PATRIOTtisch aanbesteden

Het afgelopen jaar is door meerdere grote ICT-leveranciers van met name Amerikaanse origine openlijk aangegeven dat inzageverzoeken van de Amerikaanse overheid op grond van de PATRIOT Act altijd ingewilligd worden, ongeacht de locatie van de gegevens. Deze partijen worden voor de (onmogelijke) opgave gesteld om aan zowel de regelgeving in de Verenigde Staten als die in de Europese Unie te voldoen. In dit artikel een aantal opvattingen over hoe hiermee om te gaan bij het aanbesteden van met name clouden SaaS-diensten.

(Dit artikel is eerder verschenen in het Tijdschrift Aanbestedingsrecht)

1. Achtergrond van het probleem

In de systematiek van de Wet bescherming persoonsgegevens (Wbp) is het op grond van art. 12-15 Wbp toegestaan om persoonsgegevens door een derde te laten verwerken, maar blijft de opdrachtgever primair verantwoordelijk voor de waarborgen tot bescherming van de persoonlijke levenssfeer van de betrokkenen op wie de persoonsgegevens betrekking hebben. Een van die verplichtingen van de Wbp is de verplichting uit hoofde van art. 76 Wbp om de verwerking binnen de Europese Unie plaats te doen vinden dan wel er zorg voor te dragen dat de verwerking plaatsvindt in een land dat een adequaat beschermingsniveau van persoonsgegevens kent. Het verwerken van persoonsgegevens in landen buiten de Europese Unie die niet erkend zijn door de Europese Commissie als landen met een adequaat beschermingsniveau3 is daarmee in beginsel onrechtmatig, al is er een aantal uitzonderingssituaties uit hoofde van art. 77 Wbp en is er tevens het Safe Harbour-regime van zelfregulering voor als zodanig gecertificeerde Amerikaanse bedrijven.4

Bij bepaalde vormen van ICT-dienstverlening zoals Software as a Service (SaaS) en andere clouddiensten is het inherent aan de dienstverlening dat de opdrachtnemer gegevens ten behoeve van de opdrachtgever verwerkt, iets dat binnen de systematiek van de Wbp is geregeld. Een zorgelijke ontwikkeling is echter dat zowel Amerikaanse als Europese aanbieders in de praktijk geconfronteerd worden met verzoeken van met name de Amerikaanse overheid om persoonsgegevens te verstrekken uit hoofde van de PATRIOT Act, terwijl de Verenigde Staten niet erkend is als een land met een adequaat niveau voor de bescherming van persoonsgegevens en de overheid van de Verenigde Staten zich niet gecommitteerd heeft aan het Safe Harbour-regime. De achterliggende grond van de PATRIOT Act is terreurbestrijding. De naam PATRIOT Act staat voor de ‘Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001’. Samen met flankerende wetgeving geeft deze wet de overheid van de Verenigde Staten de facto onbeperkt toegang tot gegevens bij bedrijven, ongeacht de jurisdictie waarin deze bedrijven zich bevinden. Concreet betekent het dat dochterondernemingen van Amerikaanse bedrijven, maar ook Europese bedrijven die een dusdanige significante presentie in de Verenigde Staten hebben, inzageverzoeken niet kunnen weigeren en aan inzageverzoeken dienen te voldoen, ook al laten Europese regels dit niet noodzakelijkerwijze toe. Daar komt nog bij dat de stijl van de inlichtingen- en opsporingsdiensten met betrekking tot gegevensverzameling te typeren valt als ‘Rupsje Nooitgenoeg’ in de zin dat men geen toetsing op proportionaliteit kent die enigszins vergelijkbaar is met hoe die in de Europese Unie plaatsvindt.5 Het gaat hier met name om de zogenoemde PATRIOT section 215-inzageverzoeken, die zich richt op ‘records keepers’ van ‘business records’. Saillant detail is dat de door de overheid gehanteerde interpretatie van Patriot section 215 geheim is, de exacte reikwijdte van de verplichtingen van ‘record keepers’ is dus onbekend.6 Eveneens opmerkelijk is dat in de jurisprudentie het Vierde Amendement van de grondwet van de Verenigde Staten7 in het geheel niet van toepassing is op niet-ingezetenen van de Verenigde Staten buiten het grondgebied van de Verenigde Staten8 en zelfs slechts beperkt van toepassing is op gegevens van Amerikaanse staatsburgers die zich buiten de Verenigde Staten bevinden in de zin dat de zogenoemde ‘warrant clause9 van het Vierde Amendement geen extraterritoriale werking ter bescherming van burgers van andere landen wordt toegekend.10 De consequentie van het niet van toepassing zijn van de ‘warrant clause’ is dat een inzageverzoek zonder rechterlijke toetsing uitgevaardigd kan worden. Het principiële onderscheid met een soortgelijke inzagebevoegdheid die onze art. 126nc-126ni en 126zk-126zp Sv aan opsporingsdiensten geven is dat er beperkingen van toepassing zijn ter zake van a) proportionaliteit van de inzage, b) de aard van de gegevens (bijvoorbeeld geen bijzondere gegevens), c) gerichtheid (het moet op een verdachte betrekking hebben, en d) waarborgen nadien, zoals beperkingen op bewaringstermijnen.

Dit gaat bijzonder knellen bij zogenoemde clouddiensten. Hierbij moet vooral gedacht worden aan het op afstand aanbieden van ICT -infrastructuren en -diensten, bijvoorbeeld de online opslag van gegevens, maar ook aan de informatisering van bedrijfsprocessen (wat Software-as-a-Service of kort gezegd SaaS wordt genoemd). Met name flexibiliteits- en kostenoverwegingen spelen hierbij een rol. De essentie van clouddienstverlening is dat de gegevensverwerking op aan dienstenleveranciers toe te schrijven locaties plaatsvindt waarbij het door voorgeschreven virtualisatietechnieken steeds vaker mogelijk is dat verschillen in vraag en aanbod van verwerkingscapaciteit door de dienstenaanbieder worden geredresseerd door de verwerking voor de gebruiker ongemerkt te verplaatsen naar rekencentra op locaties waar nog overcapaciteit voorhanden is. Dit ontbreken van feitelijke controle van opdrachtgevers op de gegevensverwerking brengt met zich dat er aanvullende (juridische) maatregelen nodig zijn om niet alleen een zakelijke verhouding tussen opdrachtgever en opdrachtnemer te kunnen waarborgen, maar ook om te kunnen blijven voldoen aan de eisen van de Wbp (en dus aan de eisen van Richtlijn 95/46/EG waar de Wbp de Nederlandse implementatie van is) ter zake van de verwerking van persoonsgegevens, waar in de praktijk toch veelal sprake van is.

Recent kwam naar buiten dat de hiervoor beschreven inzageverzoeken van de Amerikaanse overheid ook worden gedaan voor gegevens (veelal persoonsgegevens) die door ICT-leveranciers op EU-territoir verwerkt worden, en dat dergelijke verzoeken ook ingewilligd worden, met name in die gevallen waar er sprake was van een verwerking door ondernemingen met een Amerikaanse moedermaatschappij.11 Dit heeft onafhankelijk van elkaar tot Kamervragen geleid van de Kamerleden Schouw (D66),12 Gesthuizen (SP)13 en Elissen (PVV).14 In de beantwoording door minister Opstelten wordt onder andere gesteld dat het mogelijk is om dergelijke verzoeken te voorkomen door hier bij aanbestedingen eisen over te formuleren.15 Deze stelling heeft geleid tot moties vanuit de Kamer aan de minister van Binnenlandse Zaken en Koninkrijksrelaties met het doel om tot beleid te verheffen dat bij aanbestedingen wordt geëist dat de data onder de exclusieve Nederlandse jurisdictie blijven. De minister heeft daar, enigszins voorspelbaar, op geantwoord dat een dergelijk beleid kan leiden tot een conflict van plichten voor in Europa gevestigde bedrijven.16 Hierbij moet vooral gedacht worden aan de verplichting uit hoofde van art. 76 Wbp om te waarborgen dat verwerking van persoonsgegevens niet plaatsvindt in landen met een lager beschermingsniveau voor de betrokkenen dan lidstaten van de Europese Unie. Ook heeft de minister in eerste instantie aangegeven dat hij hangende de publicatie van het voorstel van Eurocommissaris Reding voor een herziening van de Richtlijn bescherming persoonsgegevens (95/46/EG) nog niet wil ingaan op deze moties.
Inmiddels is dit voorstel gepubliceerd.

