cloud computing in juridisch perspectief



Vergelijkbare documenten
Uitgangspunten voor een Nationale Cloud Agenda

Privacy Compliance in een Cloud Omgeving

Public Briefing / mei 2014

Cloud Computing computerkracht als utility

Gegevensbescherming & IT

Juridische uitdagingen van CC

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Privacyverklaring van Enpuls B.V.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Privacyverklaring Zorgboerderij t Personnebos

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

PRIVACY EN CLOUD. Knelpunten:

Privacy voorwaarden Compressor Service Techniek (onderdeel van Voskamp groep)

Algemene begrippen AVG

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Welke gegevens we verzamelen en waarom we die verzamelen. Hoe we die gegevens gebruiken.

PRIVACYVERKLARING TVR Metaal B.V. In deze privacyverklaring wordt uitgelegd welke persoonsgegevens TVR Metaal B.V. verwerkt en voor welke doeleinden.

Door toenemende automatisering en slimmere tools verdwijnt het werk voor de klassieke IT beheerder

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

Persoonsgegevens Domi Lambregs verwerkt de volgende categorieën van persoonsgegevens:

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Wanneer wij van u als opdrachtgever een opdracht in ontvangst nemen, vragen wij voor de uitvoering van deze dienstverlening om persoonsgegevens.

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

PRIVACYVERKLARING Coöperatieve Vereniging van Vletterlieden W.A.

Algemene Verordening Gegevensbescherming (AVG)

BELEID VOOR COOKIES OP DE WEBSITE EN PRIVACY

Privacybeleid. Versie 2018 TOTAL SOLUTIONS PNG

Privacyverklaring. 1. Persoonsgegevens

onderzoek en privacy WAT ZEGT DE WET

Bijlage Gegevensverwerking. Artikel 1 - Definities

Uitvaartcentrum Oost-Groningen

Privacy verklaring Versie: 1.0 Datum:

HUIS VOOR DE KUNSTEN LIMBURG PRIVACY BELEID

Privacyverklaring. LIMM Recycling Versie

(Door)ontwikkeling van de applicatie en functionaliteiten

Privacy Statement. Wie zijn wij?

Privacy statement. Waarvoor verwerkt BeweegSaam IJsselstein uw persoonsgegevens?

Privacyverklaring. Beyond Balance B.V. (h.o.d.n. Chanthal Blonk) respecteert jouw privacy en verwerkt

Verklaring Inzake Privacy

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Cloud computing Helena Verhagen & Gert-Jan Kroese

Checklist Privacyverklaring

Privacy Statement Kerkdienst gemist. Voor het laatst bijgewerkt op May 24, :58. (Voor het laatst bijgewerkt op 17 mei 2018)

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacyverklaring Tabor

PRIVACYVERKLARING. Publicatiedatum/laatste wijziging Inleiding

Privacy en Cookie statement FlexFG B.V.

Hoe kunt u profiteren van de cloud? Whitepaper

Privacyreglement Medewerkers Welzijn Stede Broec

Mogen advocaten hun data in de Cloud bewaren?

Privacy Protocol van vereniging

Verder zullen we jouw gegevens niet zonder jouw toestemming verwerken, tenzij we daartoe wettelijk verplicht zijn.

COOKIES- EN PRIVACY-BELEID

Privacy Policy P&L Office

PRIVACYVERKLARING S.U.S.T. VZW

Hoe bewaart u uw klantendata op een veilige manier? Maak kennis met de veilige dataopslag in de Cloud van Azure Stack

Privacy Policy voor Administratiekantoor Hoogendijk

Deze privacyverklaring is van toepassing op AgriVer B.A. en haar handelsmerk Paardenverzekering Bierum.

Goedgekeurd op 23 april Beleid inzake gegevensbescherming en privacy

Het gaat om de volgende persoonsgegevens:

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy Statement Sa4-zorg

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Cloud Computing: Het concept ontrafeld

Softcrow Trusted Electronic Services B.V. Privacy Verklaring. Pagina 1 van 9

Privacy Verklaring. Privacy Verklaring Breinperspectief Gewijzigd

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

Plan


Privacy policy: Uw persoonsgegevens en uw privacy in onze praktijk Bureau VIER-V

Definitieve bevindingen Rijnland ziekenhuis

Gedragscode Privacy RRS

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

GDPR. een stand van zaken

Privacy Protocol van voetbalvereniging F.C.R.I.A.

