Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;



Vergelijkbare documenten
Gegevensbescherming & IT

Privacy Compliance in een Cloud Omgeving

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Cloud Computing. Bijzondere inkoopvoorwaarden. Hoogheemraadschap van Delfland

Security, Legal and Compliance

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

PRIVACY EN CLOUD. Knelpunten:

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

Mogen advocaten hun data in de Cloud bewaren?

Template voor bewerkersovereenkomst

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Juridische valkuilen bij cloud computing

A. Stichting Aeres Groep, hierbij vertegenwoordigd door <<naam>>, te noemen: Opdrachtgever,

De bewerkersovereenkomst. Dat is wijsheid FACTSHEET: INTELLECTUEEL EIGENDOM & IT

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

Juridische uitdagingen van CC

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

BeCloud. Belgacom. Cloud. Services.

Hoe veilig is de cloud?

BeCloud. Belgacom. Cloud. Services.

hoogwaardige IaaS Cloudoplossingen

Kijken, kiezen, maar wat te kopen?

(Door)ontwikkeling van de applicatie en functionaliteiten

PRIVACY WET (WBP) EN DE CLOUD. Juridische aspecten van de cloud. Auteur: Wiebe Zijlstra (16 January 2015)

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

DATAPRIVACY. Wet- en regelgeving, Cloud, beveiligingpersoonsgegevens. Whitepaper ````

Continuïteit in de cloud

Factsheet CLOUD DESIGN Managed Services

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

Uw IT, onze business

Private Cloud : Intelligent Hosting. [Kies de datum]

BEWERKERSOVEREENKOMST

ImtechCloud, het platform voor een Hybride cloud

Hoe bewaart u uw klantendata op een veilige manier? Maak kennis met de veilige dataopslag in de Cloud van Azure Stack

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

White Paper - Quality as a Service & Waarom de Cloud? CeneSam, Februari 2014

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

To cloud or not to cloud

Cloud computing: het juridisch kader

Fors besparen op uw hostingkosten

Factsheet CLOUD MIGRATIE Managed Services

IAM en Cloud Computing

IaaS als basis voor maatwerkoplossingen

Cloud Computing: Met HPC in de wolken Ron Trompert

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl

Data en Applicatie Migratie naar de Cloud

VOOR EN NADELEN VAN DE CLOUD

Cloud Computing. Definitie. Cloud Computing

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Partnering Trust in online services AVG. Vertrouwen in de keten

PRIVACY REGLEMENT

Verwerkersovereenkomst Oefenen.nl Bijlage 3 bij de Licentieovereenkomst

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Cloud Computing. Broodje IT: Cloud Computing. Agenda:

Cloud computing Helena Verhagen & Gert-Jan Kroese

onderzoek en privacy WAT ZEGT DE WET

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Meerdere clouds samensmeden tot één grote, hybride omgeving

BEWERKERSOVEREENKOMST

ICT-uitbestedingsdiensten en Software as a Service:

hierna gezamenlijk te noemen: "Partijen" en afzonderlijk te noemen: "Partij";

Factsheet CLOUD CONSULTANCY Managed Services

PRIVACY STATEMENT LISTR December 2014

Wat is de cloud? Cloud computing Cloud

PRIVACY SIDN fonds. Menno Weij. 3 februari 2016

PRIVATE, PUBLIC OF HYBRID CLOUD: VIND NU DE OPLOSSING DIE BIJ U PAST Versie: Aantal pagina s: 10

Factsheet Bewerkersovereenkomst

Algemene Voorwaarden Jortt BV

Whitepaper Succesvol migreren naar de cloud

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Cloud Computing. Bart van Dijk

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Implementatiemodellen online werken

Privacy reglement Geluk in werken

1.2 Afwijkingen van deze Algemene Voorwaarden zijn slechts rechtsgeldig indien deze schriftelijk zijn overeengekomen.

Visie op co-sourcing

1 Voor het optimaliseren van uw websitebezoek Op onze website hebben wij voor een aantal functionaliteiten uw persoonsgegevens nodig:

Samenwerkingsverbanden en de AVG


en alle aan haar gelieerde entiteiten, waaronder maar niet uitsluitend ESJ Accounting &

Presentatie Digitaal Zakendoen en EID Overview Privacyrecht André Kamps & Jan-Willem Oordt De IT-Jurist bv 16 juni 2016

Privacyverklaring Contactgegevens verwerkingsverantwoordelijke Verkrijgen van persoonsgegevens Persoonsgegevens Doeleinden

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Artikel 1: Definities. Bewerkersovereenkomst VO-digitaal N.V. Overwegen het volgende: Komen het volgende overeen: Partijen:

Bewerkersovereenkomst ARVODI-2014 Contractnummer: [ ].

