Harde Brexit kan bedrijven die persoonsgegevens in Groot Brittannië laten verwerken in problemen brengen

Organisaties die gebruik maken van een helpdesk in het Verenigd Koninkrijk, of daar persoonsgegevens laten verwerken, doen er verstandig aan om naar een alternatieve oplossing binnen de EU te zoeken.

In geval van een harde Brexit wordt Groot Brittannie door de Autoriteit Persoonsgegevens beschouwd als een niet-EU-land waar zonder verdrag geen gegevens mogen worden verwerkt. De AP zou boetes uit kunnen delen als dat na de Brexit nog wel gebeurt, waarschuwt Branchevereniging Nederland ICT.

Als er een harde Brexit komt, vervallen alle huidige afspraken over de opslag van persoonsgegevens in Groot-Brittannië. Het land heeft dan dezelfde status als een niet-EU land waar geen bijzondere afspraken mee zijn gemaakt.

Opslag mag dan alleen nog als zo’n land een vergelijkbaar beschermingsniveau voor de opslag van persoonsgegevens biedt als een EU-land én als er ook aparte afspraken mee zijn gemaakt.

Die situatie verandert pas als er aparte afspraken gemaakt zijn met Groot-Brittannië, zoals nu bijvoorbeeld ook het geval is met de Verenigde Staten en Canada. Daar gaat echter de tijd overheen.

Branchevereniging Nederland ICT pleit voor een overgangsperiode van 15 maanden. Organisaties hebben dan de tijd om te kijken welke maatregelen het beste zijn als ze persoonsgegevens laten verwerken in het Verenigd Koninkrijk.

ICT Nederland verwijt overheid misbruik te maken van AVG. “Disproportionele eisen”

Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.

In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.

Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen

In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.

In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’

“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).

100 procent veilig bestaat niet

Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”

Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.

De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar
de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.

Aansprakelijkheid komt niet voor in AVG

“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.”

De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “
We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”

Er is geen juridische reden voor verandering van aansprakelijkheidseisen

De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.

“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”

Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.

Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt

“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”

De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.

Inkoopvoorwaarden aangepast

De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.

Kritische vragen stellen aan overheid

ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”

PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?