Data is de brandstof van de moderne economie. Het is echter onduidelijk welke rechten daarop bestaan en wie daarop aanspraak kan maken. Dit betekent dat er in veel gevallen geen manier is om misbruik van gegevens door derden te voorkomen. Ondernemingen moeten daarom met hun zakenpartners contractueel een bijzondere bescherming van hun gegevens vastleggen.
Wanneer het om hun gegevens gaat, bevinden de meeste bedrijven zich in een dichotomie: enerzijds hechten zij enorm veel waarde aan het verzamelen van uitgebreide gegevens en het winstgevend gebruiken ervan. Anderzijds ontbreekt het hun, zuiver juridisch gezien, aan een regeling over welke rechten zij werkelijk hebben op hun dataschatten. Indien bijvoorbeeld andere ondernemingen in het bezit van de gegevens zouden komen, zouden zij deze in vele gevallen ook mogen gebruiken – ongestraft en zonder toestemming te vragen. De weg naar een wet om dit juridisch grijze gebied te verlichten is nog lang. Maar er is een oplossing: bedrijven moeten de rechten op de gegevens contractueel vastleggen met hun zakenpartners.
De kern van het probleem
De meeste mensen denken bij gegevensbescherming het eerst aan de wetgeving inzake gegevensbescherming. De belangrijke gegevensbeschermingswet beschermt personen tegen misbruik van hun gegevens – maar alleen zij! De wet is alleen van toepassing op persoonsgegevens, d.w.z. gegevensreeksen die aan specifieke personen kunnen worden toegewezen. Dit betekent dat de wetgeving inzake gegevensbescherming niet van toepassing is op anoniem gemaakte of geaggregeerde gegevens.
De wet bepaalt ook niet wie “eigenaar” is van de verzamelde gegevens, d.w.z. het economische exploitatierecht blijft onaangetast. Het feit dat gegevens die onvrijwillig openbaar worden gemaakt, door iedereen kunnen worden gebruikt, is een enorm risico. Dit geldt vooral voor bedrijven met digitale bedrijfsmodellen, waar de gegevens vaak waardevoller zijn dan de eigenlijke producten of diensten.
Juridisch niemandsland
Maar ook andere wetten schieten te kort: het eigendom van het opslagmedium beschermt bijvoorbeeld alleen de eigenaar van de server, maar niet de gegevens die op de server zijn opgeslagen. In tijden van cloud en software as a service is dit een meer dan onvolledige bescherming. En het auteursrecht is volkomen misplaatst omdat er geen sprake is van een intellectuele schepping door een auteur in het geval van zowel persoonsgegevens als niet-persoonsgebonden gegevens.
Als er nu een datalek is, kan in veel gevallen alleen actie worden ondernomen tegen derde partijen die de schuldige zijn. Of anders gezegd: wettelijk is het niet mogelijk te voorkomen dat de illegaal gepubliceerde gegevens van een bedrijf door anderen worden gebruikt; alleen degenen die verantwoordelijk zijn voor de publicatie kunnen worden gestraft. Het straffen van hackers of indiscrete werknemers kan misschien het verlangen naar gerechtigheid bevredigen – maar in de meeste gevallen maakt het de schade niet ongedaan. Wat kan er in plaats daarvan gedaan worden?
Maak van bedrijfspartners partners op het gebied van gegevensbescherming
Ondernemingen moeten de situatie van meet af aan strategisch aanpakken en hun bedrijfspartners er in een vroeg stadium bij betrekken. Concreet kan dit betekenen dat duidelijke contracten over de reikwijdte en de grenzen van het gebruik worden gesloten met ondernemingen waarmee voor zakelijke doeleinden gezamenlijk gegevens worden gegenereerd of uitgewisseld. Immers, indien bijzondere bescherming van de gegevens contractueel is vastgelegd, is elk gebruik van de gegevens buiten het vastgestelde kader ook juridisch tastbaar. Als een bedrijf zijn huiswerk doet en contracten afsluit waarin de rechten op gegevens zijn geregeld, wordt het “beloond” in die zin dat dan in veel gevallen de Trade Secrets Act van toepassing is en het exploitatierecht op de gegevens wordt beschermd.
Maar voor een effectieve bilaterale, contractueel gegarandeerde gegevensbescherming zijn gedetailleerde contracten nodig. De volgende punten zijn eveneens van essentieel belang:
- Wie heeft in principe het recht om de gegevens te exploiteren? Als de gegevens gezamenlijk worden gegenereerd: Welke contractpartner heeft recht op welke rechten?
- In het geval van gegevenslicenties: welke rechten worden precies aan het andere bedrijf verleend? Welke gegevens mogen worden gebruikt? Voor welke doeleinden?
- Mogen de gegevens worden opgeslagen? Zo ja, wanneer moeten de gegevens weer worden verwijderd?
- Mogen ze aan derden worden doorgegeven?
- Wie heeft er recht op de kennis die uit de gegevens is verkregen?
De eigenaar van de gegevens moet duidelijk zijn over deze en andere punten en deze vervolgens zo nauwkeurig mogelijk regelen in het contract.
Proactief worden
Eindelijk is één ding cruciaal: bedrijven kunnen niet wachten tot de wetgeving de realiteit van de datagestuurde economie heeft ingehaald. In plaats daarvan moeten zij zelf actief worden en proberen hun gegevens zelf te beschermen met de tot dusverre beschikbare mogelijkheden en onbevoegde derden zoveel mogelijk uitsluiten door een fijnmazige contractuele bescherming tot stand te brengen. Dit is ook bevorderlijk voor de vaak geprezen vrije uitwisseling van gegevens: Want alleen als bedrijven hun gegevens wettelijk hebben beveiligd, kunnen ze een licentie krijgen en worden uitgewisseld. En juist dat laatste is een aantrekkelijke optie: in haar in februari jl. gepubliceerde datastrategie richt de EU-Commissie zich volledig op het delen van gegevens, ook om zich te onderscheiden van de VS en China. De EU bevordert de uitwisseling en het volledige gebruik van het economisch potentieel van gegevens. Hierdoor wordt het een handelswaar of valuta om andere gegevens te verkrijgen. Het zou fataal zijn als bedrijven dit commercialiseringspotentieel zouden laten liggen omdat zij het recht om hun gegevens te exploiteren niet in een vroeg stadium contractueel hebben vastgelegd.
Over de auteur
Dr Stefan Krüger is advocaat en partner bij EY Law en leidt de Digital Law-praktijk in Duitsland, Oostenrijk en Zwitserland.
Hij richt zich op advisering over de uitvoering van de digitale agenda, digitale bedrijfsmodellen (met name op gegevens gebaseerde diensten), de bescherming en exploitatie van intellectuele-eigendomsrechten, waaronder licentiëring, alsmede op het vertegenwoordigen van cliënten in procedures voor Duitse rechtbanken en rechtbanken van de Europese Unie.