Juridische en contractuele aspecten van

Cloud Computing

'Beyond Cloud Computing': governance &

juridische aspecten

SAI

24 juni 2010

2

1. Wat is ‘Cloud Computing’?

“Cloud computing is een vorm van computergebruik

waarbij schaalbare en flexibele IT-faciliteiten

als dienst worden aangeboden aan grote aantallen klanten

die internettechnologie gebruiken.” (Artikel 29 Werkgroep)

“[…] We'll make cloud computing announcements. I'm not

going to fight this thing. But I don't understand what we

would do differently in the light of cloud computing other

than change the wording of some of our ads. That's my

view.” (Larry Ellison, Oracle)

3

2. Cloud: wat is er nieuw onder de zon?

“Cloud computing overeenkomst” = dienstverleningsovereenkomst die zich situeert in de informaticasfeer

Aansprakelijkheid

Kwaliteit en continuïteit van de dienstverlening

Rapportering en opvolging (audit & compliance)

Afhankelijkheid?

Internationale context

Verwerking van persoonsgegevens

Beveiliging van de gegevens

Cloud = standaarddienst

Toetredingsovereenkomst (click-wrap?)

Eenzijdig in het voordeel van de dienstverlener?

Vergelijking vs. onderhandeling

4

3. Aansprakelijkheid

Toetredingscontracten = sterke beperking van de aansprakelijkheid

van de dienstverlener

Uitsluiting van onrechtstreekse schade

Meest gangbare schade in IT-context

Omvang definitie! Bv. Verlies van of schade aan data?

Beperking van rechtstreekse schade

Korte verjaringstermijnen

Service credits gelden als forfaitaire schadevergoedingen (“sole

remedy” met aansprakelijkheidsbeperking voor gevolg)?

Toepasselijk recht en jurisdictie?

Praktisch probleem bij de evaluatie van de rechten

Praktisch probleem bij de afdwinging van rechten

5

4. Kwaliteit en continuïteit

Service Level Agreements

Inhoud

Meetbaarheid

Controle van SLA

Schaalbaarheid / flexibiliteit

Garantie

SLA

Onvoorziene omstandigheden

Faillissement dienstverlener in de schakel

DRP / BCP

Escrow

6

5. Rapportering en opvolging

AuditPraktisch haalbaar?

Wie?

Wat?

Waar?

Kostprijs

Self-audit als oplossing?

Certificatie en kwaliteitsgarantiesContractueel bepaalde certificatieverplichtingen opleggen

Kwaliteitsprocedures

ISO 27000 & SAS70

Problemen bij gereglementeerde sectoren (bv. banken)

7

6. Onafhankelijkheid

Cloud Computing = controleverlies

Data is een waardevol bestanddeel van een onderneming

Beschikbaarheid van data is essentieel

“Vendor lock-in” risico

Einde overeenkomst?

Beschikbaarheid van data in een herbruikbare vorm

Teruggaveverplichting bij einde overeenkomst (retransitie)

Contractuele retransitiemaatregelen zijn essentieel!

Escrow?

8

7. Internationale context

Toepasselijk recht & jurisdictie

Welk recht is van toepassing?

Waar moet er proces gevoerd worden en op welke wijze?

Intellectuele eigendom

Cloud oplossing (licentiebeleid)

Betrokken data

Legaal in alle landen?

Notice & take down – gevolgen?

Handelsrestricties

9

8. Verwerking van persoonsgegevens

Specifieke wettelijke verplichting bij verwerking van

persoonsgegevens

EU Richtlijn 1995/46/EG

Wet 8 december 1992 & KB 13 februari 2001

Aandachtspunten

Bepaling van de verantwoordelijke voor de verwerking

Toepasselijke wetgeving (territoriaal)?

Verplichtingen bij uitbesteding van de verwerking

Beperkingen inzake de uitvoer van persoonsgegevens

Beveiligingsplicht

10

8.1. Verantwoordelijke voor de verwerking

Betrokken entiteitenVerantwoordelijke voor de verwerking (“data controller”)

Bepaalt het doel en de middelen van de verwerking

Verwerker (“data processor”)Verwerkt gegevens ten behoeve van de verantwoordelijke

BetrokkeneDe natuurlijke persoon wier gegevens verwerkt worden

Belang?Toewijzing verantwoordelijkheid

Bepaling toepasselijk recht

Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een verwerker)

Gebruikelijke kwalificatie bij cloud computing:Klant is verantwoordelijke voor de verwerking

Dienstverlener is verwerker

11

8.2. Toepasselijk recht?

Vestiging van de verantwoordelijke voor de verwerking

Binnen EEA?

Buiten EEA?

Mogelijke incidentele toepassing van wetgeving door

verwerking in België (of een andere EEA-lidstaat)

Middelen op het grondgebied

Geen loutere transit

Mogelijke cumulatie van toepasselijke wetgeving

12

8.3. Uitvoer van persoonsgegevens

Uitvoer buiten EEA: niet toegestaan, behalve indien een

adequate bescherming wordt geboden

Uitzonderingen

Witte lijst (beperkt aantal landen)

Standaardovereenkomst “C2P” en “onward transfer”

“Safe Harbor” geaccrediteerde ondernemingen (VS)

Binding corporate rules (BCR) (moeilijk te implementeren)

Toestemming van de betrokkenen (moeilijk te implementeren –

Commissie wijst veralgemeend gebruik af)

Contractuele maatregelen – individuele afweging (hoog risico)

13

8.4. Beveiligingsplicht

Adequate beveiliging tegen elke „onwettige verwerking‟

Stand van de techniek en kosten

Risico‟s en de aard van de persoonsgegevens

Cloud: hogere risico‟s omwille van het zakenmodel

Tussenkomst van meerdere partijen

Verbonden met het Internet

Meerdere landen?

Controleverlies

Gedeelde infrastructuur?

Gevolg: in principe een zwaardere beveiligingsplicht bij

de verwerker

14

9. Veiligheidsplicht

Contractuele voorziening zijn noodzakelijk!

Verplichting tot vertrouwelijkheid en doelgebonden gebruik

Verplichting tot adequaat beveiligen (technisch &

organisatorisch)

Toegang tot de dienst

Back-up & restore

Segregatie

Sterke governance

Periodieke rapporteringsplicht (bv. self-evaluation)

Meldingsplicht bij incidenten

Opgelet bij internationale contracten: niet alle landen

gebruiken dezelfde concepten / basisverplichtingen

15

Conclusie

Onzekerheid over bepaalde bestaande concepten

Kwalificatie verantwoordelijke / verwerker

Juridische problemen zijn vaak dezelfde als deze bij

meer traditionele contracten

Praktische organisatie kan bepaalde juridische en contractuele

problemen verscherpen

Problemen vergen soms een gewijzigde aanpak

Bijzondere aandacht is vereist in geval van “compliance”

verplichtingen

Internationale karakter kan problematisch zijn

Controleverlies is moeilijk verenigbaar met compliance-vereisten

Dank u voor uw aandacht! Vragen?

Johan Vandendriessche

Advocaat

T. 02.282.60.74

johan.vandendriessche@twobirds.com

www.twobirds.com