Hoe zet je contractuele verplichtingen door naar subleveranciers bij een uitbesteding?
Hoe zet je contractuele verplichtingen door naar subleveranciers bij een uitbesteding?
Een overzicht van de juridische (on)mogelijkheden en enkele praktische aandachtspunten
M r . W . v a n A n g e r e n e n m r . E . C . H a n g e l b r o e k *
1 Inleiding
In de praktijk besteden ondernemingen geregeld (onderdelen van) hun bedrijfsprocessen uit aan derde leveranciers die in die processen gespecialiseerd zijn. Er zijn bijvoorbeeld nog maar weinig ondernemingen die al hun IT-processen en -ondersteu- ning helemaal zelf doen; hetzelfde geldt voor veel administra- tieve processen, maar bijvoorbeeld ook voor praktische zaken als beveiliging of catering. Ten behoeve van de uitbesteding van diensten sluit de betreffende onderneming (de uitbeste- der) met de geselecteerde leverancier een uitbestedings- contract.1 De betreffende leverancier werkt op zijn beurt vaak met verschillende subleveranciers en subsubleveranciers bij de uitvoering van de uitbestede diensten. In figuur 1 hebben we ter illustratie een visualisatie opgenomen van een mogelijke uitbestedingsketen.
Net als alle andere contracten schept het uitbestedingscon- tract in principe alleen rechten en verplichtingen tussen de partijen: de uitbesteder en zijn leverancier.2 Er is echter wet- en regelgeving die verplichtingen aan de uitbesteder oplegt, waaraan hij redelijkerwijs alleen kan voldoen als hij ervoor zorgt dat ook de subleveranciers en subsubleveranciers (hierna gezamenlijk: subleveranciers) die zijn leverancier gebruikt bij de uitvoering van het uitbestedingscontract aan deze verplich- tingen gebonden zijn. De uitbesteder moet deze verplichtin- gen dus op de een of andere manier ‘doorzetten’ in de uitbeste- dingsketen. Dit levert een complicatie op, want de uitbesteder
* Mr. X. xxx Xxxxxxx is advocaat bij Brinkhof Advocaten te Amsterdam.
heeft zelf geen contractuele relatie met de betreffende subleve- ranciers.
In sommige wet- en regelgeving is deze ‘doorzetverplichting’ zelfs expliciet opgenomen. Bepaalde uitbestedende gereguleer- de financiële instellingen3 zijn bijvoorbeeld op grond van de Guidelines on outsourcing arrangements van de European Banking Authority (EBA Guidelines)4 verplicht om te zorgen dat bepaalde contractuele verplichtingen opgelegd worden aan subleveranciers. In de Algemene verordening gegevensbescher- ming (AVG) en de richtlijn netwerk- en informatiebeveiliging (NIB-richtlijn) komen we vergelijkbare regelingen tegen. We geven in paragraaf 2 een overzicht van deze en andere in het oog springende voorbeelden.
In de derde en vierde paragraaf zullen we ingaan op de wijze waarop een uitbesteder kan voldoen aan deze doorzetverplich- tingen, ondanks het feit dat hij zelf geen contractuele relatie heeft met de subleveranciers. Hoewel een combinatie van de figuren van het derden- en kettingbeding uit ons Nederlands recht daarvoor geschikt lijkt, is wel het een en ander aan te merken op de praktische uitvoerbaarheid daarvan. Dit komt zowel door enkele bijzondere aspecten van de regelingen van derden- en kettingbedingen als door het feit dat uitbestedings- contracten vaak in internationaal verband gesloten worden en dat de onderhandelingsruimte van een uitbesteder in de prak- tijk vaak beperkt is (zeker waar het gaat om de afname van commodity-clouddiensten).5 De theoretische aspecten van het derden- en kettingbeding zullen worden besproken in para- graaf 3. De praktische aandachtspunten en mogelijke alterna-
Mr. E.C. Xxxxxxxxxxx is advocaat bij Brinkhof Advocaten te Amster-
dam.
1. Het uitbestedingscontract kan veel verschillende benamingen hebben (outsourcing agreement, master services agreement, cloud agreement, enz.), of onderdeel vormen van een meeromvattend contract.
2. C.E. du Perron, Overeenkomst en derden: een analyse van de relativiteit van de contractswerking (diss. Amsterdam UvA), Deventer: Kluwer 1999, vanaf p. 9. Zie ook Asser/Xxxxxxxx & Sieburgh 6-III 2014/518.
3. Xxxx verder over uitbesteding door gereguleerde financiële instellingen:
X.X. xx Xxxxxxx-Nobel, Toezicht op uitbesteding geharmoniseerd?, FR 2020, afl. 1/2, p. 5-10; X. Xxxxxx, Annotatie. Handhaving bij uitbesteding in het VK en Nederland, FR 2017, afl. 7/8, p. 341-345.
4. EBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019.
5. DNB Circulaire Cloud Computing, 2011/643815, 6 december 2011.
Figuur 1 Voorbeeld van een uitbestedingsketen
tieve oplossingen voor de doorzetting van verplichtingen aan subleveranciers komen ten slotte aan bod in paragraaf 4. Para- graaf 5 sluit af met een conclusie.
