CONTRACTEREN IN DE CLOUD Donderdag 26 maart 2015 Mirjam Elferink en Martijn Kortier Advocaten IE, ICT & Privacy
CASUS VOORAF Een groot museum, met miljoenen bezoekers per jaar, heeft ter verlevendiging van haar tentoonstellingen de nodige (audio)visuele en interactieve elementen in het museum geïnstalleerd. Sinds enige tijd heeft zij dat volledig uitbesteed aan een ICT-dienstverlener die genoemde diensten op afstand levert en onderhoud. 2
CASUS VOORAF Daarmee betreft het een clouddienst. Wanneer er een storing in die dienstverlening plaatsvindt zal dat grote gevolgen hebben voor het museum. Tentoonstellingen worden minder interactief of kunnen zelfs helemaal niet plaatsvinden, bezoekers raken teleurgesteld en haken af, om over de schade die daarmee gemoeid is nog maar niet te spreken. 3
CASUS VOORAF Op een gegeven moment is het Museum ontevreden over de mate van dienstverlening door de ICT-leverancier. Daarop besluit het museum om tijdelijk haar rekeningen niet meer te betalen. De cloudleverancier reageert furieus en dreigt met het op zwart zetten van de schermen in het museum. Vraag: Mag de ICT-leverancier dat volgens u? N.B. overstappen naar een andere leverancier is niet eenvoudig en snel te realiseren en is bovendien kostbaar 4
1. Privacy: bewerkersovereenkomst, datalekken, Patriot Act 2. Aansprakelijkheid: verlies van data 3. Continuïteit: faillissement provider; backup- en exitregeling, escrow ; beëindiging overeenkomst 4. Aandachtspunten privacy en cloudcontracten 5
Vaak hebben partijen geen behoefte aan de rompslomp die een overeenkomst met zich meebrengt. Maar, in trajecten waarin een product of dienst (zoals hosting) geleverd gaat worden, zal de overeenkomst dienen als werkdocument. Hierin kan o.a. worden opgenomen Verwachtingen; Omvang ontwikkeling; Tijdsduur; Consequenties overtreden tijdsduur 6
CASUS ONDERHANDELING Stel: U bent het hoofd van de ICT-afdeling van een internationaal opererend bedrijf dat alleen in Nederland al 2000 werknemers heeft. Vanuit kostentechnisch oogpunt (en omdat u minder rompslomp wilt), wenst u de volledige personeelsadministratie van uw bedrijf naar de cloud te brengen, inclusief de verzuimregistratie. U vindt een geschikte cloudleverancier en start met hem de onderhandelingen Wat regelt u contractueel? Welke afspraken legt u vast? En waarom? 7
CASUS ONDERHANDELING Maak koppeltjes van 2 personen. Persoon 1 is de vertegenwoordiger van het bedrijf -> de klant/afnemer Persoon 2 is de vertegenwoordiger van de cloudleverancier. Start de onderhandelingen en noteer kort wat u overeenkomt. Waarom bent u dat overeengekomen? Vanuit beider perspectieven bekeken. 8
ASPECTEN VAN CLOUDCONTRACTEN Privacy Beveiliging, bewerkersovereenkomst, verantwoordelijkheden Patriot Act Datalekken Continuïteit Eigendom van de data, back-up regeling, escrow Beëindiging, exit regeling Overige contractuele afspraken aansprakelijkheden en garanties, IE-rechten, SLA 9
CASUS: PRIVACY Stel: u wilt uw werknemersregistratie, salarisverwerking en ziekteverzuim via een SaaS-applicatie laten opslaan bij een hostingprovider. Welke privacy-aspecten kleven hieraan? 10
WET BESCHERMING PERSOONSGEGEVENS (WBP) Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp 11
BELANGRIJKE BEGRIPPEN UIT DE WBP Persoonsgegeven: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms òòk: IP-adres). Verwerking: Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloudleverancier. 12
BELANGRIJKE BEGRIPPEN UIT DE WBP Verantwoordelijke: Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier). Bewerker: Verwerkt persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener). 13
WBP IN CLOUDCONTRACTEN 1. Bewerkersovereenkomst 2. Beveiligingsplicht - Omschrijving maatregelen - Controle 3. Verwerken in opdracht 4. Geheimhouding / geen toegang derden 5. Subbewerkers 6. Bewaren 7. Exit 8. Inzageverzoeken 9. Informeren beveiligingsincidenten / datalekken 10. Verwerking in EU / passend beveiligingsniveau 14