2. Beschrijving van het probleem

Het probleem voor aanbestedende diensten in deze context is hoe te voorkomen dat zij noodgedwongen in zee gaan met een aanbieder waarvan zij redelijkerwijze kunnen vermoeden dat deze nu of in de toekomst inzageverzoeken van vreemde mogendheden feitelijk niet zal kunnen weigeren.

Het is in de huidige aanbestedingspraktijk zeer wel denkbaar dat bijvoorbeeld een zorginstelling in de waan verkeert dat zij een clouddienst voor de opslag van medische gegevens zorgvuldig heeft aanbesteed door onder meer in de overeenkomst op te nemen dat de gegevens niet buiten de Europese Economische Ruimte mogen worden opgeslagen door de opdrachtnemer. Stel dat blijkt dat de opdrachtnemer als gevolg van de ruime Amerikaanse jurisdictieopvattingen gedwongen wordt dergelijke gegevens aan de overheid van de Verenigde Staten te verstrekken. De aanbestedende dienst is dan als verantwoordelijke in de zin van art. 1 Wbp ook in dat scenario de verantwoordelijke jegens zowel toezichthouders als betrokkenen en daarmee aansprakelijk, zowel civiel- als tuchtrechtelijk.17 Evenzeer is het denkbaar dat het willens en wetens doen verwerken van gegevens door een partij, waarvan de aanbestedende dienst had kunnen voorzien dat deze de gegevens aan een vreemde mogendheid ter inzage zal moeten geven, onder de werkingsfeer van art. 98 Sr valt. Dit artikel regelt namelijk de strafbaarstelling van schending van staatsgeheimen.

Nu voor de voorstelregelgeving van Eurocommissaris Reding is gekozen voor een verordening (hierna: Conceptverordening) in plaats van voor een richtlijn als opvolger van de Richtlijn bescherming persoonsgegevens,18 is ook duidelijk dat deze verplichting in de toekomst niet zal veranderen. De strekking van art. 40 van dit voorstel is gelijksoortig aan overwegingen 78 en 29 van de Richtlijn bescherming persoonsgegevens. Sterker nog, de gedachten zijn nu zelfs gericht op een bevoegdheid van toezichthouders om boetes op te leggen bij datalekken met een plafond van twee procent van de wereldwijde omzetwaarde van de partijen die opzettelijk of door nalatigheid bijdragen aan export van persoonsgegevens naar een land zonder een passend beschermingsniveau.19 Deze sanctiebevoegdheid richt zich primair op de zogenaamde verantwoordelijken in de zin van art. 2 Richtlijn bescherming persoonsgegevens respectievelijk art. 1 Wbp. In de Conceptverordening is dit begrip in art. 4  gedefinieerd.

Op zich lijkt het ons wenselijk dat de bescherming van persoonsgegevens meer tanden krijgt dan nu het geval is, alhoewel één conceptverordening nog geen zomer maakt. Met name van Amerikaanse zijde is er al een hevige lobby losgebarsten tegen dit voorstel van Reding,20 die zich blijkbaar al heeft vertaald in een afzwakking op een aantal wezenlijke punten ten opzichte van een in november uitgelekte versie. Maar zowel in de lidstaten als in het Europees Parlement is er duidelijk een politiek draagvlak voor privacywetgeving met meer tanden dan de huidige en is de kans groot dat dergelijke (Europese) wetgeving tijdens de looptijd van de contracten die voortvloeien uit de aanbestedingen van de komende jaren er zal komen.

In dit artikel geven wij daarom een aantal oplossingsrichtingen voor het gestelde probleem in de vorm van bij de aanbesteding van ICT-diensten adequaat gebruik van:

  • selectiecriteria;
  • gunningscriteria;
  • clausules in de overeenkomsten, en
  • contractbeheersing na het aangaan van een overeenkomst.

