3
Dec
2014

Overview: wetgeving, normen, checklists inzake de beveiliging van informatiesystemen

Dit artikel laat in vogelvlucht zien welke rechten en verplichtingen gelden voor aanbieders en afnemers van informatiesystemen, en met name de beveiliging van deze informatiesystemen. Dit wordt gedaan aan de hand van een korte bespreking van wetgeving, normen en jurisprudentie. Ook worden enkele checklists gegeven, die kunnen helpen bij het inventariseren van uw rechtspositie.

Wetgeving

Auteurswet

De auteurswet regelt de bescherming van kunstzinnige werken, zoals foto’s, voordrachten en muziekstukken. De maker van software krijgt ook een auteursrecht. Van ontwikkelaars in dienstverband komen de auteursrechten op de software die zij maken toe aan hun werkgever. Het auteursrecht kan daarnaast (mede) rusten bij externe ontwikkelaars of leveranciers van hulpsoftware, als er geen schriftelijke afspraken zijn gemaakt over de overdracht van het auteursrecht. Het auteursrecht stelt de rechthebbende in staat om te beslissen of het werk aan derden ter beschikking wordt gesteld en zo ja, onder welke (licentie)voorwaarden dat gebeurt. De auteurswet regelt verder de minimumrechten van de softwarelicentienemer. Deze mag bijvoorbeeld een reservekopie maken, als dat nodig is voor het beoogde gebruik van de software.

Databankenwet

De bescherming van databanken, die kunnen worden aangelegd m.b.v. een informatiesysteem of anderszins daarvan onderdeel uitmaken, is geregeld in de Databankenwet. Die wet is een implementatie van Europese regelgeving. Het databankrecht ontstaat op het moment dat een databank wordt voltooid. Een databank moet getuigen van een substantiële investering, om voor bescherming in aanmerking te komen. De producent van de databank kan onder voorwaarden optreden tegen het zonder zijn toestemming opvragen of hergebruiken van de inhoud van een databank. Belangrijk daarbij is dat hij de toegang tot de databank door de rechtmatige gebruiker van de databank niet kan belemmeren.

Privacywet (Wbp, Europese Privacyverordening)

De privacywetgeving, waarin de bescherming van persoonsgegevens is geregeld, is hoofdzakelijk afkomstig uit Europa. Belangrijkste wet is de Wet bescherming persoonsgegevens, die op termijn wordt vervangen door de Europese Privacyverordening. Deze wetgeving regelt de grondslagen op basis waarvan persoonsgegevens mogen worden verwerkt (o.a. toestemming, uitvoering van een overeenkomst), de eisen die aan het verwerkingsproces moeten worden gesteld (o.a. beveiliging, informatievoorziening) en de rechten van de ‘eigenaar’ van de persoonsgegevens (o.a. inzage- en correctierecht). De Privacyverordening geeft onder andere aan handhavingsorganisaties meer middelen om de naleving van de privacybepalingen te bewaken en schrijft het gebruik van “Privacy Impact Assessments” en “Privacy Enhancing Technologies” voor.

USA Patriot Act

De USA Patriot Act is een Amerikaanse wet, die wetshandhavers in de Verenigde Staten de middelen geeft om in het kader van terrorismebestrijding, allerhande gegevens op te vragen. Belangrijk is dat in de wet is vastgelegd, dat deze wetshandhavers die bevoegdheden mede kunnen uitoefenen ten aanzien van data die uit het buitenland afkomstig zijn, maar in de VS worden verwerkt. Daarnaast hebben zij de mogelijkheid data op te vragen die door bedrijven met een Amerikaanse vestiging worden verwerkt in het buitenland. Vergelijkbare bevoegdheden zijn neergelegd in de Stored Communications Act. Voor cloudgebruikers of –leveranciers die persoonsgegevens of anderszins gevoelige data verwerken, betekent dit dat zij voorzichtig moeten zijn met het samenwerken met een Amerikaanse IT-leverancier.

