Let op! Door de Brexit handelt u mogelijk in strijd met de AVG
18 januari 2019Op dit moment is het Verenigd Koninkrijk nog onderdeel van de Europese Unie. Het Europese recht is dan ook van toepassing op de handel met het verenigd Koninkrijk. Dit geldt ook voor de Genereal Data Protection Regulation (GDPR), waar de AVG de Nederlandse vertaling van is.
Onder de AVG is de verwerking en uitwisseling van persoonsgegevens toegestaan met alle landen die onderdeel zijn van de EU of met landen buiten de EU die een “veilige status” hebben gekregen. Op dit moment is het Verenigd Koninkrijk nog een EU land, maar dit kan in geval van een harde Brexit op 29 maart aanstaande van het ene op het andere moment afgelopen zijn. Omdat het Verenigd Koninkrijk op dit moment lid is van de EU heeft zij niet de status van veilig land onder de GDPR, dit heeft zij immers niet nodig. Maar bij een harde Brexit is zij én geen EU lid meer én geen veilig land. Vanaf dat moment is de verwerking van persoonsgegevens in het Verenigd Koninkrijk in strijd met de AVG.
Maar verwerkt u persoonsgegevens in het Verenigd Koninkrijk? Ook als u geen directe uitwisseling van persoonsgegevens met het Verenigd Koninkrijk heeft is die kans groter dan u mogelijk denkt. Werkt u bijvoorbeeld in de cloud, met SaaS (Software as a Service) of heeft u uw data opgeslagen op een externe locatie zoals een datacenter? Dan kan het al snel zo zijn dat deze opslag van data of de verleende support (ook) in het Verenigd Koninkrijk plaats vindt. En opslag van data en support zijn verwerkingshandelingen waarop de AVG van toepassing is.
Wat moet u doen?
Stel allereerst vast of u persoonsgegevens laat verwerken in het Verenigd Koninkrijk. Controleer ook of uw verwerkers mogelijk sub-verwerkers in het Verenigd Koninkrijk inschakelen, want ook daar kunt u verantwoordelijk voor zijn. Vindt er een verwerking onder uw verantwoordelijkheid plaats in het Verenigd Koninkrijk, onderzoek dan of deze verwerking ook buiten het Verenigd Koninkrijk maar binnen de EU kan plaatsvinden. Is dit niet zondermeer mogelijk dan is het in ieder geval zaak alle onderliggende contracten, waaronder verwerkersovereenkomsten, goed te laten controleren en waar nodig aan te passen om zo de risico’s op een boete van de Autoriteit Persoonsgegevens te beperken of geheel uit te sluiten. In de meeste gevallen is dit gelukkig mogelijk. Neem gerust contact met mij op voor deskundig advies.
Veelgestelde vragen
De 10 beste tips bij het opstellen van IT-contract
Een goed IT-contract is van groot belang. Maar hoe stel je een goed contract op en hoe controleer je of een aangeboden contract aan de eisen voldoet? Hier vind je 10 tips voor het opstellen en controleren van IT-contracten van onze experts in Groningen, Zwolle en Leeuwarden.
1. Een IT-contract, maar met wie?
Controleer of de juiste partij in de overeenkomst is opgenomen. Dit lijkt voor de hand te liggen maar toch gaat dit vaak fout. Zeker als de andere partij een groep van meerdere rechtspersonen is, liggen fouten op de loer. Heeft u de juiste entiteit opgenomen? Controleer dan ook wie er bevoegd is namens deze partij overeenkomsten aan te gaan. Deze informatie vindt u in het handelsregister van de Kamer van Koophandel.
2. Hoe krijg ik exact de door mij gewenste software?
Eén van de belangrijkste onderwerpen van de overeenkomst is de dienst of het product dat wordt geleverd. Omschrijf daarom goed wat partijen hiervan mogen verwachten. Hoe uitgebreider, hoe beter. Bent u afnemer? Neem dan ook op welke verwachtingen (bijvoorbeeld gebruikservaringen) u heeft bij de verschillende onderdelen. Als er in de uitvoering discussie ontstaat is vaak juist deze beschrijving van cruciaal belang.
3. Hoe krijg ik de diensten op tijd geleverd?
Software is nooit af en wordt altijd doorontwikkeld. Een leverancier neemt in de overeenkomst vaak een stappenplan op van nieuwe features. Een zogeheten ‘roadmap’. Maak hier concrete afspraken over: welke functies moet de software hebben, wanneer komen deze beschikbaar en wat doen we als de roadmap niet gerealiseerd wordt? Zo voorkom je dat een roadmap enkel bij beloftes blijft.
4. Voldoe aan uw verplichting uit de AVG
Worden er persoonsgegevens verwerkt? Bij veel IT-contracten is sprake van verwerking van persoonsgegevens. In dat geval is het van belang te bepalen wie verwerker is en wie verwerkingsverantwoordelijke. Let op, het kan ook zo zijn dat er sprake is van twee verwerkingsverantwoordelijken.
5. Hoe verkrijg ik het auteursrecht op de software?
Op software (de broncode) komt altijd automatisch een auteursrecht te rusten. Schrijft een extern bedrijf de software voor u, dan verkrijgt zij in beginsel het auteursrecht. De auteursrechthebbende bepaalt wie de software mag gebruiken en wie niet. Zorg er dus voor dat u als opdrachtgever de auteursrechten krijgt. Lukt dat niet, kom dan in ieder geval een exclusief gebruiksrecht overeen En leg dit vast in de overeenkomst.
6. Escrow, waarom is het noodzakelijk?
Als u diensten afneemt, bijvoorbeeld SaaS (Software as a Service) dan is het verstandig af te spreken hoe je ervoor zorgt dat de dienst beschikbaar blijft als de leverancier failliet gaat of anderszins niet meer kan leveren. Dit kan door middel van een escrow regeling. Je spreekt dan bijvoorbeeld af dat jij de broncode ontvangt als de leverancier failliet gaat. Zolang geen van beide partijen failliet is wordt de broncode door een derde partij bewaard en kan de afnemer er niet bij. Met de - na faillissement vrijgegeven - broncode kunt u zelf de software beheren en aanpassen. Zo kunt u de beschikbaarheid van de software voor langere tijd veiligstellen.
7. Hoeveel downtime is toegestaan?
Downtime (de tijd dat een netwerk of een SaaS-product niet beschikbaar is) kan grote gevolgen hebben. Uw bedrijf kan erdoor stil komen te liggen. Controleer daarom goed wat u beloofd wordt. 99% uptime kan veel lijken, maar is dit 99% van alle uren in het jaar? Dan betekent dit dat een downtime van 87 uur geoorloofd is. Dit zijn twee volle werkweken per jaar. Let hier dus goed op en spreek af wat voor u aanvaardbaar is.
8. Wat als ik of mijn contractspartner niet betaal(t)?
Als de afnemer/gebruiker van de software de vergoeding voor de licentie niet betaalt kan u denken dat het gebruik van- of de toegang tot de software tijdelijk kan worden beëindigd. Maar als daar in de overeenkomst niets over is afgesproken, is dat niet zonder meer het geval. Leg dus vast wat de te volgen stappen zijn in het geval van wanbetaling.
9. Wanneer kan ik de overeenkomst opzeggen?
Bij het aangaan van een overeenkomst wordt meestal niet nagedacht over het einde van de overeenkomst. Wie kan er ontbinden, en onder welke voorwaarden? Leg dit goed vast en bepaal ook een redelijke opzegtermijn zodat u genoeg tijd heeft om over te stappen naar een nieuwe aanbieder, ook wanneer de wederpartij opzegt.
10. Hoe bepaal ik een exitstrategie?
Het is van groot belang om bij het begin van de samenwerking een goede exitstrategie te bepalen. Als de overeenkomst eindigt, wat gebeurt er dan bijvoorbeeld met de opgeslagen data? En hoe lang biedt de IT-leverancier de IT-dienst nog aan? Dit is van belang omdat de ander tijd nodig heeft om over te stappen. Zorg dat je alle vragen die je bij een exit hebt al in de overeenkomst beantwoordt. Dan kom je niet voor verrassingen te staan.
Een IT-contract is altijd maatwerk. Met deze 10 tips komt u al een heel eind. Maar wilt u zeker weten of een contract voor u passend en toekomstbestending is, laat u dan adviseren. Wij staan u graag met onze kennis en ervaring terzijde.
Gerelateerde actualiteiten
Op de hoogte blijven?
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Bestand downloaden?
Download het bestand.