Juridische en contractuele aspecten van cloud computing (SAI)

16

Click here to load reader

Transcript of Juridische en contractuele aspecten van cloud computing (SAI)

Page 1: Juridische en contractuele aspecten van cloud computing (SAI)

Juridische en contractuele aspecten van

Cloud Computing

'Beyond Cloud Computing': governance &

juridische aspecten

SAI

24 juni 2010

Page 2: Juridische en contractuele aspecten van cloud computing (SAI)

2

1. Wat is ‘Cloud Computing’?

“Cloud computing is een vorm van computergebruik

waarbij schaalbare en flexibele IT-faciliteiten

als dienst worden aangeboden aan grote aantallen klanten

die internettechnologie gebruiken.” (Artikel 29 Werkgroep)

“[…] We'll make cloud computing announcements. I'm not

going to fight this thing. But I don't understand what we

would do differently in the light of cloud computing other

than change the wording of some of our ads. That's my

view.” (Larry Ellison, Oracle)

Page 3: Juridische en contractuele aspecten van cloud computing (SAI)

3

2. Cloud: wat is er nieuw onder de zon?

“Cloud computing overeenkomst” = dienstverleningsovereenkomst die zich situeert in de informaticasfeer

Aansprakelijkheid

Kwaliteit en continuïteit van de dienstverlening

Rapportering en opvolging (audit & compliance)

Afhankelijkheid?

Internationale context

Verwerking van persoonsgegevens

Beveiliging van de gegevens

Cloud = standaarddienst

Toetredingsovereenkomst (click-wrap?)

Eenzijdig in het voordeel van de dienstverlener?

Vergelijking vs. onderhandeling

Page 4: Juridische en contractuele aspecten van cloud computing (SAI)

4

3. Aansprakelijkheid

Toetredingscontracten = sterke beperking van de aansprakelijkheid

van de dienstverlener

Uitsluiting van onrechtstreekse schade

Meest gangbare schade in IT-context

Omvang definitie! Bv. Verlies van of schade aan data?

Beperking van rechtstreekse schade

Korte verjaringstermijnen

Service credits gelden als forfaitaire schadevergoedingen (“sole

remedy” met aansprakelijkheidsbeperking voor gevolg)?

Toepasselijk recht en jurisdictie?

Praktisch probleem bij de evaluatie van de rechten

Praktisch probleem bij de afdwinging van rechten

Page 5: Juridische en contractuele aspecten van cloud computing (SAI)

5

4. Kwaliteit en continuïteit

Service Level Agreements

Inhoud

Meetbaarheid

Controle van SLA

Schaalbaarheid / flexibiliteit

Garantie

SLA

Onvoorziene omstandigheden

Faillissement dienstverlener in de schakel

DRP / BCP

Escrow

Page 6: Juridische en contractuele aspecten van cloud computing (SAI)

6

5. Rapportering en opvolging

AuditPraktisch haalbaar?

Wie?

Wat?

Waar?

Kostprijs

Self-audit als oplossing?

Certificatie en kwaliteitsgarantiesContractueel bepaalde certificatieverplichtingen opleggen

Kwaliteitsprocedures

ISO 27000 & SAS70

Problemen bij gereglementeerde sectoren (bv. banken)

Page 7: Juridische en contractuele aspecten van cloud computing (SAI)

7

6. Onafhankelijkheid

Cloud Computing = controleverlies

Data is een waardevol bestanddeel van een onderneming

Beschikbaarheid van data is essentieel

“Vendor lock-in” risico

Einde overeenkomst?

Beschikbaarheid van data in een herbruikbare vorm

Teruggaveverplichting bij einde overeenkomst (retransitie)

Contractuele retransitiemaatregelen zijn essentieel!

Escrow?

Page 8: Juridische en contractuele aspecten van cloud computing (SAI)

8

7. Internationale context

Toepasselijk recht & jurisdictie

Welk recht is van toepassing?

Waar moet er proces gevoerd worden en op welke wijze?

Intellectuele eigendom

Cloud oplossing (licentiebeleid)

Betrokken data

Legaal in alle landen?

Notice & take down – gevolgen?