Gebruikersovereenkomst

Wanneer wij van u als opdrachtgever een opdracht in ontvangst nemen, vragen wij voor de uitvoering van deze dienstverlening om persoonsgegevens.

Essentiële voorwaarden voor een veilig gebruik van Cloud diensten Checklist

Geheimhoudingsovereenkomst

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Persoonsgegevens Domi Lambregs verwerkt de volgende categorieën van persoonsgegevens:

Bewerkersovereenkomst Noordhoff Uitgevers Beroepsonderwijs

zorgeloos werken in de cloud

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Transcriptie:

Cloud Computing Cloud computing, waarschijnlijk bent u de term de afgelopen jaren veelvuldig tegengekomen. De voor- en nadelen van cloud computing worden met enige regelmaat in de juridische literatuur besproken. Zoals vaker het geval is bij nieuwe technologie slaat de balans vaak door naar een focus op de nadelen en het benadrukken van de risico s. Hoewel cloud computing zeker niet zonder risico s is, schijnt achter de wolken weldegelijk de zon. Jeroen Lub senior associate bij Norton Rose Fulbright Wat is cloud computing? Cloud computing is niet nieuw. Als u op enig moment Facebook, Hotmail, Google of het DigiD van de overheid heeft gebruikt, dan heeft u al gebruik gemaakt van cloud computing. Cloud computing is hardware, software of een combinatie van beide die wordt aangeboden als dienst. Cloud computing bestaat in een aantal smaken: Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden; Infrastructure as a Service (IaaS): hardware die via het internet ter beschikking wordt gesteld; en Platform as a Service (PaaS): een volledige ontwikkelomgeving (het platform) wordt aangeboden. Het onderscheid tussen cloud computing en de meer bekende, traditionele vormen van het aanbieden van IT diensten (outsourcing, ASP, etc.) berust op een aantal kenmerken: Meerdere gebruikers Een cloud computing systeem wordt voor meerdere gebruikers gelijktijdig ingezet. 1 De cloud computing aanbieder kan zijn infrastructuur optimaal benutten door de pieken in benodigde capaciteit van één afnemer af te zetten tegen de dalen van een andere afnemer. Door deze optimale benutting kan de aanbieder van cloud computing zijn dienst tegen een veel scherpere prijs leveren dan het geval waarin elke gebruiker afzonderlijk voor zijn piekcapaciteit hard- en/of software moet inkopen. Schaalbaarheid De aanbieder van een cloud computing dienst kan met de spreekwoordelijke druk op de knop de capaciteit die een gebruiker ter beschikking staat onmiddellijk verhogen of verlagen. Dit staat de gebruiker toe zijn IT infrastrcutuur gemakkelijk en vrijwel onmiddellijk aan te passen aan veranderende eisen. Betalen naar gebruik Aangezien een gebruiker op verzoek zijn benodigde capaciteit kan verhogen of verlagen en de cloud computing aanbieder vrijgekomen capaciteit gemakkelijk door kan verkopen, is het mogelijk een nieuw business model aan te bieden: pay per use. Voor de gebruiker zijn de voordelen evident, het wordt mogelijk precies de hoeveelheid IT in te kopen die nodig is en deze hoeveelheid naar gelang de noodzaak te verhogen of verlagen. Het onderhoud zit bij de prijs inbegrepen en wordt door de aanbieder verzorgd. Kapitaalintensieve investeringen en de daarbij behorende risico s, lange interne ontwikkeltrajecten en uitgebreide IT afdelingen die oplossingen implementeren en onderhouden, zijn bij het gebruik van cloud computing niet langer noodzakelijk. 1 Er kan ook sprake zijn van een zogenaamde private cloud. Hierin zet een bedrijf een separate cloud computing infrastructuur op die zij uitbaat aan haar eigen gebruikers, dit vertoont echter meer gelijkenissen met het traditionele outsourcing dan met cloud computing. 1

