Hoe zet je contractuele verplichtingen door naar subleveranciers bij een uitbesteding?
-
1 Inleiding
In de praktijk besteden ondernemingen geregeld (onderdelen van) hun bedrijfsprocessen uit aan derde leveranciers die in die processen gespecialiseerd zijn. Er zijn bijvoorbeeld nog maar weinig ondernemingen die al hun IT-processen en -ondersteuning helemaal zelf doen; hetzelfde geldt voor veel administratieve processen, maar bijvoorbeeld ook voor praktische zaken als beveiliging of catering. Ten behoeve van de uitbesteding van diensten sluit de betreffende onderneming (de uitbesteder) met de geselecteerde leverancier een uitbestedingscontract.1xHet uitbestedingscontract kan veel verschillende benamingen hebben (outsourcing agreement, master services agreement, cloud agreement, enz.), of onderdeel vormen van een meeromvattend contract. De betreffende leverancier werkt op zijn beurt vaak met verschillende subleveranciers en subsubleveranciers bij de uitvoering van de uitbestede diensten. In figuur 1 hebben we ter illustratie een visualisatie opgenomen van een mogelijke uitbestedingsketen.
Net als alle andere contracten schept het uitbestedingscontract in principe alleen rechten en verplichtingen tussen de partijen: de uitbesteder en zijn leverancier.2xC.E. du Perron, Overeenkomst en derden: een analyse van de relativiteit van de contractswerking (diss. Amsterdam UvA), Deventer: Kluwer 1999, vanaf p. 9. Zie ook Asser/Hartkamp & Sieburgh 6-III 2014/518. Er is echter wet- en regelgeving die verplichtingen aan de uitbesteder oplegt, waaraan hij redelijkerwijs alleen kan voldoen als hij ervoor zorgt dat ook de subleveranciers en subsubleveranciers (hierna gezamenlijk: subleveranciers) die zijn leverancier gebruikt bij de uitvoering van het uitbestedingscontract aan deze verplichtingen gebonden zijn. De uitbesteder moet deze verplichtingen dus op de een of andere manier ‘doorzetten’ in de uitbestedingsketen. Dit levert een complicatie op, want de uitbesteder heeft zelf geen contractuele relatie met de betreffende subleveranciers.
In sommige wet- en regelgeving is deze ‘doorzetverplichting’ zelfs expliciet opgenomen. Bepaalde uitbestedende gereguleerde financiële instellingen3xLees verder over uitbesteding door gereguleerde financiële instellingen: M.E. de Ruijter-Nobel, Toezicht op uitbesteding geharmoniseerd?, FR 2020, afl. 1/2, p. 5-10; P. Laaper, Annotatie. Handhaving bij uitbesteding in het VK en Nederland, FR 2017, afl. 7/8, p. 341-345. zijn bijvoorbeeld op grond van de Guidelines on outsourcing arrangements van de European Banking Authority (EBA Guidelines)4xEBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019. verplicht om te zorgen dat bepaalde contractuele verplichtingen opgelegd worden aan subleveranciers. In de Algemene verordening gegevensbescherming (AVG) en de richtlijn netwerk- en informatiebeveiliging (NIB-richtlijn) komen we vergelijkbare regelingen tegen. We geven in paragraaf 2 een overzicht van deze en andere in het oog springende voorbeelden.
In de derde en vierde paragraaf zullen we ingaan op de wijze waarop een uitbesteder kan voldoen aan deze doorzetverplichtingen, ondanks het feit dat hij zelf geen contractuele relatie heeft met de subleveranciers. Hoewel een combinatie van de figuren van het derden- en kettingbeding uit ons Nederlands recht daarvoor geschikt lijkt, is wel het een en ander aan te merken op de praktische uitvoerbaarheid daarvan. Dit komt zowel door enkele bijzondere aspecten van de regelingen van derden- en kettingbedingen als door het feit dat uitbestedingscontracten vaak in internationaal verband gesloten worden en dat de onderhandelingsruimte van een uitbesteder in de praktijk vaak beperkt is (zeker waar het gaat om de afname van commodity-clouddiensten).5xDNB Circulaire Cloud Computing, 2011/643815, 6 december 2011. De theoretische aspecten van het derden- en kettingbeding zullen worden besproken in paragraaf 3. De praktische aandachtspunten en mogelijke alternatieve oplossingen voor de doorzetting van verplichtingen aan subleveranciers komen ten slotte aan bod in paragraaf 4. Paragraaf 5 sluit af met een conclusie.
-
2 Wet- en regelgeving met een ‘doorzetverplichting’
In het kader van uitbesteding bestaan er diverse in het oog springende wetten en richtlijnen, die weliswaar met een andere invalshoek en gericht op verschillende groepen uitbesteders geschreven zijn, maar die de uitbesteder allemaal verplichten dan wel noodzaken om contractuele verplichtingen door te zetten naar subleveranciers in de uitbestedingsketen. Zonder een uitputtend overzicht te willen geven noemen we er in deze paragraaf een aantal.