2 Wet- en regelgeving met een ‘doorzetverplichting’
In het kader van uitbesteding bestaan er diverse in het oog springende wetten en richtlijnen, die weliswaar met een ande- re invalshoek en gericht op verschillende groepen uitbesteders geschreven zijn, maar die de uitbesteder allemaal verplichten dan wel noodzaken om contractuele verplichtingen door te zetten naar subleveranciers in de uitbestedingsketen. Zonder een uitputtend overzicht te willen geven noemen we er in deze paragraaf een aantal.
Ten eerste de eerdergenoemde EBA Guidelines.6 Deze geven richting aan de wijze waarop bepaalde gereguleerde financiële instellingen (zoals banken, betaalinstellingen, elektroni- schgeldinstellingen) moeten voldoen aan verschillende Euro- pese wetgeving die op hen van toepassing is, specifiek waar het om uitbesteding gaat. In het financieel toezichtrecht wordt uitbesteding momenteel als een van de grootste risico’s voor het goed functioneren van financiële instellingen gezien. Immers, als een financiële instelling haar uitbestede activitei- ten niet goed monitort en beheerst, kan dat zowel haar dienst- verlening aan klanten als haar interne organisatie ernstig nega- tief beïnvloeden. Dit risico neemt alleen maar toe in onze steeds meer gedigitaliseerde wereld. Ondernemingen waarop de EBA Guidelines van toepassing zijn en bevoegde toezicht- houders dienen ‘alles in het werk te stellen’ om te voldoen aan de EBA Guidelines.7 Hoofdstuk 13 van de EBA Guidelines bevat concrete vereisten waar het uitbestedingscontract aan
6. EBA Guidelines on outsourcing arrangements, EBA/GL/2019/02, 25 februari 2019.
7. Zie art. 1 EBA Guidelines, art. 16 Verordening (EU) 1093/2010 en de recente bevestiging hiervan door het Europees Hof van Justitie op 15 juli 2021 in C-911/19, ECLI:EU:C:2021:599.
moet voldoen, en noemt diverse contractuele verplichtingen die ook aan subleveranciers doorgezet moeten worden. Zo bepaalt hoofdstuk 13.1 van de EBA Guidelines dat de uitbe- steder zijn leverancier contractueel moet opleggen dat deze audit- en toegangsrechten verschaft aan de uitbesteder en de toezichthouder, en dat ook diens subleveranciers zich aan deze zelfde audit- en toegangsrechten moeten committeren. Naast de EBA Guidelines zijn er vergelijkbare uitbestedingsregels voor bijvoorbeeld verzekeraars (op grond van de Solvency II Verordening en de EIOPA Guidelines on outsourcing to cloud service providers),8 beleggingsondernemingen en fondsbeheer- ders (op grond van de ESMA Guidelines on outsourcing to cloud service providers).9
Gerelateerd aan deze Guidelines is het voorstel voor de EU Digital Operational Resilience Act (DORA),10 die naar ver- wachting eind 2022 in werking zal treden. Een van de hoofd- doelen van deze voorgestelde EU-verordening is om de risico’s van uitbesteding in de financiële sector aan zogenaamde kritie- ke digitale derde dienstverleners beter te mitigeren. Art. 27 van het huidige voorstel van de DORA bevat contractuele afspraken die gemaakt moeten worden tussen de uitbesteder en zijn leverancier; deze komen sterk overeen met de EBA Guidelines, maar zijn daaraan niet identiek. Op grond van art. 27 van het voorstel van de DORA is de uitbesteder bij- voorbeeld verplicht om contractueel vast te leggen op welke
8. Zie xxx.xxx.xx/xxxxx/xxxxxxxx/xxxx-xxxxxxxx-xxxxxxxxxxxx- verzekeraars.pdf.
9. Zie xxx.xxxx.xxxxxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxx/ esma50-157-2403_cloud_guidelines.pdf.
10. Voorstel voor een Verordening van het Europees Parlement en de Raad
d.d. 24 september 2020 betreffende digitale operationele veerkracht voor de financiële sector (COM(2020)595 final). De DORA heeft betrekking op aanbieders van ICT-diensten en op de financiële entiteiten die in art. 2 van de DORA worden genoemd, waaronder beleggingsonderne- mingen, handelsplatformen, centrale effectenbewaarinstellingen en verze- kerings- en herverzekeringsondernemingen.
locatie de uitbestede diensten worden verricht en waar de rele- vante data zullen worden verwerkt, zowel door de leverancier als door de subleveranciers. De uitbesteder dient de leverancier contractueel te verplichten om melding te maken van een voorgenomen verandering van deze locaties. Dit impliceert dat de leverancier ook subleveranciers contractueel zal moeten verplichten om dergelijke meldingen bij hem te maken. Inte- ressant om op te merken is nog dat het voorstel van de XXXX voor het contract tussen de uitbesteder en een leverancier van cloudcomputingdiensten het gebruik van standaardclausules aanmoedigt, die volgens het voorstel nog zullen worden ont- wikkeld door de Europese Commissie.
