De Algemene Verordening Gegevensbescherming en aansprakelijkheid
11 mei 2018Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. De AVG is een hot item en veel ondernemers en organisaties zijn zich ervan bewust dat er op privacy gebied dingen gaan veranderen. Wanneer niet wordt voldaan aan de regels in de AVG kan dat leiden tot hoge boetes. In het ergste geval kan de Autoriteit Persoonsgegevens een boete opleggen die kan oplopen tot maar liefst € 20.000.000,-. Alle reden om aan de AVG te voldoen want op zo’n hoge boete zit niemand te wachten. Maar er is ook nog een ander risico, het risico aansprakelijk te zijn voor schade van derden door het handelen in strijd met de AVG.
In artikel 82 van de AVG is het volgende opgenomen: “Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijken of de verwerker schadevergoeding te ontvangen voor de geleden schade.”
Dus lijdt iemand schade doordat een onderneming of instantie of een voor de gegevensverwerking ingeschakelde derde – ook wel de “verwerkingsverantwoordelijk” en de “verwerker” genoemd – in strijd handelt met de AVG, dan zijn deze verwerkingsverantwoordelijke en/of verwerker aansprakelijk voor de door die inbreuk ontstane schade.
Uitsluiting van aansprakelijkheid mogelijk?
Is het mogelijk deze aansprakelijkheid in bijvoorbeeld algemene voorwaarden of een overeenkomst uit te sluiten? Nee dat kan niet. Dit zou namelijk afbreuk doen aan de werking van de AVG. De AVG is van dwingend recht en het uitsluiten van aansprakelijkheid is niet toegestaan.
Wat is het risico?
Wat is het concrete risico met betrekking tot deze aansprakelijkheid? Zoals uit artikel 82 AVG is af te leiden, bestaat recht op vergoeding van “materiële” en “immateriële” schade. De risico’s worden duidelijker als meer wordt ingezoomd op deze twee vormen van schade.
Materiële schade
zijn gekomen als gevolg van een datalek. Een ander sprekend voorbeeld, is de situatie waarin producten op iemands naam besteld worden, doordat de daarvoor benodigde gegevens eveneens in verkeerde handen terecht zijn gekomen. In deze situaties is het nadeel direct voelbaar. Het saldo van de bankrekening neemt af en er wordt een factuur gepresenteerd voor bestelde producten die nooit zijn ontvangen.
Als zo’n situatie zich voordoet en in strijd met de AVG is gehandeld, is het duidelijk dat de schade vergoed dient te worden. Maar vaak doen zulke overduidelijke situaties zich niet voor. Het ligt vaak gecompliceerder. Wanneer persoonsgegevens op straat komen te liggen, zal dat meestal niet direct tot concrete schade lijden. Meestal zal het nadeel van degene om wiens persoonsgegevens het gaan veel meer bestaan uit een unheimisch gevoel over de vraag wat er met zijn gegevens gebeurt en in wiens handen deze gegevens terecht zijn gekomen. Met name als het hele persoonlijke gegevens zijn, zoals bijvoorbeeld medische gegevens. Van concrete schade, althans conform onze nationale normen, is dan geen sprake.
Immateriële schade
Kan er dan in zo’n situatie sprake zijn van de in artikel 82 AVG genoemde “immateriële schade”? In art. 6: 106 van het Nederlandse Burgerlijk Wetboek is voor de beantwoording van de vraag wat immateriële schade is een regeling opgenomen. Uitgangspunt daarbij is dat een vergoeding voor immateriële schade niet snel wordt toegekend. Enkel een onprettig gevoel over de onzekerheid wat er met de persoonsgegevens gebeurt, is daarvoor onvoldoende.
Europese norm
Zoals gezegd, zal het nadeel voor degene om wiens persoonsgegevens het gaat bij een inbreuk op de AVG dus meestal bestaan uit een gevoel van onzekerheid over de vraag wat er met zijn gegevens zal en kan gebeuren. Omdat er op grond van het Nederlandse aansprakelijkheidsrecht bij enkel zo’n gevoel in beginsel geen recht op schadevergoeding bestaat, is het risico van aansprakelijkheid op grond van onze Nederlandse wetgeving niet groot. De schade zal meestal niet concreet zijn. Een schadevergoedingsvordering zal dus niet snel worden toegewezen.
De vraag is of de Algemene Verordening Gegevensbescherming op dat punt zijn doel voorbij schiet. In art. 82 AVG staat namelijk duidelijk dat er recht bestaat op schadevergoeding. Er wordt daarbij expliciet gesproken over “immateriële schade”.
Contextafhankelijke interpretatie
Over deze vraag is al veel gesproken en geschreven.. Er wordt daarbij verdedigd dat nationale wetgeving in aansprakelijkheidsprocedures in de context van de AVG geïnterpreteerd dient te worden. Zo zou bijvoorbeeld ons nationale begrip van immateriële schadevergoeding in het licht van de AVG ruimer geïnterpreteerd dienen te worden. In de tekst van de AVG is daarvoor ook een aanknopingspunt te vinden. In overweging 146 van de considerans van de AVG staat het volgende:
“(…) Het begrip „schade” moet ruim worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. (..)”
Een ruimere definitie van het begrip schade heeft het Hof van Justitie van de Europese Unie ook al eens geformuleerd in een geschil over het verlies van vakantiegenot. Volgens ons nationale recht zal “het gemis aan vakantiegenot” geen materiele of immateriële schade zijn. Toch zal het gemis aan vakantiegenot op grond van de rechtspraak van het Hof van Justitie als schade gecompenseerd moeten worden. De nationale rechter zal zijn nationale normen dus ruimer toe moeten passen.
Waarom zou dat niet kunnen gelden voor de situatie dat inbreuk wordt gemaakt op de AVG? Waarom kan het nare gevoel dat iemand heeft doordat hij of zij niet weet wat er met zijn persoonsgegevens gebeurt niet eveneens onder ons Nationale begrip van immateriële schadevergoeding worden gebracht? Het zou in mijn optiek wel recht doen aan het doel dat de Europese wetgever met de AVG voor ogen heeft.
De tijd zal het leren
De vraag of de nationale regelgeving van een EU-lidstaat in het licht van de Algemene Verordening Gegevensbescherming toegepast dient te worden, zal uiteindelijke door het Hof van Justitie beoordeeld dienen te worden. Ik zie het niet zo snel gebeuren dat een individu hiervoor een procedure zal opstarten. Gelukkig biedt artikel 80 AVG de mogelijkheid ook een collectieve actie op poten te zetten. Bij een grote inbreuk op de AVG met een datalek van veel gegevens tot gevolg, is het goed voorstelbaar dat de benadeelden gezamenlijk optrekken en toch een procedure starten bij het Hof van Justitie.
Conclusie
Concrete schade wordt ook in Nederland vergoed, maar meestal zal het nadeel van een inbreuk op de AVG bestaan uit het onzekere en onprettige gevoel over de vraag wat er met de soms zeer gevoelige persoonsgegevens in de toekomst mogelijk gebeurt. Op dit moment bestaat er waarschijnlijk voor enkel dat nare gevoel geen recht op schadevergoeding. Hopelijk schept het Hof van Justitie in de toekomst duidelijkheid over de vraag of de AVG dit kan veranderen.
Voor de goede orde: laat u door het voorgaande uiteraard niet weerhouden om voor 25 mei a.s. aan de eisen in de Algemene Verordening Gegevensbescherming te voldoen. U riskeert hoge boetes als blijkt dat uw onderneming of instantie niet aan de AVG voldoet. Daarnaast is er ook een ander risico, het risico op imagoschade. Het zal de naam van uw onderneming of instantie zeker geen goed doen als blijkt dat er niet zorgvuldig met persoonsgegeven wordt omgegaan. Een goede reputatie komt te voet, maar gaat te paard!
Veelgestelde vragen
De 10 beste tips bij het opstellen van IT-contract
Een goed IT-contract is van groot belang. Maar hoe stel je een goed contract op en hoe controleer je of een aangeboden contract aan de eisen voldoet? Hier vind je 10 tips voor het opstellen en controleren van IT-contracten van onze experts in Groningen, Zwolle en Leeuwarden.
1. Een IT-contract, maar met wie?
Controleer of de juiste partij in de overeenkomst is opgenomen. Dit lijkt voor de hand te liggen maar toch gaat dit vaak fout. Zeker als de andere partij een groep van meerdere rechtspersonen is, liggen fouten op de loer. Heeft u de juiste entiteit opgenomen? Controleer dan ook wie er bevoegd is namens deze partij overeenkomsten aan te gaan. Deze informatie vindt u in het handelsregister van de Kamer van Koophandel.
2. Hoe krijg ik exact de door mij gewenste software?
Eén van de belangrijkste onderwerpen van de overeenkomst is de dienst of het product dat wordt geleverd. Omschrijf daarom goed wat partijen hiervan mogen verwachten. Hoe uitgebreider, hoe beter. Bent u afnemer? Neem dan ook op welke verwachtingen (bijvoorbeeld gebruikservaringen) u heeft bij de verschillende onderdelen. Als er in de uitvoering discussie ontstaat is vaak juist deze beschrijving van cruciaal belang.
3. Hoe krijg ik de diensten op tijd geleverd?
Software is nooit af en wordt altijd doorontwikkeld. Een leverancier neemt in de overeenkomst vaak een stappenplan op van nieuwe features. Een zogeheten ‘roadmap’. Maak hier concrete afspraken over: welke functies moet de software hebben, wanneer komen deze beschikbaar en wat doen we als de roadmap niet gerealiseerd wordt? Zo voorkom je dat een roadmap enkel bij beloftes blijft.
4. Voldoe aan uw verplichting uit de AVG
Worden er persoonsgegevens verwerkt? Bij veel IT-contracten is sprake van verwerking van persoonsgegevens. In dat geval is het van belang te bepalen wie verwerker is en wie verwerkingsverantwoordelijke. Let op, het kan ook zo zijn dat er sprake is van twee verwerkingsverantwoordelijken.
5. Hoe verkrijg ik het auteursrecht op de software?
Op software (de broncode) komt altijd automatisch een auteursrecht te rusten. Schrijft een extern bedrijf de software voor u, dan verkrijgt zij in beginsel het auteursrecht. De auteursrechthebbende bepaalt wie de software mag gebruiken en wie niet. Zorg er dus voor dat u als opdrachtgever de auteursrechten krijgt. Lukt dat niet, kom dan in ieder geval een exclusief gebruiksrecht overeen En leg dit vast in de overeenkomst.
6. Escrow, waarom is het noodzakelijk?
Als u diensten afneemt, bijvoorbeeld SaaS (Software as a Service) dan is het verstandig af te spreken hoe je ervoor zorgt dat de dienst beschikbaar blijft als de leverancier failliet gaat of anderszins niet meer kan leveren. Dit kan door middel van een escrow regeling. Je spreekt dan bijvoorbeeld af dat jij de broncode ontvangt als de leverancier failliet gaat. Zolang geen van beide partijen failliet is wordt de broncode door een derde partij bewaard en kan de afnemer er niet bij. Met de - na faillissement vrijgegeven - broncode kunt u zelf de software beheren en aanpassen. Zo kunt u de beschikbaarheid van de software voor langere tijd veiligstellen.
7. Hoeveel downtime is toegestaan?
Downtime (de tijd dat een netwerk of een SaaS-product niet beschikbaar is) kan grote gevolgen hebben. Uw bedrijf kan erdoor stil komen te liggen. Controleer daarom goed wat u beloofd wordt. 99% uptime kan veel lijken, maar is dit 99% van alle uren in het jaar? Dan betekent dit dat een downtime van 87 uur geoorloofd is. Dit zijn twee volle werkweken per jaar. Let hier dus goed op en spreek af wat voor u aanvaardbaar is.
8. Wat als ik of mijn contractspartner niet betaal(t)?
Als de afnemer/gebruiker van de software de vergoeding voor de licentie niet betaalt kan u denken dat het gebruik van- of de toegang tot de software tijdelijk kan worden beëindigd. Maar als daar in de overeenkomst niets over is afgesproken, is dat niet zonder meer het geval. Leg dus vast wat de te volgen stappen zijn in het geval van wanbetaling.
9. Wanneer kan ik de overeenkomst opzeggen?
Bij het aangaan van een overeenkomst wordt meestal niet nagedacht over het einde van de overeenkomst. Wie kan er ontbinden, en onder welke voorwaarden? Leg dit goed vast en bepaal ook een redelijke opzegtermijn zodat u genoeg tijd heeft om over te stappen naar een nieuwe aanbieder, ook wanneer de wederpartij opzegt.
10. Hoe bepaal ik een exitstrategie?
Het is van groot belang om bij het begin van de samenwerking een goede exitstrategie te bepalen. Als de overeenkomst eindigt, wat gebeurt er dan bijvoorbeeld met de opgeslagen data? En hoe lang biedt de IT-leverancier de IT-dienst nog aan? Dit is van belang omdat de ander tijd nodig heeft om over te stappen. Zorg dat je alle vragen die je bij een exit hebt al in de overeenkomst beantwoordt. Dan kom je niet voor verrassingen te staan.
Een IT-contract is altijd maatwerk. Met deze 10 tips komt u al een heel eind. Maar wilt u zeker weten of een contract voor u passend en toekomstbestending is, laat u dan adviseren. Wij staan u graag met onze kennis en ervaring terzijde.
Gerelateerde actualiteiten
Op de hoogte blijven?
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Bestand downloaden?
Download het bestand.