Column


IT-jurist Peter van Schelven over...

IT-Security & SGOA-arbitrage

Als een leverancier en afnemer van IT-diensten met elkaar overhoop liggen over de kwaliteit van de dienstverlening, dan mondt dat meer dan eens uit in een stap naar de rechtbank. Aan de overheidsrechter wordt in zo’n geval gevraagd een uitspraak te doen of sprake is van bijvoorbeeld gebrekkige software, een benedenmaats IT-advies of achterhaalde IT-security.

Dergelijke IT-kwesties zijn voor veel rechters doorgaans geen sinecure. Ze zijn veelal zeer complex en het technisch jargon is vaak moeilijk te doorgronden. Dat geldt zeker ook voor geschillen over IT-security. Er bestaan binnen de rechtbanken in ons land immers geen gespecialiseerde IT-kamers. De strijdende partijen zijn in de regel dus afhankelijk van de toevallige kennis en affiniteit van de rechters die op de zaak zitten.

De rechters die ik ken, werken naar mijn stellige indruk met volle integriteit aan de geschillen waarover zij moeten oordelen. Maar toch, een rechter die op IT-gebied zelf niet veel meer heeft gedaan dan bijvoorbeeld het kopen van een laptop of het downloaden van een programmaatje, heeft het bij de behandeling van ingewikkelde IT-geschillen gewoonlijk moeilijk. Het maakt de rechtspraak in IT-kwesties tot op grote hoogte onvoorspelbaar en dat is voor burgers, bedrijven en organisaties onbevredigend.

Particuliere rechters?
Om die reden kiezen partijen die in IT-zaken een oordeel van een onpartijdige en onafhankelijke instantie wensen, steeds vaker voor arbitrage. Dat is particuliere rechtspraak, van gespecialiseerde IT-juristen en IT-deskundigen. Arbitrage is uitgebreid in de wet geregeld. Net als het eindproduct van de overheidsrechter wordt de beslissing van arbiters ook vastgelegd in een vonnis. Een arbitrale procedure lijkt verregaand op de wijze waarop de gewone rechter een zaak behandelt. Wie zijn IT-kwestie aan arbiters wenst voor te leggen, moet over die stap wel overeenstemming bereiken met zijn wederpartij.

In Nederland is in IT-zaken met name de Stichting Geschillenoplossing Automatisering (SGOA) als arbitrage-instelling actief, al sinds haar oprichting in 1989. Sedertdien hebben de arbiters van de SGOA zich meermalen moeten buigen over IT-securitygeschillen. Ik geef u hier een kleine indruk van de kwesties die in de loop der jaren op dit gebied aan de SGOA zijn voorgelegd:

  • Een IT-dienstverlener die een beheercontract met een klant is aangegaan, heeft geen ‘rechtenstructuur’ in het door hem beheerde IT-systeem aangebracht. Medewerkers van de klant kregen door het ontbreken daarvan ongeautoriseerd toegang tot documenten die niet voor hun ogen bestemd waren. Is dan sprake van wanprestatie van de beheerder? Of is de structuur van de inkijk-, lees- en mutatierechten van gebruikers geheel de eigen verantwoordelijkheid van de klant?
  • De leverancier van een antiviruspakket wordt door zijn klant verweten dat deze software niet deugt, nu het systeem van de klant toch met virussen was besmet. Welke kwaliteitseisen mag je als afnemer aan dergelijke software stellen?
  •  De maker van een nieuw IT-systeem heeft zich in het IT-contract met zijn klant in algemene termen ertoe verplicht dat het te bouwen systeem ten minste net zo goed beveiligd moet zijn als het vorige, te vervangen systeem. Wat is de ‘scope’ van die verplichting nou precies?

IT-deskundigheid
Het zijn slechts drie willekeurige voorbeeldjes uit de jarenlange praktijk van de SGOA. Het spreekt voor zich dat de behandeling van deze kwesties specifieke juridische en technologische deskundigheid vergt. Op de lijst van arbiters van de SGOA staan dan ook specialisten die hun sporen op IT-security ruimschoots hebben verdiend.
In de praktijk is die expertise voor partijen die het met elkaar aan de stok hebben, de belangrijkste reden om te kiezen voor arbitrage in plaats van overheidsrechtspraak. In een arbitraal college zitten zowel IT-juristen als arbiters met een stevige technische achtergrond. Dat waarborgt een eerlijk oordeel in die geschillen.

Vuile was
Daar komt nog een ander punt bij. Overheidsrechtspraak is in beginsel openbaar, wat betekent dat securitykwesties makkelijk open en bloot op straat kunnen komen te liggen. Voor veel partijen is dat juist in securityzaken geen prettig perspectief. Je hangt namelijk niet graag de vuile was buiten. Arbitrage is daarentegen vertrouwelijk. Dat wat partijen elk in de arbitrale procedure inbrengen, blijft binnenskamers. Bij securitygeschillen is dat gewoonlijk harde noodzaak. Security en openbaarheid staan namelijk op gespannen voet met elkaar.

Wat leert ons dit alles? Onder meer dat het in zaken die over producten, diensten of software op het gebied van IT-security gaan, de moeite waard is om de weg naar gespecialiseerde IT-arbitrage serieus te overwegen. Wil je het verstandig doen, dan maak je daarover op voorhand al in de contracten passende afspraken. Op de site van de SGOA treft u daarvan voorbeeldtekstjes aan. Besef: wie in IT-zaken naar de gewone rechter stapt, kiest al snel voor een onzeker kansspel…


Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over