Column


IT-jurist Peter van Schelven over...

AVG-business en kleine lettertjes

De Algemene Verordening Gegevensbescherming (AVG) is uitgegroeid tot een immens werkgelegenheidsproject. Hijgerig hebben consultants, adviesbureaus, juristen, accountants, securityspecialisten, onderwijsinstellingen en leveranciers van privacytools zich en masse op de nieuwe Europese privacywet gestort. Big business. Soms gebeurt dat echter met gebruikmaking van twijfelachtige kleine lettertjes in contracten of leveringsvoorwaarden.

Een ontwikkeling waar men stevige vraagtekens bij zou kunnen zetten, betreft de consultantsbureaus die worden ingeschakeld om een nulmeting of een AVG-assessment binnen de organisatie van opdrachtgevers uit te voeren. Dergelijke onderzoeken vormen een startpunt om in beeld te brengen welke maatregelen en voorzieningen de desbetreffende organisatie al in huis heeft om aan de eisen van de Europese privacywetgeving te voldoen.

Met uitgebreide vragenlijsten en interviews wordt – als eerste stap op weg naar AVG-compliance – de ‘Ist-situatie’ geïnventariseerd. Niet zelden resulteert een dergelijk onderzoek tevens in een omvangrijke beschrijving van de gaten, een ‘AVG-gapanalyse’. In het consultancyrapport wordt dan vastgelegd welke nadere maatregelen de organisatie nog moet treffen om aan de AVG te kunnen voldoen, de zogeheten ‘Soll-situatie’.

Vervolgtrajecten
Het is bij grotere organisaties niet ongebruikelijk als meer dan honderd additionele maatregelen – bijvoorbeeld op het vlak van security, awarenesstrainingen, contracten of inrichting van processen – in het rapport worden gepresenteerd. Zo vormen die analyses een opstap voor vervolgtrajecten.

Dergelijke onderzoeken zijn in de regel nuttige exercities. Echter, een opdrachtgever die een vervolgtraject, gericht op de implementatie van de voorgestelde AVG-maatregelen, wenst op te pakken, kan door verstikkende juridische voorwaarden van het consultancybureau stevig aan banden worden gelegd.

Wat laat de contractpraktijk soms zien? Het komt wel voor dat het consultancybureau in zijn leveringsvoorwaarden bepaalt dat de opdrachtgever het rapport dat het resultaat is van de uitvoering van de nulmeting of het assessment, niet aan een ander mag verstrekken. Ook wordt in de kleine lettertjes soms wel bedongen dat het bureau zich alle rechten van intellectuele eigendom op het rapport voorbehoudt en dat de opdrachtgever slechts een niet-overdraagbaar recht van gebruik krijgt.

Vendor lock-in
Dit soort voorwaarden hebben de bedoeling de opdrachtgever te ontmoedigen anderen voor de verdere AVG-implementatie in te schakelen. Zo probeert men concurrerende bureaus buiten de deur te houden. Het is een bedenkelijke vorm van ‘vendor lock-in’ die men in consultancyland hier en daar wel tegenkomt. De betere en gereputeerde consultancybureaus onthouden zich gelukkig van dergelijke praktijken, maar daar waar dat anders is, zijn voorwaarden van die strekking een steen des aanstoots.

Wat valt aan deze praktijk te doen? Heel eenvoudig: lees als opdrachtgever de toepasselijke voorwaarden goed door voordat je met een consultancybureau in zee gaat. Of laat dat doen door een jurist. Mijn ervaring is – helaas – dat menig opdrachtgever uit haast, onwil, gebrek aan interesse of grote naïviteit de leveringsvoorwaarden van hun dienstverlener tevoren niet bestudeert. Je komt dan wellicht van een koude kermis thuis als later blijkt dat het door jou ingeschakelde consultancybureau je door middel van beknellende voorwaarden met handen en voeten probeert te binden.

Los van de juridisch complexe vraag wat de bedoelde clausules in leveringsvoorwaarden van consultancybureaus in werkelijkheid nou echt voorstellen, je zet jezelf in ieder geval onnodig op 1-0 achterstand als je dit soort voorwaarden aanvaardt. Dus: wie een nulmeting of een assessment voor de AVG op verstandige wijze wenst uit te besteden, bestudeert op voorhand de condities en past die, waar nodig, aan. As simple as that…!


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.    

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over