Juridische aspecten van de cloud

Cloud computing is een hype die in Nederland een stuk lastiger van de grond komt dan in de Engelstalige wereld. Niet alleen hebben Nederlanders een ingebouwde argwaan tegenover gehypte vernieuwingen, er zijn ook heel valide redenen om hier iets voorzichtiger te zijn met de cloud dan in, bijvoorbeeld, Amerika. Tijdens Computerworlds Cloud Event 2010 liet Forresters Onica King ons al fijntjes weten dat 90% van de cloud zich afspeelt in Amerikaanse datacentra, die onder Amerikaanse wet- en regelgeving vallen. Dat heeft voor ons hier in Europa consequenties die niet altijd even duidelijk zijn te overzien.

Tijdens hetzelfde Cloud Event gaf Theo Bosboom (Dirkzwager Advocaten & Notarissen) een presentatie waarin een aantal juridische aspecten van het gebruik van de cloud in Nederland werden uitgelicht. In dit artikel vatten we zijn betoog nog eens samen.

De cloud in juridische zin

Wat het verschijnsel cloud computing in juridische zin lastig maakt, is dat het geen vastomlijnd begrip is. Het kent allerlei verschillende verschijningsvormen die elk weer andere juridische consequenties hebben. Toch zijn er wel enkele kenmerken te noemen waar je bij cloud computing juridisch gezien vrijwel altijd mee te maken krijgt.

Typerend voor cloud computing (zolang het niet om een private cloud gaat) is bijvoorbeeld dat er sprake is van ‘resource pooling’: de cloud dankt zijn flexibiliteit aan virtualisatie, maar maakt zijn IT-capaciteit beschikbaar voor meerdere klanten tegelijk. Gegevensdragers kunnen dus ook data van meerdere klanten bevatten, en dat gebrek aan exclusiviteit heeft mogelijk consequenties die juridisch afgedicht moeten worden.

Een ander punt is dat er aan de cloud vaak een internationale component zit: in theorie kunnen data in de cloud zich in allerlei landen bevinden, en soms zelfs in meerdere landen tegelijk. Bovendien worden de gegevens onderweg vaak meerdere malen gekopieerd. Het is, met andere woorden, niet altijd even duidelijk waar alle versies van bepaalde data zich te allen tijde bevinden – en dat kan in sommige gevallen vervelende (juridische) consequenties hebben.

Alles bij elkaar genomen ontkom je als cloud-afnemer niet aan een grotere afhankelijkheid van je aanbieder. Er is dan ook alle reden om een overeenkomst met zo’n aanbieder zorgvuldig te laten bekijken door een juridisch specialist.

Aandachtspunten

De juridische aandachtspunten rond cloud computing hangen allemaal samen met de kenmerken van de cloud. De afhankelijkheid van de aanbieder betekent bijvoorbeeld dat er een continuïteitsrisico bestaat, deels fysiek (al zijn fysieke beveiliging en backups vaak beter geregeld dan in het eigen datacentrum), maar ook bedrijfstechnisch. Wat gebeurt er bijvoorbeeld bij een onverhoopt faillissement van de cloud-aanbieder? Er zijn licentie-issues (staan de leveranciers van de bedrijfssoftware wel toe dat hun producten via de cloud worden gebruikt?), maar ook privacy-problemen. Het karakter van de cloud verhoudt zich bijvoorbeeld niet altijd even goed met de Wet Bescherming Persoonsgegevens.

In het geval van de publieke cloud dreigt verlies van (juridische) grip op de bedrijfsgegevens, en dat kan nare wettelijke gevolgen hebben. Niet alleen voor de Nederlandse wet overigens – ook de Europese Unie (of beter: de Europese Economische Ruimte) stelt zijn beperkingen. Zo mogen persoonsgegevens de EER slechts verlaten als de landen waar de gegevens terechtkomen een ‘passend niveau van bescherming persoonsgegevens’ bieden. In het geval van de Verenigde Staten geldt dat bijvoorbeeld alleen als je met een ‘Safe Harbor’ partij in zee gaat. Ook moeten alle betrokkenen officieel hun ‘ondubbelzinnige toestemming’ hebben gegevens, moet er een modelcontract gesloten worden met de leverancier, en moet het ministerie van Justitie een vergunning afgeven.

