Checklist: de geheimhoudingsovereenkomst (NDA)

    - / 1 March 2024

    Een non-disclosure agreement (NDA) of geheimhoudingsovereenkomst is een overeenkomst waarbij twee partijen afspreken bepaalde informatie geheim te houden. Strikt gesproken is dit geen ICT-specifieke contractsoort, maar de NDA is buitengewoon populair in de ICT. Zo populair zelfs dat het document wel eens de Silicon Valley Handshake genoemd wordt, omdat in de hightechsector het tekenen van een NDA de eerste handeling is na de kennismaking. Waar moet je nu rekening houden bij het reviewen of opstellen van een NDA?

    Doelomschrijving van de NDA

    De kern van een NDA is de omschrijving van het doel. Waarom gaan partijen informatie delen? Dit is cruciaal, want alle bepalingen omtrent geheimhouding en wat geheim moet blijven, worden namelijk opgehangen aan dit doel. Bekende standaardomschrijvingen zijn “zakelijke onderhandelingen omtrent een licentiecontract” of “het onderzoeken van de mogelijkheden van een nadere samenwerking”, maar het heeft sterk de voorkeur om specifieker te zijn. Welk contract? Wat voor samenwerking?

    Het doel komt op diverse plaatsen terug, met name waar wordt bepaald dat de informatie alleen mag worden gebruikt voor het doel of dat deze alleen mag worden gedeeld met mensen die een need to know hebben voor het doel. Daarom is dringend aan te bevelen dit op één plek te definiëren.

    Wanneer het doel mede het onderhandelen over een overeenkomst betreft, kan een situatie ontstaan waarin één partij de onderhandelingen wil afbreken en de andere voortzetting verlangt. De jurisprudentie van de Hoge Raad (met name het CBB/JPO arrest) biedt aanknopingspunten voor een afgedwongen voortzetting en/of schade vergoeding te betalen door de afbrekende partij. Om dit te vermijden, is het belangrijk de tekst zo te redigeren dat hooguit gestreefd wordt naar een dergelijke overeenkomst. Liever dus “onderhandelen over een mogelijke licentieovereenkomst" dan “een licentieovereenkomst onderhandelen”.

     

    Eenzijdig of tweezijdig opstellen van de NDA?

    Een NDA kan eenzijdig of tweezijdig zijn. In een eenzijdige NDA is er één partij die verstrekt, en één partij die ontvangt. In die situatie zullen de meeste bepalingen sterk in het voordeel van de verstrekker zijn, omdat het immers “zijn" informatie is. Voor ontvangers is zo'n eenzijdige NDA dan ook moeilijk te aanvaarden. Bovendien kan het snel voorkomen dat de ontvanger bij nader inzien toch enige vertrouwelijke informatie wil delen, wat dan weer een aparte NDA vereist.

    Een tweezijdige NDA benoemt beide partijen tot verstrekker en ontvanger. Hiermee ontstaat vrijwel meteen een gebalanceerde situatie voor wat betreft zaken als definities van wat vertrouwelijk is, welke beveiligingsmaatregelen moeten worden genomen en met wie informatie mag worden gedeeld. Wij raden dan ook eigenlijk altijd aan deze vorm te gebruiken, tenzij er zwaarwegende redenen zijn om slechts één verstrekkende partij op te voeren.

     

    Moet ik die NDA tekenen?

    Wil jij een Engelse NDA laten controleren op vreemde zaken? Arnoud Engelfriet heeft in samenwerking met zusterbedrijf JuriBlox een robotjurist gemaakt die geheel automatisch en gratis je document controleert.

    > Probeer nu NDA Lynn

     

    Definitie van vertrouwelijkheid: welke informatie moet geheim blijven in de NDA?

