De cloud door een juridische bril
Met cloudcomputing wordt u heel wat gedoe rond beheer en onderhoud van soft- en hardware uit handen genomen. Maar als u niet oplet, kunt u heel ander gedoe krijgen. Wij overlopen voor u de juridische hordes bij cloudcomputing.
Onder meer dankzij de populaire applicaties van Google, Amazon en Microsoft is cloudcomputing als opvolger van het Application Service Provider-model (ASP) van einde jaren "90 aan een steile opmars bezig. Het cloudfenomeen surft verder op de toenemende vraag van IT-klanten naar flexibilisering en globalisering van IT-infrastructuur en -diensten.
Het model laat de klant toe om op zijn vraag via een netwerk van op afstand gedeelde en configureerbare computermiddelen (zoals netwerken, servers, applicaties en opslag) beschikbaar te stellen die een minimaal beheer of interactie vanwege de cloudleverancier vergen.
Belangrijke aanjager van het succes van cloudcomputing is de mogelijkheid om de serveromgeving te virtualiseren en daarbij alleen te moeten betalen voor effectief gebruik. Dit opent voor ondernemingen dan weer nieuwe perspectieven om op de markt competitief te worden.
Cloudcontracten onderhandelen
Cloudcomputingcontracten zijn eerder dienstencontracten dan loutere softwarelicenties. De meeste cloudleveranciers zien in een long tail-inkomstenmodel af van vooraf betaalde licentiekosten in ruil voor periodieke dienstbetalingen. Hierbij vragen ze een relatief beperkte gebruiksvergoeding, maar deze wordt dan verspreid over een groot aantal klanten dat hun diensten over een lange tijd gebruikt.
Het feit dat deze contracten tegen een lagere waarde worden afgesloten betekent echter niet dat zij voor klanten een lager risico in hun organisatie met zich meebrengen, bijvoorbeeld op het punt van gebruikerslimieten of gegevensopslag. De inhoud van cloudcontracten zal fundamenteel variëren in functie van de gekozen cloud diensten en aanbiedingsvormen.
De kwaliteit van de diensten moet voornamelijk aan de hand van serviceniveaus (service level agreements of SLA’s) met een aangepast penaliteit- en kredietmechanisme gecontroleerd worden. Serviceniveaus bieden een objectieve en meetbare beoordeling van de sleutelelementen van de clouddiensten.
Voorts kan de sterke afhankelijkheid van cloudleveranciers een probleem vormen. Onder multi-tenancy-regelingen kan zelfs één enkele fout een sneeuwbaleffect van verplichtingen onder meerdere klantencontracten creëren. Hierdoor zijn leveranciers bijzonder terughoudend om hoge schadevergoedingen te bieden of op beperkingen van de aansprakelijkheid toe te geven.
Cloudcontracten zijn dan ook veelal toetredingscontracten met verregaande beperkingen qua aansprakelijkheid voor de dienstverlener, met beperkte waarborgen en schadevergoedingen.
Afhankelijk van hun onderhandelingspositie zullen klanten doorgaans dus weinig of geen schadeposten (zoals omzetverlies, verlies van of schade aan bedrijfsgegevens, enzovoort) kunnen verhalen op de leverancier. Servicekredieten gelden vaak als enige, forfaitaire schadevergoedingen.
Voorts zal een cloudleverancier niet altijd zelf eigenaar zijn van de intellectuele in de software die in de clouddienst vervat is. In dat geval zal de leverancier moeten zorgen voor het recht op een sublicentie van de software aan zijn klanten, of moet er een directe licentie tussen de klant en de derde licentiegever afgesloten worden.
Het is tevens gebruikelijk een IPR-vrijwaringsclausule in het voordeel van de klant op te nemen in het geval dat een derde partij claimt dat het gebruik van de software door de klant inbreuk maakt op de IPR van die derde partij. De geboden IPR-schadevergoeding moet dan wel voldoende ruim zijn om alle klanten van de cloud diensten te beschermen in alle jurisdicties waarin de software gebruikt wordt.
Ook het gebruik van open source-software (OSS) kan in het kader van cloudcomputing voor problemen zorgen. OSS-licenties verlenen gebruikers het recht om broncode of inhoud te kopiëren, aan te passen en te herdistribueren in de cloud zoals dit reeds het geval is erbuiten.
Bepaalde leveranciers die hun clouddiensten met behulp van OSS bouwen omdat dit goedkoper uitvalt verkiezen echter om de broncode voor hun oplossing liever niet aan hun gebruikers vrij te geven.
OSS-licenties variëren echter aanzienlijk in de mate waarin zij al dan niet vereisen dat verdere licenties van broncode doorgegeven moeten worden wanneer de OSS in andere software opgenomen of in een gehoste omgeving ingezet wordt. In elk geval moet alle gebruik in de cloud met inachtneming van het geldende OSS-licentiemodel blijven gebeuren.
Andere belangrijke aandachtspunten bij de onderhandeling van cloudcontracten zijn de invulling van verantwoordelijkheden van de partijen in het licht van diverse regelgeving, de continuïteit van de dienstverlening en de veilige verwerking van (persoons)gegevens.
Toepasselijke regelgeving en afdwingen van rechten in de cloud
Vooreerst kunnen ook vragen rijzen of clouddiensten legaal zijn in alle landen waar ze worden verstrekt. Zo moeten handelsrestricties ten aanzien van bepaalde landen nageleefd worden. Daarnaast doen er zich bij de interpretatie en de afdwinging van rechten onvermijdelijk juridische problemen voor.
Wanneer cloudleveranciers en hun klanten zich zoals meestal in verschillende rechtsgebieden bevinden, moet rekening gehouden worden met het toepasselijk recht en de bevoegde jurisdictie, die meestal in het cloudcontract worden bepaald.
Klanten zijn vaak van mening dat het cloudcontract onderworpen moet zijn aan hun lokale rechtsorde aangezien zij deze het best kennen. Algemeen zal echter het recht van de plaats van waaruit de cloud leverancier haar hoofdactiviteiten uitoefent een aanknopingspunt zijn voor het toepasselijke recht.
Voorzichtigheid is dus geboden bij grensoverschrijdende transacties om ervoor te zorgen dat buitenlands recht geen aanleiding geeft tot onverwachte verplichtingen.
Niettegenstaande de overeengekomen clausules in het contract kunnen er ook prioritair dwingende regels inzake het toepasselijke recht en de bevoegdheid van toepassing zijn. Zo is voor het identificeren van het recht dat op de bescherming van persoonsgegevens van toepassing is, de exacte plaats waar deze zich bevinden niet doorslaggevend, zeker nu die niet altijd bekend is en zelfs in de tijd kan veranderen.
Het is evenwel voldoende dat de verantwoordelijke in het kader van de persoonsgegevensverwerking een vestiging binnen de EU heeft of technische infrastructuur op het grondgebied van de EU gebruikt om de relevante nationale privacy wetgeving binnen de EU dwingend van toepassing te maken.
Voor geschillenbeslechting kan een cloudleverancier gevestigd in de EU volgens het gemene recht in alle rechtsgebieden waarin het diensten aan zijn klanten biedt, gedagvaard worden. Indien de leverancier echter buiten de EU gevestigd is zal de bevoegdheid afhangen van complexe vaststellingsregels.
De cloudleverancier zal echter aandringen om de bevoegde rechter in zijn eigen land van herkomst contractueel te kiezen, ongeacht waar de gegevens van de klant worden opgeslagen. Dit ligt voor sommige klanten moeilijk. Als zo’n klant een consument (B2C) is, kan er evenwel niet van dwingende beschermingsbepalingen van het recht van het land waar de consument zijn gewone verblijfplaats heeft worden afgeweken.
Als de cloudleverancier niet beschikt over een omvangrijke aanwezigheid in de jurisdictie van de klant dan zal een gerechtelijk bevel moeilijk af te dwingen zijn in het land van de leverancier. Deze beperking geldt in het bijzonder tussen de EU en de VS.
Maar als een klant met spoed dwangmaatregelen tegen een cloudleverancier (bijvoorbeeld wanneer de klant van mening is dat deze zijn gegevens misbruikt) wenst te verkrijgen, zal het afdwingen ervan dan weer eenvoudiger zijn als het in het contract gekozen toepasselijk recht de lokale wetgeving van de cloud leverancier is.
Verder kunnen vragen rijzen over de licentie en aansprakelijkheid voor inhoud die in de cloud worden geplaatst. De standaardvoorwaarden van vele cloudleveranciers in de B2C-markt bevat onder andere een ruime licentie van de klant aan de leverancier zodat deze laatste elke inhoud die opgeslagen op zijn servers wordt, mag gebruiken, soms zelfs op eeuwigdurende en onherroepelijke wijze!
Het gebruik dat de dienstverlener zelf van de inhoud kan maken is meestal beperkt, maar soms wordt deze aan derden doorgegeven. Dit is uiteraard niet wenselijk voor een deel van de klantinformatie, zoals vertrouwelijke informatie, intellectuele eigendom of persoonlijke gegevens. Klanten moeten dus eerst expliciet instemmen met het doorgeven ervan aan de cloudleverancier of aan derden.
Tot slot zal de cloudleverancier ernaar streven om alle aansprakelijkheid voor inhoud die op haar infrastructuur opgeslagen of gepost wordt, uit te sluiten. Zo zal deze meestal een recht bedingen om alle (inbreukmakende) gegevens van haar servers te kunnen verwijderen.
Onder de Auteursrechtrichtlijn (2001/29/EG) en de Richtlijn inzake Elektronische Handel (2000/31/EG) kunnen internetserviceproviders immers aansprakelijk worden gesteld voor het niet tijdig verwijderen van bijvoorbeeld strafrechtelijk inbreukmakende content (zoals laster of plagiaat). Het is evenwel niet altijd even duidelijk of cloudleveranciers zelf altijd gevolg moeten geven aan notice & take down-bevelen.
Businesscontinuity
Om alle gegevens ingegeven in of gegenereerd door een cloudapplicatie te beschermen, kunnen klanten ofwel zelf back-ups maken of een online archiveringdienst van derden gebruiken. Als een bedrijf echter zelf ervoor moet zorgen dat deze toegankelijk blijven wanneer de cloud-diensten onderbroken of beëindigd worden, dan zou dit de voordelen van cloud computing grotendeels tenietdoen.
Zelfs als open standaarden voor gegevensoverdracht worden bedongen, is het vaak nog een risicovolle taak om grote gegevensbestanden over te laden. Een cloud-leverancier moet daarom alternatieve infrastructuren beschikbaar maken op een externe locatie waar de gegevens kunnen worden bewaard ingeval van overmacht of contractsbeëindiging.
Grote klanten kunnen controlerecht bedingen om deze voorzieningen te testen, met name om aan eigen compliance verplichtingen te kunnen voldoen, zoals SOX en MiFiD. Cloudleveranciers moeten dus aan minimale normen voldoen en over de nodige erkenningen beschikken om hun klanten gerust te stellen.
Dergelijk standaarden en certificeringen zijn momenteel nog niet erg matuur en vormen het voorwerp van verder debat. Om een vlotte gegevensuitwisseling tussen leveranciers en/of klanten te vergemakkelijken zijn gedeelde richtlijnen in de cloudsector aldus onontbeerlijk. Gelukkig bieden sommige onafhankelijke dienstverleners nu reeds escrow-diensten op maat van cloudleveranciers en klanten aan.
Bescherming van persoonsgegevens
In de cloud kunnen gemakkelijk complexe wetconflicten ontstaan met betrekking tot opgeslagen gegevens. Bijvoorbeeld tussen lokale wetgeving in een rechtsgebied waar informatie door overheidsinstanties kan worden opgevorderd (bv. onder de Amerikaanse Patriot Act) enerzijds, en privacywetgeving in een ander rechtsgebied, anderzijds.
Wanneer de clouddienst immers ook de verwerking van persoonsgegevens omvat, wat bijna altijd het geval is, dan moet deze dienst aan de eisen van de Richtlijn inzake bescherming van persoonsgegevens (95/46/EG) voldoen van zodra persoonsgegevens van de klant in een EU-lidstaat worden verwerkt.
Het huidige kader is evenwel niet voldoende aangepast aan clouddiensten. Compliance-problemen worden nog vergroot door verschillen in de omzetting en tenuitvoerlegging van de Richtlijn in de 27 EU-lidstaten, zodat oplossingen die werken in één land, elders problematisch kunnen zijn.
De volgende drie struikelblokken bij cloudcomputing kunnen zich voordoen. Ten eerste bestaat er discussie over het onderscheid tussen de rol van verantwoordelijke voor de verwerking (persoon die het doel en de wijze bepaalt waarop gegevens moeten worden verwerkt) en de verwerker (diegene die gegevens ten behoeve van de verantwoordelijke mits het naleven van afdoende veiligheidsverplichtingen verwerkt).
Een grotere harmonisatie van deze begrippen en procedurele verplichtingen in de Richtlijn zou welkom zijn. Cloudleveranciers hebben immers doorgaans weinig of geen controle over de aard van de verwerkte gegevens op hun servers en zullen veelal loutere "verwerkers" zijn. Zo zullen ze niet in staat zijn om aansprakelijkheid te aanvaarden voor de kwaliteit van gegevens, naleving van bepaalde rechten of voor het verkrijgen van de individuele toestemming voor de verwerking van persoonsgegevens.
Deze benadering legt het volledige risico voor de nakoming van regelgeving inzake de bescherming van persoonsgegevens bij de klant. Dit kan dan weer onpraktisch zijn voor de klant, die zelf weinig of geen controle heeft over de internationale doorgifte en beveiliging van zijn gegevens.
Tweede struikelblok zijn aldus de geldende beperkingen op de internationale doorgifte van persoonsgegevens vanuit de EU naar derde landen. Om hierop in te spelen, bieden cloudleveranciers voorlopig opties aan die garanderen dat er alleen van opslagfaciliteiten in een EU-land gebruik gemaakt wordt.
Deze oplossing valt echter niet goed samen met het van nature grenzeloze cloudmodel. Derde obstakel zijn de vereiste organisatorische en technische veiligheidsverplichtingen bij de verwerking, namelijk ook of niet-EU cloudinfrastructuur voor de opslag van persoonsgegevens afkomstig uit de EU gebruikt kan worden.
De EU-Commissie werkt momenteel aan vernieuwing van de Richtlijn. Informatiebeveiliging moet daarbij de hoogste prioriteit blijven, maar in sommige gevallen zal dit gepaard gaan met een eerder resultaatgerichte dan absolute rechtsbenadering.
Zo kan het belang van het beperkende criterium van de fysieke locatie(s) van de leverancier best verminderd worden en dienen regelgevende instanties de realiteit te erkennen dat cloudconcepten die aan intrinsiek zeer strenge standaarden beantwoorden, ook de achterliggende bedoeling van gegevensbescherming voldoende naleven.
