Moet u afscheid nemen van uw IT-leverancier na een datalek? En kan dat überhaupt?

08-05-2017

Na een (ernstig) datalek bij uw IT-leverancier gaat u de kwestie evalueren. Daarbij komt de vraag op in hoeverre uw gegevens bij die leverancier nog wel in veilige handen zijn. U vraagt zich af of u van de overeenkomst met de leverancier af kunt. Of wellicht zelfs af moet. In dit artikel sta ik kort stil bij die vragen.

U blijft verantwoordelijk, ook na uitbesteding
Het privacyrecht kent een overzichtelijk uitgangspunt: als er iets mis gaat bij de verwerking van persoonsgegevens kunnen de Autoriteit Persoonsgegevens en de betrokkene altijd de voor die verwerking verantwoordelijke partij aanspreken. Met andere woorden, als organisatie blijft u verantwoordelijk voor de correcte verwerking van uw “eigen” persoonsgegevens, ongeacht of u de gegevens in huis houdt of juist (deels) buiten de deur plaatst (bijv. bij een IT-leverancier).


Niet zomaar een externe partij kiezen
Gelet op die verantwoordelijkheid, is het niet zo gek dat de wet bepaalt dat u de verwerking van persoonsgegevens niet zomaar bij een willekeurige derde partij onder mag brengen.


De huidige Wet bescherming persoonsgegevens (Wbp) bepaalt dat er voor zorg moet dragen dat de externe partij “voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen” (artikel 14 Wbp).


De algemene verordening gegevensbescherming (Avg) die vanaf 25 mei 2018 van kracht is gaat nog een stapje verder door te bepalen dat uitsluitend partijen mogen worden ingeschakeld die “afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen bieden opdat de verwerking aan de vereisten van deze verordening voldoet en de bescherming van de rechten van de betrokkene is gewaarborgd“.


Oftewel, iets vrijer vertaald: als de externe partij zijn zaakjes op privacyvlak niet op orde heeft, mag u niet met die partij in zee gaan voor de verwerking van persoonsgegevens.

Bewerkersovereenkomst vereist
De Wbp en AVG verplichten bovendien dat met die derde schriftelijke afspraken worden gemaakt over de correcte verwerking van persoonsgegevens.


Een dergelijke overeenkomst wordt vaak een bewerkersovereenkomst genoemd. Het is ook denkbaar dat die afspraken niet in een afzonderlijk document worden vastgelegd, maar onderdeel zijn van de algehele overeenkomst.


Onderdeel van de wettelijk verplicht te maken afspraken zijn afspraken over de te nemen beveiligingsmaatregelen en de afhandeling van datalekken.


Diskwalificeert een leverancier zich na een datalek?
Stel dat er zich een datalek heeft voorgedaan. Alle stof daarover is ondertussen neergedwarreld, u heeft een melding gedaan, wellicht de betrokkenen geïnformeerd en u bent klaar om de hele kwestie te evalueren. Tijdens die evaluatie zal ook de rol van de leverancier aan de orde (kunnen) komen.


In dat kader zouden deze vragen kunnen opkomen:

  1. Moet u van de leverancier af, nu er een datalek is geweest?
  2. Kunt u van de leverancier af, nu er een datalek is geweest?
  3. Kunt u de schade op de leverancier verhalen?

Ad. 1. Moet u van de leverancier af?
Als na analyse van het incident duidelijk wordt dat uw leverancier de beveiliging toch niet op orde heeft, en er is ook geen zicht op verbetering, dan is maar de vraag of de leverancier nog wel afdoende waarborgen/garanties biedt zoals vereist door de Wbp en Avg. Zie de hiervoor aangehaalde citaten uit de wet.


Als u tot de conclusie komt dat die garanties/waarborgen ontbreken, dan zult u afscheid van de leverancier moeten nemen. Doet u dat niet, dan schendt u immers de Wbp / Avg en daar kan tegen worden opgetreden door de Autoriteit Persoonsgegevens.
De vraag is echter of u wel van uw leverancier af kunt. Mogelijk bieden de contracten daar helemaal geen ruimte toe.


Ad. 2. Kunt u van de leverancier af?
Bij het beëindigen van overeenkomsten moet onderscheid worden gemaakt tussen het opzeggen en het ontbinden van overeenkomsten. Voor beide beeindigingsgronden geldt dat het contract vaak specifieke regels stelt (kijk dus eerst in het contract!).


Voor opzeggen geldt, grosso modo, dat meestal is bepaald dat overeenkomsten alleen tegen bepaalde einddata en niet tussendoor kunnen worden opgezegd. Is er niets geregeld, dan kan een opdrachtgever in beginsel opzeggen (artikel 7:408 BW), zij het dat een vroegtijdige opzegging wel tot een claim voor nog niet betaald werk kan leiden.


Om een overeenkomst te kunnen ontbinden zal in de regel sprake moeten zijn van een toerekenbare tekortkoming van de leverancier. Het is maar zeer de vraag of een datalek getuigt van een tekortkoming van de leverancier. Daarvoor zal moeten worden gekeken of de leverancier tekort is geschoten in zijn verplichtingen (vrij vertaald: was de beveiliging slechter dan afgesproken?). Daarvoor moet dus terug worden gekeken in de (wettelijk verplicht) gemaakte afspraken over beveiliging.


Ook is de vraag of het datalek toerekenbaar is aan de leverancier; mogelijk komt hem een beroep op overmacht toe.


De uitkomst van deze analyse kan best een zijn dat de leverancier niet tekort is geschoten, ondanks dat er zich een datalek heeft voorgedaan. Dat kan zijn omdat de afspraken in de bewerkersovereenkomst over te nemen beveiligingsmaatregelen niet goed waren uitgewerkt, bijvoorbeeld omdat deze vaag of heel generiek zijn. Het kan dan wel eens lastig zijn aan te tonen dat het datalek laat zien dat sprake was van een tekortkoming.


Het kan ook zijn dat het datalek is veroorzaakt door een heel geavanceerde hack of een bij alle partijen nog onbekende bug in de gebruikte software.


In het eerste geval gaat de leverancier vermoedelijk vrijuit omdat de wet slechts passende beveiligingsmaatregelen vereist (geen perfecte) en in het tweede geval komt de leverancier mogelijk een beroep toe op overmacht.


Dit laat overigens onverlet dat de meldplicht datalekken ook geldt voor datalekken die door extreem slimme hackers of een situatie van overmacht worden veroorzaakt.
Het is dus maar zeer de vraag of u bij een datalek van de overeenkomst met uw leverancier af kunt.


Ad 3. Kunt u de schade op de leverancier verhalen?
Over deze vraag heb ik al eens eerder geblogd. Ik verwijs graag naar die eerdere blog.

Conclusie
Het is zaak na een datalek bij een leverancier kritisch te evalueren of u bij die leverancier nog wel aan het goede adres bent. Mogelijk dat u wettelijk verplicht bent om afscheid van die leverancier te nemen. Als de contracten daar niet in voorzien, is het echter maar zeer de vraag of dat afscheid nemen eenvoudig mogelijk zal zijn. Een reden te meer dus om het maken van afspraken over privacybescherming niet lichtvaardig te zien. Werk goed uit wat u van uw leverancier verwacht, anders heeft u op termijn mogelijk een probleem.

Van onze partners

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Judith Nuijens (uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail judith@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer