Praten over aansprakelijkheid, vrijwaring en boetes in een verwerkingscontracten is de praktijk én uitermate belangrijk.
Eerder heeft Peter van Schelven bij iBestuur een (herkenbare) lans gebroken voor leveranciers die te maken krijgen met onredelijke verwerkerscontracten (‘VWC’s’).
Eén van de aspecten die Van Schelven benoemt is het aansprakelijkheidsregime. Hij noemt het voorbeeld van de overheidsvoorwaarden. Ik voeg er graag eentje aan toe: het model van de Nederlandse Orde van Advocaten. Daarin lees je dat de verwerker een onbeperkte vrijwaring moet geven voor schade en boetes én daar bovenop geldt er nog een contractuele boete van 10.000 euro per overtreding. Daar vind ik dus iets van.
Peter pleit, zoals ik het lees, voor meer balans. Het stuk was voor Walter van Holst aanleiding om te reageren. En discussie is goed. Maar zoals ik in een teaser al aankondigde, mist Walter naar mijn overtuiging het punt van de (grilligheid van) de praktijk. Walter maakt de vergelijking dat praten over aansprakelijkheid in een VWC, is als praten over het weer. Maar dan doe je de praktijk geen recht. Want dit onderwerp staat nu eenmaal standaard op de menukaart van onderhandelen, of we het nu leuk vinden of niet. En Peter heeft gelijk dat vaak de balans in die VWC’s volledig zoek is, in het nadeel van de verwerker.
Al helemaal als de verantwoordelijke óók nog onder toezicht van een AFM (Autoriteit Financiële Markten) of DNB (De Nederlandsche Bank) staat. Neem van mij aan: je wordt echt niet blij van, bijvoorbeeld, de “EBA requirements”1 (en banken en verzekeraars zelf ook niet volgens mij). Hier speelt precies hetzelfde issue. Namelijk dat het risico bij een eventuele schending van die ‘requirements’, doorgaans onbeperkt, wordt afgewenteld op de verwerker via aansprakelijkheden en vrijwaringen.
Nee, als het allemaal zo makkelijk zou zijn als praten over het weer, dan hadden al deze ‘verantwoordelijken’ hun templates verwerkerscontracten allang aangepast.
Dat brengt me op de inhoud. Walter wijst op artikel 82 van de AVG (Algemene Verordening Gegevensverwerking). Dit artikel bevat een regime voor de aansprakelijk van een verwerker en een verantwoordelijke jegens “een ieder” die schade heeft geleden. Externe aansprakelijkheid dus. Voor de duidelijkheid: dit externe aansprakelijkheidsregime van 82 AVG rept niet over boetes van de toezichthouder. Maar óók niet over de interne schadeverhouding tussen verwerker en verantwoordelijke, als er geen sprake is van “een ieder” die schade claimt.
Maar Walter is op dit punt heel stellig en schrijft letterlijk “enige ruimte om daar omheen te contracteren wordt niet gegeven in de AVG. Dus ja, op dit punt zijn veel verwerkersovereenkomsten nutteloos papier.” Walter negeert naar mijn stellige overtuiging dus volstrekt ten onrechte deze interne aansprakelijkheid tussen verantwoordelijke en verwerker. En mind you: een VWC bevat contractuele verplichtingen van een verwerker jegens een verantwoordelijke – en vaak meer dan welke de AVG verlangt. Het toerekenbaar niet nakomen hiervan is gewoon een wanprestatie – net als in elk ander contract – die in een VWC tot aansprakelijkheid jegens de verantwoordelijke leidt. Op dit punt is een gebalanceerd regime van levensbelang, en bepaald geen “nutteloos papier”.
Het argument van Walter dat naar zijn mening “de verwerkersovereenkomst helemaal niets hoeft te regelen over boetes of aansprakelijkheden en dat de hoofdovereenkomst doorgaans zal volstaan” snijdt in deze context ook geen hout. Dit verplaatst het probleem enkel naar de hoofdovereenkomst, maar de inhoudelijke discussie blijft natuurlijk precies hetzelfde.
Het tweede punt van Walter ziet op de boetes die de waakhonden kunnen opleggen. Hier geldt allereerst dat, als gezegd, het regime van artikel 82 AVG hier niet over gaat.
Terecht stelt Walter dat zowel verantwoordelijke als verwerker een boete opgelegd kunnen krijgen. En ja, er zijn inderdaad veel factoren die daarin bepalend zijn. Maar dat neemt, uiterlijk, de kans – en dus het risico – niet weg dat er een boete wordt opgelegd waar je verhaal wilt halen op de ander.
