ARBIT 2022 – verplichtingen van de IT-leverancier verder verzwaard

Op 10 september 2022 zijn de nieuwe Arbit (Algemene Rijksvoorwaarden bij IT inkoop)-voorwaarden van kracht geworden. Deze Arbit 2022 vervangen de eerdere versie uit 2018. Deze voorwaarden worden door de Rijksoverheid, zoals ministeries, zelfstandige bestuursorganen en toezichthouders maar ook andere overheden gebruikt voor de inkoop van IT-diensten en IT-producten. De ontwikkeling en het beheer van de Arbit-voorwaarden zijn in handen van de interdepartementale Commissie Bedrijfsjuridisch Advies (CBA).

Alvorens over te gaan tot aanpassing raadpleegt de CBA de markt om te beoordelen welke onderwerpen toetsing en aanpassing behoeven. Voor deze versie worden met name de onderwerpen Agile, Clouddiensten en Artificial Intelligence (AI) genoemd  die terug zouden moeten komen in de Arbit 2022 en de bijbehorende modelovereenkomsten. Daarnaast bevatten de Arbit 2022 diverse andere wijzigingen variërend van de correctie van fouten en inconsistenties tot de aanpassing aan veranderde wet- en regelgeving.

Naast de algemene voorwaarden zelf bestaan de Arbit uit een aantal modelovereenkomsten:

  • Model Overeenkomst: in deze overeenkomst worden de voorwaarden voor individuele opdrachten vastgelegd, zoals voorwerp, duur, vergoeding, acceptatie en bijzondere voorwaarden.
  • Model Raamovereenkomst: de raamovereenkomst geeft een raamwerk waaronder meerdere opdrachten in nadere overeenkomsten kunnen worden vastgelegd. Deze raamovereenkosmt kan met meerdere partijen worden gesloten zodat er per opdracht via  een zogenaamde mini-competitie de meest geschikte kandidaat kan worden gekozen. Wel is het zo indien de  in de aanbestedingsstukken genoemde maximale waarde is bereikt, dan is de raamovereenkomst niet meer geldig en dient er opnieuw te worden aanbesteed. 
  • Model Nadere Overeenkomst: deze overeenkomst is van kracht voor een specifiek opdracht onder de raamovereenkomst en legt de voorwaarden voor die specifiek opdracht vast.
  • Model Verwerkersovereenkomst:  deze verwerkersovereenkomst legt de voorwaarden vast waaronder de IT-leverancier als verwerker in een specifieke opdracht persoonsgegevens mag verwerken. Generiek onderwerpen als aansprakelijkheid en geheimhouding staan in de model (nadere) overeenkomst en/of de Arbit 2022.
  • Model Kredietinstellingsgarantie: deze overeenkomst is feitelijk een bankgarantie die de IT-leverancier in bepaalde gevallen dient af te geven als een garantie van de nakoming van zijn verplichtingen.
  • Model Agile Overeenkomst: deze overeenkomst is nieuw en bevat bepalingen voor de implementatie van maatwerksoftware op basis van de Agile-methodiek. Het gaat hier om een nieuwe modelovereenkomst.

Hieronder behandelen we de belangrijkste inhoudelijke wijzigingen in de Arbit 2022 en bekijken we ook in hoeverre de onderwerpen Agile, clouddiensten en AI terugkomen in de Arbit 2022.

Kwaliteitsborging, informatieverstrekking en audits

Aan artikel 5 Arbit zijn, naast de kwaliteitsborging, ook ‘informatieverstrekking’ en ‘audits’ toegevoegd.

Op het punt van de kwaliteitsborging dient de IT-leverancier aan te kunnen tonen dat zijn kwaliteitsmanagementsysteem zodanig op orde is dat hij kan voldoen aan de uitvoering van de overeenkomst. Dat kan zijn op het gebied van de informatiebeveiliging zijn, maar ook de inrichting van de beheersorganisatie. In de praktijk zal dit betekenen dat IT-leveranciers over de benodigde ISO of vergelijkbare normeringen beschikken.

Nieuw is dat de opdrachtgever het recht heeft om bij de IT-leverancier een audit uit te (laten) voeren en om op basis van de uitkomsten van die audit noodzakelijke maatregelen aan de IT-leverancier voor te stellen. De vraag is waarom een dergelijk recht niet in eerdere versies is opgenomen, maar we kunnen ons voorstellen dat dit samenhangt met het toenemende gebruik van clouddiensten, waarbij het belang van controle op de beveiliging en continuïteit door of namens opdrachtgever verder is toegenomen.

