NL Digital (voorheen Nederland ICT) heeft nieuwe algemene voorwaarden gelanceerd. NL Digital is de brancheorganisatie voor ICT-leveranciers. Voor wie het niet meer kan bijhouden: Eerst hadden we de Fenit-voorwaarden(2003), vervolgens de ICTOffice voorwaarden (2009), daarna de Nederland ICT voorwaarden (2014) en nu dus de NL Digital voorwaarden. Het is steeds dezelfde organisatie die de voorwaarden ontwerpt, alleen de naam is telkens anders. Het is me niet helemaal duidelijk of de naamsverandering tot gevolg heeft dat ze ook de voorwaarden veranderen of andersom.

Zoals gebruikelijk worden in de algemene voorwaarden vooral de belangen van de leverancier behartigd. Dat betekent dat je als afnemer extra alert moet zijn en zo nodig andere afspraken moet maken met je leverancier.

Volgens NL Digital zijn dit de belangrijkste veranderingen:

  • Er zijn standaardclausules voor de verwerking van persoonsgegevens opgenomen;
  • Er is meer aandacht voor beveiliging;
  • Het onderdeel over agile werken is uitgebreid;
  • Clausule over SaaS-diensten is uitgebreid.

In deze en een volgende blog bespreek ik de belangrijkste veranderingen in de algemene voorwaarden van NL Digital en de aandachtspunten. Deze keer de standaardclausules voor verwerking van persoonsgegevens.

Verwerking persoonsgegevens

NL Digital heeft een poging gedaan om een verwerkersovereenkomst op te nemen in de algemene voorwaarden. Dat er behoefte is aan een standaard is begrijpelijk. Een van de gevolgen van de invoering van de AVG is geweest dat iedereen te pas en te onpas ging strooien met verwerkersovereenkomsten. Zeker als verwerker heb je geen tijd en geld om iedere verwerkersovereenkomst van je klant te beoordelen.

In hoofdstuk 2 van de voorwaarden zijn de ‘Standaardclausules voor verwerkingen’ opgenomen. De clausules vormen samen met praktische afspraken over verwerkingen in de overeenkomst of een aparte bijlage een verwerkersovereenkomst als bedoeld in de AVG. Een paar aandachtspunten.

Eigen verantwoordelijkheid klant

Op basis van de wet heeft een leverancier van ICT een zorgplicht. Kenmerkend voor de algemene voorwaarden van NL Digital is dat die zorgplicht zoveel mogelijk wordt ‘weggeschreven’. Dat wordt de verantwoordelijkheid van de klant.

Artikel 23.4 stelt het volgende:

“Leverancier geeft uitvoering aan de AVG zoals neergelegd in dit hoofdstuk en in de overeenkomst. Het is aan klant om op basis van deze informatie te beoordelen of leverancier afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen, opdat de verwerking van de vereisten van de AVG voldoet en de bescherming van de rechten van betrokkenen voldoende zijn gewaarborgd.”

Laten we vooropstellen dat de verwerkersverantwoordelijke verantwoordelijk is dat er op de juiste manier met persoonsgegevens wordt omgegaan. Meestal heeft hij daar echter niet veel kennis van, zijn core-business is immers een andere. Wat doe je als je zelf ergens geen verstand van hebt? Juist, je schakelt iemand in die er wel verstand van heeft. In dit geval de verwerker. Alleen die legt het balletje door middel van zijn algemene voorwaarden gewoon weer bij je terug. Niet heel chique.

Alternatief

De kans dat je een dergelijke bepaling uit de algemene voorwaarden verwijderd krijgt is klein. Wel kun je in de overeenkomst laten vastleggen welke ‘passende technische en organisatorische maatregelen’ zijn genomen én dat beide partijen deze voldoende achten. Daarmee wordt het weer een gedeelde verantwoordelijkheid

De plek om dit te doen is de overeenkomst. Richt de hoofdovereenkomst zodanig in, dat het evenwicht tussen de verantwoordelijkheid van de leverancier en de verantwoordelijkheid van de klant wordt hersteld.

Uitsluiting schadevergoeding

Een andere opvallende bepaling is artikel 23 lid 6. De regelt dat een klant (verwerkingsverantwoordelijke) een boete van de Autoriteit Persoonsgegevens (AP) niet op de leverancier (verwerker) mag verhalen. In basis geldt, wie de boete krijgt, moet hem ook betalen. Maar wat nu als je leverancier een grove fout maakt. Ik noem maar iets: hij verzuimt om een datalek te melden. Omdat de leverancier het datalek niet meldt aan jou, meldt jouw organisatie het datalek niet bij de AP. Danis het niet reëel dat jouw organisatie de consequenties draagt, terwijl de fout bij de leverancier ligt.

Verplichtingen bij beëindiging

Als de overeenkomst tussen de organisatie en de leverancier (verwerker) wordt beëindigd moeten er afspraken worden gemaakt over de persoonsgegevens die de leverancier onder zich heeft. Worden de gegevens vernietigd of teruggegeven aan de organisatie? Meestal wil een organisatie de gegevens terug, zodat zij diezelfde gegevens in een ander systeem kan verwerken.

In de algemene voorwaarden van NL Digital is opgenomen dat eventuele kosten bij de klant in rekening mogen worden gebracht. Dat klinkt logisch, de leverancier moet daarvoor waarschijnlijk extra werkzaamheden verrichten. Wat echter vaak gebeurt, is dat een leverancier dit als mogelijkheid ziet om zijn klant bij vertrek nog even een forse rekening te sturen. Of erger nog, dat de leverancier voor het terugleveren van de gegevens zoveel geld vraagt, dat het eigenlijk te duur is om de overstap naar een andere leverancier te maken. Maak hierover dus voor de aanvang van het contract afspraken. Laat het niet liggen tot het moment van opzegging. Of beter nog, kies voor een leverancier waar je gegevens zelf ( in een leesbaar formaat) kunt exporteren.

Tot slot

De algemene voorwaarden van NL Digital zijn, net als de algemene voorwaarden van haar voorgangers, duidelijk opgesteld om maar één belang te dienen. Dat van de leverancier. Dat lijkt logisch, want ze zijn nu eenmaal opgesteld door de brancheorganisatie. Waar deze branche ten opzichte van andere branche echter ijzersterk in is, is het verplaatsen van al haar verantwoordelijkheden naar haar klanten. En dat past niet bij een goede samenwerking. Daar neemt iedere partij haar eigen verantwoordelijkheid. En als er een branche is waarin samenwerking echt belangrijk is, dan is het wel de ICT-branche. Hoe afhankelijk we zijn van ICT blijkt wel weer tijdens de coronacrisis waarin we ons nu bevinden. Dan moet een leverancier toch met meer komen dan ‘Helaas, jouw probleem’.