NDA / geheimhoudingsverklaring: ervaring met consequenties?

intoxicated schreef op zondag 25 september 2016 @ 09:59:
Het valt me regelmatig op dat tweakers op de frontpage in reacties zomaar van alles uit de doeken doen over bijvoorbeeld het veiligheidsbeleid bij hun werkgever. Sommigen schuwen het niet om product- en bedrijfsnamen te noemen. Ik zou me kunnen voorstellen dat dit soort zaken onder een NDA vallen en anders, op z'n minst, niet verstandig zijn om te posten. Voorbeeld zijn enkele reacties op dit item: nieuws: Ministerie VWS raadt zorgverleners aan om browsers niet te updaten .

NDA's zijn meestal "in place" op plekken waar het uitlekken van hoe iets werkt het bedrijf schade berokkent. Dit gaat dus eigenlijk nooit over zaken als "welke browser moeten we gebruiken". Dus nee, dat soort dingen valt vrijwel nooit onder een NDA. NDA's gaan over dingen als "we zijn met een killer project X bezig voor klant Y".

Je zou ook nogal achterlijk zijn om dat soort info, waar je expliciet een NDA voor getekend hebt, op de FP te melden.

Binnen de organisatie waar ik werk (>5000 medewerkers) is slechts een kort en zeer dubbelzinnig artikel (9.8 lid 1) in de CAO opgenomen en geldt er voor alle medewerkers een verbod om met de media te praten. Maar ook daarin heb ik nog nooit gehoord dat iemand daadwerkelijk op het doorbreken van geheimhouding is aangepakt.

Dit heeft helemaal niks met een NDA te maken. Dit gaat niet om het geheim houden van zaken maar dat je als werknemer niet names je bedrijf mag spreken. Je mag dus best je vriendin vertellen wat je doet. Met een NDA mag dat niet.

Dus, wie kent er wel (in zijn/haar omgeving) gevallen waarin een werkgever/opdrachtgever/zakenrelatie op basis van een NDA een juridische procedure is gestart of daarmee dreigde? Wat waren de omstandigheden en de gevolgen?

Ik ken die niet omdat niemand zo stom is dat te doen en er mee gepakt te worden. Ik heb wel deze gevonden en die gaat vooral over wat wel en niet onder een geheimhoudingsverklaring valt.

Ik ken iemand die een geheimhoudingsverklaring heeft getekent en vervolgens een script in een blogpost heeft geopenbaard (inclusief een hostname, username en wachtwoord van een applicatie op een testserver, wachtwoord was een default wachtwoord voor het betreffende stuk software). Vastleggen als geheugensteuntje om herhaalbaarheid te kunnen bieden voor zichzelf en anderen die een vergelijkbare configuratie (willen) hebben. Het hele internet staat er vol mee

Naast dat je je af moet vragen of het verstandig is om te publiceren wat je schrijft in de tijd dat iemand je betaald, was het vooral slordig om dit script niet goed te anonimiseren. In zijn geval (freelancer) was het een druppel die er voor zorgde dat het einde opdracht was. Er is wel gedreigd met juridische consequenties (bedragen waren helder omschreven in de geheimhoudingsverklaring, in de orde van grootte van een maand omzet op die specifieke opdracht), echter de opdrachtgever heeft deze niet doorgezet.

JaQ schreef op zondag 25 september 2016 @ 11:12:
Ik ken iemand die een geheimhoudingsverklaring heeft getekent en vervolgens een script in een blogpost heeft geopenbaard (inclusief een hostname, username en wachtwoord van een applicatie op een testserver, wachtwoord was een default wachtwoord voor het betreffende stuk software).

Dat is gewoon dom. Het internet staat vol met blogs waarmee mensen hun scripts delen, maar je moet dan wel eerst even het anonimiseren dat het niet meer te herleiden is tot een specifiek bedrijf. Dan had het prima gedeeld kunnen worden.

intoxicated schreef op zondag 25 september 2016 @ 09:59:
Binnen de organisatie waar ik werk (>5000 medewerkers) is slechts een kort en zeer dubbelzinnig artikel (9.8 lid 1) in de CAO opgenomen en geldt er voor alle medewerkers een verbod om met de media te praten.

Dat heeft niet meteen iets met een geheimhoudingsverklaring te maken. Hier gaat het zo te zien meer om het geven van commentaar/interviews namens het bedrijf. Daar hebben ze meestal communicatieafdelingen en woordvoerders voor.