Privacyverklaring Therapeuten VVET

Privacybeleid Beckers Financieel Advies

Privacyreglement Potenco

BEWERKERSOVEREENKOMST

Uw samenwerking met New Media 2Day b.v. duidelijk vastgelegd in afspraken.

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Security, Legal and Compliance

Laatste update: 31/7/2018. Privacyverklaring Stop it Now!

Privacyverklaring Fiscaliade. 24 mei 2018

PRIVACY STATEMENT SMART GROUP HOLDING FUTURING PEOPLE FUTURING BUSINESS

PUBLIEKE, PRIVATE OF HYBRIDE CLOUD?

Privacyverklaring, cookieverklaring en disclaimer. ViaData Automatisering B.V.

Medi-Office gebruikt verschillende categorieën van persoonsgegevens.

Privacyverklaring en Kennisgeving

Transcriptie:

Trendanalyse cloud computing in juridisch perspectief Mr. V.A. de Pous Versie 2011 2011 V.A. de Pous, Amsterdam Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden de auteur, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

Key issues Cloud computing betreft een nieuw leveringsmodel voor ICT. Software, rekenkracht en gegevensopslag worden als een automatisch schaalbare dienst op afroep geleverd en zijn door middel van virtualisatietechnieken losgekoppeld van de fysieke computerfaciliteiten in datacenters. Hierdoor krijgt de gegevensverwerking via Internet een gedistribueerd, vloeibaar en vaak grensoverschrijdend karakter, terwijl de gebruikersorganisatie bij uitbesteding zeggenschap en controle inlevert. Deze kenmerken kunnen met rechtsnormen wringen. Mede op deze grond werkt de communautaire wetgever aan nieuwe regels voor de verwerking van persoonsgegevens. Nog dit jaar wordt een concreet wetsvoorstel verwacht. Ook de huidige privacyregels raken alle bedrijven en overheidsorganisaties in hun bedrijfsvoering, omdat beiden klantgegevens en personeelsinformatie verwerken; on premises of in the cloud. Bij de inzet van cloud-computingdiensten moeten contractuele afspraken meer dan ooit taken en verantwoordelijkheden helder maken en ook nog eens de bijzondere risico s van het afnemen van digitale technologie als dienst beperken. Die betreffen vooral netwerk- en informatiebeveiliging, LEGAL COMPLIANCE en de continuïteit van de geleverde dienst, mede met het oog op het kunnen veranderen van CLOUD SERVICE PROVIDER. Besef goed dat de cloud-dienstenmatrix zowel feitelijk als voor wat betreft haar juridisch kader volop in ontwikkeling is. Een nieuw leveringsmodel Cloud computing oogt eenduidig en verassend simpel. Een techneut tekent enkele computers en softwarediensten en verbindt deze met Internet. Maar over de precieze invulling van the cloud als nieuw leveringsmodel voor ICT sluiten de rijen zich niet. Zoekmachines op Internet en de e-maildienst Hotmail (1996) waren de eerste voorbeelden avant la lettre, in 1999 gevolgd door SalesForce.com en drie jaar later door Amazon Web Services. Exemplarisch voor cloud-computingdiensten zijn tegenwoordig ook de populaire sociale netwerken FaceBook en YouTube. Het gaat tenminste om op het web-gebaseerde software en informatie, die niet bij de gebruiker, maar op informatiesystemen in datacenters staan. De gegevenswerking vindt gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma s en de informatie los gekoppeld zijn van de fysieke hardware en infrastructuur. Volgens het gezaghebbende National Institute of Standards and Technology (NIST) in de Verenigde Staten betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten (computerbronnen), die worden gedeeld en op afroep door middel van automatische zelfbediening geleverd. Cloud computing betekent uiteindelijk ook: de industrialisatie van ICT, vergelijkbaar met de electricificatie van honderd jaar geleden. Stroom uit de muur, op basis van een bepaalde standaard, bij ons 50 hertz/220 volt. 2011 V.A. de Pous, Amsterdam 2