Burgerlijk Wetboek (art. 2:10 jo. 2:248)

In artikel 2:10 van het Burgerlijk Wetboek is bepaald dat het bestuur van een rechtspersoon een deugdelijke administratie moet voeren. Die administratie zal bij de meeste organisatie worden gedaan met behulp van software. Belangrijk is dat de administratie zo wordt vastgelegd, dat te allen tijde de rechten en verplichtingen die een rechtspersoon heeft, kunnen worden gekend. Het informatiesysteem van een rechtspersoon is daarvoor essentieel. Artikel 2:248 BW bepaalt dat een bestuur dat niet voldoet aan de verplichting van artikel 2:10 BW, kennelijk haar taak onbehoorlijk heeft vervuld. Wanneer dit zo is, wordt dat die onbehoorlijke taakvervulling als vermoedelijke oorzaak van een faillissement aangemerkt en kan het bestuur daarvoor in persoon aansprakelijk worden gesteld.

Algemene Wet inzake rijksbelastingen (art. 52)

In artikel 52 Algemene Wet inzake Rijksbelastingen (AWR) is bepaald dat administratieplichtigen aan de eisen die in dat artikel zijn neergelegd moeten voldoen.. De administratieplichtige organisatie moet alle gegevensdragers (zowel analoog als digitaal) waarop gegevens zijn vastgelegd die voor de Belastingdienst van belang zijn, bewaren. Dit meestal gedurende een periode van zeven jaar.. Uitgangspunt is hierbij, dat de gegevens in de vorm waarmee zij deel uit zijn gaan maken van de administratie worden bewaard en te allen tijde kunnen worden getoond. Hiervoor is de software waarmee de gegevens worden verwerkt, essentieel.

Telecommunicatiewet

De Telecommunicatiewet reguleert de telecomdienstverleners. Telecomdienstverleners moeten passende technische en organisatorische maatregelen nemen om de risico’s voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen. De beschikbaarheid van hun diensten moet zoveel mogelijk beschermd zijn tegen technische storingen of uitval. Telecomdienstverleners moeten in bepaalde omstandigheden de overheid op de hoogte stellen van een inbreuk op de veiligheid of een verlies van integriteit van hun netwerken. Zij moeten de overheid ook te allen tijde kunnen informeren omtrent deze onderwerpen.

Wet elektronische handtekeningen

De wet elektronische handtekeningen regelt de rechtsgeldigheid van digitale handtekeningen. De belangrijkste bepalingen van de wet zijn neergelegd in boek 3 van het Burgerlijk Wetboek. Daar wordt voorgeschreven dat de betrouwbaarheid van de handtekening afhankelijk is van de veiligheidswaarborgen die aan de handtekening zijn verbonden. Zo heeft een ingescande geschreven handtekening minder waarde dan een handtekening die met behulp van encryptietechniek wordt gezet. Verder moet voor de geldigheid van een rechtshandeling de elektronische handtekening aan bepaalde eisen voldoen. Die eisen worden zwaarder naarmate het gewicht van de rechtshandeling groter wordt.

Normen

Richtsnoeren beveiliging persoonsgegevens

De richtsnoeren voor de beveiliging van persoonsgegevens werken de beveiligingsplichten voor de verwerker nader uit. De verwerker moet passende technische en organisatorische maatregelen treffen om persoonsgegevens te beveiligen. De persoonsgegevens moeten niet alleen worden beschermd tegen ongeautoriseerde toegang (exclusiviteit), maar ook tegen beschadiging of verlies (integriteit en continuïteit). De verwerker moet er tevens op toezien dat partijen die voor hem persoonsgegevens verwerken ook de vereiste beveiligingsmaatregelen hebben getroffen.

Besluit prudentiële regels Wft (art. 20)

In artikel 20 van het Besluit prudentiële regels Wet financieel toezicht, wordt voor financiële instellingen en verzekeraars bepaald dat zij over een informatiesysteem moeten beschikken. Dat informatiesysteem moet beheersing van de bedrijfsprocessen en de daaraan verbonden risico’s mogelijk maken. De instelling of verzekeraar moet over procedures en maatregelen beschikken om de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking te waarborgen.

