Borging zeggenschap, vertrouwelijkheid en beschikbaarheid in contracten met de (cloud)leverancier

In de (hoofd)overeenkomst met de leverancier moeten een aantal begrippen worden gedefinieerd. Daarvoor kunnen de volgende definities worden gebruikt:

Dienst: de onder de Overeenkomst te leveren dienst van leverancier
 
Gebruiker: een op enigerlei wijze aan instelling verbonden (natuurlijke) persoon, zoals personeel, docenten en/of studenten, die door de instelling geautoriseerd is tot (een bepaald deel) van de Dienst.
 
Gegevens: alle gegevens, data, informatie en ander materiaal of content die de instelling en/of Gebruikers in het kader van de Overeenkomst invoeren, versturen, plaatsen of op andere manier verwerken met behulp van de Dienst, waaronder Persoonsgegevens.
 
Overeenkomst: de onderhavige Overeenkomst die ziet op verlening van Diensten en op grond waarvan de leverancier ten behoeve van instelling Gegevens verwerkt.
 
Persoonsgegevens: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke persoon, die op welke manier dan ook door leverancier wordt verwerkt in het kader van de Overeenkomst.

Te gebruiken bepaling:

(INTELLECTUELE) EIGENDOMSRECHTEN EN ZEGGENSCHAP OVER GEGEVENS
 
1. Alle (intellectuele) eigendomsrechten - daaronder begrepen enig auteursrecht en databankenrecht - op (het bestand c.q. de bestanden van) de Gegevens blijven te allen tijde berusten bij de instelling, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s).
 
2. Leverancier heeft geen zelfstandige zeggenschap over de Gegevens die door haar worden verwerkt. De zeggenschap over de Gegevens berust bij de instelling en/of de betreffende Gebruiker.
----------------------------------------------------------------------------------------------------------------
Waarom belangrijk?
Regelen dat zeggenschap over gegevens niet wordt overgedragen aan de leverancier

Toelichting
Intellectueel eigendom - Het intellectuele eigendom op de gegevens (uitdrukkelijk alle gegevens en niet slechts persoonsgegevens) gaat nooit over naar de leverancier, maar blijft in handen van de instelling, gebruiker of de licentiegevers van de gebruiker of de instelling. Met deze bepaling is vastgelegd dat de leverancier de intellectuele eigendomsrechten dient te respecteren.
 
Zeggenschap - Door de zeggenschap over de gegevens (uitdrukkelijk alle gegevens en niet slechts persoonsgegevens) te leggen bij de gebruiker en/of de instelling is expliciet vastgelegd dat de gegevens alleen mogen worden verwerkt voor zover de gebruiker/instelling daar opdracht toe geeft.

Praktijk
Het intellectuele eigendom van gegevens, bijvoorbeeld van werkstukken van studenten, behoort toe aan de student en/of instelling. Dit kan nooit overgaan op de leverancier. De gegevens die worden verwerkt blijven onder de zeggenschap van de instelling en/of gebruiker.
 
In het Nederlands recht is de term eigendom en daarmee eigenaarschap verbonden met fysieke zaken. Nu van fysieke zaken bij clouddienstverlening geen sprake is, is hier niet voor de term eigenaarschap gekozen, maar voor termen die met betrekking tot gegevens gezamenlijk dezelfde lading dekken: (intellectuele) eigendomsrechten en zeggenschap.

Te gebruiken bepaling:

BESCHIKBAARHEID VAN DE GEGEVENS
 
1. Leverancier is verantwoordelijk voor de beschikbaarheid van de Dienst aan de instelling overeenkomstig het bepaalde in deze Overeenkomst <en de service level agreement (SLA) welke daarvan onderdeel uitmaakt>.
 
2. Leverancier zal zorgdragen voor adequate back-up en restore voorzieningen om beschikbaarheid van de Dienst (en daarmee van de statische en dynamische Gegevens) te waarborgen.
----------------------------------------------------------------------------------------------------------------
Waarom belangrijk?
Zorgen dat er overeenstemming is over de beschikbaarheid van de dienst en te garanderen dat er een adequate back-up is.

Toelichting
Beschikbaarheid - Met deze bepaling stemt de leverancier uitdrukkelijk (expliciet) in met de bepalingen in de overeenkomst. Wanneer de instelling constateert dat de dienstverlening niet aan de bepalingen voldoet, geeft dit artikel een extra mogelijkheid (naast de al niet nagekomen bepaling) om de leverancier in juridische zin aan te spreken.
 
