over inkoop, uitbesteding en aanbesteding van ICT

Transcriptie

1

2 over inkoop, uitbesteding en aanbesteding van ICT...en het voorkomen van geschillen daarover mr. dr. Lesley C.P. Broos advocaat Intellectueel eigendom, ICT & Privacyrecht mr. Arnold Gelderman advocaat Europees aanbestedingsrecht

3 KH Sectie IE, ICT & privacyrecht

4 Mededingingsrecht SPECIALISMEN Aanbestedingsrecht Ambtenarenrecht Arbeidsrecht Banking & finance Bestuursrecht Bouwrecht Contracten-, proces- & aansprakelijkheidsrecht Gezondheidsrecht Herstructurering & insolventierecht Huurrecht Intellectueel eigendom, ICT-recht & privacy Milieurecht Natuurschoonwet Omgevingsrecht Ondernemingsrecht Onderwijsrecht Onroerendgoedrecht Pensioenrecht Personen- & familierecht Sportrecht Transport & logistiek Vastgoed- & gebiedsontwikkeling

5 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

6 Uw vragen Ervaringen uitbesteding van ICT (software-ontwikkeling) Ruimte na gunning; Interpretatie Volledige medewerking ; Overeenkomst/SLA/Verwerkersovereenkomsten; Goede exit clausules; Nieuwe privacywetgeving; Garantieperiode op maatwerk software; Geschillen tussen verantwoordelijke en bewerker (Wbp); Cybersecurity bepalingen; Samenwerken van bedrijven in een keten van systemen; 2 factor authenticatie in de zorg verplicht of slechts advies; Geschillen over prestaties.

7 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s - do s and don ts - update IE versus ICT pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

8 Bijzonderheden IT-projecten technische complexiteit een ongelijke verdeling van kennis en ervaring tussen opdrachtgever en leverancier noodzaak tot langdurige samenwerking tussen een groot aantal betrokkenen met vaak uiteenlopende belangen en prioriteiten een groot belang / afhankelijkheid voor de business forse investeringen schuivende panelen door wijzigingen in bedrijfsprocessen / eisen / wensen en ontwikkelingen in technologie.

9 Bijzonderheden IT-projecten een groot belang / afhankelijkheid voor de business Definieer en contracteer het belang Op tijd, conform specs en binnen budget? Preambule Fitness for purpose Borg alle exit-scenario s Reguliere beëindiging Conflict Faillissement Escrow?

10 Bijzonderheden IT-projecten forse investeringen Risicoanalyse als basis voor contractering Faseren / Proof of Concept Bij projectfasering passende contractstructuur Uitblijven PoC als ontbindende voorwaarde Aanbestedingsrechtelijke relevantie in gunningsfase

11 Bijzonderheden IT-projecten technische complexiteit & ongelijke verdeling van kennis en ervaring Leverancier wordt geacht de meer kundige partij te zijn Niet op de stoel van de leverancier gaan zitten Consistentie in verantwoordelijkheidsverdeling

12 Bijzonderheden IT-projecten noodzaak tot langdurige samenwerking tussen een groot aantal betrokkenen met vaak uiteenlopende belangen en prioriteiten Opportunisme loont niet Evenwichtige verdeling rechten en plichten (geen wurgcontracten ) Afspraken over regie / governance ( besluitvormingsproces reguleren ) Managen van de eigen organisatie

13 Bijzonderheden IT-projecten schuivende panelen door wijzigingen in bedrijfsprocessen / eisen / wensen en ontwikkelingen in technologie Meerwerkdefinitie Meerwerkprotocol gericht op snelle besluitvorming Agile-contracten voor agile projecten! prestaties die buiten de inhoud of omvang van de overeengekomen prestaties vallen (ICT~Office) niet in de Opdracht begrepen werkzaamheden die leiden tot kosten die de Vergoeding te boven gaan (Arbit) Tot meerwerk worden niet gerekend additionele werkzaamheden, die Leverancier had kunnen of moeten voorzien, teneinde de Programmatuur conform de overeengekomen vereisten te kunnen leveren (BiZa)