Handelsrestricties

Page 9: Juridische en contractuele aspecten van cloud computing (SAI)

9

8. Verwerking van persoonsgegevens

Specifieke wettelijke verplichting bij verwerking van

persoonsgegevens

EU Richtlijn 1995/46/EG

Wet 8 december 1992 & KB 13 februari 2001

Aandachtspunten

Bepaling van de verantwoordelijke voor de verwerking

Toepasselijke wetgeving (territoriaal)?

Verplichtingen bij uitbesteding van de verwerking

Beperkingen inzake de uitvoer van persoonsgegevens

Beveiligingsplicht

Page 10: Juridische en contractuele aspecten van cloud computing (SAI)

10

8.1. Verantwoordelijke voor de verwerking

Betrokken entiteitenVerantwoordelijke voor de verwerking (“data controller”)

Bepaalt het doel en de middelen van de verwerking

Verwerker (“data processor”)Verwerkt gegevens ten behoeve van de verantwoordelijke

BetrokkeneDe natuurlijke persoon wier gegevens verwerkt worden

Belang?Toewijzing verantwoordelijkheid

Bepaling toepasselijk recht

Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een verwerker)

Gebruikelijke kwalificatie bij cloud computing:Klant is verantwoordelijke voor de verwerking

Dienstverlener is verwerker

Page 11: Juridische en contractuele aspecten van cloud computing (SAI)

11

8.2. Toepasselijk recht?

Vestiging van de verantwoordelijke voor de verwerking

Binnen EEA?

Buiten EEA?

Mogelijke incidentele toepassing van wetgeving door

verwerking in België (of een andere EEA-lidstaat)

Middelen op het grondgebied

Geen loutere transit

Mogelijke cumulatie van toepasselijke wetgeving

Page 12: Juridische en contractuele aspecten van cloud computing (SAI)

12

8.3. Uitvoer van persoonsgegevens

Uitvoer buiten EEA: niet toegestaan, behalve indien een

adequate bescherming wordt geboden

Uitzonderingen

Witte lijst (beperkt aantal landen)

Standaardovereenkomst “C2P” en “onward transfer”

“Safe Harbor” geaccrediteerde ondernemingen (VS)

Binding corporate rules (BCR) (moeilijk te implementeren)

Toestemming van de betrokkenen (moeilijk te implementeren –

Commissie wijst veralgemeend gebruik af)

Contractuele maatregelen – individuele afweging (hoog risico)

Page 13: Juridische en contractuele aspecten van cloud computing (SAI)

13

8.4. Beveiligingsplicht

Adequate beveiliging tegen elke „onwettige verwerking‟

Stand van de techniek en kosten

Risico‟s en de aard van de persoonsgegevens

Cloud: hogere risico‟s omwille van het zakenmodel

Tussenkomst van meerdere partijen

Verbonden met het Internet

Meerdere landen?

Controleverlies

Gedeelde infrastructuur?

Gevolg: in principe een zwaardere beveiligingsplicht bij

de verwerker

Page 14: Juridische en contractuele aspecten van cloud computing (SAI)

14

9. Veiligheidsplicht

Contractuele voorziening zijn noodzakelijk!

Verplichting tot vertrouwelijkheid en doelgebonden gebruik

Verplichting tot adequaat beveiligen (technisch &

organisatorisch)

Toegang tot de dienst

Back-up & restore

Segregatie

Sterke governance

Periodieke rapporteringsplicht (bv. self-evaluation)

Meldingsplicht bij incidenten

Opgelet bij internationale contracten: niet alle landen

gebruiken dezelfde concepten / basisverplichtingen

Page 15: Juridische en contractuele aspecten van cloud computing (SAI)

15

Conclusie

Onzekerheid over bepaalde bestaande concepten

Kwalificatie verantwoordelijke / verwerker

Juridische problemen zijn vaak dezelfde als deze bij

meer traditionele contracten

Praktische organisatie kan bepaalde juridische en contractuele

problemen verscherpen

Problemen vergen soms een gewijzigde aanpak

Bijzondere aandacht is vereist in geval van “compliance”

verplichtingen

Internationale karakter kan problematisch zijn

Controleverlies is moeilijk verenigbaar met compliance-vereisten

Page 16: Juridische en contractuele aspecten van cloud computing (SAI)

Dank u voor uw aandacht! Vragen?

Johan Vandendriessche

Advocaat

T. 02.282.60.74

[email protected]

www.twobirds.com