Juridische valkuilen bij cloud computing



Vergelijkbare documenten
Juridische uitdagingen van CC

Gegevensbescherming & IT

CONTRACTEREN IN DE CLOUD

Mogen advocaten hun data in de Cloud bewaren?

CONTRACTEREN IN DE CLOUD

Software en continuïteit

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Mensink ICT Advocatuur Nieuwsbrief Oktober 2013

De bewerkersovereenkomst

Bedreigingen voor de continuïteit bij Cloud Computing: vijf valkuilen. Cloud Computing Event 6 november 2014

Cloud computing Helena Verhagen & Gert-Jan Kroese

Continuïteit in de cloud

Wet bescherming persoonsgegevens (Wbp) - (wet) meldplicht datalekken. Safe Harbor Ø. Binding Corporate Rules

Essentiële voorwaarden voor een veilig gebruik van Cloud diensten Checklist

PRIVACY EN CLOUD. Knelpunten:

In deze Algemene Voorwaarden hebben de volgende begrippen, zowel in enkelvoud als in meervoud, de volgende betekenis:

!!! Amsterdam,!oktober!2015!! Betreft:!Concept!escrow!overeenkomsten!Escrow4all! Geachte!heer!/!mevrouw,!

Actualiteiten Privacy. NGB Extra

!!! Amsterdam,!juli!2015!! Betreft:!Concept!escrow!overeenkomsten!Escrow4all! Geachte!heer!/!mevrouw,!

PRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015)

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

CONTRACTEREN IN DE CLOUD. Mr. dr. Mirjam Elferink Advocaat IE, ICT & Privacy

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Cloud Computing: valkuilen en must haves in de contracten. Robert Grandia Rotterdam, 20 april 2016

2.2 CMS: Content Management System, het systeem waarmee de Content van de website beheerd kan worden.

Kijken, kiezen, maar wat te kopen?

Datum 8 november 2012 Onderwerp Beantwoording kamervragen over de toegang van de VS tot data in de cloud

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Privacy Compliance in een Cloud Omgeving

BSH Bewerkersovereenkomst

Eindgebruikersovereenkomst Digitaal Leermiddel NBC. Algemeen

VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Licentieovereenkomst. ZorgOnline BVBA - Stadsplein 9 - B-3960 Bree - T: W: - E:

Privacy & Cloud. een juridisch perspectief

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

2.2 CMS: Content Management System, het systeem waarmee de Content van de website beheerd kan worden.

2.2 CMS: Content Management System, het systeem waarmee de Content van de website beheerd kan worden.

Licentieovereenkomst Construction Media

Licentieovereenkomst Construction Media

Licentiecontracten: aandachtspunten

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Public Briefing / mei 2014

Bijlage Gegevensverwerking. Artikel 1 - Definities

(Door)ontwikkeling van de applicatie en functionaliteiten

Van perceptie naar werkelijkheid

onderzoek en privacy WAT ZEGT DE WET

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Verwerkersovereenkomst

Algemene Voorwaarden Connected Information Systems B.V.

Bewerkersovereenkomst. Hosting

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens 2015

Licentieovereenkomst Habilis Media BV, KvK nummer , versie

Nederland ICT Voorwaarden. Voor de digitale economie

Essentiële voorwaarden voor een veilig gebruik van cloud diensten Checklist

Security, Legal and Compliance

ALGEMENE INKOOPVOORWAARDEN VOOR IT DIENSTEN

In deze Algemene Voorwaarden hebben de volgende begrippen, zowel in enkelvoud als in meervoud, de volgende betekenis:

Addendum Dataverwerking

De bewerkersovereenkomst. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

BEWERKERSOVEREENKOMST

Juridisch risicomanagement in de Cloud

Ziggo Muziek. Aanvullende voorwaarden

Algemene Voorwaarden Pien Support B.V.

/// Gebruiksvoorwaarden en -bepalingen Vlaamse Hydrografische Atlas - Waterlopen, 1 mei 2016

Bewerkersovereenkomst ARVODI-2014

/// Gebruiksvoorwaarden en -bepalingen Referentielijst Begunstigde Vlaams voorkooprecht, 21/01/2019

Bewerkersovereenkomst Wet bescherming persoonsgegevens

Post doctorale Specialisatiecursus Privacy en Persoonsgegevens

1.2 Afwijkingen van deze Algemene Voorwaarden zijn slechts rechtsgeldig indien deze schriftelijk zijn overeengekomen.

Verwerkersovereenkomst

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Onverminderd het in de Algemene Inkoopvoorwaarden Vakcentrale CNV bepaalde, gelden voor de inkoop van ICT(diensten) de volgende bepalingen:

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

ALGEMENE VOORWAARDEN CONSUMENTEN GET1,2 NEDERLAND B.V. Deze algemene voorwaarden zijn op 4 november 2014 gedeponeerd bij de Kamer van Koophandel.

