe kostbare data juridisch te beschermen zijn en waar je rekening mee moet houden vanuit een juridisch perspectief. Dit artikel is ook verschenen in het ICT&Health magazine.
Ernst-Jan van de Pas 
Ernst-Jan van de Pas 
Advocaat - Managing Partner
Luuk Arends 
Luuk Arends 
Advocaat - Partner
In dit artikel

Hoofdregel

Hoewel hier in de juridische literatuur nog wel over wordt gediscussieerd, sluit eigendom van data niet aan bij ons huidige eigendomsbegrip. Volgens de wet (artikel 5:1 Burgerlijk Wetboek) is eigendom het meest omvattende recht dat een persoon op een zaak kan hebben. Eigendom heeft absolute werking, dat wil zeggen dat de eigenaar als enige mag beschikken over de zaak. Iemand anders die die zaak wil gebruiken zal toestemming moeten hebben van de eigenaar en als de desbetreffende zaak wordt ontvreemd dan kan de eigenaar het opeisen (revindiceren). Probleem is alleen dat een ‘zaak’ wettelijk gedefinieerd is als een voor menselijke beheersing vatbaar stoffelijk object is. Data als zodanig zijn dat niet, die kun je feitelijk niet vastpakken.

Intellectuele eigendomsrechten (zoals auteursrechten, merken, octrooien, etc.) vormen hier een uitzondering op. Dat zijn niet-stoffelijke objecten waarvoor specifieke wetten zijn gemaakt waaraan aan dergelijke rechten absolute werking toekomt. Er bestaat echter geen ‘data-wet’ die een zelfde status aan data geeft. Hoewel er op Europees niveau momenteel wordt nagedacht over een nieuwe Verordening voor het vrij verkeer van niet-persoonsgebonden gegevens (COM(2017) 495 final), zal die geen eigendom van data regelen maar is die meer gericht op het wegnemen van nationale belemmeringen om data op te slaan.

Het gaat om de specifieke verschijningsvorm van data. Afhankelijk van de verschijningsvorm zal rekening moeten worden gehouden met de volgende beschermingsmogelijkheden of regels.

Bescherming data als persoonsgegevens

Data (meerdere datapunten tezamen) die kunnen leiden tot identificatie van een individu zijn al snel aan te merken persoonsgegevens. Daarop is de privacyregelgeving van toepassing (Algemene Verordening Gegevensbescherming en andere relevante privacyregels). Deze regels zijn vooral gericht op het neerzetten van een normenkader waaraan (met name) de verantwoordelijke moet voldoen bij het op zorgvuldige wijze verwerken van persoonsgegevens, zij verstrekken de betrokkene of verantwoordelijke of verwerker geen eigendomsrechten. Niettemin worden aan de betrokkene wel verstrekkende rechten verschaft om controle uit te kunnen oefenen over ‘zijn’ persoonsgegevens: het recht geïnformeerd te worden als persoonsgegevens worden verzameld of verkregen van een derde; recht op inzage in de verwerkte persoonsgegevens de doeleinden, de ontvangers, de bron van de persoonsgegevens; recht op rectificatie; recht of verwijdering/wissen; recht op beperking van de verwerking; recht op portabiliteit van persoonsgegevens; een algemeen recht op bezwaar en het recht op bezwaar tegen profilering. Hoewel er meerdere grondslagen bestaan voor het verwerken van persoonsgegevens zijn er ook situaties waar de betrokkene expliciet toestemming moet geven voor het mogen gebruiken van zijn persoonsgegevens, bijvoorbeeld in het kader van het uitwisselen van die gegevens door de verantwoordelijke met derden die niet noodzakelijkerwijs bij de behandeling betrokken zijn. Als data zijn aan te merken als persoonsgegeven zal dus ook altijd rekening moeten worden gehouden met deze regels.

Bescherming dataset door databankrecht

Een verzameling van datapunten (een dataset) kan een beschermde databank opleveren in de zin van de Databankwet. Naast een aantal technische eisen is van een beschermde databank pas sprake als er substantieel is geïnvesteerd in de verkrijging, de controle of de presentatie van de inhoud daarvan. Investeringen die gemaakt zijn in het maken (= creëren ) van de data tellen niet mee. De rechthebbende van de databank (eigenaar) is de producent van de databank (degene die het risico van de investering draagt). De producent heeft het alleenrecht op het (her)gebruik van de inhoud van de databank en is bij uitsluiting bevoegd om toestemming aan derden te geven voor het geheel of gedeeltelijk gebruiken van zijn verzameling. Het databankrecht krijgt om allerlei juridisch technische redenen (bijvoorbeeld: wanneer is precies sprake van een substantiële investering?) in de praktijk niet heel veel aandacht, maar het is wel iets om rekening mee te houden. Wellicht krijgt het databankenrecht in het kader van huidige dataverzamelwoede wel een nieuwe impuls.

Bescherming data door auteursrecht of octrooi

Data in de vorm van een “werk van letterkunde, wetenschap of kunst” komen in aanmerking voor auteursrechtelijke bescherming. Denk hiervan aan (onderzoeks)rapporten, tekeningen, uitgeschreven analyses, alsook software. Auteursrechten komen in beginsel toe aan de maker van het werk. Hierop zijn een aantal uitzondering, zoals de (belangrijke) uitzondering dat als iemand iets maakt en in loondienst is bij een werkgever de rechten automatisch aan de werkgever toekomen. Data kunnen ook ten grondslag liggen aan of onderdeel uitmaken van een nieuwe baanbrekende uitvinding, die voor octrooirechtelijke bescherming in aanmerking kan komen. Dit geldt ook voor nieuwe, innovatieve werkwijzen. In dat geval zal er wel een octrooi moeten worden aangevraagd dat – na goedkeuring – moet worden geregistreerd in openbare registers.

Bescherming data als bedrijfsgeheim (nieuw in 2018)

Ten aanzien van data in de vorm van specifieke kennis of knowhow, recepturen en andere belangrijke bedrijfsgegevens kan per 9 juni 2018 een beroep worden gedaan op de Wet bescherming van bedrijfsgeheimen. Een bedrijfsgeheim heeft niet dezelfde eigendomsstatus als aan een auteursrecht of octrooi (heeft geen absolute werking), maar de nieuwe wet maakt het gemakkelijker om gelijksoortige rechtsmaatregelen te treffen die ook bij auteursrechten en octrooien ingezet kunnen worden. Denk daarbij aan verbod of staking van het gebruik van bedrijfsgeheimen, op last van een dwangsom; een verbod op de productie van goederen middels het bedrijfsgeheim; beslag en bewijsbeslag; afgifte; recall; schadevergoeding en proceskosten. Data die geen databank kunnen zijn (bijvoorbeeld omdat je ze zelf hebt gecreëerd door een onderzoek uit te voeren) zou je dus wel als bedrijfsgeheim kunnen aanmerken. Het blijft van belang om goede contractuele afspraken te maken over hoe partijen (ook werknemers) onderling met bedrijfsgeheimen om mogen gaan door goede geheimhoudings- en onthoudingsovereenkomsten te sluiten (ook wel non-disclosure agreements of NDA’s genoemd). Houders van bedrijfsgeheimen zijn vaak huiverig om een rechtszaak te starten over zaken die nu juist geheim moeten blijven omdat procederen bij de rechter in beginsel openbaar is. Het wetsvoorstel neemt die vrees weg, doordat gevraagd kan worden om vertrouwelijke behandeling van de kwestie.

Conclusie: multidisciplinaire aanpak noodzakelijk

De verschijningsvorm van data is dus doorslaggevend voor het kunnen beschermen ervan. Afhankelijk daarvan kan data beschermd worden (via een databankrecht, auteursrecht of octrooirecht), dan wel gereguleerd zijn (AVG). Daarnaast zijn er ook nog allerlei combinaties mogelijk. Zo kan er sprake zijn van een beschermde databank van patiëntgegevens. In dat geval is de verzameling beschermd onder het databankenrecht, maar zul je nog steeds rekening moeten houden met de AVG, waaronder begrepen de rechten van de betrokkenen). Ondanks dat data sec niet goed past in ons huidige begrip van het eigendomsrecht, kun je data op verschillende manieren beschermen, gebruiken en exploiteren. Het belangrijkste is dat hier met een multidisciplinaire bril naar wordt gekeken. Te vaak merken wij in onze praktijken dat alleen wordt gefocust op één onderwerp en dat is zonde. Er is meer mogelijk als het gaat om hergebruik van gegevens of om de exploitatie van data, maar dit vergt wel wat gepuzzel en bij persoonsgegevens en patiëntgegevens ontkom je niet aan de AVG als het gaat om de eisen aan het zorgvuldig verwerken van die gegevens.

Gerelateerd