Advocaten en notariaat in Leiden en Den Haag
Menu

Het hing in de lucht na de conclusie van A-G Saugmandsgaard in december vorig jaar, maar nu is het officieel. De doorgifte van persoonsgegevens vanuit de Europese Unie naar organisaties in de Verenigde Staten mag niet gebaseerd worden op het Privacy Shield instrument, aldus de hoogste rechterlijke instelling van de Europese Unie. Wat betekent dit?

De AVG bepaalt dat de doorgifte van persoonsgegevens naar een derde land in beginsel slechts kan plaatsvinden indien het derde land een passend beschermingsniveau waarborgt. De bescherming moet in grote lijnen overeenkomen met de bescherming die binnen de Unie wordt geboden, zo oordeelde het Europees Hof in 2015 in Schrems I, waarin de Safe Harbor afspraken ongeldig werden verklaard.

In 2016 maakten de Europese Commissie en de autoriteiten in de Verenigde Staten nieuwe afspraken over de uitwisseling van persoonsgegevens, het Privacy Shield. Volgens de Commissie zou nu wel sprake zijn van een passend beschermingsniveau, mits de ontvangende organisatie in de Verenigde Staten zich zou certificeren voor het Privacy Shield.

Het Europees Hof denkt daar dus anders over.

Bedrijven en organisaties in de Europese Unie die op dit moment persoonsgegevens doorgeven aan organisaties in de Verenigde Staten die Privacy Shield gecertificeerd zijn, hebben twee opties: of zij staken de doorgiften (bijvoorbeeld door het contract te beëindigen of door af te spreken dat de persoonsgegevens voortaan worden opgeslagen en verwerkt in Europese datacenters) of zij zorgen voor een alternatief instrument.

Wat betreft alternatieven ligt het voor de hand gebruik te maken van door de Europese Commissie goedgekeurde standaardcontractbepalingen (SCC’s). Uit de uitspraak van het Europees Hof blijkt dat deze SCC’s geldig zijn (in ieder geval de verantwoordelijke-verwerker variant daarvan), al plaatst het Europees Hof ook enkele kanttekeningen en waarschuwingen voor lichtvaardig gebruik. Het blijft dus mogelijk persoonsgegevens door te geven aan organisaties in de Verenigde Staten, maar oplettendheid is geboden.

Wilt u meer weten, neem dan gerust contact op.

Jeroen van Helden, advocaat IT, IE & Privacy

De digitale transformatie vertoont veel parallellen met de Formule 1. Hoe zorg je voor een disruptie waardoor je ronde na ronde tijd pakt op de concurrentie? Hoe organisaties dat kunnen bereiken zie je in deze webinar serie georganiseerd door FutureXL. Experts uit verschillende velden presenteren in vijf ronden het parcours van de digitale transformatie. In het vierde deel kwam advocaat/partner Natascha van Duuren aan het woord. In dit deel stond het onderwerp Data & Wetgeving centraal.

De tech-reuzen, nieuwe technologieën of de hoeveelheid data die we overal achterlaten. Het is in alle opzichten een interessante tijd voor de wetgeving. Hoe omarmen we de technologische groei en alle mogelijkheden die dit meebrengt? Hoe moeten we omgaan met privacy en het intellectueel eigendom van data? Natascha van Duuren, André Biesheuvel en Ernst-Jan Louwers lichten dit toe.

U kunt het hele webinar nu hier bekijken.

 


Natascha van Duuren adviseert bij De Clercq nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. In 2013 werd Natascha door Global Law Experts uitgeroepen tot IT-Lawyer Of The Year. Sinds 2014 is zij  Managing Partner van De Clercq. Daarnaast is zij voorzitter van de Special Interest Group IT-Recht van het Ngi-NGN.