MELDPLICHT DATALEKKEN: NU VOOR TELECOMPROVIDERS, STRAKS OOK VOOR ANDERE BEDRIJVEN Meldplicht o.g.v. Telecommunicatiewet geldt voor aanbieders van openbare elektronische communicatiediensten: telecommunicatie-providers internet acces providers Algemene Meldplicht in wetsvoorstel voor wijziging Wpb Breder toepassingsbereik: geldt voor verantwoordelijken in de zin van de Wbp Melden bij het Cbp en de betrokkene; Nalaten melden: bestuurlijke boete van max. 450.000,-. 15
PATRIOT ACT VEEL IN DE MEDIA Nederland en de NSA The Post online 12 april 2014 'Van de ratten besnuffeld': HP bouwt Europese cloud WebWereld 1 april 2014 De Europese cloud: gebakken lucht of oorlog in cyberspace? Management Team 9 april 2014 Facebook? De CIA kijkt mee NRC.Next 19 oktober 2012 16
THE PATRIOT ACT Niet alleen individuele informatieverzoeken, maar ook voor groepen; Beperkte rechterlijke toetsing; Toetsing levert geen rechtsbescherming voor niet- Amerikanen op; Onduidelijkheid over reikwijdte en gebruik. 17
CASUS Stel: u neemt een hostingdienst af van een Nederlandse onderneming met een moederonderneming in de USA. U bent contractueel overeengekomen dat uw gegevens alleen in Nederland verwerkt en opgeslagen worden. Is de Patriot Act naar uw mening van toepassing? 18
WANNEER VAN TOEPASSING? Indien data van de gebruiker opgeslagen worden bij een bedrijf gevestigd in: De VS; De EU, met een VS moederbedrijf; De EU en dat bedrijf gebruik maakt van de diensten van een VS dochteronderneming voor dataprocessing; De EU en dat bedrijf gebruik maakt van een derde partij voor data storage of data processing, i.e. een hosting company, die gevestigd is in de VS. 19
AANBEVELINGEN 1. Ga bij uw dienstverlener na of zij onder de Amerikaanse jurisdictie valt; 2. Maak een goede risicoanalyse van de soort gegevens dat u wenst onder te brengen bij uw cloudleverancier; 3. Beslis vervolgens of u met een dienstverlener in zee wilt gaan die onder de reikwijdte van de Patriot Act valt. 20
AANBEVELINGEN Zo ja, regel in ieder geval contractueel: 1. dat vrijwillige gegevensverstrekking is verboden; 2. dat uw cloudleverancier aansprakelijk is voor mogelijke schade wegens schending van de Wbp en u vrijwaart voor mogelijke schadeclaims. 43
AANBEVELINGEN Zo nee, denk vooruit: 1. en neem een verbodsbepaling op van overname van uw cloudleverancier of diens moederbedrijf door een Amerikaans bedrijf; 2. Neem een verbodsbepaling op dat de dienst niet uitbesteed mag worden aan derden die onder de reikwijdte van de Patriot Act vallen. 44
ZIENSWIJZE CBP Doorgifte persoonsgegevens naar VS is mogelijk indien Amerikaanse clouddienstverlener zich tot naleving van de Safe Harbor Principles heeft verplicht! Alleen dan: passend beschermingsniveau. Echter: dit garandeert niet dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywetgeving. Patriot Act gaat altijd voor! 45
CASUS: CONTINUÏTEIT Om half 9 s ochtends kan niemand bij uw bedrijf inloggen op het netwerk. Internet functioneert; het netwerk van de hostingprovider niet. Wat blijkt? Hostingprovider is failliet Uw bedrijf kan geen gebruik meer maken van haar e-mail en klantenbestand. De gevolgen voor uw bedrijfsvoering zijn groot. Kunt u de curator van uw hostingprovider dwingen om u toegang te verlenen tot het netwerk? 49
IN DE PRAKTIJK De curator mag wanprestatie plegen overeenkomst hoeft hij niet na te komen, toegang tot en gebruik van het netwerk hoeft hij dus niet toe te staan. Hoe voorkomt u dat u bij faillissement van de hostingprovider geen toegang meer heeft tot uw infrastructuur en uw applicaties? 50
CASUS: CONTINUÏTEIT Niet, maar risico kan wel worden ingeperkt. Hoe? 1. Escrow-overeenkomst en / of 2. Back-up 51
FAILLISSEMENT EN CLOUD Faillissement cloudleverancier Faillissement klant Wat gebeurt er met de data? 105 Fw: De failliet is verplicht de curator alle inlichtingen te verschaffen. Wat als die inlichtingen, zoals administratie bij de cloudleverancier liggen? Evt binnentreden datacentrum door curator (93a Fw) Alleen de curator mag dat, slechts na machtiging van de rechtercommissaris. ICT-deskundige mag niet mee. 52
FAILLISSEMENT KLANT Voorontwerp wet versterking positie curator Artikel 105b Fw: Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken. 53
