17
Jun

Vandaag begint de week van de Risico-Inventarisatie en Evaluatie. Nu weten we allemaal dat er binnen de IT wereld altijd wel een risico te signaleren is. Deze week staan we iedere dag stil bij een risico en de oplossing daarvoor. Doe er je voordeel mee.

Vandaag een wat langer artikel. Pas hebben we het gehad over risico’s van consumenten file sync oplossingen. Eén risico hebben we toen niet besproken: het juridische risico.

Want wie is uiteindelijk verantwoordelijk en onder welk recht valt een datalek bij het gebruik van een consumenten file sync oplossing?

Welk recht is van toepassing?

Stel dat je data buiten Nederland hebt opgeslagen middels een file sync oplossing die internationaal opereert, zoals bijvoorbeeld Google Drive. Jouw werknemer schendt een privacy overeenkomst (en dat is zo gebeurd). Daarbij wordt een derde met een niet-Nederlandse nationaliteit gedupeerd. Bij een rechtszaak zal voor de toepasselijkheid van het recht worden gekeken naar:

  • Wie de schending heeft begaan → persoonscriterium I. Dit zal in jouw geval (doorgaans) een Nederlander zijn. Is dan het Nederlands recht van toepassing? Is in jouw algemene voorwaarden bedongen dat het Nederlandse recht van toepassing is?
  • Tegenover wie de schending plaatsvond → persoonscriterium II. Als de privacy van een buitenlandse derde is geschonden, is dan het recht van zijn/haar nationaliteit van toepassing?
  • Waar de schending plaatsvond → territorialiteit. Vond dit plaats in het land waar de data is opgeslagen? Of in het land waar de werknemer de handeling verrichtte? Of moet hier worden uitgegaan van het gevolg van de handeling, dus moet de territorialiteit worden verbonden aan de nationaliteit van de gedupeerde?
  • Hoe de schending plaatsvond → via een internationaal platform dat data in het buitenland opslaat. Is dan het recht van toepassing dat het bedrijf dat de file sync oplossing aanbiedt in zijn algemene voorwaarden heeft bedongen? Of het recht van het land waar de data is opgeslagen?  Of het recht van het land waar de file sync oplossing wordt gebruikt.

Bij een consumenten file sync oplossing is dit vaak onduidelijk. Een platform als Google Drive stelt niet voor iedere organisatie afzonderlijk een disclaimer op. In geschillen tussen jou en Google Drive is het recht van toepassing dat Google in zijn algemene voorwaarden heeft staan. Een geschil tussen jou, een werknemer of een derde, waarbij een consumenten file sync oplossing het onderwerp van het geschil is, is erg gecompliceerd. Want zijn dan de algemene voorwaarden van de file sync oplossing van toepassing? Of die van jou? Of prevaleert het recht van de derde wiens privacy geschonden is?

Juridische zekerheid

Binnen het privaatrecht geldt de ‘first-shot-rule’. Als je jouw algemene voorwaarden als eerste van toepassing verklaard, dan gelden die. Maar de algemene voorwaarden van de consumenten file sync oplossing die je gebruikt werden eerder van toepassing verklaard, maar die dekken niet het voorgaande geval.

Als je daarnaast akkoord gaat met een overeenkomst dat niet jouw algemene voorwaarden mar die van de wederpartij van toepassing verklaard zit je ook gebakken. Want mocht de wederpartij dat wel doen? Hoe duidelijk was dat geformuleerd in de overeenkomst? Je merkt het, het is moeilijk allemaal.

Moeilijk, moeilijk, moeilijk.

Dit lijkt wellicht wat vergezocht, maar ongetwijfeld heb je data van een buitenlands bedrijf in jouw bezit. Of jouw werknemer beschikt over data waar jij niet eens van af weet. Dan is dit scenario zeker denkbaar. Het is beter het zekere voor het onzekere te nemen en een file sync oplossing te kiezen waarmee je deze risico’s kunt afdekken. Overigens is het altijd belangrijk om standaard in de algemene voorwaarden op te nemen dat het Nederlandse recht standaard van toepassing is.

Let bij het gebruik van een consumenten file sync oplossing altijd op de randvoorwaarden. Welk recht is van toepassing? Welke veiligheidsmaatregelen biedt de oplossing? Welke medewerkers hebben welke rechten en welke data wordt met de oplossing verwerkt? Wie is eigenaar van de data?

Dit is vaak veel duidelijker bij een zakelijke file sync oplossing. Het meest veilige is een file sync oplossing die de data standaard in Nederland opslaat.

Geplaatst door Marketing op 17 June 2019