Hoge mate van abstractie Een ander kenmerk van cloud computing is de hoge mate van abstractie van het aangeboden product ten opzichte van de onderliggende technologie. Anders dan bij meer traditionele vormen van IT als dienstverlening, is de gebruikte technologie niet, of in veel mindere mate, voorwerp van de overeenkomst. Een gevolg van deze abstractie is dat de gebruiker een meer beperkte waarneming heeft van de achterliggende structuur. Data centers over de hele wereld, hoge snelheid internet verbindingen en organisaties van duizenden mensen die de technologie implementeren, programmeren en onderhouden verdwijnen allemaal in een black box. Voor de gebruiker zijn vooral de interface en de facturen inzichtelijk. Aan deze kenmerken kunnen we nog twee zaken toevoegen 2 : Uitgebreide IT infrastructuur met een sterke geografische spreiding In de regel is het zo dat cloud computing aanbieders een zeer uitgebreide IT infrastructuur hebben, veelal is deze sterk geografisch gespreid. Dit is noodzakelijk om de capaciteit te kunnen bieden voor voldoende gebruikers om zodoende van schaalvoordelen gebruik te kunnen maken en de schaalbaarheid van de oplossing te waarborgen. Weinig ruimte voor maatwerk Bij cloud computing is er vaak weinig ruimte voor maatwerk, dit geldt zowel voor de contracten als voor de daadwerkelijke diensten. Het is tot op zekere hoogte inherent aan het businessmodel dat de geboden diensten in hoofdlijnen gelijkvormig zijn. De mogelijkheid flexibel op en neer te schakelen in capaciteit of de capaciteit verder te verkopen bij onderbezetting, kan anders aangetast worden. Ook op contractueel gebied speelt deze overweging sterk mee. Uiteenlopende afspraken per gebruiker zal het businessmodel bemoeilijken. Risico s Het gebruik van cloud computing brengt een aantal risico s met zich mee. De voornaamste risico s zijn: Veiligheid van gegevens Met betrekking tot de veiligheid van gegevens biedt cloud computing zowel voor- als nadelen. Door de integratie van data van meerdere gebruikers ontstaat het risico van oneigenlijke toegang tot deze data. Ook heeft de gebruiker geen, of aanzienlijk moeizamer, fysieke toegang tot zijn gegevens. Dit maakt het lastiger de gegevens veilig te stellen in geval van calamiteiten of terug te halen in geval van onenigheid met de aanbieder. Anderzijds is het zo dat voor een cloud computing aanbieder de veiligheid van de gegevens tot zijn core business behoort. Zijn kennis en focus stellen hem in staat een veiligheidsniveau te waarborgen dat superieur is aan hetgeen de gemiddelde gebruiker kan garanderen. Als de IT infrastructuur van de aanbieder sterk geografisch gespreid is, is het eveneens eenvoudig een kopie van de gegevens op veilige afstand van elkaar te bewaren. Toepasselijk recht De geografische spreiding van cloud computing diensten in infrastructuur kan vragen opwerpen met betrekking tot het toepasselijke recht. In het bijzonder met betrekking tot persoonsgegevens kan dit een lastig probleem zijn. Een opinie van de Artikel 29 Werkgroep biedt hier wel enige houvast. 3 Het toepasselijke recht voor toepassing van Richtlijn 95/46/EG inzake het verwerken van persoonsgegevens, is het recht van de zetel van degene die verantwoordelijk is voor de verwerking van de persoonsgegevens. Het gaat dan om die zetel in de context waarvan de persoonsgegevens 2 Deze kenmerken zijn wat ons betreft niet constitutief voor cloud computing, maar eerder gevolgen van de infrastructuur en het businessmodel. 3 Article 29 Working Party Opinion 8/2010 2

