Column


IT-jurist Peter van Schelven over...

Securitygeschillen: overheidsrechter of arbitrage?

Stel, u wenst in het kader van IT-security dat de nieuwste bedreigingen voor uw organisatie dagelijks in de gaten worden gehouden, zodat u zoveel mogelijk beschermd blijft. U kan uiteraard besluiten zelf de nodige hard- en software in huis te halen, maar ook kan u ervoor kiezen om bepaalde ‘managed security services’ aan een gespecialiseerd bedrijf uit te besteden.

Wat u ook kiest, in alle gevallen gaat u met een externe leverancier van producten of diensten een of meerdere contracten aan. Dat kan een eenvoudige licentie- of koopoverkomst zijn, maar ook een complex security-contract met op security toegesneden SLA-afspraken. Ook als u de opslag en verwerking van bedrijfsgegevens aan een andere partij wenst uit te besteden, bijvoorbeeld een hostingbedrijf, dan maakt u, als u verstandig handelt, in het hostingcontract passende afspraken over de security die u verlangt. Kortom, contractuele afspraken over security zijn belangrijke, maar niet zelden ook zeer complexe aandachtspunten.

Als afnemer neemt u in het contract niet alleen op wat u precies van de securityproducten en diensten verwacht, maar ook wat er gebeurt als u onverhoopt in die verwachtingen teleurgesteld wordt, bijvoorbeeld omdat de producten en diensten niet de betrouwbaarheid en kwaliteit blijken te bieden die u hebt afgesproken.

Securitygeschillen
Een bijzonder punt van aandacht bij het aangaan van contracten op het gebied van security is de geschillenregeling. Naar welke geschilleninstantie stapt u als er een conflict tussen de leverancier en afnemer ontstaat wegens vermeende gebrekkigheid van het aangeschafte securityproduct of wanneer sprake is van een ernstig security-incident dat aanleiding geeft tot claims?

De juridische ‘default’ aanpak is dat, als partijen niet zelf in staat zijn hun geschil op te lossen, zij hun kwestie aan de overheidsrechter kunnen voorleggen. Maar aan die aanpak kleven rondom security-geschillen doorgaans nogal wat bezwaren. Zo is het ten eerste de vraag of de rechters zelf wel capabel zijn alle technische ‘ins & outs’ van de security te doorgronden. Dat is vaak niet het geval en dus moet de rechter zich door doorgaans dure externe deskundigen laten voorlichten. De rechter vaart veelal blind op het advies van die deskundigen. Deze onzekerheden maken securitygeschillen bij de overheidsrechter al snel tot een kansspel, met het risico van ‘nieten’.

Vuile was
Een veel groter bezwaar van de stap naar de rechter is dat de overheidsrechtspraak openbaar is. Dat staat nu eenmaal zo in onze Grondwet. De zogeheten externe openbaarheid van rechtspraak is belangrijk omdat de samenleving de rechtsgang moet kunnen controleren.

Een netelig securitygeschil ligt daarmee dus al snel op straat of komt wellicht in de publieke media terecht. Dikwijls zit de leverancier van een benedenmaats security-product daar niet op te wachten en ook de gebruiker ervan hangt niet graag de vuile was buiten. Dat past nou eenmaal niet bij security.

Arbitrage
Vanwege deze bezwaren wordt er in securitycontracten meer dan eens voor gekozen om de overheidsrechter op voorhand buitenspel te zetten door in de geschillenclausule van het contract te kiezen voor arbitrage bij een onafhankelijk en onpartijdig arbitrage-instituut. Arbitrage is een in de wet geregelde vorm van rechtspraak waarbij particuliere scheidslieden tot een vonnis komen volgens een formele rechtsgang. Gespecialiseerde arbiters zijn, veel meer dan rechters, zelf deskundig en hebben vaak jarenlange ervaring op het genoemde probleemgebied.

In Nederland wordt met name de Stichting Geschillenoplossing Automatisering (SGOA) al ruim een kwart eeuw ingeschakeld bij IT- kwesties, waaronder securitygeschillen. In de gevallen waarin gekozen wordt voor arbitrage bij de SGOA is het eindproduct van het proces een ‘arbitraal vonnis’ met dezelfde rechtskracht als een ‘gewoon’ vonnis van de overheidsrechter. Arbitrage waarborgt echter de vertrouwelijkheid, want de behandeling van de zaak geschiedt achter gesloten deuren. En dat is in menige security-kwestie geen overbodige luxe.

 


Lees meer over