In art. 28 AVG is een expliciete doorzetverplichting te vinden. Dit artikel beschrijft de verplichtingen die gelden bij het inzet- ten van een verwerker. Een verwerker verwerkt persoonsgege- vens van betrokkenen ten behoeve van een verwerkingsverant- woordelijke. De verwerker en de verantwoordelijke zijn ver- plicht een verwerkersovereenkomst te sluiten, waarvan de inhoud deels door art. 28 AVG wordt voorgeschreven. Een verwerker kan op zijn beurt een zogeheten subverwerker inschakelen. Zo zullen subleveranciers bij een uitbesteding in het algemeen tevens subverwerkers zijn. Art. 28 AVG schrijft in het derde lid onder d voor dat in de verwerkersovereen- komst tussen de verwerker en de verantwoordelijke moet wor- den bepaald dat de verwerker dezelfde verplichtingen op zal leggen aan zijn subverwerkers. De AVG legt dus niet alleen een doorzetverplichting op, maar bepaalt ook expliciet de con- tractuele wijze waarop dit dient te gebeuren. Op grond van de AVG is de verwerker rechtstreeks aansprakelijk jegens de ver- antwoordelijke voor inbreuken door subverwerkers op de door te zetten verplichtingen uit art. 28. Dit vormt een extra, wettelijke prikkel om ondubbelzinnige contractuele afspraken te maken met de subverwerker en om actief nakoming te vor-
Art. 18 van de derde afdeling bepaalt verder dat de modelcon- tractbepalingen alleen mogen worden gesloten onder het recht van een lidstaat dat de figuur van het derdenbeding erkent. Om te voorkomen dat zijn recht niet van toepassing verklaard zou kunnen worden op modelcontractbepalingen werd bij- voorbeeld Ierland, waar de wet de figuur van het derdenbeding niet toestaat, genoodzaakt een nieuwe wet aan te nemen die betrokkenen specifiek op grond van de modelcontractbepalin- gen toch de daarin beschreven zelfstandige vorderingsrechten toekent.12
De NIB-richtlijn ten slotte13 bevat alleen impliciete verplich- tingen om bepaalde contractuele verplichtingen door te zetten in de uitbestedingsketen. De NIB-richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informa- tiesystemen (Wbni). Deze wet is slechts op een bijzondere groep uitbesteders van toepassing, namelijk alleen uitbesteders die kwalificeren als ‘aanbieders van essentiële diensten’ of de bredere groep ‘vitale aanbieders’.14 Sectoren waarin de lidsta- ten op grond van de NIB-richtlijn aanbieders van essentiële diensten dienen aan te wijzen met een vestiging op het grond- gebied van die lidstaat zijn onder andere het bankwezen en de infrastructuur voor de financiële markt.15 Art. 7 en 10 Wbni implementeren respectievelijk de verplichtingen om passende maatregelen te nemen voor de beveiliging van netwerk- en informatiesystemen en om melding te maken van aantastingen van beveiliging van ICT waarvan de uitbesteder afhankelijk is. Hierbij gaat het niet alleen om de private netwerk- en infor- matiesystemen die door het eigen IT-personeel worden beheerd, maar ook om systemen die zijn uitbesteed of waarvan de uitbesteder op andere wijze afhankelijk is.16 De te nemen beveiligingsmaatregelen zijn uitgewerkt in de bijlage van het Besluit beveiliging netwerk- en informatiesystemen (Bbni). Om zeker te weten dat hij kan voldoen aan de zware verplich-
deren als de subverwerker wanprestatie pleegt.
12. S.I. No. 297 of 2021, the European Union (Enforcement of Data Sub-
In de privacyhoek blijvend, is verder een interessant praktijk- geval te vinden in de modelcontractbepalingen voor de door- gifte van persoonsgegevens naar derde landen met een bescher- mingsniveau dat niet gelijk is aan de Europese Unie. Recent zijn er nieuwe versies van deze modelcontractbepalingen gepu- bliceerd door de Europese Commissie.11 Art. 3 van de eerste afdeling van de modelcontractbepalingen bevat een derdenbe- ding ten gunste van betrokkenen van wie de persoonsgegevens onder de modelcontractbepalingen doorgegeven worden naar dergelijke landen. De betrokkenen kunnen bijvoorbeeld op grond van dat derdenbeding van de data-importeur een kopie vorderen van hun persoonsgegevens, of vorderen dat hun per- soonsgegevens niet verwerkt worden voor direct-marketing- doeleinden. Op grond van art. 9 van de tweede afdeling dienen de standaardclausules, uitdrukkelijk inclusief de derdenbedin- gen daarin, te worden doorgezet naar eventuele subverwerkers.
11. Uitvoeringsbesluit (EU) 2021/914 van de Commissie d.d. 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoons- gegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad (PbEU 2021, L 199).
jects’ Rights on Transfer of Personal Data Outside the European Union) Regulations 2021, amending Xxxxxxx 000X of the Irish Data Protection Act.
13. Richtlijn (EU) 2016/1148 van het Europees Parlement en de Raad van 6 juli 2016 houdende maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie.
14. Deze begrippen zijn gedefinieerd in art. 1 Wbni.
15. De relevante aanbieders van essentiële diensten in deze sectoren en ande- re vitale aanbieders in de financiële sector op de Nederlandse markt wor- den op grond van het Bbni aangewezen bij besluit van De Nederlandsche Bank N.V. (DNB).