Richtlijn Belastingdienst: “uw geautomatiseerde administratie en de fiscale bewaarplicht”

De Belastingdienst heeft in een digitale richtlijn de bewaarplicht van artikel 52 AWR (hierboven besproken) nader uitgewerkt. In de richtlijn wordt opgesomd welke onderdelen van de administratie onder de fiscale bewaarplicht vallen. De Belastingdienst schrijft verder voor dat de gegevens zo moeten worden bewaard, dat een controle daarvan binnen redelijke termijn mogelijk is. Conversie van de administratie naar een ander bestandsformaat is toegestaan, mits de authenticiteit van de herkomst en de integriteit van de inhoud gewaarborgd blijven. Verder moet altijd het origineel van de bestanden inzichtelijk kunnen worden gemaakt. Dat betekent dat gegevens die met bepaalde software zijn vastgelegd, in principe ook met die software moeten kunnen worden uitgelezen. Ook wanneer van software wordt veranderd, blijft deze verplichting dus gelden.

Jurisprudentie

Nebula-arrest (HR 3 november 2006, NJ 2007/155)

In het Nebula-arrest, in 2006 gewezen door de Hoge Raad, is bepaald dat een faillissementscurator alle lopende overeenkomsten met de boedel mag opzeggen. Dit geldt in beginsel ook voor softwarelicentie-, hosting- en SaaS-overeenkomsten. Verder kon de curator broncode-escrowovereenkomsten die op een broncodelicentie zijn gebaseerd, in beginsel opzeggen. Het Nebula-arrest bracht de rechtspositie van de afnemer van informatietechnologie dus aan het wankelen. Dit betekent dat een faillissement van een IT-leverancier ernstige gevolgen kan hebben voor de continuïteit van zijn afnemers. Inmiddels is het Nebula-arrest genuanceerd in het ABN-Amro – Berzona-arrest.

Usedsoft-arrest (HVJ EU 3 juli 2012 C-128/11)

Usedsoft is een bedrijf dat softwarelicenties opkoopt bij partijen die de software niet meer willen gebruiken, en vervolgens opnieuw aan de man brengt. De vraag of deze handelswijze ook is toegestaan als de licentiegever in zijn licentievoorwaarden doorverkoop heeft verboden, stond in dit arrest centraal. Het Europese Hof van Justitie beantwoord de vraag met ja. Het arrest verstevigt de positie van de softwaregebruiker, als deze een licentie heeft verkregen voor onbepaalde tijd.

Beeldbrigade (HR 27 april 2012, NJ 2012/293)

In 2012 heeft de Hoge Raad het Beeldbrigade-arrest gewezen. De Hoge Raad heeft bepaald dat het wettelijk kooprecht van toepassing is op de licentieovereenkomsten voor standaardsoftware, waarop voor onbepaalde tijd een gebruiksrecht wordt verstrekt. Eis is wel, dat dat tegen betaling gebeurt. Een belangrijk gevolg is, dat de software aan conformiteitseisen moet voldoen. De software moet met andere woorden voldoen aan hetgeen in de overeenkomst tussen partijen is vastgelegd. Dit betekent ook dat de koper eisen mag stellen aan de software op het gebied van kwaliteit. De software moet geschikt zijn voor normaal gebruik en moet over verwachte functionaliteit beschikken.

Oilily/SaaSPlaza (Vz. Rb. Amsterdam 9 april 2009 ECLI:NL:RBAMS:2009:BJ5559)

De curator van het failliete Oilily, was door cloudleverancier SaaS-plaza afgesloten van het informatiesysteem van Oilily. Dat informatiesysteem werd door SaaS-plaza niet meer gehost, omdat Oilily de rekeningen niet meer betaalde. Voor de voorzieningenrechter van de rechtbank Amsterdam, vorderde de curator dat SaaS-plaza het informatiesysteem weer beschikbaar zou maken. De rechter wees die vordering toe, maar eiste wel dat de curator een redelijke vergoeding aan Oilily zou voldoen. In het wetsvoorstel “Wet versterking positie curator” wordt het recht op toegang tot de administratie voor een curator, wettelijk vastgelegd.

