Column


IT-jurist Peter van Schelven over...

Boetes voor datalekken afwentelen: mag dat?

De komst van de meldplicht bij datalekken trekt alom publieke aandacht. De wet die met ingang van het nieuwe jaar in ons land van kracht wordt, legt – zoals bekend – op bedrijven, overheden en andere organisaties de verplichting om datalekken die een forse impact op de privacy hebben of kunnen hebben, te melden bij de Autoriteit Persoonsgegevens (AP) en bij de betrokken burgers.

Een van de leidende gedachten achter de nieuwe regeling is dat zij een prikkel beoogt te zijn om de informatiebeveiliging binnen organisaties te versterken. De aanname daarbij is kennelijk dat wie meer investeert in informatiebeveiliging wellicht minder snel de vuile was hoeft buiten te hangen. Juist daarom ook heeft de wetgever het risico van een forse bestuurlijke boete in het vooruitzicht gesteld voor het geval de naleving van de meldplicht in de wind wordt geslagen. Theoretisch kan de boete maximaal € 820.000 per geval zijn, maar door een stevige cumulatie van boetes kan het boeterisico zelfs oplopen tot enige miljoenen euro’s.

Zo is bijvoorbeeld het niet melden van een datalek aan de AP onderworpen aan een afzonderlijke boete, terwijl dat ook zo is voor het niet melden aan de betrokken burgers. Zo’n vaart zal het naar verwachting voorlopig nog niet lopen, tenzij je willens en wetens of ernstig verwijtbaar een potje van jouw informatiebeveiliging maakt. De AP, die belast is met het uitdelen van bestuurlijke boetes, presenteert naar eigen zeggen begin volgend jaar zijn definitieve beleidsregels over haar boetebeleid.

Buiten de deur
Organisaties die hun gegevensverwerking ‘buiten de deur draaien’ - bijvoorbeeld bij een cloudprovider of een hostingbedrijf - moeten voor ogen houden dat zij ten volle verantwoordelijk zijn en blijven voor een passende informatiebeveiliging. Is er binnen het datacenter van zo’n dienstverlener sprake van een datalek, dan kan de AP in voorkomend geval de boete ook aan de desbetreffende opdrachtgever presenteren. Het feit dat je je gegevensverwerking uitbesteedt, is op zich dus geen vrijbrief, ook al valt wel te verwachten dat de zorgvuldige selectie van een gedegen en goed beveiligde dienstverlener het boeterisico aanzienlijk vermindert.

Indekken en afwentelen: toegestaan?
Hoe dan ook, de contractpraktijk van de laatste maanden laat mij zien dat menig opdrachtgever van cloud- en hostingbedrijven zich tegen het boeterisico wil indekken. In contracten worden steeds vaker regelingen geschreven over het afwentelen van bestuurlijke boetes op dit soort dienstverleners. De lastige vraag die zich daarmee aandient is of het sowieso is toegestaan om zoiets in een contract te regelen. Lange tijd was het onder juristen geen uitgemaakte zaak dat je in een contract mocht bepalen dat een bestuurlijke boete van een overheidsinstantie op de contractuele wederpartij kon worden verhaald. Er werd wel bepleit dat zo’n contractuele regeling in strijd met de openbare orde zou zijn, omdat het in essentie de prikkel tot naleving van de wet ondermijnt. In juridisch jargon heet het dan dat zo’n afspraak nietig is. In gewoon Nederlands: zo’n afspraak geeft nul-komma-nul bescherming en verdwijnt linea recta in de prullenbak. Die juridische onzekerheid hing tijdenlang ook boven cloud- en hostingcontracten.

Oordeel Hoge Raad
Aan deze onzekerheid is echter sinds kort door de Hoge Raad, het hoogste rechtscollege in ons land, een einde gemaakt. Onlangs, op 11 december, heeft de Hoge Raad tamelijk stellig beslist (weliswaar in een kwestie rondom een aannemingscontract) dat een contractuele afspraak om een bestuurlijke boete op de wederpartij te mogen verhalen, in beginsel toelaatbaar is. Dat schept dus duidelijkheid aan IT-land. De uitspraak is een forse steun in de rug voor iedereen die thans zijn cloud- of hostingcontract met een zogeheten verhaalsbeding zou willen aanscherpen. Juridisch is dat nu dus toegestaan, ook al vraagt een zorgvuldige en heldere formulering ervan best nog wel wat aandacht. Uiteraard blijft dan nog wel de vraag over of uw cloud- of hostingprovider de bereidheid heeft uw boeterisico klakkeloos en ten volle over te nemen. Dat laatste is vanzelfsprekend meer een kwestie van professionaliteit, reputatie, macht en verzekerbaarheid, dan van recht en wet.


Eerdere bijdrage van Peter van Schelven:

Bring Your Own en vertrouwelijke bedrijfsdata

Lees meer over