Cloud Computing & Recht Mr Cloud Computing & Recht Mr. Peter van Schelven ZVIO – Vlissingen 22 januari 2015

Algemene knelpunten Cloud Computing Geen eenduidig begrippenkader + taalvervuiling (outsourcing, ASP, SaaS, PaaS, IaaS, hosting etc.). Voorbeeld van juridische relevantie: overheidsaanbesteding - Contractueel regelen? - risicoverdeling Cloud provider/Cloud customer - inhoud van de cloud-dienst + migratie naar de cloud (2 separate trajecten of integreren?) - Cloud Computing in diverse jurisdicties: - grote verschillen tussen landen, zelfs in Europa - gebrek aan feitelijke en juridische transparantie - ENISA heeft onderzocht: SME hecht zeer grote waarde aan juridische waarborgen (privacy en liability) 2

Begrippen Plaatsbepaling op basis van inventarisatie van feitelijke kenmerken van Cloud Computing: on demand service model voor ICT-voorzieningen brede toegang tot het netwerk + measured services (SLA) architectuur is schaalbaar en flexibel; groei/krimp organisaties + benodigde applicaties gedistribueerde infrastructuur direct beschikbare voorzieningen; laatste softwareversie (veelal) shared resources onafhankelijkheid van eigen hardware en software veelal: pay-as you-go afrekensysteem (vast bedrag pp of p/mnd of soms per jaar) 3

Besparen op ICT-kosten gebruiker? 1. Geen/minder aanschaf softwarelicenties; geen zware software investeringen 2. Korte termijn contracten 3. Minder inzet van eigen ICT-personeel (beheerders) 4. Consolidatie van verschillende applicaties tegen fractie van kosten interne ICT 5. Minder hardware (servers) + minder energie/cooling-kosten 6. Gemakkelijker integreren van systemen vanwege open systemen; besparing op integratiekosten 7. Makkelijker/sneller aanschafbeslissing o.g.v. goedkope trials => minder transactiekosten

Waarom migreren naar Cloud Computing? 1. Flexibele opslag van data (groei van data ca 50% p/jr) 2. Lagere kostprijs van software (abonnement vs eenmalige licentiekosten) 3. Lagere TCO (technisch beheer, applicatie aanpassingen, reserveonderdelen) 4. Korte + snelle implementatie 5. Solide infrastructuur 6. Dagelijks beheer verdwijnt; minder ICT-kennis in eigen huis nodig 7. Actuele versies (updates) 8. Schaalbaarheid 9. Hoge mate van beveiliging + hoge mate van beschikbaarheid

Saas-, PaaS- en IaaS-contracten Software as a Service: beschikbaarheid van de functionaliteit van eindapplicaties (administratie, email, HRM etc.) - technisch beheer: Cloud Provider - functioneel beheer: Cloud Provider en (soms ook) klant Platform as a Service: + aanbieden van additionele diensten boven op de SaaS- laag, zoals toegangs- en identiteitenbeheer, security as a service, portaalfunctionaliteiten en integratiefaciliteiten. 3. Infrastructure as a Service: eigen complete infrastructuur in de Cloud (dedicated, private platformen)

Soms grote afhankelijkheden bij Cloud Voor de Cloud dienstverlener: 1. Afhankelijk van release- en supportbeleid van de ISV (functionele/technische afhankelijkheid van software-toeleveranciers) 2. Afhankelijk van functioneren telecommunicatie (internet) Voor de opdrachtgever van Cloud: 1. Risico van blokkade/ontzegging van toegang tot eigen data 2. Opschorting service 3. Niet-beschikbaarheid van software, data (specifieke cloude-escrow en cloud continuiteitscontracten)

Contractuele issues 1. Voorwerp van de overeenkomst - SaaS, ASP, PaaS- en IaaS: precieze scope? - welke diensten? Implementatie? De-migratie? Wijzigingen van diensten? - archiefdiensten 2. Veel standaardcontracten: take it or leave it 3. Veel contracten op een “as is” basis 4. Samenhangende contracten - migratie (door derden?) - softwareontwikkeling; webdesign; hosting - SLA voor beschikbaarheidsgaranties 5. Ketenproblematiek - Inschakeling sub-providers => waar zijn mijn data? 6. Internationale problematiek van ‘global providers’ 7. Elektronisch contracteren

Wat is een Cloud contract juridisch nou precies? Overeenkomst van opdracht (diensten)? Overeenkomst van huur? Licentieovereenkomst? Gemengd contract?

Bijzondere aandachtsgebieden Cloud-contract Regel de ongestoorde beschikbaarheid/toegang tot de data Cloud Secure overeenkomst (zie bijv. www.softcrow.com) Samenhang aansprakelijkheid en business-model Regel de bewerkersovereenkomst (privacy-recht) (Komende) wettelijke notificatieplichten bij inbreuken beveiliging

Van wie zijn de data (1)? Eigendom van data: bestaat dat wel? Teruggaveplicht bij einde contract? - expliciet overeenkomen - zorgplicht artikel 7:401 BW - kosten + vorm + formaat van teruggaveplicht 3. Download-recht 4. Backup-regeling 5. Wat wordt terug gegeven aan klant? - data en datamodel? - IE op databestand + geconverteerde bestand - Bestandsformaat Teruggaveplicht en softwareontwikkeling? - relateren opzegtermijn Cloud contract aan softwareontwikkeling

Van wie zijn de data (2)? - Welke data: verrijkte data of kale data? Op eerste verzoek (toegang tot data) of alleen bij einde contract? Hoe lang bewaart de Cloud provider de data? - Teruggave of vernietiging van data? - Termijn van teruggave of vernietiging? - “Change of control” bij Cloud Provider als grond tot teruggave? Faillissement Cloud Provider als grond tot teruggave? De voor het gebruik/lezen van de data benodigde software? Klant kan ‘garantie’’ vragen dat juiste en volledige teruggave /vernietiging is gedaan Auditrecht ? Retentierecht op data ?

Administratie – en bewaarplicht klant van Cloud Provider Art. 2:10 lid 1 BW, civielrechtelijke administratieplicht: bestuur moet ‘van de vermogenstoestand van de rechtspersoon en van alles betreffende de werkzaamheden … op zodanige wijze een administratie voeren .. dat te allen tijde de rechten en verplichtingen …kunnen worden gekend.” Verplichting van bestuurder Art 2:10 lid 3 BW: bewaarplicht 7 jaar: “boeken, bescheiden en andere gegevensdragers ….dat te allen tijde de rechten en verplichtingen …kunnen worden gekend.”

Opschorting van cloud-diensten? Hoge Raad 20-03-1981 (inzake nutsvoorzieningen): Opschortingsrecht kan in beginsel ook worden uitgeoefend bij faillissement van de afnemer met het doel een schuld die vóór de faillietverklaring is ontstaan betaald te krijgen. Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn. Verregaande afhankelijkheid bedrijfsvoering van klant een grond om niet op te schorten

Faillissement klant van cloud provider Art. 105 Faillissementswet: “De gefailleerde is verplicht … de curator alle inlichtingen te verschaffen” Uit inlichtingenplicht volgt de afgifteplicht administratie Schending van administratie- en bewaarplicht: strafbaar (342-3 Wetboek van Strafrecht) Schending afgifteplicht: niet strafbaar

Rechtspraak 1. Vzr Rechtbank A’dam 9-4-2009: Molhuysen qq/SaaSplaza (Olily-zaak) - ICT op 1 lijn met nutsvoorziening? Rechtbank laat dit in het midden - Doorleverplichting 10 dagen tegen zekerheid voor betaling vanaf datum surseance. 2. Vzr Rechtbank Rotterdam 26-6-2013 (Free Record Shop) - Cloudovereenkomst was geëindigd, maar toch belangenafweging ten gunste van curator - Vendor lock in; geen alternatief voor curator - Curator moet voldoende zekerheid stellen 3. Hof Den Bosch 26 maart 2013, (curator Retera qq/ Vict) - Curator moet gewoon betalen voor de afname van Clouddienst tijdens faillissement

Voorontwerp Wet versterking positie curator Voorstel van 21-02-2014 Artikel 105b Faillissementswet: “Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.”

Aansprakelijkheid Cloud Computing - Outsource responsibilities ≠ outsource accountabilities/liabilities Aansprakelijkheden in het licht van andere ‘business-modellen’ - invloed op de aansprakelijkheidslimieten Aansprakelijkheden Cloud provider op deelonderwerpen: - aansprakelijkheid software/data van derden - aansprakelijkheid voor koppeling websites van derden - aansprakelijkheid m.b.t. de inhoud van dataverwerking - aansprakelijkheid m.b.t. security incidents/data-breaches - aansprakelijkheid m.b.t. availability van de dienstverlening - aansprakelijkheid m.b.t. naleving privacywetgeving - Aansprakelijkheid gebruiker voor onrechtmatige content 18

De beroepsaansprakelijkheidsverzekering voor Cloud Providers U bent softwareleverancier en wordt SaaS-provider? - Let op verzekerde hoedanigheid ! - Dekking: beroepsfouten of wanprestatie? Uitsluitingen: garantieproblematiek Samenhang met SLA Cybersecurity incidents

Dataverminking en zaaksbeschadiging - Dekkingsomvang AVB: - zaakschade - letselschade - dood - Knelpunt in ICT: dataverminking? Is dat zaakschade? Gerechtshof Den Haag 4 juni 1992 ja Reactie deel van de verzekeringssector op dit arrest => dataverminking overhevelen naar BAV-dekking. Want: (i) zwaar, aan beroep verbonden risico (systeembeheer) (ii) dataverminking impliceert soms tevens schending zorgplicht, onderzoeksplicht, waarschuwingsplicht.

Beschikbaarheidsgarantie Cloud dienst (I) Doelstelling beschikbaarheidsgarantie - resultaat of inspanning? wat zijn de gevolgen van de garantie? Definitie beschikbaarheid - systeemgrenzen en systeemcomponenten - tijdseenheid (7x24 uur per maand, kwartaal etc) - partiële beschikbaarheid Uitvallen van de ASP/SaaS-dienst - gedeeltelijke niet-beschikbaarheid - uitval van alle of van essentiele functies - voorzienbaar onderhoud - uitvallen van datanetwerkfaciliteiten van derden

Beschikbaarheidsgarantie Cloud dienst (II) Het meten van daadwerkelijke beschikbaarheid - hoe en door wie? - relevantie voor bewijslast? Rapportageverplichtingen? Boekenclausule: bewijsovereenkomst Sancties op het niet halen van beschikbaarheidslevel? Geen specifieke sancties? Malus (prijssanctie); sole remedy clause? Boete Wanprestatie (ontbinding, opzegging?)

Bewerkersovereenkomst volgens Wet Bescherming Persoonsgegevens - Cloud Provider en klanten moeten schriftelijke bewerkersovereenkomst sluiten - bewerker heeft eigen beveiligingsplicht; bewerker moet de beveiligingsplicht van de klant nakomen - Klant heeft zorgplicht t.a.v. de beveiliging door bewerker  Security as a Service - toezichtplicht verantwoordelijke => relevant in de fase voor totstandkoming contract en bij uitvoering. Toezicht: permanent, periodiek of steekproefsgewijs? - verwerking persoonsgegevens alleen in opdracht van verantwoordelijke

Informatiebeveiliging: de CIA-triade Confidentiality => exclusiviteit van informatie: alleen geautoriseerde personen hebben toegang en de informatie kan niet uitlekken. Integrity => actuele, correcte en volledige informatie, al dan niet op basis van een geautoriseerd proces of geautoriseerde personen Availability => kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid, veelal conform service levels (vgl. business continuity management)

Wettelijke en contractuele notificatieverplichtingen Wettelijke meldplichten bij inbreuken op informatiebeveiliging Nieuwe ontwikkelingen Wanneer notificeren? Aan wie notificeren? Gevolgen voor de informatieplichten van de Cloud Provider in het cloud-contract

Auditregeling (1) - Wie mag audit doen: klant zelf of externe, onafhankelijke auditor? - Periodiciteit: jaarlijks of op elk willekeurig moment? - Audit op welke systemen van provider? - Audit t.a.v. naleving wet, contract, beveiliging en juistheid facturen? - Termijn van aankondiging van audit? - Mate van medewerkingsverplichting cloud-provider? - Heeft auditor een kopieerrecht? - Krijgt cloud-provider een kopie van het (concept-) audit rapport? - Besluitvorming n.a.v. audit rapprt? - Auditing op subcontractor (sub cloud provider)? - Kosten audit? - Gevolgen van audit als deze ‘verkeerd uitpakt’: wanprestatie Cloud Provider of ruimte voor contra-audit?

Auditregeling (2) - Verhouding auditrecht tot Verklaring SAS-70 en opvolger ISAE 3402 van de eigen auditor bewerker (ICT-dienstverlener). - Third Party Assurance rapportage over kernvraag: is de serviceorganisatie ‘in control’? - Relevant ivm SOx-wetgeving (US beursgenoteerde ondernemingen). Verplicht voor banken, pensioenfondsen e.d. door Autoriteit Financiële Markten. - Twee type verklaringen: - type I verklaring = het bestaan en de opzet van de beheersmaatregelen worden in de verklaring beschreven + auditor geeft oordeel of deze voldoende zijn om de vastgestelde beheersdoelstellingen te realiseren. - type II verklaring = type I + een oordeel of de interne controle maatregelen in praktijk effectief hebben gewerkt gedurende een bepaalde periode.

Contractuele aandachtsgebieden: varia 1. Wijziging van de dienst 2. Wijziging van de voorwaarden 3. Testen software en ingebruikname 4. Looptijd 5. Gebruik van de dienst louter voor eigen organisatie; reseller- en timesharingverbod 6. Account; verlopen account 7. Afgifte data aan derden; geheimhouding 8. Heeft service provider zelf toegang tot de data 9. Technische bescherming van het systeem 10. Intellectuele eigendom