Kunt u de schadeposten bij een datalek straks op uw IT-leverancier verhalen?

U heeft er ongetwijfeld over gehoord: de meldplicht datalekken komt er aan per 1 januari 2016 (of beter: de meld- en administratieplicht beveiligingsinbreuken). De ernstigere datalekken/beveiligingsinbreuken moeten straks snel worden gemeld bij het CBP en/of de betrokkene. Dit kan met zeer hoge kosten gepaard gaan.

Onderzoek (laten) doen naar de details van een incident of een publiekscampagne opzetten is immers niet goedkoop. Bovendien bestaat de kans dat u een boete opgelegd krijgt, bijvoorbeeld omdat de melding niet snel genoeg is gedaan, of omdat uit de melding blijkt dat u uw beveiliging niet op orde had. Nu hebben veel organisaties hun IT al lang niet meer (volledig) intern in beheer. Dat roept de vraag op: kunt u bij een beveiligingsinbreuk de daaruit voortvloeiende schadeposten verhalen op uw IT-leverancier? Een korte verkenning.

Tekortkoming van leverancier vereist

Dat brengt ons direct bij de vraag: houdt een beveiligingsinbreuk ook een tekortkoming in?

Dat hoeft niet per se zo te zijn. De vraag is waartoe de leverancier verplicht was. Immers, zonder verplichting geen tekortkoming.

Analyse van afspraken vereist

Er zal (dus) moeten worden gekeken in de contracten naar de verplichtingen die de leverancier op zich heeft genomen. Daarbij geldt grosso modo de volgende tweedeling:

1. als er wel iets staat over de door de leverancier te verzorgen beveiliging(-smaatregelen), dan moet worden getoetst of de leverancier die verplichtingen is nagekomen. Als dat niet het geval is, is in beginsel sprake van een tekortkoming
2. als er niets staat over de door de leverancier te verzorgen beveiliging(-smaatregelen), dan is hoogstwaarschijnlijk de conclusie dat er ook geen sprake is van een tekortkoming. Weliswaar rust op IT-leveranciers een zorgplicht, maar die (algemene) zorgplicht gaat in de regel (doch niet altijd) niet zo ver dat hieruit een hele specifieke verplichting afgeleid kan worden tot het nemen van bepaalde maatregelen (zie bijv. recent nog het arrest van het Gerechtshof Amsterdam inzake Staalbouw)

Het laatste zou anders worden wanneer voor IT-leveranciers in de rechtspraak een bijzondere zorgplicht zou worden aanvaard, zoals die bijvoorbeeld voor banken wel is aanvaard. Vooralsnog verwacht ik dat niet.

Analyse soms best een puzzel

De analyse van de gemaakte afspraken is soms best een puzzel. Vaak moeten meerdere documenten worden vergeleken en met elkaar in verband worden gebracht. Algemene voorwaarden willen hierbij nog wel eens een valkuil zijn.

Veel leveranciers nemen in hun voorwaarden namelijk uitdrukkelijk op dat ze niet gehouden zijn tot beveiliging, of slechts heel beperkt. Zo staat in artikel 7.1 van de Nederland ICT voorwaarden versie 2014 dat de leverancier er niet voor instaat dat de beveiliging onder alle omstandigheden doeltreffend is.

Ook bepaalt artikel 6.2 dat de klant de leverancier moet vrijwaren voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd. Die vrijwaring geldt alleen niet indien de klant bewijst dat de claims van die personen voortvloeien uit een fout van de leverancier. Dergelijke bepalingen nuanceren de verplichting van de leverancier dus al behoorlijk.

Niet ieder lek is ook een tekortkoming

Zelfs als er wel heel concrete afspraken zijn gemaakt over beveiliging, is het nog maar de vraag of er bij een datalek sprake is van een tekortkoming van de leverancier. Het kan immers best zijn dat de gemaakte afspraken prima zijn uitgevoerd, maar dat er toch een datalek heeft plaatsgevonden. De gemaakte afspraken kunnen bijvoorbeeld te licht zijn gebleken (bijvoorbeeld ingehaald door de tijd, of nooit actueel geweest). Het kan ook zijn dat uw organisatie slachtoffer is van een zeer geraffineerde hack. In beide gevallen is de leverancier vermoedelijk niets te verwijten. Dat de gegevens feitelijk wel op straat liggen, doet daar niets aan af.