 

Een heel hoofdstuk in de Algemene verordening gegegevensbescherming (AVG) is gewijd aan internationale doorgiften van persoonsgegevens. Veel uitwisseling van data gaat uiteraard over het internet. Maar wat is eigenlijk een ‘doorgifte van persoonsgegevens’ in de context van het netwerk der netwerken, vraagt Jeroen van Helden zich af. Is dat publicatie van op het world wide web, het versturen van een e-mail, of data-invoer in een SaaS-applicatie? En hoe zit het met routering en hacks?

Voor AG Connect schreef specialist IT, IE & Privacy Jeroen van Helden een artikel over dit onderwerp. Wilt u het hele artikel lezen? Klik dan hier.

 

Jeroen van Helden: “Het vakgebied dat ik beoefen, het IT-recht, is niet gemakkelijk te definiëren. Elke sector van economie en maatschappij voelt inmiddels de (ontwrichtende) invloed van digitale informatietechnieken en ook geen rechtsgebied blijft daardoor onberoerd. Het vakgebied heeft daarom de neiging flink uit te waaien over de verschillende domeinen van het recht, van Burgerlijk Wetboek tot Aanbestedingswet en van e-Privacy Verordening tot Auteurswet. Dat maakt het vak wel zo interessant. Steeds komt het erop aan excellente kennis van het recht te combineren met goede kennis van informatietechnieken, om zo tot praktische oplossingen voor cliënten te komen. Dat vergt soms de nodige creativiteit, maar lukt eigenlijk altijd.”

Wilt u meer informatie over doorgifte van persoonsgegevens? Neem dan contact op met Jeroen of een van de andere specialisten van het team IT, IE & Privacy.

Een digitale transformatie. Dat is waar veel bedrijven anno 2020 naar streven. Een goed idee, maar bedenk wel: zo’n transformatie vergt een degelijke voorbereiding. Ook op juridisch vlak. Natascha van Duuren is voor FutureXL geïnterviewd over de juridische kant van digitale transformatie. Deze juridische kant is een belangrijk onderdeel van een digitale transformatie. Bedrijven die dat niet tijdig onderkennen, betalen daar vaak een hoge prijs voor. Dit is te voorkomen en dus onnodig. Lees hieronder het hele interview.

Stel je eens voor, je hebt al je data overgebracht naar een extern platform. Sterker nog, de aanbieder heeft dit platform enigszins aangepast, speciaal voor jouw organisatie. Jij betaalt een vast maandelijks bedrag, en nu kun jij al je data gemakkelijk benaderen. Een goed idee? Ja, zegt Natascha van Duuren, advocaat bij De Clercq, maar wel is het verstandig als je een aantal zaken goed hebt geregeld. “Wat gebeurt er bijvoorbeeld als de overeenkomst met deze aanbieder wordt beëindigd? Ik ben al 20 jaar IT-advocaat, en ik heb diverse gevallen gezien waarin dat uitmondde in een conflict. Als die aanbieder het platform inderdaad speciaal voor jou heeft aangepast, loop je het risico dat hij dat geïnvesteerde geld nu terug wil. Ook heb ik het meegemaakt dat alle data op een exotische manier waren opgeslagen, en dat het bedrijf ze terugkreeg in een totaal onwerkbaar formaat. Heel vervelend, want die data vormden het goud van de onderneming, en de directie had veel moeite gedaan om ze te verzamelen.”

Privacy

Zorg er van tevoren voor dat je zaken goed hebt geregeld. Het geldt ook voor de privacy. “Voor je je data gaat verzamelen, is het verstandig om je af te vragen of je die data inderdaad wel mag verzamelen”, zegt Van Duuren. “Wat bijvoorbeeld als mensen op allerlei formulieren gegevens hebben ingevuld, bijvoorbeeld over hun financiële situatie of gezondheid, gewoon omdat daarom werd gevraagd? Dat soort data mag je niet verzamelen en mag je dus ook niet verwerken. Dus op het moment dat je je data overbrengt naar een platform, moet je die privacy natuurlijk wel in je achterhoofd houden. Als je dat nalaat, kun je naar een digitale transformatie helemaal opnieuw beginnen. Privacy by design is dus heel belangrijk.”