    De spil van een NDA is de informatie die vertrouwelijk is. Deze moet dus expliciet worden gedefinieerd, zodat achteraf kan worden getoetst of bepaalde informatie onder de NDA valt. Er zijn grofweg drie manieren om dit te doen:

    1. Beperkt. Alleen informatie die is gemarkeerd als zodanig, is vertrouwelijk.
    2. Breed. Alles is vertrouwelijk, tenzij de ontvanger via een uitzonderingsclausule (zie hieronder) het tegendeel kan bewijzen.
    3. Gebalanceerd. Hierbij wordt naast markering ook de omstandigheden meegenomen. Zo ontstaat een situatie die meer gebalanceerd is.

    Veel vertrouwelijke informatie wordt mondeling uitgewisseld. Dergelijke informatie zal zelden expliciet als vertrouwelijk worden aangemerkt bij uitwisseling, en 'markeren' kan natuurlijk al helemaal niet. Vandaar dat er in geheimhoudingsovereenkomsten in dat geval wordt afgesproken dat deze binnen een zekere periode (gewoonlijk 30 dagen) schriftelijk bevestigd moet worden als vertrouwelijk. Onze ervaring is echter dat dit in de praktijk zelden gebeurt.

    Uitzonderingen van geheimhouding

    Het zou onredelijk zijn als de ontvangende partij informatie geheim moet houden die de facto niet meer
    geheim is. Vandaar dat een plicht tot vertrouwelijkheid altijd moet worden uitgebreid met een uitzondering voor situaties waaruit blijkt dat redelijkerwijs geen sprake meer is van geheimhouding. De standaardlijst:

    • a) [De informatie is] beschikbaar uit openbare bronnen, zoals kranten, octrooidatabanken of informatieve websites,
    • b) reeds voor de datum van verstrekking door de verstrekkende partij in het bezit was van de ontvangende partij,
    • c) verkrijgbaar is bij een derde zonder dat deze derde enige geheimhoudingsbepaling jegens de verstrekkende partij zou schenden door de verstrekking aan de ontvangende partij,
    • d) onafhankelijk en zonder gebruikmaking van informatie van de verstrekkende partij is ontwikkeld door de ontvangende partij, of
    • e) zonder bijzondere inspanning af te leiden is uit vrij op de markt beschikbare producten, waarbij het decompileren van software in ieder geval als “bijzondere inspanning” gezien wordt.

    Sommige modelteksten voor NDA's nemen nog een clausule op in de lijst met uitzonderingen op vertrouwelijkheid, namelijk “wanneer informatie krachtens vonnis of bevoegd gegeven bevel moet worden afgegeven.”

    Dit is onjuist: het feit dat een autoriteit afgifte gelast, heft de vertrouwelijkheid van de informatie niet op (zoals de aanhef van de lijst vermeldt). Het biedt alleen een grondslag om de informatie te verstrekken voor een ander doel dan afgesproken. Daarom moet dit in een apart artikel geregeld zijn.

    Het kan voorkomen dat een partij door een autoriteit, zoals de Autoriteit Consument en Markt of de Nederlandse Mededingingsautoriteit, of in het kader van een gerechtelijke procedure wordt verplicht informatie te verschaffen. Dit kan vertrouwelijke informatie van een andere partij zijn. Gebruikelijk is af te spreken dat dit toegestaan is echter met de verplichting de verstrekkende partij te waarschuwen, zodat deze stappen kan nemen om de verstrekking tegen te gaan.

    Randbepalingen van een NDA

    Garanties

    Het is gebruikelijk om in geheimhoudingsovereenkomsten expliciet vast te leggen dat de verstrekte informatie zonder enige garanties omtrent juistheid, volledigheid of wat dan ook komt. Dit is logisch nu het bij een NDA gaat om het faciliteren van het ‘snuffelen’ aan elkaars informatie of technologie, en men in een snuffelfase moeilijk al garanties van de wederpartij kan verlangen.

