zoeken binnen de website

Lex et nimbus

door: Ruud Leether | 5 december 2013

De cloud is goedkoper en betrouwbaarder. En maakt uw organisatie flexibel en efficiënt. Daar kan geen eigen serverpark tegenop. Zegt men. Maar wat zijn de juridische consequenties van een virtuele infrastructuur en data waarvan veelal nauwelijks bekend is waar die uithangen?

(De aftrap voor het seminar ‘Lex et nimbus, juridische consequenties van de cloud’)

Lex et nimbus

Het zal je maar gebeuren: een telefoontje van een curator die u vertelt dat zijn cliënt, toevallig ook uw cloudprovider, in staat van faillissement verkeert en geen diensten meer verricht terwijl tal van uw bedrijfskritische data door hem zijn opgeslagen. Is er in dat geval ten minste voor een goede exitregeling gezorgd of bevat het contract wellicht een actieve escrowregeling waarvan u gebruik kunt maken? En is de curator wel bereid om aan de uitvoering van een exitregeling mee te werken? En zo ja, kunt u dan ook inderdaad snel overstappen naar een andere cloudprovider of loopt u vervolgens tegen een keiharde ‘vendor lock-in’ aan omdat uw failliete provider niet met open standaarden blijkt te hebben gewerkt?

Over cloudcomputing, het via internet op basis van behoefte afnemen en betalen van hardware, software en andere IT-diensten, valt niet alleen veel te vragen, maar ook veel te vertellen. Bijvoorbeeld dat het goedkoper is dan ‘ouderwets’ gelicenseerde software of de aanschaf van eigen hardware omdat behalve de investeringskosten ook de hoge beheerkosten van eigen IT met een overstap naar de cloud tot het verleden behoren. De gebruiker van de cloud krijgt daarvoor een eigen – virtuele – infrastructuur in de plaats die niet alleen beter schaalbaar, maar ook betrouwbaarder is omdat cloudproviders veelal met de nieuwste software werken. Bovendien zijn uw documenten en programma’s in de cloud altijd en overal beschikbaar en kunnen ze vanaf iedere pc, laptop, tablet en zelfs smartphone worden benaderd. Voordelen die met een eigen serverpark niet of nauwelijks te realiseren zijn.

Niet nieuw

Helemaal nieuw is de cloud trouwens niet. Al in de jaren zestig van de vorige eeuw werden IT-resources, toen nog in de vorm van ‘timesharing’, gezamenlijk gebruikt terwijl IT-diensten al vanaf de jaren negentig via internet worden aangeboden. Denk maar aan ASP en later SaaS, Hotmail- en Gmail-diensten.
Wat de cloud als fenomeen vooral van die eerdere ontwikkelingen onderscheidt, is de enorme wereldwijde schaal waarop deze internetdienstverlening zich in razend tempo heeft ontwikkeld. Die snelle groei heeft diverse oorzaken. Allereerst de afgelopen jaren binnen de IT-branche sterk toegenomen behoefte aan standaardisering, alsook de aanzienlijk gegroeide capaciteit van internet.

Ook de onstuitbare opkomst van ‘Het Nieuwe Werken’, met tijd- en plaatsonafhankelijke beschikbaarheid van documenten als bestaansvoorwaarde, heeft aan de snelle opkomst van de cloud bijgedragen. En niet te vergeten natuurlijk technische ontwikkelingen zoals de komst van nog snellere processoren met behulp waarvan ‘virtualisatie’ – een eveneens al langer bestaande techniek waarmee op een fysieke server tegelijkertijd verschillende besturingssystemen kunnen draaien – nieuw leven kon worden ingeblazen. Anno 2013 staat cloudcomputing dan ook hoog op de agenda van bedrijfsleven, overheid en Europese Commissie en zullen steeds meer IT-gebruikers de overstap van het werken met eigen hard- en software naar deze nieuwe vorm van IT-dienstverlening serieus willen wagen.

Juridische vraagstukken

Niet alleen onderwerpen als efficiencywinst en kostenbesparingen, maar ook potentiële risico’s voor de continuïteit van de bedrijfsvoering bij uitbesteding van kritische bedrijfsprocessen zullen bij het nemen van een beslissing daarover in kaart moeten worden gebracht. Daarbij worden niet alleen managers en IT’ers, maar ook juristen voor nieuwe uitdagingen gesteld. Uitdagingen, omdat met de komst van de cloud ook tal van nieuwe juridische vraagstukken aan de orde zijn die niet zelden een contractuele relatie hebben. Bijvoorbeeld de vraag hoe clouddienstverlening juridisch moet worden gekwalificeerd. Is ze onder te brengen bij een van de wettelijk geregelde overeenkomsten en zo ja, wat betekent dat dan voor de wederzijdse rechten en verplichtingen van partijen? En heeft de afnemer van een clouddienst als SaaS ook zelf een licentie nodig om de betreffende software rechtmatig te kunnen gebruiken en kan hij – dus – ook zelf te maken krijgen met ‘incompliancy’?

Natuurlijk zijn er ook veel vragen over de vertrouwelijkheid van uw persoons- en bedrijfsgegevens. Die worden in de cloud immers opgeslagen op servers van derden waarvan het gebruik meestal ook nog eens met anderen wordt gedeeld. Bovendien zal bij gebruik van de cloud lang niet altijd ‘real time’ bekend zijn waar uw data zich bevinden en – dus – evenmin of opslag daarvan elders voldoet aan daar geldende specifieke wettelijke regelingen. Dat dergelijke specifieke regelingen soms ook extra bevoegdheden tot het opvragen en inzien van uw data inhouden, is reeds uitvoerig aan de orde geweest tijdens het seminar van iBestuur in maart van dit jaar over de Amerikaanse Patriot Act.

Weinig contractueel maatwerk

Ook andere aspecten verdienen de aandacht. Zo werken de meeste cloudproviders met standaardcontracten die, in ieder geval naar eigen zeggen, nauwgezet aansluiten bij hun businessmodellen. Bovendien betekent een keuze voor afname van diensten uit de cloud, zeker als het daarbij gaat om de ‘public cloud’, feitelijk een keuze voor standaarddiensten en ligt contractueel maatwerk reeds daarom niet echt in de rede. Een grote bereidheid tot onderhandelen over contractvoorwaarden zal er bij de cloudproviders dan ook voorspelbaar niet zijn. Toch gebeurt dat, leert de praktijk, zeker bij grotere klanten op onderdelen wel degelijk. Daarom is het van belang te weten waar enige contractuele bijsturing nog wel mogelijk lijkt. Ten slotte is het van belang te weten in welke richting de Europese Commissie denkt die blijkens de Digitale Agenda van Neelie Kroes bezig is met het opstellen van een Europees raamwerk voor billijke contractvoorwaarden bij cloudcomputing.

Met het vorenstaande zijn niet meer dan enkele van de vele onderwerpen genoemd die bij een overstap naar de cloud de juridische revue passeren. Bij sommige van die onderwerpen en zeker een als virtualisatie is (enig) inzicht in en begrip van de onderliggende IT-techniek voorwaarde om tot werkbare juridische oplossingen te kunnen komen. Zorgvuldige communicatie met de IT-business is ook daarom noodzakelijk voor een adequate juridische governance van de cloud.

iBestuur organiseert in de reeks juridische seminars op 13 maart 2014 een bijeenkomst waarbij juristen in het eerste deel de essentiële technologische cloud-kennis krijgen aangereikt zodat in het tweede deel de juridische aspecten van de cloud helder gedefinieerd en bediscussieerd kunnen worden.

Ruud Leether is legal counsel bij de Rijksoverheid.

tags: , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.