Psst… zo houd je bedrijfsgegevens geheim

Van financiële jaarcijfers en specialistische bedrijfskennis tot persoonsgegevens van klanten: elke ondernemer heeft gevoelige informatie in huis. Die houd je graag geheim. Met onderstaande vijf tips voorkom je dat je medewerkers bedrijfsgegevens delen met anderen.

Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat 67% van alle datalekken komt doordat iemand gevoelige persoonsgegevens naar de verkeerde ontvanger stuurt. Een datalek kan een cyberincident tot gevolg hebben. De schade door een cyberincident is gemiddeld 67.000 euro. Maak daarom afspraken met je werknemers over hoe ze omgaan met gevoelige informatie. Stel gedragsregels op of leg afspraken vast in een geheimhoudingsverklaring. Dat deed een Zuid-Hollands handelsbedrijf ook, waarna ze een medewerker die zakelijke informatie aan een concurrent doorspeelde een boete van een half miljoen op konden leggen.’

Veilig werken met gegevens

Voorkom bedrijfsrisico’s zoals datalekken door je systemen te beveiligen. Maak daarnaast afspraken met je werknemers om te zorgen dat ze zorgvuldig omgaan met bedrijfs- en persoonsgegevens.

1. Gedragsregels en protocollen opstellen

Gebruik een personeelshandboek. Hierin staan alle bedrijfsregels en afspraken die je met je werknemers maakt, zoals het gedrag op de werkvloer en hoe je omgaat met gevoelige bedrijfsinformatie. Hierin kun je ook een zogenaamde cleandeskbeleid opnemen. Daarin vermeld je dat je vertrouwelijke documenten of privacygevoelige informatie na gebruik altijd veilig opbergt. Breng het delen van gevoelige informatie regelmatig ter sprake tijdens een werkoverleg of functioneringsgesprek. Zo blijft je personeel alert op de risico’s.

Een andere optie om je bedrijfsinformatie te beschermen is het opstellen van protocollen volgens een bepaalde norm, zoals ISO 27001. Hierin beschrijf je hoe je procesmatig omgaat met het beveiligen en beschermen van persoons- en bedrijfsgegevens. Zo bepaal je bijvoorbeeld dat persoonsgegevens niet per mail verstuurd mogen worden, maar alleen versleuteld in een beveiligde omgeving.

2. Geheimhoudingsverklaring: jij bepaalt wat erin staat

Heb je bedrijfsgeheimen, werk je met specialistische kennis of andere bijzondere bedrijfsgegevens? Stel dan een geheimhoudingsverklaring op waarin staat dat het verboden is om deze informatie te delen. Dit wordt ook wel een geheimhoudingsbeding genoemd. Een geheimhoudingsverklaring is vaak onderdeel van een arbeidsovereenkomst, maar kan ook op een later moment los opgesteld worden.

Wat er precies in de verklaring staat, beslis je als werkgever zelf. “Geheimhouding is niet expliciet wettelijk geregeld,” legt juridisch adviseur Marieke van Leeuwen uit. ‘’Meestal geef je aan wie de betrokken partijen zijn, welke informatie geheim moet blijven en wat er gebeurt als de werknemer de afspraken niet nakomt. Het ligt aan het type organisatie en de werkzaamheden of je een geheimhoudingsbeding afspreekt met je werknemer. Ontwikkel je bijvoorbeeld innovatieve, hoogwaardige microchips of werk je als advocaat met gevoelige klantgegevens? Breng in kaart welke bedrijfsrisico’s je loopt als bepaalde informatie in verkeerde handen komt. Op basis daarvan vermeld je dan welke informatie vertrouwelijk is en voor wie. Informatie mag bijvoorbeeld wel met bepaalde collega’s gedeeld worden, maar niet met derden.” Een geheimhoudingsverklaring blijft geldig als een medewerker niet meer in dienst is.

3. Goed werknemerschap

Een aparte geheimhoudingsverklaring is volgens Van Leeuwen niet altijd nodig. “Met een geheimhoudingsverklaring geef je meer gewicht aan het geheimhouden van bedrijfsinformatie en leg je vast wat de gevolgen zijn als er schending plaatsvindt. Daar kun je bijvoorbeeld een boete aan verbinden. Het is bewijsrechtelijk verstandig om dit vast te leggen, omdat je met een verklaring makkelijker aantoont dat een specifieke afspraak is geschonden. Maar het hoeft in principe niet, want geheimhouding volgt uit de norm van goed werknemerschap, dat wel in de wet is vastgelegd. Dat betekent dat iedere werknemer met een arbeidsovereenkomst verplicht is om zich goed te gedragen. Je mag je werkgever bijvoorbeeld geen schade toebrengen. Het delen van gevoelige bedrijfsgegevens hoort daarbij.”

4. Meld gemaakte fouten

Wat als een medewerker toch gevoelige bedrijfsinformatie heeft gedeeld? Jacqueline Steeneveld van Ruitenburg adviseurs & accountants zegt hierover: “Het is belangrijk dat collega’s een fout of mogelijke datalek direct melden bij de leidinggevende, want dan kun je de benodigde acties ondernemen en voorkomen dat het probleem groter wordt. Het is niet erg als mensen fouten maken, maar wel als ze er niets mee doen.” Als je te maken hebt met een ernstig datalek van persoonsgegevens, dan ben je als organisatie in sommige gevallen verplicht om dit te melden bij de betrokkenen en bij de Autoriteit Persoonsgegevens.

5. Sancties: van waarschuwing tot ontslag

Wanneer medewerkers per ongeluk vertrouwelijke bestanden naar de verkeerde klant sturen, is dit iets anders dan wanneer ze bewust fraude plegen en vertrouwelijke bedrijfskennis doorverkopen aan een concurrent. Hoe je omgaat met de fouten van je werknemer hangt dan ook af van de aard van de situatie. “Zorg dat de maatregel in verhouding staat met de schending van het bedrijfsgeheim”, zegt Van Leeuwen. “Er zijn verschillende sancties die je als werkgever kunt opleggen, zoals het geven van een waarschuwing of het opleggen van een boete. Het schorsen of ontslaan van een medewerker is een vergaande maatregel. Denk eraan dat je bij schorsing als werkgever verplicht bent om het loon door te betalen.”

Stimuleer een open bedrijfscultuur

Voorkomen is beter dan genezen, volgens Van Leeuwen. “Als je van een schending een rechtszaak maakt, beoordeelt de rechter hoe de bepalingen uit de geheimhoudingsverklaring worden uitgelegd, welke afspraken de medewerker niet is nagekomen en welke specifieke schade je als ondernemer hebt geleden. Het is lastig aan te tonen dat een geheimhoudingsbeding daadwerkelijk is overtreden. Er kan een ‘vermoeden van overtreding’ bestaan, maar dit geldt niet meteen als bewijs. De (ex)werkgever moet het bewijs leveren dat er sprake is van overtreding. Dit kost tijd. Stimuleer een open bedrijfscultuur waarin veiligheid en vertrouwen