16. Zie overweging 52 van de NIB-richtlijn en Kamerstukken II 2017/18, 34883, nr. 3, p. 40-41 (MvT). Voor uitbesteders is nog van belang dat op cloudcomputingdiensten, met uitzondering van zogeheten kleine en micro-ondernemingen, ook verplichtingen rusten onder de NIB-richtlijn en de Wbni met betrekking tot beveiligingsmaatregelen. In de praktijk zal de risicograad voor aanbieders van essentiële diensten, die vaak van essentieel belang zijn voor het behoud van kritieke maatschappelijke en economische activiteiten, hoger zijn. Daarom moeten de beveiligingseisen voor digitale dienstverleners lichter zijn. Als uitbesteders die aanbieders van essentiële diensten zijn gebruik maken van diensten die worden aan- geboden door digitale dienstverleners, met name cloudcomputingdien- sten, is het mogelijk dat zij extra beveiligingsmaatregelen verlangen naast datgene wat de digitale dienstverleners normaliter zouden aanbieden con- form de NIB-richtlijn en de Wbni. Dit moeten zij kunnen doen door middel van contractuele verplichtingen.
tingen die op hem rusten onder de Wbni en het Bbni, kan de uitbesteder deze het beste contractueel doorzetten, zowel aan zijn leverancier als aan subleveranciers aan wie hij zijn beveili- ging of de te beveiligen diensten heeft uitbesteed.
In alle genoemde voorbeelden bestaat het risico dat de uitbe- steder klem komt te zitten tussen enerzijds zijn verplichtingen op grond van de betreffende regelgeving en de relevante toe- zichthouder en anderzijds de praktische onderhandelings- ruimte die hij heeft in de relatie met zijn leverancier. Voor wetten zoals de AVG, die ook al de contractuele wijze voor- schrijven waarop de verplichtingen dienen te worden doorge- zet en de leverancier (lees: verwerker) zelf verantwoordelijk maken voor niet-nakoming daarvan door zijn subleveranciers, geldt dat iets minder dan voor de wetten en regelingen die deze wijze verder aan de partijen zelf laten en die alle verant- woordelijkheid bij de uitbesteder leggen. Er bestaat namelijk vaak veel weerstand van leveranciers tegen vergaande interpre- taties van de door te zetten verplichtingen en de wijze waarop deze worden doorgezet. Hier zullen we verder op ingaan in paragraaf 4.
3 Derdenbedingen, kettingbedingen en boetebedingen – het juridisch kader
Zoals uiteengezet in de vorige paragraaf rusten er op verschil- lende groepen uitbesteders wettelijke verplichtingen om bepaalde contractuele verplichtingen op te nemen in het uit- bestedingscontract met de leverancier, en om deze door de leverancier ook door te laten zetten in zijn overeenkomsten met subleveranciers. De uitbesteder kan de betreffende sub- leveranciers immers niet zelf aan deze verplichtingen binden, aangezien hij geen contractuele relatie met hen heeft.
Puur juridisch gezien en nog geen acht slaande op de praktijk, die besproken zal worden in paragraaf 4, is het doorzetten van een contractuele verplichting naar Nederlands recht het meest zuiver en stevig te regelen door een combinatie van een der- denbeding met een daaraan gekoppeld kettingbeding en boete- beding.
3.1 Derdenbeding
Het derdenbeding is geregeld in art. 6:253-256 BW. Indien we de relatie tussen de uitbesteder, zijn leverancier en de subleve- ranciers als voorbeeld nemen, houdt de werking van het der- denbeding het volgende in: wanneer de leverancier (= stipula- tor) initieert om een derdenbeding op te nemen in zijn con- tract met zijn subleverancier(s) ten gunste van de uitbesteder, dan is de subleverancier (= promissor) tot nakoming jegens de uitbesteder (= derde-begunstigde) gehouden vanaf het moment dat de uitbesteder dit beding aanvaardt. Om de gewenste werking te kunnen hebben, dient het derdenbeding dus te worden opgenomen in de overeenkomst tussen de leve- rancier en zijn subleverancier. De aanvaarding door de derde- begunstigde, in dit geval de uitbesteder, is een dwingend ver- eiste voor de totstandkoming van de rechten van de uitbeste- der op grond van het derdenbeding. Deze is wel vormvrij. Zo
kan een derdenbeding door de derde-begunstigde worden aan- vaard door het instellen van een rechtsvordering tot nakoming tegen de promissor.17 Als het derdenbeding om niet is gemaakt, en dat zal bij uitbesteding meestal het geval zijn, dan geldt het derdenbeding als aanvaard wanneer het ter kennis komt van de uitbesteder en deze het niet gelijk afwijst.18 Het is niet nodig om een aanvullende contractuele afspraak op te nemen dat de uitbesteder steeds direct op de hoogte wordt gesteld van een nieuwe subleverancier en het betreffende der- denbeding, aangezien de aanvaarding ook pas later kan plaats- vinden door kennisgeving of actieve aanvaarding, bijvoorbeeld wanneer daadwerkelijk een situatie ontstaat waarin de uitbe- steder zijn recht wil uitoefenen. Ter zekerheid van de uitbeste- der is het echter wel van belang om de mogelijkheid tot her- roeping van het derdenbeding voordat aanvaarding heeft plaatsgevonden uit te sluiten, in afwijking van art. 6:253 lid 2 BW.
