Advocaten en notariaat in Leiden en Den Haag
Menu

Menno de Wijs en Jeroen van Helden maken de balans op: welke ontwikkelingen zagen zij het afgelopen jaar bij IT-aanbestedingen? Dit waren de drie belangrijkste aandachtspunten in 2022.

1 – Herstel inschrijving

Het vorige jaaroverzicht stond in het teken van herstel van inschrijvingen (AG Connect, mei 2022). Wij schreven toen dat rechters meer oog hadden gekregen voor de menselijke maat: herstel van fouten werd vaker toegestaan. Zo bood het Hof Arnhem-Leeuwarden een inschrijver de mogelijkheid tot herstel van zijn Uniform Europees Aanbestedingsdocument (UEA). Het Hof liet zelfs toe dat meerdere (!) ontbrekende antwoorden werden aangevuld, zoals welke partij als
onderaannemer zou optreden en of alle belastingen waren voldaan. Veelzeggend voor die welwillendheid was toen de overweging: “Hierbij moet worden bedacht dat fouten zelden alleen komen, en de beginselen van gelijkheid en transparantie niet verlangen dat een inschrijver daarop wordt afgerekend.”
Een relevante uitspraak, aangezien het aantal uitspraken van gerechtshoven beperkt is en deze uitspraak de deur wijd leek open te zetten voor herstel van onbeantwoorde vragen in het UEA. Van deze ontwikkeling hebben inschrijvers in 2022 volop gebruik geprobeerd te maken. Wat bijvoorbeeld als de inschrijver het gehele UEA (uniform Europees aanbestedingsdocument) vergeet in te dienen? Mag deze dan alsnog worden nagezonden als op basis van de metadata vaststaat dat het document voorafgaand aan inschrijving is ondertekend en daarna niet meer is gewijzigd? Op 28 december 2022 oordeelde een voorzieningenrechter dat dit te ver gaat.[1] Reden? De ontbrekende informatie was niet elders verwerkt in of afleidbaar uit de inschrijving en dan zou herstel niet zijn toegestaan, aldus de voorzieningenrechter te Breda. Wij hebben onze vraagtekens bij deze redenering. In de hiervoor genoemde
uitspraak van het Hof Arnhem Leeuwarden werd namelijk een lagere drempel gehanteerd: uit de inschrijving bleek immers ook niet of alle belastingen waren voldaan. Voor de uitkomst in deze zaak had een ruimere interpretatie van de herstelmogelijkheid overigens geen verschil gemaakt. In het aanbestedingsdocument was namelijk een bepaling opgenomen die uitsluiting uitdrukkelijk als enige sanctie aanwees voor dit type vormgebrek. In dat geval
dient deze sanctie logischerwijs ook te worden toegepast. In de zomer van 2022 deed het gerechtshof Den Bosch ook een uitspraak over herstel. De inschrijver diende een onvolledig referentiedocument in, maar mocht die fout herstellen.[2] Reden? De inschrijver had elders aangegeven aan alle eisen te voldoen en had de ontbrekende informatie ook langs andere weg verstrekt aan de aanbestedende dienst. Herstel deed in dit geval daarom geen afbreuk aan het beginsel van gelijke behandeling en transparantie.

HDMI-kabel vergeten?

Dan een nogal ongelukkige vergissing die niet meer herstelbaar was. Bij de aanbesteding van monitoren en dockingstations door een scholengemeenschap meende de verliezende inschrijver dat de winnende inschrijver moest worden uitgesloten. Bij de proef opstelling bleek namelijk dat de winnende inschrijver de vereiste ’HDMI-kabel van 10 meter’ was vergeten en daarom realiseerde de winnaar de proefopstelling met een kortere kabel. Hoewel dit volgens de rechter niet resulteerde in uitsluiting, leidde dit wel tot een score van nul punten op het betreffende onderdeel.[3]
Wel fataal voor deze aanbesteding was de vaststelling van de rechter dat de aanbestedingsdocumenten onduidelijk waren over de wijze waarop de proefopstelling zou worden beoordeeld. Zou die plaatsvinden met toepassing van alle onderdelen of mocht bijvoorbeeld het scherm ook rechtstreeks worden aangesloten op een laptop zonder dockingstation? Dat bleek onvoldoende uit de aanbestedingsdocumenten en partijen verschilden daarover van mening. Dat
maakte de beoordelingssystematiek gebrekkig (en herbeoordeling onmogelijk). De rechter oordeelde daarom dat heraanbesteding moest plaatsvinden. Uiteindelijk dus goed nieuws voor de verliezende inschrijver die daarmee opnieuw een kans krijgt om in te schrijven.

2. Voldoen aan (onduidelijke) eisen

In september mislukte de aanbesteding van Microsoft (standaard)licenties, toen Protinus als verliezende inschrijver het standpunt innam dat de winnaar niet
aan alle eisen kon voldoen[4]. De samenwerkende gemeenten namen het standpunt in dat de winnende inschrijving niet gebrekkig was. Dat leidde vervolgens tot een discussie over de vraag wat de gestelde eisen eigenlijk inhielden, een discussie die veelvuldig voorkomt en zich bijna altijd pas ontwikkelt nadat bekend is wie de aanbesteding heeft gewonnen (en wie heeft verloren).
De gemeenten beriepen zich in die discussie op een individueel gegeven antwoord dat zij aan de winnende inschrijver hadden gegeven. De rechtbank
verwijt de gemeenten zwaar dat zij de andere inschrijvers niet hebben geïnformeerd over die individuele beantwoording. Dat had eenvoudig gekund zonder
bedrijfsvertrouwelijke informatie van de individuele vraagsteller bekend te maken. Heraanbesteding moest volgen. De gemeenten hebben immers in strijd
gehandeld met het transparantie- en gelijkheidsbeginsel en daarmee een ongelijk speelveld gecreëerd.

