U blijft verantwoordelijk, ook na uitbesteding
Het privacyrecht kent een overzichtelijk uitgangspunt: als er iets mis gaat bij de verwerking van persoonsgegevens kunnen de Autoriteit Persoonsgegevens en de betrokkene altijd de voor die verwerking verantwoordelijke partij aanspreken. Met andere woorden, als organisatie blijft u verantwoordelijk voor de correcte verwerking van uw "eigen" persoonsgegevens, ongeacht of u de gegevens in huis houdt of juist (deels) buiten de deur plaatst (bijv. bij een IT-leverancier).
Niet zomaar een externe partij kiezen
Gelet op die verantwoordelijkheid, is het niet zo gek dat de wet bepaalt dat u de verwerking van persoonsgegevens niet zomaar bij een willekeurige derde partij onder mag brengen.
De huidige Wet bescherming persoonsgegevens (Wbp) bepaalt dat er voor zorg moet dragen dat de externe partij "voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen" (artikel 14 Wbp).
De algemene verordening gegevensbescherming (Avg) die vanaf 25 mei 2018 van kracht is gaat nog een stapje verder door te bepalen dat uitsluitend partijen mogen worden ingeschakeld die "afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd".
Oftewel, iets vrijer vertaald: als de externe partij zijn zaakjes op privacyvlak niet op orde heeft, mag u niet met die partij in zee gaan voor de verwerking van persoonsgegevens.
Bewerkersovereenkomst vereist
De Wbp en AVG verplichten bovendien dat met die derde schriftelijke afspraken worden gemaakt over de correcte verwerking van persoonsgegevens.
Een dergelijke overeenkomst wordt vaak een bewerkersovereenkomst genoemd. Het is ook denkbaar dat die afspraken niet in een afzonderlijk document worden vastgelegd, maar onderdeel zijn van de algehele overeenkomst.
Onderdeel van de wettelijk verplicht te maken afspraken zijn afspraken over de te nemen beveiligingsmaatregelen en de afhandeling van datalekken.
Diskwalificeert een leverancier zich na een datalek?
Stel dat er zich een datalek heeft voorgedaan. Alle stof daarover is ondertussen neergedwarreld, u heeft een melding gedaan, wellicht de betrokkenen geïnformeerd en u bent klaar om de hele kwestie te evalueren. Tijdens die evaluatie zal ook de rol van de leverancier aan de orde (kunnen) komen.
In dat kader zouden deze vragen kunnen opkomen:
- Moet u van de leverancier af, nu er een datalek is geweest?
- Kunt u van de leverancier af, nu er een datalek is geweest?
- Kunt u de schade op de leverancier verhalen?
Ad. 1. Moet u van de leverancier af?
Als na analyse van het incident duidelijk wordt dat uw leverancier de beveiliging toch niet op orde heeft, en er is ook geen zicht op verbetering, dan is maar de vraag of de leverancier nog wel afdoende waarborgen/garanties biedt zoals vereist door de Wbp en Avg. Zie de hiervoor aangehaalde citaten uit de wet.
Als u tot de conclusie komt dat die garanties/waarborgen ontbreken, dan zult u afscheid van de leverancier moeten nemen. Doet u dat niet, dan schendt u immers de Wbp / Avg en daar kan tegen worden opgetreden door de Autoriteit Persoonsgegevens.
De vraag is echter of u wel van uw leverancier af kunt. Mogelijk bieden de contracten daar helemaal geen ruimte toe.
Ad. 2. Kunt u van de leverancier af?
Bij het beëindigen van overeenkomsten moet onderscheid worden gemaakt tussen het opzeggen en het ontbinden van overeenkomsten. Voor beide beeindigingsgronden geldt dat het contract vaak specifieke regels stelt (kijk dus eerst in het contract!).
Voor opzeggen geldt, grosso modo, dat meestal is bepaald dat overeenkomsten alleen tegen bepaalde einddata en niet tussendoor kunnen worden opgezegd. Is er niets geregeld, dan kan een opdrachtgever in beginsel opzeggen (artikel 7:408 BW), zij het dat een vroegtijdige opzegging wel tot een claim voor nog niet betaald werk kan leiden.
Om een overeenkomst te kunnen ontbinden zal in de regel sprake moeten zijn van een tekortkoming van de leverancier. Het is maar zeer de vraag of een datalek getuigt van een tekortkoming van de leverancier. Daarvoor zal moeten worden gekeken of de leverancier tekort is geschoten in zijn verplichtingen (vrij vertaald: was de beveiliging slechter dan afgesproken?). Daarvoor moet dus terug worden gekeken in de (wettelijk verplicht) gemaakte afspraken over beveiliging.
De uitkomst van deze analyse kan best een zijn dat de leverancier niet tekort is geschoten, ondanks dat er zich een datalek heeft voorgedaan. Dat kan zijn omdat de afspraken in de bewerkersovereenkomst over te nemen beveiligingsmaatregelen niet goed waren uitgewerkt, bijvoorbeeld omdat deze vaag of heel generiek zijn. Het kan dan wel eens lastig zijn aan te tonen dat het datalek laat zien dat sprake was van een tekortkoming.
Het kan ook zijn dat het datalek is veroorzaakt door een heel geavanceerde hack of een bij alle partijen nog onbekende bug in de gebruikte software. Ook dan gaat de leverancier vermoedelijk vrijuit omdat de wet, en daarmee veelal ook de bewerkersovereenkomst, slechts passende beveiligingsmaatregelen vereist (geen perfecte).
Dit laat overigens onverlet dat de meldplicht datalekken ook geldt voor datalekken die door extreem slimme hackers of zelfs een situatie van overmacht worden veroorzaakt.
Het is dus maar zeer de vraag of u bij een datalek van de overeenkomst met uw leverancier af kunt.
Ad 3. Kunt u de schade op de leverancier verhalen?
Over deze vraag heb ik al eens eerder geblogd. Ik verwijs graag naar die eerdere blog.
Conclusie
Het is zaak na een datalek bij een leverancier kritisch te evalueren of u bij die leverancier nog wel aan het goede adres bent. Mogelijk dat u wettelijk verplicht bent om afscheid van die leverancier te nemen. Als de contracten daar niet in voorzien, is het echter maar zeer de vraag of dat afscheid nemen eenvoudig mogelijk zal zijn. Een reden te meer dus om het maken van afspraken over privacybescherming niet lichtvaardig te zien. Werk goed uit wat u van uw leverancier verwacht, anders heeft u op termijn mogelijk een probleem.
Heeft u vragen over het privacyrecht? Neem dan contact met mij op.
Mark Jansen
advocaat IT- en privacyrecht