Aansprakelijkheid bovendien veelal (fors) beperkt

In bepaalde gevallen zal de conclusie echter zijn dat de leverancier wel degelijk een fout heeft gemaakt omdat hij een bepaalde concrete verplichting niet is nagekomen. Uitgangspunt van de wet is dan dat de volledige schade door de leverancier moet worden vergoed. De leverancier is dus bij een tekortkoming volgens de wet onbeperkt aansprakelijk. Daarbij moeten wel enkele algemene kanttekeningen in acht worden genomen, zoals dat schade die in een te ver verwijderd (causaal) verband staat buiten beschouwing wordt gelaten en dat wordt gecorrigeerd voor behaald voordeel en voor eigen schuld.

In de praktijk wordt echter bijna altijd van dit wettelijke uitgangspunt afgeweken. Bijna alle leveranciers hebben in de contracten (veelal forse) beperkingen van aansprakelijkheid opgenomen. In een zakelijke context zijn dergelijke contractsbepalingen in beginsel gewoon geldig. Dit betekent dat de schade die wordt geleden bij een beveiligingsinbreuk, alleen maar binnen de contractuele kaders (met beperking van aansprakelijkheid) kan worden verhaald.

Zo sluiten de ‘Nederland ICT-voorwaarden versie 2014’ de aansprakelijkheid voor ‘verminking, vernietiging of verlies van gegevens of documenten’ volledig uit. Verder wordt alleen aansprakelijkheid aanvaard voor directe schade (niet gedefinieerd) en komt schade van indirecte aard niet voor vergoeding in aanmerking.

Onder de uitgesloten posten van indirecte aard vallen in ieder geval schade voor ‘bedrijfsstagnatie’ en ‘schade als gevolg van aanspraken van afnemer’. Onderaan de streep zal er onder de Nederland ICT voorwaarden vermoedelijk maar weinig schade voor vergoeding in aanmerking komen bij een aan de leverancier toe te rekenen beveiligingsinbreuk.

Dure les bij onvoldoende aandacht voor datalekken in contracten

Onvoldoende aandacht voor (de risico’s van) datalekken in contracten kan uw organisatie dus duur komen te staan. Wat u niet afspreekt over beveiliging met uw leverancier, kunt u ook niet aan hem verwijten. En als u de leverancier al iets kunt verwijten, is nog maar de vraag of u dankzij de beperking van aansprakelijkheid iets van uw schade vergoed krijgt.

Het kan dus maar zo zijn dat de rekening voor een beveiligingsincident (bijna) volledig bij uzelf komt te liggen. Dat kan wel eens een (hele) dure les worden voor uw organisatie.

Kans op boetes

Sterker nog, het is niet ondenkbaar dat u bovenop de schade die u leidt bij een beveiligingsinbreuk, ook een boete opgelegd krijgt van de Autoriteit Persoonsgegevens (de nieuwe naam van het College Bescberming Persoonsgegevens).

Een beveiligingsinbreuk kan er immers van getuigen dat:

• gegevens voor een doeleinde zijn verwerkt dat niet met het verzameldoel is te verenigen (artikel 9 Wbp);
• gegevens langer zijn bewaard dan noodzakelijk (artikel 10 Wbp);
• onvoldoende maatregelen zijn getroffen om de relevantie van gegevens te borgen (artikel 11 lid 1 Wbp);
• onvoldoende maatregelen zijn getroffen om de juistheidvan gegevens te borgen (artikel 11 lid 1 Wbp);
• niet geborgd is dat de personen die persoonsgegevens verwerken tot geheimhouding verplicht zijn (artikel 12 jo. artikel 15 Wbp);
• onvoldoende passende beveiligingsmaatregelen getroffen zijn (artikel 13 Wbp);
• persoonsgegevens voor doeleinden zijn verwerkt waarover de betrokkene niet is geinformeerd (artikel 33/34 Wbp).