Een simpel ter verduidelijking: een verantwoordelijke is al een paar keer gewaarschuwd door de waakhond tegen beveiligingsincidenten en weet: bij het eerst volgende incident krijg ik een boete. En ja hoor, u voelt ‘m al aankomen: een eerste incident bij een verwerker van die verantwoordelijke is dus de druppel die leidt tot een boete. Dient die boete dan voor de volle 100 procent aan die verwerker te worden toegerekend? Wat mij betreft absoluut niet. Als je hier niets over hebt afgesproken, zoals Walter adviseert, sta je als verwerker dus gewoon met lege handen. Artikel 82 AVG gaat je hier ook niet bij helpen.
Walter stelt hier het volgende tegenover, namelijk dat “in het overgrote deel van de gevallen waarin een boete wordt opgelegd aan één van de partijen waarbij de oorzaak bij de andere partij ligt, zal het ongeacht wat partijen zijn overeengekomen over de aansprakelijkheid voor boetes, mogelijk zijn die boete geheel of gedeeltelijk op de boeteveroorzakende partij te verhalen.” Mij is niet duidelijk op basis van welke grond, maar Walter lijkt te doelen op een “mogelijke doorbreking van contractueel vastgelegde aansprakelijkheidsbeperkingen”. Maar ik volg Walter hier absoluut niet in. Ten eerste moet je het dan hebben van de “redelijkheid en billijkheid”, en iedere jurist weet dat een dergelijk argument doorgaans de laatste strohalm is. Ten tweede, het opzij zetten van een aansprakelijkheidsbeperking in een contract tussen professionele partijen, gebeurt alleen in exceptionele gevallen. Dat is standaard rechtsspraak van de Hoge Raad. Kortom, eerder uitzondering dan regel. Walter beticht Peter van het maken van aannames, maar Walter maakt er hier dus ook eentje van, zeg ik u daar.
Mijn conclusie is inmiddels wel helder denk ik. Praten over aansprakelijkheid, vrijwaring en een boete in een verwerkingsovereenkomst is de praktijk en uitermate belangrijk. En als kleinere verwerker bepaalt niet altijd even makkelijk. Peter breekt terecht een lans. Dus ik spreek de hoop uit dat er óf duidelijkheid komt via de rechtspraak op deze punten, maar liever: dat de ‘verantwoordelijken’ hun templates nog eens kritisch doornemen en zoeken naar meer balans. Uiteindelijk doet dat recht aan zowel de verantwoordelijke als de verwerker. En sluiten we alsnog aan bij dat belangrijke uitgangspunt in ons contractenrecht: de redelijkheid en billijkheid. Maar dan niet als laatste strohalm.
Menno Weij is Legal Counsel bij BDO
1 EBA = European Banking Authority
Beste Menno,
Het helpt misschien als je mijn bijdrage nog eens opnieuw leest. Daarin maak ik namelijk nadrukkelijk onderscheid tussen de externe en interne aansprakelijkheid. Er wordt mij een lezing van artikel 82 toegeschreven die in het stuk niet voorkomt. En wat de onderhandelingsagenda betreft: aansprakelijkheid zou wel degelijk van de agenda af moeten. Dat is eigenlijk het kernpunt van mijn bijdrage, dat het in de context van verwerkingsverantwoordelijke-verwerkersrelatie niet zinvol is om daar uitgebreid bij stil te staan. En in diezelfde grillige praktijk is mij dat ook meerdere malen gelukt. Boeteregimes die cumulatief zijn, daar vind ik wat van en heb ik gelukkig ook nooit aan hoeven mee te werken.
Tot slot: eens dat redelijkheid en billijkheid geen stevige houvast zijn. Ook dat heb ik nergens beweerd, sterker nog, de term komt in mijn stuk niet voor. Wat een uitermate stevige houvast is, is de causaliteit. In het door jou gegeven voorbeeld zal een verwerkingsverantwoordelijke snel niet aan de stel- en bewijsplicht kunnen voldoen en is hier niets over geregeld hebben geen werkelijke handicap. Mijn tegenvraag blijft: welke toegevoegde waarde biedt een aansprakelijkheidsclausule in een verwerkersovereenkomst die de aansprakelijheidsclausule in de hoofdovereenkomst niet kan bieden.