verwerkt worden. Een voorbeeld ter verduidelijking: waar een verantwoordelijke in Nederland een zetel heeft en er in de context van de activiteiten van die Nederlandse zetel persoonsgegevens worden verwerkt, is de Nederlandse wet voor de bescherming van persoonsgegevens van toepassing, ook als deze gegevens daadwerkelijk elders in Europa verwerkt worden. Op een bewerker van persoonsgegevens die in opdracht van de verantwoordelijke handelt, is ook het recht van de lidstaat waar deze bewerker gevestigd is van toepassing. In geval van conflict gaat dit laatste recht voor. Als de verantwoordelijke zijn zetel buiten de Europese Economische Ruimte (EER) heeft, maar de middelen (apparatuur) voor de verwerking bevinden zich binnen de EER, dan is het recht van de lidstaat waar deze middelen zich bevinden van toepassing. Dit geldt niet voor apparatuur die slechts een doorgifte bewerkstelligt ( mere transit ). Verantwoordelijkheid De verdeling van verantwoordelijkheden tussen partijen kan problematisch zijn bij cloud computing. In de regel is het zo dat cloud computing aanbieders zo veel mogelijk verantwoordelijkheid bij de gebruiker proberen te leggen. Door de beperkte controle die de gebruiker heeft ten aanzien van de cloud computing dienst kan zo n verdeling risicovol en nadelig zijn voor de gebruiker. De verdeling van verantwoordelijkheden kan ook problematisch zijn in het licht van de Wet bescherming Persoonsgegevens (WBP). De scheiding tussen bewerker en verantwoordelijke die in de WBP gemaakt wordt, is bij cloud computing niet altijd even scherp te stellen. Deze scheiding is echter wel van belang voor de verdeling van de wettelijke verantwoordelijkheden tussen partijen. Het vaststellen wie waarvoor verantwoordelijk is, is lastig door de soms verregaande bevoegdheden die de cloud computing aanbieder zich kan aanmeten ten aanzien van de verwerking van persoonsgegevens. Hoewel een cloud computing aanbieder doorgaans bewerker zal zijn in de zin van de WBP, kan deze ook verantwoordelijke voor de verwerking van persoonsgegevens zijn. Als de cloud computing aanbieder zelf de doeleinden van de verwerking van persoonsgegevens bepaalt, zal dit het geval zijn (hij verwerkt bijvoorbeeld zonder specifieke opdracht van de gebruiker de persoonsgegevens voor marketingdoeleinden). Lastiger te duiden, maar zeker zo belangrijk, is dat wanneer de cloud computing aanbieder zich verregaand bemoeit met de middelen van de verwerking van persoonsgegevens, hij ook aangemerkt kan worden als verantwoordelijke voor de verwerking. Het bepalen van bewaartermijnen of wijze van beveiliging kunnen bijvoorbeeld van dusdanige invloed zijn dat de cloud computing aanbieder als medeverantwoordelijke aangewezen wordt. 4 Voor de gebruiker van cloud computing is deze verdeling van verantwoordelijkheden van belang omdat deze de aansprakelijkheid van de partijen deels bepaalt. Een bijkomend punt is dat het verplicht kan zijn om een bewerkersovereenkomst te sluiten met een cloud computing aanbieder die voor hem als bewerker handelt. Grensoverschrijdend gegevensverkeer Van grensoverschrijdend gegevensverkeer is vaak sprake bij cloud computing. Naar Richtlijn 95/46/EG is grensoverschrijdend gegevensverkeer buiten de EER slechts toegestaan wanneer de verantwoordelijke een adequaat beschermingsniveau kan garanderen. Bij cloud computing kan een gebruiker vaak niet met zekerheid bepalen waar zijn data zich op enig moment bevindt. Cloud computing aanbieders zijn regionale diensten aan het uitrollen om dit probleem op te lossen. Ook kunnen aanbieders uit de VS die een adequaat beschermingsniveau bieden onder de Safe Harbor Principles vallen. Gereguleerde gegevens Het gebruik van cloud computing kan ook het nakomen van bepaalde verplichtingen met betrekking tot gereguleerde gegevens bemoeilijken. Denk hierbij aan eisen uit de Wet op het Financieel Toezicht (bijvoorbeeld de mogelijkheid een zorgvuldigheidsonderzoek uit te voeren, de bewaarplicht voor 4 Article 29 Working Party Opinion 1/2010. 3