Back- up en restore voorzieningen - De leverancier is verplicht de gegevens of een kopie van de gegevens te bewaren voor het geval de dienstverlening uitvalt (om welke reden dan ook). Ook is de leverancier verplicht een recente back-up te kunnen gebruiken om de dienstverlening na de uitval weer te kunnen opstarten (restore-en). De gegevens blijven hierdoor beschikbaar voor de instelling.

Praktijk
Met verwijzing naar onder andere deze bepaling kan een ingebrekestelling worden opgesteld in het geval de leverancier de bepalingen niet nakomt.
De tussen haakjes < > gezette tekst in lid 1 kan worden weggelaten indien er geen sprake is van een SLA.

Te gebruiken bepaling:

ARTIKEL VERTROUWELIJKHEID

1. Partijen zullen alle Gegevens waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van deze Overeenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:

a) bekendmaking en/of verstrekking van die Gegevens in het kader van de uitvoering van deze Overeenkomst noodzakelijk is;
b) enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak partijen tot bekendmaking en/of verstrekking van die Gegevens of informatie verplicht, waarbij partijen eerst de andere partij hiervan op de hoogte stellen;
c) bekendmaking en/of verstrekking van die Gegevens geschiedt met voorafgaande schriftelijke toestemming van de andere partij; dan wel
d) het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der partijen.

2. Bij elke schending van zijn geheimhoudingsverplichting zijn partijen een direct opeisbare boete van EUR 25.000 per overtreding verschuldigd, onverlet de overige rechten op schadevergoeding van de andere partij.

3. Partijen zullen voor hen werkzame personen (waaronder werknemers) die betrokken zijn bij de verwerking van vertrouwelijke Gegevens contractueel verplichten tot geheimhouding van die vertrouwelijke Gegevens.

4. Partijen verlenen op verzoek van de andere partij hun medewerking aan het uitoefenen van toezicht door of namens de andere partij op de bewaring en het gebruik van vertrouwelijke Gegevens door de andere partij.

5. Partijen stellen alle Gegevens die zij in het kader van de uitvoering van de Overeenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de andere partij ter beschikking.

6. Ieder der Partijen zal de andere partij onmiddellijk informeren nadat zij bekend is geworden met een vermoedelijk(e) of daadwerkelijk(e) (i) schending van de geheimhoudingsplicht; (ii) verlies van vertrouwelijke Gegevens; of (iii) schending van beveiligingsmaatregelen. De nalatige partij zal op eigen kosten alle benodigde maatregelen nemen om de vertrouwelijke Gegevens veilig te stellen, de tekortkomingen in de beveiligingsmaatregelen te herstellen om verdere kennisneming, wijziging, en verstrekking te voorkomen, onverminderd enig recht van constaterende partij op schadevergoeding of andere maatregelen. De nalatige partij zal op verzoek van de andere partij meewerken aan het informeren van betrokkenen.
----------------------------------------------------------------------------------------------------------------
Waarom belangrijk?
Regelen dat bepaalde (persoons)gegevens vertrouwelijk worden behandeld, niet intern en extern mogen worden verspreid en er een geheimhoudingsplicht geldt voor werknemers.

Toelichting
1. Met toepassing van dit artikel worden gegevens die als vertrouwelijk worden bestempeld door de instelling of door de gebruiker als zodanig te worden behandeld. De vertrouwelijkheid van gegevens heeft tot gevolg dat de leverancier deze gegevens geheim dient te houden en niet mag verspreiden/bekendmaken (noch intern, noch extern).
 
Persoonsgegevens kunnen worden onderscheiden van vertrouwelijke gegevens (maar persoonsgegevens kunnen tegelijkertijd ook vertrouwelijke gegevens zijn). Daar waar het persoonsgegevens betreft dient te worden voldaan aan de Algemene Verordening Gegevensbescherming (AVG).
 
Ad a. Het kan voorkomen dat bekendmaken of verstrekking van vertrouwelijke gegevens noodzakelijk is voor de uitvoering van de dienstverlening en/of de overeenkomst. In dat geval en tot zover is bekendmaking en verspreiding van vertrouwelijke gegevens toegestaan.
 
Ad b. De vertrouwelijkheid van gegevens mag niet in de weg staan bij het voldoen van de leverancier aan dwingendrechtelijke wet- en regelgeving. Ook hier geldt weer dat bekendmaking en verstrekking van de vertrouwelijk gegevens is toegestaan om te voldoen aan de dwingendrechtelijke wet- en regelgeving door de leverancier.
 
