Bijdrage ingezonden door Sylvia Huydecoper, LinkedIn.
Sylvia Huydecoper - Juridisch proza ondermijnt doel bewerkersovereenkomst
In een blog getiteld 'Valkuilen bij het sluiten van bewerkersovereenkomsten, zeker bij toepasselijkheid van de ICT ̴Office en Nederland ICT voorwaarden' gaat Mark Jansen van Dirkzwager in op de problematiek die kan ontstaan bij het opstellen van bewerkersovereenkomsten en het gebruik van algemene voorwaarden. Zijn stelling dat de Nederland ICT voorwaarden een bewerkersovereenkomst ondermijnen gaat mij veel te ver. Het is veeleer omgekeerd: verantwoordelijken grijpen de wet datalekken aan om met een bewerkersovereenkomst te komen die feitelijk de bestaande rechtsverhouding openbreekt om zo (gratis) meer diensten of volledige aansprakelijkheid af te dwingen.
Terecht merkt hij op dat bewerkersovereenkomsten niet los gezien kunnen worden van de andere contracten die tussen (verwerkings-)verantwoordelijken en hun IT-leveranciers gesloten zijn, zeker als die als addendum aan een bestaande overeenkomst wordt toegevoegd. En ook ik verwonder mij soms over de winterslaap waaruit vele bedrijven na 15 jaar ontwaken als gevolg van de nieuwe boetebevoegdheid van de Autoriteit Persoonsgegevens (AP). Want natuurlijk bestond de plicht tot het voldoen aan de Wbp en het maken van goede afspraken rondom geheimhouding, beveiliging en zorgvuldig omgaan met gegevens al lang.
Uiteraard moeten partijen door de wet datalekken aanvullend iets over het melden van datalekken afspreken. Maar dan hoeft toch niet de hele overeenkomst op de schop? Het lijkt mij vanzelfsprekend dat bestaande rechtsverhoudingen zo veel mogelijk in stand blijven. Immers, daar was al overeenstemming over. Door de wet datalekken is de dienstverlening voor de verwerkingen van persoonsgegevens niet inhoudelijk veranderd. De beveiliging en geheimhouding moest al geregeld zijn, een verantwoordelijkheid die conform artikel 13 Wbp bij de verantwoordelijke ligt. En die onderdelen van de overeenkomst worden beheerst door de eerder overeengekomen (algemene) voorwaarden, of dat nu de Nederland ICT voorwaarden zijn of de inkoopvoorwaarden van de klant. Ik zie niet in waarom die algemene voorwaarden moeten worden aangepast, of buiten toepassing moeten worden gelaten, omdat er nu boetes staan op het niet voldoen aan de al lang geldende beveiligingsplichten voor verantwoordelijken.
Ik zie veeleer het omgekeerde gebeuren. De nieuwe bewerkersovereenkomsten gaan meestal veel verder dan uitsluitend het maken van aanvullende afspraken over het melden van datalekken. Veel klanten van IT-leveranciers sturen ineens een uitgebreide bewerkersovereenkomst waarmee de hele ICT-overeenkomst in feite wordt opengebroken en alsnog via de achterdeur van die bewerkersovereenkomst bepaalde (contractuele) voordelen voor de klant worden verkregen. Zo worden, gratis en voor niks, zware beveiligingseisen geïntroduceerd en worden alle risico’s en aansprakelijkheden, inclusief boetes bij de leverancier gelegd, in afwijking van de oorspronkelijk overeengekomen voorwaarden. Dit terwijl de klant blijkbaar zelf bij het sluiten van de overeenkomst vergeten was te vragen naar de beveiliging, of – nog erger – deze niet heeft afgenomen om kosten te besparen.
