Jouw wet is niet hun wet - Zo krijg je leveranciers wél compliant

Leveranciers en wetgeving... jouw wet is nog niet de wet van de leverancier. Hoe zorg je ervoor dat jouw leveranciers bijdragen aan jouw compliance-eisen?

Als organisatie moet je voldoen aan een hele reeks van wet- en regelgeving. Door het uitbesteden van (gedeeltelijke) processen of middelen zijn die leveranciers ook betrokken bij het voldaan aan de daar bijbehorende wet- en regelgeving. In de praktijk komt het nog al eens voor dat een leverancier een overzicht krijgt van wetten (alleen op naam) en de eis daaraan te voldoen. Dit is alleen niet de route die leidt tot het aantoonbaar voldoen aan relevante wettelijke eisen. Wat een passende route wel is, wordt in deze nieuwsbrief toegelicht.

De kern van een passende route is om te beseffen dat jouw compliance-eisen de contractuele eisen van jouw leverancier moeten zijn. Wat betekent dit concreet?

Stel, als organisatie moet je voldoen aan art. 2 Wet Bescherming Bedrijfsgeheimen (Wbb). Dit artikel behandelt het verkrijgen van een bedrijfsgeheim zonder de toestemming van de houder van het bedrijfsgeheim en de voorwaarden waarin deze verkrijging onrechtmatig is. Denk hierbij onder andere aan onbevoegde toegang tot het bedrijfsgeheim.

De compliance-eis die uit dit wetsartikel onttrokken kan worden is dat jij als organisatie moet voorkomen dat onbevoegden toegang krijgen tot bedrijfsgeheimen. Om te zorgen dat jouw organisatie hieraan voldoet moeten twee vragen beantwoord worden:

Welke informatie binnen mijn organisatie kan geclassificeerd worden als bedrijfsgeheim?

Welke bedrijfsgeheim worden (ook) verwerkt door leveranciers?

Na beantwoording van deze vragen volgt de volgende stap in deze route.

N.B.! Een uitkomst kan ook zijn dat het niet wenselijk is om leveranciers in te zetten bij de verwerking van de onderkende bedrijfsgeheimen. Het in eigen beheer (gaan) uitvoeren van de verwerking van bedrijfsgeheimen is ook een mogelijkheid!

De volgende stap in de route is niet om tegen de leverancier(s) aan te geven dat zij moeten voldoen aan de Wbb. De bedrijfsgeheimen van de leverancier(s) zijn niet de bedrijfsgeheimen van jouw organisatie. Belangrijk is om de beheersmaatregelen te inventariseren die jouw organisatie zelf heeft genomen om de bedrijfsgeheimen te beschermen. Deze beheersmaatregelen, eventueel aangevuld met specifieke beheersmaatregelen voor de leverancier, vormen het Programma van Eisen (PvE). Dit PvE is de vertaling van jouw compliance-eisen naar contractuele eisen. Hieruit volgt de laatste stap in deze route.

De makkelijkste route verloopt via het aantrekken van nieuwe leveranciers. Het PvE maakt onderdeel uit van de nieuwe overeenkomst. Let wel op aanvullende clausuleringen uit het algemene contractenrecht om te zorgen dat deze PvE niet alleen van toepassing is maar dat ook waarborgen en sturing hierin mogelijk is. Met name wanneer niet aan het PvE voldaan wordt en jouw organisatie daardoor een datalek of (groot) incident heeft gehad.

Bij bestaande leveranciers kan een dergelijke PvE contractueel voor uitdagingen zorgen. Vooral wanneer de PvE meer blijkt te verlangen dan met die leverancier al is afgesproken. Dit kan leiden tot nieuwe contractafspraken (met dito tarieven) of tegenwerkingen vanuit de leverancier. Voordat dus met een leverancier gesproken wordt is het goed de overeenkomst te onderzoeken. Wat was er destijds afgesproken en is de levering van de afgesproken dienst in de tijd daarna niet gewijzigd? Ook rechtspraak over geschillen met leveranciers, security/informatiebeveiliging en de zorgplicht van leveranciers kunnen inzichten geven hoe een dergelijk gesprek voor te bereiden.

Uiteindelijk is de leverancier er om jouw organisatie te ondersteunen en wil jouw organisatie dat bedrijfsgeheimen goed beschermd worden. Een open gesprek om de gewenste veranderingen te bespreken zal meer opleveren dan het gestrekte been.

In bovenstaande voorbeeld werd een situatie geschetst vanuit de Wbb. Het zelfde geldt natuurlijk voor iedere wet waaraan een organisatie moet voldoen. Zorg er dan ook voor dat op wetsartikelniveau duidelijk is welke compliance-eisen aan jouw organisatie gesteld worden.

N.B.! Je gaat dan ontdekken dat niet ieder wetsartikel uit een toepasselijke wet voor jouw organisatie van toepassing zal zijn.

Wanneer deze compliance-eisen op detail inzichtelijk zijn, is het eenvoudiger te bepalen welke contractuele eisen van toepassing zijn.