Ny lov om vern av forretningshemmeligheter - hvordan beskytte virksomhetens verdier?

Vi har fått en rykende fersk lov om forretningshemmeligheter. Takk og lov, hilsen alle som synes sjongleringen mellom patentloven, markedsføringsloven, straffeloven, straffeprosessloven, tvisteloven og rettspraksis har vært litt klønete. Vi benytter anledningen til å gi en kort innføring i den nylig vedtatte forretningshemmelighetsloven og noen konkrete råd om hvilke tiltak en virksomhet kan implementere for å oppnå det vernet loven gir.

Lov om vern av forretningshemmeligheter - endelig! 

EU-kommisjonen vedtok i 2016 et nytt direktiv om beskyttelse av fortrolig knowhow og fortrolige forretningsopplysninger mot ulovlig ervervelse, bruk og videregivelse (EU-direktiv 2016/943). Direktivet kom som et resultat av et anerkjent behov for å samkjøre regelverket for vern av forretningshemmeligheter. Det ble nemlig identifisert betydelige forskjeller i måten medlemsstatene regulerte og håndhevet vernet på. Dette ble sett på som en trussel for moderne virksomheter. Hvorfor? 

Fordi vern av forretningshemmeligheter er helt sentralt for levedyktigheten til en virksomhet. Du har kanskje hørt uttrykket data is the new oil? Hemmeligholdet av kommersielt viktige opplysninger er fundamentalt i et datadrevet samfunn, og det har i økende grad blitt krevende å beskytte opplysninger når virksomheter preges av lengre produktkjeder, mer outsourcing og økt globalisering. 

Når forretningshemmeligheter er under press fra stadig flere kanter, er det nødvendig med en sterk front i form av et samlet regelverk - både på nasjonalt og europeisk nivå. I god EØS-ånd har Norge svart med en egen særlov for forretningshemmeligheter, og tiden med sjonglering av et fragmentert regelverk er nå over. Det er viktig å merke seg at loven ikke har trådt i kraft, og at ikrafttredelsestidspunktet foreløpig er ubestemt. 

Hva er egentlig en forretningshemmelighet?

I vår nye særlov for vern av forretningshemmeligheter får vi en legaldefinisjon av “forretningshemmeligheter”. Departementet har ment å gi definisjonen samme avgrensning som etter gjeldende rett. Forretningshemmeligheter er altså opplysninger som er

• “hemmelige” i den forstand at de ikke er “allment kjent eller lett tilgjengelig”
• har “kommersiell verdi fordi de er hemmelige”
• innehaveren har truffet “rimelige tiltak for å holde hemmelige”.

Målet for den videre fremstillingen er at du, enten du er leder i et selskap eller saksbehandler ansatt på deltid, skal forstå hvilke opplysninger du bør holde for deg selv, og hvordan virksomheter kan jobbe i det daglige for å beskytte forretningshemmelighetene sine.

Opplysninger som er “hemmelige”

Opplysningene er “hemmelige” når de “ikke som helhet, eller slik de er satt sammen eller ordnet, er allment kjent eller lett tilgjengelig”. 

Dette betyr for det første at ren allmennkunnskap ikke kan være en forretningshemmelighet. Virksomheter kan ikke ta eierskap til allmennkunnskap, kun til opplysninger som er spesifikke for virksomheten. Forretningsspesifikke opplysninger er typisk opplysninger som virksomheten har brukt mye tid og penger på å fremkalle eller samle sammen.

For det andre kan ikke lett tilgjengelige opplysninger være forretningshemmeligheter. Hvis alle og enhver i et stort selskap har tilgang til opplysningene, eller eksterne har enkel tilgang til dem, kan man stille spørsmål ved om opplysningene egentlig er hemmelige i en slik grad at de kan kalles forretningshemmeligheter. Mer om tilgangsstyring senere.

Opplysninger som har “kommersiell verdi fordi de er hemmelige”

Hva betyr det at en opplysning har en kommersiell verdi fordi de er hemmelige? 

