GAST: Cees Zwinkels, overheid & ICT jurist
Overheden en bedrijven zijn druk bezig met het inrichten van de meldplicht datalekken. Zoals bekend is het nieuwe artikel 34a Wbp van toepassing vanaf 1 januari 2016. Daarnaast is art 14 Wbp aangepast. De verantwoordelijke (lees de meldingplichtige overheidsinstantie of onderneming) moet erop toezien dat zijn bewerker (lees de ICT-dienstverlener) de verplichtingen nakomt die op de verantwoordelijke rusten met betrekking tot het doen van een melding over een inbreuk op de beveiliging, bedoeld in artikel 13 Wbp.
De verantwoordelijke zal zijn zorgplicht ex artikel 14 lid 3 sub c Wbp, zoals hierboven beschreven, handen en voeten moeten geven. Is hij in staat binnen de af te sluiten bewerkersovereenkomst met zijn ICT-leverancier toerekenbare tekortkomingen op grond van artikel 6:74 BW te formuleren? Dit, om de aansprakelijkheid te kunnen vaststellen in de situaties dat het mis gaat met het afhandelen van een datalek? Ik denk het niet om de volgende redenen. Allereerst kun je tekortkomingen niet of nauwelijks formuleren in de betekenis van niet behaalde resultaten door de ICT-leverancier. Een voorbeeld ter illustratie. De Autoriteit Persoonsgegevens hanteert een termijn van 72 uur in haar beleidsregels van 2015. Binnen deze termijn moet in beginsel de melding van een datalek aan de AP zijn gedaan. De vraag is wanneer genoemde termijn gaat lopen. Is het startpunt de binnenkomst van het beveiligingsincident? Of gaat de termijn lopen vanaf het moment dat de afdeling Juridische Zaken heeft geconstateerd dat het om een incident ex artikel 34a lid 1 Wbp gaat? Kortom, de open normen in artikel 34a Wbp in combinatie met de uitlegregels van de AP geven aanleiding tot vele interpretatievragen over wat een tekortkoming moet zijn in de relatie tussen verantwoordelijke en zijn bewerker.
En als het al zou lukken om tekortkomingen te definiëren in de bewerkersovereenkomst, dan dient zich de tweede vraag aan, namelijk wanneer is een tekortkoming toerekenbaar aan de ICT-leverancier. De praktijk is reeds dat de contractspartijen in de situatie van een beveiligingsincident afzonderlijk maar ook gezamenlijk activiteiten verrichten onder hoge druk en dus in een hoog tempo. Daarbij is het moeilijk achteraf te constateren wie welke fout heeft gemaakt.
Mijn constatering is dat het formuleren van voorschriften in de bewerkersovereenkomst niet of nauwelijks zal bijdragen aan het kunnen toepassen van de leer van de toekenbare tekortkomingen. Ik ben voorstander van de volgende aanpak. Uitgangspunt is dat de professionele ICT-leverancier een waarschuwingsplicht en een informatieplicht heeft richting zijn verantwoordelijke, als een beveiligingsincident binnenkomt. Deze twee zorgplichten zijn terug te vinden in zowel de AVG als in de jurisprudentie over de uitleg van ICT-contracten.
Daar staat tegenover dat de verantwoordelijke ook een informatieplicht heeft naar zijn ICT-leverancier.
Waar het naar mijn mening om gaat is dat beide contractpartijen een control-plicht naar elkaar toe hebben op basis van de redenering dat zij elkaar moeten kunnen aanspreken op de naleving van een in te richten proces Meldplicht datalekken. Dat betekent op basis van de te onderkennen risico’s afspraken met elkaar maken over de procesdoelstellingen en de bijbehorende procesactiviteiten. Ik heb al het voorbeeld beschreven van hoe de inmiddels beruchte 72-uurstermijn uit te leggen.
Meer hierover in de hierbij opgenomen publicatie, getiteld ‘’ De meldplicht datalekken: De bewerkersovereenkomst’’, opgenomen in Privacy & Informatie, aflevering 2, april 2016, nummer 49.
http://www.solv.nl/files/Publicatie_PI_April_2016.pdf
Cees M.M. Zwinkels (c.m.m.zwinkels@vu.nl; cz.legalprogress@gmail.com)
