In de vorige blog uit deze reeks, is stilgestaan bij de betekenis van data en de onmogelijkheid van eigendom in goederenrechtelijke zin daarop. In deze blog wordt ingegaan op de oplossing voor deze constatering: het contractenrecht.
Nagenoeg alle data wordt tegenwoordig opgeslagen in de ‘cloud’. De data wordt dan online opgeslagen en dus hoeft dit niet meer op een traditionele drager (zoals een cd-rom). Contractuele bepalingen zijn met name van belang als data wordt opgeslagen in de cloud. Op die data kan immers geen eigendom in goederenrechtelijke zin rusten en kan zij derhalve niet gerevindiceerd worden. De ouderwetse cd-rom is wel een zaak en dus voor eigendom vatbaar. De cd-rom kan dus wel worden gerevindiceerd. Deze blog zal zich dan ook focussen op contractuele bepalingen bij overeenkomsten waarbij data worden gedeeld of opgeslagen via de cloud.
Overeenkomsten waarbij data gedeeld of opgeslagen wordt, kennen veelal twee partijen. Dit zijn de verstrekkende partij (partij die de data verstrekt) en de ontvangende partij (partij die de data ontvangt). De verstrekkende partij kan bijvoorbeeld een online webshop zijn. Deze webshop bezit veel data over haar klanten. Als een klant wat bij de webshop koopt, dan worden de gegevens aan het klantenbestand toegevoegd. Een externe hostingprovider zorgt ervoor dat de webshop op het internet draait en slaat alle data van de webshop op. De hostingprovider is in dit geval de ontvangende partij. In het vervolg van de blog, wordt stilgestaan bij afspraken die de verstrekkende en ontvangende partij in hun overeenkomst kunnen vastleggen over het delen van de data.
Allereerst is het aan te bevelen om afspraken te maken over het gebruik van de data. Als verstrekkende partij wil je namelijk niet dat de ontvangende partij de data gaat gebruiken voor eigen doeleinden. Zo wil je dat een hostingprovider de ontvangen data opslaat en aan de verstrekkende partij online ter beschikking stelt, maar niet dat de hostingprovider jouw data gaat gebruiken om een marktsegmentatie van haar eigen klanten uit te voeren. Dat laatste kan voorkomen worden door duidelijke afspraken in de overeenkomst te maken. In een dergelijk geval, dient de overeenkomst een beding te bevatten waarin (bijvoorbeeld) staat dat de data enkel ten behoeven van de verstrekkende partij mag worden gebruikt.
Naast een goede afbakening van het gebruik van de data, is een verbod op het verstrekken van de data aan derden ook noodzakelijk. Dit kan gepaard gaan met een geheimhoudingsclausule. Op deze manier wordt voorkomen dat derden toegang of de beschikking over de data krijgen.
Een derde beding die in een overeenkomst opgenomen kan worden is een verplichting om de data over te dragen aan de verstrekkende partij of een derde op verzoek van de verstrekkende partij. Dit noemen wij ook wel het contractuele recht van revindicatie. Ook van belang is dat bij dit beding ook wordt nagedacht over de manier waarop de data overgedragen moet worden. Denk daarbij aan het format, maar ook over de kostenverdeling tussen partijen.
Wel dient opgemerkt te worden dat een contractueel recht van revindicatie geen werking heeft in faillissement. Wordt de ontvangende partij failliet verklaard, dan kan de verstrekkende partij geen aanspraak maken op teruggave van de data door de curator.
Aan alleen een contractueel recht van revindicatie heb je niet genoeg. Een dergelijk beding heeft pas zin, als ook verwijdering van de data na overdracht kan worden bewerkstelligt. Als verstrekkende partij is het verder zinvol om overlegging van bewijs van de verwijdering af te dwingen in de overeenkomst.
Het nadeel van contractuele afspraken – in vergelijking met eigendom in goederenrechtelijke zit – is dat de afspraken enkel werking hebben tegen de contactuele wederpartij (in dit geval de verstrekkende en ontvangende partij). Mocht de ontvangende partij dus toch data gebruiken voor eigen doeleinden of de data verstrekken aan een derde, dan kan je als verstrekkende partij in beginsel alleen de ontvangende partij aanspreken.
Om een extra prikkel te creëren en nakoming van de contractuele afspraken te bewerkstelligen, kan een boeteclausule in de overeenkomst worden opgenomen.
Naast een boete, is het ook aan te bevelen dat de verstrekkende partij gedurende de looptijd van de overeenkomst kan controleren of de ontvangende partij zijn verplichtingen nakomt. Een dergelijke controle wordt ook wel een audit genoemd en is zeer gebruikelijk. Uiteraard dient er nagedacht te worden over een kostenverdeling, ook wanneer uit de audit blijkt dat de ontvangende partij zijn verplichtingen niet nakomt.
Tot slot is het voor de verstrekkende partij aan te bevelen om de opschortingsbevoegdheid van de verplichtingen van de ontvangende partij uit te sluiten. Uiteraard is het belangrijk om als verstrekkende partij de overeenkomst na te komen, maar mocht dat onverhoopt een keer niet lukken dan voorkom je met de uitsluiting dat de ontvangende partij zich niet aan de bedongen beperkingen ten aanzien van (het gebruik van) de data houdt.
Zoals wij schreven in deze en vorige blog uit deze reeks, is het belangrijk om contractueel goede afspraken te maken over het gebruik, de teruggave en verwijdering van data, omdat er geen eigendom in goederenrechtelijke zin bestaat op data. Onze specialisten van Team Commercial Contracting en Team IE/ICT/Privacy helpen u uiteraard graag bij vraagstukken rondom het opstellen van contracten of advisering hieromtrent.