14 IE versus ICT Basiskennis Recente ontwikkelingen

15 Basiskennis auteursrecht Uitsluitend recht van den maker van een werk van letterkunde, wetenschap of kunst, ( ) om dit openbaar te maken en te verveelvoudigen, behoudens de beperkingen, bij de wet gesteld. Uitputtingsleer art. 12b Aw (maar niet op internet!) Onderscheid exploitatierechten vs niet overdraagbare morele rechten ( persoonlijkheidsrecht ) Eigen oorspronkelijk karakter + persoonlijk stempel maker (Van Dale/Romme) Vorm niet ontleend aan ander werk + scheppende menselijke arbeid/creatieve keuzes (Endstra-taped) Auteursrecht ontstaat van rechtswege Werkgever wordt in de regel als maker aangemerkt Inlener (detachering) derhalve niet automatisch rechthebbende Overdracht vereist akte met daarin een deugdelijke specificatie Exclusieve licentie ook! Auteursrechtbescherming omvat tevens computerprogramma s

16 Wat is de auteursrechtelijk beschermde expressie van software? HvJ EG 2 mei 2012, zaak C-406/10 (SAS Institute Inc. vs World Programming Ltd) Functionaliteit computerprogramma, programmeertaal en indeling gegevensbestanden geen uitdrukkingswijze programma en derhalve niet auteursrechtelijk beschermd Alleen de uitdrukking van ideeën en principes (bijvoorbeeld in de vorm van broncode) wordt beschermd

17 Recente ontwikkelingen HvJ EU 3 juli 2012, zaak C-128/11 (UsedSoft vs Oracle) Het op een bepaalde kopie van software betrekking hebbende distributierecht is uitgeput na verkoop van die kopie mits vergoeding overeenstemt met de economische waarde van de kopie en het gebruiksrecht niet in tijd beperkt is Gevolg: rechtmatig verkrijger mag de kopie doorverkopen, ondanks eventueel andersluidend licentiebeding Wel verplichting eigen kopie onbruikbaar te maken Auditrecht auteursrechthebbende Gebruik technische beschermingsmiddelen toegestaan Bijvoorbeeld product keys ter activatie

18 Recente ontwikkelingen HvJ EU 3 juli 2012, zaak C-128/11 (UsedSoft vs Oracle) Het op een bepaalde kopie van software betrekking hebbende distributierecht is uitgeput na verkoop van die kopie mits vergoeding overeenstemt met de economische waarde van de kopie en het gebruiksrecht niet in tijd beperkt is Gevolg: rechtmatig verkrijger mag de kopie doorverkopen, ondanks eventueel andersluidend licentiebeding Wel verplichting eigen kopie onbruikbaar te maken Auditrecht auteursrechthebbende Gebruik technische beschermingsmiddelen toegestaan Bijvoorbeeld product keys ter activatie

19 HR over aanschaf van standaardsoftware (Beeldbrigade) - Wetgever heeft ruim bereik willen geven aan kooptitel (zie 7:47 BW) - Overeenkomst tot aanschaf standaardsoftware voor niet in tijdsduur beperkt gebruik tegen betaling van een bepaald bedrag strekt ertoe dat iets te verschaffen dat geïndividualiseerd is en waarover verkrijger feitelijke macht kan uitoefenen - Toepasselijkheid kooptitel wenselijk i.v.m. bescherming verkrijger - Art. 7:46d lid 4 ( Koop op afstand ) uitdrukkelijk ook van toepassing op computerprogrammatuur aanschaf niet op afstand is ook koop aanschaf van standaardcomputerprogrammatuur voor een niet in tijdsduur beperkt gebruik tegen betaling van een bepaald bedrag kwalificeert als koop, ongeacht of sprake is van aanschaf op een gegevensdrager of via een download.