Ad c. Alleen met schriftelijke toestemming van de verantwoordelijke mogen vertrouwelijke gegevens worden bekendgemaakt/ verstrekt. Ook hier geldt weer dat de bekendmaking en de verspreiding alleen mag conform de schriftelijke toestemming en niet verder dan waarvoor de toestemming gegeven is.
 
Ad d. Wanneer vertrouwelijke gegevens al openbaar zijn (door toedoen of nalaten van de instelling) is de geheimhouding niet meer van toepassing.
 
2. Op het schenden van de geheimhoudingsplicht staat een direct opeisbare boete, daar schending van de geheimhoudingsplicht niet meer kan worden teruggedraaid. Bij de hoogte van de boete is ook gekeken naar de ARBIT- voorwaarden. Deze is niet overgenomen. Er is besloten een lager bedrag van
€ 25.000,-- per overtreding te hanteren.
 
3. Niet alleen de leverancier maar ook de voor haar werkzame personen dienen een geheimhoudingsverklaring te ondertekenen om aan dit artikel te kunnen voldoen. Dit om de geheimhoudingsplicht verder te effectueren en de aansprakelijkheid ten aanzien van het schenden van de geheimhoudingsverplichting vast te leggen.

4. Ter zekerstelling van een juiste uitvoering van de geheimhoudingverplichting door de leverancier is de leverancier verplicht medewerking te verlenen aan het toezicht dat de instelling hierop uit kan voeren. De leverancier is op grond van deze bepaling verplicht mee te werken aan het toezicht op de naleving van deze geheimhoudingsverplichting.
 
5. De instelling kan (vertrouwelijke) gegevens op verzoek opvragen. Ook eventuele kopieën van de gegevens zodat vertrouwelijke gegevens niet meer worden verwerkt bij de leverancier. Op deze wijze kan de instelling de verwerking van de (vertrouwelijk) gegevens controleren en beheersen.
 
6. Voor de leverancier geldt een onmiddellijke informatieplicht ter zake van beveiligingsincidenten betreffende vertrouwelijke gegevens. Het gaat hierbij om vermoedelijk en daadwerkelijk incident zodat de geheimhoudingsplicht zoveel als mogelijk kan worden gewaarborgd. Onder incidenten vallen onbevoegde kennisneming en inbreuken op de beveiliging die leiden tot onrechtmatig verlies, vernietiging of wijziging van gegevens.
 
Naast de informatieplicht is de leverancier verplicht om te reageren op de incidenten door de vertrouwelijke gegevens veilig te stellen, maatregelen nemen om het incident te beëindigen en/of te voorkomen en mee te werken aan verdere afhandeling van een incident.

Praktijk
1. De instelling of gebruiker kan expliciet aangeven dat gegevens vertrouwelijk zijn. Op dat moment vallen de gegevens onder de regeling van dit artikel. Wanneer de vertrouwelijkheid niet expliciet is aangegeven, maar de leverancier wel kan vermoeden dat het vertrouwelijke gegevens betreft dienen de gegevens ook als vertrouwelijk behandeld te worden. In de praktijk is het aan te bevelen de vertrouwelijkheid van gegevens expliciet aan te geven, zodat daaromtrent geen discussie kan ontstaan. Een oordeel van vertrouwelijkheid ligt in dat geval bij de instelling en/of gebruiker zelf. Daar waar het gaat om gegevens waarvan redelijkerwijs vermoed kan worden dat de gegevens vertrouwelijk zijn, is dat uiteindelijk ter beoordeling van de rechter. Voor de leverancier betekent de geheimhoudingsplicht dat de vertrouwelijke gegevens niet door de leverancier verder worden verspreid dan nodig voor de uitvoering van de dienstverlening. Deze gegevens mogen niet intern of extern bekend worden gemaakt of verder worden verspreid.

2. Wanneer de leverancier de geheimhoudingsplicht schendt is een direct opeisbare boete op zijn plaats. Een schending van de geheimhoudingsplicht kan vaak niet worden teruggedraaid. Er is dan al direct sprake van schade.

3. De geheimhoudingsverklaring dient voorafgaand aan het starten van de dienstverlening gecontroleerd te worden. Dat kan door de betreffende contractuele verplichting op te vragen bij de leverancier.

4. De instelling kan toezicht op de naleving van de geheimhoudingsverplichting uitvoeren door bijvoorbeeld de geheimhoudingsverklaring met medewerkers van de leverancier op te vragen of procedures die betrekking hebben op de uitvoering van de geheimhoudingsverplichting in te zien.