For å ta et velkjent eksempel: et selskap produserer en brustype ved hjelp av en hemmelig ingrediens. Ingrediensen skiller brusen fra lignende brustyper og sikrer at forbrukere fortsetter å kjøpe denne brusen. Ingrediensen er med andre ord et konkurransefortrinn. Den kommersielle verdien til selskapet avhenger av at denne ingrediensen forblir hemmelig. 

Hemmeligholdet kan også gi en potensiell verdi som eventuelt materialiserer seg i fremtiden. Videre behøver ikke den kommersielle verdien å knytte seg til konkurransefortrinn. Forskningsmiljøer som forsker på utviklingen av en ny medisin kan for eksempel besitte potensielt svært verdifulle opplysninger, avhengig av om det endelige produktet fungerer som tiltenkt. 

Hvis du som ansatt i en virksomhet befinner deg i en situasjon hvor du er usikker på om bestemte opplysninger er en forretningshemmelighet, kan kontrollspørsmålet være om deling av opplysningene eller annen bruk er egnet til å skade virksomhetens inntjeningsgrunnlag og/eller markedsposisjon.

Innehaveren har truffet “rimelige tiltak for å holde opplysningene hemmelige”

Den kanskje vanskeligste vurderingen knytter seg til vilkåret om at innehaveren må treffe “rimelige tiltak for å holde (opplysningene) hemmelige”. Det gamle ordtaket man høster som man sår speiler kjernen i dette vilkåret og utgjør for øvrig grunnpillaren i immaterialretten. 

Hvilke tiltak kan så virksomheten treffe for å holde opplysningene hemmelige? Tiltakene må skreddersys til hver enkelt virksomhet og ut ifra verdien av opplysningene man ønsker å beskytte. For brusprodusenten vi nevnte over vil kanskje den hemmelige ingrediensen være mer verdifull enn opplysningene som er hentet inn for å prise produktet i markedet. 

Tiltakene for å hemmeligholde opplysninger kan ta ulike former:

• Kontraktuelle tiltak
• Tekniske og organisatoriske tiltak

Virksomheten bør videre sørge for at tiltakene gjelder i følgende sammenhenger:

• Overfor egne ansatte og i den daglige driften av egen virksomhet.
• Overfor eksterne personer og selskaper, typisk kunder eller samarbeidspartnere. Her vil det naturligvis oppstå en særlig risiko for at uvedkommende får tilgang til forretningshemmeligheter. 

Hva kan virksomheten gjøre for å holde opplysningene hemmelige?

Hva mener vi egentlig med at virksomheten kan implementere kontraktuelle, tekniske og organisatoriske tiltak for å holde opplysningene hemmelige? I all hovedsak dreier disse tiltakene seg om at virksomheten skal ta aktive steg for å beskytte opplysningene, og at de som har tilgang til opplysningene skal vite at opplysningene er hemmelige. 

Arbeidet med å sikre forretningshemmeligheter bør være integrert med virksomhetens øvrige sikkerhetsarbeid.

Kontraktuelle tiltak

Det er kanskje ingen brannfakkel at en virksomhet bør beskytte opplysninger gjennom kontraktsregulering som pålegger den andre parten taushetsplikt.  

Virksomheten kan pålegge taushetsplikt i for eksempel ansettelseskontrakter, kontrakter  med andre virksomheter (aktuelt ved for eksempel konsulentoppdrag, outsourcing, fisjoner, fusjoner og oppkjøp av selskap) og ved mer kortvarige ad hoc-oppdrag som ikke er underlagt et veletablert kontraktsregime. 

Det kan så stilles spørsmål ved hvordan man helt konkret skal regulere taushetsplikten i disse kontraktene. Er det nok å skrive at alle opplysninger vedkommende får kjennskap til ved utførelsen av sine arbeidsoppgaver er taushetsbelagte? For å ta oss selv som eksempel; Er det hemmelig hvilket dokumentbehandlingssystem vi i PwC bruker eller at våre advokatfullmektiger har sommertid i juni og juli? 