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

Verwerkersovereenkomst Chuck s Webdesign

ALGEMENE VOORWAARDEN BRANDAMBASSADORS

Deze algemene voorwaarden zijn op 6 december 2012 gedeponeerd bij de Kamer van Koophandel te Groningen onder dossiernummer

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

ICT-contracten en algemene voorwaarden

BEWERKERSOVEREENKOMST

ALGEMENE HOSTING- EN DOMEIN-VOORWAARDEN

HARTELIJK WELKOM! Faillissement en de cloud; de continuiteit in gevaar? Mr. Th. P. ten Brink. 13 juni 2013

Productvoorwaarden Hosting Diensten - Superscherp Ontwerp

/// Gebruiksvoorwaarden en -bepalingen Adpf - Administratieve percelen fiscaal, toestand 01/01/ correctie

Algemene Voorwaarden Jortt BV

/// Gebruiksvoorwaarden en -bepalingen Digitaal Hoogtemodel Vlaanderen II, DTM, raster, 5m, testdata

Meldplicht Datalekken CBP RICHTSNOEREN

Aanvullende voorwaarden bij interactieve ontwerpen

Algemene Voorwaarden Curriculum Vitae Zeker BV

CONCEPT UITSLUITEND VOOR DISCUSSIEDOELEINDEN SERVICEOVEREENKOMST

Softcrow Trusted Electronic Services B.V. Privacy Verklaring. Pagina 1 van 9

Aanvullende algemene voorwaarden uitgeverij Boekwriter4all Lutten.

Transcriptie:

Juridische valkuilen bij cloud computing

De drie belangrijkste juridische risico s bij cloud computing Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een service delivery framework : een nieuwe manier om technologie zoals software en platformen aan te bieden aan gebruikers. Deze manier van dienstverlening heeft belangrijke voordelen, zoals flexibiliteit, bereikbaarheid en kostenefficiëntie. Maar er zijn ook belangrijke juridische aandachtspunten. Drie daarvan zijn: (a) privacy en beveiliging, (b) continuïteit van dienstverlening en (c) het mogelijke faillissement van de cloudprovider. (a) Privacy-aspecten en beveiliging De Wet bescherming persoonsgegevens (Wbp) is van toepassing op de verwerking van persoonsgegevens in de cloud. Dit betekent dat de afnemer en de cloudprovider aan alle verplichtingen op grond van de Wbp moeten voldoen. De afnemer is de verantwoordelijke in de zin van de wet; de cloudprovider is meestal de bewerker. Zij moeten een bewerkerovereenkomst sluiten(in het cloudcontract of apart)die is toegesneden op de concrete omstandigheden. Bij cloud computing moet in ieder geval rekening worden gehouden met (i) het risico van (onvoldoende) beveiliging van persoonsgegevens; (ii) grip op de plaats van verwerking van gegevens; en (iii) het risico van datalekken. Beveiliging De in artikel 13 Wbp genoemde passende maatregelen voor beveiliging zijn nader ingevuld in het rapport CBP Beveiliging van persoonsgegevens. Er moet rekening worden gehouden met het risico, de stand van de techniek en de kosten van tenuitvoerlegging. Concreet moet de cloudprovider een risicoanalyse uitvoeren en een risicoklasse toekennen aan de verwerking. Daarbij is onder meer van belang of de gegevens op servers bij derden zijn opgeslagen, en hoe groot het risico is van datalekken (op alle locaties waar de gegevens zich bevinden).

Grip In veel gevallen weet de afnemer niet waar de data worden opgeslagen, zeker wanneer er wordt gewerkt met subbewerkers (hosting) in verschillende landen. In termen van de Wbp is hier sprake van een doorgifte van persoonsgegevens die moet voldoen aan de vereisten van de Wbp: doorgifte mag alleen plaatsvinden naar landen met een passend beschermingsniveau. De afnemer is verantwoordelijk voor de naleving van deze regels. Hoe kan de afnemer ervoor zorgen dat de cloudprovider zich houdt aan deze regels? Optie 1: De diensten beperken tot een EER cloud, waarbij de gegevens niet buiten de Europese Economische Ruimte worden gebracht. In dat geval heeft de afnemer niet met de problematiek van doorgifte te maken. Wel zijn mogelijk de verplichtingen op grond van de Amerikaanse Patriot Act van toepassing. Optie 2: Bij een global cloud zijn er de volgende mogelijkheden: a. doorgifte met toestemming van gebruikers De toestemming moet specifiek voor de doorgifte worden gegeven. Dit maakt toestemming in het algemeen geen werkbare of praktische optie; b. een cloudprovider met een safe harbor status in de VS Dit werkt enkel voor de doorgifte naar de cloudprovider in de VS; de verdere doorgifte naar subbewerkers blijft een probleem; c. het toepassen van modelcontracten. De vergunningplicht is hiervoor afgeschaft, maar het nadeel is dat een web van contracten vereist is bij subbewerkers (zelfs met nieuwe EC modelclausules voor datatransfer die tot op zekere hoogte ruimte laten voor doorgifte aan een subbewerker); d. Binding Corporate Rules voor bewerkers Deze maken doorgifte tussen bewerkers wereldwijd mogelijk. Er is echter nog geen model beschikbaar, en voor zover bekend heeft het CBP nog geen set goedgekeurd. Wel zijn er aanvragen bij het CBP in behandeling. Datalekken In de bewerkerovereenkomst moet ook iets worden geregeld voor datalekken. De vraag is niet of, maar wanneer je te maken krijgt met een datalek. Hoewel de wettelijke verplichtingen op dit moment alleen gelden voor aanbieders van openbare telecomnetwerken en/of- diensten, is een algemene meldplicht voor datalekken in aantocht. De verplichtingen die hieruit voortvloeien rusten op de verantwoordelijke, maar die zal hiervoor afhankelijk zijn van de cloudprovider. (b) Continuïteit van dienstverlening De continuïteit van clouddiensten kan worden beschermd met contractuele waarborgen. Hierbij kan worden gedacht aan de traditionele middelen zoals we die kennen uit de gemiddelde Service Level Agreement: service levels met daaraan verbonden boetes of service credits bij het niet halen ervan. De cloudprovider zal de service levels moeten meten en hierover periodiek moeten rapporteren. Ook kunnen belangrijke verplichtingen als resultaatsverplichting worden opgenomen. Bij dergelijke verplichtingen is het gemakkelijker aan te tonen dat de cloudprovider daaraan niet heeft voldaan (en dus de overeengekomen sancties in werking treden). Dit levert een prikkel op voor de cloudprovider. Ten slotte is belangrijk om de opschortingsrechten van de cloudprovider te beperken of uit te sluiten. Een regeling voor het betwisten van facturen kan bijvoorbeeld voorkomen dat de cloudprovider haar dienstverlening kan opschorten als de afnemer een factuur niet betaalt. Helaas zal een afnemer van clouddiensten in de praktijk echter vaak weinig ruimte hebben om over de voorwaarden te onderhandelen. Disaster recovery procedure Wanneer ondanks bovenstaande maatregelen toch een storing optreedt, is het belangrijk om een disaster recovery procedure beschikbaar te hebben. Hierin dienen onder meer preventieve maatregelen (periodieke controle van het systeem, het periodiek maken van backups en het gereed hebben van een standby systeem) en herstellende maatregelen (het inschakelen van de backup / standby en het herstel van het hooofdsysteem) voor de cloudprovider te zijn vastgelegd, met daarbij specifieke (herstel)termijnen en eventuele sancties.

