Juridische uitdagingen van CC

Transcriptie

1 Juridische uitdagingen van Cloud Computing IIR Cloud Computing 2010 Louis Jonker 17 november 2010 Juridische uitdagingen van CC Gebruikelijke aandachtspunten bij uitbestedingsrelatie Transitie Service levels + communicatie-/rapportageverplichtingen Continuïteit (back-up, uitwijk, escrow, insolventiesituaties) Garanties en aansprakelijkheid Geheimhouding + intellectuele eigendom Etc. 2 1

2 Juridische uitdagingen van CC Uitdagingen Control (audit) Toepasselijk recht Toegang tot data Privacy (audit) (beveiliging) 3 Uitdaging #1: Control 4 2

3 Uitdaging #1: Control Uitdaging: kan je aan je wettelijke verplichtingen voldoen? IFRS, SOx, Tabaksblatt, ( deugdelijk ondernemingsbestuur ) Civielrechtelijke en fiscale bewaarplichten Bestuurdersverantwoordelijkheid (Ceteco-uitspraak) Audit (aanwezigheid van deugdelijke controls vs. effectiviteit) SAS70-Type I and II ISAE3402/SSAE-Type A and B bevestiging verantwoordelijkheid Uitdaging auditors: cloud is dynamisch, niet statisch 5 Uitdaging #2: Toepasselijk recht Uitdagingen Verschillende aanknopingspunten: Vestiging klant of locatie middelen/cloud (EU-privacyregelgeving) Plaats van kenmerkende prestatie (wanprestatie) Plaats waar schade zich voordoet (onrechtmatige daad) Gebrekkige harmonisatie lokale regelgeving Uitdaging oplosbaar/beheersbaar Contractuele afspraken (tenzij dwingend recht) Regionale zonering LET OP: geschillenbeslechting (gelijk hebben gelijk krijgen) 6 3

4 Uitdaging #3: Toegang tot data (I) A) Toegang van derden tot data in cloud Toezicht/opvorderen gegevens Is de CC provider een aanbieder van een dienst van de informatiemaatschappij, van een elektronische communicatiedienst en/of van een telecommunicatiedienst? Patriot Act, SWIFT-casus maar grootste gevaar komt zeker niet (alleen) uit de VS! met ruim 3 miljoen opvragingen in 2009 is Nederland Europees koploper interne projecten Dataretentie en Verkeerstoren (BoF : landelijke zoekmachine bankgegevens inmiddels van de baan) Impact op vertrouwelijkheid, data-integriteit, 7 Uitdaging #3: Toegang tot data (II) B) Toegang van klant tot zijn data in cloud Naast voordelen behelst centrale opslag van data ook risico s Continuïteitsrisico bij exit/insolventie (lock-in) Mogelijke waarborgen: Hot back-up van data (maar vermindert voordelen CC) Open cloud / open standaarden (bevordert interoperabiliteit en vermindert dataportabiliteitsissues) 8 4

5 Uitdaging #4: Privacy (I) Uitdagingen Cloud Computing vs. Privacy Cloud Computing brengt vrijwel steeds verwerking van persoonsgegevens (HR-gegevens, klantgegevens) met zich mee Privacyregelgeving is primair opdrachtgestuurd (statische gegevensdistributie) Cloud Computing is primair efficiencygestuurd (dynamische gegevensdistributie) 9 Uitdaging #4: Privacy (II) Wet bescherming persoonsgegevens (Wbp) Verwerking van persoonsgegevens in kader van activiteiten van een vestiging van verantwoordelijke in Nederland Verwerking van persoonsgegevens met behulp van middelen (cloud) die zich in Nederland bevinden Rollen en verantwoordelijkheden Klant verantwoordelijke in de zin van Wbp Cloud Computing provider bewerker in de zin van Wbp, of toch (mede)verantwoordelijke? SWIFT-casus 10 5

6 Uitdaging #4: Privacy (III) Verplichtingen uit hoofde van Wbp Bekendheid met locatie van persoonsgegevens Passende technische en organisatorische beschermingsmaatregelen NEN-ISO/IEC 27001:2005, NEN7510, ongeschreven recht Maximale bewaartermijnen verplichting tot verwijdering Uitvoering controle- en correctierechten betrokkenen Omgaan met deze algemene privacy-uitdaging Bewerkersovereenkomst met heldere verdeling van taken en verantwoordelijkheden 11 Uitdaging #4: Privacy (IV) Bijzondere privacy-uitdaging: grensoverschrijdende datadistributie Doorgifte van persoonsgegevens buiten EER is verboden, tenzij: wettelijke uitzondering (toestemming, uitvoering overeenkomst) passend beschermingsniveau of VS Safe Harbour doorgifteovk (conform modelcontracten) + vergunning MvJ Binding Corporate Rules van Cloud Computing provider? Cloud Computing provider als verantwoordelijke voor doorgifte? Andere oplossingen: neutralisatie (anonimisering, pseudonimisering, encryptie?) regionale zonering 12 6

7 Slotopmerkingen (I) Cloud is nieuw, maar juridisch geen volledig onbeschreven blad Cloud is soms te vluchtig voor het huidige regelgevend kader Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen dondergrijs wolkendek. Praktische oplossingen zijn voor handen. ICT-sector en gebruikers zijn gebaat bij (verdere) duidelijkheid Zelfregulering (gedragscodes, modelcontracten, normen) Markt is mede aan zet! (aanleggen van faire maatstaven door gebruikers, maar ook door ICT-industrie aan de achterkant) Overheden, analyseer consequenties van toepasselijke wet- en regelgeving (met name privacy- en telecomregelgeving) 13 Slotopmerkingen (II) Cloud First -motie VVD TK-fractie Welke cloud? Dedicated overheidscloud? AIVD-gegevens in public cloud lijkt ook weinig aantrekkelijk. Welk doel? Hergebruik? Dit zal aanbestedingsrechtelijk moeten worden voorbereid, en verkregen licenties moeten geen beperkingen bevatten. Geldbesparing? Dan zijn er in de ICT-overheidsuitgaven wel grotere uitdagingen te overwinnen. 14 7

8 Contact Louis Jonker Advocaat Informatietechnologie Outsourcing & Offshoring t +31 (0) f +31 (0) m +31 (0) [email protected] Van Doorne N.V. Jachthavenweg KM Amsterdam Postbus AG Amsterdam t +31 (0) f +31 (0) [email protected] 15 Juridische uitdagingen van Cloud Computing IIR Cloud Computing 2010 Louis Jonker 17 november