20 Praktische consequenties - Ontwikkelingen richting voor verkrijger vriendelijker regime - Afzwakking beschermingsmogelijkheden softwareproducent - Functionaliteit, bestandsformaten en programmeertaal niet beschermd - Broncode evenals Look & Feel (GUI) kunnen wél beschermd zijn - Overdraagbaarheid licenties komt licentiepositie na afsplitsing ten goede - UsedSoft niet van toepassing op SaaS / in tijd beperkte licenties - Kooptitel niet van toepassing op maatwerkprogrammatuur - Sterke consumentenbescherming bij koop standaardprogrammatuur - Op tijd klagen / stuiten / aanspreken bij koop standaardprogrammatuur

21 Conclusie Het nieuwe softwarelicentierecht is overwegend afnemers-vriendelijker Maar let op door kooptitel verkorte verjaringstermijn! vergt aanpassing licentieovereenkomsten koopovereenkomsten vergt herbezinning licentiebeleid voor softwareleveranciers

22 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

23 Subsessie A: Aanbestedingsrechtelijke bijzonderheden Arnold Gelderman Advocaat aanbestedingsrecht/mededingingsrecht

24 Wat is er eigenlijk zo bijzonder aan ICT-projecten? - Is het aanbestedingsrecht anders voor ICT-opdrachten? - Nee, maar ICT-opdrachten hebben wel bepaalde kenmerken waardoor er wrijving kan ontstaan met het aanbestedingsrecht. - Denk aan: technisch specificeren van opdrachten, vendor-lock-ins en de behoefte aan flexibiliteit (pre-contractueel en contractueel). - In deze sessie stilstaan bij behoefte aan flexibiliteit a.d.h.v. de casus Software-brokers.

25 Casus Software-brokers - Provincie Y sluit begin 2016 een vierjarige raamovereenkomst met drie brokers voor standaard ICT-licenties. - Geen omzet/afnamegaranties. Raamcontractanten moeten in minitenders strijden om opdrachten. - Gemiddeld ,- afname jaarlijks in de afgelopen jaren. - Oogst in 2016 schraal: slechts één minitender van circa ,-. - Besluit in 2017 om de overeenkomst met één jaar te verlengen. - Provincie publiceert een ex ante bekendmaking. Argumenten: Opdracht verschilt materieel niet van oorspronkelijke opdracht Geen wezenlijke wijziging, want economisch evenwicht verandert niet in het voordeel van de raamcontractanten - Belanghebbenden hebben 20 dagen de tijd om een kort geding te starten. - U werkt bij software-broker Y en de directeur wil op dag 17 van de termijn weten: moet ik een kort geding starten als ik dit wil tegenhouden? Hoe beoordeelt u deze situatie?

26

27 Wat is de aanbestedingsrechtelijke relevantie?

28 De behoefte aan flexibiliteit HVJEU 7 september 2016, zaak C-549/14 (Finn Frogne)

29 Terug naar de Academy-ruimte voor: uur IT-contractmanagement uur afsluiting en gelegenheid voor vragen en napraten ***

30 Contact naam Arnold Gelderman Advocaat/Notaris aanbestedingsrecht/mededingingsrecht recht T M E arnold.gelderman@kienhuishoving.nl.. Pantheon 25 Postbus AC Enschede T +31(0) F +31(0)

31 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

32 Privacyrechtelijke bijzonderheden Begrippenkader Privacyrechtelijke verplichtingen Aanstaande wijzigingen (AVG)

33 Begrippenkader Wbp Persoonsgegevens: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, IP-adres) Bijzondere persoonsgegevens: persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging, strafrechtelijke persoonsgegevens en persoonsgegevens over onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag Verwerking: iedere bewerking m.b.t. persoonsgegevens, van het moment van verzameling tot aan vernietiging, ook loutere opslag van persoonsgegevens valt hieronder Betrokkene: degene op wie een persoonsgegeven betrekking heeft Verantwoordelijke: degene onder wiens gezag de persoonsgegevens worden verwerkt en die het doel en middelen van de verwerking bepaalt Bewerker: degene die persoonsgegevens verwerkt ten behoeve van de verantwoordelijke (staat niet onder direct gezag van de verantwoordelijke)

