Column


IT-jurist Peter van Schelven over...

AVG & aansprakelijkheid: hoe zit dat?

De Algemene Verordening Gegevensbescherming (AVG) heeft op een groot aantal vlakken nieuwe spelregels op het gebied van dataprotectie geïntroduceerd. Zo ook voor het geval een burger financiële schade lijdt als een organisatie de privacyregels schendt. Ook voor de verhouding tussen opdrachtgevers en externe verwerkers van persoonsgegevens, bijvoorbeeld een hostingbedrijf of SaaS-provider, bestaan nieuwe regels. Wat vinden we daarover terug in de AVG?

Over het onderwerp aansprakelijkheid onder de AVG bestaan, zo merk ik, veel misverstanden in de samenleving. Soms ook onder juristen, die de AVG ook niet altijd even goed lezen. Die misverstanden ‘vertalen’ zich in de praktijk soms in onnodige en vermoeiende discussies als een organisatie met een door haar ingeschakelde externe verwerker een verwerkerscontract wil sluiten. Opdrachtgevers van die providers kramen bij contractbesprekingen soms halsstarrig juridische standpunten uit die totaal niet op de AVG zijn terug te voeren. Dus, hoe zit het?

Schade van de burger
Voorop moet worden gesteld dat twee verschillende typen aansprakelijkheden goed uit elkaar moeten worden gehouden. Ten eerste is er de aansprakelijkheid voor het financieel nadeel dat een burger kan ondervinden als zijn of haar persoonsgegevens niet netjes met inachtneming van de AVG verwerkt worden. Dat doet zich bijvoorbeeld voor als de technische security benedenmaats is en er daardoor data onnodig op straat liggen. Of bijvoorbeeld als het tv-sterretje Barbie schandelijk moeten ervaren dat haar medisch dossier door medewerkers van het HagaZiekenhuis ongeautoriseerd gelezen wordt. De aantasting van haar privacy maakt het ziekenhuis tegenover haar aansprakelijk, hoe moeilijk haar schade wellicht ook in een geldbedrag valt uit te drukken. De rechter mag die reputatieschade overigens schatten.

Kenmerkend voor de aansprakelijkheid tegenover een burger is dat die niet valt uit te sluiten of te beperken. Degene die de AVG schendt moet in beginsel voor de volle schade van de burger opdraaien. Van dat uitgangspunt kan in een contract met de burger niet worden afgeweken. Dat sluit aan bij de gedachte dat de AVG uiteindelijk strekt tot bescherming van de burger.

Schade van bedrijven en organisaties
Dat is duidelijk anders bij een tweede vorm van aansprakelijkheid waar ik hier het oog op heb, te weten de aansprakelijkheid voor financiële schade die een opdrachtgever lijdt als een door hem ingeschakelde verwerker de AVG schendt of de afspraken uit het gesloten verwerkerscontract niet, niet tijdig of niet volledig nakomt. Zo’n contract is niet zelden een afspraak tussen twee organisaties, een opdrachtgever (een bedrijf, overheidsinstantie, ziekenhuis, et cetera) en bijvoorbeeld een externe hostingprovider. Het is juridisch volkomen toegestaan dat de eventuele aansprakelijkheid van de provider op dit vlak tegenover zijn opdrachtgever wel beperkt wordt, bijvoorbeeld door middel van een aansprakelijkheidsbepaling in een verwerkerscontract. In juridisch potjeslatijn heet zo’n clausule een exoneratie-beding. Anders dan bij contractbesprekingen wel eens wordt geopperd, verbiedt de AVG zo’n beperking niet.

In de praktijk zie je dat de aansprakelijkheid van de provider voor schade van zijn opdrachtgever contractueel wordt beperkt tot een bepaald concreet plafondbedrag (een ‘cap’). Lijdt een opdrachtgever meer schade dan die ‘cap’, dan is dat in beginsel voor risico van die opdrachtgever. Dat is in principe toelaatbaar.

Een beperking van de aansprakelijkheid van de provider voor AVG-inbreuken is vanuit een optiek van risicobeheersing vaak heel reëel, want niet alle risico’s zijn verzekerbaar. Zeker wanneer als gevolg van een security-incident in het datacenter van het hostingbedrijf een zeer groot aantal opdrachtgevers gedupeerd wordt, kan het ontbreken van een limitering in de aansprakelijkheid de verwerker al snel de kop kosten. Er treedt dan serieschade op en dat kan fors in de papieren lopen of het hostingbedrijf zelfs in een faillissement jagen.

Contracteergekte
In de contracteergekte die de AVG momenteel in de samenleving veroorzaakt, zie ik meermaals dat opdrachtgevers door middel van hun verwerkerscontracten hostingbedrijven, SaaS-providers en dergelijke trachten op te zadelen met een onbegrensde aansprakelijkheid. Zoals gezegd: juridisch bestaat daartoe geen enkele noodzaak of verplichting.

Sterker nog: dergelijke regelingen getuigen vaak van weinig wijsheid. Providers die instemmen met een onbegrensde aansprakelijkheid zijn roekeloos handelende cowboys en het is onverstandig om daar zaken mee te doen. Bovendien staan ongelimiteerde aansprakelijkheden bij het niet goed nakomen van een verwerkerscontract dikwijls op gespannen voet met het separate IT-contract (bijvoorbeeld een hostingcontract) dat eveneens tussen de desbetreffende partijen is gesloten. Een dergelijk IT-contract voorziet immers vaak wel in beperking van de aansprakelijkheid van de provider.

Nog één: hoofdelijkheid
Kortom, wie een verwerkerscontract sluit, heeft wel zeker de mogelijkheid om een juridisch passende, op het risicoprofiel van de deal afgestemde aansprakelijkheidsregeling af te spreken. De AVG belet dat niet. De AVG bevat overigens nog een andere regeling rondom aansprakelijkheid die de gemoederen in de praktijk stevig bezighoudt, te weten de zogeheten hoofdelijkheid van verwerker en opdrachtgever. Dat betreft complexe juridische materie waarover ik later – in een volgende column – zal schrijven. Op het raakvlak van AVG en aansprakelijkheid valt nog heel wat te verhapstukken.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over