Op grond van het per 1 januari 2016 geldende artikel 66 Wbp staat op iedere overtreding van o.m. deze artikelen, een boete van maximaal 810.000 euro of tien procent van de jaaromzet.

Voor die boete is wel vereist dat de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Wat precies onder die opzet en ernstig verwijtbare nalatigheid moet worden verstaan is vooralsnog niet geheel duidelijk.

Uit de wetgeschiedenis blijkt wel dat de opzet niet gerecht hoeft te zijn geweest op overtreding van de wet. Dat betekent dat het verweer ‘Ik had niet de bedoeling de Wbp te overtreden’ op zichzelf in ieder geval niet voldoende is om onder een boete uit te komen. Hoe hoog (of laag) de lat komt te liggen om wel direct een boete opgelegd te kunnen krijgen, blijkt hopelijk uit de richtsnoeren van de AP die dit najaar verwacht worden.

De Autoriteit Persoonsgegevens zou zich straks zelfs op het standpunt kunnen gaan stellen dat wie geen of onvoldoende afspraken maakt met zijn leverancier inzake de beveiliging van persoonsgegevens, vanwege dat gebrek aan (goede) afspraken ook een boete verdient.

Weliswaar staat op het niet sluiten van een (adequate) bewerkersovereenkomst straks geen boete (artikel 14 wordt niet genoemd in het per 1 januari 2016 geldende artikel 66 Wbp). Dat neemt echter niet weg dat de Autoriteit Persoonsgegevens wel zou kunnen stellen dat de slechte afspraken er toe leiden dat niet is geborgd dat persoonsgegevens ‘op behoorlijke en zorgvuldige wijze verwerkt’ worden als bedoeld in artikel 6 Wbp, noch dat deze goed beveiligd zijn als bedoeld in artikel 13 Wbp.

Kritisch inkopen vereist

Het voorgaande bevestigt eens te meer dat het van belang is bij de inkoop van IT-dienstverlening kritisch te kijken naar:

1. de risico’s die zich kunnen voordoen; en
2. in hoeverre de dienstverlening en de toepasselijke contractuele voorwaarden aansluiten op die risico’s.

De ervaring leert dat hier in de praktijk lang niet altijd (voldoende) aandacht voor is. Een mismatch kan uw organisatie duur komen te staan. Onze eenvoudige checklist IT-contracten kan u mogelijk alvast goed op weg helpen.

Slotopmerking

Uit het voorgaande volgt dat de komende meld- en administratieplicht beveiligingsinbreuken bredere consequentes heeft dan alleen de meld- en administratieplicht als zodanig. Om goed aan deze nieuwe verplichtingen te kunnen voldoen, zonder dat het de organisatie (heel) veel pijn kost, is kritisch inkopen vereist. Het zal interessant zijn om te zien of dat ook gaat gebeuren en zo ja, in hoeverre leveranciers nog lang weg zullen komen met (de thans gebruikelijke) beperkingen van aansprakelijkheid die er in feite op neer komen dat schade niet tot nauwelijks op leveranciers is te verhalen.

Verder is van het belang in de organisatie ook andere maatregelen te treffen om de risico’s te dempen, zoals het sluiten van adequate verzekeringen. Mocht dat niet gebeuren, dan zou het me niets verbazen wanneer we over enige tijd zaken voorbij gaan zien komen over bestuurdersaansprakelijkheid vanwege het onvoldoende borgen van privacyrisico’s.

Vanuit juridisch perspectief interessante ontwikkelingen. Ik ben ook erg benieuwd hoe de rechtspraak daarover zou oordelen. Ik denk echter dat er maar weinig (bestuurders van) organisaties zijn die deze leerstukken graag verder helpen ontwikkelen in de rechtspraak en graag hun naam terug zien komen in de krantenkoppen en op rechtspraak.nl.

*) Dit artikel is tevens gepubliceerd op de website van Dirkzwager IT.