Plan nu het beheer van uw elektronische gegevens

Voorkomde juridische risico's

van morgen

&

Door Cynthia L. Jackson

B e d r i j f s g i d s v o o r B e l e i d s n a l e v i n g

Cynthia L. JacksonPartner bij Baker & McKenzie LLP

Cynthia L. Jackson is een partner op het kantoor van Baker & McKenzie in Palo Alto, Californië. Baker & McKenzie is met kantoren in 38 landen het grootste advocatenkantoor ter wereld. Mw. Jackson is de auteur van de 'Bedrijfsgids voor beleidsnaleving', een boekje dat zakenmensen informeert over algemene nalevingsproblemen, overheidsregelgeving en vereisten voor het beheer van elektronische documentatie (e-discovery). Haar dank gaat uit naar John Raudabaugh, een partner op het kantoor in Chicago, voor zijn bijdragen aan de gedeelten over de controle van werkzaamheden, afkomstig uit zijn amicus curiae-conclusie in The Guard Publishing Company and Eugene Newspaper Guild, die op 9februari 2007 bij de NLRB is ingediend.

Mw. Jackson vertegenwoordigt bedrijven in rechtszaken en geeft advies over nationale en internationale arbeidskwesties, waaronder discriminatie- en intimidatieclaims, personeelsbeleid en -implementatie, het sluiten en beëindigen van arbeidscontracten, het reduceren van het aantal arbeidsplaatsen, gedragscodes, privacykwesties, maatschappelijke verantwoordelijkheid van bedrijven, bescherming van vertrouwelijke informatie en handelsgeheimen en werkgelegenheidskwesties ten gevolge van fusies of overnames.

Mw. Jackson is gekozen tot een van de beste advocaten in Amerika en is herhaaldelijk benoemd tot 'Northern California Super Lawyer'. Mw. Jackson is cum laude afgestudeerd aan de universiteit van Stanford en de University of Texas School of Law.

Cynthia L. Jackson, advocaat Baker & McKenzie LLP 660 Hansen Way, Palo Alto, California 94304, VS Tel. +1 650-856-5572 Fax +1 650-856-9299 cynthia.l.jackson@bakernet.com

Inhoudsopgave

7 Vanwaar alle drukte?

13 Wie maakt zich druk of zou zich druk moeten maken?

17 Juridische vereisten voor het bewaren van elektronische gegevens

27 Een prettige werkomgeving

31 Het beschermen van de intellectuele eigendommen is essentieel voor een succesvolle onderneming

33 Privacy: wanneer (te) veel informatie geen goede zaak meer is

37 Coderen

41 Internationale kwesties: wanneer de werelden van gegevensbeleidnaleving met elkaar botsen

45 Praktische tips

7

In een wereld waarin het gebruik van elektronische gegevens in hoog tempo toeneemt, moeten bedrijven manieren zien te vinden om hun gegevens nu zodanig te beheren dat de nalevingsrisico's op een effectieve manier tot een minimum worden beperkt. De toename van de hoeveelheid elektronische gegevens is zowel verbazingwekkend als overweldigend. Gezien de gemiddelde opslagcapaciteit van een hedendaagse computer heeft zelfs het meest bescheiden familiebedrijfje een elektronische opslagcapaciteit van 2.000 archiefkasten met vier laden.1 Het beheer van elektronische gegevens wordt verder gecompliceerd door het feit dat de gegevens niet op papier staan en dus niet tastbaar meer zijn, maar bestaan uit bytes aan informatie die voortdurend wordt bewerkt, gewijzigd en bijgewerkt door verschillende personen en bronnen. Het archiveren, opslaan, controleren, filteren en coderen van gegevens is niet langer optioneel, maar vereist.

Elektronische-gegevenssystemen worden gebruikt voor het beheren en aansturen van apparatuur, het verwerken van financiële gegevens, het beheren van de voorraad, het plaatsen van orders en het verzenden van afbeeldingen en documenten. Ze versnellen bovendien de verbale en non-verbale communicatie aanzienlijk. E-mail is de meest bekende vorm van elektronische communicatie, maar de communicatiecomponent omvat ook zaken als online dagboeken ('weblogs' of 'blogs'), instant messaging (IM) (waarbij gebruikers in realtime met elkaar kunnen communiceren, online 'chats'), vergadercams, het overdragen van documenten en videobeelden en spraakservices via breedband. Dergelijke systemen worden echter ook misbruikt en kunnen uw bedrijf schade berokkenen. Personen

Vwaar alle drukte ?

1 Jason Krause, E-Discovery Gets Real, ABA JOURNAL, februari 2007; opmerking George L. Paul & Bruce H. Nearon, The Discovery Revolution: A Guide to the E-Discovery Amendments to the Federal Rules of Civil Procedure, ABA SECTION OF SCI & TECH. LAW.

Het archiveren, opslaan, controleren,

filteren en coderen van gegevens is niet

langer optioneel, maar vereist.

8

kunnen lasterlijke en intimiderende berichten verzenden naar werknemers, managers en derden; ze kunnen intellectueel eigendom van bedrijven of derden downloaden ('stelen'), het bedrijf, de producten en services, de klanten en de concurrentie van het bedrijf in diskrediet brengen of ze kunnen stiekem gestolen gegevens naar externe locaties overdragen of deze opslaan in het geheugen van het bedrijf. Gebruikers kunnen materiaal weergeven en distribueren dat door het gerechtshof als intimiderend en illegaal wordt beschouwd, ongepast materiaal op internetsites en blogs maken en plaatsen en zelfs misdaden beramen of uitvoeren vanaf hun werkplek door heimelijk gebruik te maken van de apparatuur van het bedrijf.2

Het is daarom niet verbazingwekkend dat in 86% van de gevallen, zoals blijkt uit een enquête van de Association of Corporate Counsel (ACC), de voornaamste zorg van een juridische afdeling is om de 'bedrijfsactiviteiten in de gaten te houden die juridische gevolgen kunnen hebben'.3 In 2005 heeft 24% van de bedrijven dagvaardingen ontvangen met betrekking tot e-mail en 15% heeft moeten voorkomen wegens rechtszaken die zijn aangespannen naar aanleiding van e-mails van werknemers. Uit hetzelfde onderzoek blijkt dat 10% van de e-mails op het werk seksuele, romantische of pornografische inhoud bevat.4 Zelfs voordat de e-discoveryrichtlijnen van de FRCP (Federal Rules of Civil Procedure) van kracht werden op 1 december 2006, is in 2004 bij meer dan één op de vijf bedrijven tijdens een rechtszaak of overheidsonderzoek e-mail als bewijslast opgevraagd.5 Dit is meer dan

2 Electronic Workplace: Is Your Company's Work Blogging Down? FEDERAL EMPLOYMENT LAW INSIDER, september 2006 at 2; Michael R. Phillips, Inappropriate Use of Email by Employees and System Configuration Management Weaknesses Are Creating Security Risks, Treasury Inspector General for Tax Administration, 31 juli 2006. 3 ACC & SERENGETI, MANAGING OUTSIDE COUNSEL SURVEY REPORT, 23 oktober 23 2006.4 2006 Workplace E-mail, Instant Messaging & Blog Survey: Bosses Battle Risk by Firing E-mail, IM & Blog Violators, AMA, 11 juli 2006, http://www.amanet.org/press/amanews/2006/blogs_2006.htm.5 AMA/ePolicyInstitute Research, 2004 Workplace E-mail and Instant Messaging Survey Summary, at 1.

In 2005 heeft 24% van de bedrijven een dagvaarding

ontvangen om mail die door personeel is verstuurd, ter inzage

te overleggen. In 15% van de gevallen

is het ook tot een rechtszaak gekomen.

9

twee keer zoveel als de percentages die in 2001 zijn gemeld.6 Amerikaanse bedrijven hebben in 2005 1,2 miljard dollar uitgegeven aan externe e-discoveryservices.7 In 2006 is er naar schatting zelfs 1,9 miljard dollar uitgegeven.8 Met de verordening van de e-discoverybepalingen van de FRCP zullen deze statistieken binnenkort naar verwachting worden overstegen. Verbazingwekkend genoeg bleek uit een onderzoek twee maanden voordat de FRCP-amendementen van kracht werden, dat slechts 7% van de bedrijven juridisch was voorbereid op de geamendeerde bepalingen en dat 54% zich niet eens bewust was van het feit dat de amendementen in december 2006 van kracht zouden worden.9

Bedrijven moeten tevens voldoen aan een toenemend aantal andere wetten waarmee de elektronische communicatie wordt gereguleerd en er is een overvloed aan nieuwe wetsvoorstellen.10 Veel van die regelgeving heeft betrekking op de bescherming van gevoelige persoonlijke informatie, bijvoorbeeld de Electronic Communications Privacy Act uit 198611; de Health Insurance Portability and Accountability Act uit 199612; de Children's Online Privacy Protection Act uit 199813; de Gramm-Leach-Bliley Act uit 199914; de Controlling the Assault of Non-Solicited Pornography and Marketing Act uit 200315; de California Security Breach Notification Act uit 200216; de California Security of Personal Information Act uit 200417en allerlei andere nationale en internationale wet- en regelgeving.18

6 Id.7 Sacha Consulting, Ramon Nunez, Metal INCS, Gregory McCurdy, Microsoft Corp, ABA Digital Evidence Project, The National Law Journal/www. NLJ.com, 19 september 2005. 8 Id.9 Lexis Nexis® Applied Discovery® enquête die in oktober 2006 is uitgevoerd tijdens de jaarlijkse bijeenkomst van de ACC.10 Data Security: Federal and State Laws, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 3 februari 2006; Data Security: Federal Legislative Approaches, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 9 februari 2006; Obscenity and Indecency: Constitutional Principles and Federal Statutes, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 25 juni 2003.11 18 U.S.C. § 101 e.v.12 42 U.S.C. § 201 e.v. 13 15 U.S.C. § 6501 e.v.14 15 U.S.C. §§ 6801-6809.15 15 U.S.C. §§ 7701-7713.16 Cal. S.B. 1386 (2002) (Cal. Civ. Code §§ 1798.82 en delen van 1798.29).17 Cal. Civ. Code § 1798.81.5 (Cal. A.B. 1950 (2004)).18 Allan Holmes, The Global State of Information Security 2006, CIO MAGAZINE, 15 september 2006.

Amerikaanse bedrijven hebben

in 2005 1,2 miljard dollar uitgegeven

aan externe e-discoveryservices . In 2006 is er naar

schatting 1,9 miljard dollar uitgegeven.

10

Naast wetten voor het reguleren van de vernietiging en opslag van documenten, moeten bedrijven zich in toenemende mate wapenen tegen hackers en het verlies van waardevolle intellectuele eigendommen.19 Via internet kunnen de meest waardevolle bronnen van het bedrijf kwetsbaar worden voor toegang door derden. In 2004 bestond maar liefst 73% van alle inkomende email uit ongevraagde mail. In 2006 steeg dit percentage zelfs naar 93%.20 De meeste mails zijn alleen maar irritant of gewoon zonde van de tijd, maar malware of schadelijke software, zoals virussen, wormen, downloaders, trojaanse paarden, spam, linkspam, phishing en pharming, vormen een gevaar voor het netwerk van het bedrijf en de bedrijfsgegevens en intellectuele eigendommen.21 Buitenstaanders kunnen zich ongeoorloofd toegang verschaffen tot bedrijfsgeheimen en vertrouwelijke informatie en wachtwoorden stelen of gebruikers omleiden naar downloadsites. Het lijkt erop dat 33% van al deze aanvallen wordt gegenereerd door interne gebruikers.22

Veertig procent van de ondervraagden die hebben deelgenomen aan een onderzoek van het National Center for Supercomputing Applications (NCSA) zei op het werk niet-werkgerelateerde sociale netwerksites te bezoeken en het netwerk van de werkgever zodoende dus bloot te stellen aan hackers.23 (68% van de ondervraagde bedrijven meldde dat ze in 2004 te maken hadden gehad met elektronische misdaad; in 43% van de gevallen ging het hierbij om ongeoorloofde toegang tot informatiesystemen of netwerken en in 14% van de gevallen ging het om diefstal van het IP-adres).24 Uit onlangs openbaar gemaakte documenten blijkt dat een hooggeplaatste wetenschappelijk medewerker van DuPont in minder dan vijf maanden 22.000 gevoelige documenten had gedownload en 180

19 Internet: An Overview of Key Technology Policy Issues Affecting Its Use and Growth, CRS REPORT FOR CONGRESS, 13 april 2005.20 AMA/ePolicy Institute Research, 2004 Workplace E-mail and Instant Messaging Survey (2004); Wireless Privacy and Spam: Issues for Congress, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 22 december 2004; 'Junk E-mail': An Overview of Issues and Legislation Concerning Unsolicited Commercial Electronic Mail ('Spam'), CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 15 april 2003; Cybercrooks Deliver Trouble, WASHINGTON POST, 27 december 2006, D1.21 Pharming, WEBSENSE, INC. (2006); The Economic Impact of Cyber-Attacks, CONGRESSIONAL RESEARCH SERVICE REPORT FOR CONGRESS, 1 april 2004.22 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 april 200523 CA/NCSA Social Networking Study Report, RUSSELLRESEARCH.COM, at 4, http://staysafeonline.org/features/SocialNetworkingReport.ppt.24 2005 E-Crime Watch Survey—Survey Results, CSO MAGAZINE, U.S. SECRET SERVICE, CERT COORDINATION

Van alle inkomende e-mails is 93% ongevraagd.

11

DuPont-documenten met informatie over 'belangrijke technologieën en productlijnen, alsmede nieuwe en in ontwikkeling zijnde technologieën’ naar een laptop had gekopieerd ' , en de informatie met een geschatte waarde van $ 400 miljoen had doorgespeeld naar zijn nieuwe werkgever.25

Ook legale of 'onschuldige' activiteiten kunnen leiden tot hoge kosten en de verleiding om mee te gaan in dergelijke 'onschuldige' gedragingen is enorm groot. Uit een onderzoek dat in 2004 onder 840 Amerikaanse bedrijven is verricht, bleek dat 66% van de werknemers dagelijks gedurende twee uur of minder voor persoonlijke doeleinden gebruik maakt van het systeem van het bedrijf. 24% doen dat gedurende twee tot drie uur en 10% zelfs gedurende meer dan vier uur.26 Uit hetzelfde onderzoek bleek tevens dat 75% van de werknemers per dag 10 of minder persoonlijke e-mails verzendt of ontvangt.27 Negentig procent van alle werknemers is per dag ongeveer 90 minuten aan het chatten, 19% van hen voegt bijlagen aan tekstberichten toe, 16% verzendt grappen, roddels of kleinerende opmerkingen, 9% verstuurt vertrouwelijke informatie en 6% verspreidt seksuele, romantische of pornografische teksten in hun berichten.28

Met het oog op zowel de juridische vereisten alsook de bescherming van de vrijwillige gedragscodes, moeten bedrijven plannen, implementeren en trainen voordat er een juridische crisis ontstaat. Er zijn maar weinig bedrijven die zich de luxe kunnen veroorloven om dergelijke zaken pas ter sprake te brengen en aan te pakken nadat er een proces tegen hen is aangespannen, de intellectuele eigendommen al het raam uitgevlogen' ,' zijn en

CENTER., http://www.csoonline.com/info/ecrimesurvey05.pdf.25 David Kauffman, How Safe Is Your Data?, HR HERO LINE, 9 maart 2007.26 AMA/ePolicyInstitute Research, 2004 Workplace E-mail and Instant Messaging Survey Summary, (2004). 27 Id.28 Id.

12

persoonlijke gegevens bekend zijn geworden of een vijandige werksfeer is ontstaan. Het is essentieel voor bedrijven om te anticiperen en te plannen. Ten eerste moeten bedrijven zorgen voor een plan voor het opslaan, archiveren en controleren van communicatiegegevens. Ten tweede moeten ze coderingsprocessen opzetten en toegangsbeperkingen instellen. Ten derde moet het personeel voortdurend worden getraind en moeten de processen en het beleid regelmatig worden gecontroleerd.

13

Wie maakt zich druk of zou zich druk moeten maken?

Het beheer van elektronische gegevens is van invloed op bijna alle werknemers in een bedrijf, ongeacht of ze zich bezighouden met juridische zaken, beleidsnaleving, administratie en boekhouding, financiën, IT-beheer, personeelszaken, werknemersregelingen, intellectueel eigendommen en licentieverlening, logistiek, exportcontrole, verkoop of handel.

Amerikaanse beursgenoteerde bedrijven, hebben bijvoorbeeld als gevolg van de Sarbanes-Oxley-wet (SOX) en de verplichte administratieve controle en boekhoudverplichtingen onder de Foreign Corrupt Practices Act allerlei verslagleggings-, controle- en transparantieverplichtingen. Bedrijven waartegen een rechtszaak is aangespannen of die hiermee worden 'gedreigd', moeten klaar zijn om in actie te komen en alle relevante elektronisch opgeslagen gegevens bewaren. Banken en financiële instellingen of instellingen in de gezondheidszorg hebben te maken met gedetailleerde wet- en regelgeving voor het verzamelen, het gebruiken, de toegankelijkheid en het verspreiden van informatie. Bedrijven die internationaal opereren of hardware of software exporteren, zijn verplicht om hun gegevens op complexe en soms conflicterende manieren te beheren, inclusief codering.

Maar zelfs voor bedrijven die niet beursgenoteerd zijn, die niet worden geconfronteerd of gedreigd met een rechtszaak, die niet werkzaam zijn in bepaalde gereguleerde sectoren of die niet internationaal opereren, biedt het elektronisch tijdperk uitdagingen. Uit onderzoek is gebleken dat eenderde van alle gegevensdiefstallen wordt gepleegd

Bedrijven waartegen een rechtszaak

is aangespannen of die hiermee

worden 'gedreigd', moeten hierop zijn voorbereid en in

actie komen om alle relevante elektronisch opgeslagen gegevens

te bewaren.

14

door de huidige werknemers en het overweldigende aantal gevallen van vernedering, discriminatie en intimidatie worden veroorzaakt door geautoriseerde werknemers.29 Geen enkel bedrijf is hier immuun voor. Kleine en middelgrote bedrijven dienen ook te anticiperen en nu systemen te implementeren om hun intellectueel eigendom tegen diefstal te beschermen, hun werknemers te beschermen tegen claims over een vijandige werksfeer of om voorzorgsmaatregelen te treffen zodat in geval van dreigende rechtszaak de vernietiging van documenten kan worden voorkomen.

Het ironische is dat dezelfde technologieën die de problemen van gegevensproliferatie veroorzaken, nu een oplossing bieden via goed ontworpen en onderhouden beheersystemen voor elektronische gegevens die zijn toegespitst op de juridische vereisten die worden gesteld door de relevante wetten en jurisdicties. Dergelijke elektronische systemen moeten functies bevatten voor het bewaren en archiveren van documenten, het opschorten van opdrachten tot het vernietigen van documenten, voor het beperken van de toegang wanneer dat nodig is, controle en indien toegestaan ook webfilters. Naast het installeren van een dergelijk systeem moeten de juiste juridische parameters worden geïdentificeerd en moet het personeel een training hebben ondergaan voordat er een juridische crisis uitbreekt, zodat ze precies weten, omdat ze niet anders zijn gewend, hoe ze dergelijke gegevens op een goede manier moeten beheren en de elektronische gegevens op een snelle, goede en eenvoudige manier kunnen worden opgevraagd en verwerkt wanneer daar een juridische noodzaak toe is. Om ervoor te zorgen dat het systeem ook

29 Scott Berinato, The Global State of Information Security 2005, PRICE WATERHOUSECOOPERS AND CIO, 15 september 2005.

Geen enkel bedrijf is immuun. Kleine

en middelgrote bedrijven dienen

ook te anticiperen en nu al systemen te

implementeren.

15

inderdaad werkt voordat er zich een juridische crisis aandient, moeten er systemen voor het beheer van elektronische gegevens worden geselecteerd en geïmplementeerd, moeten er beleidsrichtlijnen worden opgesteld en doorgevoerd en moet het personeel voortdurend worden getraind en gecontroleerd. Hiertoe moet het personeel van het bedrijf op een gecoördineerde en weldoordachte manier samenwerken, ongeacht of ze deel uitmaken van de afdeling personeelszaken, de juridische afdeling of een andere afdeling.