Nog een punt van aandacht: met wie ga je in zee? “Een digitale transformatie valt nauwelijks te realiseren zonder een platform van andere partijen”, zegt Van Duuren. “En dus word je al snel afhankelijk van grote en machtige bedrijven als Google of Amazon. Amerikaanse ondernemingen dus, maar wil je werkelijk dat de Amerikaanse overheid dadelijk inzage kan vragen in de data van jouw bedrijf? Ook dat is iets waar je van tevoren goed over na moet denken.”

Volgens Van Duuren moeten bedrijven bepalen welke data voor hen van strategisch belang zijn. En ook: op welke wijze zij ervoor kunnen zorgen dat zij grip houden op deze data. “Dit betekent niet alleen dat je moet voorkomen dat je een te grote afhankelijkheid krijgt van grote marktpartijen, maar ook dat je waarborgt dat je te allen tijde over de data kunt beschikken. Data is immers het nieuwe goud van een onderneming.”

Algoritmes

Dat laatste mag zo zijn, maar data hebben geen zelfstandige waarde. Er wordt pas waarde gecreëerd door tools toe te passen. Bijvoorbeeld algoritmes, waarmee een bedrijf die data kan analyseren. Heel handig, geeft Van Duuren toe, maar diezelfde algoritmes leiden ook tot risico’s. “Stel, je gebruikt ze om een analyse te maken van je klanten door datasets te combineren. En opeens blijkt dat sommigen van die klanten een hogere prijs betalen voor jouw dienstverlening. Dan moet je dat kunnen uitleggen. Heel vervelend als dan blijkt dat sommige mensen worden gediscrimineerd, bijvoorbeeld omdat ze in een bepaalde wijk wonen of vanwege hun migratieachtergrond. Bijna net zo vervelend is het als je de beslissingen van zo’n algoritme helemaal niet kunt uitleggen, want dat ben je wettelijk wél verplicht. En dat kan in de toekomst steeds vaker voorkomen, want algoritmes worden steeds ingewikkelder. Nogmaals, digitale transformatie en datacentristisch werken bieden grote voordelen, maar je doet er verstandig aan om de zaken van tevoren heel goed te regelen.”

Heeft u vragen over digitale transformaties? Neem dan contact op met Natascha van Duuren, advocaat/partner IT, IE & Privacy.

Deze maand verscheen in AG Connect Magazine een interview met Natascha van Duuren. Daarin vertelt zij meer over de KNVI (Koninklijke Nederlandse Vereniging van Informatieprofessionals) en in het bijzonder over de Special Interest Group (SIG) IT recht, waar zij voorzitter van is. U kunt het interview hier lezen.


Natascha van Duuren adviseert bij De Clercq nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Dankzij haar analytische vermogen, projectmatige aanpak en grote toewijding is ze al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. In 2013 werd Natascha door Global Law Experts uitgeroepen tot IT-Lawyer Of The Year. Sinds 2014 is zij  Managing Partner van De Clercq. Daarnaast is zij voorzitter van de Special Interest Group IT-Recht van het Ngi-NGN.

 

De KNVI is in Nederland hét platform voor Professionals in Informatiemanagement, Informatietechnologie en Informatievoorziening, waar iedere professional in deze disciplines zich thuis voelt. Informatie speelt een leidende rol speelt in de ontwikkeling van mens en maatschappij. Wij zien het dan ook als onze taak om de ontwikkeling van informatieprofessionals te bevorderen, door samen te werken, te faciliteren, elkaar te ontmoeten, focus aan te brengen en voorop te lopen. Daarbij houden we rekening met onze kernwaarden onafhankelijkheid, integriteit, professionaliteit.

Over de veelbesproken corona-apps is nog veel onduidelijk. Wel is duidelijk dat wordt nagedacht over een functionaliteit waarbij je als gebruiker een waarschuwing op je telefoon krijgt op het moment dat je onlangs in de buurt zou zijn geweest van iemand bij wie het virus is geconstateerd. Die waarschuwing zou als advies kunnen gelden of (en dat is natuurlijk verdergaand) als verplichting om thuis te blijven. In meer extreme scenario’s, is het laten zien van jouw score in de app verplicht voor het verkrijgen van toegang tot openbaar vervoer, overheidsgebouwen, werk, bioscopen, cafés en restaurants, et cetera.

Dat zijn vergaande gevolgen die worden verbonden aan de werking van een app. Veel mensen stellen zich de vraag of dit een voorbode is van een samenleving waarin de overheid ons kan volgen. Een samenleving waarin een overheid ons niet alleen kan volgen, maar wellicht ook controleren en naar aanleiding hiervan sancties op kan leggen. Een situatie die in China al aan de orde van de dag is.

Allereerst terug naar de corona-app. Aan een dergelijke app dienen eisen te worden gesteld die verdergaan dan aandacht voor privacy en beveiliging alleen.

Een fundamentele vraag is bijvoorbeeld hoe het signaal dat iemand positief is getest in de app terecht komt. Mag je bijvoorbeeld als je besmet bent zelf op de noodknop in de app drukken of mag alleen de GGD-arts dat? Stel dat de GGD-arts dit als enige zou mogen doen, hoe gaat dit dan in zijn werk? Bestaat er een centrale database waarin de arts jouw gegevens invoert? Of krijg je bijvoorbeeld een unieke code bij de uitkomst van je corona-test die je zelf kan scannen in de app? Wat zijn hier de fundamentele uitgangspunten en randvoorwaarden om te voorkomen dat verkeerde signalen in de app terechtkomen?

Een ander zeer fundamenteel punt is de rechtsbescherming. Bestaan er mogelijkheden om de uitkomst van de app aan te vechten? Stel je krijgt een melding dat je de afgelopen 48 uur in de buurt bent geweest van iemand die positief is getest en je moet de komende twee weken binnen blijven. Echter, de afgelopen 48 uur zat je geheel alleen in je eigen appartement. Dat weet je heel zeker. De app heeft het dus bij het verkeerde eind. En overmorgen heb je nog wel een belangrijke zakelijke bespreking of de begrafenis van een dierbare. Welke mogelijkheden tot betrouwbare en effectieve rechtsbescherming zijn er dan?

Uiteraard beschermen de Grondwet en mensenrechtenverdragen het recht op bewegingsvrijheid en het recht van vereniging en betoging. Beperkingen van die rechten zijn alleen toegestaan als de wet daarin voorziet. De wettelijke basis voor veel van de huidige beperkende maatregelen is te vinden in de Wet publieke gezondheid (Wpg) en de Wet veiligheidsregio’s (Wvr). Of die wetten ook een voldoende basis vormen voor eventuele vrijheidsbeperkende maatregelen die samenhangen met een corona-app zal moeten worden bezien. Bovendien is een beperking van grondrechten alleen toegestaan als de maatregelen noodzakelijk en proportioneel zijn. Ook daar zal zorgvuldig naar gekeken moeten worden.

Ook de Algemene verordening gegevensbescherming (AVG) bevat een relevant kader. Zo zal de partij die verantwoordelijk is voor de app de gebruikers daarvan moeten informeren over de “onderliggende logica” van die applicatie (artikel 13 en 14 AVG). Daarvoor is niet nodig dat de werking van de app in technisch detail wordt uitgelegd of dat het algoritme openbaar wordt gemaakt. Wel moet op begrijpelijke wijze duidelijk worden gemaakt hoe de app werkt en op basis van welke criteria tot een besluit wordt gekomen. Voor de acceptatie van en het vertrouwen in zo’n app lijkt dit ook van groot belang te zijn.

Verder kent de AVG als uitgangspunt dat niemand onderworpen mag worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem of haar belangrijke (rechts)gevolgen zijn verbonden (artikel 22 AVG). In dat geval moet de burger altijd de mogelijkheid hebben een mens (alsnog) naar het besluit te laten kijken, zijn standpunt kenbaar te maken of het besluit in rechte aan te vechten. Vergelijkbare waarborgen vloeien voort uit de Algemene wet bestuursrecht (Awb), voor zover het besluit zou gelden als een besluit van een bestuursorgaan.

Een eventuele corona-app moet dus niet alleen aan de beginselen van privacy by design voldoen en passende bescherming bieden tegen cyberdreigingen, maar ook de bredere, grondrechtelijke inbedding van die app moet op orde zijn. Naarmate de gevolgen van de app verder reiken, zal ook kritischer gekeken moeten worden naar zaken als zorgvuldigheid, proportionaliteit en effectieve rechtsbescherming.

Het feit dat de overheid bijna een maand na de aankondiging van de corona-app nog geen app heeft geïntroduceerd, toont wel aan dat het niet eenvoudig is een app te introduceren waarbij antwoord wordt gegeven op bovenstaande vragen en waarbij wordt voldaan aan alle wettelijke vereisten. Ook bij de introductie van gelijksoortige apps in de toekomst, zullen deze punten moeten kunnen worden “afgevinkt”. Het ligt dan ook niet in de lijn der verwachting dat wij op korte termijn naar een situatie toegaan waarin wij door middel van apps door onze overheid worden gevolgd.

Heeft u vragen? Neem dan contact op met Natascha van Duuren, advocaat/partner IT, IE & Privacy


KNVI Fellows gaan vragen van leden beantwoorden over de gevolgen van de Covid-19 pandemie voor de ontwikkeling en het gebruik van ICT en gegevensverwerking. Fellows van de interessegroepen IT en Recht en Beveiliging nemen het voortouw om een antwoord te formuleren op vragen die samenhangen met het ‘nieuwe normaal’. Dit artikel is een beantwoording van een van deze vragen door Natascha van Duuren, voorzitter van de Special Interest Group IT & Recht. 

Meer weten over de Q&A’s? Lees de speciale nieuwsbrief erover! En stel je vraag! 

De Autoriteit Persoonsgegevens (AP) heeft een boete van EUR 750.000 opgelegd aan een bedrijf voor het vastleggen van vingerafdrukken van werknemers. De vingerafdrukken werden gebruikt voor in- en uitklokken. De AP legde de boete in december vorig jaar op en maakte het boetebesluit onlangs openbaar.

Het leek de directeur van dit bedrijf nog zo’n goed idee. Door over te schakelen op een systeem van in- en uitklokken met vingerafdrukscans, zouden werknemers hun toegangspas niet meer kunnen uitlenen aan collega’s, met als gevolg dat misbruik zou afnemen. Ook zouden kosten voor aanschaf, verlies en beschadiging van toegangspasjes voortaan tot het verleden behoren en zou het nieuwe systeem een bijdrage kunnen leveren aan de veiligheid van bedrijfsruimten en computersystemen.

De nieuwe methode werkte ongeveer als volgt. Bij aanvang van een dienstverband werd bij de nieuwe werknemer een tweetal vingerafdrukken afgenomen. Op basis van die afdrukken werd vervolgens een digitaal vingerafdruktemplate gegenereerd dat werd opgeslagen als tekstbestand. Productiemedewerkers konden in- en uitklokken door hun vinger in een scanapparaat te leggen. De vingerafdruk werd dan vergeleken met het digitaal opgeslagen template om zo de identiteit van de medewerker te bevestigen.

Uit onderzoek van de AP bleek dat het bedrijf vingerafdrukken van 337 (voormalige) werknemers gedurende enkele jaren had opgeslagen en verwerkt.

De AVG kent specifieke regels voor zogeheten biometrische gegevens. De AVG omschrijft een biometrisch gegeven als volgt:

“persoonsgegevens die het resultaat zijn van een specifieke technische verwerking met betrekking tot de fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon op grond waarvan eenduidige identificatie van die natuurlijke persoon mogelijk is of wordt bevestigd, zoals gezichtsafbeel­dingen of vingerafdrukgegevens”

Een vingerafdrukgegeven is dus een biometrisch gegeven. Zo’n gegeven mag eigenlijk alleen worden verwerkt met uitdrukkelijke toestemming van de betrokkene of als dit noodzakelijk en proportioneel is voor beveiliging of authenticatiedoeleinden.

Toestemming in de hiërarchische relatie tussen werkgever en werknemer is in het algemeen lastig en is voor werkgevers daarom zelden een toereikende rechtsgrond. In dit geval kon de werkgever bovendien niet goed aantonen dat werknemers uitdrukkelijk, vrijelijk en goed geïnformeerd hadden ingestemd met het scanregime. Volgens de AP kon de verwerking dus niet op toestemming gebaseerd worden.

Ook was de verwerking volgens de toezichthouder niet noodzakelijk en proportioneel voor beveiliging of authenticatie. Uit het gepubliceerde boetebesluit wordt niet helemaal duidelijk welke werkzaamheden het bedrijf in kwestie precies deed. In ieder geval waren de werkzaamheden niet van dien aard dat het vastleggen van biometrische informatie nodig was om de toegangsbeveiliging goed te regelen. Dat had ook op andere, minder ingrijpende manieren gekund, zo oordeelt de AP. Ook deze grondslag was dus niet toereikend.

Jeroen van Helden, advocaat IT, IE & Privacy

Stel de aanbestedende dienst vraagt u om bij uw inschrijving referenties op te geven. Deze referenties dienen om uw ervaring aan te tonen. De aanbestedende dienst eist namelijk dat u ervaring heeft met een bepaalt type dienstverlening of levering van een bepaalt product. Ter verificatie van uw inschrijving neemt de aanbestedende dienst contact op met de – door u als inschrijver – opgegeven referent. Deze referent verklaart vervolgens onterecht dat u niet beschikt over de gevraagde ervaring. Een vergissing is immers menselijk. Kunt u als inschrijver nog iets doen?

Exact deze vraag lag voor in een kort geding dat uiteindelijk terecht is gekomen bij de Hoge Raad. Op 24 april 2020 wees de Hoge Raad zijn lang verwachte arrest (klik) in aansluiting op de conclusie van de Procureur-Generaal die een half jaar geleden werd gepubliceerd (klik).

Het Hof oordeelde – in het arrest dat vooraf gaat aan dit arrest – dat de inschrijver voldoende had aangetoond dat de referent onjuiste informatie had verstrekt. De inschrijver voldeed wel degelijk aan de eisen. Foutje van de referent dus. De conclusie was dat de opdracht aan de afgewezen inschrijver moest worden gegund. De aanbestedende dienst ging in cassatie.

Interessant is dat de PG bij de Hoge Raad hierbij wijst op de wellicht onhandige wijze waarop de aanbestedende dienst de verificatie heeft opgenomen:

Mogelijk heeft de Aanbestedende dienst discussies over de ervaringseis hier een beetje over zichzelf heeft afgeroepen door in de offerteaanvraag onder “Bewijs ervaring” enkel te vragen om een opgave van een of meer referenties. Dat bergt het risico in zich dat bij het natrekken van die referenties informatie wordt verkregen die de inschrijver mogelijk zal betwisten als hij daarop wordt afgewezen.”

Het had verstandiger geweest als de aanbestedende dienst de inschrijver had gevraagd om een concreet track record te overleggen bij inschrijving.

De Hoge Raad verwijst uiteindelijk de zaak terug naar het Hof. Met succes had de aanbestedende dienst namelijk aangevoerd dat het Hof het beginsel van hoor en wederhoor had geschonden. De aanbestedende dienst heeft namelijk onvoldoende kunnen reageren op het bewijs van de inschrijver dat zij wel zou voldoen aan de ervaringseis. Wordt vervolgd….

Menno de Wijs, advocaat aanbestedingsrecht

 

 

Bedrijven staan voor grote uitdagingen. Bestuurders moeten belangrijke beslissingen nemen over een toekomstbestendige transformatie. Een digitale transformatie waarbij een datagedreven sturing centraal staat.