34 Overkoepelende norm Verwerken: in overeenstemming met de wet op behoorlijke en zorgvuldige wijze

35 Gerechtvaardigde doeleinden en doelbinding Persoonsgegevens mogen slechts worden verwerkt: voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden (= taak verantwoordelijke) Volgens de in de wet genoemde grondslagen (waarover hierna meer) Geen verdere verwerking indien onverenigbaar met doelen (doelbinding)

36 Limitatieve verwerkingsgrondslagen ondubbelzinnige toestemming noodzakelijk i.v.m. uitvoering overeenkomst noodzakelijk i.v.m. wettelijke verplichting noodzakelijk ter vrijwaring vitaal belang betrokkene noodzakelijk i.v.m. goede vervulling publiekrechtelijk taak (i.g.v. bestuursorgaan) gerechtvaardigd belang verantwoordelijke/derde tenzij fundamentele rechten en vrijheden zich tegen verwerking verzet

37 Belangrijke verplichtingen Niet langer bewaren dan noodzakelijk voor doeleinden Geheimhoudingsplicht Beveiligingsplicht Bewerker en bewerkersovereenkomst Meldplicht AP Informatieverstrekking aan betrokkene Geen dataexport buiten EER, tenzij Meldplicht datalekken

38 Rechten van betrokkenen Recht op inzage in persoonsgegevens Recht op correctie en verwijdering van persoonsgegevens Recht op verzet

39 Meldplicht datalekken Sinds 1 januari 2016 geldt de Meldplicht datalekken in Nederland: Voor wie? Voor alle verantwoordelijken in de zin van de Wbp Wanneer? Indien er een kans bestaat dat een datalek ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens

40 Melden bij wie en hoe snel? Indien inbreuk op de beveiliging met kans op verlies van gegevens of onrechtmatige verwerking van gegevens: o Onverwijld (binnen 72 uur) datalek melden bij Autoriteit Persoonsgegevens en, indien: ten gevolge van de inbreuk mogelijk ongunstige gevolgen voor de persoonlijke levenssfeer ontstaan: óók informeren betrokkene Dit laatste geldt tenzij persoonsgegevens bijv. versleuteld zijn!

41 Logboek en sanctionering Verplichting tot het bijhouden van een logboek van te melden datalekken (feiten en gegevens omtrent de aard van de inbreuk alsmede de tekst van de kennisgeving aan de betrokkene) Gevolg niet naleven meldplicht: boete van de Autoriteit Persoonsgegevens tot ,= of maximaal 10% van de jaaromzet Let op: boetebeleidsregels AP: Boetebandbreedte , maar per overtreding (!)

42 Inwerkingtreding: 25 mei 2018 Europese Privacy Verordening Ook wel Algemene verordening gegevensbescherming genoemd (afgekort: AVG) Wijzigingen t.o.v. Wbp: Meldplicht bij Autoriteit Persoonsgegevens vervalt, maar: verantwoording afleggen over persoonsgegevensverwerkingen (documentatie- en registerplicht, waarover later meer) Alle datalekken melden bij Autoriteit Persoonsgegevens o Boete: 10 miljoen euro of 2 % van de totale wereldwijde omzet Verdergaande rechten betrokkenen (bijv. recht om vergeten te worden of de overdraagbaarheid van persoonsgegevens)