    Licenties

    Wanneer informatie digitaal wordt verstrekt, is formeel een gebruiksrecht nodig onder auteursrechten en andere intellectuele eigendomsrechten van de verstrekker. Hoewel dit eigenlijk direct al volgt uit de strekking van de overeenkomst, kan het goed zijn dit toch nog even expliciet te benoemen. Met name nuttig is het expliciet benoemen van verboden gebruik.

    Soms wordt daarbij vermeld dat géén licentie wordt verstrekt. Dit is echter onjuist, aangezien men de informatie zonder gebruiksrecht in het geheel niet kan gebruiken. Mogelijk dat werd bedoeld “geen exploitatierecht”, maar dat moet dan wel expliciet op die manier worden opgeschreven.

    Delen met derden

    Er moet worden afgesproken of en wanneer vertrouwelijke informatie met derden mag worden gedeeld. Gebruikelijk is de kring te beperken tot werknemers en hulppersonen die een need to know hebben en gebonden zijn aan vertrouwelijkheid. Men kan de hulppersonen eventueel beperken tot professionele adviseurs zoals advocaten en accountants. Volgens de wet is de ontvangende partij in situaties als deze aansprakelijk voor fouten van deze hulppersonen (art. 6:171 BW). Echter, voor de duidelijkheid en om de ontvanger enige schrik aan te jagen, is het toch verstandig hierover een expliciete clausule op te nemen.

    Beveiliging

    Beveiliging van vertrouwelijke informatie spreekt voor zich, maar hoe dit vast te leggen? Een gebruikelijk compromis is aan te sluiten bij hetgeen de ontvanger zelf ook al hanteert voor bescherming van bedrijfsgeheimen. Enigszins flauw maar zeer gebruikelijk is de toevoeging “doch ten minste op een redelijk niveau” om het verweer te pareren dat de ontvanger zijn eigen informatie óók op een flutniveau beschermt en derhalve geen beveiligingseis heeft geschonden.

    Vernietiging

    Na afloop van de NDA (zie ook hieronder) moet de vertrouwelijke informatie worden vernietigd. Wat oudere modellen spreken vaak van “retourneren of vernietigen”. Veel informatie zal digitaal beschikbaar zijn. 'Retourneren' is dan geen zinnige optie. Bovendien wordt ook met papieren originelen zelden in de praktijk daadwerkelijk een en ander geretourneerd. Pragmatisch is dan ook deze plicht te beperken tot vernietigen, en het retourneren te beperken tot kostbare prototypes en dergelijke.

    Residuals

    Een NDA kan honderd keer bepalen dat informatie moet worden gewist, bepaalde fragmenten zullen blijven 'hangen' in de hoofden van de betrokken medewerkers. De van Microsoft afkomstige zogeheten residuals-clausule poogt te regelen dat dit geen probleem is. Hij bepaalt kort gezegd dat onopzettelijke herinneringen vrij gebruikt mogen worden. Uiteraard is het niet de bedoeling dat mensen opzettelijk zaken uit hun hoofd gaan leren en daarna aanspraak maken op de status van residu-informatie. Of het inzetten van een persoon met eidetisch geheugen wel of niet valt onder 'onopzettelijk', is vooralsnog een open vraag.

    Geen onderhandelplicht

    Een NDA is vaak het voortraject voor onderhandelingen met als doel tot een nadere overeenkomst te sluiten, zoals een licentieovereenkomst of een koop van producten. Gebruikelijk is dan om in de NDA vast te leggen dat hiermee geen plicht ontstaat om daadwerkelijk zo'n overeenkomst te sluiten. Hiermee wordt dus de mogelijkheid beknot de wederpartij te verplichten onderhandelingen voort te zetten, ook als daar onder de jurisprudentie van de Hoge Raad (met
    name het CBB/JSO arrest) aanleiding toe zou zijn.

    Duur en opzegging van een NDA

    Een NDA heeft twee termijnen die relevant zijn voor de duur. Allereerst is er de termijn gedurende welke vertrouwelijke informatie kan worden uitgewisseld. Informatie ná deze periode is per definitie niet gedekt onder de NDA. Daarnaast is er de termijn gedurende welke reeds verstrekte informatie vertrouwelijk moet worden behandeld, ook na beëindiging van de NDA zelf. Het is essentieel deze termijnen apart te benoemen, zodat een opzegging van de NDA geconstrueerd wordt als de beëindiging van de eerste periode en niet ook de tweede.

    De keuze voor de twee termijnen is vrij onderhandelbaar, maar gebruikelijk is de eerste termijn zes maanden tot een jaar te laten zijn en de tweede termijn drie tot vijf jaar. Een eeuwigdurende tweede termijn is onredelijk, maar komt vaak voor.

    Voortraject van een NDA

    Wanneer in een voortraject tot een contract reeds een NDA afgesloten is, kan men in plaats van een geheimhoudingsclausule op te stellen ook verwijzen naar deze NDA. Dit vereist enige aandacht waar het de duur en de opzegging van de NDA betreft. Het verdient aanbeveling expliciet vast te leggen dat de scope van de NDA wordt uitgebreid met het onderwerp van de overeenkomst.

    Vaak zal de scope van een NDA beperkt zijn tot bijvoorbeeld commercieel onderhandelen of een snuffeltraject aan de technologie. Het is dan geen gegeven dat de licentievoorwaarden, prijzen en dergelijke uit de latere overeenkomst onder deze scope te rekenen zijn. De NDA moet voorts niet (meer) opzegbaar zijn maar zijn duur dient verbonden te zijn aan de latere overeenkomst.

    Checklist Non-Disclosure Agreement (NDA) / Geheimhoudingsovereenkomst

    • Benoemt de NDA naast de partijen zelf ook hun moeder-, dochter- en zusterbedrijven als bevoegd de informatie te ontvangen? Zo ja, wie is verantwoordelijk voor verlies?
    • Is het doel kernachtig en op één plaats omschreven met een definitie die elders
      terugkomt?
    • Is de NDA één- of tweezijdig en is dat te rechtvaardigen vanuit het standpunt van
      de wederpartij?
    • Is duidelijk welke gebruiksrechten worden verleend aan de ontvangende partij?
    • Is duidelijk of informatie gemarkeerd moet worden (brede, beperkte of
      gebalanceerde keuze voor vertrouwelijkheid)?
    • Is verstrekking aan overheid of rechtbanken apart geregeld van de lijst met uitzonderingen op vertrouwelijkheid?
    • Is duidelijk welk niveau van beveiliging moet worden gehanteerd?
    • Hoe lang duurt de periode van verstrekking (eerste termijn) en hoe lang duurt de periode van geheimhouding (tweede termijn)?
    • Wordt bij latere overeenkomsten teruggegrepen op de NDA, en zo ja is dan expliciet bepaald dat de NDA van kracht blijft gedurende de looptijd van de latere overeenkomst?

    Dit artikel is eerder gepubliceerd in ons magazine ICTRecht in de praktijk nr. 2 2016.

     

    ICT-contracten: de basis, verdieping en masterclass

    ICTRecht Academy verzorgt basis- en verdiepingscursussen en een masterclass ICT-contracten waarin op een praktische manier aandachtspunten en valkuilen worden besproken van o.a. NDA's, algemene voorwaarden, mantelovereenkomsten en licenties. Je leert documenten te reviewen, op te stellen en er over te onderhandelen. De cursussen zijn voor juridisch publiek (PO) en algemeen publiek.

    Meer lezen over ICT-contracten? Bestel dan het boek Handboek ICT-contracten. 
    Terug naar overzicht

    Arnoud Engelfriet

    Chief Knowledge Officer (CKO)
    Lees meer
    Check uw ICT-contract met ICTRecht

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Juridisch advies
    Professionals inhuren
    Academy
    Legal Tech
    Security / Informatiebeveiliging
    Documenten
    Ons team
    Vacatures

     

     
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram