De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Cloud Computing & Recht Mr

GepubliceerdAlfons Willemsen Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Cloud Computing & Recht Mr"— Transcript van de presentatie:

1 Cloud Computing & Recht Mr
Cloud Computing & Recht Mr. Peter van Schelven ZVIO – Vlissingen 22 januari 2015

2 Algemene knelpunten Cloud Computing
Geen eenduidig begrippenkader + taalvervuiling (outsourcing, ASP, SaaS, PaaS, IaaS, hosting etc.). Voorbeeld van juridische relevantie: overheidsaanbesteding - Contractueel regelen? - risicoverdeling Cloud provider/Cloud customer - inhoud van de cloud-dienst + migratie naar de cloud (2 separate trajecten of integreren?) - Cloud Computing in diverse jurisdicties: - grote verschillen tussen landen, zelfs in Europa - gebrek aan feitelijke en juridische transparantie - ENISA heeft onderzocht: SME hecht zeer grote waarde aan juridische waarborgen (privacy en liability) 2

3 Begrippen Plaatsbepaling op basis van inventarisatie van feitelijke kenmerken van Cloud Computing: on demand service model voor ICT-voorzieningen brede toegang tot het netwerk + measured services (SLA) architectuur is schaalbaar en flexibel; groei/krimp organisaties + benodigde applicaties gedistribueerde infrastructuur direct beschikbare voorzieningen; laatste softwareversie (veelal) shared resources onafhankelijkheid van eigen hardware en software veelal: pay-as you-go afrekensysteem (vast bedrag pp of p/mnd of soms per jaar) 3

4 Besparen op ICT-kosten gebruiker?
1. Geen/minder aanschaf softwarelicenties; geen zware software investeringen 2. Korte termijn contracten 3. Minder inzet van eigen ICT-personeel (beheerders) 4. Consolidatie van verschillende applicaties tegen fractie van kosten interne ICT 5. Minder hardware (servers) + minder energie/cooling-kosten 6. Gemakkelijker integreren van systemen vanwege open systemen; besparing op integratiekosten 7. Makkelijker/sneller aanschafbeslissing o.g.v. goedkope trials => minder transactiekosten

5 Waarom migreren naar Cloud Computing?
1. Flexibele opslag van data (groei van data ca 50% p/jr) 2. Lagere kostprijs van software (abonnement vs eenmalige licentiekosten) 3. Lagere TCO (technisch beheer, applicatie aanpassingen, reserveonderdelen) 4. Korte + snelle implementatie 5. Solide infrastructuur 6. Dagelijks beheer verdwijnt; minder ICT-kennis in eigen huis nodig 7. Actuele versies (updates) 8. Schaalbaarheid 9. Hoge mate van beveiliging + hoge mate van beschikbaarheid

6 Saas-, PaaS- en IaaS-contracten
Software as a Service: beschikbaarheid van de functionaliteit van eindapplicaties (administratie, , HRM etc.) - technisch beheer: Cloud Provider - functioneel beheer: Cloud Provider en (soms ook) klant Platform as a Service: + aanbieden van additionele diensten boven op de SaaS- laag, zoals toegangs- en identiteitenbeheer, security as a service, portaalfunctionaliteiten en integratiefaciliteiten. 3. Infrastructure as a Service: eigen complete infrastructuur in de Cloud (dedicated, private platformen)

7 Soms grote afhankelijkheden bij Cloud
Voor de Cloud dienstverlener: 1. Afhankelijk van release- en supportbeleid van de ISV (functionele/technische afhankelijkheid van software-toeleveranciers) 2. Afhankelijk van functioneren telecommunicatie (internet) Voor de opdrachtgever van Cloud: 1. Risico van blokkade/ontzegging van toegang tot eigen data 2. Opschorting service 3. Niet-beschikbaarheid van software, data (specifieke cloude-escrow en cloud continuiteitscontracten)

8 Contractuele issues 1. Voorwerp van de overeenkomst
- SaaS, ASP, PaaS- en IaaS: precieze scope? - welke diensten? Implementatie? De-migratie? Wijzigingen van diensten? - archiefdiensten 2. Veel standaardcontracten: take it or leave it 3. Veel contracten op een “as is” basis 4. Samenhangende contracten - migratie (door derden?) - softwareontwikkeling; webdesign; hosting - SLA voor beschikbaarheidsgaranties 5. Ketenproblematiek - Inschakeling sub-providers => waar zijn mijn data? 6. Internationale problematiek van ‘global providers’ 7. Elektronisch contracteren

9 Wat is een Cloud contract juridisch nou precies?
Overeenkomst van opdracht (diensten)? Overeenkomst van huur? Licentieovereenkomst? Gemengd contract?

10 Bijzondere aandachtsgebieden Cloud-contract
Regel de ongestoorde beschikbaarheid/toegang tot de data Cloud Secure overeenkomst (zie bijv. Samenhang aansprakelijkheid en business-model Regel de bewerkersovereenkomst (privacy-recht) (Komende) wettelijke notificatieplichten bij inbreuken beveiliging

11 Van wie zijn de data (1)? Eigendom van data: bestaat dat wel?
Teruggaveplicht bij einde contract? - expliciet overeenkomen - zorgplicht artikel 7:401 BW - kosten + vorm + formaat van teruggaveplicht 3. Download-recht 4. Backup-regeling 5. Wat wordt terug gegeven aan klant? - data en datamodel? - IE op databestand + geconverteerde bestand - Bestandsformaat Teruggaveplicht en softwareontwikkeling? - relateren opzegtermijn Cloud contract aan softwareontwikkeling

12 Van wie zijn de data (2)? - Welke data: verrijkte data of kale data?
Op eerste verzoek (toegang tot data) of alleen bij einde contract? Hoe lang bewaart de Cloud provider de data? - Teruggave of vernietiging van data? - Termijn van teruggave of vernietiging? - “Change of control” bij Cloud Provider als grond tot teruggave? Faillissement Cloud Provider als grond tot teruggave? De voor het gebruik/lezen van de data benodigde software? Klant kan ‘garantie’’ vragen dat juiste en volledige teruggave /vernietiging is gedaan Auditrecht ? Retentierecht op data ?

13 Administratie – en bewaarplicht klant van Cloud Provider
Art. 2:10 lid 1 BW, civielrechtelijke administratieplicht: bestuur moet ‘van de vermogenstoestand van de rechtspersoon en van alles betreffende de werkzaamheden … op zodanige wijze een administratie voeren .. dat te allen tijde de rechten en verplichtingen …kunnen worden gekend.” Verplichting van bestuurder Art 2:10 lid 3 BW: bewaarplicht 7 jaar: “boeken, bescheiden en andere gegevensdragers ….dat te allen tijde de rechten en verplichtingen …kunnen worden gekend.”

14 Opschorting van cloud-diensten?
Hoge Raad (inzake nutsvoorzieningen): Opschortingsrecht kan in beginsel ook worden uitgeoefend bij faillissement van de afnemer met het doel een schuld die vóór de faillietverklaring is ontstaan betaald te krijgen. Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn. Verregaande afhankelijkheid bedrijfsvoering van klant een grond om niet op te schorten

15 Faillissement klant van cloud provider
Art. 105 Faillissementswet: “De gefailleerde is verplicht … de curator alle inlichtingen te verschaffen” Uit inlichtingenplicht volgt de afgifteplicht administratie Schending van administratie- en bewaarplicht: strafbaar (342-3 Wetboek van Strafrecht) Schending afgifteplicht: niet strafbaar

16 Rechtspraak 1. Vzr Rechtbank A’dam : Molhuysen qq/SaaSplaza (Olily-zaak) - ICT op 1 lijn met nutsvoorziening? Rechtbank laat dit in het midden - Doorleverplichting 10 dagen tegen zekerheid voor betaling vanaf datum surseance. 2. Vzr Rechtbank Rotterdam (Free Record Shop) - Cloudovereenkomst was geëindigd, maar toch belangenafweging ten gunste van curator - Vendor lock in; geen alternatief voor curator - Curator moet voldoende zekerheid stellen 3. Hof Den Bosch 26 maart 2013, (curator Retera qq/ Vict) - Curator moet gewoon betalen voor de afname van Clouddienst tijdens faillissement

17 Voorontwerp Wet versterking positie curator
Voorstel van Artikel 105b Faillissementswet: “Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.”

18 Aansprakelijkheid Cloud Computing
- Outsource responsibilities ≠ outsource accountabilities/liabilities Aansprakelijkheden in het licht van andere ‘business-modellen’ - invloed op de aansprakelijkheidslimieten Aansprakelijkheden Cloud provider op deelonderwerpen: - aansprakelijkheid software/data van derden - aansprakelijkheid voor koppeling websites van derden - aansprakelijkheid m.b.t. de inhoud van dataverwerking - aansprakelijkheid m.b.t. security incidents/data-breaches - aansprakelijkheid m.b.t. availability van de dienstverlening - aansprakelijkheid m.b.t. naleving privacywetgeving - Aansprakelijkheid gebruiker voor onrechtmatige content 18

19 De beroepsaansprakelijkheidsverzekering voor Cloud Providers
U bent softwareleverancier en wordt SaaS-provider? - Let op verzekerde hoedanigheid ! - Dekking: beroepsfouten of wanprestatie? Uitsluitingen: garantieproblematiek Samenhang met SLA Cybersecurity incidents

20 Dataverminking en zaaksbeschadiging
- Dekkingsomvang AVB: - zaakschade - letselschade - dood - Knelpunt in ICT: dataverminking? Is dat zaakschade? Gerechtshof Den Haag 4 juni ja Reactie deel van de verzekeringssector op dit arrest => dataverminking overhevelen naar BAV-dekking. Want: (i) zwaar, aan beroep verbonden risico (systeembeheer) (ii) dataverminking impliceert soms tevens schending zorgplicht, onderzoeksplicht, waarschuwingsplicht.

21 Beschikbaarheidsgarantie Cloud dienst (I)
Doelstelling beschikbaarheidsgarantie - resultaat of inspanning? wat zijn de gevolgen van de garantie? Definitie beschikbaarheid - systeemgrenzen en systeemcomponenten - tijdseenheid (7x24 uur per maand, kwartaal etc) - partiële beschikbaarheid Uitvallen van de ASP/SaaS-dienst - gedeeltelijke niet-beschikbaarheid - uitval van alle of van essentiele functies - voorzienbaar onderhoud - uitvallen van datanetwerkfaciliteiten van derden

22 Beschikbaarheidsgarantie Cloud dienst (II)
Het meten van daadwerkelijke beschikbaarheid - hoe en door wie? - relevantie voor bewijslast? Rapportageverplichtingen? Boekenclausule: bewijsovereenkomst Sancties op het niet halen van beschikbaarheidslevel? Geen specifieke sancties? Malus (prijssanctie); sole remedy clause? Boete Wanprestatie (ontbinding, opzegging?)

23 Bewerkersovereenkomst volgens Wet Bescherming Persoonsgegevens
- Cloud Provider en klanten moeten schriftelijke bewerkersovereenkomst sluiten - bewerker heeft eigen beveiligingsplicht; bewerker moet de beveiligingsplicht van de klant nakomen - Klant heeft zorgplicht t.a.v. de beveiliging door bewerker  Security as a Service - toezichtplicht verantwoordelijke => relevant in de fase voor totstandkoming contract en bij uitvoering. Toezicht: permanent, periodiek of steekproefsgewijs? - verwerking persoonsgegevens alleen in opdracht van verantwoordelijke

24 Informatiebeveiliging: de CIA-triade
Confidentiality => exclusiviteit van informatie: alleen geautoriseerde personen hebben toegang en de informatie kan niet uitlekken. Integrity => actuele, correcte en volledige informatie, al dan niet op basis van een geautoriseerd proces of geautoriseerde personen Availability => kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid, veelal conform service levels (vgl. business continuity management)

25 Wettelijke en contractuele notificatieverplichtingen
Wettelijke meldplichten bij inbreuken op informatiebeveiliging Nieuwe ontwikkelingen Wanneer notificeren? Aan wie notificeren? Gevolgen voor de informatieplichten van de Cloud Provider in het cloud-contract

26 Auditregeling (1) - Wie mag audit doen: klant zelf of externe, onafhankelijke auditor? - Periodiciteit: jaarlijks of op elk willekeurig moment? - Audit op welke systemen van provider? - Audit t.a.v. naleving wet, contract, beveiliging en juistheid facturen? - Termijn van aankondiging van audit? - Mate van medewerkingsverplichting cloud-provider? - Heeft auditor een kopieerrecht? - Krijgt cloud-provider een kopie van het (concept-) audit rapport? - Besluitvorming n.a.v. audit rapprt? - Auditing op subcontractor (sub cloud provider)? - Kosten audit? - Gevolgen van audit als deze ‘verkeerd uitpakt’: wanprestatie Cloud Provider of ruimte voor contra-audit?

27 Auditregeling (2) - Verhouding auditrecht tot Verklaring SAS-70 en opvolger ISAE 3402 van de eigen auditor bewerker (ICT-dienstverlener). - Third Party Assurance rapportage over kernvraag: is de serviceorganisatie ‘in control’? - Relevant ivm SOx-wetgeving (US beursgenoteerde ondernemingen). Verplicht voor banken, pensioenfondsen e.d. door Autoriteit Financiële Markten. - Twee type verklaringen: - type I verklaring = het bestaan en de opzet van de beheersmaatregelen worden in de verklaring beschreven + auditor geeft oordeel of deze voldoende zijn om de vastgestelde beheersdoelstellingen te realiseren. - type II verklaring = type I + een oordeel of de interne controle maatregelen in praktijk effectief hebben gewerkt gedurende een bepaalde periode.

28 Contractuele aandachtsgebieden: varia
1. Wijziging van de dienst 2. Wijziging van de voorwaarden 3. Testen software en ingebruikname 4. Looptijd 5. Gebruik van de dienst louter voor eigen organisatie; reseller- en timesharingverbod 6. Account; verlopen account 7. Afgifte data aan derden; geheimhouding 8. Heeft service provider zelf toegang tot de data 9. Technische bescherming van het systeem 10. Intellectuele eigendom

Download ppt "Cloud Computing & Recht Mr"

Verwante presentaties

Cloud Computing Seminar 28 juni 2011. Automatisering Systeembeheer Bekabelde netwerken Draadloze netwerken ICT beveiliging Zakelijk internet Online back-up.

Cloud Computing Seminar 28 juni Automatisering Systeembeheer Bekabelde netwerken Draadloze netwerken ICT beveiliging Zakelijk internet Online back-up.
Hoe werkt een (gemengde) VvE?

Hoe werkt een (gemengde) VvE?
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
#Exactlive12 / #livesessie8 Wel of niet naar de cloud?

#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
De zin en onzin van escrow

De zin en onzin van escrow
Impact van EU-regels op aanbieders betaaldiensten Simon Lelieveldt.

Impact van EU-regels op aanbieders betaaldiensten Simon Lelieveldt.
De onderneming als boekhoudkundige entiteit

De onderneming als boekhoudkundige entiteit
Het Full Service Concept

Het Full Service Concept
WEB toepassingen. Wat is een WEB toepassing of applicatie t.t.z... een WEB applicatie is een applicatieprogramma welke je via internet kunt gebruiken,

WEB toepassingen. Wat is een WEB toepassing of applicatie t.t.z... een WEB applicatie is een applicatieprogramma welke je via internet kunt gebruiken,
Aansprakelijk? Reken maar…!.

Aansprakelijk? Reken maar…!.
Subsetten & Anonimiseren

Subsetten & Anonimiseren
De ‘juridische links’ met je website Toelichting in vogelvlucht van een aantal juridische aandachtspunten bij webdevelopment en e-commerce Feweb On Tour.

De ‘juridische links’ met je website Toelichting in vogelvlucht van een aantal juridische aandachtspunten bij webdevelopment en e-commerce Feweb On Tour.
Aanbesteding of Subsidie

Aanbesteding of Subsidie
INTERNET EN UW DAGELIJKSE BEDRIJFSVOERING Wim de Rave De BedrijfsAdviseur.

INTERNET EN UW DAGELIJKSE BEDRIJFSVOERING Wim de Rave De BedrijfsAdviseur.
Testdata Management Ketentest

Testdata Management Ketentest
Round Table “Ontwikkelingen SAS70”

Round Table “Ontwikkelingen SAS70”
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.

Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
Debat BB ICT samenwerking Equalit 14 februari 2013

Debat BB ICT samenwerking Equalit 14 februari 2013
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
Dé complete online werkplek met de kracht van Office 365

Dé complete online werkplek met de kracht van Office 365

Verwante presentaties

Ads door Google