Een van de meer gecompliceerde en soms vergeten aspecten van de regeling van het derdenbeding in het Nederlands recht is dat de derde-begunstigde (in ons voorbeeld de uitbesteder) op grond van art. 6:254 lid 1 BW automatisch partij wordt bij de overeenkomst tussen de stipulator (leverancier) en promis- sor (subleverancier). Aangezien deze bepaling van regelend recht is, kan de toepassing ervan worden uitgesloten, maar dit moet dan wel uitdrukkelijk in de overeenkomst worden bepaald. In de meeste gevallen zal het inderdaad aan te raden zijn om de toepassing ervan uit te sluiten, aangezien het niet de bedoeling is van partijen om door opneming van het der- denbeding een meerpartijenovereenkomst te sluiten, met alle gevolgen – voor bijvoorbeeld wijziging of beëindiging van de overeenkomst – van dien. Deze bijzonderheid onder het Nederlands recht speelt ook bij het van toepassing verklaren van Nederlands recht op de hiervoor in paragraaf 2 besproken modelcontractbepalingen. Indien art. 6:254 lid 1 BW niet uit- gesloten wordt, worden de relevante derden-betrokkenen par- tij bij de modelcontractbepalingen, hetgeen het wijzigen of beëindigen ervan kan compliceren. Dit zal niet de bedoeling zijn geweest van de Europese wetgever. Het is echter op grond van art. 2(a) van de modelcontractbepalingen in beginsel niet toegestaan om een gewijzigde versie van de modelcontractbe- palingen te gebruiken als doorgiftemechanisme. Het is slechts toegestaan om bepalingen aan de modelcontractbepalingen toe te voegen, voor zover deze bepalingen niet met de model- contractbepalingen overlappen of deze tegenspreken, zij geen afbreuk doen aan het beschermingsniveau van persoonsgege- vens dat krachtens de modelcontractbepalingen in het leven wordt geroepen, en niet tot een beperking leiden van de rech- ten van betrokkenen. Wij zijn van mening dat het toevoegen van een bepaling die art. 6:254 lid 1 BW uitsluit, is toegestaan, aangezien deze geen afbreuk doet aan de door de modelcon- tractbepalingen verleende rechten van de betrokkenen. Ook
17. HR 19 maart 1976, ECLI:NL:PHR:1976:AC5710, NJ 1976/407 (Kip/
Motorvoertuigenbedrijf), r.o. 4.
18. Art. 6:253 lid 4 BW. Zie ook Beversluis, in: GS Verbintenissenrecht, art. 6:253 BW, aant. 10.
zonder dat de betrokkene partij wordt bij de overeenkomst, kan hij immers op grond van art. 6:253 lid 1 BW de derdenbe- dingen inroepen tegenover de data-exporteur en data-impor- teur.
Een andere complicatie is dat de vraag of er sprake is van een derdenbeding, dient te worden beantwoord door uitleg van de gehele overeenkomst. Het kan zo zijn dat partijen een derden- beding in het leven roepen zonder zich daarvan bewust te zijn, en ook is het mogelijk dat een bepaling die uitdrukkelijk in de overeenkomst is aangeduid als een derdenbeding geen derden- beding is zoals bedoeld in art. 6:253 BW. Bij het opstellen van het contract dient hier dus goed over te worden nagedacht. Uitsluitend wanneer de derde aan de overeenkomst een zelf- standig vorderingsrecht tegenover de promissor kan ontlenen, is een beding ten behoeve van een derde gemaakt. Indien door een bepaling in een overeenkomst een derde alleen feitelijk wordt bevoordeeld, is geen sprake van een derdenbeding.19
3.2 Kettingbeding
We weten nu dat een derdenbeding in de overeenkomst tus- sen de leverancier en de subleverancier een rechtstreeks vorde- ringsrecht voor de uitbesteder jegens de subleverancier creëert, maar daarmee is de uitbesteder er nog niet. Hij moet er name- lijk voor zorgen dat dit derdenbeding ook wordt opgenomen in alle contracten met opvolgende subleveranciers in de keten. Daartoe zal hij in zijn eigen uitbestedingscontract met de leve- rancier moeten afspreken dat de leverancier het betreffende derdenbeding in alle overeenkomsten met subleveranciers zal opnemen, en dat de subleveranciers zich eraan zullen commit- teren om datzelfde te doen in de contracten die zij met opvol- gende subleveranciers sluiten. Om dit te kunnen bewerkstelli- gen is een kettingbeding nodig.
Kettingbedingen kennen geen specifieke regeling in de Neder- landse wet. Een kettingbeding wordt gekenmerkt doordat het een contractuele verplichting oplegt aan de andere contracts- partij, die tevens inhoudt dat deze zelfde verplichting in een volgende overeenkomst zal worden opgelegd aan een derde. In het geval van een uitbesteding zal die derde een subleverancier (of subsubleverancier) van de uitbesteder zijn. De ‘derde’ heeft daarmee in het kader van een kettingbeding een andere bete- kenis dan in het geval van het klassieke derdenbeding van art. 6:253 BW. De derde partij bij een kettingbeding is de par- tij waaraan de verplichting wordt doorgezet middels het ket- tingbeding, aangezien deze partij een ‘derde’ is ten opzichte
van de partijen die het kettingbeding origineel overeen zijn gekomen.20
Bij het opstellen van een kettingbeding wordt nogal eens over het hoofd gezien dat het beding bestaat uit drie verschillende onderdelen, die alle drie uitdrukkelijk dienen te worden uitge- schreven, wil het kettingbeding werken: ten eerste dient de originele verplichting te worden overeengekomen tussen de uitbesteder en de leverancier, ten tweede dient een verplich- ting voor de leverancier te worden opgenomen dat hij deze verplichting doorzet naar zijn subleveranciers, en ten slotte dient uitdrukkelijk de verplichting voor de leverancier over- eengekomen te worden dat deze de contractuele afspraak met zijn subleveranciers zal maken om deze verplichting ook weer door te zetten naar verdere subleveranciers (subsubleveran- ciers, en zo verder) die hij inschakelt.