Welk moment?

Aanbestedingsdocumenten bepalen vaak op welk moment een inschrijver aan een specifieke eis moet voldoen. Denk aan het moment van inschrijven of het moment van uitvoering van de opdracht. Het Europese Hof deed in 2022 een uitspraak waarin zij oordeelde dat het niet was toegestaan om te verlangen dat al bij inschrijving aan een bepaalde eis wordt voldaan.[5] Voor veruit het merendeel van eisen zal namelijk gelden dat het doel van de eis ook kan worden
verwezenlijkt door de eerste dag van uitvoering van de overeenkomst als toetsmoment aan te houden. Het te vroeg moeten voldoen aan een eis maakt
de eis onevenredig, aldus het Europese Hof. Denk bijvoorbeeld aan de eis dat de inschrijver over een vestiging moet beschikken in een specifieke regio. Het
zou een inschrijver op onnodige kosten jagen als zij die vestiging al moet openen voordat bekend is of die inschrijver de opdracht heeft gewonnen.
Het achterliggende belang van de eis is voldoende gewaarborgd als de inschrijver een vestiging opricht na gunning van de opdracht en voor de overeenkomst aanvangt.

3. Kostenstijgingen na gunning?

Als wij 2022 in één woord moeten omschrijven, dan zou het woord ‘kostenstijgingen’ zich daarvoor uitstekend lenen. Ook in de praktijk zagen wij met enige
regelmaat dat leveranciers een gegunde overeenkomst wensten te wijzigen wegens kostenstijgingen. Het aantal procedures daarover, althans gerelateerd aan het aanbestedingsrecht, is echter zeer beperkt.
In een van de laatste uitspraken van 2022 oordeelde een voorzieningenrechter dat de aanbestedende dienst moest meebetalen aan aantoonbare excessieve
kostenstijgingen, ondanks dat de gegunde overeenkomst daarin niet voorzag.[6] De gestegen kosten voor energie en materialen die rechtstreeks verband
hielden met de uitvoering van de opdracht moesten partijen 50/50 delen. Opvallend aan deze uitspraak is dat de winnende inschrijver de kosten niet volledig had onderbouwd en dat de betreffende gemeente de kostenstijgingen niet heeft betwist. De rechter overwoog dat de wereldwijd explosief gestegen kosten
– als gevolg van de Covid-pandemie en de oorlog in Oekraïne – onvoorziene omstandigheden zijn én dat de gemeente heeft aangeven dit in te zien en bereid
was om mee te denken over een verdeling van die extra kosten. Om die reden wees de rechter de vordering van de winnende inschrijver toe. Ongetwijfeld
zet dit de deur open voor vergelijkbare discussies in 2023. Of die uiteindelijk zullen uitmonden in een procedure hangt af van beide partijen, waarbij een
verdeling van 50/50 met deze uitspraak als uitgangspunt op tafel ligt.

Het hele artikel 

Cyberaanvallen en datalekken staan bovenaan de lijst met risico’s die bestuurders het meeste zorgen baren. Dit is niet zonder reden. Datalekken zijn aan de orde van de dag en cyberaanvallen nemen steeds meer toe. ‘Privacy by design’, ‘Privacy by default’en ‘Security by design’ zijn begrippen die in dit kader vaak worden gebruikt, ziet Natascha van Duuren. Wat betekenen deze begrippen precies en wat betekenen ze concreet voor organisaties en bedrijven? En, last but not least, is ‘security by design’ de oplossing voor onze (terechte) zorgen met betrekking tot cybercrime?

Het begrip ‘privacy by design’ is in de jaren 90 geintroduceerd door Canadese privacytoezichthouder Ann Cavoukian. Het begrip ‘privacy-enhancing technologies’ (PET’s) bestond al. Ann Cavoukian was van mening dat ‘a more substantial approach’ vereistwas. Met andere woorden: niet alleen technische, maar ook organisatorische en fysieke maatregelen. Ann Couvakian introduceerde de ‘seven foundational principles’:
• Proactief in plaats van reactief, preventief in plaats van herstellend
• Privacy als standaard
• Privacy geïntegreerd in het ontwerp
• Volledige functionaliteit, ‘positive sum’ in plaats van ‘zero-sum’
• Veiligheid van begin tot eind, bescherming tijdens de volledige levenscyclus
• Zichtbaarheid en transparantie, houd het open
• Respect voor de privacy, laat de gebruiker centraal staan

Met de zeven beginselen van privacy by design werd in feite ook privacy by default geïntroduceerd (in de vorm van het beginsel ‘Privacy als standaard’) en security by design (in de vorm van het beginsel ‘Veiligheid van begin tot eind, bescherming tijdens de volledige levenscyclus’). Krachtige veiligheidsmaatregelen van begin tot eind zijn volgens Ann Cavoukian essentieel voor het behoud van privacy.

IMPLEMENTATIE IN ONZE WET- EN REGELGEVING
De opvatting van Ann Cavoukian heeft navolging gekregen. Inmiddels zijn de beginselen van privacy by design gecodificeerd. Zo leggen onze Algemene Verordening Gegevensbescherming (AVG) privacy by design (artikel 25 lid 1 AVG) en privacy by default (artikel 25 lid 2 AVG) als verplichting op, ook al worden deze termen niet expliciet genoemd. In de literatuur zijn opmerkingen gemaakt over het abstracte karakter van artikel 25 AVG. Zo zijn er geluiden dat de eisen die in dit artikel zijn opgenomen, het midden houden tussen een abstract geformuleerd beginsel en een min of meer concrete opdracht.[1] Deze kritiek is mijns inziens terecht. Goed beschouwd noemt artikel 25 lid m1 AVG slechts twee concrete verplichtingen:

• Dataminimalisatie (zie ook artikel 5 lid 1 sub c AVG): alleen strikt noodzakelijke gegevens verzamelen
• Pseudonimiseren (zie ook artikel 4 lid 5 AVG)
Verder bevat de AVG een aantal afzonderlijke bepalingen met verplichtingen die nauw samenhangen met privacy by design & default. Je kunt het ook anders
stellen: om te kunnen voldoen aan deze verplichtingen is het noodzakelijk privacy by design toe te passen:
• Encryptie (artikel 6 lid 4 sub e, artikel
32 lid 1 sub a AVG)
• Bewaren (artikel 5 lid 1 sub e AVG).

UITLEG IN DE PRAKTIJK
De vraag is: Hoe moeten deze (deels abstracte) verplichtingen in de praktijk worden uitgevoerd? Welk houvast hebben bedrijven en organisaties daarbij? In 2015, al voor invoering van de AVG, heeft ENISA [2] in haar rapport ‘Privacy and Data Protection by Design – from policy to engineering’[3] getracht een brug te bouwen tussen ‘the legal framework’ en ‘the available technologies implementation measures’. Vier jaar mlater heeft de EDPD[4] richtlijnen[5] gepubliceerd over de toepassing van data protection by design en default. Ondanks de goedbedoelde pogingen bieden de richtlijnen niet het houvast die zij beoogden te bieden. Bestudering van de richtlijnen leidt mijns inziens tot de conclusie dat slechts een aantal voorbeelden en handvatten wordt gegeven, maar dat de richtlijnen toch vrij abstract blijven. Hetzelfde geldt voor het eerder verschenen ENISA-rapport. ENISA is deze mening overigens ook zelf aangedaan. In haar rapport ‘Guidance and gaps analysis for European Standardisation’[6] komt zij onder meer tot de volgende bevindingen:

• Het concept van privacy by design en de implementatie ervan worden nog steeds niet duidelijk gepresenteerd, ondanks een algemene consensus over waargenomen voordelen;
• Het aantonen van naleving van privacynormen op het gebied van informatiebeveiliging is niet zo eenvoudig als toen een datalek in de systemen van de GGD werd geconstateerd. In de Kamerbrief van staatssecretaris Knops van BZK naar aanleiding van de motie Kröger c.s., wordt privacy by design expliciet genoemd, evenals de zeven principes van Ann Cavoukian. In de brief wordt gerefereerd aan de overheidsbrede maatregelen die reeds zijn getroffen, waaronder het instrument Inkoopeisen Cybersecurity Overheid (ICO). Tegelijkertijd geeft de staatssecretaris aan dat deze maatregelen verder aangevuld dienen te worden vanuit de zeven principes.[7] Ook in het Cybersecuritybeeld Nederland 2021[8] van het NCTV[9] en het NCSC[10] wordt expliciet benoemd dat een baseline[11] niet voldoende is en wordt de noodzaak van nadere regulering erkend.

VERANTWOORDELIJKHEID VOOR SECURITY BY DESIGN
Ervan uitgaande dat het Europees en Nederlands voornemen om privacy (en daarmee security) by design nadere invulling te geven daadwerkelijk wordt gerealiseerd, is het de vraag wie verantwoordelijk is voor de juiste toepassing daarvan. Op grond van de AVG is privacy & security by design een verplichting van de verwerkingsverantwoordelijke (in veel gevallen de opdrachtgever). De praktijk is echter, dat verwerkingsverantwoordelijken software niet zelf ontwikkelen en dat door de opdrachtgever vaak te weinig eisen worden gesteld ten aanzien van beveiliging. Dit heeft tot gevolg dat kwetsbaarheden in de software vaak pas aan het licht komen in de gebruiksfase, soms pas op het moment dat er een cyberincident plaatsvindt. Dit is uiteraard een onwenselijke zaak. Het zou daarom goed zijn als de verplichting van security by design zich ook rechtstreeks zou richten tot developers en aanbieders. Met name bij standaardsoftware zou het mijns inziens zo moeten zijn dat een afnemer erop zou moeten kunnen vertrouwen dat bij de ontwikkeling van de software security by design is toegepast: Veiligheid van begin tot eind, bescherming tijdens de volledige levenscyclus (waarbij geldt dat de toepassing en het gebruik van standaardsoftware eveneens bepalend zijn voor de veiligheid en deze factoren uiteraard buiten de invloedsfeer en verantwoordelijkheid van de developers en aanbieders liggen). Daarbij komen we wel weer terug op een eerder punt, te weten dat eerst op Europees niveau nadere invulling zal moeten worden gegeven aan de verplichtingen die security by design met zich meebrengt. Om het niet nog complexer en enigszins behapbaar te houden laten we het mondiale karakter van digitalisering vooralsnog buiten beschouwing.

