Column


IT-jurist Peter van Schelven over...

Datalekken & rode vlekken

In het Nederlandse contractenrecht kennen we het beginsel van de contractsvrijheid. Contractpartijen mogen in beginsel zelf beslissen wat zij onderling wensen overeen te komen. Op dat beginsel bestaan talloze wettelijke uitzonderingen, maar voorop staat dat de partijen zelf heer en meester zijn over hetgeen zij samen willen afspreken. Dat laat dus volop ruimte voor creativiteit en eigenzinnige afspraken. Zo ook op het vlak van datalekken.

In de praktijk van alledag sluiten externe datacenters, cloudproviders, hostingpartijen en dergelijke talloze dienstencontracten met hun opdrachtgevers af. In die contracten staat vaak welke verplichtingen er op de schouders van de dienstverlener rusten ten aanzien van security en datalekken. Daarbij worden niet zelden concrete securitymaatregelen voorgeschreven of wordt aangehaakt bij de bekende securitystandaarden, zoals ISO 27001/27002 en NEN 7510.

Mocht zich onverhoopt een datalek aan de zijde van het datacenter of de provider voordoen, dan is de dienstverlener veelal verplicht de opdrachtgever daarover onverwijld en uitgebreid te informeren en om corrigerende maatregelen te treffen. In de contractspraktijk zijn afspraken daarover inmiddels ‘business as usual’.

Wanprestatie?
Een datalek aan de zijde van de dienstverlener is uiteraard ronduit lastig en vervelend, maar het feit dat zich een datalek voordoet is in juridische zin niet ook automatisch een wanprestatie van de desbetreffende dienstverlener. Van een wanprestatie kunnen we pas spreken als het datalek het gevolg is van de schending van een contractuele afspraak, bijvoorbeeld als het incident verband houdt met security die ten opzichte van de gemaakte afspraken benedenmaats is. Dat laatste is zeker niet altijd het geval. Datalekken zijn immers niet zelden het gevolg van een ongelukkige samenloop van omstandigheden of van simpele pech.

Hoe kan je je als opdrachtgever dan toch verdergaand beschermen tegen datalekken? Onlangs kwam ik een cloudcontract tegen waarin was opgenomen dat de opdrachtgever gerechtigd was de overeenkomst eenzijdig te ontbinden als zich aan de zijde van de dienstverlener onverhoopt een datalek zou voordoen. Bij een datalek kan dan de stekker uit de samenwerking worden getrokken. Zou dat contractueel bedongen recht worden uitgeoefend, dan is dat een zware sanctie op een datalek. Het verschaft de opdrachtgever een stevige machtspositie.

Opzeggen of ontbinden?
Ik vertelde de cloudprovider in kwestie wat naar Nederlands recht precies het verschil is tussen het opzeggen van een contract en het ontbinden ervan. Dat werd schrikken voor de provider. In zijn gezicht en nek kwamen rode vlekken van angst.

Kent u het onderscheid? Als een contract door middel van een opzegging wordt beëindigd, dan stopt in de regel de samenwerking eenvoudigweg en scheiden de wegen van partijen. Vergelijk dat met de normale opzegging van een arbeidscontract of een huurcontract. Wordt een overeenkomst echter ontbonden, dan zijn de gevolgen veel complexer en ingrijpender. Sterker nog: ontbinding van een contract is voor een IT-dienstverlener een paardenmiddel. Dat is juridisch gezien echt iets anders dan een eenvoudige opzegging.

Juridisch gedonder
De wet gaat er namelijk vanuit dat bij een ontbinding van een overeenkomst de prestaties die over en weer reeds geleverd zijn in beginsel moeten worden teruggedraaid. De wet spreekt over ongedaanmaking. Voor de cloudprovider betekent dit dat hij de reeds ontvangen betalingen in beginsel moet terugstorten. De opdrachtgever moet in beginsel de reeds ontvangen clouddiensten teruggeven.

Omdat de reeds geleverde diensten feitelijk uiteraard niet kunnen worden geretourneerd, moet er een financiële compensatie op die terugbetalingsplicht worden toegepast, zo zegt de wet. Ik zal u hier niet met alle juridische details van een dergelijke complexe ongedaanmaking vermoeien. Het is voer voor juristen. Voldoende is hier om voor ogen te houden dat de ontbinding van een contract tot veel en complex juridisch en financieel gedonder over en weer kan leiden.

Kortom, dienstverleners zoals cloud- en hostingproviders die in zee willen gaan met een opdrachtgever die in het contract een recht tot ontbinding bij een datalek wenst, doen er verstandig aan zich driemaal achter de oren te krabben alvorens het contract te ondertekenen. Gegeven de contractsvrijheid mag zoiets weliswaar probleemloos worden afgesproken, maar de gevolgen ervan kunnen buitengewoon ingrijpend zijn. Een gewaarschuwd mens telt voor twee.

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Verder lezen?

Log in en lees verder of maak hier uw persoonlijk profiel aan en ontvang als eerste het laatste securitynieuws. Speciaal voor u geselecteerd!

Dit veld is verplicht
Vul een geldige e-mailadres in
Dit veld is verplicht