16 oktober 2018

Let op: Nieuwe algemene voorwaarden Rijk bevatten onbeperkte aansprakelijkheid voor privacy

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG), PRIVACY

Zaken doen met de overheid? Let dan goed op dat zij in de nieuwe versie van hun standaard algemene voorwaarden volledige aansprakelijkheid voor privacy bij de leverancier leggen. Als leverancier moet je daarnaast garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Dat zijn disproportionele eisen! We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.

Verwerkersovereenkomst

Eén van de verplichtingen in de Avg is dat verwerkingsverantwoordelijken en verwerkers schriftelijke afspraken moeten maken over de verwerking van persoonsgegevens. In de Avg is een lijstje met onderwerpen opgenomen waarover afspraken moeten worden gemaakt: de verwerkersovereenkomst. Maar dat woord komt in de Avg niet voor. Je mag dus zelf bepalen waar je die afspraken vastlegt: in een aparte verwerkersovereenkomst of bijvoorbeeld in je algemene voorwaarden. Zolang je maar schriftelijke afspraken maakt over alle onderwerpen uit artikel 28 Avg.

Aansprakelijkheid

Aansprakelijkheid is NIET een van de onderwerpen uit dat lijstje. En boetes ook niet. Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.

De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de Avg. Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.

In veel verwerkersovereenkomsten wordt sinds de Avg de aansprakelijkheid voor verwerkers ineens enorm opgerekt. Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.

Algemene inkoopvoorwaarden overheid

Zo ook in de nieuwe versie van de ARBIT, ARVODI en ARIV. Dit zijn standaard algemene inkoopvoorwaarden die de overheid gebruikt. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen. Deze voorwaarden zijn aangepast op de Avg. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.

Disproportionaliteit

In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien. In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is’.

Daarnaast is recent in een vonnis gezegd: “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).

Zowel de rechtspraak als de wetgever zijn het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?

Let op!

Als je zaken doet met de overheid is het van belang hierop te letten. Stel bij een aanbesteding kritische vragen over deze clausules, en vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.