Det finnes få føringer for hvilket detaljnivå som er påkrevd. Virksomheten bør utforme taushetsklausulen på en slik måte at den ansatte og andre kontraktsparter slipper å lure på hvilke opplysninger som er taushetsbelagte. Taushetsplikten bør for øvrig pålegges skriftlig, slik at virksomheten kan dokumentere eksistensen og omfanget av taushetsplikten, i tilfelle det skulle oppstå en tvist.

Tekniske og organisatoriske tiltak for hemmelighold

Tekniske og organisatoriske tiltak bør komme i tillegg til kontraktuelle tiltak. Disse gjør det enklere for virksomheten å holde kontroll på forretningshemmelighetene sine og enklere for de ansatte å være oppdaterte på hvilke opplysninger som faller inn under taushetsplikten. Vi gir i det følgende noen anbefalinger til hvilke tiltak som bør tas i betraktning.

• Ansvar og instrukser

Ledelsen bør plassere ansvaret for å beskytte opplysningene i egen virksomhet på en klar og tydelig måte. I tillegg bør de ansvarlige få instrukser om hvordan ansvaret skal håndteres, herunder om hvilke tiltak som skal iverksettes. Her bør også virksomheten sørge for å implementere rutiner som sikrer at ansvaret faktisk følges opp i det daglige. 

• Risikovurdering 

En klassisk risikovurdering er godt egnet til å avdekke hvilke tekniske og organisatoriske tiltak virksomheten bør iverksette. I denne vurderingen må det tas høyde for virksomhetens systemer og øvrige infrastruktur.

• Kategorisering av opplysninger

Virksomheten kan få på plass funksjoner og prosesser som bidrar til at opplysninger blir markert og gruppert i ulike kategorier. Dette er et mye brukt virkemiddel som sikrer at alle i virksomheten har et bevisst forhold til hvilke opplysninger som er å betrakte som forretningshemmeligheter.

• Tilgangskontroll og -styring

Virksomheten bør begrense tilgangen til opplysningene, og til fysiske og virtuelle lokasjoner slik at opplysningene kun er tilgjengelige for de som har et tjenstlig behov.

• Logging

Logging av bevegelser og forsøk på uautorisert bruk er et nyttig verktøy for å holde kontroll på hemmeligholdet.

• Sterke, unike passord og to-faktor autentisering

Sterke passord som er unike for hver tjeneste og bruker kan være nødvendige for å sikre at uvedkommende ikke får tilgang til virksomhetens forretningshemmeligheter. Det samme gjelder to-faktor autentisering, altså å bruke to ulike elementer for å kunne logge seg inn (noe du vet, f.eks. et personlig passord, og noe du får vite gjennom noe du har, f.eks. en kodebrikke).

• Sikker deling av informasjon

Kryptering er et virkemiddel for å minimere risikoen for at uvedkommende får tilgang til opplysninger, både i transitt og ved lagring. En sikker måte å dele informasjon på kan være gjennom bruk av et sikkert verktøy for deling (sharepoint e.l.). I hackernes tidsalder er digital beskyttelse av verdier og forretningshemmeligheter en nødvendighet.

• Ha kontroll på papirene dine

Fysisk papiromsetning kan øke risikoen for at opplysningene kommer på avveie. Papirer kan bli glemt igjen på printeren, i bilen, på toget eller andre steder.

• Opplæring av ansatte

Tekniske tiltak er risikoreduserende, men visste du at feilsending av informasjon er den største kilden til sikkerhetsbrudd i Norge? Opplæring av ansatte er essensielt for å sikre at forretningshemmelighetene forblir hemmelige. I opplæringen kan det også være nyttig å gi de ansatte informasjon om hvor de kan henvende seg om de er usikre på hvilke opplysninger som er taushetsbelagte. 

Vi håper at denne gjennomgangen har gitt deg en bedre forståelse av hva en forretningshemmelighet er, hvordan du som ansatt bør forholde deg til dem og hvordan virksomheter kan jobbe i det daglige for å beskytte forretningshemmelighetene sine. 

Ta gjerne kontakt med oss om du lurer på noe!

                                                                         ***
Dette blogginnlegget er skrevet av Anniken Løvstad Hole og Maria Fonneløp Inderberg