Wij veronderstellen in het vervolg van deze bijdrage bij de lezers van dit tijdschrift een zekere bekendheid met het Europees aanbesteden, in het bijzonder met de niet-openbare procedure welke relatief het meeste voorkomt bij ICT-aanbestedingen. Ook veronderstellen wij dat de aanbestedende dienst enerzijds gegadigden die bij voorbaat kansloos zijn daar in een zo vroeg mogelijk stadium over wil informeren en anderzijds dat ten tijde van de selectiefase nog niet alle details van de overeenkomst al bekend zijn gemaakt.

Bij de voorbeeldclausules hanteren wij de terminologie van de Algemene Rijksvoorwaarden bij IT-Overeenkomsten (ARBIT 2010) omdat het in de rede ligt dat, hoewel de auteurs van de ARBIT 2010 hebben aangegeven deze dienstverlening niet voor ogen te hebben gehad bij het opstellen van de ARBIT 2010,21 de ARBIT 2010 belangrijk basismateriaal zal zijn bij het opstellen van contracten voor clouddiensten bij Europese aanbestedingen. Wij gaan er tevens van uit dat een aanbestedende dienst maximale zekerheid wil krijgen dat potentiële opdrachtnemers, die zich gedwongen kunnen voelen door overheden van buiten de Europese Economische Ruimte (EER) om inzageverzoeken te honoreren, zich niet in zullen schrijven. En verder dat die aanbestedende dienst achteraf ook meer mogelijkheden wenst dan een actie uit ontoerekenbare tekortkoming om tegen het inwilligen van dergelijke verzoeken op te komen.

Wij gaan er nadrukkelijk ook van uit dat het vanuit inkoopperspectief zowel materieel onjuist is om niet-EER-gegadigden bij voorbaat uit te sluiten (een gegadigde uit de EER kan zich immers eveneens gedwongen voelen om een inzageverzoek in te willigen vanwege de grote belangen bij de relevante markt) als formeel aanbestedingsrechtelijk onjuist. Nederland is immers partij in de Government Procurement Agreement (GPA)22 en op grond van art. 2 sub b GPA is discriminatie vanwege het land van herkomst van de goederen of diensten niet toegestaan. Art. 5 Richtlijn 2004/18/EG refereert expliciet aan de GPA en in art. 5 Bao is dit overgenomen. Ook moet opgemerkt worden dat het debat over inzageverzoeken van overheden eenzijdig is omdat het veelal over de Verenigde Staten gaat. Het is namelijk een probleem dat zich evenzeer kan voordoen bij ondernemingen met een substantiële presentie buiten de EER in landen die evenmin de waarborgen kennen die wij gewoon zijn. Denk aan landen als Rusland, China en India. Daarbij moeten we overigens niet de illusie wekken dat overheden binnen de EER zich niet van dergelijke inzageverzoeken kunnen bedienen, deze dienen zich echter te houden aan art. 6 EVRM dat een wettelijke grondslag en proportionaliteitstoetsing vereist.

Een ander aspect is dat het belang van een gegadigde bij het weigeren van inzageverzoeken door een vreemde mogendheid na sluiting van een overeenkomst kan wijzigen door bijvoorbeeld een vervreemding van de onderneming of door het ontstaan van een substantieel economisch belang in het territoir van de vreemde mogendheid, waardoor gegadigde (maar nu als opdrachtnemer) alsnog in een positie als eerder geschetst kan belanden.

3. Oplossing door middel van het gebruik van bepaalde selectiecriteria

Zoals eerder opgemerkt zijn geschiktheidseisen die gegadigden met bijvoorbeeld een moederbedrijf in de Verenigde Staten uitsluiten niet rechtmatig. Een vraag die wel gesteld kan worden als selectiecriterium is in hoeverre een gegadigde in het verleden is ingegaan op inzageverzoeken van ‘vreemde’ overheden. Bijvoorbeeld:

Heeft uw onderneming en/of hebben aan uw onderneming gelieerde ondernemingen in het verleden  inzageverzoeken van overheden buiten de Europese Economische Ruimte (EER) ontvangen met betrekking tot (persoons) gegevens van betrokkenen binnen de EER?

