Cloud & Recht

Report
Cloud Computing & Recht
Mr. Peter van Schelven
ZVIO – Vlissingen
22 januari 2015
Algemene knelpunten Cloud Computing
-
Geen eenduidig begrippenkader + taalvervuiling (outsourcing, ASP, SaaS, PaaS, IaaS,
hosting etc.).
Voorbeeld van juridische relevantie: overheidsaanbesteding
-
Contractueel regelen?
- risicoverdeling Cloud provider/Cloud customer
- inhoud van de cloud-dienst + migratie naar de cloud (2 separate trajecten of
integreren?)
-
Cloud Computing in diverse jurisdicties:
- grote verschillen tussen landen, zelfs in Europa
- gebrek aan feitelijke en juridische transparantie
-
ENISA heeft onderzocht: SME hecht zeer grote waarde aan juridische waarborgen (privacy
en liability)
2
Begrippen
Plaatsbepaling op basis van inventarisatie van feitelijke kenmerken van Cloud
Computing:
-
on demand service model voor ICT-voorzieningen
-
brede toegang tot het netwerk + measured services (SLA)
-
architectuur is schaalbaar en flexibel; groei/krimp organisaties + benodigde
applicaties
-
gedistribueerde infrastructuur
-
direct beschikbare voorzieningen; laatste softwareversie
-
(veelal) shared resources
-
onafhankelijkheid van eigen hardware en software
-
veelal: pay-as you-go afrekensysteem (vast bedrag pp of p/mnd of soms per
jaar)
3
Besparen op ICT-kosten gebruiker?
1.
Geen/minder aanschaf softwarelicenties; geen zware software investeringen
2.
Korte termijn contracten
3.
Minder inzet van eigen ICT-personeel (beheerders)
4.
Consolidatie van verschillende applicaties tegen fractie van kosten interne ICT
5.
Minder hardware (servers) + minder energie/cooling-kosten
6.
Gemakkelijker integreren van systemen vanwege open systemen; besparing op
integratiekosten
7.
Makkelijker/sneller aanschafbeslissing o.g.v. goedkope trials => minder
transactiekosten
Waarom migreren naar Cloud Computing?
1.
Flexibele opslag van data (groei van data ca 50% p/jr)
2.
Lagere kostprijs van software (abonnement vs eenmalige licentiekosten)
3.
Lagere TCO (technisch beheer, applicatie aanpassingen, reserveonderdelen)
4.
Korte + snelle implementatie
5.
Solide infrastructuur
6.
Dagelijks beheer verdwijnt; minder ICT-kennis in eigen huis nodig
7.
Actuele versies (updates)
8.
Schaalbaarheid
9.
Hoge mate van beveiliging + hoge mate van beschikbaarheid
Saas-, PaaS- en IaaS-contracten
1.
Software as a Service: beschikbaarheid van de functionaliteit van eindapplicaties
(administratie, email, HRM etc.)
- technisch beheer: Cloud Provider
- functioneel beheer: Cloud Provider en (soms ook) klant
2.
Platform as a Service: + aanbieden van additionele diensten boven op de SaaSlaag, zoals toegangs- en identiteitenbeheer, security as a service,
portaalfunctionaliteiten en integratiefaciliteiten.
3. Infrastructure as a Service: eigen complete infrastructuur in de Cloud (dedicated,
private platformen)
Soms grote afhankelijkheden bij Cloud
Voor de Cloud dienstverlener:
1.
Afhankelijk van release- en supportbeleid van de ISV (functionele/technische
afhankelijkheid van software-toeleveranciers)
2.
Afhankelijk van functioneren telecommunicatie (internet)
Voor de opdrachtgever van Cloud:
1.
Risico van blokkade/ontzegging van toegang tot eigen data
2.
Opschorting service
3.
Niet-beschikbaarheid van software, data (specifieke cloude-escrow en cloud
continuiteitscontracten)
Contractuele issues
1.
2.
3.
4.
5.
6.
7.
Voorwerp van de overeenkomst
- SaaS, ASP, PaaS- en IaaS: precieze scope?
- welke diensten? Implementatie? De-migratie? Wijzigingen van diensten?
- archiefdiensten
Veel standaardcontracten: take it or leave it
Veel contracten op een “as is” basis
Samenhangende contracten
- migratie (door derden?)
- softwareontwikkeling; webdesign; hosting
- SLA voor beschikbaarheidsgaranties
Ketenproblematiek
- Inschakeling sub-providers => waar zijn mijn data?
Internationale problematiek van ‘global providers’
Elektronisch contracteren
Wat is een Cloud contract juridisch nou precies?

Overeenkomst van opdracht (diensten)?

Overeenkomst van huur?

Licentieovereenkomst?