Problemen en risico’s

Lastig in dit hele verhaal is dat zelfs de cloud-leverancier zelf soms niet in alle gevallen honderd procent zeker weet waar en in welke landen de data zich precies bevinden. Ook is het niet altijd doenlijk alle betrokkenen iedere keer om expliciete toestemming te gaan vragen, en ook een vergunning aanvragen voor alle mogelijke gevallen is geen sinecure. Bovendien zitten niet alle leveranciers op een modelcontract te wachten.

De andere kant is natuurlijk dat je niet het risico wilt lopen onbedoeld of ongemerkt de Wet Bescherming Persoonsgegevens te overtreden. Je kunt je verantwoordelijkheid niet zomaar afwentelen op de cloud-leverancier: het College Bescherming Persoonsgegevens zal de boete gewoon bij jou neerleggen, en ook de claims van de betrokkenen komen in elk geval in eerste instantie bij jouw bedrijf terecht. Los daarvan loop je het risico op reputatieschade die niet in geld is uit te drukken. Des te meer redenen dus om je juridisch zorgvuldig voor te bereiden.

Oplossingen en contracten

Alles begint daarbij met het wegnemen van onzekerheden. Uiteraard is het zaak zelf duidelijk voor ogen te hebben welke gegevens zich precies in de cloud gaan begeven. Dat lijkt vanzelfsprekend, maar vaak hebben organisaties zelf geen goed beeld van gevoelige gegevens, die soms op onverwachte plaatsen in de organisatie opduiken en zo ongemerkt via een route die daar niet voor bedoeld is het pand kunnen verlaten, als bepaalde toepassingen via de cloud worden afgenomen. Wat je vervolgens wilt weten is waar die gegevens terecht (kunnen) komen, welk recht daar van toepassing is, en welke bevoegdheden de lokale overheid precies heeft. Bovendien is het zaak een goed beeld te krijgen van het risico op datalekken langs de hele route.

Om problemen te vermijden, kan het in veel gevallen het eenvoudigste zijn je ervan te verzekeren dat je bedrijf alleen gebruikmaakt van cloud-faciliteiten binnen je eigen land of regio. In dat geval zul je ook in de overeenkomst met je cloud-provider moeten opnemen dat je gegevens alleen in de EU of andere landen met een passend beschermingsniveau mogen worden opgeslagen. Gelukkig komen er langzaamaan steeds meer leveranciers die dat kunnen aanbieden.

Sowieso is het verstandig de Wet Bescherming Persoonsgegevens goed door te nemen en de vereisten die de wet stelt te verwerken in het contract. De WBP eist bijvoorbeeld ‘passende technische en organisatorische maatregelen’, waaronder waarborgen in de overeenkomst met de leverancier. Maar de WBP verwacht ook dat je zelf een risico-analyse laat maken en zo nodig zelf aanvullende maatregelen neemt om de privacy van je klanten te waarborgen. Dat betekent onder meer dat je toezicht zult moeten houden op de gegevens en de naleving van de overeenkomst.

Theo Bosboom durfde het tijdens zijn presentatie wel aan een aantal punten te noemen die wat hem betreft altijd in een cloud-contract moeten worden afgedekt. We noemen ze hier integraal, maar bedenk wel: een overeenkomst met een cloud provider kan het beste in samenwerking met een juridisch specialist op de specifieke situatie van je bedrijf of organisatie worden toegesneden.

Contractpunten

• De verwerking van persoonsgegevens mag alleen in opdracht en ten behoeve van de klant geschieden.
  
• De leverancier verplicht zich tot het nemen van adequate beveiligingsmaatregelen.
  
• De klant heeft het recht te auditeren.
  
• De leverancier garandeert naleving van alle relevante wet- en regelgeving.
  
• De leverancier heeft een meldingsplicht van alle eventuele incidenten.
  
• Aansprakelijkheid en vrijwaring moeten worden vastgelegd.
  
• Eventueel een bepaling over regionalisatie of lokalisatie (de garantie dat gegevens binnen de EU blijven).
  
• Een goede exit-regeling bij verbreking van de overeenkomst (inclusief teruggeven en wissen van de data).
  
• Een regeling voor eventuele ‘onderaannemers’.
  
• Duidelijkheid over de verantwoordelijkheid rond softwarelicenties.
  
• Een calamiteitenregeling (wat gebeurt er als een leverancier ‘omvalt’).
  
• Denk ook aan een SLA waarin gedetailleerde garanties zijn opgenomen over (minimale) beschikbaarheid en prestaties.

Dit artikel is een weerslag van de presentatie die door Theo Bosboom is gehouden tijdens het Computerworld Cloud Event 2010. De slides van zijn presentatie zijn hier online te bekijken.