De combinatie van een derdenbeding en kettingbeding zal ervoor zorgen dat de uitbesteder bijvoorbeeld zijn eigen audi- trecht en dat van de toezichthouder, zoals verplicht onder de EBA Guidelines, niet alleen kan inroepen tegenover zijn leve- rancier als zijn directe contractspartij, maar ook tegenover alle subleveranciers in de hele keten, een en ander op grond van het derdenbeding dat via het kettingbeding in de originele overeenkomst verplicht is opgenomen in alle overeenkomsten tussen de leverancier, subleveranciers en opvolgende subleve- ranciers in de keten. De uitbesteder kan op die manier voldoen aan zijn verplichtingen op grond van de EBA Guidelines, aan- gezien hij rechtstreeks een audit kan bedingen, zowel van zijn eigen leverancier als van alle subleveranciers.
3.3 Boetebeding
Om het plaatje compleet te maken (en opnieuw puur vanuit juridisch perspectief, de praktijk komt aan bod in par. 4), is het aan te raden om het kettingbeding te combineren met een boetebeding.21 Het kettingbeding is namelijk zo sterk als de zwakste schakel: als de leverancier of een subleverancier het derdenbeding ten gunste van de uitbesteder niet opneemt in een contract met een opvolgende subleverancier, heeft de uit- besteder geen rechtstreeks vorderingsrecht meer jegens die subleverancier. De ketting is dan doorbroken en de uitbeste- der kan niet meer volledig aan zijn wettelijke verplichting vol- doen, of heeft in elk geval geen contractuele basis daarvoor. Als een leverancier of subleverancier die niet voldoet aan het kettingbeding een contractuele boete verschuldigd is, zorgt dit voor een sterke additionele prikkel om het kettingbeding daadwerkelijk in contracten met subleveranciers op te nemen. Daarnaast kan ook worden gedacht aan een contractuele bepa-
19. Indien er door een willekeurige schuldenaar opdracht wordt gegeven aan een bank om een betaling te doen aan een derde die zijn schuldeiser is, houdt deze opdracht bijv. geen derdenbeding in ten gunste van die derde. Op grond van de opdracht door de schuldenaar aan de bank verkrijgt de derde immers geen eigen vorderingsrecht op de bank. Zie voor dit voor- beeld en verder over derden- en kettingbedingen X. Hijma & M.M. Olt- hof, Compendium van het Nederlands vermogensrecht, Deventer: Wol- ters Kluwer 2017.
20. Beversluis, in: GS Verbintenissenrecht, art. 6:252 BW, aant. 15.2; verwij- zend naar de annotatie van X.X. Xxxxxxxx bij HR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 2018/422 (Bungalowpark Xx Xxxx).
00. Ga overigens altijd bij het opnemen van een boetebeding na of het wense- lijk is om de eerste twee leden van art. 6:92 BW uit te sluiten, zodat de uitbesteder bij niet-nakoming altijd naast de boete ook nog nakoming en/of schadevergoeding kan vorderen. Met name van het recht tot het vorderen van nakoming zal een uitbesteder die moet voldoen aan wet- en regelgeving geen afstand willen doen.
xxxx, die overigens middels een kettingbeding ook weer door- gezet kan worden aan subleveranciers, dat de leverancier tegenover de uitbesteder op dezelfde manier verantwoordelijk is voor de nakoming van het kettingbeding als de subleveran- ciers. Zoals hierboven uiteengezet, bevat art. 28 AVG een der- gelijke regeling. Op deze manier zal niet alleen de uitbesteder op grond van zijn derdenbeding, maar ook de leverancier of opvolgende subleverancier een reden hebben om nakoming te vorderen. De leverancier heeft als stipulator op grond van art. 6:256 BW naast de uitbesteder het recht om nakoming te vorderen van het derdenbeding, tenzij de uitbesteder zich daartegen verzet.
Een laatste aspect dat ten slotte belangrijk is om in het achter- hoofd te houden bij het opstellen van een combinatie van een kettingbeding en derdenbeding is de uitlegmaatstaf die geldt. De Hoge Raad heeft recentelijk bepaald dat de uitlegmaatstaf van een kettingbeding afhangt van de partij ten opzichte waar- van dat kettingbeding uitgelegd dient te worden.22 Tussen de originele contractspartijen die het kettingbeding hebben geslo- ten, geldt de Haviltex-maatstaf: gekeken dient te worden naar de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan het beding mochten toekennen en naar het- geen zij te dien aanzien redelijkerwijs van elkaar mochten ver- wachten. Indien echter het kettingbeding is opgenomen in een nieuw contract en uitgelegd moet worden ten opzichte van een derde partij die niet betrokken is geweest bij het opstellen van het kettingbeding (zoals een subleverancier), dan dient de geobjectiveerde variant van de Haviltex-maatstaf toegepast te worden. Hierbij komt in beginsel aan de bewoordingen van de regeling, gelezen in het licht van de gehele inhoud van de over- eenkomst, doorslaggevend gewicht toe.23 Het is daarmee in het kader van een toekomstige vordering tot nakoming tegen een subleverancier verderop in de keten van groot belang bij het formuleren van een dergelijk kettingbeding, met daarin besloten een derdenbeding, dat de betekenis daarvan ook voor derden duidelijk uit de tekst zelf zal blijken. Uitgewisselde mails of notities van onderhandelingen tussen de uitbesteder en de leverancier die meer context geven aan het beding zullen geen waarde hebben bij de uitleg van het beding tegenover een subleverancier.
