Psst… zo houd je bedrijfsgegevens geheim

Veel datalekken ontstaan doordat iemand gevoelige persoonsgegevens naar de verkeerde ontvanger stuurt. De schade door zo'n datalek kan een cyberincident tot gevolg hebben. De schade door een cyberincident is gemiddeld 67.000 euro. Maak daarom afspraken met je werknemers over hoe ze omgaan met gevoelige informatie. Stel gedragsregels op of leg afspraken vast in een geheimhoudingsverklaring. Dat deed een Zuid-Hollands handelsbedrijf ook, waarna ze een medewerker die zakelijke informatie aan een concurrent doorspeelde een boete van een half miljoen op konden leggen.

Veilig werken met gegevens

Voorkom bedrijfsrisico’s zoals datalekken door je systemen te beveiligen. Maak daarnaast afspraken met je werknemers zodat ze zorgvuldig omgaan met bedrijfs- en persoonsgegevens.

1. Gedragsregels en protocollen opstellen

Gebruik een personeelshandboek. Hierin staan alle bedrijfsregels en afspraken die je met je werknemers maakt, zoals het gedrag op de werkvloer en hoe je omgaat met gevoelige bedrijfsinformatie. Hierin kun je ook een zogenaamd cleandeskbeleid opnemen. Daarin spreek je met elkaar af dat je vertrouwelijke documenten of privacygevoelige informatie na gebruik altijd veilig opbergt. Bespreek het delen van gevoelige informatie regelmatig tijdens een werkoverleg of functioneringsgesprek. Zo blijft je personeel letten op de risico’s.

Je kunt je bedrijfsinformatie ook beschermen door protocollen te gebruiken, zoals ISO 27001. Hierin beschrijf je hoe je omgaat met het beveiligen en beschermen van persoons- en bedrijfsgegevens. Zo bepaal je bijvoorbeeld dat persoonsgegevens niet per mail verstuurd mogen worden, maar alleen met een wachtwoord in een beveiligde omgeving.

2. Geheimhoudingsverklaring: jij bepaalt wat erin staat

Heb je bedrijfsgeheimen, werk je met speciale kennis of andere bijzondere bedrijfsgegevens? Stel dan een geheimhoudingsverklaring op waarin staat dat het verboden is om deze informatie te delen. Dit noemen we ook wel een geheimhoudingsbeding. Een geheimhoudingsverklaring is vaak onderdeel van een arbeidsovereenkomst, maar kun je ook op een later moment los opstellen.

Je bepaalt als werkgever zelf wat er precies in de verklaring staat. “Geheimhouding is wettelijk niet precies geregeld,” legt juridisch adviseur Marieke van Leeuwen uit. ‘’Meestal geef je aan wie de betrokken partijen zijn, welke informatie geheim moet blijven en wat er gebeurt als de werknemer zich niet aan de afspraken houdt. Het ligt aan het type organisatie en de werkzaamheden of je een geheimhoudingsbeding afspreekt met je werknemer. Ontwikkel je bijvoorbeeld innovatieve, hoogwaardige microchips of werk je als advocaat met gevoelige klantgegevens? Maak duidelijk welke bedrijfsrisico’s je loopt als bepaalde informatie in verkeerde handen komt. Op basis daarvan benoem je dan welke informatie vertrouwelijk is en voor wie. Informatie mag bijvoorbeeld wel met bepaalde collega’s gedeeld worden, maar niet met mensen buiten de organisatie.” Een geheimhoudingsverklaring blijft geldig als een medewerker niet meer in dienst is.

3. Goed werknemerschap

Een aparte geheimhoudingsverklaring is volgens Van Leeuwen niet altijd nodig. “Met een geheimhoudingsverklaring geef je aan hoe belangrijk het geheimhouden van bedrijfsinformatie is. En bepaal je wat de gevolgen zijn als iemand zich er niet aan houdt. Daar kun je bijvoorbeeld een boete aan verbinden. Het is verstandig om dit vast te leggen, omdat je met een verklaring makkelijker aantoont dat een afspraak niet is nagekomen. Maar het hoeft niet, want geheimhouding hoort bij goed werknemerschap, dat wel in de wet is vastgelegd. Dat betekent dat iedere werknemer met een arbeidsovereenkomst verplicht is om zich goed te gedragen. Je mag je werkgever bijvoorbeeld geen schade toebrengen. Het delen van gevoelige bedrijfsgegevens hoort daarbij.”

4. Meld gemaakte fouten

Wat als een medewerker toch gevoelige bedrijfsinformatie heeft gedeeld? Jacqueline Steeneveld van Ruitenburg adviseurs & accountants zegt hierover: “Het is belangrijk dat collega’s een fout of mogelijke datalek direct melden bij de leidinggevende. Want dan kun je de benodigde acties ondernemen en voorkomen dat het probleem groter wordt. Het is niet erg als mensen fouten maken, maar wel als ze er niets mee doen.” Als je te maken hebt met een ernstig datalek van persoonsgegevens, dan ben je als organisatie in sommige gevallen verplicht om dit te melden bij de betrokkenen en bij de Autoriteit Persoonsgegevens.

5. Sancties: van waarschuwing tot ontslag

Wanneer medewerkers per ongeluk vertrouwelijke bestanden naar de verkeerde klant sturen, is dit iets anders dan wanneer ze bewust fraude plegen en vertrouwelijke bedrijfskennis doorverkopen aan een concurrent. Hoe je omgaat met de fouten van je werknemer hangt dan ook af van de situatie. “Zorg dat de maatregel past bij de schending van het bedrijfsgeheim”, zegt Van Leeuwen. “Er zijn verschillende sancties die je als werkgever kunt gebruiken, zoals het geven van een waarschuwing of het opleggen van een boete. Het schorsen of ontslaan van een medewerker is een vergaande maatregel. Denk eraan dat je bij schorsing als werkgever verplicht bent om het loon door te betalen.”

Zorg voor een open bedrijfscultuur

Voorkomen is beter dan genezen, volgens Van Leeuwen. “Als je van een schending van een bedrijfsgeheim een rechtszaak maakt, beoordeelt de rechter hoe de afspraken uit de geheimhoudingsverklaring moeten worden begrepen. Maar ook, welke afspraken de medewerker niet is nagekomen en welke schade je als ondernemer hebt geleden. Het is lastig aan te tonen dat een geheimhoudingsbeding daadwerkelijk is overtreden. Er kan een ‘vermoeden van overtreding’ bestaan, maar dit geldt niet meteen als bewijs. De (ex)werkgever moet het bewijs leveren dat er sprake is van overtreding. Dit kost tijd.