Ny lag om företagshemligheter - krav på informationssäkerhet

Sedan den 1 juli har vi en ny lag om företagshemligheter (2018:558). Lagen ersätter en befintlig lag om företagshemligheter och innebär att ett EU-direktivet 2016/943/EU genomförs. Den nya lagen innebär ett förstärkt skydd för företagshemligheter som i sin tur ska stärka företagens konkurrenskraft och ger bättre förutsättningar för innovation och ett kunskapsbaserat företagande. I stort ligger den nya lagen i linje med principerna i den gamla, men med vissa ändringar och anpassningar, bl a krav på aktiva åtgärder för hemlighållande.

Det finns fyra rekvisit som ska vara uppfyllda för att information ska anses vara en företagshemlighet. För det första måste det röra sig om information om affärs- eller driftförhållanden i en näringsidkares rörelse eller i en forskningsinstitutions verksamhet. För det andra får informationen, varken som helhet eller i beståndsdelar, vara allmänt känd eller lättillgänglig. För det tredje krävs att innehavaren vidtagit rimliga åtgärder för att hålla informationen hemlig. Och för det fjärde ska röjandet vara ägnat att medföra skada i konkurrenshänseende för innehavaren.   

Av dessa fyra rekvisit är det tredje av särskilt intresse; att innehavaren vidtagit rimliga åtgärder för att hemlighålla informationen. Tyvärr har lagstiftaren inte i någon större utsträckning utvecklat resonemanget om vilka åtgärder som kan anses rimliga. Dessa måste därför bedömas från fall till fall men måste vara ”tillräckliga för att bevara informationens karaktär av hemlighet” (prop. 2017/18:200 s 138). En innehavare som är helt passiv i fråga om skyddet för sin information kan aldrig anses ha vidtagit tillräckliga åtgärder. Lagstiftaren lägger heller ingen större vikt vid utformningen av de aktiva åtgärderna. Den nya lagen är på så vis teknikneutral, vilket är bra. Utifrån de exempel som ges i författningskommentaren kommer det åtminstone att krävas grundläggande informationssäkerhet. Där nämns instruktioner för hur informationen ska hanteras inom organisationen samt effektiva åtkomstbegränsningar och behörighetskontroller som exempel på nödvändiga åtgärder. Vidare framgår att information som innehavaren borde förstå är uppenbart skyddsvärd kräver mindre omfattande åtgärder än sådan information där skyddsvärdet är mera långsökt. Detta finner jag högst märkligt. Det vore olyckligt om riktigt känsliga information kräver lägre ställda krav på aktiva åtgärder än information vars ett röjande endast kan orsaka marginell skada.

Kravet på aktiva åtgärder i den nya lagen kan få långtgående konsekvenser. Information som under den gamla lagen var att betraktas som hemlig och skyddsvärd kanske inte är det under den nya lagen. Och otydligheten i vilka faktiska åtgärder som behöver vidtas skapar stor osäkerhet i rättstillämpningen. Eftersom det är stora värden på spel rekommenderar jag alla som vill vara på den säkra sidan att inventera sina företagshemligheter utifrån de nya rekvisiten och se över sin informationssäkerhet. Det kan vara en bra investering.