Voldoen aan de eisen van de AVG

De aanbestedende dienst (Staat) beoogt met twee aanbestedingen raamovereenkomsten te sluiten met inschrijvers (resellers) die voor eigen rekening en risico software (-licenties) van verschillende vendors leveren aan de deelnemers.

Het is niet de bedoeling, dat de reseller, uitsluitend als tussenschakel, zorg draagt, dat de vendor het gebruiksrecht op de software levert aan de eindgebruiker (deelnemer) in de zin van een ‘resellersconstructie’.

De bedoeling is een ‘sublicentie-constructie’.

Er komt dus geen overeenkomst tot stand tussen de deelnemer en de vendor.

Op grond van de aanbestedingsstukken rust op de reseller de verplichting verwerkersovereenkomsten te sluiten met deelnemers (eindgebruikers), indien hij producten levert waarbij persoonsgegevens worden verwerkt die afkomstig zijn van een deelnemer, óók indien de reseller zelf geen toegang heeft tot de personeelsgegevens. Daarnaast is de reseller in die gevallen verantwoordelijk voor ondertekening van een subverwerkingsovereenkomst door de vendor.

Rechtbank Den Haag 23 december 2024, ECLI:NL:RBDHA:2025:241 acht een en ander disproportioneel:

https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2025:241

4.9.         Tussen partijen is voorts, terecht, niet in geschil dat bij sublicentie, in het geval de vendor, en niet de reseller, degene is die de persoonsgegevens verwerkt bij het gebruik van de software door de deelnemer, de reseller juridisch is te beschouwen als verwerker in de zin van artikel 28 van de AVG, uit dien hoofde verplicht is om een verwerkingsovereenkomst met de deelnemer te sluiten en daardoor onbeperkte aansprakelijkheid moet aanvaarden voor schendingen van de AVG bij het verwerken van persoonsgegevens. De Staat wordt niet gevolgd niet in zijn standpunt dat voorschrift 3.9A van de Gids Proportionaliteit toepassing mist. De Staat heeft in dat verband betoogd dat het sluiten van een verwerkingsovereenkomst (uitsluitend) het voldoen aan de eisen van de AVG betreft en daarmee geen betrekking heeft op risicoverdeling. Naar het oordeel van de voorzieningenrechter wordt hiermee immers feitelijk het risico voor schendingen van wet- en regelgeving op het terrein van het verwerken van persoonsgegevens bij de reseller neergelegd. Dat de Staat, zoals hij aanvoert, rechtens verplicht is die voorwaarde te stellen, maakt het voorgaande niet anders. Het feit dat deze risicoallocatie inherent is aan de door de Staat gekozen inrichting van de aanbesteding betekent immers niet dat de aanbesteding daarmee proportioneel is. Voorschrift 3.9A van de Gids Proportionaliteit is dus onverkort van toepassing.

4.10.       Vervolgens wordt toegekomen aan de vraag of de door SoftwareOne bestreden voorwaarden in strijd zijn met dat voorschrift. Naar voorlopig oordeel is dit het geval. SoftwareOne heeft in deze procedures voldoende aannemelijk gemaakt dat de reseller het risico van het niet naleven van een verwerkersovereenkomst niet of nauwelijks kan beheersen in de gevallen waarin de reseller geen toegang heeft tot de persoonsgegevens en de vendor persoonsgegevens van de deelnemer verwerkt. SoftwareOne heeft er dat verband op gewezen dat de reseller in dat geval zelf geen persoonsgegevens verwerkt, daarbij ook geen enkele feitelijke betrokkenheid heeft, geen toegang heeft tot de software en services waarop de persoonsgegevens worden bewaard en geen toegang heeft tot de persoonsgegevens die met het gebruik van de software (door de deelnemer) worden verwerkt. De reseller heeft daardoor geen controle of invloed op 1) hoe de deelnemer gebruik maakt van haar gebruiksrecht en 2) hoe de persoonsgegevens bij de vendor worden verwerkt, en dus ook niet op het naleven van de verwerkersovereenkomst. De Staat wordt niet gevolgd in zijn standpunt dat de reseller door de opdrachtverlening aan de vendor nog steeds invloed heeft op de verwerkingsactiviteit. Het had op de weg van de Staat gelegen dit standpunt te concretiseren, maar dat heeft hij nagelaten. Naar voorlopig oordeel ligt het bepaald niet voor hand dat de reseller op basis van de opdrachtverlening alsnog feitelijk toegang verkrijgt tot, en controle kan uitoefenen op, de verwerking van de persoonsgegevens door de vendor. De reseller heeft naar verwachting immers geen expertise op dat terrein en bovendien is het zeer de vraag of een vendor met een dergelijke vergaande inmenging in zijn systemen instemt.

