CLOUD COMPUTING JURIDISCH BEKEKEN ERIK VALGAEREN STIBBE REAL DOLMEN 25 MAART 2014

CLOUD COMPUTING JURIDISCH BEKEKEN ERIK VALGAEREN – STIBBE REAL DOLMEN – 25 MAART 2014

Agenda

1. Juridisch kader 1.1 Het algemeen juridisch kader 1.2 “e”-wetgevingen 1.3 Sectorspecifieke vereisten 1.4 Enkele cases 2. Risk mitigation: contracteren Annex: Risk assessment checklist

1

1. Het juridisch kader

• Cloud computing is geen juridisch neutraal gegeven • Verschillende wetgevingen kunnen van toepassing zijn: o Het algemene juridisch kader: verbintenissenrecht; fiscaal recht; arbeidsrecht; … o Verschillende “e” wetgevingen: de e-commerce wet; de privacywet; o Sectorspecifieke vereisten: richtlijnen van de voormalige CBFA met betrekking tot outsourcing door financiële instellingen

2

1. Het juridisch kader 1.1 Het algemeen juridisch kader

• Verbintenissenrecht: o Levering van diensten • Fiscaal recht: o volgens welk regime worden deze diensten belast? • Arbeidsrecht: o cao nr. 39 betreffende de invoering van de nieuwe technologieën:
voorlichting en overleg in geval van investering in nieuwe technologie met belangrijke gevolgen voor de werkgelegenheid, de werkorganisatie of de arbeidsvoorwaarden;
minstens 3 maanden voor de invoering van de technologie;
in ondernemingen die gemiddeld 50 werknemers te werk stellen. 3

1. Het juridisch kader 1.2 “e”-wetgevingen

• E-commerce wet: o Legt informatieverplichtingen op aan leveranciers van diensten van de informatiemaatschappij; o Dit zijn diensten die gewoonlijk tegen vergoeding langs elektronische weg op afstand en op individueel verzoek worden aangeboden; o Voornamelijk van toepassing op standaard cloud oplossingen die online kunnen worden besteld (bv.: Dropbox; MS Azure, iCloud, …)

4

1. Het juridisch kader 1.2 “e”-wetgevingen

• Privacy wet: o Cloud computing betekent in de meeste gevallen ook de verwerking van persoonsgegevens; o Verwerking van persoonsgegevens kan enkel volgens bepaalde regels (legitimiteit, transparantie en proportionaliteit); o Verplichtingen rusten op de “verantwoordelijke voor de verwerking”. Dit is in principe de afnemer van de cloud diensten; o Leverancier van de cloud diensten treedt dan op als de verwerker; o Bepaalde aspecten moeten verplicht contractueel vastgelegd worden met de cloud-provider (art. 16):
minimale beveiligingsmaatregelen
de aansprakelijkheid van de verwerker
het principe dat de persoonsgegevens slechts in opdracht van de verantwoordelijke verwerkt mogen worden 5

1. Het juridisch kader 1.2 “e”-wetgevingen

• Privacy wet: o Doorgifte van persoonsgegevens buiten de Europees Economische Ruimte (EER) mogen slechts in geval van een passend beschermingsniveau (“adequate level of protection”) o Hebben een passend beschermingsniveau volgens de Europese Commissie:
Alle landen binnen de EER;
Andorra, Argentinië, Australië; Canada; Zwitserland, Faeröer eilanden, Guernsey, Israël, Isle of Man, Jersey, Nieuw-Zeeland, Uruguay;

o Andere mogelijkheden om een passend beschermingsniveau te bieden:
De EU-US Safe Harbor principes;
De « Model Clauses » van de Europese Commissie ;
Binding Corporate Rules (BCR's).

o Het voorstel voor een nieuwe Privacy verordening voorziet bovendien in een “European Data Protection Seal” en zou de scope van BCR’s uitbreiden naar onderaannemers.