Geef als antwoord één of meer van de volgende alternatieven aan:

  1. Ja, dergelijke verzoeken zijn doorgaans ingewilligd (0 punten).
  2. Ja, dergelijke verzoeken worden categorisch geweigerd (10 punten).
  3. Ja, dergelijke verzoeken zijn soms geweigerd, soms ingewilligd (5 punten).
  4. Nee, dit is niet bij ons of een aan ons gelieerde onderneming buiten de EER voorgekomen (10 punten).
  5. Niet van toepassing want geen activiteiten buiten de EER (10 punten).
  6. Wij kunnen deze vraag niet beantwoorden omdat er sprake is van een zwijgplicht bij dergelijke verzoeken (0 punten).

Toelichting: In het verleden is gebleken dat overheden van derde landen (d.w.z. landen buiten de EER) de mening zijn toegedaan dat gegevens die binnen de EER verwerkt worden binnen de reikwijdte van hun inzagebevoegdheden liggen zonder dat er in die derde landen sprake is van hetzelfde niveau van waarborgen voor de bescherming van de persoonlijke levenssfeer als binnen de EER. Aangezien dit leidt tot ongeoorloofde en onwenselijke export van persoonsgegevens heeft aanbestedende dienst de voorkeur om zaken te doen met gegadigden die in het verleden blijk hebben gegeven hier niet aan mee te werken.

Een vraag die mogelijk zelfs als uitsluitingscriterium gehanteerd kan worden is de vraag of gegadigden bereid zijn te garanderen dat gegevens niet geëxporteerd zullen worden:

Bent u bereid, onder sanctie van een boete, te garanderen dat u nooit persoonsgegevens, die u uit hoofde van een dienstverleningsovereenkomst met aanbestedende dienst verwerkt, zult verstrekken aan partijen (met inbegrip van overheden) buiten de EER en landen die door de Europese Commissie niet zijn erkend als landen met een adequaat beschermingsniveau voor persoonsgegevens anders dan met voorafgaande ondubbelzinnige schriftelijke toestemming van aanbestedende dienst of betrokkene op wie de persoonsgegevens betrekking hebben?

Het antwoord dient ‘ja’ te zijn.

Toelichting: Binnen de EER is het Europees Verdrag voor de Rechten van de Mens (EVRM) van kracht zodat een inzageverzoek in het kader van bijvoorbeeld justitiële opsporing met voldoende waarborgen omkleed is in de gehele EER. Buiten de EER worden waarborgen in een aantal landen gelijkwaardig geacht met die binnen de EER.23 Nu geldt in zijn algemeenheid uit hoofde van Richtlijn 95/46/EG een verbod van doorgifte van persoonsgegevens naar landen buiten de EER (en de eerdergenoemde erkende landen) met als uitzondering Amerikaanse bedrijven die zich door zelfregulering aan het Safe Harbour-regime hebben onderworpen. De preventieve werking van dit verbod is echter vooralsnog beperkt omdat de aansprakelijkheid van een op deze wijze ‘lekkende’ partij niet bij voorbaat te concretiseren valt. Een boetebeding is dan ook op zijn plaats.

4. Oplossing door middel van het gebruik van bepaalde gunningscriteria

Behalve dat wij aanbevelen om acceptatie van de ARBIT 2010, bij voorkeur met SaaS- of cloudspecifieke aanvullingen, als vereiste voor gunning op te nemen, waarvoor in het vervolg van deze bijdrage in ieder geval voor dit onderwerp suggesties worden gedaan, verdient het onzes inziens aanbeveling om bij gunning niet alleen naar de juridische maar ook naar de feitelijke
gang van zaken te kijken.

Bent u in staat en bereid te garanderen dat gegevens welke uit hoofde van de opdracht verwerkt worden uitsluitend binnen de EER verwerkt zullen worden en dat doorgifte naar landen buiten de EER uitgesloten is?

Het antwoord dient zonder voorbehouden ‘ja’ te zijn.

Welke feitelijke maatregelen heeft u binnen uw organisatie genomen om er zorg voor te dragen dat eerdergenoemde garantie waargemaakt kan worden? Geef bij de maatregelen aan of deze technisch, organisatorisch, of juridisch van aard zijn. De beantwoording moet ten minste twee maatregelen in ieder van de categorieën ‘technisch’,  ‘organisatorisch’ of ‘juridisch’ bevatten. Per maatregel dient aangegeven te worden hoe opzet, bestaan en werking van de maatregel in de organisatie geborgd en getoetst worden of zullen worden (10 punten).

