Regelgeving loopt achter bij cloud computing

De juridische consequenties van cloud computing stonden vorige week centraal tijdens het iBestuur seminar Lex et nimbus, ‘de wet en de wolk’. Conclusie: wet- en regelgeving lopen niet in de pas met de mogelijkheden van cloud computing. Concrete juridische handvatten werden tijdens het seminar geboden. Maar een beetje mistig blijft het wel.

Seminar: De juridische consequenties van de cloud

Juridische aandachtspunten zijn er genoeg bij cloud computing. Middagvoorzitter Ruud Leether, legal counsel bij de Rijksoverheid, noemt er een aantal bij de opening van het seminar. Zoals de vraag van wie de data zijn als deze bij een externe partij staan, hoe veiligheid en gegevensbescherming zijn geregeld en wat er gebeurt als de cloudleverancier failliet gaat.

Ton Monasso van PBLQ Zenc schetst tegenover een zaal vol juristen van lokale en centrale overheden de ontstaansgeschiedenis van cloud computing. In de beginjaren van de automatisering stonden alle data en toepassingen op een mainframe, daarna werd dit dankzij het goedkoper worden van verbindingen en het sneller worden van computers uit elkaar getrokken in client-server omgevingen. Data en bestanden stonden op diverse servers, die werden benaderd vanaf een personal computer.

Ongrijpbaar
Door ontwikkelingen in virtualisatiesoftware werd het vervolgens mogelijk om data en toepassingen op allerlei verschillende systemen te draaien, terwijl het lijkt alsof die op één systeem staan. Dat leidde uiteindelijk tot cloud computing, volgens Monasso “iets dat per definitie ongrijpbaar is, dus lastig te definiëren”. Hij doet wel een poging: het op afstand zetten van data en toepassingen is niet nieuw, maar wel het feit dat je het gebruik daarvan als dienst afneemt. Een organisatie huurt desgewenst alle ICT bij een cloudleverancier; hardware, software en data staan dan allemaal bij een externe partij. “Coud computing is een combinatie van een technische inrichting van ICT met een economisch model, namelijk dienstverlening.” Monasso wijst op het verschil tussen een publieke en een private cloud. Bij een publieke cloud, zoals Google en Amazon aanbieden, weet de afnemer meestal niet waar de data staan en maken allerlei klanten gebruik van dezelfde infrastructuur. In een private cloud hebben klanten meer grip. “Maar pas op, want veel is marketing. Ook in een private cloud deel je de ICT met andere klanten.”

De risico’s van de cloud
Zijn de juridische uitdagingen van cloud computing nieuw? Kees Stuurman, hoogleraar Normering van Informatietechnologie aan de Universiteit van Tilburg en advocaat bij Van Doorne: “Veel aspecten hebben we eerder gezien, bij hosting en outsourcing.” Hij vertelt in zijn betoog dat de valkuilen van outsourcing ook hier gelden. “Ook bij cloud computing heb je een goede regie-organisatie nodig en moet je je exitstrategie al aan het begin, in de contractfase, regelen.” Een aantal aspecten van cloud computing is wel nieuw, zegt hij. Hij wijst op de complexe structuur van voorwaarden die cloudleveranciers hanteren, voorwaarden die zij bijvoorbeeld eenzijdig kunnen wijzigen. “De cloudindustrie is in juridische zin onvolwassen. Dezelfde ontwikkeling zagen we in de software-industrie, daar is dat nu uitgekristalliseerd”, concludeert hij.

Stuurman onderscheidt vier risico’s van werken met de cloud: compliance & control, bescherming van persoonsgegevens, toegang van derden en continuïteit. Organisaties die kiezen voor cloud computing moeten nog steeds voldoen aan allerlei regels, bijvoorbeeld fiscale bewaarplichten. Dat geldt ook indien medewerkers zelf besluiten om cloudoplossingen te gebruiken, buiten de IT-afdeling om, zoals Gmail of Dropbox. Bestuurders zijn ook hiervoor aansprakelijk. Stuurman raadt aan om een actief beleid te voeren en duidelijk te kiezen welke data wel en niet extern geplaatst kunnen worden. “Weet wat je doet en probeer de risico’s zoveel mogelijk te beperken. Maak een goede risicoanalyse waarvoor je cloud computing wilt inzetten en gebruik deze voor de keuze voor het type cloud: publiek, private of niet. Zorg voor regie en adequaat contractmanagement.”

Oerwoud aan regelgeving
Elisabeth Thole, advocaat bij Van Doorne en hoofd van het Van Doorne Privacy Team, gaat in haar inleiding in op een risico dat Stuurman noemde: bescherming van persoonsgegevens. “Je blijft verantwoordelijk, ook als deze gegevens in de cloud staan”, zegt ze. Compliance op dit gebied blijkt echter niet gemakkelijk. Er is een grote hoeveelheid regelgeving, die soms zelfs tegenstrijdig is, zoals in het geval van de Patriot Act en de Europese privacywetgeving. Bovendien zijn de eisen die de privacyregelgeving stelt niet altijd te realiseren in de cloud. Zoals het doen van audits bij cloudleveranciers die niet openbaar maken waar de data opgeslagen zijn, laat staan dat zij hun datacentra openstellen voor de auditors van hun klanten.

Thole is nuchter in haar conclusie: “De richtlijnen komen vaak niet overeen met de praktijk.” Toch kunnen organisaties die persoonsgegevens aan de cloud toevertrouwen wel iets doen. Ze wijst op het opstellen van een goede Bewerkersovereenkomst, waarin zaken als beveiliging en een precieze omschrijving van de geleverde diensten worden opgenomen. Ruud Leether wijst op de keuze van de Nederlandse overheid voor een eigen private cloud, met eigen datacenters: “Dat is nu wellicht het meest haalbare als je de voordelen van cloud computing wilt benutten en wilt voldoen aan de regelgeving op het gebied van privacy.”

Continuïteit
Wat gebeurt er met de dienstverlening als de cloudleverancier failliet gaat en de curator de stekker er letterlijk uit trekt? De data blijven van de klant, maar de dienstverlening stopt op dat moment wel. Gaston Vankan van Softcrow vertelt over de oplossing die zijn bedrijf aanbiedt en waarmee de dienstverlening doorgaat bij een faillissement van de cloudleverancier. De oplossing is een mix van juridische en technische maatregelen. Zo worden er aan de kant van de cloudleverancier diverse juridische entiteiten opgericht, zoals een stichting voor exploitatie en beheer. Als de verkoopmaatschappij failliet gaat dan vervallen de contracten die deze heeft en wijst de stichting een opvolger aan, die de dienstverlening voortzet. Data en toepassingen blijven op deze manier beschikbaar.

Het is een praktische oplossing voor een reëel probleem, want diverse cloudleveranciers gingen al failliet. Tijdens het seminar werd al gesteld dat de markt van cloud computing nog onvolwassen is, met alle risico’s van dien. Die risico’s helemaal inperken kan (nog) niet, al was het maar omdat de regelgeving geen gelijke tred houdt met de technische ontwikkelingen. Maar er is al wel het nodige mogelijk om de risico’s te beperken. Niet kiezen voor de cloud is ook een optie, maar soms wegen de voordelen zwaarder dan de nadelen. Stuurman verwoordt het zo: “Als je alles helemaal veilig wilt, dan houd je alles in eigen huis en heb je geen verbinding met internet. Maar een moderne organisatie kan dit niet doen. ICT zonder risico’s bestaat niet.”

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.