Column


IT-jurist Peter van Schelven over...

ICT-sector lanceert privacycode en modelcontract

Nederland ICT, de brancheorganisatie van de Nederlandse ICT-sector, heeft onder de naam Data Pro Code een gedragscode voor zogeheten verwerkers van persoonsgegevens opgesteld. De code, geschreven in verband met de spelregels van de Algemene Verordening Gegevensbescherming (AVG), is een instrument voor ICT-dienstverleners zoals hosting- en cloudproviders. Data Pro staat voor Data Processor (verwerker) en Data Professional.

Deze code, door de vereniging uit Woerden in overleg met de Autoriteit Persoonsgegevens ontwikkeld, bevat een achttal privacybeginselen die door verwerkers omarmd kunnen worden. Een ICT-dienstverlener die dat doet, laat aan de buitenwereld zien dat hij voor een zorgvuldige omgang met persoonsgegevens staat. De beschreven beginselen, die nauw aansluiten bij de AVG en een zeker ‘highlevelniveau’ hebben, worden in de code omgezet in praktische maatregelen.

Informatieplicht
Zo is onder meer bepaald dat een verwerker zijn klant dient te informeren over de door hem getroffen securitymaatregelen zodat de klant zelf in staat is te beoordelen of die maatregelen voldoende zijn. Deze informatieplicht, die niet met zoveel woorden in de AVG is terug te vinden, onderstreept dat niet alleen de verwerker, maar ook de klant zelf verantwoordelijkheid dient te nemen. Die grondgedachte is een goede zaak. Verantwoordelijkheden rondom security kunnen niet eenzijdig op het bord van de verwerker worden gelegd. Op die manier levert Nederland ICT een belangrijke bijdrage aan een brede verantwoordelijkheid met betrekking tot security.

De code voorziet in een duidelijke behoefte, vooral bij kleine en middelgrote ICT-bedrijven. Het gros van de bedrijven in de ICT-sector verwerkt immers in opdracht en onder instructie van klanten persoonsgegevens en daarmee vallen zij al snel onder het verwerkersregime uit de AVG. Ook de ICT-bedrijven die onderhoud en beheer van ICT voor hun opdrachtgevers verrichten, hebben veelal toegang tot persoonsgegevens in de systemen van klanten. Voor dit soort bedrijven waren tot voor kort niet veel branchebrede AVG-instrumenten beschikbaar, terwijl de Europese privacywetgeving wel specifieke spelregels voor verwerkers bevat.

Vrijwilligheid
De Data Pro Code is gebaseerd op vrijwilligheid. De individuele ICT-bedrijven die bij Nederland ICT zijn aangesloten, kunnen dus niet worden verplicht de code te omarmen. Zo’n verplichting zou immers op gespannen voet staan met het principe van de mededingingsvrijheid. Dat is juridisch temeer bezwaarlijk als je voor ogen houdt dat de mate waarin een bedrijf in de markt de AVG serieus neemt een competitief voor- of nadeel kan opleveren. Privacy is allang niet meer een mededingingsneutraal onderwerp. De keuze die de branchevereniging heeft gemaakt voor een vrijwillige toepassing is dus terecht.

Door dit vrijwillige karakter moet de code in de komende tijd nog gezag opbouwen. Ik heb er echter weinig twijfel over dat menig ICT-bedrijf in ons land aansluiting bij de code zal gaan zoeken.

Verwerkerscontract
Nederland ICT heeft niet alleen een praktische gedragscode gepubliceerd. Ook heeft zij een model van een verwerkerscontract ontwikkeld. De AVG schrijft voor dat een klant bij de inschakeling van een verwerker schriftelijke afspraken over diverse onderwerpen moet maken. Die afspraken, die een strikte en zorgvuldige omgang met persoonsgegevens door de verwerker moeten waarborgen, worden doorgaans in een verwerkerscontract vastgelegd. Het modelcontract van Nederland ICT kan daarvoor als vertrekpunt worden gebruikt.

De makers hebben een min of meer neutraal modelcontract beoogd. Dat wil zeggen: het contract kan niet alleen gehanteerd worden als een verwerker met een klant in zee gaat, maar ook als een verwerker een subcontractor (subverwerker) in de arm wenst te nemen. Het contract kan beide kanten op gehanteerd worden.

Die insteek is handig, want allerlei complexe juridische onderwerpen, zoals een contractuele regeling over het aansprakelijkheidsrisico en een garantieregeling, moeten elders – dus niet in het verwerkerscontract zelf – geregeld worden. Die onderwerpen regel je bijvoorbeeld in je inkoop- of verkoopvoorwaarden. Het verwerkerscontract kan dus goed in combinatie met de veelgebruikte algemene voorwaarden van Nederland ICT gehanteerd worden.

Goede zaak
Nederland ICT bewijst met zowel de Data Pro Code als het modelverwerkerscontract haar achterban goede diensten. Het maakt de stap van verwerkers om aan de AVG te kunnen voldoen een stuk makkelijker. En dat is een goede zaak voor ICT-bedrijven en hun opdrachtgevers.


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.     

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over