Een verwerkersovereenkomst (Data Processing Agreement) is onder de AVG verplicht als u als verantwoordelijke een verwerker inschakelt die persoonsgegevens namens u verwerkt. Verplichte onderdelen zijn: het onderwerp en de duur van de verwerking, de aard en het doel, de categorieën van betrokkenen en persoonsgegevens, de verplichtingen van de verwerker (geheimhouding, beveiliging, sub-verwerkers), rechten van betrokkenen en auditrechten, en bepalingen over de verwijdering of teruggave van gegevens na beëindiging.

Auteursrecht op software ontstaat automatisch bij de maker (ontwikkelaar). Bij een arbeidsrelatie gaat het auteursrecht over op de werkgever (art. 7 Auteurswet). Bij opdrachtontwikkeling (externe partij) blijft het auteursrecht in beginsel bij de ontwikkelaar, tenzij schriftelijk anders is overeengekomen. Het is daarom essentieel om in een softwareontwikkelingsovereenkomst expliciet de overdracht van alle IP-rechten (inclusief broncode) vast te leggen.

Bij een datalek dat een risico inhoudt voor de rechten en vrijheden van betrokkenen, moet u dit binnen 72 uur melden bij de Autoriteit Persoonsgegevens (AP). Bij een hoog risico moeten ook de betrokken personen worden geïnformeerd. U bent verplicht alle datalekken te documenteren in een intern register, ongeacht of melding vereist is. Law & More begeleidt u bij de crisisrespons, de AP-melding en de communicatie naar betrokkenen.

Aansprakelijkheidsbeperkingen in IT-contracten zijn mogelijk via: een maximumbedrag (cap) op aansprakelijkheid (vaak gerelateerd aan de contractswaarde), uitsluiting van indirecte schade en gevolgschade, een beperkte garantieperiode, en strikte klachttermijnen. Let op: aansprakelijkheidsbeperkingen zijn niet onbeperkt geldig – grove nalatigheid of opzet kan niet worden uitgesloten. Law & More stelt evenwichtige contractsbepalingen op die uw risico's effectief beperken.

De Europese AI Act (in werking getreden 2024, gefaseerde toepassing) introduceert een risicogebaseerde regulering van AI-systemen. Hoog-risico AI-toepassingen (bijv. in HR, kredietverlening, kritieke infrastructuur) zijn onderworpen aan strenge vereisten: conformiteitsbeoordelingen, transparantie, menselijk toezicht en registratieplicht. Verboden AI-praktijken (sociale scoring, real-time biometrische identificatie in openbare ruimtes) zijn per augustus 2024 al van kracht. Law & More adviseert over de classificatie van uw AI-systemen en de compliance-roadmap.

Bij een mislukt IT-project (overschrijding van budget, termijn of specificaties) heeft de opdrachtgever de mogelijkheid te kiezen voor nakoming (voltooiing van het project), ontbinding van de overeenkomst, of schadevergoeding. De haalbaarheid hangt af van de contractuele afspraken, de projectdocumentatie en het bewijs van de tekortkoming. Law & More analyseert de contractpositie, verzamelt bewijs en begeleidt de onderhandelingen of procedure.

Een SLA legt de afgesproken kwaliteit van een IT-dienst vast, zoals beschikbaarheid, reactietijden, support en onderhoudsvensters. Vaak worden aan het niet halen van de niveaus boetes of servicecredits gekoppeld. Een heldere SLA voorkomt discussie over wat 'goede dienstverlening' inhoudt en geeft de afnemer concrete handvatten bij wanprestatie. Wij stellen evenwichtige SLA's op en beoordelen die van leveranciers.

Auteursrechten op software komen bij maatwerk in beginsel toe aan de ontwikkelaar, tenzij schriftelijk anders is afgesproken. Wie als opdrachtgever de rechten wil verkrijgen, moet daarom een duidelijke akte van overdracht of een ruime licentie laten opnemen. Ook over voorbestaande componenten, open source en gebruiksrechten maken partijen best vooraf afspraken. Wij zorgen dat de IE-positie sluitend is.

Open source-componenten zijn vrij te gebruiken, maar onder voorwaarden van de toepasselijke licentie. Sommige licenties (zoals copyleft) verplichten tot het beschikbaar stellen van afgeleide broncode, wat gevolgen kan hebben voor commerciële software. Een licentie-inventarisatie en compliance-beleid voorkomen onbedoelde verplichtingen en inbreuken. Wij adviseren over verantwoord gebruik van open source.