gegevens, toegang tot de gegevens en het terrein voor het uitvoeren van een audit). Zo heeft De Nederlandsche Bank (DNB) bijvoorbeeld overeenstemming met Microsoft bereikt over de levering van clouddiensten aan verzekeraars. Probleem daarbij was dat cloud computing aanbieders vaak beperkingen stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Ook heeft DNB aangegeven dat de wettelijke eisen geen belemmering meer hoeven te zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Uiteraard dienen deze financiële instellingen nog wel een goede risicoanalyse te maken wanneer ze activiteiten willen uitbesteden in de cloud. Hoe gaan we ermee om? De bovengenoemde risico s vereisen dat er enigszins voorzichtig met het gebruik van cloud computing systemen omgesprongen moet worden. Er zijn een aantal manier om de risico s zoveel mogelijk te beperken. Het grootste gedeelte van deze oplossingen ligt in de invloedssfeer van de gebruiker zelf. De contractuele oplossingen, die soms lastig uit te voeren zijn, vereisen vanzelfsprekend wel expliciet medewerking van de cloud computing aanbieder. Keuze gegevens Het gebruik van de cloud computing hoeft geen alles-of-niets besluit te zijn. Het is aan te raden een gedegen afweging te maken welke gegevens zonder al te veel risico s in een cloud computing systeem opgenomen kunnen worden en welke beter in eigen beheer kunnen blijven. Keuze aanbieder Het zorgvuldig kiezen van een aanbieder is ook van belang in het beheersen van de risico s van cloud computing. Het zorgvuldig doornemen van de voorwaarden en een beeld vormen van de techniek die de aanbieder gebruikt, kan een groot aantal risico s verminderen of wegnemen. Er zijn allerlei initiatieven vanuit de markt en de Europese Gemeenschap om te komen tot specifieke certificering, richtlijnen en standaarden voor cloud computing, maar op dit moment bestaat er nog geen algemeen geaccepteerde (uniforme) standaard. De meer algemene standaarden voor informatiebeveiliging (ISO27001) en controle mogelijkheden (SSAE16) bieden uiteraard ook enige houvast. Inrichting van de feitelijke situatie Op de inrichting van de feitelijke situatie heeft ook een gebruiker tot op zekere hoogte invloed. Belangrijke zaken zijn de mogelijkheid om gegevens versleuteld aan te bieden, zorgvuldig beheer van toegangscodes, regelmatig een eigen back-up van gegevens aanleggen, etc. Het uitvoeren van beveiligings audits kan ook nuttig zijn om de feitelijke situatie bij de cloud computing aanbieder te onderzoeken. Dit gaat echter minder sterk op voor aanbieders die hun infrastructuur en werknemers wereldwijd verspreid hebben. Contractueel Zoals eerder vermeld is het niet mogelijk om met alle cloud computing aanbieders contracten op maat te maken. Waar dit wel mogelijk is vallen de risico s in grote lijnen contractueel te ondervangen. Zo kunnen er contractueel afspraken gemaakt worden over aansprakelijkheid, verdeling van bevoegdheden onder de WBP, de bevoegdheden van toezichthouders, toegang tot de gegevens na beëindiging of in geval van calamiteiten, etc. De mogelijkheid tot maatwerk groeit wel mee met de toename van het aantal aanbieders. Ook maken meer gespecialiseerde aanbieders maatwerk minder noodzakelijk. Een aanbieder die elektronische dossier systemen voor advocatenkantoren aanbiedt, zal in de regel aan vergelijkbare eisen moeten voldoen ongeacht het kantoor waar hij mee te maken krijgt. 4

Conclusie Het gebruik van cloud computing heeft grote voordelen maar de technologie is niet zonder risico s. Deze risico s zijn echter goed beheersbaar, mits hier zorgvuldig mee wordt omgegaan. Zelfs als er weinig sprake is van maatwerk op contractueel gebied kan er veilig gebruik worden gemaakt van cloud computing door een verstandige gebruiker. Keuzes met betrekking tot de toepassing, aanbieder en eigen beveiligingsmaatregelen kunnen hierbij een rol spelen. Tevens lopen er diverse initiatieven die richtlijnen en standaarden voor cloud computing verwachten te ontwikkelen. Ook zal maatwerk waarschijnlijk meer gebruikelijk worden, terwijl de noodzaak voor maatwerk door de groei van meer gespecialiseerde aanbieders zal verminderen. Al met al ziet cloud computing een zonnige toekomst tegemoet. Over de auteur: Jeroen Lub, senior associate bij Norton Rose Fulbright adviseert over alle (internationale) aspecten van commerciele transacties die samenhangen met technologie, intellectueel eigendom, outsourcing, media en bescherming van persoonsgegevens. Jeroen heeft uitgebreide kennis en ervaring opgedaan binnen deze rechtsgebieden in zowel Londen als Amsterdam. Naast het begeleiden van transacties, adviseert hij cliënten ook over alle mogelijke commerciele contracten en staat hij cliënten bij tijdens de onderhandelingen (van RFP tot signing 5

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback