Juridische vraag: schend ik NDA door automatische back-up?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Ik ben gedetacheerd bij een opdrachtgever (A) die me een geheimhoudingsverklaring liet tekenen. Mijn formele werkgever (B) heeft sinds kort een algemene back-upoplossing, waarmee ook data van opdrachtgever A wordt geback-upt omdat die nu eenmaal op mijn laptop staat. Ben ik nu in overtreding van die geheimhoudingsverklaring?
Antwoord: Het gebeurt vaak dat wanneer men iemand inleent of gedetacheerd krijgt, die persoon een geheimhoudingsverklaring (non-disclosure agreement, NDA) onder de neus schuift. In deze context is dit echter juridisch zinloos.
Een werknemer kán niet op persoonlijke titel dingen tekenen als die dingen werkgerelateerd zijn. Hij handelt dan als werknemer, en daarmee is per definitie de werkgever aansprakelijk en verantwoordelijk voor zijn handelen. De NDA wordt daarmee juridisch gezien geaccordeerd door de werkgever, en voor schendingen is deze dus aansprakelijk en niet de werknemer zelf.
Natuurlijk mag de inlener/opdrachtgever best een waarschuwing geven aan de werknemer over de waarde van bedrijfsgeheimen. Die waarschuwing mag schriftelijk, en hem dit laten tekenen bij wijze van bewijs dat hij het gelezen heeft, is prima. Maar het geeft géén juridische basis om de werknemer persoonlijk aansprakelijk te stellen voor eventueel lekken van vertrouwelijke informatie.
Persoonlijk aansprakelijk stellen van werknemers is buitengewoon moeilijk. De wet eist opzet of grove nalatigheid, en de lat ligt daarbij zo hoog dat je er vrijwel nooit aan komt. Enkel waarschuwen of verbieden is bij lange na niet genoeg. Er moet echt een zeer ernstige beroepsfout zijn gepleegd.
Je kunt dus als werknemer best zo'n NDA tekenen, met in je achterhoofd dat je dat doet namens je werkgever. Maar beter is je werkgever te bellen: mag ik dit tekenen, en zo niet wil jij dan nu even de opdrachtgever uitleggen waarom niet?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Lijkt me handig om dat te regelen in de verkoop/contract gesprekken die normaalgesproken wel gevoerd worden voordat
je als gedetacheerde ergens neergeplant wordt. En daar dan naar te verwijzen als men nog weer meer wil laten tekenen.
Als medewerker van een detacheerder/consultancy organisatie zit je echter wel met een probleem. Legal geeft namelijk meer dan eens aan dat je dat ding niet mag tekenen, maar als je het niet doet heb je geen opdracht...
Je detacheerder, waaronder je juridische collega´s, interesseert het meestal helemaal niets of je een NDA moet tekeken. Zolang je maar op de opdracht zit en factureerbaar bent.
Als IT consultant een principiele discussie hierover beginnen lijkt me ook stompzinnig. Tenzij je die discussie belangrijker vindt dan je opdracht.
De vraag of de verklaring stand houdt is ook volstrekt irrelevant voor jezelf; het gaat immers om het belang van je opdrachtgever, en niet om het belang van jezelf of van je baas.
Het zou net zoiets zijn als het weigeren om een huis te huren omdat de huisbaas zichzelf niet genoeg indekt in het huurcontract; als huurder heb je daar toch ook niets aan ?
Lijkt me handig om dat te regelen in de verkoop/contract gesprekken die normaalgesproken wel gevoerd worden voordat je als gedetacheerde ergens neergeplant wordt. En daar dan naar te verwijzen als men nog weer meer wil laten tekenen.
Zijstraatvoorbeeldje: Genoeg afdelingen juridische zaken denken dat het zin heeft om lange epistels over verkeerd geaddresseerde mailtjes niet lezen en terug te sturen(!!!) automatisch onderaan elk uitgaand mailtje te hangen. Bonuspunten als daar ook een vermaning bij staat om email (en dus ook al die standaardtekst die niemand ooit leest) niet te printen want dat is zo verpillerig.*
Hoeveel tekst moet je dus in je contracten willen hebben staan?
* Wat nog best eens niet waar kan zijn. Moderne papierproductietechnieken, hergebruik, en zelfvervangende productiebossen zoals in Scandinavie te vinden zijn lang zo vervuilend niet als het produceren van ingewikkelde computerapparaten vol met zware metalen. Tenminste, als je je beperkt tot printen van dingen die je ook echt leest. Standaardteksten die je alleen maar weggooit printen is natuurlijk een beetje jammer, maar versturen, in veelvoud moeten opslaan op vervuilende hardware, en iemand al dan niet electronisch onder de neus duwen ook, wellicht zelfs meer. Iemand dat al eens uitgerekend?
Hun probleem ? Denk je dat ze een factuur gaan betalen voor 0 gewerkte uren ofzo ? Ik snap je reactie hoe dan ook niet; wat maakt het jou uit om die NDA te tekenen. Of deze geldig is, dat is hun probleem. Voor jou is dat volstrekt irrelevant.
Hoe zit het dan met prive data op die laptop?
Hoe zit het dan met prive data op die laptop?
Ik lees hem dat de backup oplossing is ingericht door de werkgever en de NDA ligt tussen de klant en de werkgever van de gedetacheerde. Op die manier is en kan de medewerker dus nooit verantwoordelijk worden gehouden voor wat er gebeurd met die data, aangezien dat altijd de werkgever zal zijn.
Dan teken je de NDA niet. Je komt niet binnen. Je kunt niet werken. Je werkgever stuurt wel een rekening voor jouw uren. Wie zal dan het eerste opgeven?
Peter
Verzaakt de werkgever en moet jij zelf kosten maken, dan zijn die verhaalbaar.
Verzaakt de werkgever en moet jij zelf kosten maken, dan zijn die verhaalbaar.
Echt jammer dat no cure no pay verboden is ind e advocatuur. Zo'n makkelijk te winnen zaken zouden dan zonder veel problemen in de tussentijd voor de werknemer afgewenteld kunnen worden op bedrijven met starre juridische afdelingen.
Met een rechtsbijstandsverzekering.
Maar beter is je werkgever te bellen: mag ik dit tekenen, en zo niet wil jij dan nu even de opdrachtgever uitleggen waarom niet?
Wat ook helpt is gezond verstand gepaard gaande met overtuigingskracht. Zeker na het lezen van deze uiteenzetting.
Artikel 273
1 Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft hij die opzettelijk
aangaande een onderneming van handel, nijverheid of dienstverlening bij welke hij werkzaam is of is geweest, bijzonderheden waarvan hem geheimhouding is opgelegd, bekend gemaakt of
2 gegevens die door misdrijf zijn verkregen uit een geautomatiseerd werk van een onderneming van handel, nijverheid of dienstverlening en die betrekking hebben op deze onderneming, bekend maakt of uit winstbejag gebruikt, indien deze gegevens ten tijde van de bekendmaking of het gebruik niet algemeen bekend waren en daaruit enig nadeel kan ontstaan.
2 Niet strafbaar is hij die te goeder trouw heeft kunnen aannemen dat het algemeen belang de bekendmaking vereiste.
3 Geen vervolging heeft plaats dan op klacht van het bestuur van de onderneming
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