GEEN NIEUW MODEWOORD
Security by design is geen nieuw modewoord. Het bestaat al sinds de jaren 90 en in inmiddels gecodificeerd. Het belang van security by design als onderdeel van privacy by design in de strijd tegen cybercrime staat buiten kijf. Het ontbreken van een definitie en concrete invulling van security by design op Nederlands en Europees niveau heeft echter tot gevolg dat het voor bestuurders en developers op dit moment onvoldoende duidelijk is wat nu precies van hen wordt verwacht. Om cyberrisico’s het hoofd te kunnen bieden is het van belang dat deze nadere invulling op korte termijn komt.

ATTENTIEPUNTEN
• Security by design is een belangrijk instrument bij het weerbaar maken van een organisatie tegen cybercriminaliteit; hoe eerder securityvraagstukken worden meegenomen in het ontwikkeltraject, des te meer impact de maatregelen zullen hebben;
• De AVG gaat uit van accountability. Het is dan ook van belang te documenteren op welke wijze aan de verplichting van privacy & security by design is voldaan.
• Bij een gebrek aan concrete handvatten voor de concrete invulling van privacy & security by design doen organisaties en bedrijven er vooralsnog goed
aan de bestaande richtlijnen/baselines te volgen, aangevuld met een risicoanalyse op organisatieniveau.
• Bestuurders van verwerkingsverantwoordelijken zijn verantwoordelijk voor een adequate omgang met digitale risico’s. Zolang de verplichting van privacy & security by design zich niet (ook) rechtstreeks tot developers en aanbieders van software richt, is het zaak concrete eisen te stellen aan developers en aanbieders (en deze eisen weer te documenteren in het kader van accountability).

Voetnoten
[1] Zie bijvoorbeeld H.J. Bolte in ‘EDPB richtlijnen over Data Protection by Design en Default’ in Privacy & Informatie (P&I)
[2] European Union Agency for Cybersecurity
[3] https://www.enisa.europa.eu/publications/privacy-and-data-protection-by…
[4] European Data Protection Board
[5] Guidelines 4/2019 on Article 25 Data Protection by Design and Default
[6] https://www.enisa.europa.eu/publications/guidance-and-gaps-analysis-for…
[7] De verwachting was dat deze invulling in de loop van 2021 gereed zou zijn.
[8] https://www.nctv.nl/documenten/publicaties/2021/06/28/cybersecuritybeeld-nederland-2021
[9] Nationaal Coördinator Terrorismebestrijding en Veiligheid
[10] Nationaal Cyber Security Centrum
[11] https://www.ncsc.nl/documenten/
publicaties/2021/juni/28/handreikingcybersecuritymaatregelen

In 2021 schreef ik een blog over de aansprakelijkheid van IT-leveranciers bij ransomware. Destijds drongen geschillen over de nasleep van cyberaanvallen mondjesmaat door in de rechtspraak. Op 10 mei 2023 deed de rechtbank Overijssel een belangwekkende uitspraak over dit onderwerp. Reden om opnieuw bij dit thema stil te staan.

Kasteel en slotgracht

De gemeente Hof van Twente werd op 1 december 2020 getroffen door ransomware waarbij de systemen van de gemeente, inclusief back-ups, werden versleuteld en ontoegankelijk werden gemaakt. Omdat de gemeente weigerde losgeld te betalen moest zij haar systemen helemaal opnieuw opbouwen. De kosten hiervan bedroegen enkele miljoenen euro’s.

De gemeente trachtte deze kosten vervolgens te verhalen op haar IT-leverancier, die volgens de gemeente had verzuimd adequate beveiligingsmaatregelen te treffen. De rechtbank wijst de vorderingen echter af. De rechtbank begint de uitspraak met een tot de verbeelding sprekende samenvatting:

In de beeldspraak van de gemeente: [bedrijf 1] diende haar kasteel (netwerk) te voorzien van een slotgracht, muren en bewakers zodat het niet kon worden binnengevallen en heeft verzuimd dat te doen. De rechtbank is van oordeel dat [bedrijf 1], gelet op haar contractuele verplichtingen en zorgplicht, wel heeft gezorgd voor de slotgracht, muren en bewakers, maar dat de gemeente een door haar beheerde achterdeur die toegang gaf tot het kasteel, heeft opengezet door de brug neer te laten (de RDP-poort open te zetten) en een makkelijk te raden code (wachtwoord) voor het openen van de deur in te stellen, waardoor de bewakers niet ingrepen.

Inhoud overeenkomst

Cruciaal voor het oordeel van de rechtbank is de inhoud van de overeenkomst. Uit de overeenkomst in kwestie bleek namelijk dat de IT-leverancier wel verantwoordelijk was voor de functionele monitoring van het netwerk, maar niet voor de security monitoring. Ook bleek daaruit dat de segmentatie van het netwerk niet tot de verantwoordelijkheden van de desbetreffende leverancier behoorde en dat de gemeente de leverancier feitelijk had geïnstrueerd om de back-up weliswaar off-site te plaatsen (op een andere locatie), maar niet ook offline (de back-up was met andere woorden nog steeds via het internet benaderbaar, en moest dit conform de contractuele afspraken ook zijn).

Interessant is verder dat in de overeenkomst een bepaling was opgenomen met als strekking dat de informatiebeveiliging moest voldoen aan het informatiebeveiligingsbeleid van de gemeente, waaraan was toegevoegd dat dit beleid was “gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. Deze laatste toevoeging leidde er volgens de rechtbank niet toe dat daarmee de BIO en/of de BIG onderdeel waren gaan uitmaken van de overeenkomst.