6

1. Het juridisch kader 1.3 Sectorspecifieke vereisten

o Kredietinstellingen, verzekerings- en herverzekeringsondernemingen, betalingsinstellingen, beursvennootschappen, vereffeningsinstellingen en de met vereffeningsinstellingen gelijkgestelde instellingen en de Belgische bijkantoren van deze instellingen: o Mededeling van de Nationale Bank van België van 9 oktober 2012 m.b.t. de prudentiële verwachtingen ten aanzien van cloud computing:
Een vorm van outsourcing;
De richtlijnen i.v.m outsourcing zijn van toepassing;
Geen voorafgaande toestemming vereist, maar de NBB verwacht wel geïnformeerd te worden over de naleving van deze richtlijnen. o Circulaire 2004/5, 2006/1 en 2007/5 van de CBFA met betrekking tot gezonde beheerspraktijken bij uitbesteding zijn van toepassing. o De circulaires bevatten onder andere richtlijnen met betrekking tot het opstellen van een outsourcingpolicy; het behoud van de verantwoordelijkheid; veiligheid, audits en de bevoegdheid van de prudentiële toezichthouder. 7

1. Het juridisch kader 1.4 Enkele cases (a) Hof van Beroep ‘s Hertogenbosch (NL) 26 maart 2013 (LJN: BZ5770):

Feiten: o Gegevens van een onderneming in faillissement waren in de cloud opgeslagen; o Curator kreeg geen toegang tot de administratie van de onderneming gezien de cloud diensten geschorst waren als gevolg van niet betaling; o De cloud computing provider overhandigde de data op een niet geordende manier, zodat de curator de software van de provider nodig had om de gegevens te kunnen lezen; o Curator stapt naar de rechtbank om gratis toegang te krijgen tot de diensten van de cloud computing provider.

Beslissing: De rechtbank oordeelt dat de curator’s bevoegdheden een kosteloze toegang tot de diensten niet verantwoorden. De cloud computing provider heeft recht op een commerciële compensatie. 8

1. Het juridisch kader 1.4 Enkele cases (b) Tribunal de Grande Instance de Nanterre (FR) in kortgeding 30 november 2012:

Feiten: o

Een politieke partij had een SaaS contract gesloten voor een duur van 2 jaar;

o

Na afloop van de overeenkomst slaagde de partij er niet in haar gegevens te recupereren en te migreren naar de nieuwe provider;

o

Volgens de SaaS provider was dit het gevolg van een bug, die snel hersteld zou worden;

o

De politieke partij dreigde in tijdsnood te raken om haar gegevens tijdig te migreren.

Beslissing: o

o

De rechtbank gaf de SaaS provider de keuze: o

Ofwel zou het de partij alle mogelijke middelen ter beschikking stellen om haar gegevens te migreren;

o

Ofwel zou het haar diensten kosteloos blijven leveren aan de partij, tot dat deze minstens twee maanden de tijd had gehad om haar gegevens te migreren.

De rechtbank legde bovendien een dwangsom van 5000 EUR op per dag vertraging. 9

1. Het juridisch kader 1.4 Enkele cases (c) Rechtbank Amsterdam (NL) 19 september 2013 (ECLI: RBAMS: 2013:6969):

Feiten: o

Volgens de eiser kan het bewijs van een inbreuk van een werknemer op een niet-concurrentiebeding gevonden worden in de e-mails van de werknemer.

o

De vraag rijst of bewijsbeslag van gegevens opgeslagen in de cloud mogelijk is in zaken waar geen intellectuele eigendomsrechten aan het verzoek ten grondslag gaat.

Beslissing: De rechtbank oordeelde dat: o

De handelingen van de werknemer het bewijsbeslag rechtvaardigden;

o

De werknemer de plicht heeft om het bewijsbeslag mogelijk te maken door gebruikersnamen, paswoorden en andere toegangscodes voor elektronische bestanden die elders zijn opgeslagen aan te geven;

o

Het bewijsbeslag werd toegestaan voor de volgende documenten: o

o

Alle documenten op de laptop van de werknemer of alle documenten die toegankelijk zijn vanop de laptop voor zover zij zich bij de providers bevinden van wiens diensten de werknemer gebruik maakt (Gmail, KPN Backup, Planet, Hotmail, Ogone.com, PayPal.com, de hosting provider) – medewerkingsplicht met de beslagleggende deurwaarder.

