Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik vond een vonnis waar in een oud-werknemer een boete van ruim 15.000 euro moet betalen omdat hij een overeengekomen geheimhoudingsbeding en een beding over bedrijfseigendommen had geschonden door een bestand met bedrijfsgegevens naar zijn privé e-mail adres te sturen. Maar het bestand was versleuteld en kon niet meer worden geopend! Hoe kan dat leiden tot bewijs van een schending van je contractuele geheimhoudingsplicht?
Antwoord: De man was in dienst op basis van een tijdelijk arbeidscontract. Dat had een geheimhoudingsbeding, waarin was bepaald dat het sturen van vertrouwelijke informatie door de werknemer naar een privé e-mailadres wordt beschouwd als een schending van het geheimhoudingsbeding. Op overtreding ervan was een boete gesteld van grofweg vijf bruto maandsalarissen. En ja, dat mag: geheimhouding schenden is een ding waar rechters weinig sympathie voor hebben (tenzij je heel duidelijk aan het klokkenluiden bent natuurlijk). Concurrentie- en relatiebedingen krijg je nog wel omver, maar dit is echt andere koek.
Op 23 maart 2022 heeft [werkgever], na onderzoek van haar IT-afdeling, geconstateerd dat [gedaagde] op 17 maart 2022 een Excelbestand genaamd “ListeRenewableEnergyxVCMxBioMethane” heeft hernoemd tot “Stuff tot do”, dit heeft beveiligd met een wachtwoord en verzonden naar een van zijn privé emailadressen. Ook heeft [werkgever] geconstateerd dat [gedaagde] op 20 maart 2022 nog een e-mail met eveneens het beveiligde Excelbestand genaamd “Stuff to do” heeft verzonden naar een ander privé e-mailadres. [werkgever] heeft de beschikking over de laatste versie van het bestand “Stuff to do” voordat dit door [gedaagde] is versleuteld.
Wat was hier aan de hand? De werknemer legde uit:
Het was slechts een lijst met potentiële klanten zoals die ook op internet zijn terug te vinden. Hij was van plan om in dit rekenblad ook informatie over (potentiële) klanten van [werkgever] op te nemen, om zo te komen tot een lijst met potentiële klanten waarmee hij na zijn carrière bij [werkgever] zonder risico zou kunnen werken. Zover is het echter niet gekomen omdat dit te bewerkelijk werd. Met de lijst van klanten van [werkgever] die hij had gevonden in het CRM systeem van [werkgever] heeft hij dus niets gedaan.
De sleutel wilde hij echter niet geven, en dat wekte wat wrevel op bij de rechter:
Verder valt op dat [gedaagde] weinig coöperatief is geweest tijdens de gesprekken met [werkgever], bedoeld om [werkgever] duidelijkheid te verschaffen over de inhoud van het door [gedaagde] verstuurde bestand. Zo blijkt uit een niet betwiste transcriptie van een op 28 maart 2022 gevoerd telefoongesprek (productie 25 [werkgever]) dat hij tijdens dat gesprek heeft verklaard het wachtwoord niet te willen geven omdat hij dit dagelijks gebruikt, terwijl hij op de mondelinge behandeling heeft verklaard het wachtwoord niet meer te weten. Voorts heeft [gedaagde] verklaard het bestand te hebben weggegooid.
Ik zou dit ook een ietwat irritante houding geven. Maar enkel irritant doen is natuurlijk geen reden om je een rechtszaak te laten verliezen. Dat kan wel als je de bewijslast omkeert, en de rechter ziet daar – naast bovengenoemde houding – genoeg inhoudelijke gronden voor:
[Gedaagde] heeft daarbij gewezen op de door [werkgever] overgelegde nog niet met een wachtwoord beveiligde versie, waarvan als niet (voldoende) betwist vaststaat dat die versie geen vertrouwelijke bedrijfsinformatie van [werkgever] bevat. Daarmee valt echter niet uit te sluiten dat [gedaagde] die bedrijfsinformatie alsnog heeft toegevoegd alvorens het bestand te versleutelen en te versturen. Dat valt temeer niet uit te sluiten nu [gedaagde] niet (voldoende) heeft betwist dat de betreffende Excel sheet, gezien de daarin door hem gebruikte tabbladen, wel geschikt was om met vertrouwelijke klantgegevens van [werkgever] te worden gevuld. Daarbij staat onbetwist vast dat [gedaagde] voorafgaand aan de verzending van het bestand gegevens heeft gedownload uit het zg. CRM systeem van [werkgever]. Bovendien valt niet goed te begrijpen waarom [gedaagde] een bestand met – zoals hij zelf stelt – slechts openbaar toegankelijke informatie überhaupt met een wachtwoord zou moeten beveiligen.
Het is inderdaad voorstelbaar dat je aan een bestaand Excel-bestand een extra tab toevoegt met wel vertrouwelijke informatie, zeker in de context waarin je ziet dat iemand wat eerder nog vertrouwelijke gegevens heeft gedownload. En als kers op de taart dan de vraag wáárom je zo’n bestand versleutelt als er niets bijzonders in staat. Natuurlijk, daar zijn weer logische antwoorden op te verzinnen (“dat doe ik altijd”), maar dat moet je dan wel zeggen en het moet natuurlijk wel kloppen. Alles bij elkaar vindt de rechter dat het verhaal aan de kant van werknemer te zeer rammelt, en draait hij de bewijslast om. Dat mag van de wet, art. 150 Rechtsvordering:
De partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, draagt de bewijslast van die feiten of rechten, tenzij uit enige bijzondere regel of uit de eisen van redelijkheid en billijkheid een andere verdeling van de bewijslast voortvloeit.
De hoofdregel is dus “wie stelt, bewijst”, maar dan iets preciezer geformuleerd: wie wil profiteren van het gevolg van een stelling, moet deze bewijzen. De werkgever wil de boete incasseren, dus moet de werkgever bewijzen dat het beding geschonden is. Maar op basis van de situatie zoals die nu ligt, is het niet meer dan redelijk dat de werknemer maar moet bewijzen wat er dan in dat versleutelde bestand zat om zo te bewijzen dat hij geen bedrijfsgeheimen naar zichzelf had gemaild.
Dan zijn we snel klaar, want de werknemer had verklaard het wachtwoord niet meer te weten en het bestand te hebben weggegooid. Daarmee is het bewijs dus geleverd dat hij het beding heeft overtreden, zodat hij de boete moet betalen. Deze wordt wel gematigd, omdat de berekening van de werkgever meerdere keren hetzelfde feit betrof.
Merk op dat we het niet een keer hebben gehad over de gebruikte encryptietechniek of de mogelijkheden van vervalsen van berichten, deniable encryptie en ga zo maar door. Deze rechter deed precies wat rechters moeten doen: de argumentatie van partijen aanhoren en afwegen, en dan een beslissing nemen. Hoe iets technisch werkt en wat er zou kunnen is dan minder van belang dan wat er in dit specifieke geval is gebeurd. Met een andere opstelling had deze meneer wellicht wel weg kunnen komen zonder boete: vraag om het bestand, probeer het wachtwoord nog te herinneren, leg uit waarom je encryptie gebruikte, zulke dingen. Een open opstelling leidt altijd tot een beter resultaat.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.