Toelichting: Het is voor aanbestedende dienst wenselijk om zich een beeld te kunnen vormen van de wijze waarop gegadigde denkt een garantie zoals gevraagd feitelijk te kunnen waarmaken. Hier kan gedacht worden aan de toegepaste techniek, gehanteerde procedures maar ook de wijze waarop contractuele afspraken met toeleveranciers zijn ingericht. Van belang is niet alleen dat maatregelen opgezet zijn, maar dat ze ook daadwerkelijk toegepast worden en dat de werking van deze maatregelen toetsbaar is.

5. Oplossing door middel van het gebruik van bepaalde clausules in de overeenkomst/algemene voorwaarden

Aanvullende bepalingen op de ARBIT 2010

Naast onderwerpen als continuïteit en exit (transitie) die hoe dan ook geregeld moeten worden bij het sluiten van een overeenkomst voor SaaS- of andere clouddienstverlening, maar buiten de reikwijdte van dit artikel vallen, valt het aan te bevelen om een aantal aanvullende bepalingen over privacy, naast de op zichzelf al zeer nuttige bepalingen van art. 18 ARBIT, op te nemen.

Garanties

Aan art. 12 ARBIT zou een aanvullend lid 8 toegevoegd kunnen worden:

Wederpartij garandeert dat iedere gegevensverwerking welke door of namens Wederpartij verricht wordt in verband met het verrichten van de Prestatie en die binnen de werkingssfeer van de art. 17 of 18 van de ARBIT valt, binnen de Europese Economische Ruimte (EER) plaats zal vinden of, indien de technische karakteristieken van een transmissiemedium zoals internet een dergelijke garantie onmogelijk maken, de transmissie van gegevens uitsluitend versleuteld zal plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken gebruik zullen worden. Wederpartij verschaft op eerste verzoek inzicht in de locatie(s) waarom de gegevensverwerking plaatsvindt of heeft plaatsgevonden. Wederpartij gaat tevens akkoord met een forfaitaire schadevergoeding ter waarde van …. euro welke schadevergoeding van een schade welke hoger bedraagt uit hoofde van art. 26 onverlet laat.

Toelichting: Omwille van het fenomeen van inzageverzoeken door overheden die niet gebonden zijn aan een proportionaliteitstoets als bedoeld in art. 8 EVRM respectievelijk art. 6 Richtlijn 95/46/EG wenst aanbestedende
dienst handhavingsmiddelen te hebben in het geval opdrachtnemer aan een dergelijk verzoek voldoet. De uitzondering voor transmissiemedia is toegevoegd omdat met name de technische karakteristieken van het internet van zodanige
aard zijn dat voor het transport van gegevens tussen twee locaties in de EER het nog steeds mogelijk kan zijn dat een deel van het transport buiten de EER om plaatsvindt, bijvoorbeeld doordat datapakketjes via een derde land gerouteerd worden.

Aansprakelijkheid

Aan art. 26 lid 4 ARBIT zou een sub d toegevoegd kunnen worden, onder toevoeging van de aanvulling ‘en/of ’ aan sub c:

in geval van schendingen van wet- en regelgeving op het gebied van bescherming van de vertrouwelijkheid van informatie, meer in het bijzonder op het gebied van de persoonlijke levenssfeer.

Toelichting: In de praktijk maken veel dienstverleners op het gebied van clouddienstverlening zelf weer gebruik van diensten van derden die online worden geleverd en als halffabrikaat door de dienstverlener in diens eigen diensten worden ingezet. Denk aan platforms zoals Microsoft Azure, Google Apps en Amazon EC2 en EC3. Het is heel wel voorzienbaar dat de opdrachtnemer in dit opzicht zelf zorgvuldig handelt, maar geconfronteerd wordt met een onderaannemer die klem komt te zitten tussen de overheid van een derde land (bijvoorbeeld de Verenigde Staten) en voor Nederlandse aanbestedende diensten toepasselijke wet- en regelgeving. Een beroep op de reeds bestaande doorbreking van de aansprakelijkheidsbeperking van de ARBIT in art. 26 lid 4 sub b zal de opdrachtgever met een (wellicht onaanvaardbaar) zware bewijslast opzadelen en het verdient dan ook de voorkeur om, analoog aan de doorbreking van sub c, hier een zuiver objectieve doorbreking aan toe te voegen.