Gemengd contract?
Bijzondere aandachtsgebieden Cloud-contract
1.
Regel de ongestoorde beschikbaarheid/toegang tot de data
2.
Cloud Secure overeenkomst (zie bijv. www.softcrow.com)
3.
Samenhang aansprakelijkheid en business-model
4.
Regel de bewerkersovereenkomst (privacy-recht)
5.
(Komende) wettelijke notificatieplichten bij inbreuken beveiliging
Van wie zijn de data (1)?
1.
Eigendom van data: bestaat dat wel?
2.
Teruggaveplicht bij einde contract?
- expliciet overeenkomen
- zorgplicht artikel 7:401 BW
- kosten + vorm + formaat van teruggaveplicht
3.
Download-recht
4.
Backup-regeling
5.
Wat wordt terug gegeven aan klant?
- data en datamodel?
- IE op databestand + geconverteerde bestand
- Bestandsformaat
6.
Teruggaveplicht en softwareontwikkeling?
- relateren opzegtermijn Cloud contract aan softwareontwikkeling
Van wie zijn de data (2)?
-
Welke data: verrijkte data of kale data?
-
Op eerste verzoek (toegang tot data) of alleen bij einde contract?
-
Hoe lang bewaart de Cloud provider de data?
-
Teruggave of vernietiging van data?
-
Termijn van teruggave of vernietiging?
-
“Change of control” bij Cloud Provider als grond tot teruggave?
-
Faillissement Cloud Provider als grond tot teruggave?
-
De voor het gebruik/lezen van de data benodigde software?
-
Klant kan ‘garantie’’ vragen dat juiste en volledige teruggave /vernietiging is
gedaan
-
Auditrecht ?
-
Retentierecht op data ?
Administratie – en bewaarplicht klant van Cloud
Provider

Art. 2:10 lid 1 BW, civielrechtelijke administratieplicht:
bestuur moet ‘van de vermogenstoestand van de rechtspersoon en van alles
betreffende de werkzaamheden … op zodanige wijze een administratie voeren ..
dat te allen tijde de rechten en verplichtingen …kunnen worden gekend.”
Verplichting van bestuurder

Art 2:10 lid 3 BW: bewaarplicht 7 jaar:
“boeken, bescheiden en andere gegevensdragers ….dat te allen tijde de rechten
en verplichtingen …kunnen worden gekend.”
Opschorting van cloud-diensten?

Hoge Raad 20-03-1981 (inzake nutsvoorzieningen): Opschortingsrecht kan in
beginsel ook worden uitgeoefend bij faillissement van de afnemer met het doel een
schuld die vóór de faillietverklaring is ontstaan betaald te krijgen.

Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid
onaanvaardbaar zou zijn.

Verregaande afhankelijkheid bedrijfsvoering van klant een grond om niet op te
schorten
Faillissement klant van cloud provider

Art. 105 Faillissementswet: “De gefailleerde is verplicht … de curator alle
inlichtingen te verschaffen”

Uit inlichtingenplicht volgt de afgifteplicht administratie

Schending van administratie- en bewaarplicht: strafbaar (342-3 Wetboek van
Strafrecht)

Schending afgifteplicht: niet strafbaar
Rechtspraak
1.
Vzr Rechtbank A’dam 9-4-2009: Molhuysen qq/SaaSplaza (Olily-zaak)
- ICT op 1 lijn met nutsvoorziening? Rechtbank laat dit in het midden
- Doorleverplichting 10 dagen tegen zekerheid voor betaling vanaf datum
surseance.
2.
Vzr Rechtbank Rotterdam 26-6-2013 (Free Record Shop)
- Cloudovereenkomst was geëindigd, maar toch belangenafweging ten
gunste van curator
- Vendor lock in; geen alternatief voor curator
- Curator moet voldoende zekerheid stellen
3. Hof Den Bosch 26 maart 2013, (curator Retera qq/ Vict)
- Curator moet gewoon betalen voor de afname van Clouddienst tijdens
faillissement
Voorontwerp Wet versterking positie curator

Voorstel van 21-02-2014
Artikel 105b Faillissementswet:
“Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de
administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben,
stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip
van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.”
Aansprakelijkheid Cloud Computing
- Outsource responsibilities ≠ outsource accountabilities/liabilities
-
Aansprakelijkheden in het licht van andere ‘business-modellen’
- invloed op de aansprakelijkheidslimieten
-
Aansprakelijkheden Cloud provider op deelonderwerpen:
- aansprakelijkheid software/data van derden
- aansprakelijkheid voor koppeling websites van derden
- aansprakelijkheid m.b.t. de inhoud van dataverwerking
- aansprakelijkheid m.b.t. security incidents/data-breaches
- aansprakelijkheid m.b.t. availability van de dienstverlening
- aansprakelijkheid m.b.t. naleving privacywetgeving
- Aansprakelijkheid gebruiker voor onrechtmatige content
18
De beroepsaansprakelijkheidsverzekering voor Cloud
Providers
U bent softwareleverancier en wordt SaaS-provider?
-
Let op verzekerde hoedanigheid !
-
Dekking: beroepsfouten of wanprestatie?
-
Uitsluitingen: garantieproblematiek
-
Samenhang met SLA
-
Cybersecurity incidents
Dataverminking en zaaksbeschadiging
-
Dekkingsomvang AVB:
- zaakschade
- letselschade
- dood
-
Knelpunt in ICT: dataverminking? Is dat zaakschade?
Gerechtshof Den Haag 4 juni 1992 ja
-
Reactie deel van de verzekeringssector op dit arrest
=> dataverminking overhevelen naar BAV-dekking.
Want:
(i) zwaar, aan beroep verbonden risico (systeembeheer)
(ii) dataverminking impliceert soms tevens schending zorgplicht,
onderzoeksplicht, waarschuwingsplicht.
Beschikbaarheidsgarantie Cloud dienst (I)
Doelstelling
beschikbaarheidsgarantie
- resultaat of inspanning?
wat zijn de gevolgen van de garantie?
Definitie
beschikbaarheid
- systeemgrenzen en systeemcomponenten
- tijdseenheid (7x24 uur per maand, kwartaal etc)
- partiële beschikbaarheid
Uitvallen
van de ASP/SaaS-dienst
- gedeeltelijke niet-beschikbaarheid
- uitval van alle of van essentiele functies
- voorzienbaar onderhoud
- uitvallen van datanetwerkfaciliteiten van derden
Beschikbaarheidsgarantie Cloud dienst (II)
Het
meten van daadwerkelijke beschikbaarheid
- hoe en door wie?
- relevantie voor bewijslast?
Rapportageverplichtingen?
Boekenclausule:
Sancties

