Data zijn in beginsel niemands eigendom. Best wel vreemd in een wereld waarin het lijkt alsof alles alleen nog maar om data gaat, denk aan big data en artificial intelligence. Net zoals dat geldt bij creatieve ideeën, die in beginsel ook vrij zijn, gaat het om de specifieke uitwerking of verschijningsvorm van de data die voor bescherming in aanmerking komt of beschermd is en waar je dan rekening mee moet houden. In dit artikel verkennen wij hoe kostbare data juridisch te beschermen zijn en waar je rekening mee moet houden vanuit juridisch perspectief.
Hoewel hierover in de juridische literatuur nog wel discussie bestaat, sluit eigendom van data niet aan bij ons huidige eigendomsbegrip. Volgens de wet, artikel 5:1 Burgerlijk Wetboek, is eigendom het meest omvattende recht dat een persoon op een zaak kan hebben. Eigendom heeft absolute werking, dat wil zeggen dat de eigenaar als enige mag beschikken over de zaak. Iemand anders die die zaak wil gebruiken, zal toestemming moeten hebben van de eigenaar en als de desbetreffende zaak wordt ontvreemd, dan kan de eigenaar het opeisen.
Probleem is alleen dat een ‘zaak’ wettelijk gedefinieerd is als een voor menselijke beheersing vatbaar stoffelijk object. Data als zodanig zijn dat niet, die kun je feitelijk niet vastpakken.
Intellectuele eigendomsrechten, zoals auteursrechten, merken en octrooien, vormen hierop een uitzondering. Dat zijn niet-stoffelijke objecten waarvoor specifieke wetten zijn gemaakt waaraan absolute werking toekomt. Er bestaat echter geen ‘datawet’ die eenzelfde status aan data geeft.
Hoewel er op Europees niveau werd nagedacht over een nieuwe Verordening voor het vrij verkeer van niet-persoonsgebonden gegevens, zou die geen eigendom van data regelen. De focus ligt meer op het wegnemen van nationale belemmeringen om data op te slaan.
Bescherming data als persoonsgegevens
Als verschillende data tezamen kunnen leiden tot identificatie van een individu, zijn deze data al snel aan te merken als persoonsgegevens. Daarop is dan de privacyregelgeving van toepassing, zoals de AVG en andere relevante privacyregels.
Deze regels zijn vooral gericht op het neerzetten van een normenkader waaraan met name de verwerkingsverantwoordelijke moet voldoen bij het zorgvuldig verwerken van persoonsgegevens. Deze regels geven de betrokkene, verantwoordelijke of verwerker geen eigendomsrechten.
Wel krijgt de betrokkene verstrekkende rechten om controle uit te oefenen over ‘zijn’ persoonsgegevens, zoals:
• Het recht geïnformeerd te worden als persoonsgegevens worden verzameld of verkregen van een derde.
• Recht op inzage in persoonsgegevens, doeleinden, ontvangers en herkomst.
• Recht op rectificatie en verwijdering.
• Recht op beperking van verwerking.
• Recht op dataportabiliteit.
• Recht op bezwaar en bezwaar tegen profilering.
Daarnaast heeft de verwerkingsverantwoordelijke de plicht controle te houden over persoonsgegevens die verwerkt worden. Gegevens mogen alleen verwerkt worden als daarvoor een legitieme grondslag bestaat. In sommige situaties moet expliciet toestemming worden gegeven, bijvoorbeeld wanneer gegevens worden uitgewisseld met derden die niet direct bij een behandeling betrokken zijn.
Bescherming dataset door databankenrecht
Hoewel er geen eigendom van gegevens bestaat, biedt het recht onder voorwaarden wel bescherming voor een verzameling van gegevens, een dataset. Een dataset kan een beschermde databank opleveren in de zin van de Databankwet.
Van een beschermde databank is pas sprake als aan een aantal technische eisen is voldaan én substantieel is geïnvesteerd in de verkrijging, controle of presentatie van de inhoud van die databank. Investeringen in het creëren van data tellen daarbij niet mee.
De rechthebbende van de databank is de producent van de databank, degene die het risico van de investering draagt. Deze producent heeft het alleenrecht op het gebruik en hergebruik van de databank en mag derden daarvoor toestemming geven.
Het databankenrecht krijgt in de praktijk volgens de auteurs nog relatief weinig aandacht, terwijl het juist houvast kan bieden bij vragen rondom controle over datasets en het gebruik ervan.
Bescherming data door auteursrecht of octrooi
Data in de vorm van een werk van letterkunde, wetenschap of kunst kunnen auteursrechtelijk beschermd zijn. Denk aan onderzoeksrapporten, tekeningen, analyses en software.
Auteursrechten komen in beginsel toe aan de maker van het werk, al bestaan daarop uitzonderingen. Bijvoorbeeld wanneer iets in loondienst wordt gemaakt: dan komen de rechten automatisch toe aan de werkgever.
Data kunnen daarnaast onderdeel uitmaken van een nieuwe uitvinding die in aanmerking komt voor octrooirechtelijke bescherming. Dat geldt ook voor innovatieve werkwijzen. In dat geval moet een octrooi worden aangevraagd en geregistreerd.
Bescherming data als bedrijfsgeheim
Voor data in de vorm van specifieke kennis, knowhow, recepturen of andere bedrijfsgegevens kan sinds 9 juni 2018 een beroep worden gedaan op de Wet bescherming bedrijfsgeheimen.
Een bedrijfsgeheim heeft niet dezelfde eigendomsstatus als een auteursrecht of octrooi, maar de wet maakt het eenvoudiger om rechtsmaatregelen te treffen, zoals:
• Een verbod op gebruik van bedrijfsgeheimen.
• Verbod op productie met gebruik van bedrijfsgeheimen.
• Beslag en bewijsbeslag.
• Schadevergoeding en proceskostenverhaal.
Data die geen databank kunnen zijn, bijvoorbeeld omdat ze zelf gecreëerd zijn via onderzoek, kunnen dus mogelijk wel als bedrijfsgeheim worden aangemerkt. Goede contractuele afspraken, geheimhoudingsverklaringen en NDA’s blijven daarbij essentieel.
Multidisciplinaire aanpak noodzakelijk
De verschijningsvorm van data is doorslaggevend voor de manier waarop deze beschermd kan worden. Afhankelijk daarvan kan data beschermd worden via databankenrecht, auteursrecht of octrooirecht, of gereguleerd zijn via bijvoorbeeld de AVG. Ook combinaties zijn mogelijk, zoals een beschermde databank met patiëntgegevens.
In dat geval is de databank beschermd onder het databankenrecht, terwijl organisaties tegelijkertijd rekening moeten houden met de AVG en aanvullende gezondheidsrechtelijke wetgeving.
Hoewel data niet goed passen binnen het huidige eigendomsrecht, zijn er dus wel degelijk verschillende manieren om data te beschermen, gebruiken en exploiteren. Volgens de auteurs is het daarbij belangrijk om met een multidisciplinaire bril naar deze materie te kijken.
Mr. dr. Luuk Arends is advocaat-partner bij de sectie gezondheidszorg van Dirkzwager advocaten & notarissen. Mr. Ernst-Jan van de Pas is advocaat-partner bij de sectie IE/ICT van Dirkzwager advocaten & notarissen.
