Zo bescherm je je data juridisch

Bescherming van data

Juridisch gezien spreken we niet over eigendom van data en/of gegevens, alleen “zaken” kunnen eigendom zijn en data worden niet als zaak aangemerkt. Er bestaan specifieke wetten die ervoor zorgen dat ook data en/of gegevens (digitaal) beschermd worden. Denk hierbij aan wetten voor de bescherming van intellectuele eigendomsrechten, maar ook aan wetgeving als de Algemene Verordening Gegevensbescherming (AVG), het databankenrecht en de wet bescherming bedrijfsgeheimen.

Algemene Verordening Gegevensbescherming

Data die kunnen leiden tot identificatie van een individueel persoon zijn vrij snel aan te merken als persoonsgegevens. Bij persoonsgegevens gelden de verplichtingen van de AVG. De AVG ziet op de bescherming van dergelijke persoonsgegevens. Echter, de voorwaarden en bepalingen van de AVG zijn vooral gericht op het neerzetten van een normenkader waaraan (met name) de verantwoordelijke moet voldoen bij het op zorgvuldige wijze verwerken van persoonsgegevens. Betrokkenen, verantwoordelijken en/of verwerkers hebben geen specifieke eigendomsrechten op de persoonsgegevens. Wel hebben betrokkenen het recht om controle uit te kunnen oefenen over de persoonsgegevens. Je kunt hierbij denken aan het recht op rectificatie, verwijdering, beperking van de verwerking, dataportabiliteit, een algemeen recht op bezwaar, en het recht op bezwaar tegen profilering. Kortom, zodra data zijn aan te merken als persoonsgegevens dan worden deze in meer of mindere mate beschermd door de AVG. De nieuwe EDPB-richtsnoeren (Guidelines 1/2024) verduidelijken hoe organisaties het ‘gerechtvaardigd belang’ moeten onderbouwen.

Auteurswet

Data in de vorm van ‘werk van letterkunde, wetenschap of kunst’ komen in aanmerking voor auteursrechtelijke bescherming. Denk hierbij aan (onderzoeks)rapporten, tekeningen, uitgeschreven analyses en software. Auteursrechten komen toe aan de maker van het werk. Hierop zijn een aantal uitzonderingen. Als een werknemer in loondienst namelijk iets maakt, dan komen de rechten automatisch toe aan de werkgever. Data kunnen ook ten grondslag liggen aan of onderdeel uitmaken van een nieuwe baanbrekende uitvinding die voor octrooirechtelijke bescherming in aanmerking kan komen.

Databankenrecht

De wet kent ook intellectuele eigendomsrechten waarbij het creatieve proces een minder belangrijke rol speelt, zoals het databankenrecht. Het databankenrecht beschermt de investering die een persoon heeft gedaan in het verkrijgen van een databank. De bescherming die een databank biedt, heeft dus ook enkel betrekking op de presentatie van deze databank en niet op de data zelf. In de term ‘investering’ zit de kern van de vraag of data onder het databankenrecht valt. De investering in data moet namelijk voldoende substantieel zijn, wil er sprake zijn van een databankenrecht. Alleen de investeringen in het verkrijgen, controleren en presenteren van de gegevens in die databank mogen meetellen. De investering die betrekking heeft op het zelf maken van gegevens telt dus niet mee. Als er in data al voldoende substantieel geïnvesteerd is, dan geldt er nog een tweede vereiste, namelijk dat de gegevens op gestructureerde wijze bij elkaar moeten zijn gebracht. Databankenwet is in 2025 geactualiseerd, met verduidelijkingen in definities en toepassing.

Bedrijfsgeheim

In bepaalde situaties kan data ook worden aangemerkt als een bedrijfsgeheim. Het verkrijgen, gebruiken en/of openbaar maken van een bedrijfsgeheim is onrechtmatig. De wet stelt eisen aan het verkrijgen van data met de status bedrijfsgeheim. Er mag geen sprake zijn van algemeen bekende of toegankelijke data, de data moet handelswaarde bezitten en de rechthebbende moet redelijke maatregelen hebben genomen om zijn data geheim te houden. Data die geen bescherming genieten vanuit het databankenrecht, omdat ze bijvoorbeeld zelf gecreëerd zijn door het uitvoeren van een onderzoek, kunnen eventueel wel beschermd worden door ze aan te merken als bedrijfsgeheim. Belangrijk hierbij is dat er goede afspraken worden gemaakt tussen alle betrokken partijen over hoe om te gaan met bedrijfsgeheimen. Hierbij kun je denken aan het gebruik van geheimhoudingscontracten of zogenaamde non-disclosure agreements, autorisatiebeheer, logging en duidelijke contractuele afspraken over delen, gebruik en teruglevering die dan vereist zijn.

Maak duidelijke afspraken

Als de wet niet duidelijk is, dan is het aan partijen zelf om duidelijke afspraken over data te maken. Doe dit altijd en in schriftelijke vorm. Data kan voor jouw onderneming cruciaal zijn. Met name bij clouddiensten waarbij data van de ene partij staat opgeslagen op de servers van de andere partij zijn duidelijke afspraken zeer belangrijk. Inventariseer welke data bescherming vereisen. Documenteer juridische grondslagen volgende Guidlines 1/2024. Evalueer contracten op data-toegang, geheimhouding en cloud-exit. Stel interne processen in voor datalek-melding en vulnerability management en houd rekening met toekomstige eisen van AI Act en CRA.

Meer weten?

aaff is graag overal van betekenis. Wil je meer informatie of advies over verschillende data-vraagstukken? Neem dan contact op met onze jurist ondernemingsrecht en ICT-recht.