bewijsovereenkomst
op het niet halen van beschikbaarheidslevel?
Geen specifieke sancties?
-
Malus (prijssanctie); sole remedy clause?
-
Boete
-
Wanprestatie (ontbinding, opzegging?)
Bewerkersovereenkomst volgens Wet
Bescherming Persoonsgegevens
-
Cloud Provider en klanten moeten schriftelijke bewerkersovereenkomst sluiten
-
bewerker heeft eigen beveiligingsplicht; bewerker moet de beveiligingsplicht van de
klant nakomen
-
Klant heeft zorgplicht t.a.v. de beveiliging door bewerker  Security as a Service
-
toezichtplicht verantwoordelijke => relevant in de fase voor totstandkoming
contract en bij uitvoering. Toezicht: permanent, periodiek of steekproefsgewijs?
-
verwerking persoonsgegevens alleen in opdracht van verantwoordelijke
Informatiebeveiliging: de CIA-triade

Confidentiality => exclusiviteit van informatie: alleen geautoriseerde
personen hebben toegang en de informatie kan niet uitlekken.

Integrity => actuele, correcte en volledige informatie, al dan niet op basis van
een geautoriseerd proces of geautoriseerde personen

Availability => kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en
robuustheid, veelal conform service levels (vgl. business continuity
management)
Wettelijke en contractuele
notificatieverplichtingen
-
Wettelijke meldplichten bij inbreuken op informatiebeveiliging
-
Nieuwe ontwikkelingen
-
Wanneer notificeren?
-
Aan wie notificeren?
-
Gevolgen voor de informatieplichten van de Cloud Provider in het cloud-contract
Auditregeling (1)
-
Wie mag audit doen: klant zelf of externe, onafhankelijke auditor?
-
Periodiciteit: jaarlijks of op elk willekeurig moment?
-
Audit op welke systemen van provider?
-
Audit t.a.v. naleving wet, contract, beveiliging en juistheid facturen?
-
Termijn van aankondiging van audit?
-
Mate van medewerkingsverplichting cloud-provider?
-
Heeft auditor een kopieerrecht?
-
Krijgt cloud-provider een kopie van het (concept-) audit rapport?
-
Besluitvorming n.a.v. audit rapprt?
-
Auditing op subcontractor (sub cloud provider)?
-
Kosten audit?
-
Gevolgen van audit als deze ‘verkeerd uitpakt’: wanprestatie Cloud Provider
of ruimte voor contra-audit?
Auditregeling (2)
-
Verhouding auditrecht tot Verklaring SAS-70 en opvolger ISAE 3402 van de eigen
auditor bewerker (ICT-dienstverlener).
-
Third Party Assurance rapportage over kernvraag: is de serviceorganisatie ‘in
control’?
-
Relevant ivm SOx-wetgeving (US beursgenoteerde ondernemingen). Verplicht voor
banken, pensioenfondsen e.d. door Autoriteit Financiële Markten.
-
Twee type verklaringen:

-
type I verklaring = het bestaan en de opzet van de beheersmaatregelen worden in de
verklaring beschreven + auditor geeft oordeel of deze voldoende zijn om de vastgestelde
beheersdoelstellingen te realiseren.
-
type II verklaring = type I + een oordeel of de interne controle maatregelen in
praktijk effectief hebben gewerkt gedurende een bepaalde periode.
Contractuele aandachtsgebieden: varia
1.
Wijziging van de dienst
2.
Wijziging van de voorwaarden
3.
Testen software en ingebruikname
4.
Looptijd
5.
Gebruik van de dienst louter voor eigen organisatie; reseller- en
timesharingverbod
6.
Account; verlopen account
7.
Afgifte data aan derden; geheimhouding
8.
Heeft service provider zelf toegang tot de data
9.
Technische bescherming van het systeem
10. Intellectuele eigendom

similar documents