Post on 08-May-2015
Juridische en contractuele aspecten van
Cloud Computing
'Beyond Cloud Computing': governance &
juridische aspecten
SAI
24 juni 2010
2
1. Wat is ‘Cloud Computing’?
“Cloud computing is een vorm van computergebruik
waarbij schaalbare en flexibele IT-faciliteiten
als dienst worden aangeboden aan grote aantallen klanten
die internettechnologie gebruiken.” (Artikel 29 Werkgroep)
“[…] We'll make cloud computing announcements. I'm not
going to fight this thing. But I don't understand what we
would do differently in the light of cloud computing other
than change the wording of some of our ads. That's my
view.” (Larry Ellison, Oracle)
3
2. Cloud: wat is er nieuw onder de zon?
“Cloud computing overeenkomst” = dienstverleningsovereenkomst die zich situeert in de informaticasfeer
Aansprakelijkheid
Kwaliteit en continuïteit van de dienstverlening
Rapportering en opvolging (audit & compliance)
Afhankelijkheid?
Internationale context
Verwerking van persoonsgegevens
Beveiliging van de gegevens
Cloud = standaarddienst
Toetredingsovereenkomst (click-wrap?)
Eenzijdig in het voordeel van de dienstverlener?
Vergelijking vs. onderhandeling
4
3. Aansprakelijkheid
Toetredingscontracten = sterke beperking van de aansprakelijkheid
van de dienstverlener
Uitsluiting van onrechtstreekse schade
Meest gangbare schade in IT-context
Omvang definitie! Bv. Verlies van of schade aan data?
Beperking van rechtstreekse schade
Korte verjaringstermijnen
Service credits gelden als forfaitaire schadevergoedingen (“sole
remedy” met aansprakelijkheidsbeperking voor gevolg)?
Toepasselijk recht en jurisdictie?
Praktisch probleem bij de evaluatie van de rechten
Praktisch probleem bij de afdwinging van rechten
5
4. Kwaliteit en continuïteit
Service Level Agreements
Inhoud
Meetbaarheid
Controle van SLA
Schaalbaarheid / flexibiliteit
Garantie
SLA
Onvoorziene omstandigheden
Faillissement dienstverlener in de schakel
DRP / BCP
Escrow
6
5. Rapportering en opvolging
AuditPraktisch haalbaar?
Wie?
Wat?
Waar?
Kostprijs
Self-audit als oplossing?
Certificatie en kwaliteitsgarantiesContractueel bepaalde certificatieverplichtingen opleggen
Kwaliteitsprocedures
ISO 27000 & SAS70
Problemen bij gereglementeerde sectoren (bv. banken)
7
6. Onafhankelijkheid
Cloud Computing = controleverlies
Data is een waardevol bestanddeel van een onderneming
Beschikbaarheid van data is essentieel
“Vendor lock-in” risico
Einde overeenkomst?
Beschikbaarheid van data in een herbruikbare vorm
Teruggaveverplichting bij einde overeenkomst (retransitie)
Contractuele retransitiemaatregelen zijn essentieel!
Escrow?
8
7. Internationale context
Toepasselijk recht & jurisdictie
Welk recht is van toepassing?
Waar moet er proces gevoerd worden en op welke wijze?
Intellectuele eigendom
Cloud oplossing (licentiebeleid)
Betrokken data
Legaal in alle landen?
Notice & take down – gevolgen?
Handelsrestricties
9
8. Verwerking van persoonsgegevens
Specifieke wettelijke verplichting bij verwerking van
persoonsgegevens
EU Richtlijn 1995/46/EG
Wet 8 december 1992 & KB 13 februari 2001
Aandachtspunten
Bepaling van de verantwoordelijke voor de verwerking
Toepasselijke wetgeving (territoriaal)?
Verplichtingen bij uitbesteding van de verwerking
Beperkingen inzake de uitvoer van persoonsgegevens
Beveiligingsplicht
10
8.1. Verantwoordelijke voor de verwerking
Betrokken entiteitenVerantwoordelijke voor de verwerking (“data controller”)
Bepaalt het doel en de middelen van de verwerking
Verwerker (“data processor”)Verwerkt gegevens ten behoeve van de verantwoordelijke
BetrokkeneDe natuurlijke persoon wier gegevens verwerkt worden
Belang?Toewijzing verantwoordelijkheid
Bepaling toepasselijk recht
Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een verwerker)
Gebruikelijke kwalificatie bij cloud computing:Klant is verantwoordelijke voor de verwerking
Dienstverlener is verwerker
11
8.2. Toepasselijk recht?
Vestiging van de verantwoordelijke voor de verwerking
Binnen EEA?
Buiten EEA?
Mogelijke incidentele toepassing van wetgeving door
verwerking in België (of een andere EEA-lidstaat)
Middelen op het grondgebied
Geen loutere transit
Mogelijke cumulatie van toepasselijke wetgeving
12
8.3. Uitvoer van persoonsgegevens
Uitvoer buiten EEA: niet toegestaan, behalve indien een
adequate bescherming wordt geboden
Uitzonderingen
Witte lijst (beperkt aantal landen)
Standaardovereenkomst “C2P” en “onward transfer”
“Safe Harbor” geaccrediteerde ondernemingen (VS)
Binding corporate rules (BCR) (moeilijk te implementeren)
Toestemming van de betrokkenen (moeilijk te implementeren –
Commissie wijst veralgemeend gebruik af)
Contractuele maatregelen – individuele afweging (hoog risico)
13
8.4. Beveiligingsplicht
Adequate beveiliging tegen elke „onwettige verwerking‟
Stand van de techniek en kosten
Risico‟s en de aard van de persoonsgegevens
Cloud: hogere risico‟s omwille van het zakenmodel
Tussenkomst van meerdere partijen
Verbonden met het Internet
Meerdere landen?
Controleverlies
Gedeelde infrastructuur?
Gevolg: in principe een zwaardere beveiligingsplicht bij
de verwerker
14
9. Veiligheidsplicht
Contractuele voorziening zijn noodzakelijk!
Verplichting tot vertrouwelijkheid en doelgebonden gebruik
Verplichting tot adequaat beveiligen (technisch &
organisatorisch)
Toegang tot de dienst
Back-up & restore
Segregatie
Sterke governance
Periodieke rapporteringsplicht (bv. self-evaluation)
Meldingsplicht bij incidenten
Opgelet bij internationale contracten: niet alle landen
gebruiken dezelfde concepten / basisverplichtingen
15
Conclusie
Onzekerheid over bepaalde bestaande concepten
Kwalificatie verantwoordelijke / verwerker
Juridische problemen zijn vaak dezelfde als deze bij
meer traditionele contracten
Praktische organisatie kan bepaalde juridische en contractuele
problemen verscherpen
Problemen vergen soms een gewijzigde aanpak
Bijzondere aandacht is vereist in geval van “compliance”
verplichtingen
Internationale karakter kan problematisch zijn
Controleverlies is moeilijk verenigbaar met compliance-vereisten
Dank u voor uw aandacht! Vragen?
Johan Vandendriessche
Advocaat
T. 02.282.60.74
johan.vandendriessche@twobirds.com
www.twobirds.com