Column


IT-jurist Peter van Schelven over...

Benedenmaatse security en aansprakelijkheid

Enige weken terug schreef ik over spelregels rondom de aansprakelijkheid in de Algemene Verordening Gegevensbescherming (AVG). Ik beschreef dat de aansprakelijkheid voor de financiële schade die een burger lijdt bij schending van de Europese privacyregels niet bij contract kan worden uitgesloten of beperkt. Een gedupeerde burger heeft namelijk recht op volledige vergoeding van zijn of haar schade. Ook gaf ik aan dat twee bedrijven en organisaties hun onderlinge aansprakelijkheid voor AVG-inbreuken in beginsel wel kunnen uitsluiten of beperken, bijvoorbeeld in een verwerkersovereenkomst. Dat laatste gebeurt in de contractpraktijk inmiddels volop.

Ik kondigde toen aan nader in te gaan op één specifiek onderwerp: de vergoeding van schade als een bedrijf of organisatie de Europese privacyregels schendt. Ik wil nu met u stilstaan bij een lastige nieuwe spelregel die de AVG heeft geïntroduceerd met de bedoeling de positie van de burger aanzienlijk te versterken, met name voor het geval een bedrijf of organisatie de verwerking van persoonsgegevens aan een ander heeft uitbesteed. Het gaat hier om een nieuwe regel over – wat in juridisch potjeslatijn wordt genoemd – ‘hoofdelijke aansprakelijkheid’.

Hoofdelijkheid: wat is dat?
Waar gaat hoofdelijkheid over? Stel, u bent patiënt van een ziekenhuis dat de opslag van uw medisch dossier heeft uitbesteed aan een gespecialiseerd hostingbedrijf. U mag uiteraard verwachten dat het ziekenhuis ter bescherming van uw gezondheidsgegevens alle passende technische en organisatorische security in huis heeft. De AVG verlangt dat immers. Ongeoorloofde toegang tot of het ongeoorloofde gebruik van persoonsgegevens en de apparatuur die voor de verwerking wordt gebruikt, moet worden voorkomen.

Maar uiteraard mag u er ook op rekenen dat datzelfde geldt voor het ingeschakelde hostingbedrijf, wat in de termen van de AVG een zogeheten ‘verwerker’ is. Voor verwerkers tref je in de AVG ook security-eisen aan. In de praktijk bevat bovendien het (verwerkers-)contract tussen ziekenhuis en hostingbedrijf nadere eisen omtrent security.

Bij wie klopt de patiënt nu aan met zijn financiële claim als hij schade ondervindt vanwege benedenmaatse security, als gevolg waarvan bijvoorbeeld zijn medisch dossier op straat komt te liggen? Bij het ziekenhuis als die zijn security niet voor elkaar heeft? Of bij het hostingbedrijf als zijn security de toets der kritiek niet kan doorsteen en het ziekenhuis overigens niets te verwijten valt ten aanzien van de securitygebreken van het hostingbedrijf? Anders gezegd: moet de gedupeerde burger zelf op zoek gaan naar de schuldige? Loopt hij of zij dan wellicht het risico van het kastje naar de muur te worden gestuurd?

Keuzevrijheid van gedupeerde burger
De AVG heeft rondom dit dilemma een duidelijke keuze gemaakt. De burger die in een dergelijk geval gedupeerd is, mag zelf vrijelijk kiezen bij wie hij of zij de schadeclaim neerlegt. De claim kan gepresenteerd worden bij zowel het bedrijf dat het dossier host als bij de opdrachtgever van de hostingdiensten. De AVG bepaalt dat de partij die in zo’n verhouding wordt geconfronteerd met een schadeclaim tegenover de burger volledig op de financiële blaren moet komen te zitten, zelfs al ligt het securitygebrek bij de andere partij. Dat heet in de juridische wereld hoofdelijke aansprakelijkheid. Zo tracht de AVG te voorkomen dat de burger tussen wal en schip valt.

Vanwege die hoofdelijke aansprakelijkheid kan het ziekenhuis dus opdraaien voor securitygebreken van het hostingbedrijf. En uiteraard geldt dit andersom ook; als het ziekenhuis in zijn aanpak van de security de fout in is gegaan, dan kunnen de financiële gevolgen op het bordje van het hostingbedrijf belanden.

Zoals gezegd: de regeling in de AVG versterkt op het punt van de aansprakelijkheid de rechtspositie van burgers fors. De burger hoeft zich geen zorgen te maken wie hij wenst aan te spreken, maar bepaalt dat zelf.

Verzachten van de pijn: regresrecht
U zult wellicht denken dat die regeling oneerlijk uitpakt als de partij die geen enkele blaam treft ten aanzien van een security-incident uiteindelijk met alle financiële gevolgen opgescheept blijft zitten. Die gedachte is terecht. Om die oneerlijkheid weg te nemen, bevat de AVG ook nog een andere regel, een zogeheten regresregeling. De partij die geen blaam treft ten aanzien van een security-incident kan de door haar aan de burger betaalde schadevergoeding verhalen op de wederpartij, zo zegt de AVG. Dat heet regres.

Dus: als het ziekenhuis de schadevergoeding voldoet terwijl de bron van het securityprobleem in het onvoldoende beveiligde datacenter van het hostingbedrijf is gelegen, dan geeft de AVG het ziekenhuis het recht regres te nemen op het hostingbedrijf. Het omgekeerde kan zich ook voordoen. Het hostingbedrijf kan de door hem aan de burger betaalde schade bij het ziekenhuis verhalen als blijkt dat het security-issue uitsluitend bij het ziekenhuis ligt. Ligt de fout in voorkomend geval bij beide partijen, dan zal de financiële pijn naar rato onderling verdeeld moeten worden.

De burger zelf heeft met het uitoefenen van het regresrecht niets te maken. Daar staat hij juridisch gezien buiten.

Contractuele uitwerking
De AVG regelt het regresrecht in zeer algemene termen. In de contracten tussen opdrachtgever en verwerker kan dat regresrecht meer in detail worden uitgewerkt. Geen bedrijf of organisatie wil immers opdraaien voor de securitygebreken van een ander. Zo’n uitwerking is lastige materie, waaraan veel juridische haken en ogen – onder andere complexe verzekeringsvragen - zitten. Inschakeling van een gespecialiseerd jurist ligt voor het maken van passende afspraken voor de hand. Het spijt me: veel vrolijker kan ik het niet maken…


IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com. 

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over