Na de eerdere brief van minister Dekker aan de Tweede kamer van 1 april 2019, waarin de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) werden geëvalueerd, heeft de Minister de Tweede Kamer eind oktober 2019 geïnformeerd over de vervolgstappen. Zie ook ons eerdere artikel hierover.
Voornemens tot wetswijzigingen
Minister Dekker merkt op dat er een aantal wetswijzigingen worden voorbereid, zoals een oplossing voor de problematiek rondom verwerking van persoonsgegevens waarvoor een (explicietere) grondslag momenteel ontbreekt. Hiervoor kunt u denken aan accountants die bijzondere persoonsgegevens dienen te verwerken ter uitvoering van hun wettelijke controletaken of het gebruik van vingerafdrukken ter identificatie binnen ondernemingen. Door onduidelijkheid hieromtrent heeft bijvoorbeeld HEMA zich afgelopen jaar (wellicht onnodig) genoodzaakt gevoeld haar interne bedrijfsvoering te wijzigen.
Praktische oplossingen voor knelpunten
Daarnaast merkt minister Dekker in zijn berichtgeving op dat er ook een aantal knelpunten zijn die mogelijk via een andere weg dan de wet kunnen worden opgelost. Hiertoe is nader verkennend overleg met betrokken partijen nodig, aldus de Minister.
Minister Dekker doelt hiermee onder andere op de gevolgen van de UAVG en AVG op de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2018 (ARBIT-2018). Deze voorwaarden worden door overheidsinstanties gebruikt bij IT-overeenkomsten. Deze voorwaarden zijn vriendelijk opgesteld voor de overheidsinstanties. Zo is bijvoorbeeld de aansprakelijkheid voor de schade door (U)AVG-schendingen (zoals AVG-boetes in) niet gelimiteerd. Dit baart de IT-leveranciers (terecht) zorgen.
Knelpunt doorleggen aansprakelijkheid (ARB)IT-overeenkomsten
De Rijksoverheid neemt het standpunt in dat het recht op bescherming van persoonsgegevens een grondrecht is en de prikkel om schending hiervan te voorkomen, zo groot mogelijk moet zijn. Bovendien zou een dergelijke aansprakelijkheid als gevolg van AVG-schending volgens de Rijksoverheid alleen gelden als de IT-leverancier toerekenbaar tekortschiet in de nakoming van de IT-overeenkomst en de daaraan verbonden verwerkersovereenkomst. Dit zou volgens Brancheverenigingen onvoldoende blijken uit de tekst van de huidige ARBIT-voorwaarden.
De Rijksoverheid vond een wijziging van de voorwaarden naar aanleiding van de door de Branchevereniging geuite zorgen niet nodig. Zij heeft dan ook enkel de toelichting van de ARBIT-voorwaarden gewijzigd. De toegevoegde waarde van een dergelijke verduidelijking zien wij ook niet direct, omdat het recht op schadevergoeding, indien er sprake is van ‘een toerekenbare tekortkoming’, direct voortvloeit uit de wet (namelijk artikel 6:74 van het Burgerlijk Wetboek).
Daarnaast ligt er nog het vraagstuk, wat als de Autoriteit Persoonsgegevens (AP) zowel de verwerkingsverantwoordelijke als de verwerker beboet? Bestaat er dan een goede rechtvaardiging voor het doorbelasten van boetes? Immers, iedere partij is ten aanzien van zijn of haar aandeel van de schending beboet.
De zorgen ten aanzien van het doorbelasten van schade als gevolg van AVG-schendingen blijven bij IT-leveranciers bestaan. Hierover zal dan ook nader overleg tussen partijen gevoerd moeten worden. Een oplossing voor voornoemde problematiek blijft vooralsnog verschuldigd.
Onderhandelen over verdeling aansprakelijkheid
Desalniettemin adviseren wij bij het sluiten van een IT-overeenkomst en een eventueel daarbij verplicht te sluiten verwerkersovereenkomst, advies in te winnen ten aanzien van de verdeling van aansprakelijkheid; óók indien de ARBIT-voorwaarden van toepassing zijn. De ARBIT voorwaarden zijn geen bindende voorwaarden. Hoewel dit vanuit de overheid niet gewenst is, is afwijking mogelijk. Afhankelijk van uw onderhandelingspositie zou een betere verhouding ten aanzien van de aansprakelijkheid overeengekomen kunnen worden.
Advies over IT-overeenkomst en/of verwerkersovereenkomsten? Neem contact met ons op.