Fundamenteel anders Het feit dat cloud computing zowel technologisch als bedrijfsmatig en organisatorisch fundamenteel iets anders is, wil niet automatisch zeggen dat we met afwijkende rechtsaspecten van doen hebben. Maar wie al denkend de Amerikaanse definitie in het vizier houdt, begrijpt al snel dat het juridische raamwerk voor cloud computing zich daadwerkelijk onderscheidt van dat voor het klassieke leveringsmodel voor gegevensverwerking. Dat geldt in het bijzonder wanneer we het over een uitbestedingsrelatie hebben, dus wanneer een gebruikersorganisatie een dienst van een CLOUD SERVICE PROVIDER afneemt. In deze omstandigheid heeft zij in de regel: geen controle over en kennis van de geleverde ICT-onderdelen en het virtuele informatiesysteem als geheel; geen controle over en kennis van de exacte locatie van de geleverde ICTonderdelen en het virtuele informatiesysteem; een sterke afhankelijkheidssituatie ten opzichte van de CLOUD SERVICE PROVIDER en de gebruikte technologie, mede omdat zowel de ICT-onderdelen als de bedrijfsinformatie in letterlijk in handen zijn van deze leverancier en zijn toeleveranciers. Zowel de diverse feitelijke als technologische aspecten van het leveringsmodel zorgen voor juridische veranderingen. Zo wordt er immers geen product, maar een dienst geleverd, ontvangt de gebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt en vraagt de licentieverlening van computerprogramma s bij virtualisatie om andere contractuele modellen, nu de een-op-een relatie met apparatuur en besturingssysteem niet langer bestaat. Waarom eigenlijk? Hoewel voorstanders als regel de positieve financiële en budgettaire aspecten benadrukken die door de technologische efficiencyverbetering ontstaan, faciliteert dit leveringsmodel tijd- en plaatsonafhankelijk handelen in optima forma. Denk aan werken, besturen, zakendoen en, natuurlijk, een brede reeks van activiteiten voor en in ons privéleven. Deze organisatorische efficiencyverbetering maakt samen met de ontsluiting van ongekende innovaties cloud computing buitengewoon aantrekkelijk en mijns inziens zelfs onvermijdelijk. Tegenstanders wijzen vooral op het ontstaan van sterke lock-in omstandigheden ten opzichte van leverancier en techniek. Bovendien wordt gevreesd voor inbreuken op de veiligheid en integriteit van de uitbestede informatiesystemen. Ook de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in haar Kwetsbaarheidsanalyse Spionage van 2010 op negatieve aspecten van cloud computing. Van uitzonderlijk groot belang voor onze informatiemaatschappij is dat we deze debatten op rationele gronden voeren en de technologie, de CLOUD SERVICE PROVIDERS en de dienstverlening zorgvuldig op de merites beoordelen. In het ICT-domein zagen we eerder onder meer in relatie tot open source software dat emotie en botsende meningen zelden tot waarheidsvinding of goede beslissingen of gedegen beleid leiden. 2011 V.A. de Pous, Amsterdam 3

Vast staat in ieder geval dat net zo als de brede en laagdrempelige beschikbaarheid van Internet ondernemerschap tijdens de laatste vijftien jaar in veel bedrijfstakken op zijn kop zette cloud computing eveneens ingrijpende gevolgen zal hebben voor traditionele bedrijfsmodellen en allerhande gewoonten en gebruiken; nadrukkelijk ook buiten de ICT-sector. Anders gezegd: cloud computing gaat zich als een ontwrichtende technologie bij uitstek manifesteren. Grondrechten Volgens de Europese Commissie moeten essentiële rechten voor individuen (ook) in de digitale wereld worden gegarandeerd. Denk daarbij aan controle houden over de eigen informatie: toegang tot persoonlijke informatie krijgen en deze kunnen wijzigen en verwijderen. Dit noemen we wel INFORMATIONELE PRIVACY. Op grond van deze uitgangspunten formuleerde Brussel eind 2010 een strategie voor de bescherming van persoonsgegevens op alle beleidsgebieden, de wetshandhaving incluis. Tegelijkertijd wil het dagelijks bestuur van de Europese Unie formaliteiten voor het bedrijfsleven terugdringen en het vrije gegevensverkeer binnen de EU waarborgen. Dit jaar komt er een wetsvoorstel dat de Richtlijn privacybescherming uit 1995 volledig herziet. Daarin gaat het onder meer om het volgende. Versterking van de rechten van individuen. De hoofdregel gaat luiden dat het verzamelen en gebruiken van persoonsgegevens tot het noodzakelijke minimum moet worden beperkt. Mensen moeten duidelijk en transparant worden geïnformeerd over hoe, waarom, door wie en hoe lang hun gegevens worden verzameld en gebruikt. Mensen moeten bijvoorbeeld bij het gebruik van Internet uitdrukkelijk toestemming kunnen geven voor het verwerken van hun persoonsgegevens. Iedereen heeft het recht te worden vergeten wanneer gegevens niet langer nodig zijn of wanneer iemand zijn gegevens wil laten wissen. Verdere uitwerking van de interne marktdimensie door terugdringing van de administratieve lasten voor het bedrijfsleven en opstelling van gelijke voorwaarden voor iedereen. De huidige verschillen bij de uitvoering van de communautaire privacyregels (onderscheid in regelgeving) en onduidelijkheid over de vraag van welke lidstaat de regels gelden (welk nationaal recht is van toepassing?), zijn nadelig voor het grensoverschrijdende vrije verkeer van persoonsgegevens binnen de unie. Ze werken bovendien kostenverhogend. Zorgen voor goede bescherming bij doorgifte van gegevens naar buiten de EU. De procedures voor internationale gegevensdoorgifte worden verbeterd en gestroomlijnd. De EU gaat er voor zorgen, dat bij de samenwerking met derde landen persoonsgegevens even goed worden beschermd. Effectievere handhaving. De rol en de bevoegdheden van de toezichthouders op gegevensbescherming, zoals in Nederland het College Bescherming Persoonsgegevens, worden versterkt en verder geharmoniseerd. 2011 V.A. de Pous, Amsterdam 4