4.11.       Voorschrift 3.9A schrijft voor dat het risico wordt neergelegd bij de partij die het risico het best kan beheersen. Nu het gaat om de verwerking van van de Staat (en de deelnemers ten behoeve van welke de aanbestedingen zijn uitgeschreven) afkomstige persoonsgegevens, waar de reseller geen toegang toe heeft en de persoonsgegevens uitsluitend door de vendor worden verwerkt, moet de Staat (en de deelnemers) worden aangemerkt als de partij die het risico het best kan beheersen. De voorzieningenrechter neemt het oordeel van de CvAE op dit punt over. De Staat heeft daar onvoldoende tegenin gebracht.

4.12.       De voorzieningenrechter onderschrijft ook het oordeel van de CvAE dat de Staat zonder deugdelijke motivering afwijkt van voorschrift 3.9D van de Gids Proportionaliteit. Daartoe is van belang dat de reseller onbeperkt aansprakelijk is voor schendingen inzake persoonsgegevens en het risico voor dergelijke schendingen door de reseller niet of nauwelijks is te beheersen. Het argument van de Staat dat de reseller ervoor kan kiezen alleen in te schrijven met producten van vendors waarmee hij een subverwerkersovereenkomst heeft gesloten, is geen grond om van het voorschrift af te wijken. Voor de reseller is het onzeker of de onbeperkte aansprakelijkheid kan worden doorgelegd naar de vendors en bovendien is de eventuele mogelijkheid de aansprakelijkheid door te leggen geen deugdelijke motivering voor de afwijking van dit voorschrift. Ook het standpunt van de Staat dat het risico van onvoldoende verhaal van een vendor reden vormt voor het hanteren van deze voorwaarden, is geen deugdelijke motovering voor de afwijking. De Staat meent dat de reseller door de onbeperkte aansprakelijkheid zou worden gestimuleerd geen producten aan te bieden van vendors waarvan faillissement dreigt, maar heeft onvoldoende toegelicht waarom de reseller een beter zicht zou hebben op de financiële gezondheid van de vendoren. Deze motivering is eenzijdig en geeft er geen blijk van dat de Staat zich voldoende heeft verdiept in de risico’s en overige gevolgen voor de reseller welke voortvloeien uit de verplicht te sluiten verwerkersovereenkomst in combinatie met de onbeperkte aansprakelijkheid voor privacyschendingen, in het geval dat de reseller geen toegang heeft tot de desbetreffende persoonsgegevens en geen invloed kan uitoefenen op de verwerking daarvan. De Staat wordt ook niet gevolgd in het standpunt dat de CvAE er ten onrechte aan voorbij zou zijn gegaan dat de ARBIT-bepalingen wat betreft aansprakelijkheid voor privacyschendingen in overeenstemming zijn met het uitgangspunt dat het maximeren van aansprakelijkheid voor verwerkers afbreuk doet aan het met de AVG beoogde doeltreffend, evenredig en afschrikwekkend sanctioneren van onrechtmatige verwerking van persoonsgegevens. Met dit standpunt miskent de Staat dat het in deze procedures niet de vraag is of de bepalingen uit de AVG en de ARBIT juist worden toegepast, maar of de Staat bij de gekozen wijze van aanbesteden, gelet op de daaraan verbonden consequenties voor de verdeling van risico en aansprakelijkheid, proportionele voorwaarden hanteert. Dat is naar voorlopig oordeel niet het geval.

De verplichting ‘voldoen aan de eisen van de AVG’ lijkt mij zo het praktische einde van de ‘sublicentie-constructie’ vorm gegeven door/met resellers / brokers.

Het is immers, vanwege het nationale aanbestedingsrecht, voor de aanbestedende dienst waarschijnlijk niet mogelijk (niet te motiveren), om bij de ‘sublicentie-constructie’ te (kunnen) voldoen aan de eisen van de AVG.

En misschien is de verplichting ‘voldoen aan de eisen van de AVG’ ook wel het einde van de ‘resellersconstructie’ in het geval de resellers niet adequaat in staat (zullen) zijn jegens de aanbestedende dienst te garanderen, dat de betreffende vendors in de uitvoering verwerkersovereenkomsten zullen aangaan.

Gelet op het vonnis lijkt mij zo’n garantie namelijk geen ‘appeltje-eitje’.