Column


IT-jurist Peter van Schelven over....

Bewerkerscontracten in de lift

Iedere organisatie die buiten de deur door een ander persoonsgegevens laat verwerken, is wettelijk verplicht schriftelijk met die ander een zogeheten bewerkerscontract te sluiten. Die verplichting bestaat weliswaar al sinds de invoering van de Wet bescherming persoonsgegevens in september 2001, maar de praktijk liet jarenlang zien dat niet iedere organisatie die contracteerverplichting altijd even nauw nam. Soms uit onwil, vaker uit onwetendheid.

De recente komst van de wettelijke meldplicht voor datalekken heeft dat stevig veranderd. Veel van de bestaande bewerkerscontracten zijn de laatste weken fors opgepoetst en compleet nieuwe modelcontracten worden momenteel in de markt gezet. Vooral in de verhouding tussen enerzijds cloud providers, datacenters, hosting providers e.d. en anderzijds hun opdrachtgevers, worden momenteel op grote schaal nieuwe bewerkerscontracten afgesloten. Afnemers van IT-diensten schrijven in die contracten voor om razendsnel en uitgebreid te worden geïnformeerd over het bestaan van datalekken aan de zijde van de IT-provider. De gedachte daarbij is uiteraard dat de afnemer die medewerking nodig heeft om uiteindelijk zelf aan zijn eigen meldplicht tegenover de Autoriteit Persoonsgegevens en de betrokken burgers te kunnen voldoen.

Alignment
Het sluiten van een goed bewerkerscontract vraagt om zorgvuldigheid. De praktijk laat zien dat het daar soms aan schort. Zo kunnen met name onduidelijkheden ontstaan als vooraf niet voldoende stil wordt gestaan bij de dikwijls complexe verhouding tussen het bewerkerscontract en het dienstverleningscontract waarin de IT-provider en opdrachtgever ooit - wellicht al tijden terug - de inhoud van de te leveren IT-diensten en de daarbij geldende condities hebben geregeld. Het nieuwe bewerkerscontract kan bijvoorbeeld een plaats krijgen naast een al jaren terug afgesloten hostingcontract. Het is alom bekend dat daar waar in één relatie meerdere contracten naast elkaar bestaan, juridische knelpunten vaak al snel op de loer liggen. De noodzakelijke afstemming blijft echter nogal eens achterwege.

Geschillen
Er kunnen dure juridische steekspelletjes ontstaan als - zoals ik onlangs in een concreet geval zag - het hostingcontract bepaalt dat geschillen moeten worden voorgelegd aan de particuliere arbiters van de Stichting Geschillenoplossing Automatisering, terwijl het bewerkerscontract een andere kant opgaat door te zeggen dat geschillen uitsluitend door de overheidsrechter worden behandeld. Met dit soort tegenstrijdigheden kan een security-geschil ‘at the end’ uitmonden in een onverkwikkelijk juridisch dispuut over de netelige vraag welke geschilleninstantie nou eigenlijk bevoegd is. Zo’n kwestie is alleen in het belang van de portemonnee van advocaten en juristen, en daar worden maar weinig anderen echt vrolijk van. Bewerkerscontract en hostingcontract vragen dus om ‘alignment’.

Security en aansprakelijkheid
Een bijzonder punt van aandacht in bewerkerscontracten zijn de specifieke afspraken over de aansprakelijkheid van de IT-provider ingeval zijn security op enig moment benedenmaats blijkt te zijn. Vrijwel alle IT-providers trachten het risico van schadeclaims wegens gebrekkige security in hun dienstverleningscontracten te beperken, onder meer door met de opdrachtgever een plafondbedrag voor eventuele aansprakelijkheidsclaims overeen te komen. Dergelijke afspraken in bijvoorbeeld een hostingcontract hebben de bedoeling disproportioneel geachte risico’s van de IT-provider in de tang te houden. Die bescherming kan echter zomaar illusoir worden als de provider zich in een separaat bewerkerscontract klakkeloos verplicht tot het waarborgen van de security, in de veronderstelling dat de nodige juridische bescherming daarvoor reeds eerder in een ander contract geregeld is. De provider die bewust of onbewust nalaat om de eerdere afspraken over de limitering van schadeclaims tevens in het bewerkerscontract van toepassing te verklaren, kan wel eens van een koude kermis thuiskomen. Het is dan ook verre van zeker dat de IT-provider zich in een dergelijk geval met succes op de eerdere afspraken over beperking van aansprakelijkheid kan beroepen.

De praktische oplossing voor dit probleem is een heel eenvoudige: verklaar de bepalingen van het reeds lopende IT-dienstverleningscontract zoveel mogelijk ook in het bewerkerscontract van overeenkomstige toepassing. Dat kan later veel juridisch gedonder voorkomen. Kortom, het bewerkerscontract is niet zomaar een door de privacywet verlangde formaliteit.


Lees meer over