Sommige juristen maken daarmee handig ge– (mis?)bruik van de introductie van de boetebevoegdheid van de AP door mooi juridisch proza op te schrijven over ‘passende technische en organisatorische maatregelen’ om zo juridisch de risico’s bij de IT-leverancier neer te leggen en met een gerust hart te kunnen zeggen dat aan de verplichting om een bewerkersovereenkomst te hebben, is voldaan. Een verplichting waarop nu juist, zoals Mark Jansen terecht zegt, geen boete zit. De daadwerkelijke te nemen maatregelen houden juristen zich verre van. Welke technische en organisatorische beveiligingsmaatregelen kunnen partijen nu daadwerkelijk het beste treffen? Wat zijn de feitelijke risico’s? Om wat voor soort persoonsgegevens gaat het? Heeft de verantwoordelijke dat aan de leverancier aangegeven? Wat zijn de kosten van beveiligen en zijn die redelijk gezien de risico’s? Wie moet of kan het beste beoordelen of de maatregelen passend zijn? Wat moet er echt gebeuren om de persoonsgegevens afdoende te beveiligen? Die vragen laten veel jurist graag liggen. Terwijl de boete nu juist wel ziet op het niet hebben van de juiste beveiligingsmaatregelen. En die verantwoordelijkheid ligt (conform artikel 13 Wbp) primair bij de verantwoordelijke. Een jurist die zijn cliënt als verantwoordelijke adviseert om alleen mooie juridische frases op te nemen in de bewerkersovereenkomst (de bewerker legt ‘passende technische en organisatorische maatregelen ter beveiliging van de persoonsgegevens’), zonder te adviseren die maatregelen ook te concretiseren, zou daarmee zijn cliënt wel eens met een boete kunnen opzadelen, die men dacht te hebben ‘geoutsourcet’ aan de IT-leverancier.
De afnemer weet als verantwoordelijke wat voor soort gegevens verwerkt worden en hoe gevoelig die persoonsgegevens zijn. Veel bewerkers, waaronder allerlei SaaS-leverancier, weten helemaal niet wat voor soort gegevens ze voor hun klanten verwerken en mogen ook niet zo maar in de data gaan snuffelen om dat uit te vinden. Een SaaS-leverancier of IT-integrator weet als expert wel wat de technische mogelijkheden zijn om te beveiligen, maar zo lang de verantwoordelijke niet aangeeft of het bijvoorbeeld om bijzondere gegevens gaat, kan de leverancier niet beoordelen welke maatregelen passend zijn (een CRM-systeem dat gebruikt wordt voor abonnementen op de Volkskrant, het Reformatorisch Dagblad of de Gaykrant, geeft aan de naw-gegevens immers een heel andere lading, die de bewerker niet kan overzien).
Terzijde merk ik op dat je je kunt afvragen of de algemene voorwaarden wel voor gaan op de bewerkersovereenkomst. Daarbij zal veel afhangen van de precieze bewoording. Maar bij twijfel gaat nieuw meestal voor oud, en specifiek voor algemeen. En dan zullen de eerder overeengekomen algemene voorwaarden het wellicht afleggen tegen de specifieke bewerkersovereenkomst van nieuwer datum.
Mark Jansen stelt dat uitsluiting van aansprakelijkheid in de Nederland ICT voorwaarden voor verminking, vernietiging of verlies van gegevens de bewerkersovereenkomst ondermijnt. Dat is wel erg kras. Het kan iedereen overkomen dat data gecorrumpeerd raakt, bijvoorbeeld door een inbraak van een hacker of een onhandige medewerker, ook als de beveiliging meer dan passend is en de IT-leverancier uiterst zorgvuldig heeft gehandeld. De vraag is wie vervolgens het risico van schade draagt. De Nederland ICT voorwaarden leggen dat risico bij de klant. Immers, de klant is ook degene die het beste in staat is de data te herstellen, omdat hij die kent. Ook kan hij het risico mitigeren door bijvoorbeeld een redundant systeem in te richten, goede back-ups te maken en een verzekering af te sluiten. De plicht tot het verzorgen van back-ups ligt niet vanzelf bij de leverancier, zie bijvoorbeeld de recente uitspraak van het Hof Den Haag [IT 2147] over het verlies van back-ups.
Blijft over dat het belangrijkste van een overeenkomst is om de inhoud van de diensten goed vast te leggen. Daarbij moeten partijen in overleg de belangrijkste risico’s identificeren, en vervolgens mitigeren door inhoudelijke afspraken te maken. Dat geldt ook voor een bewerkersovereenkomst. Beveiligingsafspraken werken alleen als alle partijen in de keten daarin hun rol goed vervullen, partijen risico’s gezamenlijk identificeren en zo concreet mogelijk maatregelen afspreken om tot een passende beveiliging komen.
Sylvia Huydecoper, Nederland ICT