Hoe ga je als IT-leverancier om met steeds strengere eisen en certificeringen?

Spanningsveld bij verwerkersovereenkomsten

Een IT-leverancier zal in veel gevallen kwalificeren als verwerker of als sub-verwerker onder de AVG. De IT-leverancier is namelijk in veel gevallen niet een partij die zelf iets met de persoonsgegevens doet, maar veeleer een partij waaraan de technische aspecten van de verwerking zijn uitbesteed.  

Op grond van de AVG zal de achterliggende verwerkingsverantwoordelijke moeten borgen dat er met alle verwerkers en sub-verwerkers een contractuele keten is. De gedachte hierachter is dat de verwerkingsverantwoordelijke zo in controle blijft over ‘zijn’ persoonsgegevens. Die gedachte is op zichzelf begrijpelijk. Het logische gevolg daarvan is echter wel, en dat zag je zeker in de begindagen van de AVG, dat iedere afnemer zodoende eigen eisen gaat stellen en eigen verwerkersovereenkomsten gaat hanteren. Als IT-leverancier krijg je een waaier aan eisen op je af.

Zoals in een eerder artikel over eenzijdige voorwaarden is uitgelegd, is het voor IT-leveranciers van belang om een verwerkersovereenkomst zo standaard mogelijk te houden. Het werkt niet om voor een gestandaardiseerde dienst met verschillende afspraken te werken. Juist omdat de AVG zelf uitdrukkelijk ook de ruimte onderkent voor het werken met standaardclausules ziet hier ook juridisch gezien wel ruimte. De klant goed voorlichten is hier al het halve werk. 

Ook zal een heldere keuze moeten worden gemaakt over het al dan niet regionaliseren van de dataverwerking. Zoals ook in het artikel over de Amerikaanse klem is uitgelegd is het op zichzelf niet verboden om persoonsgegevens buiten de EER te verwerken, maar vergt dit wel dat er allerlei nadere waarborgen worden getroffen. En hier zie je ook dat verschillende klanten weer ieder voor zich eisen stellen aan die waarborgen. Het kan dan helpen om juist te kiezen voor de verwerking in de EU, of om een eenduidig kader te presenteren aan de klanten met een goede verantwoording voor de gemaakte keuzes.

En let op: zodra persoonsgegevens voor eigen doeleinden worden gebruikt bent u als IT-leverancier al snel zelf verwerkingsverantwoordelijke (ook bij ‘onschuldige’ zaken als de verwerking voor statistische doeleinden of productverbetering).  

Wanneer zijn eisen en certificeringen voor IT-bedrijven niet reëel?

IT-leveranciers zien zich ook steeds vaker geconfronteerd met klanten die (verstrekkende) eisen stellen, waarbij de vraag is of alle eisen altijd even reëel zijn.

Zeker voor de kleinere aanbieders is het niet altijd eenvoudig of proportioneel om aan steeds strengere eisen te voldoen. Soms zal dit uitpakken als een ‘mismatch’ tussen vraag en aanbod en dat is op zich prima. Het kan immers altijd zo zijn dat je als aanbieder een maatje te klein blijkt te zijn voor je (potentiële) klant of vice versa.

Het wordt vervelender als er niet zozeer sprake is van een mismatch, maar eerder van miscommunicatie. Dat speelt vooral wanneer er eisen worden gesteld die een deskundige doch neutrale wederpartij in de gegeven omstandigheden nooit zou stellen. Denk aan een veel te luxe uitvoering van bepaalde veiligheidsstandaarden of het eisen van open source terwijl voor het project in kwestie het delen van broncode in wezen totaal niet relevant is.

In aanbestedingsprocedures zijn er dan wel middelen om de aanbestedende dienst tot de orde te roepen. Samen met onze collega’s van aanbestedingsrecht kunnen we dan met oplossingen komen. In de volledig private partijverhoudingen zal het in dergelijke situaties toch vooral neerkomen op het op een handige manier aangaan van het gesprek hierover. Ook daar hebben we goede ervaringen mee.

Is certificering voor IT-leveranciers vereist of verplicht?

Steeds vaker wordt bovendien de eis gesteld dat middels certificering wordt onderbouwd dat bepaalde normen worden nageleefd. Vanuit de afnemer bezien is de wens begrijpelijk.

Wat nog wel eens vergeten wordt is dat het best een proces is om een certificering te verkrijgen en vervolgens ook te behouden. De kosten/baten-afweging valt dan niet altijd goed uit.

Het kan als IT-bedrijf verstandig zijn slim te overwegen welke certificeringen wel en welke niet worden verkregen. Dit zal mede afhangen van de eisen die klanten stellen en die eisen houden vaak weer verband met de wetgeving die op de klanten van toepassing is. Als vuistregel kan worden gesteld dat certificering vaker wordt verlangd in hooggereguleerde markten en minder in markten die relatief vrij zijn.

Stapje voor stapje sluit de eis van certificering her en der ook wel wetgeving in. Hierbij past wel direct de kanttekening dat veel van die wetgeving een Europese herkomst heeft. En juist bij Europese wetgeving geldt dat het evenredigheidsbeginsel een kernbeginsel van het recht is. Wettelijke eisen die disproportioneel uitpakken zijn dus onder omstandigheden aan te vallen. Ook hier geldt dat strategische keuzes maken verstandig is.

Conclusie: slim omgaan met certificeringseisen van klanten

Voldoen aan alle eisen van de klant is niet altijd eenvoudig. Soms zal uit dergelijke discussies blijken dat er gewoon geen goede match is tussen afnemer en leverancier. Soit. Soms echter zouden partijen een goede match kunnen zijn, mits er redelijke nuances worden aangebracht in de gestelde eisen. Door op voorhand na te denken over die nuances en communicatiestrategieën kunt u als IT-leverancier mogelijk extra deals binnenslepen. We denken hierover graag met u mee.