Voorbeeld van een uitbestedingsketenTen eerste de eerdergenoemde EBA Guidelines.6xEBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019. Deze geven richting aan de wijze waarop bepaalde gereguleerde financiële instellingen (zoals banken, betaalinstellingen, elektronischgeldinstellingen) moeten voldoen aan verschillende Europese wetgeving die op hen van toepassing is, specifiek waar het om uitbesteding gaat. In het financieel toezichtrecht wordt uitbesteding momenteel als een van de grootste risico’s voor het goed functioneren van financiële instellingen gezien. Immers, als een financiële instelling haar uitbestede activiteiten niet goed monitort en beheerst, kan dat zowel haar dienstverlening aan klanten als haar interne organisatie ernstig negatief beïnvloeden. Dit risico neemt alleen maar toe in onze steeds meer gedigitaliseerde wereld. Ondernemingen waarop de EBA Guidelines van toepassing zijn en bevoegde toezichthouders dienen ‘alles in het werk te stellen’ om te voldoen aan de EBA Guidelines.7xZie art. 1 EBA Guidelines, art. 16 Verordening (EU) 1093/2010 en de recente bevestiging hiervan door het Europees Hof van Justitie op 15 juli 2021 in C-911/19, ECLI:EU:C:2021:599. Hoofdstuk 13 van de EBA Guidelines bevat concrete vereisten waar het uitbestedingscontract aan moet voldoen, en noemt diverse contractuele verplichtingen die ook aan subleveranciers doorgezet moeten worden. Zo bepaalt hoofdstuk 13.1 van de EBA Guidelines dat de uitbesteder zijn leverancier contractueel moet opleggen dat deze audit- en toegangsrechten verschaft aan de uitbesteder en de toezichthouder, en dat ook diens subleveranciers zich aan deze zelfde audit- en toegangsrechten moeten committeren. Naast de EBA Guidelines zijn er vergelijkbare uitbestedingsregels voor bijvoorbeeld verzekeraars (op grond van de Solvency II Verordening en de EIOPA Guidelines on outsourcing to cloud service providers),8xZie www.dnb.nl/media/spbpdegq/good-practice-uitbesteding-verzekeraars.pdf. beleggingsondernemingen en fondsbeheerders (op grond van de ESMA Guidelines on outsourcing to cloud service providers).9xZie www.esma.europa.eu/sites/default/files/library/esma50-157-2403_cloud_guidelines.pdf.
Gerelateerd aan deze Guidelines is het voorstel voor de EU Digital Operational Resilience Act (DORA),10xVoorstel voor een Verordening van het Europees Parlement en de Raad d.d. 24 september 2020 betreffende digitale operationele veerkracht voor de financiële sector (COM(2020)595 final). De DORA heeft betrekking op aanbieders van ICT-diensten en op de financiële entiteiten die in art. 2 van de DORA worden genoemd, waaronder beleggingsondernemingen, handelsplatformen, centrale effectenbewaarinstellingen en verzekerings- en herverzekeringsondernemingen. die naar verwachting eind 2022 in werking zal treden. Een van de hoofddoelen van deze voorgestelde EU-verordening is om de risico’s van uitbesteding in de financiële sector aan zogenaamde kritieke digitale derde dienstverleners beter te mitigeren. Art. 27 van het huidige voorstel van de DORA bevat contractuele afspraken die gemaakt moeten worden tussen de uitbesteder en zijn leverancier; deze komen sterk overeen met de EBA Guidelines, maar zijn daaraan niet identiek. Op grond van art. 27 van het voorstel van de DORA is de uitbesteder bijvoorbeeld verplicht om contractueel vast te leggen op welke locatie de uitbestede diensten worden verricht en waar de relevante data zullen worden verwerkt, zowel door de leverancier als door de subleveranciers. De uitbesteder dient de leverancier contractueel te verplichten om melding te maken van een voorgenomen verandering van deze locaties. Dit impliceert dat de leverancier ook subleveranciers contractueel zal moeten verplichten om dergelijke meldingen bij hem te maken. Interessant om op te merken is nog dat het voorstel van de DORA voor het contract tussen de uitbesteder en een leverancier van cloudcomputingdiensten het gebruik van standaardclausules aanmoedigt, die volgens het voorstel nog zullen worden ontwikkeld door de Europese Commissie.
In art. 28 AVG is een expliciete doorzetverplichting te vinden. Dit artikel beschrijft de verplichtingen die gelden bij het inzetten van een verwerker. Een verwerker verwerkt persoonsgegevens van betrokkenen ten behoeve van een verwerkingsverantwoordelijke. De verwerker en de verantwoordelijke zijn verplicht een verwerkersovereenkomst te sluiten, waarvan de inhoud deels door art. 28 AVG wordt voorgeschreven. Een verwerker kan op zijn beurt een zogeheten subverwerker inschakelen. Zo zullen subleveranciers bij een uitbesteding in het algemeen tevens subverwerkers zijn. Art. 28 AVG schrijft in het derde lid onder d voor dat in de verwerkersovereenkomst tussen de verwerker en de verantwoordelijke moet worden bepaald dat de verwerker dezelfde verplichtingen op zal leggen aan zijn subverwerkers. De AVG legt dus niet alleen een doorzetverplichting op, maar bepaalt ook expliciet de contractuele wijze waarop dit dient te gebeuren. Op grond van de AVG is de verwerker rechtstreeks aansprakelijk jegens de verantwoordelijke voor inbreuken door subverwerkers op de door te zetten verplichtingen uit art. 28. Dit vormt een extra, wettelijke prikkel om ondubbelzinnige contractuele afspraken te maken met de subverwerker en om actief nakoming te vorderen als de subverwerker wanprestatie pleegt.
In de privacyhoek blijvend, is verder een interessant praktijkgeval te vinden in de modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen met een beschermingsniveau dat niet gelijk is aan de Europese Unie. Recent zijn er nieuwe versies van deze modelcontractbepalingen gepubliceerd door de Europese Commissie.11xUitvoeringsbesluit (EU) 2021/914 van de Commissie d.d. 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (PbEU 2021, L 199). Art. 3 van de eerste afdeling van de modelcontractbepalingen bevat een derdenbeding ten gunste van betrokkenen van wie de persoonsgegevens onder de modelcontractbepalingen doorgegeven worden naar dergelijke landen. De betrokkenen kunnen bijvoorbeeld op grond van dat derdenbeding van de data-importeur een kopie vorderen van hun persoonsgegevens, of vorderen dat hun persoonsgegevens niet verwerkt worden voor direct-marketingdoeleinden. Op grond van art. 9 van de tweede afdeling dienen de standaardclausules, uitdrukkelijk inclusief de derdenbedingen daarin, te worden doorgezet naar eventuele subverwerkers. Art. 18 van de derde afdeling bepaalt verder dat de modelcontractbepalingen alleen mogen worden gesloten onder het recht van een lidstaat dat de figuur van het derdenbeding erkent. Om te voorkomen dat zijn recht niet van toepassing verklaard zou kunnen worden op modelcontractbepalingen werd bijvoorbeeld Ierland, waar de wet de figuur van het derdenbeding niet toestaat, genoodzaakt een nieuwe wet aan te nemen die betrokkenen specifiek op grond van de modelcontractbepalingen toch de daarin beschreven zelfstandige vorderingsrechten toekent.12xS.I. No. 297 of 2021, the European Union (Enforcement of Data Subjects’ Rights on Transfer of Personal Data Outside the European Union) Regulations 2021, amending Section 117A of the Irish Data Protection Act.
De NIB-richtlijn ten slotte13xRichtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. bevat alleen impliciete verplichtingen om bepaalde contractuele verplichtingen door te zetten in de uitbestedingsketen. De NIB-richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Deze wet is slechts op een bijzondere groep uitbesteders van toepassing, namelijk alleen uitbesteders die kwalificeren als ‘aanbieders van essentiële diensten’ of de bredere groep ‘vitale aanbieders’.14xDeze begrippen zijn gedefinieerd in art. 1 Wbni. Sectoren waarin de lidstaten op grond van de NIB-richtlijn aanbieders van essentiële diensten dienen aan te wijzen met een vestiging op het grondgebied van die lidstaat zijn onder andere het bankwezen en de infrastructuur voor de financiële markt.15xDe relevante aanbieders van essentiële diensten in deze sectoren en andere vitale aanbieders in de financiële sector op de Nederlandse markt worden op grond van het Bbni aangewezen bij besluit van De Nederlandsche Bank N.V. (DNB). Art. 7 en 10 Wbni implementeren respectievelijk de verplichtingen om passende maatregelen te nemen voor de beveiliging van netwerk- en informatiesystemen en om melding te maken van aantastingen van beveiliging van ICT waarvan de uitbesteder afhankelijk is. Hierbij gaat het niet alleen om de private netwerk- en informatiesystemen die door het eigen IT-personeel worden beheerd, maar ook om systemen die zijn uitbesteed of waarvan de uitbesteder op andere wijze afhankelijk is.16xZie overweging 52 van de NIB-richtlijn en Kamerstukken II 2017/18, 34883, nr. 3, p. 40-41 (MvT). Voor uitbesteders is nog van belang dat op cloudcomputingdiensten, met uitzondering van zogeheten kleine en micro-ondernemingen, ook verplichtingen rusten onder de NIB-richtlijn en de Wbni met betrekking tot beveiligingsmaatregelen. In de praktijk zal de risicograad voor aanbieders van essentiële diensten, die vaak van essentieel belang zijn voor het behoud van kritieke maatschappelijke en economische activiteiten, hoger zijn. Daarom moeten de beveiligingseisen voor digitale dienstverleners lichter zijn. Als uitbesteders die aanbieders van essentiële diensten zijn gebruik maken van diensten die worden aangeboden door digitale dienstverleners, met name cloudcomputingdiensten, is het mogelijk dat zij extra beveiligingsmaatregelen verlangen naast datgene wat de digitale dienstverleners normaliter zouden aanbieden conform de NIB-richtlijn en de Wbni. Dit moeten zij kunnen doen door middel van contractuele verplichtingen. De te nemen beveiligingsmaatregelen zijn uitgewerkt in de bijlage van het Besluit beveiliging netwerk- en informatiesystemen (Bbni). Om zeker te weten dat hij kan voldoen aan de zware verplichtingen die op hem rusten onder de Wbni en het Bbni, kan de uitbesteder deze het beste contractueel doorzetten, zowel aan zijn leverancier als aan subleveranciers aan wie hij zijn beveiliging of de te beveiligen diensten heeft uitbesteed.
In alle genoemde voorbeelden bestaat het risico dat de uitbesteder klem komt te zitten tussen enerzijds zijn verplichtingen op grond van de betreffende regelgeving en de relevante toezichthouder en anderzijds de praktische onderhandelingsruimte die hij heeft in de relatie met zijn leverancier. Voor wetten zoals de AVG, die ook al de contractuele wijze voorschrijven waarop de verplichtingen dienen te worden doorgezet en de leverancier (lees: verwerker) zelf verantwoordelijk maken voor niet-nakoming daarvan door zijn subleveranciers, geldt dat iets minder dan voor de wetten en regelingen die deze wijze verder aan de partijen zelf laten en die alle verantwoordelijkheid bij de uitbesteder leggen. Er bestaat namelijk vaak veel weerstand van leveranciers tegen vergaande interpretaties van de door te zetten verplichtingen en de wijze waarop deze worden doorgezet. Hier zullen we verder op ingaan in paragraaf 4.
-
3 Derdenbedingen, kettingbedingen en boetebedingen – het juridisch kader
Zoals uiteengezet in de vorige paragraaf rusten er op verschillende groepen uitbesteders wettelijke verplichtingen om bepaalde contractuele verplichtingen op te nemen in het uitbestedingscontract met de leverancier, en om deze door de leverancier ook door te laten zetten in zijn overeenkomsten met subleveranciers. De uitbesteder kan de betreffende subleveranciers immers niet zelf aan deze verplichtingen binden, aangezien hij geen contractuele relatie met hen heeft.
Puur juridisch gezien en nog geen acht slaande op de praktijk, die besproken zal worden in paragraaf 4, is het doorzetten van een contractuele verplichting naar Nederlands recht het meest zuiver en stevig te regelen door een combinatie van een derdenbeding met een daaraan gekoppeld kettingbeding en boetebeding.
