23 oktober 2013 17:57

Blijf niet blind voor de juridische kant van de cloud

Bij de juridische gevolgen van clouddiensten blijft men niet altijd lang stilstaan. Hoe goed zijn uw gegevens beschermd? Waar hebt u recht op bij onbeschikbaarheid? Wat als u een clouddienst voorgoed opzegt?

Bij de juridische gevolgen van het inschakelen van clouddiensten blijft men niet altijd lang stilstaan. Hoe goed zijn uw gegevens beschermd? Waar hebt u recht op bij gegevensverlies of onbeschikbaarheid? Wat als u een clouddienst voorgoed opzegt? Als u de wolken instapt, doet u dit best met de ogen wijd open.

"We zijn intussen allemaal vertrouwd met de belangrijkste argumenten om de cloud in te stappen", zo opende Luysterborg, partner bij Deloitte Enterprise Risk Services, de informatiesessie van ICT-kennis en -netwerkplatform ADM over de juridische aspecten van de cloud, "door ofssite te gaan, bespaart u zichzelf heel wat zorgen rond ownership, hosting en beheer.

Het pay-per-use model zorgt voor een gespreide en correcte betaling voor het gebruik van de software. De uitbreidbaarheid en flexibiliteit zorgen ervoor dat u snel kunt schakelen wanneer nodig. Maar er zijn ook heel wat risico"s aan verbonden, en die worden vaak minder belicht."

Risico"s

Nochtans zijn de risico"s niet sterk verschillende van andere vormen van ICT-organisatie en -uitbesteding, meent Erik Luysterborg: "Het pakket van risico"s is ongeveer hetzelfde, alleen zijn de grootste risico"s bij cloud computing verschillend van de grootste risico"s bij traditionele ICT.

De verantwoordelijkheid en rolverdeling is bij een traditioneel outsourcingcontract bijvoorbeeld veel duidelijker dan bij een cloud-dienst soms het geval is. En omdat u in de cloud veel meer toegang zoekt naar externe software en diensten, neemt het belang van identity en access management ook toe."

Dat de beveiligingsrisico"s per definitie ook toenemen door in de cloud te stappen, wil Luysterborgh niet gezegd hebben: "iemand zei me ooit: "a well-configured cloud is a hacker"s worst nightmare, a badly configured cloud is like Eurodisney". Tussen de clouddiensten vind je dus zowel de beste als de slechtste leerlingen van de klas als het op security aankomt."

Andere risico"s verbonden met cloud computing zijn onder meer control en compliance (als u aan klanten zegt dat hun data in België blijven, dan moet u daarmee rekenening houden bij uw keuze van cloud vendor wanneer u hun gegevens in de cloud zou plaatsen) en maturiteit en betrouwbaarheid van de leverancier (weet u waar u aan toe bent wanneer de leverancier zijn clouddiensten stopzet?)

"Maar misschien nog de belangrijkste vraag die u zich moet stellen", aldus Erik Luysterborg, "is uw organisatie klaar om in de cloud te stappen? Op individueel niveau van een dienst als Dropbox gebruik maken is één ding, maar als u bedrijfsbreed clouddiensten wil gaan gebruiken, vergt dit een andere manier van bedrijfsvoering. Denk maar aan de ICT-organisatie: als zij zich niet meer met de dagelijkse zorgen rond beheer, probleemoplossing en upgrades moeten bekommeren, moeten zij klaar staan om naar een meer strategische rol te evolueren, waar ze mee de koers van het schip gaan bepalen. dat is een hele stap die soms de nodige tijd vergt, en daar moet u ook rekening mee houden."

Juridisch

Meer op juridisch vlak komen ook vragen rond SLA"s (service level agreements) bovendrijven. SLA"s zijn een manier om de risico"s in te perken, maar ook dat is eenvoudiger gezegd dan gedaan, meent Erik Luysterborg: "Je kan met cloud providers al veel afspreken maar moet ook beseffen: hoe strenger de SLA"s, hoe hoger de prijs van uw cloud. Bovendien moet u opletten voor het "paper tiger" syndroom: dat u zo veel restricties en voorwaarden op papier zet, dat de situatie in de praktijk onwerkbaar wordt."

Andere specifiek juridische risico"s zitten bijvoorbeeld in de locatie van de cloudleverancier, meer bepaald in de vraag welke nationale wet van toepassing zal zijn in geval van betwistingen, en in de intellectuele eigendomsrechten, voegt Erik Luysterborg er nog aan toe: "Meestal geldt dat u enkel de software huurt en dat de eigendomsrechten dus bij de cloudleverancier blijven, maar wat gebeurt er als u een eigenpakket bouwt bovenop een clouddienst? Is dat dan van u of van de leverancier? Dit durft al wel eens verschillen."

"Bepaalde contractuele clausules worden veel belangrijker als u een cloudcontract afsluit", besluit Erik Luysterborg: "hoe zit het met de overdracht van onsite naar cloud; wat bij beëindiging van een contract, hoe vaak wordt een audit uitgevoerd, hoe zit het met aansprakelijkheid, enzovoort."

Om de problematiek concreet te maken, werden een aantal bekende clouddiensten – de online storagedienst Dropbox, Microsofts cloudsoftware Office 365, de videodienst Youtube en de gekende cloud CRM-leverancier Salesforce.com – onderzocht op risico"s zoals beveiliging, aansprakelijkheid en beëindiging van een contract.

De algemene conclusie, allesbehalve verrassend, luidt: hoe meer u betaalt voor uw clouddienst, hoe beter de risico"s worden opgevangen. "En zelfs de gratis diensten doen wel hun best om uw gegevens te beveiligen en beschikbaar te houden," stelde David Lenaerts, senior consultant bij Deloitte Enterprise Risk & Services vast, "maar ze zijn veel minder bereid om hiervoor aansprakelijk te worden gesteld."

Voorbereiding is halve werk

Erik Luysterborg sluit af met enkele aanbevelingen: "Eerst en vooral: voor u overgaat tot uitgebreide besprekingen daaruit voortvloeiende contracten met cloudleveranciers, dient u eerst lang en uitgebreid te praten met alle betrokken partijen, dus niet alleen de juridische afdeling maar ook alle business-afdelingen en het IT-departement. Zij weten beter dan wie ook wat er eigenlijk van de clouddiensten wordt verwacht, wat wenselijk is en -last but not least – wat al dan niet haalbaar is. Daarmee kunt u naar de cloudleverancier stappen om een contractueel raamwerk af te spreken dat voor alle partijen haalbaar is."