Verwerking (persoons)gegevens

Aan artikel 18 is een nieuw lid toegevoegd dat ziet op de verwerking van gegevens in het algemeen, en dus niet specifiek op persoonsgegevens. Gebruik van gegevens die door opdrachtgever zijn verstrekt of in het kader van een opdracht zijn gegenereerd mogen alleen door de IT-leverancier worden gebruikt voor het verrichten van de prestatie, tenzij er wettelijke voorschriften zijn die een ruimer gebruik mogelijk maken. Dit artikel sorteert daarmee voor op de (komende) Europese regelgeving zoals bijvoorbeeld de Data verordening, de Data Governance Verordening en de Open Data richtlijn die naast de Algemene Verordening Gegevensbescherming regels stellen voor het gebruik van gegevens. Het artikel staat wel enigszins op gespannen voet met de ratio achter deze nieuwe (deel concept) regulering die het gebruik van data door en van de overheid juist probeert te verruimen, daar waar dit artikel dat gebruik juist inperkt. 

Het tweede lid van artikel 18 is op de schop gegaan. In de vorige versie werd er blijkbaar vanuit gegaan dat een IT-leverancier die in opdracht persoonsgegevens verwerkt dit altijd als een ‘verwerker’ doet. Daar is in deze versie van de Arbit 2022 vanaf gestapt (omdat een IT-leverancier in voorkomende gevallen natuurlijk ook als ‘verwerkingsverantwoordelijke’ kan worden aangemerkt). Dit artikellid meldt nu alleen dat de IT-leverancier zich bij de verwerking van persoonsgegevens, zo daar al sprake van is, zal houden aan de vigerende regelgeving voor de verwerking van persoonsgegevens (hetgeen dus ruimer is dan de ‘Algemene Verordening Gegevensbescherming’ waar in de vorige versie naar werd verwezen).   

Informatiebeveiliging

Artikel 19, dat in de 2018 versie nog ‘beveiligingsprocedures en huisregels’ heette, is nu veranderd in ’beveiligingsprocedures en informatiebeveiliging’. In de lijst met definities is aangegeven wat er onder informatiebeveiliging moet worden begrepen (‘de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.’)

Aan het artikel zijn vier leden toegevoegd die zien op informatiebeveiliging. Van de IT-leverancier wordt verwacht dat hij zorgdraagt voor een niveau van infomatiebeveiliging dat van een redelijk handelend en bekwaam IT-leverancier mag worden verwacht. Vraag is wat deze bepaling toevoegt aan de zorgplicht die de IT-leverancier op grond van de wet toch al heeft (behalve dan dat de IT-leverancier er zich nog meer van bewust is).

Verder bevat artikel 19 aanvullende bepalingen die betrekking hebben op de verplichtingen ten aanzien van de melding en de informatievoorziening rondom een inbreuk op beveiligingsmaatregelen. Daarbij valt op dat de definitie van inbreukniet enkel ziet op persoonsgegevens maar alle soorten gegevens omvat. Daarmee lijkt ook al rekening te zijn gehouden met de verplichtingen die gaan gelden op grond van de NIS-2 richtlijnen voor de beveiliging van essentiële diensten.

Aansprakelijkheid 

Het artikel dat betrekking heeft op de aansprakelijkheid verandert op een belangrijk punt. Aan de categorieën van aanspraken waarop de beperking van aansprakelijkheid van de IT-leverancier niet van toepassing is, ook aanspraken gelden ten aanzien van schending van wet- en regelgeving op het terrein van de bescherming van persoonsgegevens of handelen in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke. Daaronder worden ook boetes begrepen die door toezichthouders kunnen worden opgelegd.

Aangezien er in veel IT-projecten met persoonsgegevens wordt gewerkt, vergroot dit het risico van de IT-leverancier aanzienlijk. Vraag is ook waarom er geen beperking van aansprakelijkheid van toepassing zou kunnen zijn, wettelijk staat daar (aanspraken van betrokkenen misschien uitgezonderd) niets aan in de weg.

Exit

Aan de bepaling over exit in artikel 32 Arbit zijn een aantal leden toegevoegd die met name betrekking hebben op de omgang met gegevens rondom een exit. Gegeven dienen na afloop van de overeenkomt door de IT-leverancier onverwijld aan de opdrachtgever te worden geretourneerd of dienen te worden vernietigd, dit naar keuze van de opdrachtgever. Ook dient de opdrachtgever ervoor te zorgen (en daarvan ook bewijs te geven) dat alle gegevens van opdrachtgever van de systemen van IT-leverancier of de systemen van zijn onderaannemers zijn verwijderd. Tot slot moet de IT-leverancier gedurende een transitie naar een andere leverancier of een re-transitie inzage of toegang blijven geven tot de gegevens van de opdrachtgever.