Ten slotte was de gemeente zelf verantwoordelijk voor het opstellen van het wachtwoordbeleid. Ook had een medewerker van de gemeente zelf een regel in de firewall gewijzigd waardoor een RDP-poort was opengezet en had een medewerker van de gemeente met beheerderrechten zelf een zwak wachtwoord ingesteld (‘Welkom2020’), welk wachtwoord overigens voldeed aan het door de gemeente opgestelde wachtwoordbeleid.

Gelet op deze feiten en omstandigheden, oordeelt de rechtbank dat de IT-leverancier geen wanprestatie heeft gepleegd.

Zorgplicht en het transparantiebeginsel

In het blog uit 2021 drukte ik IT-leveranciers nog op het hart niet te licht te denken over de zorgplicht die zij hebben als professioneel opdrachtnemer. Dit naar aanleiding van enkele uitspraken waarin relatief zwaar werd getild aan deze zorgplicht. De uitspraak in de kwestie van het Hof van Twente kan worden gelezen als een nuancering van die rechtspraak.

Interessant is de overweging van de rechtbank dat er mogelijk zeer beperkt ruimte bestaat om toepassing te geven aan het leerstuk van de zorgplicht wanneer een leverancier is geselecteerd op basis van een Europese aanbesteding. In dat geval dient de opdrachtgever immers te voldoen aan het transparantiebeginsel (artikel 1.9 AW). Het transparantiebeginsel vereist dat alle toepasselijke voorwaarden op duidelijke, precieze en ondubbelzinnige wijze worden geformuleerd. Het leerstuk van de zorgplicht impliceert echter dat er verplichtingen rusten op de IT-leverancier die niet uitdrukkelijk in het contract zijn opgenomen. In die zin zijn deze verplichtingen mogelijk dus niet transparant te noemen. In deze uitspraak signaleert de rechtbank dit aspect vooral als vraag, zonder daarop een definitief antwoord te geven.

Overigens zou deze redenering ook gevolgen kunnen hebben voor overheidsopdrachten die onder de drempel voor Europees aanbesteden vallen. Het transparantiebeginsel is door de nationale wetgever namelijk niet alleen geïmplementeerd voor Europese aanbestedingen, maar is ook van toepassing verklaard op nationale aanbestedingen (artikel 1.12 lid 2 AW).

Ten slotte

Al met al onderstreept de uitspraak het belang van het maken van goede contractuele afspraken over cybersecurity. Juist bij een onderwerp als cybersecurity is dit belangrijk, omdat voor een passende informatiebeveiliging zoals vereist door onder meer de AVG en NIS2 nu eenmaal veel moet worden geregeld. Het gaat om firewalls, netwerksegmentatie, wachtwoordbeleid, patchmanagement, netwerkmonitoring, back-ups, et cetera, et cetera. En de verantwoordelijkheden voor al deze aspecten liggen zelden allemaal bij een en dezelfde partij. Het devies is dus om voldoende tijd te nemen voor het uitwerken van een duidelijke en afgewogen contractuele regeling.

Wilt u meer weten over contracteren over cybersecurity of over aansprakelijkheid voor schade bij hacks en andere securityincidenten? Neem gerust contact op met ons team.

Jeroen van Helden, advocaat IT, Privacy & Cybersecurity

In de Jaargids Advocatuur 2023 van Het Financieele Dagblad, het verhaal van Natascha van Duuren. De Clercq is pionier op het gebied van IT-recht en expert op het gebied van cybersecurity wet- en regelgeving.

Natascha van Duuren leidt het Cybersecurity Team van De Clercq dat ondernemers helpt tijdig te voldoen aan alle wet- en regelgeving die op hen afkomt en ondernemers adviseert hoe zij cyberrisico’s kunnen beperken. Als ondernemers onverhoopt toch getroffen worden door een incident, dan is het van belang dat zij onmiddellijk een beroep kunnen doen op expert die hen adviseren en bijstaan bij de afhandeling van een incident. Daar komt veel bij kijken en dat vereist specialistische kennis. Het team staat 24/7 klaar voor ondernemers die door een cyberaanval zijn getroffen om hen van A tot Z te begeleiden bij de afhandeling van het incident. De Clercq beschikt over een groot netwerk met forensisch IT-specialisten en andere adviseurs waarmee zij korte lijnen heeft en snel kan schakelen.

Volgens cybersecurity experts is het einde van de exponentiële groei van cyberaanvallen helaas nog niet in zicht zodat cybersecurity prioriteit nummer één van boardrooms moet zijn en blijven.

Lees hier het hele artikel: Jaargids Advocatuur 2023

Infecting systems with ransomware has become a solid revenue model for criminals in recent years. Security measures are crucial, but can never reduce the risk to zero. Our IT, Privacy & Cybersecurity team assists clients in the aftermath of cyber incidents. Jeroen van Helden recently spoke about this during Commvault Connections Benelux and an interview with him appeared on the Computable website.

To help organisations prepare for a potential attack, we have put together a handy infographic outlining five action points to include in your cyber legal playbook.

De vraag naar personeel in de IT-sector is al jarenlang onverminderd groot. Het is lastig om voldoende personeel te werven en werkgevers hebben moeite om hun personeel vast te houden. Regelmatig wordt in contracten dan ook een verbod opgenomen om elkaars personeel niet in dienst te nemen. Dit verbod geldt vaak tot een jaar na het einde van de overeenkomst. Is een dergelijke afspraak wel toegestaan?

Uitgangspunt is dat bedrijven mogen samenwerken. Er zijn echter grenzen. Bedrijven mogen geen afspraken maken die de concurrentie beperken. Doen zij dat wel, dan vormen zij een kartel. Kartelafspraken zijn streng verboden. Een van die verboden kartelafspraken is de afspraak om géén personeel van elkaar over te nemen. Dergelijke marktverdelingsafspraken beperken immers de mogelijkheden voor ondernemingen om met elkaar te concurreren door arbeid tegen bepaalde voorwaarden aan te trekken.

Hoe zit het dan met afspraken tussen (IT-)leveranciers en afnemers? Ook in deze contracten is vaak een verbod opgenomen om elkaars personeel niet in dienst te nemen. Is dit dan wel toegestaan? Het antwoord is helder. Ook dit is niet toegestaan. Vanuit het mededingingsrecht gezien zijn ondernemingen die concurreren om arbeid doordat zij dezelfde werknemers willen aantrekken of zzp’ers willen inhuren, op die arbeidsmarkt concurrenten van elkaar, ongeacht of zij aan hun afnemers met elkaar concurrerende producten of diensten leveren. Dit is ook logisch. IT-leveranciers en (interne) IT-afdelingen van bedrijven en organisaties concurreren immers om dezelfde IT-ers.

Uitgangspunt is dus dat werknemers de vrijheid hebben om te werken bij wie ze willen en dat het werkgevers niet is toegestaan afspraken te maken die de concurrentie op de arbeidsmarkt beperken. Slechts onder bepaalde voorwaarden is het toegestaan arbeidsmarktafspraken te maken. Bijvoorbeeld indien deze voorwaarden noodzakelijk zijn voor een fusie, overname of joint venture. Het kan bijvoorbeeld nodig zijn om af te spreken dat de verkoper gedurende een beperkte periode geen personeel mag werven bij de koper om de waarde van de over te nemen onderneming te beschermen. Dergelijke afspraken worden ook wel “nevenrestricties” genoemd.

De ACM geeft op haar website aan dat zij het afgelopen jaar meerdere signalen heeft ontvangen over mogelijke verboden afspraken op de arbeidsmarkt. ACM waarschuwt werkgevers dan ook: “Afspraken over níet in dienst nemen elkaars personeel zijn verboden”. De ACM is verantwoordelijk voor het toezicht op de naleving van de Mededingingswet. Iemand die vermoedt dat er toch verboden afspraken gemaakt worden, kan dit (anoniem) melden bij de ACM. Vervolgens kan de ACM kan bij een overtreding een boete opleggen. Werkgevers, opgelet dus!

Wilt u meer weten? Neem dan gerust contact op met Natascha van Duuren, partner en advocaat IT, IE & Privacy.

De AP maakt zich – in navolging van andere Europese privacywaakhonden –  grote zorgen over de privacyrisico’s die kleven aan het gebruik van verschillende Qatarese WK-apps en waarschuwde de fans voor vertrek naar Qatar. Het gaat hierbij in het bijzonder om de apps ‘Etheraz’ en ‘Hayya’. Deze apps dienen verplicht geïnstalleerd te worden door de verwachte 1,2 miljoen WK-bezoekers in Qatar, maar zijn ook in Nederland te downloaden en gebruiken.

Na onderzoek van de Duitse privacywaakhond zijn verschillende privacyrisico’s geïdentificeerd. Zo is allereerst gebleken dat één van de apps de belgegevens verzamelt van het toestel waarop zij geïnstalleerd is. In andere woorden, de app kan zien of en met welke nummers er wordt gebeld. Los van het feit dat dit in veel gevallen onwenselijk is, zou het in Nederland ook nog eens ongrondwettelijk kunnen zijn. Het lijkt immers aannemelijk dat deze gegevensverwerking, nog los van alle botsingen met AVG-bepalingen, in het bijzonder strijdig is met telefoongeheim als verankerd in artikel 13 van de Nederlandse Grondwet.

Een tweede risico is gelegen in het feit dat de gegevensverwerking van de apps veel verder gaat dan wordt aangegeven in de vooraf verstrekte privacyverklaring. Zo kunnen de apps vermoedelijk ook informatie verzamelen over “welke apps er allemaal op een telefoon staan”. De AP waarschuwt dat het dus ook kan gaan om “een dating-app waaruit iemands seksuele voorkeur blijkt”. Ook de afbeeldingengalerij is niet veilig, aangezien het “mogelijk [is] dat de apps toegang hebben tot de foto’s van de gebruikers”. Bovendien worden deze gegevens niet slechts lokaal opgeslagen, maar “doorgestuurd naar een centrale server”.

Kortom, “de kans is reëel dat bezoekers aan Qatar worden gecontroleerd door Qatarese autoriteiten”, om met de woorden van de Noorse privacywaakhond te spreken. Daarom raden de privacywaakhonden aan om de apps slechts te downloaden indien dit “volstrekt noodzakelijk” is. En als dit zo is, de apps alleen te downloaden op een zogenaamde “black phone”. Dit is een telefoon die verder helemaal leeg is en alleen gebruikt wordt voor dit doel.

 

Wilt u meer weten over privacy risico’s van apps? Neem dan contact op met Natascha van Duuren, partner en advocaat IT, IE & Privacy.

Uitbesteden is nog steeds hot . Uit een recent onderzoek blijkt dat de Nederlandse IT-outsourcingmarkt zal blijven groeien. Toch zijn er ook bedrijven die aarzelen of juist gas willen terugnemen. Die aarzeling is niet onbegrijpelijk. IT-outsourcing blijft complex. Ook vanuit juridisch oogpunt.

Nog steeds groei

Bijna de helft van de respondenten geeft aan dat ze de komende twee jaar in een hoger tempo te zullen uitbesteden. Dit is momenteel het hoogste niveau in Europa. De plannen om te insourcen zijn gehalveerd, van 16% naar 8%. De financiële dienstverleningssector voorspelt de meeste outsourcinggroei: 64% van de organisaties is van plan meer uit te besteden. De hoofdredenen om te gaan outsourcen zijn: focus op kernactiviteiten, terugdringen van IT-kosten en verbetering van de IT-ondersteuning. Door outsourcing kun je focussen op waar je sterk in bent en ondersteunende taken, zoals IT, overdragen aan partijen die dáár sterk in zijn en ook schaal in hebben. Door die schaal kunnen deze partijen meer kwaliteit leveren tegen lagere kosten.

(Juridische) pitfalls

Onvoldoende oog voor eventuele beperkingen in licentievoorwaarden is een bekende juridische pitfall. In licentievoorwaarden van softwareleveranciers zijn immers vaak beperkingen opgenomen die outsourcing niet toestaan. Handelen in strijd met deze voorwaarden kan bedrijven duur komen te staan. Andere pitfalls zijn: geen heldere en meetbare service levels voor het gewenste niveau van dienstverlening, onvoldoende aandacht voor het borgen van de continuïteit van de dienstverlening, onvoldoende oog voor compliance met voorschriften en regelgeving en het ontbreken van een exitprocedure die de continuïteit van de dienstverlening waarborgt in de situatie dat partijen uit elkaar gaan.

Tips

Een outsourcing vergt een goede voorbereiding en een goede samenwerking, óók met juristen. Vanuit onze jarenlange ervaring met outsourcingstrajecten, geven wij u alvast de volgende tips mee:

Contracting with U.S. cloud service providers is a hot topic. This has everything to do with, on the one hand, the dominant position of American players in the global IT services market and, on the other hand, the strict European legislation on the transfer of personal data. Under what conditions can U.S. cloud service providers still be used? An overview and update.

The Internet is American

In many ways, the Internet is an American invention. In the 1960s, the U.S. Department of Defense was looking for a way for its globally-based personnel to exchange information regardless of where those personnel were located and regardless of the type of device they were working on. That system became ARPANET and ARPANET eventually became the Internet.

Much of today’s Internet infrastructure is still designed and built by American companies. This applies to the hardware (HP, Apple, Dell), the chips (Intel, Qualcomm) and to routers and modems (Cisco, Juniper). The market for web services and platforms for e-mail and cloud storage is also mainly in the hands of a few large U.S.-based players (Google, Oracle, Amazon, Microsoft). As a result, European organizations and companies are in many cases dependent on American parties for their IT needs.

European restrictions

Since 1981, a special legal regime has existed in Europe for the processing and transfer of personal data. This legal regime, which has meanwhile been laid down in Chapter V of the General Data Protection Regulation (GDPR), imposes restrictions on the free transfer of personal data. Under the GDPR, personal data can circulate freely within the European Economic Area (EEA), but the transfer of personal data to a country or territory outside the jurisdiction of one of the EEA member states is only permitted if strict requirements are met. The European legislator thus wanted to prevent the level of legal protection that the GDPR aims to guarantee from being easily circumvented by transferring data processing activities abroad.

Since a lot of computing power and data processing has been moved from local PCs to central servers of cloud service providers since the 10s, the legal regime on international data transfers has grown significantly in importance.

Three-pronged analysis

In the event of an international data transfer, it must be assessed on the basis of a three-pronged analysis whether the transfer is permitted. If the European Commission has declared that a country outside the EEA offers an adequate level of protection, then personal data may be transferred to that country on the basis of the relevant adequacy decision. In the absence of an adequacy decision, appropriate safeguards are required. The most important appropriate safeguards in practice are the Standard Contractual Clauses (SCCs) and Binding Corporate Rules (BCRs). If there are no appropriate safeguards either, a transfer may still be permitted in a few specific situations under strict conditions.

Schrems I and II

For the U.S., an adequacy decision has been issued twice by the European Commission. The first decision was better known as Safe Harbor and the second decision as the Privacy Shield. Both decisions were declared invalid by the Court of Justice of the European Union in 2015 (Schrems I) and 2020 (Schrems II), respectively. According to the CJEU, the agreements made in both instruments do not result in a level of protection for personal data that broadly corresponds to the level of protection in the Union. The European Commission should therefore not have issued the adequacy decisions.

According to the CJEU, the ‘shortage’ of protection in the U.S. lies in the fact that the powers of American intelligence agencies are formulated too broadly. Firstly, this concerns legislation that gives intelligence agencies the power to demand information concerning non-Americans from internet service providers and telecommunications companies (FISA 702). Second, it concerns the power to tap on submarine cables on the Atlantic seabed, and to collect and store this data before it arrives on U.S. territory (E.O. 12333). By European standards, this legislation contains insufficient guarantees to ensure that such far-reaching powers are only used when strictly necessary, according to the CJEU.

The Privacy Shield is dead, long live the SCCs?

The Privacy Shield can therefore no longer be used as a transfer mechanism. The question then arises as to whether it is possible to switch to the ‘second’ instrument, the appropriate safeguards. Unfortunately, this is difficult. In Schrems II, the CJEU also ruled that the SCCs and other appropriate safeguards do not operate in a vacuum. Companies wishing to transfer personal data on the basis of these tools must assess on a case-by-case basis whether the safeguards are actually effective. Sometimes additional safeguards will be required.