De druk op bestuurders is groot. De keuzes die moeten worden gemaakt zijn ingrijpend en de financiële consequenties groot. Desalniettemin beseffen bestuurders zich dat er geen keuze is; niets doen is immers geen optie.

Holistische aanpak

Hoe komt het nu dat sommige bedrijven er wél in slagen een digitale transformatie door te maken en anderen niet? Een belangrijke sleutel tot succes is een multidisciplinaire, holistische, aanpak. Digitale transformatieprojecten dienen vanaf het begin integraal te worden aanpakt. Cross silo denken is het sleutelwoord. Het hele speelveld van digitale transformatie moet daarbij worden overzien, inclusief de rol van wet- en regelgeving.

Compliancy

Onvoldoende oog voor (de complexiteit van) toepasselijke wet- en regelgeving is een bekende pitfall bij digitale transformatieprojecten. Dat dit een bekende pitfall is, is goed te verklaren. De wet- en regelgeving heeft immers geen gelijke tred gehouden met de vlucht van technologische ontwikkelingen. Dit betekent dat verouderde wetgeving moet worden toegepast op nieuwe technologische ontwikkelingen. Ten tweede blijken diverse wetten en normen elkaar te overlappen. Interpretatie van deze “lappendeken van wet- en regelgeving” blijkt in de praktijk veel vragen op te roepen.

Risk management

Digitale transformatieprojecten brengen niet te onderschatten verantwoordelijkheden en risico’s met zich mee. Een goede contractuele vastlegging met een heldere verdeling van de verantwoordelijkheden van de verschillende betrokken partijen, is dan ook van groot belang in het kader van risk management.  Er kan geen digitale transformatie plaatsvinden zonder gebruik te maken van cloud- en platformoplossingen. Cloud- en platformoplossingen zijn steeds vaker verbonden met AI, Internet of Things (ioT), big data en blockchain. Hoe verdeelt u op een juiste wijze de risico’s tussen de verschillende partijen? Kan daarbij gebruik worden gemaakt van smart contracts?

Naast de verdeling van verantwoordelijkheden en risico’s speelt de vraag: Welke intellectuele eigendomsrechten zijn er? Hoe minimaliseer ik de risico’s dat inbreuk wordt gemaakt op rechten van anderen of wil ik zélf de intellectuele eigendomsrechten verkrijgen? Zo ja, kan ik deze rechten als immateriële activa activeren of als onderpand voor financiers en investeerders gebruiken?

Ook informatiebeveiliging en cybersecurity zijn essentieel bij het vormgeven van digitale transformatieprojecten. Hetzelfde geldt voor privacy. De regels in de privacywetgeving zijn streng. Het van groot belang te voldoen aan deze privacyregels. Niet alleen met het oog op boetes die door de toezichthoudende autoriteit kan worden opgelegd, maar ook met het op het verliezen van het vertrouwen van de consument.

In FutureXL komen alle disciplines samen

De integrale multidisciplinaire aanpak kan door FutureXL worden gewaarborgd doordat alle disciplines aanwezig zijn. De experts hebben stuk voor stuk kennis en ervaring op hoog niveau op hun eigen gebied. Alleen door al die gebieden vanaf de start bij een project te betrekken, kunnen bij een digitaal transformatieproces alle aspecten van het complexe speelveld tijdig worden overzien. Dit is een unieke meerwaarde voor veel bedrijven en organisatie en voor mij de reden om mij aan te sluiten bij FutureXL.


Natascha van Duuren is partner en advocaat gespecialiseerd in IT, IE & Privacy. Natascha adviseert nationale en internationale cliënten over kwesties met betrekking tot IT en privacy. Zij is al jaren de vaste sparringpartner van diverse grote bedrijven en instellingen. Natascha heeft de postdoctorale opleiding Informaticarecht en de specialisatieopleiding Privacy en Persoonsgegevens afgerond en is lid van diverse specialistenverenigingen, waaronder de VIRA, VPR en NvvIR. Zij is voorzitter van de Interessegroep IT-Recht van het KNVI (en uit dien hoofde deelnemer van de werkgroep Data Delen van de Nationale AI Coalitie) en redacteur van de bundels “Multidisciplinaire aspecten van Blockchain” en Multidisciplinaire aspecten van Artificial Intelligence”.