Netwerk- en informatiebeveiliging Wie persoonsgegevens zegt, behoort als bestuurder tevens te zeggen: het nemen van maatregelen om dit type (bedrijfs) informatie te beschermen. Degene die verantwoordelijk is voor een gegevensverwerking moet namelijk passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Van aanmaken, opslag en gebruik tot archivering en vernietiging. Maatregelen De technische en organisatorische maatregelen vallen uiteen in twee categorieën: technische maatregelen betreffen de logische en fysieke maatregelen in en rondom de informatiesystemen, zoals toegangscontroles, vastlegging van gebruik en back-up; organisatorische maatregelen hebben betrekking op de inrichting van de organisatie en op de verwerking van de persoonsgegevens, zoals de toekenning en toedeling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen. Passend beschermingsniveau Algemeen gesproken moeten de netwerk- en informatiebeveiligingsmaatregelen volgens de wet een passend beschermingsniveau garanderen. Er daarbij is nadrukkelijk geen sprake van een one-size-fits-all oplossing. Speciaal voor persoonsgegevens wegen drie factoren mee: de risico s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, de stand der techniek en de kosten om de beschermingsmaatregelen uit te voeren. Naar mate persoonsgegevens een gevoeliger karakter hebben, worden er zwaardere eisen aan de beveiliging gesteld. De wettelijke beschermingsvoorschriften zijn echter tot stand gekomen in een tijd waarin informatieverwerking vooral een statisch karaker had. Software als dienst (SaaS) en andere vormen van cloud computing maken gegevensverwerking echter meer dynamisch. We kunnen niet of tenminste niet gemakkelijk aanwijzen waar precies welke gegevens worden verwerkt en zijn opgeslagen. Deze en andere ontwikkelingen zorgen er voor dat naleving van wettelijke beveiligingsmaatregelen voor de elektronische omgeving anders en complexer wordt. Daarnaast moeten contractuele afspraken taken en verantwoordelijkheden helder maken en risico s beperken. Concreet: CLOUD SERVICE PROVIDERS zullen meer dan nu het geval is, moeten verklaren en garanderen dat zij zich aan het wettelijke netwerk- en informatiebeveiligingsrecht houden. 2011 V.A. de Pous, Amsterdam 5