Om ervoor te zorgen dat het systeem ook inderdaad

werkt voordat er zich een juridische

crisis aandient, moeten er systemen

voor het beheer van elektronische gegevens worden geselecteerd en

geïmplementeerd, moeten er

beleidsrichtlijnen worden opgesteld en doorgevoerd en moet het personeel

voortdurend worden getraind en gecontroleerd. Hiertoe moet het personeel van het

bedrijf op een gecoördineerde

en weldoordachte manier samenwerken.

17

Wanneer er geen proces dreigt,' geldt er meestal geen universele plicht om de elektronisch opgeslagen gegevens (of andere gegevens) te bewaren. Voor bepaalde gegevens geldt natuurlijk wel een wettelijke bewaarplicht, zoals voor belasting-, arbeids- en bedrijfsgegevens. Wanneer er echter sprake is van een 'processituatie' , moet bepaalde informatie worden bewaard en moeten de normale procedures voor de vernietiging van documenten worden opgeschort. De amendementen op de FRCP bieden richtlijnen voor het ‘bevriezen’ van documenten waarvan het bedrijf redelijkerwijs mag aannemen dat ze, anticiperend op een rechtszaak, ter inzage moeten kunnen worden overlegd (litigation hold). De 'litigation hold' kan in werking treden ver voordat er sprake is van enige rechtsprocedure, bijvoorbeeld wanneer een manager van het bedrijf een interne klacht ontvangt, , wanneer een kennisgeving tot bewaring van informatie van een potentiële partij of advocaat wordt ontvangen waarin wordt gedreigd met een rechtszaak, bij correspondentie die vooruitloopt op een mogelijk proces, wanneer het bedrijf op de hoogte wordt gesteld van een onderzoek door een overheidsinstantie, het bedrijf een dagvaarding of verzoek van de overheid om informatie ontvangt of wanneer er een administratieve klacht wordt ingediend. Zodra het tot een rechtszaak komt, is het bedrijf overeenkomstig de amendementen verplicht om stappen te ondernemen en meteen het gebruikelijke vernietigingsproces van alle documenten op te schorten om alle gegevens te bewaren, inclusief elektronische gegevens en de mogelijke metagegevens die deze gegevens bevatten, waarvan het bedrijf weet of redelijkerwijs kan

Juridische vereisten voor het bewarenvan elektronische gegevens

Als u niet op de hoogte bent van de nieuwe

amendementen op de Federal Rules of Civil Procedure, kan u dit duur komen te staan.

18

wetendat deze relevant kunnen zijn voor het proces of redelijkerwijs kunnen leiden tot de ontdekking van rechtsgeldig bewijsmateriaal.

Zelfs vóór de recente amendementen op de FRCP hebben de gerechtshoven altijd weinig begrip getoond voor bedrijven die geen gegevens hebben bewaard op het moment dat ze wisten of zouden moeten weten van een op handen zijnde juridisch proces. In de zaak Broccoli vs. Echostar Communications Corp, 229 F.R.D. 506 (D.C. Md. 2005) oordeelde het gerechtshof dat de werkgever de verplichting had om de elektronische documenten van 11 maanden voor het ontslag van de eiser/werknemer te bewaren Deze verplichting ontstond omdat de toekomstige eiser zich zowel verbaal als via e-mail bij de werkgever had beklaagd over seksueel intimiderend gedrag. Het bedrijf draaide op voor zowel de proceskosten als de advocaatkosten van de eiser omdat het bedrijf had verzaakt om het beleid t.a.v. de vernietiging van e-mail en gegevens op te schorten en de relevante documenten vanaf het moment van de interne klacht van de werknemerover seksuele intimidatie te bewaren.

In een reeks gevallen, Zubulake vs. UBS Warburg LLS, 220 FRD 212 (S.D. N.Y. 2004), 229 F.R.D. 422 (S.D. N.Y. 20 juli 2004 Zubulake II) en 231 FRD 159 (S.D.N.Y. 3 februari 2005 Zubulake III), oordeelde het gerechtshof dat het bedrijf de verplichting had om de elektronische documenten te bewaren vanaf vier maanden voordat de eiser een aanklacht tegen discriminatie had ingediend (en van 10 maanden voordat ze een aanklacht bij het federaal gerechtshof indiende), omdat het bedrijf wist of had moeten weten dat het beleid t.a.v. het vernietigen van documenten zou leiden tot de vernietiging van relevant materiaal. In de zaak Zubulake oordeelde het gerechtshof dat de back-uptapes van het netwerk van de

Het bedrijf draaide op voor zowel de proceskosten als

de advocaatkosten van de aanklager, omdat het bedrijf had verzaakt om het beleid voor de vernietiging van

e-mail en gegevens op te schorten en de relevante

documenten vanaf het moment van de interne klacht van de werknemer over

seksuele intimidatie te bewaren.

19

gedaagde redelijkerwijs een bron voor relevant bewijsmateriaal hadden kunnen zijn, maar dat werknemers buiten de juridische afdeling zelf het initiatief hadden genomen om relevante documenten te wissen. De gedaagde wist via een kostbaar procédé voor het herstellen van metagegevens de gegevens later alsnog te herstellen.

In de zaak Wiginton vs. CB Richard Ellis, 229 F.R.D. 568 (N.D. Ill. 2003) oordeelde het gerechtshof dat het bedrijf in kennis was gesteld van een collectieve claim via een brief van de advocaat van de eiser die een paar dagen na het aanvragen van de rechtzaak was ontvangen en waarin documenten werden geïdentificeerd en meerdere personen werden genoemd die zich mogelijk schuldig hadden gemaakt aan intimidatie. Het gerechtshof vond met name dat het bedrijf de verplichting had om de vaste schijven van de computers, de e-mailaccounts en de internetgegevens te bewaren van iedereen die werd beschuldigd van seksuele intimidatie of die bij de zaak betrokken was. Bovendien stond het gerechtshof de eiser toe de rechter om nadere sancties te vragen ingeval er relevante ontbrekende documenten op de back-uptapes van het bedrijf zouden worden gevonden met betrekking tot de eiser en tien personen die zich mogelijk schuldig hadden gemaakt aan intimidatie. In de zaak Consolidated Aluminum Corp vs. Alcoa, Inc., 2006 U.S. Dist. LEXIS 66642 at *18 (M.D.La. 2006) achtte het gerechtshof Alcoa verantwoordelijk voor de kosten voor het opnieuw horen van alle belangrijke getuigen en voor de proceskosten en de kosten voor het onderzoek naar het onvermogen om de bewijslast te leveren, omdat Alcoa ongeveer tweeënhalf jaar na het verzenden van de vordering naar Consolidated Aluminum wachtte voordat het eigen beleid aangaande de vernietiging van documenten werd opgeschort. In de zaak Samsung Elecs. Co. vs. Rambus, Inc., 2006 U.S. Dist. LEXIS

20

50007 (E.D.Va. 2006) had de gedaagde en eiser in reconventie Rambus goed nagedacht over het proces door de meest voor de hand liggende doelwitten te identificeren, de mogelijke juridische theorieën door te nemen en door te bepalen welke relevante documenten moesten worden bewaard en welke documenten konden worden vernietigd, voordat werd overgegaan tot de vernietiging van gegevens. Aangezien het hof tot de conclusie was gekomen dat Rambus onjuist had gehandeld door relevante gegevens te vernietigen, gaf het hof te kennen dat er sancties zouden worden opgelegd met betrekking tot het geen inzage geven in de stukken. Rambus trok de eis in reconventie op zijn beurt weer vrijwillig in voordat het hof de sancties zou opleggen.

De gevolgen van het niet kunnen voorkomen dat bepaalde informatie wordt vernietigd en het niet kunnen voldoen aan de verplichting om de op dat moment beschikbare informatie te bevriezen, zijn duizelingwekkend. In de zaak Zubulake oordeelde het hof niet alleen dat de gedaagde de kosten voor de bewijsgaring moest betalen, maar belangrijker nog, het hof vaardigde een instructie aan jury uit om een negatieve conclusie te trekken wegens het niet kunnen overleggen van bewijsmateriaal. Het hof bepaalde met name dat de jury mocht concluderen dat de aanklagers de vernietigde documenten als bewijslast voor hun discriminatieclaim hadden kunnen gebruiken, omdat er geen documenten zijn bewaard nadat er 10 maanden eerder een aanklacht bij de EEOC was ingediend. De jury deed vervolgens uitspraak en gaf de gedaagde een oorvijg van $29 miljoen. In de zaak United States vs. Philip Morris USA Inc., 327 F. Supp. 2d 21 (D.D.C. 2004) deelde het hof een boete van $2,75 miljoen dollar aan Phillip Morris uit. De boete bedroeg $250.000 keer 11, het aantal managers dat zich niet aan het beleid met betrekking tot het bevriezen van

21

de gegevens had gehouden. Bovendien sloot het hof alle elf managers die zich niet aan de beleidsrichtlijnen hadden gehouden, uit van de hoorzitting waar getuigenverklaringen werden gegeven ter verdediging tegen de claim. In de zaak Krumwiede vs. Brighton Associates LLC, 2006 U.S. Dist. LEXIS 31669 (N.D. Ill. 2006) velde het hof, ondanks het feit dat niet alle gegevens waren verwijderd, een vonnis bij verstek omdat de aanklager/eiser in reconventie niet in staat bleek de gegevens op een laptop te bevriezen en was doorgegaan met het verwijderen, wijzigen, aanpassen en openen van bestanden en de metagegevens dus waren gewijzigd voordat de laptop werd overgedragen aan een forensisch expert. In het geding tussen Dempsey en Pfizer, 813 S.W. 2d 205 (1991) wees het hof in Texas een claim van $42 miljoen af als sanctie voor het vernietigen van documenten.30

Naast de geldboetes en de instructie om negatieve conclusies te trekken, zoals in de bovenstaande gevallen op pijnlijke wijze is gedemonstreerd, hebben gerechtshoven tevens geoordeeld dat er strafrechtelijke vervolging kan plaatsvinden voor het vernietigen van bewijsmateriaal en strafrechtelijke sancties kunnen worden opgelegd. Frank Quattrone, een voormalige investeringsbankier bij Credit Suisse First Boston, werd permanent uitgesloten van de effectensector en kreeg een boete opgelegd van $30.000 door de NASD. Hij was eerder veroordeeld wegens obstructie van de rechtsgang en veroordeeld tot een gevangenisstraf van 18 maanden voor het verzenden van een e-mail naar anderen in zijn groep over 'het opschonen van hun bestanden' tijden een SEC-onderzoek.

Zoals uit bovenstaande gevallen mag blijken, stelt de FRCP alleen de richtlijnen op die de federale gerechtshoven31 en bepaalde staatsgerechtshoven al jaren verordenen. Maar de amendementen op de

30 Deze zaken, die waren beslist voor de FRCP-amendementen, waren geen uitzondering. In Re Quintus Corp. vs. Avaya, Inc. 2006 Bank.LEXIS 2912 (Bank. D. De. 2006) deelde het gerechtshof een geldboete van $1,88 miljoen uit nadat was gebleken dat er opzettelijk belastend bewijsmateriaal was vernietigd die de gedaagde overeenkomstig de richtlijnen en anticiperende op een proces, had moeten bewaren. In de zaakIn 3M Innovation Properties C. vs. Tomar Electronics, Inc., 2006 U.S. Dist. LEXIS 80571 (D. Minn 2006) trok het gerechtshof negatieve conclusies omdat de gedaagde de gegevens niet had bewaard. In de zaak In Re Napster, 462 F.Supp.2d 1060, 1077-78 (N.D. Cal. 2006), gaf het gerechtshof de instructie tot een negatieve conclusie omdat de gedaagde de gegevens niet tijdig genoeg had bevroren. In de zaak In Re NTL, Inc. Sec. Litig. 2007 U.S. Dist LEXIS 9110 (S.D.N.Y. 2007) heeft het hof verklaard dat het nieuw opgerichte bedrijf na het faillissement de documenten niet heeft bewaard, en is er de instructie gegeven voor een negatieve conclusie en een geldboete. In december 2006 verklaarde de National Association of Securities Dealers (NASD) dat Morgan Stanley een verkeerde voorstelling van zaken had gegeven door te beweren dat er met de aanslag op het World Trade Center op 9/11 miljoenen e-mails verloren zijn gegaan. Er is nog geen uitspraak gedaan in deze zaak.31 In augustus 2006 werden tijdens een juridische conferentie van staatsrechters de 'Guidelines for State Trial Courts Regarding

Naast het opleggen van geldboetes

hebben de gerechtshoven

geoordeeld dat er voor het vernietigen van bewijsmateriaal

strafrechtelijke sancties kunnen

worden opgelegd.

22

FRCP zijn op minimaal twee andere fundamentele manieren van invloed op de procederende partijen: 1) e-discovery wordt expliciet aan de orde gesteld en partijen en hun advocaten zijn verplicht om onderzoek te doen naar de elektronische gegevens, deze te bevriezen, te overleggen en hierop te reageren, zodat er dus geen twijfel meer bestaat omtrent de vraag of de regels ook van toepassing zijn op elektronische gegevens; en 2) de strijdende partijen zijn verplicht om voorafgaand aan en tijdens het proces samen te werken en de elektronische gegevens expliciet te bespreken. De partijen zijn verplicht om binnen de eerste paar maanden van het proces bijeen te komen om overleg te plegen over het bevriezen van de informatie die ter inzage moet overlegd, de vorm waarin de elektronische gegevens moeten worden geproduceerd (bijvoorbeeld PDF, Tagged Image File Format (TIFF), eigen indeling, papier, enzovoort), het ontoegankelijk verklaren van gegevens door een partij,' hoe er moet worden gehandeld wanneer het herstellen van de gegevens 'uitermate kostbaar of lastig' blijkt te zijn en onbedoelde openbaarmaking van vertrouwelijke informatie tussen advocaat en cliënt, handelsgeheimen of andere geheime of beschermde informatie die mogelijk verborgen ligt in de elektronische of papieren documenten onder reglement16 (b) en 26. Wanneer een partij geen beleidsrichtlijnen voor het opslaan van documenten heeft geïmplementeerd of deze niet goed begrijpt alvorens de rechtszaak wordt aangespannen, kan dit de betreffende partij in een nadelige positie manoeuvreren ten opzichte van de partij die hier wel op heeft geanticipeerd en dus weet welke voorstellen het meest gunstig zijn.

De geamendeerde richtlijnen hebben tevens expliciet betrekking op de rol van elektronische gegevens wanneer partijen geschreven vragen moeten beantwoorden (gerechtelijk verhoor) of de fysieke documenten moeten overleggen. FRCP 33 (d) stelt de reagerende partij bijvoorbeeld in staat om aan te geven dat de overlegde informatie in bedrijfsgegevens staat,

Discovery of Electronically-Stored Information' goedgekeurd. Deze richtlijnen zijn echter niet bindend tenzij en totdat ze worden aangenomen door de staten. Tot op heden overwegen alleen Massachusetts en North Carolina om de State Guidelines aan te nemen. Daartegenover heeft New Jersey op 1 september 2006 de e-discoveryrichtlijnen van de staat aangenomen die zijn gemodelleerd naar de FRCP. Arizona, Florida, Idaho, Maryland en New Hampshire overwegen ook om richtlijnen aan te nemen die vergelijkbaar zijn met de geamendeerde FRCP. Het feit dat er vergelijkbare maar verschillende e-discoveryrichtlijnen worden ingesteld door de staten, benadrukt nog maar eens de noodzaak voor een flexibel systeem voor het beheren van elektronische gegevens dat zowel de wijdverspreide richtlijnen voor e-discovery als de subtiele verschillen moet kunnen aanpakken.

De FRCP verplicht de strijdende partijen om voorafgaand aan en tijdens het proces samen te werken en te overleggen over de elektronische

gegevens.

23

inclusief elektronisch opgeslagen informatie als (i) de antwoorden kunnen worden gevonden in dergelijke gegevens, (ii) de last voor het achterhalen van de informatie voor beide partijen in essentie hetzelfde is en (iii) de gegevens zijn gespecificeerd. De amendementen op artikel 34 van de FRCP staan een partij nu uitdrukkelijk toe om de gewenste vorm (papier of elektronisch) voor de presentatie van de documenten te specificeren, en hoewel er geen overeenkomst of een gerechtelijk bevel voor handen is, wordt in het geamendeerde artikel verondersteld dat de elektronisch opgeslagen gegevens worden geproduceerd in de vorm waarin ze normaal gesproken worden bewaard of in een vorm die redelijkerwijs bruikbaar is.

Iedereen kan voorzien dat de vorm waarin de elektronische bestanden moeten worden overlegd, vandaag de dag en in de komende jaren een punt van discussie zal zijn. Sommigen vinden dat wanneer de gegevens moeten overlegd in de vorm waarin ze doorgaans worden opgeslagen, de programma-eigen bestanden moeten worden overlegd. Anderen komen hiertegen in verweer, omdat bij het gebruik van 'programma-eigen bestanden' bepaalde vertrouwelijke of beschermde informatie niet makkelijk kan worden verwijderd en het aantal documenten moeilijk valt te bepalen. Bepaalde gerechtshoven nemen het standpunt in dat alle documenten, inclusief de metagegevens, moeten worden overlegd. Williams vs. Sprint/United Management Company, 230 FRD 640 (D. Kan. 2005); D.E. Tech v. Dell Inc., 2006 U.S. Dist. LEXIS 87902 (W.D. Va. 2006); Nova Measuring Instruments vs. Nanometrics Inc. 2006 U.S. Dist. LEXIS 49156 (N.D. Cal. 2006); In Re Payment Card Interchange Fee and Merchant Discount Antitrust Litigation, 2007 U.S. Dist. LEXIS 2650 (E.D. N.Y. 2007). Steeds vaker nemen de gerechtshoven en anderen echter het standpunt in dat metagegevens niet standaard hoeven worden overlegd. Kentucky Speedway vs. National Association of Stock Car Auto Racing Inc., 2006 U.S. Dist. LEXIS 92028 (E.D. Ky. 2006); Wyeth vs. Impax Laboratories Inc.,

Iedereen kan voorzien dat de vorm waarin

de elektronische bestanden moeten worden overlegd,

vandaag de dag en de komende jaren een

punt van discussie zal vormen.

24

2006 U.S. Dist. LEXIS 79761 (D. Del. 2006); The Ponka Tribe of Indians of Oklahoma vs. Continental Carbon Co., 2006 U.S. Dist. LEXIS 74225 (W.D. Okla. 2006). In 2006 vaardigde de ABA formeel advies 06-442 uit, waarin de verantwoordelijkheid voor het verwijderen van de potentieel beschermde metagegevens of voor het beschikbaar stellen van een andere versie van het document bij de advocaat ligt, om zodoende te voorkomen dat er per ongeluk persoonlijke of anderszins beschermde metagegevens worden geproduceerd. De State Bars van Florida en Maryland hebben advocaten vergelijkbare verplichtingen opgelegd met betrekking tot het 'verwijderen' van beschermde metagegevens voordat de gegevens worden geproduceerd. Hoewel de uitkomst van de discussie over de metagegevens uiteindelijk in handen ligt van de gerechtshoven en de State Bars, is een ding duidelijk: bedrijven en hun advocaten moeten begrijpen hoe hun elektronische gegevens en eventueel aanwezige metagegevens worden opgeslagen voordat ze worden geproduceerd. Bovendien kunnen ze maar beter voorbereid zijn op dergelijke zaken voordat het verplichte overleg tussen de partijen op bevel van het federale gerechtshof plaatsvindt.

De geamendeerde bepaling 37 biedt een beperkte 'veilige haven' tegen sancties voor het niet kunnen overleggen van elektronisch opgeslagen gegevens, als dergelijke gegevens verloren zijn gegaan als gevolg van een routinehandelingen van een elektronisch gegevenssysteem en de handeling te goeder trouw is verricht. Zoals hierboven al is opgemerkt, is de kans klein dat een gerechtshof dergelijke goede trouw zal vinden als een partij niet in staat blijkt om de gegeven op tijd te bevriezen (litigation hold). Deze bewaarkwesties gaan verder dan het mainframe en hebben tevens betrekking op back-uptapes, vaste schijven, laptops en andere elektronische opslagplaatsen. Deze zaken zijn niet zo helder als dat ze op het eerste gezicht lijken. Worden er binnen uw bedrijf PDA's gebruikt, zoals BlackBerry's? Zijn

25

er e-mails die alleen op deze apparaten worden opgeslagen en niet op de servers van het bedrijf? Drukken werknemers de bestanden af en worden deze bewaard ondanks het feit dat de elektronische gegevens periodiek worden opgeschoond, en weet u waar deze exemplaren worden bewaard? Zijn er werknemers die op het werk toegang hebben tot bulletin boards, IM-programma's of hun persoonlijke e-mail en waarvan de elektronische beheersystemen van uw bedrijf een kopie hebben opgeslagen? Houdt het bedrijf bij hoe vaak de elektronische gegevens worden vernietigd of overschreven en kan met deze systemen worden voorkomen dat bepaalde soorten gegevens op basis van zoektermen worden verwijderd (zoals de naam van de potentiële aanklager, functie of gekocht product)? Heeft uw bedrijf de beleidsrichtlijnen gecommuniceerd over welke e-mails worden opgeslagen in persoonlijke mappen op de computers van het bedrijf en wordt dit beleid ook routineus toegepast door de werknemers? Weet het bedrijf welke metagegevens zich op de computers bevinden?

Een effectief systeem voor het beheren van elektronische gegevens moet elk van deze problemen ver voor het proces het hoofd kunnen bieden, zodat in het geval van een proces, het bedrijf onmiddellijk alle relevante gegevens kan identificeren en opslaan, ongeacht de vorm.32 De elektronische gegevens die worden bevroren in het kader van het proces, moeten niet alleen bestaan uit documenten die zijn gemaakt door de persoon waarop de mogelijke rechtszaak is gericht, maar ook alle documenten voor of over de betreffende persoon, en in het geval van een mogelijke discriminatieclaim of een collectieve claim, van alle personen die in vergelijkbare omstandigheden hebben verkeerd.

32 Allen Smith, Amended Federal Rules Define Duty to Preserve Work E-mails, HR NEWS, 1 december 2006.

Een effectief systeem voor het beheren van elektronische gegevens moet elk

van deze problemen ver voor het proces het hoofd kunnen bieden, zodat een

bedrijf in het geval van een proces

onmiddellijk alle relevante gegevens kan identificeren en

opslaan, ongeacht de bestandsindeling van

de documenten.

27

Een prettige werkomgeving

In de Verenigde Staten 33spreekt het bijna voor zich dat er op een geoorloofde manier filters worden gebruikt en dat werknemers worden gecontroleerd om zodoende voor een prettige werkomgeving te zorgen. 'Het idee dat filters nodig zijn om aansprakelijkheidkwesties te voorkomen, is min of meer algemeen geaccepteerd geworden.'34 'Veel intimidatiezaken hadden kunnen worden voorkomen als er filters waren gebruikt omdat de mail dan niet zou zijn verzonden.'35

Zowel uit de statistieken als uit een oppervlakkige inventarisatie van de processen die worden gevoerd over de werksfeer, blijkt dat elektronische-mailsystemen de bron van ontelbare klachten over discriminatie en intimidatie zijn. EEOC vs. Freddie Mac, Civ. No. 97-1157-A, at 3-4 (E.D. Va. 24 juli, 1997) (aanklacht ingediend aangaande het op de werkplaats verspreiden van kleinerende elektronische berichten over huidskleur en minstens drie jaar in behandeling.. De werkgever had de verplichting 'om meteen corrigerende maatregelen te treffen om het probleem met wortel en tak uit te roeien'. ) Olivant v. Dept. of Environmental Protection, 1999 WL 430770 (N.J. Admin. 12 april) (verspreiding van seksistische 'humor' via het e-mailsysteem wordt gezien als seksuele intimidatie.); Trout vs. City of Akron (Aanklachtnr. CV-97-115879 (ingediend op 1 november7, 1997); vonnis, id. (15 december 1998)); $260.000 tegen de stad op basis van het feit dat collega's pornografisch materiaal op hun computer bekeken. Daarentegen oordeelde het gerechtshof in de zaak Delfino vs. Agilent, 145 Cal. App.4th 790 (6th Dist., 2006), dat het bedrijf niet aansprakelijk was voor het gebruik van het computersysteem van het bedrijf door een werknemer voor het verzenden van dreigende berichten, omdat het bedrijf meteen gepaste maatregelen trof toen het van

33 Internationaal gezien zijn de controles onderworpen aan verschillende restricties en verbodsbepalingen. Dit artikel heeft voornamelijk betrekking op het Amerikaanse proces, hoewel er, zoals wordt opgemerkt in sectie VIII hieronder, een nog geavanceerder systeem voor gegevensbeheer nodig is om ook te kunnen voldoen niet-Amerikaanse jurisdictievereisten.34 Eugene Volokh, Professor of Law UCLA, Freedom of Speech, Cyberspace: Harassment Law and the Clinton Administration, 63 LAW & CONTEMP. PROBS. 299 (2000).35 Wendy R. Leibowitz, Avoiding E-mail Horror Stories: Policies and Filters the Best Defense, N.Y. L.J., 15 december 1998, at 5.

Veel van de zaken over intimidatie via e-mail hadden kunnen worden voorkomen wanneer er filters waren gebruikt,

aangezien de desbetreffende e-mails dan niet zouden zijn

verzonden.

28

de onbetamelijkheden op de hoogte werd gebracht. Daarnaast is de federale wet- en regelgeving ook van toepassing op gevallenvan kinderporno. Kinderporno wordt beschouwd als 'smokkelwaar', waardoor het illegaal is om dergelijk materiaalte verhandelen, in het bezit te hebben of te distribueren, zoals neergelegd in 18 USC 2251 et al. Een bedrijf is wettelijk verplicht om kennis van het gebruik van dergelijk materiaal onmiddellijk te melden aan de FBI. Wanneer dit niet gebeurt, loopt het bedrijf het risico de wetgeving met betrekking tot kinderporno te overtreden.

Steeds meer Amerikaanse bedrijven maken gebruik van screeningapparaten of filters om zichzelf tegen een proces te beschermen. Wanneer een Amerikaanse werkgever niet is staat is om de elektronische communicatie van en naarde apparatuur van het bedrijf te controleren, kan dit leiden tot aanzienlijke aansprakelijkheid. Bijgevolg dienen Amerikaanse werkgevers Amerikaanse werknemers te informeren dat de computers eigendom zijn van het bedrijf, dat deze uitsluitend mogen worden gebruikt voor bedrijfsdoeleinden, dat de communicatie op elk moment kan worden gecontroleerd en dat de werknemers geen privacy moeten verwachten bij het gebruik van een computer op het werk.36

Verder lijken de gerechtshoven meer en meer voorstanders van filters als de minst beperkende manier om personen te beschermen tegen aanstootgevende inhoud op internet. Op 22 maart 2007 oordeelde een arrondissementsrechtbank in Pennsylvania bijvoorbeeld dat de Child Online Protection Act37 gedeeltelijk onconstitutioneel was, omdat het gebruik van filters een minder beperkende manier is om te voorkomen dat kinderen toegang krijgen tot aanstootgevend materiaal op internet dan op de manieren die het Congress wettelijk eiste.38 Het gerechtshof oordeelde dat filters 'doorgaans 95% van de expliciete seksuele inhoud blokkeren'.39 Tevens zijn filters 'volledig

36 Monitoring Employee E-mail: Efficient Workplaces vs. Employee Privacy, 2001 DUKE L. & TECH. REV. 0026 (2001).37 47 U.S.C. § 231.38 ACLU v. Gonzales, No. 98-5591 (E.D. Pa. 22 maart 2007).39 Id.

29

aan te passen en kunnen ze worden ingesteld voor verschillende leeftijden en voor verschillende spraakcategorieënen kunnen ze volledig worden uitgeschakeld…'40

Met het oog op het toegenomen aantal bepalingen, rechtszaken en de toegenomen kosten voor vermijdbare fouten, maken bedrijven naast de technologische mogelijkheden gebruik van beleidsrichtlijnen voor op de werkvloer om de productiviteit te beheren, bronnen te beschermen en werknemers te motiveren om zich te houden aan de regels. Naar verluidt informeert meer dan 80% van de Amerikaanse bedrijven de werknemers dat de inhoud, toetsaanslagen en de tijd achter het toetsenbord worden gecontroleerd; 76% houdt de webactiviteiten van de werknemers in de gaten; 65% blokkeert de verbinding met ongepaste websites; 82% maakt het personeel duidelijk dat het bedrijf computerbestanden opslaat en controleert; 86% wijst werknemers erop dat hun e-mail wordt gecontroleerd; en 89% informeert de werknemers dat hun gebruik van het web wordt geregistreerd.41 In 2005had 84% van de Amerikaanse bedrijven naar verluidt beleidsrichtlijnen opgesteld voor het persoonlijk gebruik van e-mail, 81% beschikte over beleidsrichtlijnen voor het gebruik van internet, 42% had beleidsrichtlijnen opgesteld voor het persoonlijk gebruik van chatprogramma's, 34% besteedde aandacht aan het beheer van eigen websites onder werktijd, 23% had beleidsrichtlijnen opgesteld voor het plaatsen van berichten op bedrijfsblogs en 20% had beleidsrichtlijnen ingesteld om het beheer van persoonlijke blogs onder werktijd aan banden te leggen.42 In datzelfde jaar erkende 26% van de werkgevers dat er werknemers zijn ontslagen vanwege misbruik van internet en 25% beëindigde een arbeidsovereenkomst vanwege het misbruik van e-mail.43

40 Id.41 AMA/ePolicy Institute Research, 2005 Electronic Monitoring & Surveillance Survey, (2005).42 Id.43 Id.

Met het oog op het toegenomen

aantal bepalingen, rechtszaken en de

toegenomen kosten voor vermijdbare

fouten, maken bedrijven naast

de technologische mogelijkheden

gebruik van beleidsrichtlijnen

voor op de werkvloer om de productiviteit te beheren, bronnen

te beschermen en werknemers te

motiveren om zich te houden aan de regels.

31

Het beschermen van de intellectuele eigendommen is essentieelvoor een succesvolle onderneming

Het aantal e-mails groeit jaarlijks met 30% en bevat tot wel 80% van de intellectuele eigendommen van een bedrijf.44 De kans op een catastrofe is niet meer puur theoretisch. In de zaak Sonoco Products vs. Johnson, 23 P.3d 1287 (Co. App. 2001) kreeg het bedrijf vanwege verhandeling van zijn handelsgeheimen bijna $7 miljoen uitgekeerd. Een voormalig werknemer en zijn nieuwe werkgever spanden samen om gebruik te maken van de elektronische en fysieke gegevens van Sonoco die door een werknemer waren gestolen.45

Gerechtshoven stelden niet alleen de werknemer die de gegevens meenam aansprakelijk, maar ook de nieuwe werkgever. In de zaak Shurgard Storage vs. Safeguard Self-Storage, 119 F. Supp. 2d 1121 (W.D. Wash. 2000), diende de eiser onder de Computer Fraud and Abuse Act een vordering in tegen de latere werkgever omdat een voormalige werknemer van de eiser zijn computers gebruikte om informatie van de eiser te verzenden naar het bedrijf van de gedaagde, die de werknemer vervolgens in dienst nam. In de zaak Charles Schwab vs Carter, 2005 U.S. LEXIS 21348, nr. 04-C-7071 (N.D. Ill. 2 september7 2005), oordeelde het gerechtshof dat de eiser met succes een zaak tegen de nieuwe werkgever van een voormalige werknemer had bepleit onder de Computer Fraud and Abuse Act op basis van een theorie van plaatsvervangende aansprakelijkheid.

44 Frank Chambers, EDD Tips for Email from the Front Line, LAW TECHNOLOGY TODAY, maart 2007.45 Zie ook Sawyer vs. Dept. of Air Force, MSPB 1986, 31 MSPR 193; US vs. Middleton, 35 F. Supp. 2d 1189 (N.D. Cal. 1999); EF Cultural Travel BV vs. Explorica Inc., 274 F.3d 577 (1st Cir. 2001); Pacific Aerospace Electronics Inv. vs. Taylor, 295 F. Supp. 2d 1188 (E.D. Wa. 2003).

Het aantal e-mails groeit jaarlijks

met 30% en bevat maar liefst 80%

van de intellectuele eigendommen van een

bedrijf.

32

Toen de werknemer nog voor de eiser Schwab werkte, mailde hij informatie die eigendom was van Schwab naar zijn latere werkgever Acorn. Schwab verklaarde dat Acorn de werknemer had aangespoord om zich diepergaande toegang te verschaffen tot het computersysteem van Schwab dan hem was toegestaan.

In Lowry's Reports vs. Legg Mason, 271 F. Supp. 2d 737 (D. Md. 2003) herdrukte en distribueerde een werknemer auteursrechtelijk beschermd materiaal op de werkvloer. Het gerechtshof achtte het niet relevant dat de werkgever niet op de hoogte was van de aanhoudende ongeoorloofde handelingen van de werknemer (nadat de werkgever de werknemer had verzocht geen auteursrechtelijk beschermd materiaal meer te verspreiden). De jury legde een geldboete op van $20 miljoen.46

Uit al deze zaken blijkt dat als het Amerikaanse bedrijf/slachtoffer de uitgaande informatie van het bedrijf had gecontroleerd en de ongeautoriseerde verzending van dergelijke informatie had onderschept of gefilterd, er geen jarenlange rechtsprocedure had hoeven plaatsvinden en er bovenal geen intellectuele eigendommen van het bedrijf verloren zouden zijn gegaan. Eenmaal in de openbaarheid is het vrijwel onmogelijk de geest weer in de fles terug te duwen en verdere verspreiding van deze kennis te voorkomen, met of zonder winst in de rechtszaal.

46 Moties voor een nieuwe rechtszaak en een nieuw vonnis werden afgewezen in Lowry's Reports, Inc. v. Legg Mason, Inc., 302 F. Supp. 2d 455, 461 (D. Md. 2004).

33

Privacy: Wanneer(te) veel informatie geen goede zaak meer is47

In tegenstelling tot de landen van de Europese Unie (EU) en enkele andere gebieden in de wereld, hebben de Verenigde Staten geen uitgebreid systeem voor gegevensbescherming. In plaats daarvan regelt de Verenigde Staten privacykwesties per sector of industrie met afzonderlijke wetten die betrekking hebben op het maken, bewaren, gebruiken en de toegankelijkheid van persoonlijke gegevens. In tegenstelling tot de nadruk die de FRCP legt op het bewaren van documenten of de controlelessen van een vijandige werksfeer of zaken in het kader van de Computer Fraud and Abuse Act, reguleert en beperkt de privacywetgeving alleen de gegevens die een bedrijf mag verzamelen, verwerken, overdragen, bewaren, gebruiken of verspreiden. Daarom is het belangrijk dat een effectief systeem voor gegevensbeheer niet alleen de mogelijkheid biedt om gegevens te bewaren en te archiveren wanneer dat nodig is en om deze indien mogelijk binnen de VS te controleren, maar tevens de mogelijkheid biedt om het gebruik van en de toegang tot de persoonlijke gegevens die voor beperkte en uitdrukkelijk doeleinden aan het bedrijf zijn verstrekt, aan banden te leggen.

De Gramm-Leach-Bliley Act is bijvoorbeeld van toepassing op de financiële instellingen, inclusief bedrijven die actief zijn in het bankwezen, op het gebied van verzekeringen, aandelen en effecten of financieel advies en investeringen. De wet biedt maar beperkt bescherming tegen de verkoop van persoonlijke financiële informatie, legt de bescherming vast tegen het verkrijgen van persoonlijke informatie onder 'valse voorwendselen' en biedt consumenten het recht om niet deel te nemen aan het delen van beperkte 'niet-openbare

47 Zie voor meer informatie voor niet alleen de VS maar ook internationale bescherming van de privacy van gegevens Baker & McKenzie Global Privacy Handbook (International Association of Privacy Professionals) ©2006.

34

persoonlijke gegevens'. Verder eist deze wet van financiële instellingen dat er informatiebeveiligingsprogramma's worden gebruikt die voldoen aan bepaalde criteria zoals bepaald door de regulerende instantie, zoals de Federal Trade Commission's Standards for Safeguarding Customer Information.

De Fair Credit Reporting Act (en vele andere staatswetten) reguleert voornamelijk het gebruik en de bekendmaking van informatie in 'consumentenrapporten' door 'kredietregistratiebureaus', waarvoor een zeer brede definitie wordt gehanteerd. De wet bevat restricties voor het verzamelen, gebruiken en openbaar maken van medische, financiële en juridische gegevens, alsmede speciale restricties voor identiteitsroof, consumentenrapporten voor werkgelegenheidsdoeleinden en 'onderzoeksrapporten voor consumenten' bij derden. De wet bevat verschillende vereisten voor zowel kredietregistratiebureaus als de gebruikers van deze consumentenrapporten om de integriteit en accuraatheid van de verzamelde en gebruikte gegevens te kunnen garanderen, alsmede de internettoegang, het gebruik en het veilig verwijderen van informatie die afkomstig is uit consumentenrapporten.

De Health Insurance Portability and Accountability Act (HIPAA) heeft betrekking op het verzamelen, het gebruik en de toegankelijkheid van gezondheidsgerelateerde informatie voor 'onder de wet vallende entiteiten', die worden gedefinieerd als zorgverzekeraars, clearing-instellingen in de gezondheidszorg en zorgproviders die gezondheidsgegevens overdragen. De HIPAA reguleert onder andere het gebruik en de openbaarmaking van beschermde informatie over de gezondheid, ongeacht in welke vorm deze wordt bewaard. De onder de wet vallende entiteit moet een gegevensbewaker aanstellen die verantwoordelijk

HIPAA heeft betrekking op

het verzamelen, het gebruik en de

toegankelijkheid van gezondheidsgere-

lateerde informatie voor 'onder de wet vallende entiteiten',

die worden gedefinieerd als

zorgverzekeraars, clearing-

instellingen in de gezondheidszorg en zorgproviders die

gezondheidsgegevens overdragen.

35

is voor de implementatie en de naleving van de beleidsrichtlijnen en gebruiken zoals neergelegd in de HIPAA en die wordt geacht de gegevens minimaal zes jaar te bewaren. De onder de wet vallende entiteiten moeten tevens voldoen aan de afzonderlijk Security Standards for the Protection of Electronic Protected Health Information, 45 CFR 160 en 164. In 2007 kondigde het Amerikaanse Ministerie van Justitie in januari de eerste zaak aan op basis van de HIPAA met vervolging voor het stelen van persoonlijke medische gegeven, waaronder 1,130 elektronische documenten van de Cleveland Clinic. Een werknemer van de kliniek zou het computersysteem van de kliniek hebben gebruikt om gegevens van patiënten te verzamelen en te verkopen aan een criminele organisatie, die de patiëntgegevens gebruikte om fraude te plegen en Medicare $7 miljoen in rekening te brengen. Er zijn ook verschillende staatswetten die betrekking hebben op medische gegevens en die deze reguleren, zoals de Confidentiality of Medical Information Act in Californië.48

Een groot aantal staten beschikt ook over speciale wetten ter bescherming van de vertrouwelijkheid van sofinummers. Volgens artikel 1798.85 van de California Civil Code mag een persoon bijvoorbeeld onder andere niet worden verplicht om zijn of haar sofinummer via internet te verzenden, tenzij er sprake is van een beveiligde verbinding of het sofinummer is gecodeerd. Artikel 1798.81.5 van de California Civil Code eist van bedrijven dat er redelijke beveiligingsprocedures zijn geïmplementeerd om een verscheidenheid aan persoonlijke gegevens te beschermen, zoals sofinummers, creditcard- en bankrekeningnummers en rijbewijsnummers. New York heeft een vergelijkbare wet waarin de vernietiging van documenten met persoonlijke gegevens, zoals het sofinummer van een persoon, wordt gereguleerd.49

48 Uit een recent onderzoek bleek dat 98,5% van de ondervraagden vindt dat een medische organisatie verantwoordelijk is voor de beveiliging van de medische gegevens van een patiënt, maar dat minder dan 40% erop vertrouwde dat hun zorgprovider de medische informatie ook inderdaad goed heeft beveiligd. Bijna alle respondenten vonden dat medische organisaties de juridische verantwoordelijkheid hebben om een patiënt te informeren wanneer zonder toestemming van de patiënt zijn/haar medische gegevens zijn ingezien, maar 7 van de 10 denken niet dat zorgproviders hun best doen om de patiënt op de hoogte stellen van een mogelijke inbreuk op de veiligheid. www.epictide.com.49 NY CLS Gen. Bus. §399-h (2007).

De HIPAA-bepalingen reguleren

onder andere het gebruik en de

openbaarmaking van beschermde

informatie over de gezondheid, ongeacht in welke vorm deze

wordt bewaard.

36

Bedrijven moeten zorgvuldig een systeem voor het beheer van elektronische gegevens selecteren om te kunnen voldoen aan het toenemend aantal regels voor de bescherming van persoonlijke gegevens. Zowel de dokter als de bankier heeft een coderingsfunctie nodig om ervoor te zorgen dat vertrouwelijke gegevens worden beschermd tegen onbedoelde openbaarmaking, ongeacht of het diagnostische of financiële gegevens betreft. Er moeten firewalls worden geïnstalleerd en de toegang moet worden beperkt om te voorkomen dat de gegevens ongeoorloofd of te wijd worden verspreid. Er moeten tevens controlefuncties worden gebruikt, zodat wanneer een inbreuk op de veiligheid wordt gedetecteerd, dit onmiddellijk wordt gemeld en er corrigerende maatregelen kunnen worden getroffen. Het overtreden van de Amerikaanse en staatswetgeving voor de bescherming van de privacy leiden niet alleen vaak tot strafrechtelijke sancties, maar doet ook afbreuk aan de integriteit van een bedrijf en het bijbehorende merk. Wederom is het beter om vooruit te plannen om inbreuk te voorkomen dan om achteraf te proberen de schade te beperken.

Het overtreden van de Amerikaanse en

staatswetgeving voor de bescherming van

de privacy leiden niet alleen vaak

tot strafrechtelijke sancties, maar doet

ook afbreuk aan de integriteit van een bedrijf en het

bijbehorende merk. Wederom is het

beter om vooruit te plannen om inbreuk te voorkomen dan

om achteraf te proberen de schade te

beperken.

37

Coderen

Het is essentieel dat gegevens worden gecodeerd, maar helaas wordt deze technologie niet vaak genoeg toegepast. 'Gegevenscodering wordt gedefinieerd als het proces waarbij de overgedragen of opgeslagen informatie wordt versleuteld zodat de informatie niet kan worden ontcijferd totdat deze wordt gedecodeerd door de beoogde ontvanger.'50 Het is essentieel dat handelsgeheimen en vertrouwelijke gegevens die via internet worden verzonden, worden beschermd.

Als de gegevens niet worden gecodeerd, liggen de bedrijfsgeheimen in feite voor het oprapen. 'In de beveiligingswereld zal het jaar 2005 worden herinnerd als het jaar waarin een geval van gegevenslekkage de voorpagina haalde. Dit voorval werd met name zo breed uitgemeten vanwege de nieuwe Amerikaanse wet- en regelgeving die bedrijven verplicht om diefstal of verlies van klantgegevens openbaar te maken.'51 Nog angstaanjagender is het dat de prioriteit van werknemers met toegang tot vertrouwelijke gegevens van hun werkgever niet ligt bij de beveiliging van de gegevens en dat ze soms niet eens weten hoe ze de gegevens moeten beveiligen. In het spraakmakende artikel 'Why Johnny Can't Encrypt'52 concluderen twee onderzoekers aan Carnegie Mellon University dat de gemiddelde, geschoolde, ervaren e-mailgebruiker niet weet hoe hij/zij een coderingstechnologie kan gebruiken. Uit het vervolgonderzoek, 'Why Johnny Still Can't Encrypt',53 blijkt dat hier maar weinig verbetering in is gekomen. Bedrijven moeten proactieve stappen ondernemen om gebruiksvriendelijke coderingssystemen aan te schaffen die voldoen aan hun beveiligingsbehoeften. Vervolgens moet het personeel worden getraind in het gebruik van de technologie.

50 Fred Moore, Preparing for Encryption: New Threats, Legal Requirements Boost Need for Encrypted Data, COMPUTER TECHNOLOGY REVIEW, augustus - september 2005.51 Kevin Murphy, Email Security Uncovered, COMPUTER BUSINESS REVIEW ONLINE, 1 november 2005 (citaat van Alex Hernandez, director of advanced product development bij CipherTrust).52 Alma Whitten & J.D. Tygar, Why Johnny Can't Encrypt: A Usability Evaluation of PGP 5.0, beschikbaar op http://www.gaudior.net/alma/johnny.pdf.53 Steve Sheng et al, Why Johnny Still Can't Encrypt: Evaluating the Usability of Email Encryption Software, beschikbaar op http://cups.cs.cmu.edu/soups/2006/posters/sheng-poster_abstract.pdf.

38

Wanneer een bedrijf opslagsystemen gebruikt waarop ongecodeerde gegevens worden opgeslagen, loopt het bedrijf het risico dat een hacker klantgegevens steelt, wat kan leiden tot negatieve publiciteit, het verlies van klanten en tot een kostbare rechtszaak. In januari 2007 kwam TJX Companies, een overkoepelend bedrijf waaronder ook T.J. Maxx, Marshalls, Home Goods, Bob's Stores en andere ketens vallen, met het bericht naar buiten dat hun computers van 2005 tot 2006 waren gehackt , wat resulteerde in de diefstal van gegevens van 45,7 miljoen verschillende betaalkaarten die tussen 2002 en 2004 zijn gebruikt, inclusief de namen van personen en de nummers van hun creditcard of betaalkaart.54 In maart 2007 kwam Radioshack erachter dat 20 dozen met afgedankte gegevens onder andere kassabonnen bevatten met de creditcardnummers van klanten. De Attorney General van Texas heeft hierop stappen ondernomen. In maart 2007 verloor de Group Heath Cooperative Healthcare System twee laptops met daarop de namen, adressen, sofinummers en klantnummers van lokale patiënten en werknemers.

Deze incidenten hadden grotendeels kunnen worden voorkomen door de gegevens te coderen. Met name middelgrote bedrijven zijn kwetsbaar voor aanvallen. Hackers willen niet meer beroemd worden met een wereldwijd verspreid virus. Het gaat ze om het geld. Aangezien hackers weten dat middelgrote bedrijven doorgaans minder uitgeven aan de beveiliging en codering van gegevens, zijn naar schatting 4.000 middelgrote bedrijven kwetsbaar voor aanvallen, tenzij zij ook een plan ontwikkelen om hun gegevens te beschermen.55

Zoals hierboven reeds is opgemerkt, wordt het coderen van gegevens ter voorkoming van het onbedoeld openbaar maken van persoonlijke gegevens in ieder geval in de Confidentiality of Social Security Number Act van Californië gezien als een

54 TJX, Frequently Asked Questions, www.tjx.com/tjx_faq.htm. 55 Allan Holmes, Many Mid-Market Enterprises Say They Have Neither the Time, Money nor Resources to Spend on Security. Which May Be Why the Crooks Are Targeting Them and Turning the Mid-Market into a Bad Neighborhood, CIO, 1 maart 2007.

Aangezien hackers weten

dat middelgrote bedrijven doorgaans

minder uitgeven aan de beveiliging en codering van gegevens, zijn naar schatting

4.000 ,middelgrote bedrijven kwetsbaar

voor aanvallen, tenzij zij ook een plan ontwikkelen

om hun gegevens te beschermen.

39

positief afweermiddel.56 Daarnaast zijn contractanten van de overheid die zijn belast met het verzamelen van inlichtingen, verplicht om verschillende coderingsstandaarden te gebruiken.57 Bovendien is het gewoon verstanding om te coderen. Zodoende voorkomt u dat er per ongeluk informatie openbaar wordt gemaakt die eigendom is van uw organisatie. IT'ers en juristen van het bedrijf moeten de behoeften van het bedrijf aan coderingsservices coördineren en bepalen of het huidige systeem in het geval van hacking, diefstal of een rechtszaak adequate bescherming biedt.

56 CAL. CIV. CODE §1798.29 (deel van het wetsontwerp dat bekend is als SB 1386).57 National Institute of Standards and Technology (NIST), Data Encryption Standard Fact Sheet, op http://csrc.nist.gov/cryptval/des/des.txt.

41

Internationale kwesties: wanneerde werelden van gegevensbeleidsnaleving met elkaar in botsing komenDe richtlijnen voor het verzamelen, verwerken, bewaren, gebruiken, controleren, openen en vernietigen van gegevens kunnen niet alleen in jurisdicties buiten de VS drastisch verschillen , maar in sommige gevallen staan ze zelfs haaks op de Amerikaanse wet- en regelgeving. Voor bedrijven die internationaal opereren, is het essentieel dat ze zowel de lokale nalevingsregels als de grensoverschrijdende regels voor elektronische gegevens kennen.

In de EU heeft bijvoorbeeld elk land overeenkomstig de EU-richtlijn voor de bescherming van persoonsgegevens, wetten geïmplementeerd voor het verzamelen, registreren, organiseren, opslaan, aanpassen, wijzigen, opvragen, blokkeren, controleren, openbaar maken, verzenden, overdragen en vernietigen van 'persoonsgegevens'. En wanneer er sprake is van 'gevoelige persoonsgegevens', gaat de bescherming nog verder. Anders dan in de VS worden 'persoonsgegevens' in de EU algemeen gedefinieerd en gelden er geen beperkingen of restricties voor bepaalde branches of sectoren, maar wordt de ongeoorloofde verwerking of verzending van de gegevens van een persoon beschermd, zoals de naam, het adres, de vergoedingen, de regelingen en financiële informatie, alsmede meer 'gevoelige' informatie, zoals gezondheidsinformatie , het ras of etnische achtergrond, de politieke overtuiging, het lidmaatschap van een vakbond of de burgerlijke staat. Dergelijke wetten zijn niet alleen van toepassing op werknemers, maar ook op consumenten. In Italië, Oostenrijk en nog enkele andere landen gaan ze nog een stap verder en is de bescherming van de privacy ook van toepassing op bedrijven.

Voor bedrijven die internationaal opereren, is het essentieel dat ze zowel de lokale

beleidsnalevingsregels als de

grensoverschrijdende regels voor

elektronische gegevens kennen.

42

Aangezien de VS door de EU in feite wordt gezien als een 'onveilige' jurisdictie, kan dergelijke informatie niet wettig worden overgedragen, zowel elektronisch als anderszins, naar de VS of andere 'onveilige jurisdicties', tenzij er bepaalde beveiligingsmaatregelen worden getroffen, zoals deelname aan de Safe Harbor-overeenkomst tussen de VS en de EU, het aannemen van de modelclausules van de EU of de implementatie van goedgekeurde beleidsrichtlijnen voor de bescherming van de persoonsgegevens. Zelfs wanneer dergelijke beschermende maatregelen zijn getroffen in verband met het verzenden van persoonsgegevens naar de VS, betekent dit niet dat dergelijke gegevens mogen worden doorgestuurd naar onbekende derden die deze gegevens verwerken of naar andere landen, zoals gegevensinvoerservices in India. De landen van de EU zijn niet de enige landen: Canada, Argentinië, Japan, Australië en vele andere landen passen hun eigen regels toe in verband met de bescherming van de privacy.

Bedrijven moeten niet alleen weten wat ze mogen verzamelen, verwerken en internationaal mogen overdragen, ze moeten ook weten om te gaan met rivaliserende en soms conflicterende wetten. De SOX verplicht beursgenoteerde bedrijven bijvoorbeeld een anonieme 'kliklijn' beschikbaar te stellen waar melding kan worden gemaakt van financiële overtredingen of fraude met effecten. De gedachte achter de anonieme SOX-kliklijn is dat werknemers niet hoeven te vrezen dat hun identiteit openbaar gemaakt en ze zich geen zorgen hoeven te maken over vergeldingsacties. In de EU staat men doorgaans afkeurend tegenover anonieme 'kliklijnen' en worden deze gezien als een inbreuk op de privacyrechten. Daarom gelden daar allerlei restricties. De conflicterende prioriteiten van de transparantie van de SOX tegenover de bedenkingen die de EU heeft in verband met de privacy, vormt een voor de hand liggend dilemma voor beursgenoteerde multinationals en is er een geavanceerd systeem voor gegevensbeheer nodig om ervoor te zorgen dat onder

Bedrijven moeten niet alleen weten wat ze mogen verzamelen,

verwerken en internationaal mogen

overdragen, ze moeten ook weten

om te gaan met rivaliserende en soms conflicterende wetten.

43

andere wordt voldaan aan de geldende restricties voor het opslaan, openen en bewaren van gegevens, terwijl tegelijkertijd ook moet worden voldaan aan de vereisten van de Amerikaanse SOX.58

Andere Amerikaanse gebruiken laten zich niet internationaal vertalen. De Franse Hoge Raad oordeelde bijvoorbeeld in 2001 dat het ontslag van een Franse werknemer van een Frans bedrijf onrechtmatig en tevens onconstitutioneel en strafbaar was, ondanks het feit dat uit controle van de bedrijfscomputer van de werknemer bleek dat deze vertrouwelijk informatie had doorgestuurd naar een potentiële concurrent. Het Frans hof oordeelde dat de werknemer ook onder werktijd en op de werkvloer over een constitutioneel recht op privacy beschikt, ook al had de werkgever het gebruik van de bedrijfscomputer voor privédoeleinden verboden. In Duitsland licht de zaak iets genuanceerder, maar ook daar is het niet toegestaan om de computers van werknemers te controleren als de werkgever heeft toegestaan dat het bedrijfssysteem voor persoonlijke doeleinden mag worden gebruikt. Verschillende EU-jurisdicties eisen dat controle van een werknemer op zijn minst moet worden geregistreerd en goedgekeurd door de lokale autoriteit die is belast met de bescherming van de privacy.

Het is daarom van essentieel belang dat wanneer er een systeem voor het beheer van elektronische gegevens wordt geselecteerd, het bedrijf de lokale juridische vereisten begrijpt waar de gegevens worden verzameld, gebruikt of geopend. Wanneer, zoals het geval is voor multinationals, de gegevens afkomstig zijn uit of worden verzonden naar meerdere jurisdicties, is het essentieel dat de wetgeving inzake de persoonsbescherming wordt gerespecteerd en dat er gebruik wordt gemaakt van goede firewalls en toegangsrestricties voor de gegevenssystemen om te voorkomen dat de gegevens worden verwerkt, gecontroleerd of verstuurd zonder dat de juiste maatregelen zijn getroffen om de beleidsnaleving te waarborgen.

58 Zie voor een verdere discussie over gedragscodes die hun doel voorbijschieten en het internationaal overmatige gebruik van regels over anonieme klokkenluiders'Overreaching Global Codes of Conduct Can Violate the Law', door Cynthia L. Jackson, LA en SF Daily Journal, 7 juni, 2006.

45

Praktische tips

1. Plan vooruit. Wacht niet met het beheren van uw gegevens totdat er een rechtszaak wordt aangespannen, een klacht in verband met een vijandige werkomgeving wordt ingediend, bedrijfsgeheimen uitlekken of vertrouwelijke informatie verloren gaat.

2. Stel uzelf op de hoogte van de wettelijke vereisten. Stel uzelf op de hoogte van de wettelijke verplichtingen voor uw sector en de jurisdictie waarin het bedrijf werkzaam is. Wat zijn bijvoorbeeld de verplichtingen voor het bewaren van bepaalde gegevens in een land of staat? Welke voorzorgsmaatregelen, indien vereist, moeten er worden getroffen om de toegang of opslag te beperken? Weet u wat er moet worden gecodeerd en of er een meldingsplicht bestaat wanneer er inbreuk op de veiligheid wordt gemaakt? Is het verstandig om filters te gebruiken in een jurisdictie om te voorkomen dat er een vijandige werkomgeving ontstaat of wordt het gebruik van filters gezien als een inbreuk op de privacy?

3. Niet alles is altijd geschikt. Als u nationaal of internationaal opereert, moet u ervoor zorgen dat u weet welke conflicterende verplichtingen uw systeem voor het beheren van elektronische gegevens moet kunnen verwerken. In bepaalde jurisdicties waar het niet geoorloofd is om gebruik te maken van bijvoorbeeld controlesystemen of filters, kunt u overwegen om firewalls en toegangsrestricties te gebruiken of om bepaalde functies uit te schakelen.

4. Maak iemand verantwoordelijk voor het beheer van het systeem. Wijs personeel toe voor het onderhoud en beheer van elektronische gegevens. Dit kunnen meerdere mensen van de IT- of juridische afdeling zijn met input van medewerkers van personeelszaken of andere afdelingen. Zorg dat de mensen die ervoor moeten zorgen dat het systeem daadwerkelijk werkt wanneer daar de juridische noodzaak toe is, er in een vroeg stadium bij worden betrokken.

5. Bepaal in welke vorm de gegevens worden bewaard en wie de gegevens bewaart. Vergeet niet dat

46

de gegevens kunnen worden opgeslagen in een bureau, op PDA's, op computers thuis, op laptops en op andere locaties. Voordat u de gegevens kunt beheren waarvoor de wet u verantwoordelijk houdt, moet u eerst bepalen wat er is en waar het is om ervoor te zorgen dat het systeem dat u gebruikt, de relevante gegevens ook inderdaad registreert. Weet welke metagegevens u heeft.

6. Kies een flexibel systeem voor het beheren van elektronische gegevens. Kies een systeem dat flexibel genoeg is om te kunnen voldoen aan de eisen van het bedrijf voor het bewaren, archiveren, controleren en het filteren, en dat voldoet aan de coderingsvereisten in de jurisdicties waarin uw bedrijf opereert. Kies een systeem dat gebruiksvriendelijk is, zodat werknemers geen pogingen zullen ondernemen om het systeem te omzeilen. Kies een systeem dat kan worden aangepast wanneer de wettelijke vereisten worden gewijzigd. Houd rekening met de groei en uitbreiding van de gegevens, inclusief de metagegevens.

7. Ga niet hamsteren. Het is technologisch gezien mogelijk om een enorme hoeveelheid elektronische gegevens op te slaan, maar dit betekent niet dat u dat ook moet doen. Het onnodig opslaan van gegevens maakt het niet alleen ingewikkelder om de gegevens op te vragen, u loopt ook een groter risico dat u wordt gehackt. Bewaar bijvoorbeeld geen gevoelige financiële gegevens van klanten, tenzij u deze echt nodig heeft. Als u deze gegevens wel nodig heeft, moet u ze coderen.

8. Stel beleidsrichtlijnen op. Stel duidelijke en eenvoudige beleidsrichtlijnen op die consistent zijn met de toepasselijke wetgeving voor zaken als het bewaren van documenten, inclusief het bevriezen van gegevens (litigation hold) ver voor een rechtszaak. Stel in de VS een beleid op voor het controleren van e-mail van werknemers en geef hier voldoende ruchtbaarheid aan. Stel coderingsrichtlijnen op voor vertrouwelijke gegevens om te voorkomen dat de informatie onbedoeld openbaar wordt gemaakt. Waar dit is toegestaan, kunt u disciplinaire maatregelen in het leven roepen om het personeel duidelijk te maken dat u meent wat u zegt.

47

9. Wees voorbereid. Wacht niet totdat er een kort geding wordt aangespannen (laat staan een rechtszaak) om een proces te implementeren waarmee de gegevens kunnen worden bevroren (litigation hold). Zet nu een proces op waarmee de het vernietigingsproces voor documenten kan worden opgeschort, zodat de relevante gegevens indien nodig worden bewaard. Maak uw huiswerk voordat u overleg pleegt aangaande e-discovery. De procederende partij die precies weet wat er speelt en waarom het speelt, neemt een sterkere positie in bij de onderhandelingen en kan zo een zo gunstig mogelijk e-discoveryplan bedingen. Wacht niet totdat er inbreuk op de veiligheid is gepleegd, maar implementeer processen voor snelle melding en vastlegging.

10. Herhaling is het sleutelwoord. . De beleidsrichtlijnen en het systeem voor gegevensbeheer werken alleen als het personeel weet hoe ze moeten worden toegepast. De richtlijnen en het systeem moeten nauwgezet en consequent worden geïmplementeerd en onderhouden. Het aanschaffen van een systeem voor gegevensbeheer is slechts de eerste stap op weg naar beleidsnaleving. Nieuwe gegevens, nieuwe technologieën, nieuwe wetten en nieuwe dreigingen, nieuwe werknemers zorgen ervoor dat er voortdurend onderhoud, training en controle nodig is.

© Baker & McKenzie 2007Herdrukt met toestemming vanPostini, Inc.

WP33-0705