Brede aandacht in de pers deze week voor de Callebaut-zaak, waar een ex-werknemer veroordeeld werd tot zes maanden celstraf omdat hij vlak voor zijn vertrek naar een concurrent nog snel 19.000 bedrijfsbestanden had gedownload, inclusief de chocoladerecepten en heel wat andere vertrouwelijke interne documenten. De rechtbank oordeelde dat er geen bewijs was dat hij de informatie had doorgespeeld, maar strafte hem wel voor misbruik van vertrouwen.
Dat leidde me vanochtend tot de bedenking dat “dataveiligheid” niet enkel een GDPR-issue is ten aanzien van persoonsgegevens, maar dat je ganse organisatie gebaat is bij een beter en strenger dataveiligheidsbeleid om al je bedrijfskritische data veilig te houden.
Bij Sirius Legal begeleiden we dagelijks bedrijven bij het uitrollen van hun GDPR-beleid, van impactanalyses tot toegangsbeheer en dataclassificatie. Tegelijk behandelen we regelmatig dossiers over schending van geheimhoudingsverplichtingen, afwerving van personeel of misbruik van vertrouwelijke informatie. Wat daarbij telkens opnieuw opvalt, is dat bedrijven veel te weinig zicht en controle hebben over hun eigen data. Ze weten vaak niet welke informatie waar zit, wie er toegang toe heeft of welke data als écht kritisch moet worden beschouwd. Dat geldt zowel voor persoonsgegevens als voor strategische bedrijfsinformatie zoals R&D-documenten, financiële gegevens of klantendata. Die gebrekkige grip maakt hen kwetsbaar, zowel intern als tegenover ex-werknemers, consultants en zelfs in de rechtbank.
Waarom de bescherming van bedrijfsgeheimen intern vaak faalt
Sinds 2018 biedt de wet een duidelijk kader voor de bescherming van bedrijfsgeheimen. De voorwaarde is wel dat bedrijven aantonen dat ze de informatie effectief geheim wilden houden. Daar wringt het vaak. Wat als vertrouwelijk beschouwd wordt, is zelden als dusdanig aangeduid. Toegang tot gevoelige documenten is niet beperkt tot wat strikt noodzakelijk is. Bij vertrek van een werknemer wordt er geen systematische check gedaan. Pas wanneer de informatie opduikt bij een concurrent, wordt duidelijk wat het risico was.
GDPR als fundament voor bredere databeveiliging
Veel bedrijven blijven GDPR bekijken als een verplichting die vooral over privacy gaat en enkel draait om het vermijden van boetes. Maar wie het goed aanpakt, legt net een stevige basis voor een bredere bescherming van alle gevoelige informatie binnen de organisatie.
Een van de kernprincipes van GDPR is dat medewerkers enkel toegang mogen hebben tot de gegevens die ze nodig hebben om hun werk te doen. Dat need-to-know-principe is cruciaal. In plaats van standaardtoegang tot alles, beperk je de toegang tot wat echt relevant is voor iemands functie. En dat helpt niet alleen om persoonsgegevens te beschermen, maar ook om andere gevoelige data, zoals R&D-informatie, financiële gegevens of strategische documenten, intern af te schermen.
Daarnaast dwingt GDPR je om duidelijke interne regels uit te werken over hoe medewerkers met data mogen omgaan. Wat mag je downloaden? Waar mag je gegevens opslaan? Hoe ga je om met e-mails, externe toegang of mobiele toestellen? Veel bedrijven hebben daar geen echt beleid rond, of het beleid is niet gekend of toegepast. Maar als je daar wél werk van maakt, vermijd je dat gevoelige informatie zomaar kan gekopieerd of doorgestuurd worden.
Van toegangsbeheer tot dataclassificatie: GDPR-principes in de praktijk
Logging en monitoring zijn een volgende stap. Daarmee kan je verdachte handelingen snel detecteren. Denk aan ongebruikelijk grote downloads vlak voor een vertrek, toegang tot documenten buiten de normale werkuren of export van bestanden naar privétoestellen. Dat soort monitoring is niet evident, want je moet rekening houden met het privacy- en arbeidsrecht. Maar met de juiste juridische en technische aanpak kan je perfect binnen de lijnen blijven.
Wat alles samenbrengt, is dataclassificatie. Door informatie intern te labelen volgens vertrouwelijkheidsniveau, creëer je duidelijkheid over wat echt kritisch is. Op basis daarvan kan je dan toegangsrechten instellen, strengere opslag- of downloadbeperkingen opleggen, en zelfs bepalen welke documenten wel of niet op mobiele toestellen mogen staan.
Het grote voordeel is dat je dankzij zo’n classificatiesysteem ook veel sterkere vertrouwelijkheidsclausules kan inschrijven in arbeidsovereenkomsten of contracten met consultants. Omdat je perfect kan benoemen wat als vertrouwelijke informatie geldt en hoe daarmee moet worden omgegaan, vergroot je de kans dat je zulke afspraken ook effectief kan afdwingen wanneer het nodig is.
Wie zijn GDPR-compliance ernstig neemt, beschikt dus over het ideale kader om ook andere, niet-persoonsgebonden informatie degelijk te beschermen. Dat is geen toeval, maar het resultaat van een doordachte en samenhangende aanpak van je databeleid.