Exit regeling Ten slotte is het verstandig om bij aanvang van de dienstverlening een exitregeling overeen te komen. Hierin moet ten minste de verplichting worden opgenomen voor de cloudprovider om gedurende een bepaalde periode mee te werken aan een overdracht van de dienstverlening naar een opvolgende leverancier of terug naar de afnemer, tegen vooraf overeengekomen vergoedingen. In dit plan moet in ieder geval ook de overgang van de data worden meegenomen, en in welk format dit zal gebeuren. (c) De gevolgen van een faillissement van de cloudprovider Bij een faillissement van de cloudprovider zal een curator worden benoemd. De curator heeft als voornaamste doel de activa van de provider te gelde te maken om zo een zo hoog mogelijke opbrengst voor de schuldeisers te realiseren. Uitgangspunt is in geval van faillissement dat wederkerige overeenkomsten in stand blijven. In principe zou de gebruiker van clouddiensten dus moeten blijven betalen en zou de cloudprovider toegang moeten blijven geven tot de data en het platform. In de rechtspraak is echter bepaald dat kort gezegd de curator de plicht heeft om te wanpresteren, wanneer dit tot een hogere opbrengst voor de gezamenlijke schuldeisers zal leiden. Voor een uitzondering hierop is alleen plaats in uitdrukkelijk in de wet geregelde gevallen. De softwarelicentie is niet in de wet gedefinieerd, maar laat zich in de meeste gevallen omschrijven als een wederkerige overeenkomst waarbij de houder van een intellectueel eigendomsrecht veelal tegen ontvangst van een vergoeding aan een derde toestemming geeft om de aan de houder van het intellectueel eigendomsrecht toekomende bevoegdheden te laten uitoefenen. De heersende leer lijkt te zijn dat de softwarelicentie niet meer is dan een contractueel recht met wederzijdse vorderingsrechten, waardoor het recht van wanprestatie van de curator ook geldt voor een licentieovereenkomst. Op grond hiervan kan de curator van de cloudprovider dus ook aan de licentienemer zijn recht op het gebruik van de software ontzeggen. Er zijn specifiek ten aanzien van de softwarelicentie verschillende mogelijkheden onderzocht en uitgewerkt, die geen van alle zaligmakend lijken te zijn. Voor een constructie die faillissementsproof is, is van belang dat niet

alleen een vorderingsrecht wordt gecreëerd ten aanzien van de licentiegever, maar dat de licentienemer een directe aanspraak krijgt op de aan de licentie onderworpen intellectuele eigendomsrechten, en daarmee een bijzondere uit de wet voortvloeiende positie inneemt. Om deze problematiek te omzeilen wordt vaak gekozen voor een escrowregeling. Hierbij wordt overeengekomen dat een gegevensdrager met daarop de broncode van de meest recente versie van de software wordt ondergebracht bij een derde. Als zich een trigger event voordoet (aanvraag faillissement, wanprestatie licentiegever) zal dit exemplaar worden overhandigd aan de afnemer, die vervolgens de software kan blijven gebruiken. Deze constructie heeft helaas maar beperkt nut aangezien het auteursrecht daarmee niet overgedragen is. De curator kan dit vervolgens waarschijnlijk alsnog verkopen zonder het gebruiksrecht van de gebruiker te respecteren. Een oplossing hiervoor kan zijn om niet alleen de broncode voorwaardelijk over te dragen, maar ook een deel van het auteursrecht op de software ter zake van het specifieke gebruik door de afnemer, inclusief de gerechtigdheid tot onderhoud met behulp van de broncode. Daarmee zou de escrow vermoedelijk ook tegenover derden-verkrijgers werken. Een andere optie is de licentieovereenkomst aan te merken als een recht van vruchtgebruik. Een vruchtgebruik geeft de vruchtgebruiker het recht op (i) het gebruik van het met vruchtgebruik belaste goed en (ii) het genot van de vruchten ervan. De rechten die in een licentieovereenkomst staan, kunnen ook als vruchtgebruik worden vormgegeven. Het grote voordeel van het recht van vruchtgebruik is dat het een beperkt recht is, dat rechtstreeks werkt ten aanzien van het goed waarop het vruchtgebruik ziet. Het is dus meer dan alleen een vorderingsrecht tegenover de contractspartij. Helaas zitten er ook enkele haken en ogen aan, waarbij met name vervelend is dat de overdraagbaarheid niet kan worden uitgesloten en de duur van het vruchtgebruik gekoppeld is aan het leven van de vruchtgebruiker, met een maximum van 30 jaar wanneer dit een rechtspersoon is. Bottom line Duidelijk is dat op het gebied van privacy en beveiliging van data, continuïteit en het mogelijke faillissement van de cloudprovider nog de nodige risico s en onduidelijkheden bestaan. Potentiële afnemers van clouddiensten doen er daarom goed aan om aan de hand van deze aandachtspunten te beoordelen of en zo ja welke specifieke diensten en data zij in de cloud willen onderbrengen. Door hier eerst goed over na te denken, kunnen valkuilen worden omzeild. Hester de Vries hester.de.vries@kvdl.nl Maurits Bos maurits.bos@kvdl.nl Otto Sleeking otto.sleeking@kvdl.nl Kennedy Van der Laan Haarlemmerweg 333 1051 LH Amsterdam Postbus 58188 1040 HD Amsterdam t. +31 (0)20 5506 666 www.kennedyvanderlaan.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback