Antivirussoftware Kaspersky Labs blijft uit de gratie bij Rijksoverheid

De Nederlandse overheid is er ook bij nader inzien vannovertuigd dat de antivirussoftware van het Russische bedrijf Kaspersky Labs door de Russische overheid misbruikt kan worden voor spionagedoeleinden.

Minister Ferd Grapperhaus (Justitie en Veiligheid) schrijft dinsdag in een brief aan de Tweede Kamer dat het verbod op software van het Russische bedrijf Kaspersky Labs bij de Rijksoverheid om die reden gehandhaafd blijft.

Het Nederlandse kabinet besloot in mei vorig jaar dat het gebruik van Kaspersky-software werd uitgefaseerd.

Kaspersky zei vorig jaar “teleurgesteld” te zijn in het besluit van het kabinet. Het bedrijf diende in maart een schriftelijk heroverwegingsverzoek in. Daarin stond onder meer dat het besluit van de overheid “op onjuiste aannames berust”. Ook zegt Kaspersky aanpassingen te hebben gemaakt “om de integriteit van de antivirussoftware te borgen”.

Maar volgens Grapperhaus is er “geen aanleiding om de voorzorgsmaatregel te heroverwegen”, schrijft hij in de brief aan de Tweede Kamer. “Deze voorzorgsmaatregel is genomen vanwege de mogelijke risico’s voor de nationale veiligheid.”

Microsoft Office ProPlus voldoet volgens minister Grapperhaus nu wel aan eisen AVG

Overheid en bedrijfsleven mogen gewoon met Microsoft Office ProPlus blijven werken. Microsoft heeft zijn softwarepakket aangepast om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Dat heeft minister Ferd Grapperhaus van Justitie en Veiligheid maandag medegedeeld aan de Tweede Kamer.

Het ministerie van Justitie en Veiligheid maakte in 2018 kenbaar zich zorgen te maken om het gebruik van de producten, omdat ambtenaren geen controle hadden over welke diagnostische gegevens van Office ProPlus naar de Verenigde Staten werden verstuurd en daar werden opgeslagen.

Onder Microsoft Office ProPlus vallen meerdere kantoordiensten, zoals tekstverwerker Word, spreadsheetbewerker Excel, presentatiebewerker PowerPoint en e-maildienst Outlook.

Na constatering van de overtreding beloofde Microsoft zijn Office-kantoorsoftware zo aan te passen dat het versturen van de gegevens beperkt kon worden.

De aanpassing geldt voor het gebruik van alle Microsoft Office ProPlus-software die wereldwijd wordt gebruikt, en niet alleen voor licentie die de Nederlandse overheid heeft afgenomen.

De Nederlandse overheid gaat jaarlijks controleren Office ProPlus in lijn is met de AVG.

ICT Nederland verwijt overheid misbruik te maken van AVG. “Disproportionele eisen”

Brancheorganisatie ICT Nederland waarschuwt zijn leden dat de Nederlandse overheid in verband met de Algemene Verordening Gegevensbescherming (AVG) “disproportionele eisen” stelt in nieuwe contracten.

In de nieuwe versie van de algemene voorwaarden legt de overheid standaard de volledige aansprakelijkheid voor privacy bij de leverancier.

Volgens aanbestedingsrecht mag overheid geen disproportionele eisen stellen

In het aanbestedingsrecht geldt dat de overheid geen disproportionele eisen mag stellen aan leveranciers, stelt ICT Nederland. Het eisen van onbeperkte aansprakelijkheid wordt als disproportioneel gezien.

In de door de overheid vastgestelde ‘gids proportionaliteit’ staat hierover: ´De aanbestedende dienst verlangt geen aansprakelijkheid die op geen enkele manier gelimiteerd is.’

“Daarnaast is recent in een vonnis gezegd “… dat ieder computersysteem uiteindelijk kan worden gehackt, zodat [de overheid] ook geen volledig hackfree systeem mocht verwachten” (ECLI:NL:GHARL:2018:7967).

100 procent veilig bestaat niet

Zowel de rechtspraak als de wetgever zijn volgens ICT Nederland het er over eens dat 100% beveiliging niet bestaat en je daarvoor de leverancier dus niet volledig aansprakelijk mag houden. “Waarom is dat dan wel opgenomen in de nieuwe voorwaarden van de overheid?”

Leveranciers moeten nu volgens ICT Nederland garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen.

De overheid verwijst bij de aansprakelijkheidsclausule in nieuwe overeenkomsten volgens ICT Nederland naar
de Algemene Verordening Gegevensbescherming. Maar dat is volgens de vakorganisatie volkomen onterecht.

Aansprakelijkheid komt niet voor in AVG

“Aansprakelijkheid is NIET een van de onderwerpen uit de AVG. En boetes ook niet”, meldt ICT Nederland aan zijn leden. “Toch zien wij de ene na de andere verwerkersovereenkomst langskomen waarin er allerlei aansprakelijkheid voor privacy bij de leverancier wordt neergelegd. Inclusief boetes van de toezichthouder, ook voor privacy schendingen waar de leverancier als verwerker geen enkele invloed op heeft.”

De eisen die de overheid stelt zijn “disproportioneel”, stelt ICT-Nederland. “
We raden leden aan hier op te letten en bij een aanbesteding kritische vragen te stellen over deze clausules.”

Er is geen juridische reden voor verandering van aansprakelijkheidseisen

De verdeling van aansprakelijkheid is iets wat normaal al in de algemene voorwaarden geregeld is. Er is volgens ICT Nederland geen juridische reden waarom die aansprakelijkheid anders zou moeten worden door de AVG.

“Op dit vlak is er niks veranderd ten opzichte van de oude Wbp. Daarnaast gaat het om contractuele risicoverdelingen, waarover partijen in algemene zin afspraken moeten maken, niet om een eis uit de wet.”

Niet alleen de overheid grijpt de AVG overigens aan om de aansprakelijkheid voor verwerkers opeens op te rekken.

Alsof je je fietsenmaker aansprakelijk kunt stellen als je fiets gestolen wordt

“Er worden absolute garanties geëist op de beveiliging en mocht er dan toch een datalek ontstaan, dan wordt de leverancier altijd voor alles aansprakelijk gesteld. Het is alsof ik mijn fietsenmaker aansprakelijk ga stellen voor mijn gestolen fiets, zelfs als ik zijn advies heb opgevolgd om twee sloten te gebruiken. Absolute veiligheid bestaat niet.”

De overheid gebruikt standaard algemene inkoopvoorwaarden van ARBIT, ARVODI en ARIV. Vaak worden die als take-it-or-leave-it voorgeschreven in aanbestedingen. Als je dus zaken wilt doen met de overheid, kom je moeilijk om deze voorwaarden heen.

Inkoopvoorwaarden aangepast

De inkoopvoorwaarden zijn in verband met de AVG aangepast. Kort gezegd komen de aanpassingen op het volgende neer: de leverancier moet nu garanderen dat de beveiligingsmaatregelen volledige bescherming waarborgen. Daarnaast vervallen alle beperkingen van aansprakelijkheid voor verwerkingen van persoonsgegevens, waarbij boetes van de AP gemakshalve als schade gekwalificeerd worden.

Kritische vragen stellen aan overheid

ICT Nederland adviseert leden om bij het afsluiten van nieuwe contracten kritische vragen te stellen over aansprakelijkheidsclausules. “Vraag tenminste om een limitering van aansprakelijkheid binnen de (toch al niet erg proportionele) bestaande clausule over aansprakelijkheid.”

PrivacyNieuws is benieuwd naar reacties van ondernemers die sinds de AVG worden geconfronteerd met opvallende strenge eisen die gesteld worden. Hoe wordt daarmee omgegaan? Welke eisen worden er gesteld? Wat staat er in die contracten?