De Europese Commissie heeft een mededeling gedaan over de vraag of de coronacrisis een reden kan zijn om zonder aanbesteding over te gaan tot inkoop (klik). Denk bijvoorbeeld aan de inkoop van beschermingsmiddelen – waarvan de reden voor de hand ligt – maar ook aan IT-apparatuur die noodzakelijk is vanwege een wijziging in de ziekenhuisinfrastructuur.

Uit de mededeling van de Europese Commissie blijkt dat het mogelijk is om termijnen van aanbestedingsprocedures te verkorten, of zelfs een aanbesteding achterwege te laten. De mogelijkheid daartoe hangt af van de specifieke omstandigheden van de voorliggende inkoop. De uitbraak van COVID-19 heeft een grootschalige gezondheidscrisis tot gevolg. Dit geeft de noodzaak in om over te kunnen gaan tot zeer snelle inkoop van goederen, diensten en aanvullende infrastructuur.

Versnelde procedure

Het is mogelijk om de algemene termijnen voor een aanbesteding aanzienlijk te verkorten in geval van spoed. Dat is niet nieuw, maar de Europese Commissie bevestigt wel dat COVID-19 als reden voor die spoed kan worden aangemerkt. Zo kan dan de termijn voor de openbare procedure (normaal minimaal 45 dagen, artikel 2.71 Aw) worden ingekort tot 15 dagen (art. 2.74 Aw).

1-op-1 gunning zonder procedure

De Aanbestedingswet geeft de mogelijkheid om in geval van uitzonderlijke spoed een overeenkomst direct te gunnen zonder procedure:

“voor zover zulks strikt noodzakelijk is, ingeval de termijnen van de (…) procedure (…) wegens dwingende spoed niet in acht kunnen worden genomen als gevolg van gebeurtenissen die door de aanbestedende dienst niet konden worden voorzien en niet aan de aanbestedende dienst zijn te wijten.”(art. 2.32 Aw)

De COVID-19 uitbraak kon niet worden voorzien, aldus de Europese Commissie. Per geval zal door de aanbestedende dienst moeten worden beoordeeld of ook de verkorte termijnen geen oplossing bieden en het achterwege blijven van een aanbesteding daarom gerechtvaardigd is.

Van belang is nog om op te merken dat er ook strikte voorwaarden gelden voor de duur en omvang van de te gunnen overeenkomst: de te gunnen opdracht moet beperkt zijn tot een overbruggingsperiode.

Menno de Wijs, advocaat aanbestedingsrecht


Blogserie ‘De juridische gevolgen van het coronavirus’

Wilt u meer informatie over de juridische gevolgen van het coronavirus? Onze specialisten volgen de ontwikkelingen op de voet en houden u via kennisblogs steeds op de hoogte. Alle relevante informatie op het gebied van Arbeidsrecht, Medezeggenschapsrecht, Ondernemingsrecht, vastgoed en bestuursrecht en IT, IE & Privacy leest u in onze uitgebreide blogserie ‘De juridische gevolgen van het coronavirus’. Bij nieuwe ontwikkelingen wordt deze uiteraard steeds direct aangevuld. Voor een overzicht van alle blogs in deze blogserie, klik hier.

Juridische Corona Helpdesk

De gevolgen van het coronavirus (COVID-19) zijn immens. De maatschappelijke impact is nog niet te overzien. Wat betekent dat voor uw onderneming of organisatie? Met het oog op al uw vragen en vanuit een integrale aanpak vanuit al onze teams opent De Clercq een Juridische Corona Helpdesk. Onze specialisten zijn per direct 24/7 bereikbaar voor al uw vragen. Chat live of ontvang een kort advies per mail. Meer info? Klik hier!