Legal compliance In geval van zelf doen en bij uitbesteding moet de verwerking van bedrijfsinformatie door alle betrokken partijen in de automatiseringsketen, waaruit cloud-computingdiensten worden opgebouwd, te allen tijde op een rechtmatige wijze gebeuren. Zo luidt het centrale voorschrift. Dat wil primair zeggen in overeenstemming met wet- en regelgeving en secundair conform contractuele afspraken. Vooral de wettelijke voorschriften voor verwerking van persoonsgegevens springen hierbij in het oog, waaronder de organisatorische en technische beveiliging van het gehele verwerkingsproces. Ook mogen in Nederland persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EER) worden verwerkt. Deze jurisdictie ziet toe de 27 lidstaten van de EU plus IJsland, Noorwegen en Liechtenstein. De communautaire privacywetgeving, die bij ons onder meer is omgezet in de generieke Wet bescherming persoonsgegevens en in sectorale wetten en regels, kent verschillende sleutelbegrippen, waaronder de verantwoordelijke en de bewerker. Beiden dragen eigen wettelijke verantwoordelijkheden. In het kader van het verrichten van cloud-computingsdiensten door derden ligt het voor de hand de gebruikersorganisatie de eigenaar van de informatie als de verantwoordelijke aan te merken en beschouwen we de CLOUD SERVICE PROVIDER als bewerker. Maar pas op. Onlangs wezen de Europese privacytoezichthouders op de situatie dat er in toenemende mate scenario s te schetsen zijn, waarbij verantwoordelijken en bewerkers allebei een rol spelen en waarbij het lastig vast te stellen is wie welke verantwoordelijkheid heeft. Tegen deze achtergrond is er een opinie opgesteld, die nadere uitleg geeft over deze begrippen. Burgers moeten namelijk weten aan wie zij vragen kunnen stellen over de over hen opgeslagen persoonsgegevens en waar zij zo nodig hierover een klacht kunnen indienen. Vervolgens kennen we allerlei wettelijke bewaarverplichtingen voor bedrijfsinformatie, waar de belastingplichtige, die van een externe cloudcomputingdienst gebruikt maak, zelf voor verantwoordelijk is en blijft. Zo geldt op grond van het Burgerlijk Wetboek en de Algemene Wet inzake Rijksbelastingen (AWR) de algemene fiscale bewaarplicht van zeven jaar voor alle bedrijfsinformatie, die van belang is voor de belastingheffing. Daarnaast is de kwaliteit van de analoge en digitale informatietechniek belangrijk voor de administratie. Daarvoor hanteert de wetgever een open normstelling. Ten aanzien van het bewaren van gegevens van de administratieplichtige wordt verwacht dat hij die maatregelen neemt welke, gelet op de aard en de omvang van het bedrijf en de toegepaste administratieve techniek, redelijkerwijze van hem kunnen worden verlangd, teneinde te bevorderen dat de administratie in goede staat bewaard blijft, zodat de fiscus te allen tijde een controle kan uitvoeren. Bij de afname van cloudcomputingdiensten moeten contractuele afspraken dus de goede staat van de administratie die op ieder moment kan worden gecontroleerd borgen. 2011 V.A. de Pous, Amsterdam 6

Continuïteit Cloud computing is een nieuwe leveringswijze van ICT. Het gaat om een keten van automatiseringsdiensten, ontwikkeld en samengesteld uit diverse elektronische bouwstenen van en door verschillende producenten en diensverleners. Op basis hiervan wordt uiteindelijk een ICT-dienst aan een gebruikersorganisatie geleverd. Dat kan een dienst zijn die de eigen automatiseringsafdeling (meestal on-premises) verzorgt, maar vaker zullen cloud-computingdiensten het karakter van een outsourcingsrelatie hebben. De ingekochte diensten kunnen openbaar (publiek toegankelijk en gestandaardiseerd), privaat (gesloten en doorgaans op maat) of hybride (een tussenvorm) van karakter zijn en bestaan uit de levering van software (SaaS), platformen (PaaS) en/of infrastructuur (IaaS). Er is dus sprake van een dienstenmatrix, die echter volop in ontwikkeling is. Uiteindelijk kan zo ongeveer alles kan als dienst worden aangeboden: testen, beheer, informatie, desktops en bijvoorbeeld opslag. Alleen kijkend naar de technologische efficiencyverbetering, zijn waarschijnlijk third-party cloud-computingdiensten het meest interessant. Betaling voor gebruik vervangt immers de eigen investeringen in ICT. Daarnaast worden er computerfaciliteiten gedeeld en dat geldt in feite ook voor de vaak schaarse en kostbare expertise van ICT-ers. Anders gezegd: gebruikersorganisaties kunnen optimaal profiteren economies of scale and skills. Daar staat tegenover dat juridisch bezien deze categorie in zoverre het meest uitdagend is, omdat door het uitbesteden per definitie taken en verantwoordelijkheden verschuiven en de afhankelijkheid van de gebruikersorganisatie ten opzichte van techniek en leverancier toeneemt. Interoperabiliteit vereist Het samengestelde karakter van ICT nieuwe stijl (techniek en leveranciers), maakt interoperabiliteit meer dan ooit in de zestigjarige geschiedenis noodzakelijk. Los daarvan, creëert interoperabiliteit, dankzij de beschikbaarheid van technische informatie, toegang tot markten. Interoperabiliteit zorgt dus eveneens voor handelsbevorderende en concurrentiestimulerende effecten. In het perspectief van de informatietechniek heeft interoperabiliteit betrekking op de situatie dat apparatuur, programmatuur en infrastructuur van dezelfde en juist verschillende producenten, dankzij de beschikbaarheid van informatie over technische interfaces, op elkaar zijn aan te sluiten en uitstekend samenwerken. Juridisch bezien beschikt iedere licentienemer op een computerprogramma over een wettelijk recht op wat je kunt noemen technische interoperabiliteit (tegenover organisatorische en/of semantische interoperabiliteit). Dat komt neer op een recht op REVERSE ENGINEERING decompilatie van de runcode in de omstandigheid dat een softwareproducent zijn gegevens omtrent een interface (de technische informatie) ten behoeve van de beoogde koppeling en interactie niet ter beschikking stelt. Dit wettelijk recht op het tot stand brengen van het vermogen om informatie uit te wisselen en om deze uitgewisselde 2011 V.A. de Pous, Amsterdam 7