4 Complicaties in de praktijk
Zoals uit paragraaf 3 blijkt, is de voor de uitbesteder meest geschikte manier om – naar Nederlands recht – zijn wettelijke verplichtingen door te zetten, het opnemen van een kettingbe- ding en een derdenbeding in de overeenkomst tussen de uitbe- steder en de leverancier, waarin is voorgeschreven dat deze bedingen in alle opvolgende overeenkomsten met subleveran- ciers ten gunste van de uitbesteder zullen worden opgenomen, dit alles gekoppeld met een boetebeding als een leverancier of subleverancier niet aan deze verplichting voldoet. Onze erva-
22. HR 2 februari 2018, ECLI:NL:HR:2018:148, NJ 0000/000 (Xxxxxxxx- xxxx Xx Xxxx), x.x. 3.4.3.
23. Zie ook HR 2 februari 2007, ECLI:NL:HR:2007:AZ4410, NJ 0000/000 (XXX/Xxxxxxxxxx), r.o. 3.5.1.
ring is echter dat uitbesteders die deze constructie in de prak- tijk willen toepassen tegen verschillende complicaties aanlo- pen.
Ten eerste zal de genoemde combinatie doorgaans in de onderhandelingen sneuvelen. In de praktijk accepteert name- lijk bijna geen enkele leverancier deze constructie. Dit is in het grotere plaatje ook goed te verklaren. Stel je bijvoorbeeld voor dat een grote clouddienstverlener zoals Google of Amazon
– via derdenbedingen die met kettingbedingen zijn opgelegd – allemaal verschillende uitbesteders (met wie zij zelf geen con- tractuele afspraken heeft, ook niet ten aanzien van geheim- houding of beveiliging, zij heeft immers gecontracteerd met de leveranciers of subleveranciers van die uitbesteders) onbeperkt toegang zou verlenen tot haar datacenters en andere bedrijfslo- caties om audits uit te laten voeren. Dit zou voor andere klan- ten van die cloudleverancier, die hun gegevens ook in deze datacenters en locaties hebben opgeslagen, tot grote proble- men kunnen leiden waar het gaat om de vertrouwelijkheid van hun gegevens en de afspraken die zij daarover met hun klanten hebben gemaakt. Je zou kunnen zeggen dat dit juist indruist tegen datgene wat beoogd wordt met de wetgeving waar de uitbesteder aan gebonden is en die hij aan de subleveranciers doorzet.
Ook het opnemen van een boetebeding, laat staan het ver- plicht moeten doorzetten van dit boetebeding middels een kettingbeding, stuit op veel weerstand van leveranciers. Het bedrag van het boetebeding zal voldoende hoog moeten zijn om een prikkel te geven tot nakoming van de bepaling(en) waaraan dit gekoppeld is. Een uitbesteder zal een zeer goede positie moeten hebben in de onderhandelingen om een leve- rancier akkoord te laten gaan met een dergelijke boete, en zal
– als hij daarin al slaagt – er bij de commerciële onderhande- lingen tegenaan lopen dat de leverancier het risico van de boe- te inprijst.
Ten tweede geldt dat de meeste leveranciers bestaande afspra- ken hebben met hun subleveranciers, en dat zij niet geneigd zijn om die – telkens opnieuw wanneer zij een nieuwe uitbe- steding contracteren – alsnog aan te passen door daarin allerlei bedingen ten gunste van specifieke uitbesteders op te nemen.
Een derde complicatie is dat er, zeker bij grotere uitbestedin- gen, in de uitbestedingsketen vaak wordt gecontracteerd met niet-Nederlandse partijen en dat daardoor niet op alle con- tracten in de keten Nederlands recht van toepassing zal zijn. Hoewel het in de relatie tussen de uitbesteder en de leveran- cier nog wel mogelijk zal zijn om onder Nederlands recht te contracteren, wordt het lastig afdwingbaar en overigens ook zeer onpraktisch om een buitenlandse leverancier en buiten- landse subleverancier op te leggen om ook onder Nederlands recht te contracteren. Dit terwijl de regeling van het derdenbe- ding onder Nederlands recht zeer specifiek is en sommige rechtsstelsels, zoals het hiervoor besproken rechtsstelsel van Ierland, de figuur van het derdenbeding niet kennen. Het is
dus maar zeer de vraag of een derdenbeding, in de keten door- gezet als kettingbeding, hetzelfde effect sorteert en de uitbeste- der überhaupt nog een zelfstandig vorderingsrecht geeft, indien opvolgende overeenkomsten met subleveranciers onder vreemd recht zijn gesloten.
In de praktijk zal een uitbesteder om voornoemde redenen zel- den (en in onze ervaring eigenlijk nooit) de ‘ideale juridische situatie’ van een combinatie derdenbeding-kettingbeding-boe- tebeding bereiken. Daarom is het van belang om naar alterna- tieve mogelijkheden te kijken. De meest voorkomende vervan- gende oplossingen die wij in de praktijk zien – en die allemaal juridisch een stuk zwakker zijn, maar wel haalbaar(der) –, zijn de volgende.