Waarom investeren in GDPR-compliance ook jouw intellectuele eigendom beschermt
Toch merken we in de praktijk dat veel bedrijven blijven aarzelen. GDPR is te technisch, te veel werk, te weinig prioriteit. Er is zelden tijd, budget of incentive om interne processen aan te passen, zeker als die naar aanvoelen van de medewerkers “altijd goed gewerkt hebben”. Het is pas als het uiteindelijk toch misloopt dat bedrijven inzien dat ze misschien toch maar moeten investeren in meer dataveiligheid.
De zaak bij Callebaut toont aan hoe snel het kan gaan. De zaak is overigens héél erg vergelijkbaar met enkele andere dossiers die we de voorbije jaren zagen en waarbij (ex-)werknemers door interne slordigheden de kans krijgen om vertrouwelijke gegevens te downloaden of te kopiëren. Al te vaak blijkt dan het spreekwoord “de gelegenheid maakt de dief” toch een grond van waarheid te bevatten en voor bedrijven komt het er dus op aan de gelegenheid precies niet te creëren…
Checklist: 7 stappen om bedrijfsgeheimen te beveiligen via je GDPR-beleid
Wie vertrouwt op een louter juridisch kader om zijn bedrijfsgeheimen te beschermen, komt vaak bedrogen uit. Het zijn de interne systemen en afspraken die het verschil maken. En net daar ligt de kracht van een goed uitgewerkt GDPR-beleid: het biedt structuur, overzicht, beperking en bewijs.
Als je vertrouwelijke data, intellectuele eigendom of gevoelige strategieën wil beschermen, moet je vandaag verder kijken dan klassieke geheimhoudingsclausules. De realiteit is dat preventie begint bij je interne organisatie. Dit zijn onze concrete aanbevelingen:
- Voer een dataclassificatie in
Breng in kaart welke soorten data je bedrijf verwerkt en geef elk type een duidelijk vertrouwelijkheidsniveau. Maak een onderscheid tussen publieke, interne, vertrouwelijke en strikt vertrouwelijke data. Zorg ervoor dat werknemers weten welke regels gelden voor elk niveau. Dat is niet alleen nuttig voor GDPR-compliance, maar vormt ook de basis om bedrijfsgeheimen effectief af te schermen. - Werk met access management en het need-to-know-principe
Niet iedereen moet overal bij kunnen. Zorg voor gestructureerd toegangsbeheer, waarbij rechten worden toegekend op basis van functies en werkelijke noden. Herzie die rechten periodiek, zeker bij functieverschuivingen of uitdiensttreding. - Voorzie duidelijke policies rond datagebruik
Leg vast wat medewerkers mogen doen met bedrijfsdata. Mag je gegevens extern opslaan? Mag je documenten downloaden op persoonlijke toestellen? Is het toegestaan om bedrijfsinfo via e-mail of tools zoals WeTransfer te versturen? Transparante, schriftelijke regels geven je zowel intern houvast als externe verhaalsmogelijkheden. - Implementeer logging en monitoring (met de juiste juridische omkadering)
Detecteer verdachte datavolumes, ongebruikelijke toegangspogingen of export naar externe schijven. Doe dit wel in overeenstemming met de privacyrechten van je personeel en met de juiste DPIA en policykaders. - Formaliseer je offboarding-proces
Zorg dat bij het vertrek van een medewerker of consultant een vaste checklist wordt doorlopen. Sluit de toegang af, vorder devices terug, wis kopieën, en laat desgevallend een verklaring ondertekenen. Combineer dat met technische controlemogelijkheden. - Zorg voor awareness en opleiding
Beleidsdocumenten zijn weinig waard als je team niet begrijpt wat ze betekenen. Voorzie opleiding, bespreek risico’s, en maak duidelijk wat de gevolgen zijn van non-compliance, zowel intern als extern. - Veranker je databeleid in je contracten
Herbekijk je arbeidsovereenkomsten, consultancycontracten, NDA’s en exitdocumentatie in functie van je interne databeleid. Definieer duidelijk wat vertrouwelijke informatie is op basis van je dataclassificatie, specificeer hoe ermee moet worden omgegaan, en koppel er concrete sancties aan. Hoe preciezer en beter onderbouwd je clausules, hoe groter de kans dat je ze ook effectief kan afdwingen.
Heb je vragen over GDPR of over bescherming van je bedrijfsdata?
Wil je weten hoe je bovenstaande aanbevelingen kan toepassen in jouw organisatie? Boek dan gerust een vrijblijvende videocall met een van onze experten via de link hiernaast. We denken graag met je mee.
Maak hier een afspraak
Onze expertise
Bestrijd namaak
Een copycat is met je product aan de haal en verkoopt het online of op de zwarte markt aan bodemprijzen. Ga best meteen over tot actie, maar laat je begeleiden door een expert!
Bescherm je IP
Welke intellectuele eigendomsrechten kan jij inroepen? We adviseren je graag bij auteursrecht, softwarebescherming, databankrecht, tekeningen en modellen, merkenrecht, knowhow en bedrijfsgeheimen, …
GDPR compliance
GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.