3.1 Derdenbeding
Het derdenbeding is geregeld in art. 6:253-256 BW. Indien we de relatie tussen de uitbesteder, zijn leverancier en de subleveranciers als voorbeeld nemen, houdt de werking van het derdenbeding het volgende in: wanneer de leverancier (= stipulator) initieert om een derdenbeding op te nemen in zijn contract met zijn subleverancier(s) ten gunste van de uitbesteder, dan is de subleverancier (= promissor) tot nakoming jegens de uitbesteder (= derde-begunstigde) gehouden vanaf het moment dat de uitbesteder dit beding aanvaardt. Om de gewenste werking te kunnen hebben, dient het derdenbeding dus te worden opgenomen in de overeenkomst tussen de leverancier en zijn subleverancier. De aanvaarding door de derde-begunstigde, in dit geval de uitbesteder, is een dwingend vereiste voor de totstandkoming van de rechten van de uitbesteder op grond van het derdenbeding. Deze is wel vormvrij. Zo kan een derdenbeding door de derde-begunstigde worden aanvaard door het instellen van een rechtsvordering tot nakoming tegen de promissor.17xHR 19 maart 1976, ECLI:NL:PHR:1976:AC5710, NJ 1976/407 (Kip/Motorvoertuigenbedrijf), r.o. 4. Als het derdenbeding om niet is gemaakt, en dat zal bij uitbesteding meestal het geval zijn, dan geldt het derdenbeding als aanvaard wanneer het ter kennis komt van de uitbesteder en deze het niet gelijk afwijst.18xArt. 6:253 lid 4 BW. Zie ook Beversluis, in: GS Verbintenissenrecht, art. 6:253 BW, aant. 10. Het is niet nodig om een aanvullende contractuele afspraak op te nemen dat de uitbesteder steeds direct op de hoogte wordt gesteld van een nieuwe subleverancier en het betreffende derdenbeding, aangezien de aanvaarding ook pas later kan plaatsvinden door kennisgeving of actieve aanvaarding, bijvoorbeeld wanneer daadwerkelijk een situatie ontstaat waarin de uitbesteder zijn recht wil uitoefenen. Ter zekerheid van de uitbesteder is het echter wel van belang om de mogelijkheid tot herroeping van het derdenbeding voordat aanvaarding heeft plaatsgevonden uit te sluiten, in afwijking van art. 6:253 lid 2 BW.
Een van de meer gecompliceerde en soms vergeten aspecten van de regeling van het derdenbeding in het Nederlands recht is dat de derde-begunstigde (in ons voorbeeld de uitbesteder) op grond van art. 6:254 lid 1 BW automatisch partij wordt bij de overeenkomst tussen de stipulator (leverancier) en promissor (subleverancier). Aangezien deze bepaling van regelend recht is, kan de toepassing ervan worden uitgesloten, maar dit moet dan wel uitdrukkelijk in de overeenkomst worden bepaald. In de meeste gevallen zal het inderdaad aan te raden zijn om de toepassing ervan uit te sluiten, aangezien het niet de bedoeling is van partijen om door opneming van het derdenbeding een meerpartijenovereenkomst te sluiten, met alle gevolgen – voor bijvoorbeeld wijziging of beëindiging van de overeenkomst – van dien. Deze bijzonderheid onder het Nederlands recht speelt ook bij het van toepassing verklaren van Nederlands recht op de hiervoor in paragraaf 2 besproken modelcontractbepalingen. Indien art. 6:254 lid 1 BW niet uitgesloten wordt, worden de relevante derden-betrokkenen partij bij de modelcontractbepalingen, hetgeen het wijzigen of beëindigen ervan kan compliceren. Dit zal niet de bedoeling zijn geweest van de Europese wetgever. Het is echter op grond van art. 2(a) van de modelcontractbepalingen in beginsel niet toegestaan om een gewijzigde versie van de modelcontractbepalingen te gebruiken als doorgiftemechanisme. Het is slechts toegestaan om bepalingen aan de modelcontractbepalingen toe te voegen, voor zover deze bepalingen niet met de modelcontractbepalingen overlappen of deze tegenspreken, zij geen afbreuk doen aan het beschermingsniveau van persoonsgegevens dat krachtens de modelcontractbepalingen in het leven wordt geroepen, en niet tot een beperking leiden van de rechten van betrokkenen. Wij zijn van mening dat het toevoegen van een bepaling die art. 6:254 lid 1 BW uitsluit, is toegestaan, aangezien deze geen afbreuk doet aan de door de modelcontractbepalingen verleende rechten van de betrokkenen. Ook zonder dat de betrokkene partij wordt bij de overeenkomst, kan hij immers op grond van art. 6:253 lid 1 BW de derdenbedingen inroepen tegenover de data-exporteur en data-importeur.
Een andere complicatie is dat de vraag of er sprake is van een derdenbeding, dient te worden beantwoord door uitleg van de gehele overeenkomst. Het kan zo zijn dat partijen een derdenbeding in het leven roepen zonder zich daarvan bewust te zijn, en ook is het mogelijk dat een bepaling die uitdrukkelijk in de overeenkomst is aangeduid als een derdenbeding geen derdenbeding is zoals bedoeld in art. 6:253 BW. Bij het opstellen van het contract dient hier dus goed over te worden nagedacht. Uitsluitend wanneer de derde aan de overeenkomst een zelfstandig vorderingsrecht tegenover de promissor kan ontlenen, is een beding ten behoeve van een derde gemaakt. Indien door een bepaling in een overeenkomst een derde alleen feitelijk wordt bevoordeeld, is geen sprake van een derdenbeding.19xIndien er door een willekeurige schuldenaar opdracht wordt gegeven aan een bank om een betaling te doen aan een derde die zijn schuldeiser is, houdt deze opdracht bijv. geen derdenbeding in ten gunste van die derde. Op grond van de opdracht door de schuldenaar aan de bank verkrijgt de derde immers geen eigen vorderingsrecht op de bank. Zie voor dit voorbeeld en verder over derden- en kettingbedingen J. Hijma & M.M. Olthof, Compendium van het Nederlands vermogensrecht, Deventer: Wolters Kluwer 2017.
3.2 Kettingbeding
We weten nu dat een derdenbeding in de overeenkomst tussen de leverancier en de subleverancier een rechtstreeks vorderingsrecht voor de uitbesteder jegens de subleverancier creëert, maar daarmee is de uitbesteder er nog niet. Hij moet er namelijk voor zorgen dat dit derdenbeding ook wordt opgenomen in alle contracten met opvolgende subleveranciers in de keten. Daartoe zal hij in zijn eigen uitbestedingscontract met de leverancier moeten afspreken dat de leverancier het betreffende derdenbeding in alle overeenkomsten met subleveranciers zal opnemen, en dat de subleveranciers zich eraan zullen committeren om datzelfde te doen in de contracten die zij met opvolgende subleveranciers sluiten. Om dit te kunnen bewerkstelligen is een kettingbeding nodig.
Kettingbedingen kennen geen specifieke regeling in de Nederlandse wet. Een kettingbeding wordt gekenmerkt doordat het een contractuele verplichting oplegt aan de andere contractspartij, die tevens inhoudt dat deze zelfde verplichting in een volgende overeenkomst zal worden opgelegd aan een derde. In het geval van een uitbesteding zal die derde een subleverancier (of subsubleverancier) van de uitbesteder zijn. De ‘derde’ heeft daarmee in het kader van een kettingbeding een andere betekenis dan in het geval van het klassieke derdenbeding van art. 6:253 BW. De derde partij bij een kettingbeding is de partij waaraan de verplichting wordt doorgezet middels het kettingbeding, aangezien deze partij een ‘derde’ is ten opzichte van de partijen die het kettingbeding origineel overeen zijn gekomen.20xBeversluis, in: GS Verbintenissenrecht, art. 6:252 BW, aant. 15.2; verwijzend naar de annotatie van H.J. Snijders bij HR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 2018/422 (Bungalowpark De Horn).
Bij het opstellen van een kettingbeding wordt nogal eens over het hoofd gezien dat het beding bestaat uit drie verschillende onderdelen, die alle drie uitdrukkelijk dienen te worden uitgeschreven, wil het kettingbeding werken: ten eerste dient de originele verplichting te worden overeengekomen tussen de uitbesteder en de leverancier, ten tweede dient een verplichting voor de leverancier te worden opgenomen dat hij deze verplichting doorzet naar zijn subleveranciers, en ten slotte dient uitdrukkelijk de verplichting voor de leverancier overeengekomen te worden dat deze de contractuele afspraak met zijn subleveranciers zal maken om deze verplichting ook weer door te zetten naar verdere subleveranciers (subsubleveranciers, en zo verder) die hij inschakelt.
De combinatie van een derdenbeding en kettingbeding zal ervoor zorgen dat de uitbesteder bijvoorbeeld zijn eigen auditrecht en dat van de toezichthouder, zoals verplicht onder de EBA Guidelines, niet alleen kan inroepen tegenover zijn leverancier als zijn directe contractspartij, maar ook tegenover alle subleveranciers in de hele keten, een en ander op grond van het derdenbeding dat via het kettingbeding in de originele overeenkomst verplicht is opgenomen in alle overeenkomsten tussen de leverancier, subleveranciers en opvolgende subleveranciers in de keten. De uitbesteder kan op die manier voldoen aan zijn verplichtingen op grond van de EBA Guidelines, aangezien hij rechtstreeks een audit kan bedingen, zowel van zijn eigen leverancier als van alle subleveranciers.
3.3 Boetebeding
Om het plaatje compleet te maken (en opnieuw puur vanuit juridisch perspectief, de praktijk komt aan bod in par. 4), is het aan te raden om het kettingbeding te combineren met een boetebeding.21xGa overigens altijd bij het opnemen van een boetebeding na of het wenselijk is om de eerste twee leden van art. 6:92 BW uit te sluiten, zodat de uitbesteder bij niet-nakoming altijd naast de boete ook nog nakoming en/of schadevergoeding kan vorderen. Met name van het recht tot het vorderen van nakoming zal een uitbesteder die moet voldoen aan wet- en regelgeving geen afstand willen doen. Het kettingbeding is namelijk zo sterk als de zwakste schakel: als de leverancier of een subleverancier het derdenbeding ten gunste van de uitbesteder niet opneemt in een contract met een opvolgende subleverancier, heeft de uitbesteder geen rechtstreeks vorderingsrecht meer jegens die subleverancier. De ketting is dan doorbroken en de uitbesteder kan niet meer volledig aan zijn wettelijke verplichting voldoen, of heeft in elk geval geen contractuele basis daarvoor. Als een leverancier of subleverancier die niet voldoet aan het kettingbeding een contractuele boete verschuldigd is, zorgt dit voor een sterke additionele prikkel om het kettingbeding daadwerkelijk in contracten met subleveranciers op te nemen. Daarnaast kan ook worden gedacht aan een contractuele bepaling, die overigens middels een kettingbeding ook weer doorgezet kan worden aan subleveranciers, dat de leverancier tegenover de uitbesteder op dezelfde manier verantwoordelijk is voor de nakoming van het kettingbeding als de subleveranciers. Zoals hierboven uiteengezet, bevat art. 28 AVG een dergelijke regeling. Op deze manier zal niet alleen de uitbesteder op grond van zijn derdenbeding, maar ook de leverancier of opvolgende subleverancier een reden hebben om nakoming te vorderen. De leverancier heeft als stipulator op grond van art. 6:256 BW naast de uitbesteder het recht om nakoming te vorderen van het derdenbeding, tenzij de uitbesteder zich daartegen verzet.
Een laatste aspect dat ten slotte belangrijk is om in het achterhoofd te houden bij het opstellen van een combinatie van een kettingbeding en derdenbeding is de uitlegmaatstaf die geldt. De Hoge Raad heeft recentelijk bepaald dat de uitlegmaatstaf van een kettingbeding afhangt van de partij ten opzichte waarvan dat kettingbeding uitgelegd dient te worden.22xHR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 2018/422 (Bungalowpark De Horn), r.o. 3.4.3. Tussen de originele contractspartijen die het kettingbeding hebben gesloten, geldt de Haviltex-maatstaf: gekeken dient te worden naar de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan het beding mochten toekennen en naar hetgeen zij te dien aanzien redelijkerwijs van elkaar mochten verwachten. Indien echter het kettingbeding is opgenomen in een nieuw contract en uitgelegd moet worden ten opzichte van een derde partij die niet betrokken is geweest bij het opstellen van het kettingbeding (zoals een subleverancier), dan dient de geobjectiveerde variant van de Haviltex-maatstaf toegepast te worden. Hierbij komt in beginsel aan de bewoordingen van de regeling, gelezen in het licht van de gehele inhoud van de overeenkomst, doorslaggevend gewicht toe.23xZie ook HR 2 februari 2007, ECLI:NL:HR:2007:AZ4410, NJ 2008/104 (NBA/Meerhuysen), r.o. 3.5.1. Het is daarmee in het kader van een toekomstige vordering tot nakoming tegen een subleverancier verderop in de keten van groot belang bij het formuleren van een dergelijk kettingbeding, met daarin besloten een derdenbeding, dat de betekenis daarvan ook voor derden duidelijk uit de tekst zelf zal blijken. Uitgewisselde mails of notities van onderhandelingen tussen de uitbesteder en de leverancier die meer context geven aan het beding zullen geen waarde hebben bij de uitleg van het beding tegenover een subleverancier.
-
4 Complicaties in de praktijk
Zoals uit paragraaf 3 blijkt, is de voor de uitbesteder meest geschikte manier om – naar Nederlands recht – zijn wettelijke verplichtingen door te zetten, het opnemen van een kettingbeding en een derdenbeding in de overeenkomst tussen de uitbesteder en de leverancier, waarin is voorgeschreven dat deze bedingen in alle opvolgende overeenkomsten met subleveranciers ten gunste van de uitbesteder zullen worden opgenomen, dit alles gekoppeld met een boetebeding als een leverancier of subleverancier niet aan deze verplichting voldoet. Onze ervaring is echter dat uitbesteders die deze constructie in de praktijk willen toepassen tegen verschillende complicaties aanlopen.
Ten eerste zal de genoemde combinatie doorgaans in de onderhandelingen sneuvelen. In de praktijk accepteert namelijk bijna geen enkele leverancier deze constructie. Dit is in het grotere plaatje ook goed te verklaren. Stel je bijvoorbeeld voor dat een grote clouddienstverlener zoals Google of Amazon – via derdenbedingen die met kettingbedingen zijn opgelegd – allemaal verschillende uitbesteders (met wie zij zelf geen contractuele afspraken heeft, ook niet ten aanzien van geheimhouding of beveiliging, zij heeft immers gecontracteerd met de leveranciers of subleveranciers van die uitbesteders) onbeperkt toegang zou verlenen tot haar datacenters en andere bedrijfslocaties om audits uit te laten voeren. Dit zou voor andere klanten van die cloudleverancier, die hun gegevens ook in deze datacenters en locaties hebben opgeslagen, tot grote problemen kunnen leiden waar het gaat om de vertrouwelijkheid van hun gegevens en de afspraken die zij daarover met hun klanten hebben gemaakt. Je zou kunnen zeggen dat dit juist indruist tegen datgene wat beoogd wordt met de wetgeving waar de uitbesteder aan gebonden is en die hij aan de subleveranciers doorzet.
Ook het opnemen van een boetebeding, laat staan het verplicht moeten doorzetten van dit boetebeding middels een kettingbeding, stuit op veel weerstand van leveranciers. Het bedrag van het boetebeding zal voldoende hoog moeten zijn om een prikkel te geven tot nakoming van de bepaling(en) waaraan dit gekoppeld is. Een uitbesteder zal een zeer goede positie moeten hebben in de onderhandelingen om een leverancier akkoord te laten gaan met een dergelijke boete, en zal – als hij daarin al slaagt – er bij de commerciële onderhandelingen tegenaan lopen dat de leverancier het risico van de boete inprijst.
Ten tweede geldt dat de meeste leveranciers bestaande afspraken hebben met hun subleveranciers, en dat zij niet geneigd zijn om die – telkens opnieuw wanneer zij een nieuwe uitbesteding contracteren – alsnog aan te passen door daarin allerlei bedingen ten gunste van specifieke uitbesteders op te nemen.
Een derde complicatie is dat er, zeker bij grotere uitbestedingen, in de uitbestedingsketen vaak wordt gecontracteerd met niet-Nederlandse partijen en dat daardoor niet op alle contracten in de keten Nederlands recht van toepassing zal zijn. Hoewel het in de relatie tussen de uitbesteder en de leverancier nog wel mogelijk zal zijn om onder Nederlands recht te contracteren, wordt het lastig afdwingbaar en overigens ook zeer onpraktisch om een buitenlandse leverancier en buitenlandse subleverancier op te leggen om ook onder Nederlands recht te contracteren. Dit terwijl de regeling van het derdenbeding onder Nederlands recht zeer specifiek is en sommige rechtsstelsels, zoals het hiervoor besproken rechtsstelsel van Ierland, de figuur van het derdenbeding niet kennen. Het is dus maar zeer de vraag of een derdenbeding, in de keten doorgezet als kettingbeding, hetzelfde effect sorteert en de uitbesteder überhaupt nog een zelfstandig vorderingsrecht geeft, indien opvolgende overeenkomsten met subleveranciers onder vreemd recht zijn gesloten.
In de praktijk zal een uitbesteder om voornoemde redenen zelden (en in onze ervaring eigenlijk nooit) de ‘ideale juridische situatie’ van een combinatie derdenbeding-kettingbeding-boetebeding bereiken. Daarom is het van belang om naar alternatieve mogelijkheden te kijken. De meest voorkomende vervangende oplossingen die wij in de praktijk zien – en die allemaal juridisch een stuk zwakker zijn, maar wel haalbaar(der) –, zijn de volgende.
Ten eerste kan de uitbesteder met de leverancier alleen een kettingbeding afspreken, zonder derdenbeding. Om de eerdergenoemde auditverplichting als voorbeeld te nemen: daarvoor zou de uitbesteder via een kettingbeding subleveranciers kunnen committeren om zelf periodieke audits of andere rapportages uit te (laten) voeren (zoals SOC 2 Type II-rapportages) en de resultaten daarvan te delen met de leverancier met wie zij een directe contractuele relatie hebben, met toestemming aan die leverancier om deze weer met de uitbesteder te delen. De leverancier wordt op zijn beurt in zijn contract met de uitbesteder dan verplicht om deze resultaten te delen met de uitbesteder. Aan de verplichting in de EBA Guidelines dat ook de toezichthouder een contractueel recht tot audit dient te hebben bij enige subleveranciers van de uitbesteder, kan bijvoorbeeld worden voldaan door in een kettingbeding op te nemen dat de subleveranciers akkoord gaan met audits van de toezichthouder van de uitbesteder. Ook voor verplichtingen van de uitbesteder onder andere wetgeving en richtlijnen wordt vaak volstaan met het verlangen van bewijs dat de verplichtingen worden nageleefd, welk bewijs dan steeds naar boven in de keten wordt doorgegeven en op die manier uiteindelijk bij de uitbesteder uitkomt. Het nadeel van deze ‘zwakkere’ variant is dat de enige partij die nakoming kan vorderen van deze bepalingen de leverancier of subleverancier is, die de directe contractspartij is van de subleverancier lager in de keten. Het voordeel is dat een kettingbeding op zichzelf ook internationaal toepasbaar is: kettingbedingen, in het Engels flow-down clauses genoemd, zijn in de eerste plaats een contractuele constructie die niet op enige nationale wetsbepaling steunt. Ook zal een dergelijk kettingbeding eenvoudiger zijn te onderhandelen: het volgt nu eenmaal in de meeste gevallen direct uit de toepasselijke wet- en regelgeving dat de uitbesteder een contractuele regeling moet treffen met deze strekking.
In de praktijk blijkt ook het afspreken van een kettingbeding echter lang niet altijd haalbaar. Zoals aangegeven hebben leveranciers weinig behoefte aan het aanpassen van bestaande contractuele afspraken met hun subleveranciers. Wat in dat geval uitkomst kan bieden, is een afspraak tussen de uitbesteder en de leverancier, dat deze laatste op verzoek van de uitbesteder informatie en documenten zal opvragen bij subleveranciers, als de uitbesteder die nodig heeft om aan zijn wettelijke verplichtingen te voldoen. Dit is een nog ‘zachtere’ commitment dan die van het eerste alternatief, maar het is een oplossing die in de praktijk veel voorkomt.
Dat de relevante wet- en regelgeving doorgaans niet de manier voorschrijven waarop de uitbesteder zijn verplichtingen door moet zetten dan wel ervoor kan zorgen dat zijn leveranciers en subleveranciers niet afwijken van de verplichtingen, zorgt ervoor dat de uitbesteder wat dit betreft niet sterk in de onderhandelingen staat en meestal geen verderstrekkende, juridisch sterkere regeling overeen kan komen. Het zou wat ons betreft het overwegen waard kunnen zijn voor de Europese wetgever om in een eventuele vervanging van de EBA Guidelines, de DORA of de NIB-richtlijn, een voorbeeld te nemen aan de privacywetgeving. Zoals blijkt uit de modelcontractbepalingen, kan de contractuele wijze waarop verplichtingen doorgezet moeten worden in de leveranciersketen ook worden verplicht in de wetgeving of richtlijn zelf. Ook kan worden overwogen om, net als in de AVG, directe verplichtingen op te leggen aan leveranciers en subleveranciers in de keten. Het zou de positie van de uitbesteder, die nu tussen twee vuren in zit, in ieder geval sterk verbeteren.
-
5 Conclusie
Ondernemingen die processen, activiteiten of diensten aan derde leveranciers uitbesteden, worden in verschillende wet- en regelgeving geconfronteerd met een expliciete dan wel impliciete verplichting om bepaalde contractuele verplichtingen door te zetten in de uitbestedingsketen, ook naar subleveranciers met wie de uitbesteder zelf geen contractuele relatie heeft. Dit geldt eens te meer voor gereguleerde instellingen. De manier waarop de uitbesteder aan deze verplichting moet voldoen, is lang niet altijd in de betreffende wet- en regelgeving bepaald, en daarmee is het lastig voor de uitbesteder om voldoende rechten af te dwingen in de onderhandelingen met de leverancier aan wie hij voornemens is uit te besteden.
De enige manier waarop de uitbesteder er juridisch in kan voorzien dat hij aan een dergelijke verplichting voldoet, is met het door middel van een kettingbeding doorzetten van een derdenbeding ten gunste van de uitbesteder in alle contracten binnen de uitbestedingsketen. Dit is in de praktijk vaak geen haalbare oplossing, omdat de beoogde leverancier en zijn subleveranciers in het algemeen niet aan een dergelijke constructie willen meewerken. Als minder verstrekkend alternatief kan de uitbesteder proberen om alleen een kettingbeding (zonder derdenbeding) op te nemen, of geen van beide, en alleen een verplichting van de leverancier op te nemen om informatie en documenten die in het bezit zijn van subleveranciers lager in de keten, en die relevant zijn voor de verplichting van de uitbesteder, desgevraagd af te geven aan de uitbesteder. Hoe dan ook is er voor de praktijk vooralsnog helaas geen bevredigende oplossing, en is de uitbesteder aangewezen op de hoeveelheid leverage die hij heeft in de onderhandelingen, en op de welwillendheid van de leverancier en de subleveranciers.