Ten eerste kan de uitbesteder met de leverancier alleen een kettingbeding afspreken, zonder derdenbeding. Om de eerder- genoemde auditverplichting als voorbeeld te nemen: daarvoor zou de uitbesteder via een kettingbeding subleveranciers kun- nen committeren om zelf periodieke audits of andere rappor- tages uit te (laten) voeren (zoals SOC 2 Type II-rapportages) en de resultaten daarvan te delen met de leverancier met wie zij een directe contractuele relatie hebben, met toestemming aan die leverancier om deze weer met de uitbesteder te delen. De leverancier wordt op zijn beurt in zijn contract met de uit- besteder dan verplicht om deze resultaten te delen met de uit- besteder. Aan de verplichting in de EBA Guidelines dat ook de toezichthouder een contractueel recht tot audit dient te hebben bij enige subleveranciers van de uitbesteder, kan bij- voorbeeld worden voldaan door in een kettingbeding op te nemen dat de subleveranciers akkoord gaan met audits van de toezichthouder van de uitbesteder. Ook voor verplichtingen van de uitbesteder onder andere wetgeving en richtlijnen wordt vaak volstaan met het verlangen van bewijs dat de ver- plichtingen worden nageleefd, welk bewijs dan steeds naar boven in de keten wordt doorgegeven en op die manier uitein- delijk bij de uitbesteder uitkomt. Het nadeel van deze ‘zwak- kere’ variant is dat de enige partij die nakoming kan vorderen van deze bepalingen de leverancier of subleverancier is, die de directe contractspartij is van de subleverancier lager in de keten. Het voordeel is dat een kettingbeding op zichzelf ook internationaal toepasbaar is: kettingbedingen, in het Engels flow-down clauses genoemd, zijn in de eerste plaats een con- tractuele constructie die niet op enige nationale wetsbepaling steunt. Ook zal een dergelijk kettingbeding eenvoudiger zijn te onderhandelen: het volgt nu eenmaal in de meeste gevallen direct uit de toepasselijke wet- en regelgeving dat de uitbeste- der een contractuele regeling moet treffen met deze strekking.
In de praktijk blijkt ook het afspreken van een kettingbeding echter lang niet altijd haalbaar. Zoals aangegeven hebben leve- ranciers weinig behoefte aan het aanpassen van bestaande con- tractuele afspraken met hun subleveranciers. Wat in dat geval uitkomst kan bieden, is een afspraak tussen de uitbesteder en de leverancier, dat deze laatste op verzoek van de uitbesteder informatie en documenten zal opvragen bij subleveranciers, als
de uitbesteder die nodig heeft om aan zijn wettelijke verplich- tingen te voldoen. Dit is een nog ‘zachtere’ commitment dan die van het eerste alternatief, maar het is een oplossing die in de praktijk veel voorkomt.
Dat de relevante wet- en regelgeving doorgaans niet de manier voorschrijven waarop de uitbesteder zijn verplichtingen door moet zetten dan wel ervoor kan zorgen dat zijn leveranciers en subleveranciers niet afwijken van de verplichtingen, zorgt ervoor dat de uitbesteder wat dit betreft niet sterk in de onder- handelingen staat en meestal geen verderstrekkende, juridisch sterkere regeling overeen kan komen. Het zou wat ons betreft het overwegen waard kunnen zijn voor de Europese wetgever om in een eventuele vervanging van de EBA Guidelines, de DORA of de NIB-richtlijn, een voorbeeld te nemen aan de privacywetgeving. Zoals blijkt uit de modelcontractbepalin- gen, kan de contractuele wijze waarop verplichtingen doorge- zet moeten worden in de leveranciersketen ook worden ver- plicht in de wetgeving of richtlijn zelf. Ook kan worden over- wogen om, net als in de AVG, directe verplichtingen op te leg- gen aan leveranciers en subleveranciers in de keten. Het zou de positie van de uitbesteder, die nu tussen twee vuren in zit, in ieder geval sterk verbeteren.
5 Conclusie
Ondernemingen die processen, activiteiten of diensten aan derde leveranciers uitbesteden, worden in verschillende wet- en regelgeving geconfronteerd met een expliciete dan wel impliciete verplichting om bepaalde contractuele verplichtin- gen door te zetten in de uitbestedingsketen, ook naar subleve- ranciers met wie de uitbesteder zelf geen contractuele relatie heeft. Dit geldt eens te meer voor gereguleerde instellingen. De manier waarop de uitbesteder aan deze verplichting moet voldoen, is lang niet altijd in de betreffende wet- en regelgeving bepaald, en daarmee is het lastig voor de uitbeste- der om voldoende rechten af te dwingen in de onderhandelin- gen met de leverancier aan wie hij voornemens is uit te beste- den.
De enige manier waarop de uitbesteder er juridisch in kan voorzien dat hij aan een dergelijke verplichting voldoet, is met het door middel van een kettingbeding doorzetten van een derdenbeding ten gunste van de uitbesteder in alle contracten binnen de uitbestedingsketen. Dit is in de praktijk vaak geen haalbare oplossing, omdat de beoogde leverancier en zijn sub- leveranciers in het algemeen niet aan een dergelijke constructie willen meewerken. Als minder verstrekkend alternatief kan de uitbesteder proberen om alleen een kettingbeding (zonder derdenbeding) op te nemen, of geen van beide, en alleen een verplichting van de leverancier op te nemen om informatie en documenten die in het bezit zijn van subleveranciers lager in de keten, en die relevant zijn voor de verplichting van de uit- besteder, desgevraagd af te geven aan de uitbesteder. Hoe dan ook is er voor de praktijk vooralsnog helaas geen bevredigende oplossing, en is de uitbesteder aangewezen op de hoeveelheid
leverage die hij heeft in de onderhandelingen, en op de welwil- lendheid van de leverancier en de subleveranciers.