NLdigital (voorheen Nederland ICT), de brancheorganisatie voor ICT-leveranciers, heeft nieuwe algemene voorwaarden gelanceerd. Veel ICT-leveranciers maken gebruik van deze algemene voorwaarden.

Volgens NLdigital zijn dit de belangrijkste veranderingen ten opzichte van de oude voorwaarden van Nederland ICT:

  • Er zijn standaardclausules voor de verwerking van persoonsgegevens opgenomen;
  • Er is meer aandacht voor beveiliging;
  • Het onderdeel over Agilewerken is uitgebreid;
  • Clausule over SaaS-diensten is uitgebreid.

Eerder heb ik de nieuwe bepalingen over de verwerking van persoonsgegevens al besproken.

In het algemeen geldt dat algemene voorwaarden vooral (eigenlijk alleen maar) de belangen van de leverancier behartigen. Wees daar alert op  en maak andere afspraken als dan nodig is.

Beveiliging

Onder andere naar aanleiding van de invoering van de AVG in 2018 is er de laatste jaren veel meer aandacht ontstaan voor de beveiliging van ICT-systemen. Dit heeft onder andere als resultaat dat ook in de NLdigital-voorwaarden een veel uitgebreidere bepaling over beveiliging is opgenomen in artikel 7.

Beveiligingstesten

Artikel 7.3 bevat een regeling over beveiligingstesten. Essentieel is dat de klant moet zorgen dat de voor de uitvoering van de testen benodigde licenties en goedkeuringen zijn verkregen. Dat lijkt logisch. De klant is vermoedelijk de enige partij die de licenties en goedkeuringen kan regelen. Toch vind ik de verantwoordelijkheid (zorgplicht) van de leverancier groter dan hij hier geschetst wordt. Zeker in het geval van een onkundige opdrachtgever. Naar mijn mening ligt het dan op de weg van de leverancier om in elk geval vooraf te controleren of de benodigde licenties en goedkeuringen verkregen zijn. Je (wederom) verschuilen achter je klant is erg makkelijk.

Aanwijzingen en wijzigingen

Daarnaast is nieuw dat de leverancier de klant aanwijzingen kan geven over beveiliging met als doel incidenten in de beveiliging of de gevolgen daarvan te minimaliseren. Volgt de klant deze aanwijzingen niet op, dan komt de schade voor zijn rekening. Ook kan leverancier zelf technische en organisatorische voorzieningen aanbrengen ter bescherming van apparatuur, databestanden, websites of programmatuur waar de klant toegang te heeft.

Agile ontwikkeling

In artikel 42 is een vrij uitgebreide bepaling opgenomen over iteratieve ontwikkelmethoden, zoals scrum. De hierin opgenomen afspraken zijn van toepassing, tenzij partijen andere afspraken hebben gemaakt. De bepaling bevat een aantal onderdelen waarbij het risico van het gebrek aan afspraken wederom volledig bij de klant wordt neergelegd:

  • De klant erkent dat de leverancier niet werkt met volledig uitgewerkte specificaties en dat de specificaties kunnen worden aangepast;
  • De klant aanvaardt het risico dat de software niet voldoet aan alle specificaties;
  • Testen vindt uitsluitend plaats op basis van objectieve, meetbare en vooraf overeengekomen criteria;
  • Fouten of andere onvolkomenheden worden in een volgende iteratie hersteld en alleen als het verantwoordelijke team daartoe besluit. De kosten voor extra iteraties zijn voor de klant.
  • Alle overige ‘rechten’ met betrekking tot testen en acceptatie die een klant normaal gesproken heeft bij de ontwikkeling zijn buiten toepassing verklaard.

Hoewel Agile ontwikkeling van programmatuur ontzettend veel voordelen kan hebben, is het wel belangrijk om hierover goede afspraken te maken en niet te vertrouwen op de bepalingen in de algemene voorwaarden. Die bevatten min of meer een blanco cheque voor de ontwikkelaar.

SaaS

Het hoofdstuk 3, Software-as-a-Service (SaaS), bevat 4 artikelen. De eerste drie artikelen zijn min of meer gelijk aan het oude hoofdstuk 3. In artikel 33 worden een groot aantal artikelen, van toepassing op ‘ programmatuur’ en ‘aflevering’ van overeenkomstige toepassing verklaard op de SaaS-dienst. Het gaat hier om regelingen over gebruiksrechten of licenties, toegang tot de dienst, acceptatie, updates, ondersteuning, hosting en misbruik.

Let op!

Er is bij het opstellen  van deze algemene voorwaarden van NLdigital wederom geen aandacht besteed aan de balans tussen de verantwoordelijkheden van de leverancier en de klant zijn. Jammer. In een goede samenwerking neemt iedere partij haar eigen verantwoordelijkheid. En als er een branche is waarin samenwerking echt belangrijk is, dan is het wel de ICT-branche. Hoe afhankelijk we zijn van ICT blijkt wel weer tijdens de coronacrisis waarin we ons nu bevinden. Dan wil je een leverancier naast je hebben staan, die met je meedenkt. Niet een die zijn verantwoordelijkheden afschuift.