Verwerking persoonsgegevens

Algemene bepalingen
Na art. 30 lid 4 ARBIT zou een nieuw lid 5 ingevoegd kunnen worden onder vernummering van de bestaande leden 5 en 6:

Opdrachtgever kan de overeenkomst op de in art. 30.3 aangegeven wijze ontbinden indien hij op goede gronden aanneemt dat opdrachtnemer door o.a. verschuivingen in eigendoms- en/of bestuurlijke verhoudingen en/of het ontstaan van substantiële afhankelijkheden van markten buiten de EER niet langer in een positie verkeert dat hij de garantie van art. 12.8 gestand kan doen in het geval een vreemde mogendheid buiten de EER inzage verzoekt in gegevens die opdrachtnemer ten behoeve van opdrachtgever verwerkt. In het geval opdrachtnemer niet langer in staat is de garantie van art. 12.8 gestand te doen als gevolg van veranderde omstandigheden van onderaannemers en/of toeleveranciers zal deze ontbindingsbevoegdheid eerst ontstaan nadat opdrachtnemer in staat gesteld is om, op eigen kosten, onderaannemers en/of toeleveranciers te vervangen.

Toelichting: Deze bepaling is een zogenoemde ‘change of control’-bepaling die er toe strekt om in de gevallen dat de opdrachtnemer of een onderaannemer daarvan in een andere positie ten opzichte van vreemde mogendheden komt, de opdrachtgever in staat te stellen de relatie te beëindigen. Omwille van de proportionaliteit is deze nadrukkelijk geclausuleerd en biedt deze de opdrachtnemer nadrukkelijk ruimte om van onderaannemer te wisselen.

6. Oplossing door middel van contractbeheer na het aangaan van de overeenkomst

De hiervoor beschreven oplossingsrichtingen hebben gemeen dat zij zich op de aanbestedingsprocedure richten terwijl de crux hem veelal zit bij de uitvoering. In dat kader verdient het ook aanbeveling om reeds tijdens de aanbesteding tot interne besluitvorming te komen hoe de opdrachtnemer ook tijdens de exploitatie van deze ICT-diensten aangestuurd zal worden, zowel op operationeel, tactisch als strategisch niveau. Met name het bij voorbaat inventariseren van potentiële keuzemomenten voor het al dan niet ingrijpen, waarbij zelfs het doen uitvoeren van audits al een ingreep kan zijn, kan al verhelderend werken. Want zo ontstaat er een beter beeld van welke bevoegdheden en mandaten een contractbeheerder zal moeten hebben om adequaat toe te kunnen zien op de opdrachtnemer in de in deze bijdrage genoemde, maar ook in andere, opzichten. Dit verhoogt ook het tempo van besluitvorming in het geval daadwerkelijk de samenwerking met de opdrachtnemer beëindigd dient te worden omdat deze niet meer aan zijn verplichtingen kan voldoen. Snelheid van handelen is dan immers noodzakelijk, niet in het minst omdat de aanbestedende dienst zelf onrechtmatig kan handelen door de samenwerking te continueren ondanks dat de opdrachtnemer in verzuim is.

Ook is het minimaal noodzakelijk dat de opdrachtgever een evaluatiecyclus inricht ten aanzien van het contract met de opdrachtnemer met een frequentie van minimaal eens per jaar. Zowel op kwaliteit van de dienstverlening als op niet-functionele aspecten zoals privacy zal de opdrachtgever de vinger aan de pols moeten houden. En niet te vergeten kan een opdrachtgever die niet daadwerkelijk gebruik maakt van de contractuele mogelijkheden die hij zelf heeft geschapen zich al snel kwetsbaar maken voor het argument van rechtsverwerking.