Webwinkels moeten voldoen aan onder meer de informatieplichten, het herroepingsrecht voor consumenten, transparante prijzen en eerlijke algemene voorwaarden. Daarnaast spelen privacy- en cookieregels en regels tegen oneerlijke handelspraktijken. Niet-naleving kan leiden tot vernietigbare bedingen, boetes en reputatieschade. Wij toetsen en optimaliseren uw webshop juridisch.

De NIS2-richtlijn verhoogt de eisen aan cyberbeveiliging voor een brede groep middelgrote en grote organisaties in essentiële en belangrijke sectoren. Zij verplicht onder meer tot risicobeheersmaatregelen, incidentmeldingen en bestuurlijke verantwoordelijkheid. Niet-naleving kan tot forse boetes leiden. Wij helpen in kaart te brengen of u onder NIS2 valt en hoe u compliant wordt.

Bij clouddiensten is van belang wie verantwoordelijk is voor beschikbaarheid, beveiliging, data en back-ups, en hoe de aansprakelijkheid is beperkt. Leverancierscontracten bevatten vaak ruime exoneraties; als afnemer is het zaak die kritisch te beoordelen en waar nodig bij te stellen. Ook exit- en datateruggaveafspraken horen goed geregeld te zijn. Wij onderhandelen die voorwaarden voor u.

Doorgifte van persoonsgegevens naar landen buiten de EER mag alleen als een passend beschermingsniveau is gewaarborgd, bijvoorbeeld via een adequaatheidsbesluit of de modelcontractbepalingen met aanvullende maatregelen. Sinds belangrijke rechtspraak is een zorgvuldige afweging vereist. Wij adviseren over rechtmatige internationale datatransfers en de benodigde documentatie.

Voor het plaatsen van niet-strikt-noodzakelijke cookies en trackers is in beginsel voorafgaande, geïnformeerde toestemming van de gebruiker nodig. Daarnaast gelden transparantieverplichtingen via een cookieverklaring. Onjuiste cookiebanners en 'toestemming' die in feite is afgedwongen, leveren risico's op handhaving op. Wij beoordelen uw cookieoplossing op rechtmatigheid.

Bedrijfsgeheimen zijn beschermd als zij geheim, waardevol en met redelijke maatregelen beschermd zijn. Naast de wettelijke bescherming zijn geheimhoudings- en non-concurrentieafspraken in contracten en arbeidsovereenkomsten essentieel. Bij inbreuk kunnen onder meer een verbod en schadevergoeding worden gevorderd. Wij helpen uw knowhow contractueel en feitelijk af te schermen.

Geschillen gaan vaak over vertraging, gebreken, meerwerk of beëindiging. De eerste stap is het contract en de geleverde prestaties tegen het licht houden, gevolgd door een onderbouwde aanspraak en zo nodig een ingebrekestelling. Lukt een oplossing in onderhandeling of mediation niet, dan kan een procedure volgen. Wij behartigen uw belangen vanaf de eerste aanmaning tot in de rechtszaal.

Bij overdracht gaan de auteursrechten op de software definitief over naar de afnemer, terwijl bij een licentie de maker rechthebbende blijft en alleen een gebruiksrecht verleent. Voor maatwerk in opdracht is het belangrijk dit vooraf duidelijk te regelen, omdat de rechten anders bij de ontwikkelaar blijven.

Een webshop moet onder meer duidelijke informatie geven over de identiteit van de verkoper, de prijs inclusief belastingen, de leveringskosten, het herroepingsrecht en de wijze van betaling. Het ontbreken van verplichte informatie kan de herroepingstermijn verlengen en leiden tot boetes van de toezichthouder.

Een DPIA is een verplichte beoordeling van privacyrisico’s bij gegevensverwerkingen die waarschijnlijk een hoog risico opleveren, bijvoorbeeld bij grootschalige profilering of cameratoezicht. De uitkomst helpt om passende maatregelen te treffen voordat de verwerking start.

In SaaS-contracten worden afspraken gemaakt over beschikbaarheid, beveiliging, dataverlies en aansprakelijkheidslimieten. Let op uitsluiting van gevolgschade, de hoogte van het aansprakelijkheidsplafond en de afspraken over teruggave en verwijdering van data bij beëindiging van de overeenkomst.

Schakelt u een partij in die persoonsgegevens voor u verwerkt, dan moet u een verwerkersovereenkomst sluiten met afspraken over beveiliging, geheimhouding, subverwerkers en het melden van datalekken. U blijft als verwerkingsverantwoordelijke eindverantwoordelijk voor een rechtmatige verwerking.