Hoe zit het eigenlijk met eigendom op data?
In een tijdperk waarin big data het nieuwe goud zijn, big oil door big tech uit de Dow Jones is geknikkerd en de eerste tweet ooit is verkocht voor 2,9 miljoen dollar, dringt de vraag zich op: bestaat er zoiets als eigendom van data? En zo ja, wie is dan de eigenaar en wat houdt dit in?
Data hebben andere eigenschappen dan tastbare objecten, zoals een fiets of een auto. Een fiets kun je aanraken en identificeren en daardoor onderscheiden van andere fietsen. De eigenaar kan de fiets verkopen, verhuren of slopen mocht hij daar zin in hebben en anderen verbieden om zijn fiets te gebruiken. Het eigendom van de fiets is dus een exclusief en absoluut recht, dat tegen iedereen kan worden ingeroepen.
Bescherming van losse data
Bij data is dat anders. Eigendom van data, zoals een reeks namen, jaartallen, IP-adressen of sensorgegevens, bestaat niet. Losse gegevens hebben ook geen waarde. Pas in samenhang met andere data krijgen ze betekenis en ontstaat er informatie die waardevol kan zijn, afhankelijk van de kwaliteit en de hoeveelheid data in het bestand. Data vormen grondstof voor nieuwe verdienmodellen in alle mogelijke sectoren en zijn daarmee ook handelswaar geworden. Die waarde kan gigantisch zijn.
Maar hoe kun je handelen in iets wat niet beschermd is? Het is namelijk niet zo dat data nooit beschermd zijn. Een gestructureerd databestand kan bijvoorbeeld beschermd zijn door middel van een databankrecht. Dat is een exclusief recht op een verzameling van gegevens die ‘systematisch of methodisch geordend zijn’ (een databank) en waarvan ‘de verkrijging, controle of presentatie getuigt van een substantiële investering’. De producent van zo’n databank heeft een exclusief recht op de exploitatie van de databank, maar niet op de losse gegevens in de databank. Bovendien geldt dit recht niet voor zogenaamde spin-off databanken, dat wil zeggen dataverzamelingen die ontstaan als ‘bijvangst’ van een andere activiteit, zoals beurskoersen, uitslagen van sportwedstrijden of vluchtgegevens. Hierover zijn talloze rechtszaken gevoerd, bijvoorbeeld tussen Ryanair en PR Aviation over het ‘scrapen’ van vluchtgegevens voor de prijsvergelijkingssite Wegolo. Ryanair trok aan het kortste eind, omdat het bedrijf niet kon bewijzen dat in de totstandkoming van de databank als zodanig substantieel geïnvesteerd was.
Data als bedrijfsgeheim
Informatie kan ook beschermd zijn als bedrijfsgeheim, op grond van de Richtlijn bescherming bedrijfsgeheimen, die in heel Europa geldt. Daarbij gaat het om informatie met handelswaarde, juist omdat zij geheim is. Denk aan het recept van Coca-Cola, het ontwerp van een IT-systeem of een bestand met commerciële gegevens. Voor bescherming als bedrijfsgeheim is wel vereist dat er maatregelen zijn getroffen om de informatie geheim te houden, zoals geheimhoudingscontracten en technische beveiligingsmaatregelen. Iemand die bedrijfsgeheimen steelt of zonder toestemming deelt met derden, handelt onrechtmatig en kan worden veroordeeld tot schadevergoeding. Goed om te weten wanneer bijvoorbeeld een zakenpartner er met de knowhow van uw bedrijf vandoor dreigt te gaan.
Door geheimhouding ontstaat dus praktisch, en deels ook juridisch, een exclusief recht, dat verdacht veel lijkt op eigendom. Bezitter is de partij met datacontrole die bepaalt wie toegang krijgt tot de data en onder welke voorwaarden. Denk aan Google en Facebook die advertenties verkopen, terwijl onderliggende data niet worden gedeeld.
Toch zijn er duidelijke verschillen met het eigendom van een fiets. Het alleenrecht op het gebruik van data verdwijnt als sneeuw voor de zon zodra de data openbaar worden. Vanaf dat moment zijn de data in het publieke domein en is de bezitter van het bestand de controle voor altijd kwijt. Daarnaast kleven er beperkingen aan de handel in databestanden. Als het gaat om persoonsgegevens kan de AVG hieraan in de weg staan, bijvoorbeeld omdat verkoop niet in lijn is met het doel waarvoor de gegevens oorspronkelijk zijn verzameld.
Oké, maar hoe regelen we dit dan?
Afspraken vastleggen
Omdat eigendom van data niet bestaat, is het belangrijk dat afspraken over het gebruik ervan contractueel goed worden vastgelegd. Denk hierbij aan zaken als:
Wie heeft het gebruiksrecht, voor hoelang en waarop ziet dat gebruiksrecht precies?Zijn er persoonsgegevens in het spel? Dan is de AVG van toepassing, waarbij onder andere moet worden bepaald wie geldt als verantwoordelijke, voor welk doel de gegevens verwerkt (mogen) worden, hoelang de gegevens worden bewaard, of het gaat om gevoelige gegevens, hoe ze worden beveiligd, et cetera.Wie heeft recht op de verzamelde data of analytische gegevens na afloop van de samenwerking? In de samenwerking tussen een klant (die bijvoorbeeld advertentieruimte inkoopt) en een mediabureau is dit een belangrijk aspect. Wanneer een licentie wordt verleend op het gebruik van data, is het van belang om goed te regelen welke personen (feitelijk en juridisch) toegang krijgen, of het gebruiksrecht exclusief is en of sublicenties verleend mogen worden. Denk ook aan afspraken over vernietiging van informatie bij beëindiging van het contract. Bij Software-as-a-Service (SaaS), waarbij gegevens van de klant worden opgeslagen op servers van de provider, is juist van belang dat er afspraken worden gemaakt over migratie van data wanneer de klant overstapt naar een andere dienstverlener (een exitbepaling).
Lang verhaal kort: eigendom van data bestaat niet, maar feitelijk kan degene die de toegang tot de data controleert wel degelijk een alleenrecht hebben. Ook zijn data of daaruit afgeleide informatie op allerlei manieren verhandelbaar. Naast de technologie om data te verzamelen en te analyseren, spelen geheimhouding en contractuele afspraken een essentiële rol.
(c) Berber Brouwer, advocaat bij Walden Grene