Er virksomhetens informasjon godt nok sikret og tilpasset en ny arbeidshverdag?

Mot COVID-19 beskytter vi oss med munnbind, en-meters regelen og håndsprit. Men hvordan beskytter du virksomhetskritisk informasjon fra konkurrenter og andre? For å beskytte forretningshemmeligheter må det dessverre litt mer komplekse tiltak til. Nå kommer det en lov som setter krav om konkrete tiltak fra virksomheten for at en opplysning skal anses som en forretningshemmelighet og omfattes av lovens vernebestemmelser. Har din virksomhet iverksatt tilstrekkelige tiltak? Og hvordan skal tiltakene tilpasses en hverdag hvor arbeidstakere i større grad utfører arbeidet utenfor virksomhetens lokaler?

Bakgrunnen for den nye loven er å implementere EUs forretningshemmelighetsdirektiv.  Formålet med direktivet er å styrke beskyttelsen av forretningshemmeligheter i Europa og sikre like rettsregler mellom EU-landene. Dette gjøres som et ledd i EUs nye vekststrategi - med formål om å fremme innovasjon, som igjen vil bidra til økonomisk vekst i det indre markedet. Gjennom å bedre beskyttelsen av forretningshemmeligheter i lovgivningen, vil man bidra til å styrke rettsvernet for aktører som har eller kommer til å få behov for vern. Dette er viktig for å sikre virksomheters konkurransekraft, og å legge til rette for nyskaping og kunnskapsoverføring. 

Det følger av den nye loven om vern av forretningshemmeligheter at et av vilkårene for at informasjon skal anses som en forretningshemmelighet, er at innehaveren har truffet “rimelige tiltak for å holde (opplysningene) hemmelige”. Den nye loven oppstiller en skjerpet aktivitetsplikt sammenlignet med tidligere lovgivning.  

Hvilke tiltak kan og bør så virksomheten treffe for å holde opplysningene hemmelige? Tiltakene må skreddersys til hver enkelt virksomhet og ut ifra verdien av opplysningene man ønsker å beskytte. Videre er det viktig at tiltakene er tilpasset de faktiske forhold i virksomheten. Det bør også vurderes om tiltakene er tilstrekkelig i en arbeidshverdag hvor flere jobber på andre steder enn i virksomhetens lokaler. 

Generelle tiltak 

Tiltakene for å hemmeligholde opplysninger kan i hovedsak deles opp i kontraktuelle, tekniske og organisatoriske tiltak. Konkrete eksempler er avtalerettslig regulering med arbeidstakere, tidligere arbeidstakere eller oppdragstakere og andre samarbeidspartnere, fysisk og teknisk tilgangskontroll, merking av dokumenter og gjenstander.

Tiltak overfor ansatte - taushetsplikt i arbeidsavtaler 

I forhold til ansatte er et av hovedtiltakene som normalt benyttes for å beskytte forretningshemmeligheter å innta en klausul om taushetsplikt i arbeidsavtalen. En regulering av taushetsplikt finnes i de fleste arbeidsavtaler som inngås i Norge i dag. Det er imidlertid ikke alltid helt klart hva taushetsplikten omfatter. Et eksempel er følgende: Arbeidstaker plikter å bevare taushet om alle opplysninger og alt materiale som denne mottar eller får tilgang til i forbindelse med arbeidet. Taushetsplikten gjelder ikke opplysninger som er offentlig tilgjengelige....eller opplysninger som åpenbart ikke er av konfidensiell natur. Selv om det ligger en terskel inne for hva som skal anses som konfidensiell informasjon, overlater virksomhetene også noe av ansvaret for å definere hva som omfattes av klausulen til den enkelte ansatte. Det er uheldig. Klausuler om taushetsplikt i arbeidsavtaler utfylles gjerne av opplæring knyttet til for eksempel “code of conduct” eller bruk av utstyr, interne retningslinjer, sikring av hemmelige dokumenter etc. I hvor stor grad taushetsplikten i arbeidsavtalene og andre tiltak overfor ansatte direkte regulerer sikring av forretningshemmeligheter varierer. Her har nok mange virksomheter en jobb å gjøre.  

Sammensatte opplysninger som kan utgjøre en forretningshemmelighet 

Bildet kompliseres ytterligere ved at informasjon som isolert sett ikke anses for å være en forretningshemmelighet, vil kunne utgjøre en forretningshemmelighet når det ses i sammenheng med annen informasjon. Et typisk eksempel er at informasjon om enkelte kunder/leverandører, produkter eller prosesser isolert sett normalt ikke er en forretningshemmelighet. Mye av det er offentlig tilgjengelig informasjon. Men når man ser en virksomhets samlede oversikt over kunder, leverandører, produkter og prosesser totalt sett vil det kunne utgjøre en forretningshemmelighet. Vår erfaring er at mange virksomheter ikke har et bevisst forhold til hva som skal anses som en forretningshemmelighet, så hvordan kan man da forvente at de ansatte vet dette? Og hva er forskjellen på en bedriftshemmelighet og opplysninger omfattet av taushetsplikten og opplysninger av konfidensiell natur? Her er det lett å gå seg vill i begreper, selv for oss jurister. 

Arbeid utenfor virksomhetens kontorer

Så hva da når den ansatte sitter på en cafe eller et bibliotek og arbeider på grunn av restriksjoner knyttet til COVID. Eller den ansatte sitter hjemme og arbeider og har dokumentene knyttet til dagens arbeid liggende åpent på “hjemmekontoret” i stuen. Hvem er da ansvarlig for at forretningshemmeligheter er tilstrekkelig beskyttet? Svaret på dette beror på flere ting. For det første hvorvidt virksomheten i tilstrekkelig grad har utarbeidet retningslinjer i forhold til hvordan arbeidet skal utføres. Er det gitt noen form for opplæring? Er de ansatte informert om hva som anses som en forretningshemmelighet og hva som er konfidensiell informasjon? Er relevante filer/dokumenter tilstrekkelig merket? Og har virksomheten sørget for innsynsfilter på pcer? 

Vår erfaring er at mange virksomheter ikke har har tatt tilstrekkelige organisatoriske, administrative og eller tekniske grep for å sikre sine hemmeligheter. Dette kan få store konsekvenser, særlig når de ansattes arbeidstakere flytter arbeidsdagen ut av virksomhetens lokaler.

Vernet etter den nye loven

Den gode nyheten er at virksomheter som faller inn under definisjonen i loven og som gjør nødvendige grep, vil være beskyttet av lovens vernebestemmelser. Kort sagt innebærer det at det vil være lettere å nå frem eksempelvis med et krav om forbud mot andres urettmessige bruk av virksomhetens forretningshemmeligheter. Lovens vernebestemmelser er bedre enn det vernet som i dag gjelder for forretningshemmeligheter. 

Merk at dato for ikrafttredelse ikke er fastsatt, så det er fortsatt tid til å ta de nødvendige grepene. Se gjerne vår nyhetssak på PwC.no hvor du får noen tips til hva virksomheter bør gjøre fremover.

                                                                      ***
Dette blogginnlegget er skrevet av Heidi Beate Daaland.