This reasoning is understandable. After all, SCCs do not alter or limit the powers of U.S. intelligence agencies. Nothing in the SCCs prevents the NSA from requisitioning data under FISA 702 or the CIA tapping submarine cables under E.O. 12333. It would be strange if, because of those broad powers, a transfer could not be based on an adequacy decision, but could still be based on the SCCs that do not contain any guarantees against these broad authorities.

CLOUD Act

In 2013, Microsoft was ordered by a U.S. judge to surrender emails sent through its email platform (hotmail.com, msn.com, outlook.com) in connection with an investigation into illegal drug trafficking. The emails in question were stored on servers in Dublin, Ireland. Microsoft believed that the U.S. court had no jurisdiction to issue an injunction over data stored outside the U.S. and refused to comply with the injunction.

Microsoft was unsuccessful in first and second instance, but was successful on appeal to the Second Circuit Court in July 2016. According to the Second Circuit Court, there were insufficient leads to believe that the law on which the order was based had “extraterritorial” effect. While the case then went to the Supreme Court, Congress passed a new law called the Clarifying Lawful Overseas Use of Data Act (CLOUD Act). As the title implies, this law clarified that a court order can also apply to data stored on servers outside the United States.

Under the CLOUD Act, U.S. law enforcement agencies can thus recover data held by U.S. cloud service providers, regardless of where that data resides. This risk can be mitigated by making proper arrangements about inter alia encryption and about the IT supplier’s obligation to examine and challenge information requests.

Key attention points

Effectively, the foregoing means that the following attention points should at minimum be considered when contracting with U.S. cloud service providers.

  1. The transfer of personal data to a cloud service provider in the U.S. who must be able to access the data in the clear is effectively no longer possible since Schrems II. Not even when using SCCs.
  2. There is still scope to transfer personal data to the U.S. when the data (i) are pseudonymised; or (ii) encrypted with the cryptographic keys remaining under the control of the data exporter within the EEA.
  3. Today, almost all major cloud service providers offer the option of contractually agreeing that customer data will only be stored on servers within the EEA. Note that such an option generally only applies to data storage at rest and not to (i) customer data in transit; (ii) meta-data; and (iii) data processed in the context of support. Increasingly, cloud service providers are making efforts to keep such data also within EEA borders.
  4. Even if customer data is stored at rest in the EEA, U.S. cloud service providers may still be required under the CLOUD Act to transfer this data to U.S. government agencies. This risk can be mitigated by making proper arrangements about encryption and about examining and challenging information requests.
  5. Customers should carry out a thorough data transfer impact assessment (DTIA) to ensure that the above points are reviewed and that a documented risk assessment has been made.

Would you like to learn more about contracting with U.S. cloud service providers or need help conducting a DTIA? Feel free to contact our team.

Jeroen van Helden, attorney at law

Inschrijvingen voor it-aanbestedingen zijn aan zeer strikte regels gebonden. Een kleine fout of omissie bij de inschrijving is genoeg om uit de procedure te worden verwijderd. Aan dit formalisme wordt echter met steeds meer succes gemorreld. Herstel van sommige fouten is toegestaan. Rechters kiezen steeds meer voor de menselijke maat, constateren Menno de Wijs en Jeroen van Helden in hun artikel in AG Connect (mei 2022).

De wet van Moore heeft bewezen dat ontwikkelingen in de chipindustrie zeker niet stilstaan. In de juridische wereld is die vooruitgang minder eenvoudig te meten. Het IT-aanbestedingsrecht was echter ook in 2021 weer volop in beweging. Waar de chipindustrie mikt op meer transistors op een chip, roept men binnen de wereld van het aanbestedingsrecht juist om minder: minder regels en een minder formalistische opstelling van aanbestedende diensten.

Nieuwe wet- en regelgeving aanbestedingen

De wens brengt ons allereerst bij een in 2021 gepresenteerde wetswijziging van de Aanbestedingsweg. Aanbestedende diensten worden verplicht een onafhankelijk klachtenloket in te stellen. Dat zou moeten leiden tot minder procedures bij de rechtbanken en tot een snellere oplossing van klachten. De wetswijziging moet leiden tot een betere (rechts)bescherming van inschrijvers. Er komen dan ook meer eisen aan de motiveringsplicht bij selectie- en gunningsbeslissingen en het wordt makkelijker om een overeenkomst van de concurrent te vernietigen. Zo komt er een gloednieuwe vernietigingsgrond voor het geval sprake is van een grove schending van het aanbestedingsrecht. Bedoeling is dat het wetsvoorstel wordt aangenomen en in werking zal treden. Ultiem voorbeeld van formalisme zijn waarschijnlijk de zogenaamde rechtsverwerkingsclausules. Denk aan de bepaling dat het stellen van vragen altijd leidt tot verval van het recht om te mogen klagen. Dat is niet (meer) toegestaan, zo bepaalt de herziene Gids Proportionaliteit, die per 1 januari 2022 in werking is getreden. Nieuw is ook dat een aanbesteding dienst niet meer op voorhand mag bepalen dat het indienen van een klacht niet zal leiden tot opschorting van de lopende termijnen.

Verder lezen, download het volledige artikel (PDF) van Menno de Wijs, advocaat aanbestedingsrecht, en Jeroen van Helden, advocaat IT,  zoals dat is verschenen in AG Connect Mei 2022.