Noten
-
1 Het uitbestedingscontract kan veel verschillende benamingen hebben (outsourcing agreement, master services agreement, cloud agreement, enz.), of onderdeel vormen van een meeromvattend contract.
-
2 C.E. du Perron, Overeenkomst en derden: een analyse van de relativiteit van de contractswerking (diss. Amsterdam UvA), Deventer: Kluwer 1999, vanaf p. 9. Zie ook Asser/Hartkamp & Sieburgh 6-III 2014/518.
-
3 Lees verder over uitbesteding door gereguleerde financiële instellingen: M.E. de Ruijter-Nobel, Toezicht op uitbesteding geharmoniseerd?, FR 2020, afl. 1/2, p. 5-10; P. Laaper, Annotatie. Handhaving bij uitbesteding in het VK en Nederland, FR 2017, afl. 7/8, p. 341-345.
-
4 EBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019.
-
5 DNB Circulaire Cloud Computing, 2011/643815, 6 december 2011.
-
6 EBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019.
-
7 Zie art. 1 EBA Guidelines, art. 16 Verordening (EU) 1093/2010 en de recente bevestiging hiervan door het Europees Hof van Justitie op 15 juli 2021 in C-911/19, ECLI:EU:C:2021:599.
-
8 Zie www.dnb.nl/media/spbpdegq/good-practice-uitbesteding-verzekeraars.pdf.
-
9 Zie www.esma.europa.eu/sites/default/files/library/esma50-157-2403_cloud_guidelines.pdf.
-
10 Voorstel voor een Verordening van het Europees Parlement en de Raad d.d. 24 september 2020 betreffende digitale operationele veerkracht voor de financiële sector (COM(2020)595 final). De DORA heeft betrekking op aanbieders van ICT-diensten en op de financiële entiteiten die in art. 2 van de DORA worden genoemd, waaronder beleggingsondernemingen, handelsplatformen, centrale effectenbewaarinstellingen en verzekerings- en herverzekeringsondernemingen.
-
11 Uitvoeringsbesluit (EU) 2021/914 van de Commissie d.d. 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (PbEU 2021, L 199).
-
12 S.I. No. 297 of 2021, the European Union (Enforcement of Data Subjects’ Rights on Transfer of Personal Data Outside the European Union) Regulations 2021, amending Section 117A of the Irish Data Protection Act.
-
13 Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.
-
14 Deze begrippen zijn gedefinieerd in art. 1 Wbni.
-
15 De relevante aanbieders van essentiële diensten in deze sectoren en andere vitale aanbieders in de financiële sector op de Nederlandse markt worden op grond van het Bbni aangewezen bij besluit van De Nederlandsche Bank N.V. (DNB).
-
16 Zie overweging 52 van de NIB-richtlijn en Kamerstukken II 2017/18, 34883, nr. 3, p. 40-41 (MvT). Voor uitbesteders is nog van belang dat op cloudcomputingdiensten, met uitzondering van zogeheten kleine en micro-ondernemingen, ook verplichtingen rusten onder de NIB-richtlijn en de Wbni met betrekking tot beveiligingsmaatregelen. In de praktijk zal de risicograad voor aanbieders van essentiële diensten, die vaak van essentieel belang zijn voor het behoud van kritieke maatschappelijke en economische activiteiten, hoger zijn. Daarom moeten de beveiligingseisen voor digitale dienstverleners lichter zijn. Als uitbesteders die aanbieders van essentiële diensten zijn gebruik maken van diensten die worden aangeboden door digitale dienstverleners, met name cloudcomputingdiensten, is het mogelijk dat zij extra beveiligingsmaatregelen verlangen naast datgene wat de digitale dienstverleners normaliter zouden aanbieden conform de NIB-richtlijn en de Wbni. Dit moeten zij kunnen doen door middel van contractuele verplichtingen.
-
17 HR 19 maart 1976, ECLI:NL:PHR:1976:AC5710, NJ 1976/407 (Kip/Motorvoertuigenbedrijf), r.o. 4.
-
18 Art. 6:253 lid 4 BW. Zie ook Beversluis, in: GS Verbintenissenrecht, art. 6:253 BW, aant. 10.
-
19 Indien er door een willekeurige schuldenaar opdracht wordt gegeven aan een bank om een betaling te doen aan een derde die zijn schuldeiser is, houdt deze opdracht bijv. geen derdenbeding in ten gunste van die derde. Op grond van de opdracht door de schuldenaar aan de bank verkrijgt de derde immers geen eigen vorderingsrecht op de bank. Zie voor dit voorbeeld en verder over derden- en kettingbedingen J. Hijma & M.M. Olthof, Compendium van het Nederlands vermogensrecht, Deventer: Wolters Kluwer 2017.
-
20 Beversluis, in: GS Verbintenissenrecht, art. 6:252 BW, aant. 15.2; verwijzend naar de annotatie van H.J. Snijders bij HR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 2018/422 (Bungalowpark De Horn).
-
21 Ga overigens altijd bij het opnemen van een boetebeding na of het wenselijk is om de eerste twee leden van art. 6:92 BW uit te sluiten, zodat de uitbesteder bij niet-nakoming altijd naast de boete ook nog nakoming en/of schadevergoeding kan vorderen. Met name van het recht tot het vorderen van nakoming zal een uitbesteder die moet voldoen aan wet- en regelgeving geen afstand willen doen.
-
22 HR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 2018/422 (Bungalowpark De Horn), r.o. 3.4.3.
-
23 Zie ook HR 2 februari 2007, ECLI:NL:HR:2007:AZ4410, NJ 2008/104 (NBA/Meerhuysen), r.o. 3.5.1.