Deze wijzigingen lijken met name bedoeld voor die gevallen waarin een IT-leverancier clouddiensten levert. Immers, in dat geval worden veel gegevens opgeslagen in systemen van de IT-leveranciers of onderaannemers (denk aan Hosting partijen) die de IT-leverancier daarvoor inschakelt. Deze bepalingen moeten de opdrachtgever enige zekerheid en controle over diens gegevens bieden in het geval van een exit.

Andere vormen van controle en zekerheid over gegevens die voor het afnemen van clouddiensten eveneens van belang zijn, ontbreken echter vooralsnog in de Arbit 2022. De escrow in artikel 47 Arbit is een klassieke escrowregeling voor ‘on premisse software’ waar men in het geval van een cloud- of SaaSomgeving weinig aan heeft. Er zijn geen bepalingen over back-up en restorevoorzieningen opgenomen die zeker bij een (tijdelijke) uitval van systemen verlies van gegevens kan voorkomen of beperken.

Nakoming Service levels

Tot slot , nieuw is ook dat aan artikel 76 Arbit is toegevoegd dat bij het niet halen van de overeengekomen beschikbaarheid, de IT-leverancier direct en zonder ingebrekestelling in verzuim is. Beschikbaarheid is uiteraard belangrijk voor de levering van clouddiensten. Als opdrachtgever wil je  dat de oplossing zonder onderbrekingen beschikbaar is. De definitie van beschikbaarheid is echter merkwaardig geformuleerd. Beschikbaarheid is namelijk gedefinieerd als de periode dat de prestatie vrij van gebreken is, dat lijkt toch echt iets anders dan het beschikbaar zijn van de prestatie. Dat is een belangrijk punt voor IT-leveranciers om in de contractering en met name het gebruik van de eigen SLA op te letten.

Ook op het direct in verzuim zijn van de IT-leverancier indien hij de beschikbaarheid niet haalt, valt wel wat af te dingen. In veel gevallen kan het zeer wel aan factoren liggen aan de zijde van de opdrachtgever waardoor beschikbaarheidsniveaus niet worden gehaald (gebruikte systemen, niet werkende koppelingen). Ook daarop dient in de contractering door de IT-leverancier scherp op te worden gelet.

Conclusies

Zoals we in de inleiding aan hebben gegeven beoogden de wijzigingen van de Arbit  met name om de onderwerpen Agile, clouddiensten en Artificial Intelligence aan de Arbit voorwaarden toe te voegen.

Ten aanzien van agile is dat zeker gelukt met de komst van een aparte modelovereenkomst voor de ontwikkeling van maatwerksoftware volgens de Agile methodiek. We vragen ons echter af waarom de modelovereenkomst zich daartoe beperkt. Agile is een belangrijke vorm van implementatie geworden, maar daarnaast zijn er andere vormen van implementatie (standaardsoftware/cloudomgeving) die voor de praktijk evenzeer van belang zijn. Waarom geen aparte modelovereenkomst voor implementatie in het algemeen, waar Agile dan een van de implementatievormen had kunnen zijn?

Een aantal artikelen zijn aangepast zodat zij beter geschikt zijn voor het gebruik van clouddiensten, denk aan de informatiebeveiliging, de audit en de exit. Op een aantal voor clouddiensten belangrijke onderwerpen heeft echter geen aanpassing plaatsgevonden. Daarbij kan gewezen worden op de regeling voor de escrow, onderaanneming, backup en restore en eigendom van data. Samen met de andere onderwerpen had dat opgenomen kunnen worden in een aparte regeling onder de bijzondere opdrachten (naast consultancy, ontwikkeling maatwerk en detachering). Een gemiste kans.

Over Artificial Intelligence hebben we niets terug kunnen vinden in de Arbit, behalve een lege bijlage bij de model overeenkomst en het model nadere overeenkomst.    

Wat zeker niet is gewijzigd is dat de Arbit 2022 nog steeds eenzijdig in het voordeel van de opdrachtgever zijn, en dat er bepalingen zijn toegevoegd die dat alleen maar versterken (denk aan het onmiddellijke verzuim in geval van niet-beschikbaarheid). De IT-leverancier die onder de Arbit 2022 met de rijksoverheid of een andere wil contracteren, zal dan ook, en misschien nog wel meer dan onder de vorige Arbit 2018 voorwaarden, kritisch moeten kijken naar deze voorwaarden.