Checklists

Checklist auteursrecht software

Voor het vaststellen van de gerechtigdheid tot het auteursrecht op software, kunnen de volgende checks als handleiding dienen:
1. Is de software het stadium “idee” voorbij en is er een werkend (test)exemplaar beschikbaar?
Ideeën zijn niet auteursrechtelijk beschermd.
2. Door welke rechtspersoon is het werk voor het eerst aan het publiek ter beschikking gesteld (openbaar gemaakt)?
De rechtspersoon die de software voor het eerst openbaar maakt zonder naamsvermelding van de feitelijke ontwikkelaar(s), wordt vermoed auteursrechthebbende te zijn.
3. Is de software vervaardigd binnen een samenwerkingsverband van ontwikkelaars?
Wanneer software binnen een samenwerkingsverband wordt gemaakt, ontstaat in beignsel een gedeeld auteursrecht, wat toekomt aan de ontwikkelaars die tot dat verband behoren.
4. Wordt de software ontwikkeld door externe ontwikkelaars die op basis van overeenkomst van opdracht werken?
Het auteursrecht komt in beginsel toe aan de opdrachtnemer.
a. Wordt in die overeenkomst het auteursrecht op wat zij maken, overgedragen?
Voor de overdracht van het auteursrecht, volstaan alleen schriftelijke afspraken.
5. Bestaat de software uit modules die vervaardigd zijn door anderen?
Het auteursrecht komt in beginsel toe aan de desbetreffende derde.
a. Wordt in de overeenkomsten met die anderen, het auteursrecht op de modules overgedragen?
Voor de overdracht van het auteursrecht, volstaan alleen schriftelijke afspraken.
6. Wordt in de software gebruik gemaakt van open source componenten?
Wie open source componenten gebruikt in eigen software, wordt van die componenten geen auteursrechthebbende.

Checklist bewerkersovereenkomst

Als u de verwerking van de gegevens (gedeeltelijk) uitbesteedt aan een derde partij (een bewerker), moet u in beginsel met die partij een bewerkersovereenkomst sluiten. Gebruik onderstaande checklist om te bepalen of u een bewerkersovereenkomst moet sluiten met uw hostingprovider, back-updienstverlener of boekhouder en aan welke voorwaarden deze moet voldoen:

Bewerkersovereenkomst wel of niet noodzakelijk:

1. Gebeurt de verwerking van persoonsgegevens (gedeeltelijk) door een externe partij of een dochteronderneming?
Ook als de verantwoordelijke voor de persoonsgegevens de verwerking (gedeeltelijk) uitbesteedt aan een dochtervennootschap, moet er een bewerkersovereenkomst gesloten worden.
2. Wordt uw (salaris)administratie uitgevoerd met behulp van een cloudapplicatie?
3. Heeft u uw helpdesk of mailfaciliteiten uitbesteed aan een ander?
4. Laat u uw nieuwsbrieven versturen door een externe service?
5. Worden back-ups van uw databestanden aangemaakt door een externe provider?

Voorwaarden bewerkersovereenkomst:

6. Zijn de afspraken met uw bewerker in een apart document schriftelijk vastgelegd?
De bewerkersovereenkomst moet een op zichzelf staande overeenkomst zijn.
7. Is in de bewerkersovereenkomst vastgelegd welke handelingen de bewerker met betrekking tot de persoonsgegevens mag verrichten?
8. Zijn er in de bewerkersovereenkomst afspraken gemaakt omtrent geheimhouding?
9. Is vastgelegd of de bewerker onderaannemers mag inschakelen bij de verwerking en onder welke voorwaarden dat kan?
10. Is overeengekomen aan welke beveiligingsnormen het verwerken van de persoonsgegevens moet voldoen?
Het antwoord op alle bovenstaande vragen moet ‘ja’ zijn.

Dit artikel laat zien dat een geïntegreerde aanpak vanuit juristen, IT-deskundigen en informatiebeveiligers noodzakelijk is. De IT-jurist werkt volgens dat principe. Voor een nadere toelichting op de aangeboden informatie, kunt u terecht bij De IT-jurist.