Column


IT-jurist Peter van Schelven over...

Security & instructierechten

Wanneer je als organisatie de opslag en verdere verwerking van data aan een cloudprovider wenst uit te besteden, dan selecteer je uiteraard een bedrijf dat passende security in huis heeft. Zijn er persoonsgegevens in het spel, dan bepaalt de wet dat opdrachtgever en provider een bewerkersovereenkomst sluiten. In het kader van de Algemene verordening gegevensbescherming (AVG) spreekt men van een verwerkersovereenkomst.

In een dergelijke overeenkomst worden afspraken vastgelegd over de maatregelen die de provider op het gebied van informatiebeveiliging moet treffen en over controle door de opdrachtgever. Niet zelden wordt in die afspraken op een of ander wijze verwezen naar bekende beveiligingsstandaarden, zoals ISO 27001 en 27002. De NEN-ISO/IEC 27007 is de standaard die partijen helpt bij het uitvoeren van een audit.

In the lead
Een onderwerp dat in de verhouding tussen opdrachtgever en cloudprovider steeds meer aandacht krijgt, is het instructierecht dat de AVG aan de opdrachtgever heeft gegeven. De AVG zegt uitdrukkelijk dat de opslag en verwerking van data door de cloudprovider uitsluitend mogen gebeuren volgens de ‘schriftelijke instructies’ van de opdrachtgever. De wet gaat er dus vanuit dat de opdrachtgever ‘in the lead’ is. Het instructierecht dat de opdrachtgever ten aanzien van de verwerking van persoonsgegevens heeft, is de wettelijke vertaling van de gedachte dat de opdrachtgever de ultieme zeggenschap over de verwerking toekomt.

Maar hoever strekt dat wettelijke instructierecht precies? De AVG zwijgt daarover. Vrij algemeen wordt aangenomen dat een opdrachtgever langs twee verschillende wegen schriftelijke instructies aan een cloudprovider kan geven. Ten eerste kunnen de instructies in het verwerkerscontract zelf vastgelegd worden. Zo kan de provider de aanwijzing krijgen om bepaalde beveiligingstechnologie in te zetten.

Gebeurt dat, dan gaat de opdrachtgever in zekere zin op de stoel van de provider zitten. Dat laatste ligt niet zo voor de hand als de provider er zijn werk van maakt om de opdrachtgever rondom security te ontzorgen. Het is immers het vak van een goede cloudprovider goede security te leveren. Het is daarom niet onbegrijpelijk dat menig verwerkerscontract bepaalt dat het de provider is die de in te zetten beveiligingstechnologie selecteert.

Instructies in uitvoeringsfase
Een tweede moment om op basis van de AVG schriftelijke instructies aan een provider te geven, ligt in de fase van de uitvoering van de verwerkersovereenkomst. Dus ook nadat het contract is gesloten, kan een opdrachtgever nog bindende aanwijzingen aan de provider geven. In een dergelijk geval is de verwerkersovereenkomst dus reeds eerder gesloten. De latere instructies van de zijde van de opdrachtgever, zijn concretiseringen en aanvullingen van de oorspronkelijke contractuele afspraken.

Bezwaren
Om tal van redenen kunnen latere instructies bij de provider op bezwaren stuiten. Zo kan de provider een eenzijdige instructie om de security aan te passen professioneel onverantwoord of niet opportuun achten. Ook kan de uitvoering ervan wellicht buitenproportioneel duur zijn. In beide gevallen ziet de betrokken cloudprovider geen aanleiding om de security op instructie van de opdrachtgever aan te passen. Er liggen dan misschien al snel conflicten op de loer.

Bescherming tegen securityconflicten
Als opdrachtgever en cloudprovider conflicten over nadere instructierechten willen voorkomen, dan kunnen zij in het verwerkerscontract zelf vastleggen dat het instructierecht van de opdrachtgever uitsluitend en uitputtend in het contract staat beschreven. Op deze wijze wordt de opdrachtgever het recht om nadere instructies te geven contractueel ontnomen. Er zijn cloudproviders in de markt die voor deze vorm van bescherming kiezen.

Andere bescherming kan gezocht worden in duidelijke en evenwichtige spelregels in het contract over de procedure van besluitvorming naar aanleiding van een door de opdrachtgever verstrekte instructie. Een instructie kan bijvoorbeeld als RFC (Request for Change) worden aangemerkt. De betere cloudcontracten kennen een evenwichtige RFC-procedure.

Een derde, verdergaande vorm van bescherming vinden we in het contractenrecht uit het Burgerlijk Wetboek. Zoals in de regel het geval is, is de verhouding tussen opdrachtgever en cloudprovider in Nederland niet alleen aan de AVG onderworpen, maar ook aan de wettelijke regels over dienstverleningscontracten. Het Burgerlijk Wetboek noemt dat de overeenkomst van opdracht.

Dat wetboek bepaalt – kort gezegd – dat een opdrachtnemer die op redelijke grond niet bereid is een opdracht conform gegeven instructies uit te voeren de overeenkomst mag opzeggen ‘wegens gewichtige redenen.’ Kortom, de opdrachtgever die een cloudprovider tijdens de uitvoering van een verwerkerscontract zeer bezwarende instructies over security geeft, moet rekening houden met het risico dat de cloudprovider de stekker uit het contract trekt. Dat is een zwaar juridisch middel.

Conclusie
Het instructierecht van een opdrachtgever is onder de AVG een wezenlijk recht. De regels stellen de praktijk echter voor lastige problemen. Wie de juridische verhoudingen daarover goed wil doorgronden, ontkomt er niet aan om niet alleen naar de AVG te kijken, maar ook de spelregels van het contractenrecht in zijn afwegingen te betrekken. Het is een juridisch dwarsverband dat securityafspraken niet makkelijker maakt.

 

IT-jurist Mr. Peter van Schelven, BIJ PETER – Wet & Recht, laat wekelijks zijn licht schijnen over een opmerkelijke uitspraak of wetgeving binnen het IT-recht. Heeft u een concrete vraag voor Peter? Dan kunt u mailen naar peter.van.schelven@gmail.com.       

Kijk hier voor de eerdere bijdragen van Peter van Schelven.

Lees meer over