43 Europese Privacy Verordening PIA verplicht ingeval uw organisatie: o systematisch en uitgebreid persoonlijke aspecten van betrokkenen beoordeelt, zoals het gebruik maken van profilering o grootschalig gevoelige persoonsgegevens (bijv. gezondheid) verwerkt o stelselmatig en grootschalig betrokkenen volgt in een openbare ruimte, bijvoorbeeld met cameratoezicht Uitbreiding categorieën bijzondere persoonsgegevens: etnische achtergrond, genetische gegevens en biometrische gegevens ter identificatie van een persoon zoals vingerafdrukken Toestemmingsvereiste: meer waarborgen o Toestemming aantonen o Toestemming vragen in begrijpelijke en gemakkelijk toegankelijke vorm alsmede in duidelijke en eenvoudige taal o Onderscheid in toestemming voor andere aangelegenheden

44 Europese Privacy Verordening Expliciete informatieverplichtingen voor verantwoordelijke o Denk aan bijv. bewaartermijn, contactgegevens, etc. o Maar ook: recht op inzage, correctie, vergetelheid, bezwaar en overdraagbaarheid Privacy statement? Verplichting tot aanstellen privacyfunctionaris voor: o overheden o organisaties die op grote schaal persoonsgegevens verwerken o organisaties die op grote schaal gevoelige persoonsgegevens verwerken

45 Europese Privacy Verordening Registerplicht (voor zowel verantwoordelijke als verwerker!) naam en contactgegevens Verantwoordelijke naam en contactgegevens functionaris doeleinden van de verwerking beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens ontvangers van persoonsgegevens eventuele doorgifte naar derde land of internationale organisatie algemene bewaartermijn algemene beschrijving van passende technische en organisatorische beveiligingsmaatregelen Niet voor organisaties <250 medewerkers, tenzij: risico voor privacy, verwerking niet incidenteel is of verwerking van bijzondere persoonsgegevens

46 Europese Privacy Verordening Verplichtingen voor verantwoordelijke indien gebruik wordt gemaakt van een verwerker: bv. uitvoeren van een verwerker due diligence Expliciete vereisten verwerkersovereenkomsten Op straffe van boete van maximaal 10 miljoen euro of 2% van de totale wereldwijde jaaromzet Gegevensbescherming door ontwerp en door standaardinstellingen Aandacht voor privacy by design / by default in specificatiefase! Samenwerking toezichthouders en uitbreiding boetemogelijkheden tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet!

47 Privacydiensten KienhuisHoving Binnenkort lancering PrivacyPortaal! Diverse modellen en checklists (bijv. model verwerkersovereenkomst) Kennisdeling en nieuws Privacy Compliance Tool Ondersteuning KienhuisHoving Ondersteuning PIA Privacy officer Overeenkomsten Beoordelen en melden datalekken Privacyadvies Inventarisatie en/of training

48 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

49 IT-contractmanagement Veel geschillen bestaan bij de gratie van slechte afspraken Hiaten in afspraken door gebrek aan risicoanalyse, ontbreken prioritering, onduidelijke meerwerkprocedures, onevenwichtigheid in afspraken et cetera slecht contractmanagement Toezien op en bevorderen van de naleving van de afspraken in eigen organisatie en in organisatie wederpartij Voorkomen van rechtsverwerking slechte dossiervorming

50 IT-contractmanagement Een belangrijke zwakte in de huidige klant leverancier verhouding is vaak het team van de klant dat verantwoordelijk is voor het managen van de uitbestedingsrelatie (Gartner) Actieve dossiervorming nodig Voor professionele naleving contract en daarmee ter voorkoming van geschillen Overdraagbaarheid, zorgvuldigheid, evaluatie, business case management, contractbeheer, verzenden / accorderen facturen Voor betere bewijsvoering bij geschillen

51 Programma kennismaking en inleiding bijzonderheden in IT-contracten en SLA s pauze subsessie A: aanbestedingsrechtelijke bijzonderheden subsessie B: privacyrechtelijke bijzonderheden IT-contractmanagement afsluiting

52 Contact mr. dr. L.C.P. (Lesley) Broos Advocaat Intellectuele eigendom, ICT-recht & Privacy T: M: E: Kienhuishoving.nl Pantheon 25 Postbus AC Enschede T: +31(0) F: +31(0)

53