7. Slotopmerkingen

Hoewel de minister in zijn beantwoording van de Kamervragen tot nog toe een afwachtende houding heeft getoond is het onzes inziens ook zonder een dergelijke actie van de minister mogelijk voor aanbestedende diensten om in hun aanbestedingsprocedures waarborgen in te bouwen om te voorkomen dat persoonsgegevens weglekken. Onzes inziens gaat het daarbij wel om een reeks van flankerende maatregelen die ieder voor zich en zelfs als geheel geen absolute zekerheid bieden. Wel denken wij dat op deze wijze het geschetste risico beheersbaar wordt. Waarbij we willen benadrukken dat dit artikel zeker niet als pleidooi tégen cloud computing en SaaS moet worden opgevat.

Auteurs: Walter van Holst en Marina Berghuijs 1, 2

(Reeds verschenen in Tijdschrift Aanbestedingsrecht, Aflevering 4, Augustus 2012, Jaargang 9, p.397.)

Bronnen en referenties:

  1. Mr. drs. W.H. van Holst en mr. M. Berghuijs zijn beiden senior IT-juridisch adviseur bij Mitopics
  2. De auteurs danken Caspar Bowden voor achtergrondinformatie over de jurisprudentie in de Verenigde Staten.
  3. De landen die als zodanig erkend zijn, zijn onder deze link te vinden.
  4. http://export.gov/safeharbor/eu/eg_main_018365.asp.
  5. Zie bijvoorbeeld F. Bigami, European Versus American Liberty: A Comparative Privacy Analysis of Antiterrorism Data Mining, Boston College Law Review 2007 (48), 609, http://lawdigitalcommons.bc.edu/bclr/vol48/iss3/3.
  6. https://www.aclu.org/blog/national-security/government-confirms-it-has-secret-interpretation-patriotact-spy-powers.
  7. Het Vierde Amendement is het belangrijkste constitutionele aanknopingspunt in de Verenigde Staten voor de bescherming van de persoonlijke levenssfeer, met de nadruk op aanknopingspunt omdat het onderwerp privacy in de grondwet van de Verenigde Staten niet expliciet genoemd wordt.
  8. United States Court of Appeals for the Ninth Cicruit, in United States v. Verdugo-Urquidez, 28 februari 1990,
    http://laws.findlaw.com/us/494/259.html.
  9. Het Vierde Amendement luidt: “The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause,  supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”
  10. United States Court of Appeals for the Second Circuit, in re: Terrorist Bombings of U.S. Embassies in East Africa, 24 november 2008, http://caselaw.findlaw.com/us-2nd-circuit/1288298.html.
  11. Zowel Google, Microsoft als Amazon hebben publiekelijk toegegeven dat dit praktijk is, zie o.a. https://www.
    zdnet.com/blog/igeneration/google-admits-patriotact-requests-handed-over-european-data-to-us-authorities/12191.
  12. Aanhangsel Handelingen II 2010/11, nr. 3178.
  13. Aanhangsel Handelingen II 2010/11, nr. 3180.
  14. Aanhangsel Handelingen II 2010/11, nr. 3182.
  15. Aanhangsel Handelingen II 2010/11, nr. 3515.
  16. Aanhangsel Handelingen II 2010/11, nr. 3514.
  17. Bijvoorbeeld op grond van schending van het medisch beroepsgeheim zoals geregeld in art. 88 van de Wet op de beroepen in de individuele gezondheidszorg.
  18. http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf.
  19. Zie art. 79 lid 6 onder l van de conceptverordening COM(2012) 11 final.
  20. Zie bijvoorbeeld de (eveneens) uitgelekte notitie van het US Department of Commerce over de uitgelekte
    conceptverordening.
  21. Zie paragraaf 1.3 van de toelichting bij de ARBIT 2010 waarin nadrukkelijk Software-as-a-Service (wat doorgaans als een bijzondere vorm van cloud computing wordt beschouwd) als een buitencategorie wordt genoemd.
  22. Voor de volledige tekst zie http://www.wto.org/english/tratop_e/gproc_e/gp_gpa_e.htm.
  23. Zie http://ec.europa.eu/justice/policies/privacy/thrid-countries/index_en.htm voor een opsomming van derde landen die als zodanig erkend zijn.

 

Plaats een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.