Tja, een NDA is voornamelijk bedoeld meestal zodat je bedrijfsgeheimen niet van de daken schreeuwt / publiceert. Ik heb 2 voorbeelden van NDA's die ik behoorlijk beperkend vond:
- Die van Microsoft examens, je mag echt NIETS over de inhoud van het examen doorvertellen of publiceren, je kunt het alleen later aantonen door je competenties.
Praktijk: Helft van de deelnemers doet alsof ze dat ding nooit ondertekend hebben en publiceert vragen en antwoorden online. Ik niet dus. Ik sta voor mijn handtekening.
2) Belastingdienst - De gegevens van de belastingdienst mogen onder geen beding lekken naar buiten, maar de praktijk is wel dat als je een discussie hebt gehad met een collega dat je dat dan in besloten kring kan bespreken. Het op Facebook zetten is echter weer over de grens. En de werkelijke reden van de NDA is dat "klanten" en medewerkers beschermd worden er door. Dus dat je geen bestanden met NAW kopieert naar huis, geen technische details over beveiligingsmaatregelen lekt etc.
Conclusie is gewoon: Als je er misbruik van maakt krijg je die kans nooit weer. Het voor de rechter aanvechten heb ik ook nog nooit van gehoord.

CMD-Snake schreef op zondag 25 september 2016 @ 11:28:
Dat is gewoon dom. Het internet staat vol met blogs waarmee mensen hun scripts delen, maar je moet dan wel eerst even het anonimiseren dat het niet meer te herleiden is tot een specifiek bedrijf. Dan had het prima gedeeld kunnen worden.

Een hostname zonder domein is vaak niet herleidbaar naar een bedrijf (zonder voorkennis over dat bedrijf). Echter je werk publiceren op een blog, terwijl iemand je betaald heeft om dat te maken is wel een volgende stap.

Zoals ik al zei: in zijn geval was dit de druppel die de emmer deed overlopen (ook al ging het om 1 hostname in zo'n 30 blogposts). Bij zijn collega's werd hier eigenlijk helemaal niet moeilijk over gedaan (wel geanonimiseerd).

@TS:
Hiernaast zijn er vele zaken beschreven waarbij mensen een probleem kregen omdat ze data hadden meegenomen nadat ze ontslagen waren/ontslag hadden genomen. Daar wordt toch regelmatig over geprocedeerd. Zie bijvoorbeeld hier of [url="http://jure.nl/BA9686]hier[/].

De volgende discussie is code open-source (al dan niet zonder overleg). Als inhoudelijk verantwoordelijke voor zo'n 15 DevOps teams heb ik daar ook een mening over (als in: doe maar niet en al helemaal niet onder GPL).

Pro-tip: check je arbeidscontract eens op eigenaarschap van code, bij veel detachering/consulting bedrijven staat hier vaak een expliciete bepaling over code/scripts eigenaarschap.

Ik ken sowieso één geval waarbij een bericht hier op de FP gevolgen heeft gehad voor de persoon die informatie gelekt heeft. Gaat in dit geval niet om juridische gevolgen maar wel om het kwijt raken van bepaalde "privileges".
Zie ook soms op de FP en het forum zaken voorbij komen m.b.t mijn werkgever die daar imho niet thuis horen en afhankelijk van de informatie zie je dan op het werk weer meldingen voorbij komen op het intranet over het lekken van interne informatie.
In de praktijk blijken er toch genoeg "achterlijke" mensen te zijn die ondanks allerlei bedrijfscodes en verplicht te volgen cursussen daarover het niet kunnen laten om informatie te "lekken".

.

[ Voor 108% gewijzigd door Cocytus op 12-09-2022 15:51 ]

Meestal eindigt zoiets in een schikking met geheimhoudingsplicht. Vlak nadat je hebt moeten schikken wegens een NDA breach heb je waarschijnlijk niet zo'n zin om meteen weer iets aan de grote klok te hangen zonder toestemming... vandaar misschien dat je er niet zo vaak iets van hoort

Je kan het in hoofdlijnen vergelijken met de wetgeving op openbare dronkenschap. Die wordt ook niet elk weekend zeer strikt gehandhaaft en wordt er alleen bij gehaald bij situaties waar men bij handhaving de overlast zal beperken.
Hetzelfde is ook vaak het geval met jouw aangehaalde voorbeeld over het niet met de media mogen praten over bedrijfszaken. Vaak omdat jij niet precies in kan schatten wat wel en wat niet publiek bekend mag worden. Bij grotere organisaties zie je dat dan ook terug komen in classificatie van data; public, unrestricted, restricted, secret, top-secret, ???. Waarbij het lastig is als werknemer de lijn tussen public (iedereen mag het weten, dus ook buiten de organisatie) en unrestricted (iedereen binnen de organisatie mag het weten, maar dus niet er buiten) goed te kennen en te kunnen toepassen op alles wat je vertelt tegen een media persoon. Daar is in een grotere organisatie en team voor; communicatie team of marketing of hoe dat ook ingedeeld is in de organisatie.

Dat is inderdaad heel vaak situatie-afhankelijk. Aan de ene kant wil je niet dat een werknemer er met bedrijfsgeheimen vandoor gaat, aan de andere kant motiveert het werknemers ook niet als ze op alles 'sorry, hier kan ik geen uitspraak over doen' moeten antwoorden wanneer dochterlief aan papa vraagt wat ie op het werk gedaan heeft tijdens het avondeten aan de keukentafel.

Wat er wel en niet in een NDA mag is ook een groot heet hangijzer: Je wil als werkgever wel dat je alle bedrijfskritische informatie onder de NDA kan laten vallen, maar je wil die NDA ook niet misbruiken om structurele misstanden binnen het bedrijf mee te verzwijgen.

Bijvoorbeeld, als er binnen het bedrijf gefraudeerd wordt of andere misdrijven worden gepleegd, en jij komt er als werknemer achter, dan zouden ze je daarvoor nooit onder de NDA kunnen pakken als je bijvoorbeeld financiële gegevens naar de media lekt die die fraude aantonen.

Soms vraag ik mij wel af wat men met een NDA kan, als men ook niet zou kunnen bewijzen dat jij iets met hetgeen hebt gedaan wat onrechtmatig was volgens dat NDA. Soms ligt het er natuurlijk dik bovenop, iemand ie bijvoorbeeld onder z'n eigen naam iets gevoelig over zijn/haar werkgever zet op de FP. Maar ik krijg vaak genoeg stukken onder ogen waar een NDA op van toepassing is, maar waar ik bijvoorbeeld niet zelf persoonlijk voor heb hoeven tekenen. En stukken zonder een uniek kenmerk, zodat ook nooit terug te halen valt wie nu precies dat specifieke stuk gelekt heeft.

Algemene NDAs voor onbepaalde tijd moet je gewoon nooit tekenen. Ze zijn waarschijnlijk niet eens rechtsgeldig.

Wat betreft klokkenluiders heb je in Nederland wel rechten, maar de praktijk is dat de meeste klokkenluiders er financieel niet echt goed vanaf komen. Dit werkt alleen maar corruptie in de hand en is voor mij een aanleiding om te denken dat Nederland waarschijnlijk best corrupt is. Dat banken bijvoorbeeld kunnen schikken, terwijl er ook gewoon gevangenisstraffen uit kunnen worden gedeeld is wat mij betreft een voorbeeld daarvan. Als dat volgens de regels is, dan is het systeem al in beginsel corrupt; rechters doen gewoon wat er op papier staat of al eerder is gebeurd.

Als het de bedoeling was om corruptie uit te bannen, zouden we klokkenluiders wel minstens 50% van de schade die de samenleving heeft geleden uitkeren aan de klokkenluiders. Klokkenluiders hoeven dan nooit meer te werken en de samenleving bant corruptie uit. Goede deal lijkt me.

Ik wil niet zeggen dat Nederland een tweede Oekraïne is (daar heb je nl. van die lijstjes voor), maar er is veel meer dat er gedaan zou kunnen worden.

De overheid (in de vorm van een stichting) zou bijv. ook iedereen met een bepaalde gevoelige functie actief kunnen informeren over de regelgeving en indien het bedrijf dan die regelgeving overtreedt zou de werknemer vertrouwelijk contact moeten kunnen opnemen met die instantie, zodat de werknemer dan kan informeren of de werkwijze van zijn/haar werkgever inderdaad illegaal zijn. Zo ja, dan zal de werknemer (indien het ergens over gaat), in principe zelfs in het geheim een vergoeding moeten kunnen krijgen.