informatie onderling te gebruiken is in het samengestelde kader van cloud computing ronduit essentieel. Zowel gebruikersorganisaties als CLOUD SERVICE PROVIDERS kunnen hiermee hun voordeel doen. Transparantie Het staat buiten kijf dat in de automatiseringsketen, waarbinnen cloudcomputingdiensten met behulp van diverse technologie door leveranciers en toeleveranciers worden opgebouwd, tevens de meeste technologische en bedrijfsmatige aspecten samenkomen. Deze omstandigheid werkt juridisch door. Zo zullen licentieovereenkomsten van producenten van allerhande bedrijfssoftware de CLOUD SERVICE PROVIDERS de bevoegdheid moeten geven om hun programmatuur ten behoeve van anderen te laten draaien. Even een stap terug. Aandacht vragen allereerst de juridische voorwaarden voor computerprogramma s in een virtuele omgeving. De software is dan losgekoppeld van een besturingssysteem en fysieke apparatuur. Dat vraagt, bezien door de bril van de gebruiker, om eenduidige en goed te budgettere en af te rekenen licentiemodellen, zonder dat bijvoorbeeld de kosten voor gebruik bij ongewijzigde bedrijfsprocessen stijgen. Belangrijk is verder de keuze voor het toepasselijke recht, die de rechtsverhouding tussen partijen normeert. Nederlandse gebruikersorganisaties willen graag op basis van het Nederlandse recht zakendoen en willen waarschijnlijk weten waar hun gegevens worden verwerkt. Zoals zojuist aangegeven, wie persoonsgegevens buiten de EER laat verwerken, hoeft toestemming van de overheid nodig. De dwingendrechtelijke wettelijke kaders voor digitale technologie en (bedrijfs)informatie, waarvan dus contractueel niet kan worden afgeweken, vormen de piketpalen voor het juridisch raamwerk van cloud computing, dat nader door overeenkomsten moet worden ingevuld. Als achtergrond geldt daarbij het continue karakter van de dienst. Evenwichtige afspraken moeten mede tot een in tijd duurzame rechtsverhouding leiden, nu cloudcomputingdiensten in beginsel immers duurovereenkomsten van opdracht betreffen. Dat vraagt om redelijkheid en billijkheid van twee kanten, maar dit juridische uitgangspunt mag niet ten koste gaan van de transparantie over wie, wat, waar en tenminste voor deel ook hoe. De gebruiker blijft immers altijd juridisch eindverantwoordelijke voor zijn bedrijfsinformatie; ook als die zich ergens in de wolken bevindt. Trends en analyses Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21 ste eeuw. Het betreft een nieuwe leveringswijze van ICT, die zich evolutionair ontwikkelt. Technologisch is het omslagpunt in zoverre bereikt, omdat een aantal essentiële informatietechnieken, waaronder virtualisatie en breedbandnetwerken, inmiddels algemeen en laagdrempelig beschikbaar zijn. Besef goed dat de 2011 V.A. de Pous, Amsterdam 8