Kopies mogen worden genomen en indien dit onmogelijk zou zijn kan de deurwaarder de originele (digitale) documenten in beslag nemen. 10

1. Het juridisch kader 1.4 Enkele cases (d) Rechtbank Amsterdam (NL) 9 april 2009 (ECLI: RBAMS:2009:BJ5539)

Feiten: o

Twee partijen hebben een overeenkomst gesloten, waarbij Oilily B.V. de opdracht heeft gegeven aan Saasplaza voor het opzetten en beheren van IT infrastructuur.

o

Als gevolg van het faillissement van Oilily en de betalingsachterstand van ongeveer 200. 000 EUR, wil Saasplaza de uitvoering van het contract opschorten.

o

Oilily argumenteert dat Saasplaza niet kan overgaan tot het onmiddellijk opschorten van het contract, gezien het vitaal belang van de bedrijfsprocessen beheerd door Saasplaza.

o

Doel van Oilily is een doorstart na het faillissement.

Beslissing: o

Gelet op het vitale belang van de IT infrastructuur beheerd door SaaSplaza, oordeelt de Rechtbank dat Oilily een redelijke termijn van ongeveer 10 dagen moet krijgen om zich voor te bereiden op de stopzetting van het contract. SaaSplaza wordt dus verplicht zijn diensten verder te leveren.

o

SaaSplaza wordt niet verplicht zijn diensten gratis verder te leveren: de bewindvoerder moet 40.000 EUR storten op de kwaliteitsrekening van de advocaat van SaaSplaza (voor de periode van 31 maart 2009 tot en met 20 april 2009). 11

3. Risk Mitigation: Contracteren • • • •

Onderhandelen of niet? In bepaalde gevallen (bv. pilootprojecten) niet de moeite Vaak “take it or leave it” Veel hangt af van de onderhandelingspositie: • Deals met een belangrijke strategische, financiële waarde of waarvan de reputatiewaarde groot is, geven meer kans om bepaalde zaken te onderhandelen. • In bepaalde gevallen kan het voordelig zijn om met integratoren te werken: • Integratoren hebben langdurige relaties met cloud providers waardoor ze vaak beter in staat zijn om te onderhandelen • Integratoren zijn in sommige gevallen ook bereid om meer contractuele garanties te geven dan cloud providers • “back to back” risico 12

3. Risk Mitigation: Contracteren Scope: • De omschrijving van de diensten moeten overeenkomen met wat er effectief wordt geleverd; • Vaak een algemene beschrijving met verwijzing naar bijlage voor een specifieke omschrijving • Specifieke omschrijving wordt vervolgens vaak vergeten.

13

3. Risk Mitigation: Contracteren Ondersteuning: • Beschikbaarheid van de helpdesk; • Incident prioritering; • Responstijden; • Tijd om een incident op te lossen; • Service credits; • Rapportering en logging van incidenten.

14

3. Risk Mitigation: Contracteren Transitie: • Transitieplan; • Migratiediensten; • Integratie in de bestaande IT omgeving

15

3. Risk Mitigation: Contracteren Exit management • Migratie; • Duur van migratieondersteuning; • Data portabiliteit (toegankelijk, leesbaar en importeerbaar in andere toepassingen); • Data retentie en verwijdering bij beëindiging.

16

3. Risk Mitigation: Contracteren Intellectuele eigendom • Afhankelijk van het soort van cloud diensten (IaaS, Paas of SaaS)

17

3. Risk Mitigation: Contracteren SLA’s • KPI’s • Minimum beschikbaarheid • Service credits (enige sanctie?) • Monitoring

18

3. Risk Mitigation: Contracteren Beveiliging • Technische maatregelen; • Organisatorische maatregelen; • Pen tests; • Certificaten (ISO 27001, 27002, …) • Audits; • Security breach notification

19

3. Risk Mitigation: Contracteren Confidentialiteit • Confidentialiteit van alle gegevens in de cloud; • Overleeft beëindiging voor een bepaalde duur; • Access logs van medewerkers van de cloud provider; • Voorwaarden voor vrijgave van informatie aan de autoriteiten.

20

3. Risk Mitigation: Contracteren Opschorting van de diensten: • Redenen voor opschorting; • Operationele impact!

21

3. Risk Mitigation: Contracteren Governance • SPOC’s; • Regelmatige besprekingen; • Escalatie procedure; • Rapportering.

22

3. Risk Mitigation: Contracteren Audits • Frequentie; • Audit rapport van de provider; • Audits door de klant; • Audits door onafhankelijke auditkantoren; • kostenverdeling.

23

3. Risk Mitigation: Contracteren Privacy • Locatie van de gegevens; • Adequate level of protection (Safe Harbor/BCR’s/Model Clauses) • Verwerkersovereenkomst.

24

CONTACTGEGEVENS

Erik Valgaeren Partner TMT T +32 2 533 53 51 F +32 2 533 51 15 E [email protected]

Annex: Risk Assessment: een checklist Interne checklist

• Wat zijn de noden van mijn onderneming? Hoe kan mijn IT infrastructuur deze noden het beste ondersteunen? • Welk beveiligingsniveau heb ik nodig? • Welke graad van beschikbaarheid (availability) heb ik nodig? • Biedt de cloud een gepaste oplossing voor mijn noden? • Zijn er arbeidsrechtelijke vereisten voor voorlichting en overleg? • Is de sourcing strategie compatibel met andere strategieën en policies binnen de onderneming? • Heb ik de transitiekosten (migratie, kosten voor de decompositie van de bestaande infrastructuur en licenties) mee in rekening genomen bij het berekenen van de return on investment? 26

Annex: Risk Assessment: een checklist Externe checklist

• Wie zijn de aandeelhouders van de cloud computing provider? • Wie zijn de leden van de raad van bestuur van de provider? • Welke ondernemingen zijn gelieerd met de provider? • Hoe is de reputatie van de provider? • Hoe is de financiële situatie van de provider? • Welke zekerheden heeft de provider in het verleden reeds gegeven? Bankgarantie, borgstelling van de moedervennootschap? • Was de provider in de voorbije vijf jaar betrokken in gerechtelijke procedures met betrekking tot zijn cloud diensten? • Is de provider momenteel in een gerechtelijke procedure betrokken (al dan niet gerelateerd tot de cloud diensten)? • Verwacht de provider gerechtelijke procedures met betrekking tot zijn cloud diensten? • Was de provider in de voorbije 10 jaar betrokken in een strafrechtelijk onderzoek?

27

Annex: Risk Assessment: een checklist Externe checklist

• Hoe vaak werd de provider in de voorbije 2 jaar gecontacteerd door de autoriteiten met een verzoek om toegang te krijgen tot bepaalde gegevens in de cloud? • Hoe is de provider verzekerd? • Heeft de provider in de voorbije 5 jaar aangifte gedaan van bepaalde incidenten bij zijn verzekeraar? • Wat zijn de hoofdcomponenten van de diensten van de cloud provider? • Voor welke van deze componenten heeft de provider de intellectuele eigendomsrechten? • Welke van deze componenten zijn eigendom van een derde partij en worden de provider in licentie gegeven? • Welke open source oplossingen gebruikt de provider? • Welke technische standaarden leeft de provider na (ISO, CMMI, BSI, …)? • Is de provider eigenaar van zijn eigen infrastructuur of werkt hij met onderaannemers?

28

Annex: Risk Assessment: een checklist Externe checklist

• Welke technische en organisatorische beveiligingsmaatregelen neemt de provider? • Is een pre-contractuele beveiligingsaudit mogelijk? • Hoe gaat de provider om met de vereisten van de privacywet? • Welke business continuity/ disaster management plannen heeft de provider? • Zijn regelmatige back-ups door de provider deel van de standaard dienstverlening? • Hoeveel datacenters heeft de provider? • Waar worden de gegevens opgeslagen? • Is de provider onderhevig aan US recht (US Patriot Act)? • Wat is de provider’s strategie voor de toekomst en is dit compatibel met mijn noden? 29