FAILLISSEMENT KLANT Medewerkingsplicht cloudleverancier / hostingprovider. Wie betaalt? Concurrente schuldeiser? Of anders? ICT-diensten gelijk te stellen aan nutsvoorzieningen? (jurisprudentie) 54
FAILLISSEMENT CLOUDLEVERANCIER U heeft nog een gebruiksrecht op (en recht op toegang tot) een applicatie van de failliete hostingprovider. Als we ervan uitgaan dat het netwerk wordt overgenomen door een derde, kan deze derde dan ook deze applicatie beschikbaar houden? 55
OPLOSSING: SAAS ESCROW? SaaS Escrow Overname door een onafhankelijke derde die toegang tot de omgeving biedt, bij voorkeur gedurende een periode van drie maanden Een oplossing die meer garantie op continuïteit biedt! 56
SAAS ESCROW Aandachtspunten Saas escrow Karakter: drie partijen overeenkomst; Volledige beschrijving applicatie opnemen; Depot van broncode, basiskennisdocumentatie (!) en overige documentatie; Overdracht gedeelte van het auteursrecht aan de afnemer; Omschrijving trigger events (faillissement); Omvang recht na trigger events. 57
EIGENDOM VAN DE DATA Regel wie eigenaar is van de data en wat er met de data moet gebeuren na einde overeenkomst! 59
VAN WIE ZIJN DE DATA? Teruggaveplicht bij het einde van het contract? Explicitiet overeenkomen in contract Wellicht zorgplicht ex artikel 7:401 BW? Wie draagt de kosten van de teruggaveplicht en hoe worden de data teruggeven? Downloadrecht en back-upregeling 60
VAN WIE ZIJN DE DATA? Welke data wordt teruggegeven? Wanneer? Altijd of alleen bij einde contract? Teruggave of vernietiging van de data? Op welke termijn dient dat te geschieden? Gronden teruggave change of control, faillissement. Garantie en audit Retentierecht op data en opschortingsrecht 61
OPSCHORTING Terug naar de museumcasus van het begin van de presentatie Wanneer is opschorting van de clouddienst toegestaan? Continuiteit bedrijfsvoering klant Dienstverlening essentieel? Proportionaliteit (ingebrekestelling/aankondiging, ernst tekortkoming) Redelijkheid en billijkheid (Europsyche / Fides Vzr. Rb Rotterdam 8 mei 2012, LJN BW5386) 63
OPSCHORTING Evt: HR 20-3-1981, NJ 1981, 640 (inzk nutsvoorzieningen) Opschortingsrecht kan worden uitgeoefend Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid onaanvaadbaar zou zijn. Verregaande afhankelijkheid bedrijfsvoering van klant. 74
SAMENVATTING: AANDACHTSPUNTEN PRIVACY Wbp: verantwoordelijke, bewerker; Verantwoordelijke: bepaalt doel en middel; klant cloud service provider / soms cloud service provider zelf bij SaaS (zeggenschap bij dataverwerking); Bewerkersovereenkomst: verantwoordelijke moet waarborgen opleggen: Informatiebeveiliging; Toepasselijk recht: Wbp als de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp; Echter ook lokale wetgeving, bijvoorbeeld USA Patriot Act. 65
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (1) Continuïteit van de dienstverlening dienstverlener en toeleverancier en onderaannemers back-ups escrow Toegang tot de applicatie / fysiek gescheiden omgeving Kwaliteit - controle over fysieke locatie data; dienstverlening: - veiligheid (inzien, manipuleren etc.) data; - snelheid; - toegankelijkheid data. 66
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (2) SLA Maak goede afspraken over het dienstenniveau in een SLA. Voorkom een zgn. vendor-lock-in door heldere afspraken te maken over: Eigendom van de data; wie is eigenaar? Wat te doen met data na einde ovk? Bij wie rusten de intellectuele eigendomsrechten m.b.t. de data?; Exit regeling: medewerkingsplicht aan migratie data naar andere cloudleverancier (mogelijkheden verhuizen systeem) Eigendom servers (in geval van private cloud) 67
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3) Aansprakelijkheid Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke. 68
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3) Continuïteit van de dienstverlening Voorkom een vendor lock-in : zorg ervoor dat de data ook beschikbaar zijn na het einde van de overeenkomst. Toepasselijk recht Cloud grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen. 69
70 VRAGEN?
VOLG ONS OP TWITTER! @MIRJAMELFERINK @MARTIJNKORTIER 71
45
46
HARTELIJK DANK VOOR UW AANDACHT EN GRAAG TOT ZIENS! 47