cloud-dienstenmatrix zowel feitelijk als voor wat betreft haar juridisch kader volop in ontwikkeling is. Belangrijk is verder dat zowel meer algemene pro en contra-debatten als discussies in het concrete geval over de vraag wanneer en waarvoor cloud computing past, op rationele gronden worden gevoerd. Ook in het ICTdomein bijvoorbeeld in relatie tot open source software blijkt immers dat emotie en botsende meningen zelden tot waarheidsvinding of goed beleid leiden. Met de komst van cloud-dienstenmatrix verandert ICT niet alleen van een verzameling producten in allerlei diensten van continue levering, ook neemt de afhankelijkheid van gebruikersorganisaties ten opzichte van leveranciers en technologie toe. Dat legt nog meer de nadruk op de vraag wie waarvoor verantwoordelijk en aansprakelijkheid is. Contracten moeten helderheid bieden. Bovendien vereist de afhankelijkheid ten opzichte van leveranciers en technologie andere en vooral andersoortige continuïteitsmaatregelen. De gebruikersorganisatie wil om uiteenlopende redenen de mogelijkheid hebben snel over te stappen naar een andere CLOUD SERVICE PROVIDER, of in sommige situaties, wellicht de cloud-compuntingdienst zelf te verzorgen. Technische standaarden met inbegrip van de specificaties voor gegevensindeling (DATA FORMATS) met een meer open karakter helpen daarbij, net zo als een contractuele overdrachtsregeling en afspraken over SaaS-escrow (depot van bedrijfsinformatie en technologie bij een onafhankelijke derde) goede diensten kunnen bewijzen. LEGAL COMPLIANCE krijgt in het kader van cloud computing andere dimensies, onder meer vanwege het achterliggende technologisch concept (dynamische verwerking, door derden), het aspect van ketenautomatisering (meerdere dienstverleners) en het vloeibare en mogelijke grensoverschrijdende karakter van de informatieverwerking. Daarbij gaat het om het voldoen aan wet- en regelgeving (REGULATORY COMPLIANCE) en aan andere juridische voorschriften (CONTRACTUAL COMPLIANCE). 2011 V.A. de Pous, Amsterdam 9

Colofon Cloud computing in juridisch perspectief is geschreven door mr. V.A. de Pous, zelfstandig bedrijfsjurist en industry analyst te Amsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatiemaatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: J.A. Gerritse. Selectieve bibliografie boeken, rapporten en white papers Mission statement Computerrecht, Amsterdam, 1982 Het recht van overheidsautomatisering, Stichting het Expertise Centrum, Den Haag, 1995 Open source software en politiek, Amsterdam, 2004 (ook beschikbaar in het Engels, Japans en Mandarijn) BPO Escrow; Continuïteit bij uitbesteding van bedrijfsprocessen, Amsterdam, 2006 Open technologie 1.0, Amsterdam, 2006 Data Storage Recht; Wat managers en ICT-professionals behoren te weten, Amsterdam, 2007, 2008, 2009 Recht op ICT-interoperabiliteit, GBO.Overheid, Den Haag, 2008 In and out-of-office working; Juridisch aspecten van het nieuwe werken voor werkgevers, Amsterdam, 2009 Open source software 2010, Amsterdam, 2010 Zakendoen met de overheid; Public procurement voor ICTleveranciers, Amsterdam, 2010 Outlook ICT-recht 2011, Amsterdam, 2011 During its first 50 years computer law referred to a loose collection of diverse legal aspects of electronic processing and communication of data. A more advanced and structured approach to computer law for the 21st century focuses on legal frameworks for the demanddriven availability of robust, secure and interoperable digital technology: products, services and infrastructure. Computer law today must provide solid, well-balanced legal constructions for living, working, and doing business in a secure and sustainable information society. Julianapark, Anton Constandsestraat 16 Postbus 51005, 1007 EA Amsterdam Voice: 020-665.57.38 Fax: 020-665.58.18 E-mail: depous@planet.nl Blog: http://depous.blogspot.com/ Fonds: http://technologierecht.blogspot.com/ Versie 1.0 (20MAR2011) 2011 V.A. de Pous, Amsterdam 10

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback