CONTRACTEREN IN DE CLOUD Donderdag 26 maart 2015 Mirjam Elferink en Martijn Kortier Advocaten IE, ICT & Privacy
CASUS VOORAF
Een groot museum, met miljoenen bezoekers per jaar, heeft ter verlevendiging van haar tentoonstellingen de nodige (audio)visuele en interactieve elementen in het museum geïnstalleerd. Sinds enige tijd heeft zij dat volledig uitbesteed aan een ICT-dienstverlener die genoemde diensten op afstand levert en onderhoud.
2
CASUS VOORAF
Daarmee betreft het een clouddienst. Wanneer er een storing in die dienstverlening plaatsvindt zal dat grote gevolgen hebben voor het museum. Tentoonstellingen worden minder interactief of kunnen zelfs helemaal niet plaatsvinden, bezoekers raken teleurgesteld en haken af, om over de schade die daarmee gemoeid is nog maar niet te spreken. 3
CASUS VOORAF • Op een gegeven moment is het Museum ontevreden over de mate van dienstverlening door de ICT-leverancier. Daarop besluit het museum om tijdelijk haar rekeningen niet meer te betalen. De cloudleverancier reageert furieus en dreigt met het ‘op zwart zetten’ van de schermen in het museum. •
Vraag: Mag de ICT-leverancier dat volgens u?
• N.B. overstappen naar een andere leverancier is niet eenvoudig en snel te realiseren en is bovendien kostbaar
4
1. Privacy: bewerkersovereenkomst, datalekken, Patriot Act 2. Aansprakelijkheid: verlies van data 3. Continuïteit: faillissement provider; backup- en exitregeling, escrow ; beëindiging overeenkomst 4. Aandachtspunten privacy en cloudcontracten
5
• Vaak hebben partijen geen behoefte aan de rompslomp die een overeenkomst met zich meebrengt. • Maar, in trajecten waarin een product of dienst (zoals hosting) geleverd gaat worden, zal de overeenkomst dienen als werkdocument. • Hierin kan o.a. worden opgenomen • Verwachtingen; • Omvang ontwikkeling; • Tijdsduur; • Consequenties overtreden tijdsduur
6
CASUS ONDERHANDELING Stel: •
U bent het hoofd van de ICT-afdeling van een internationaal opererend bedrijf dat alleen in Nederland al 2000 werknemers heeft. • Vanuit kostentechnisch oogpunt (en omdat u minder rompslomp wilt), wenst u de volledige personeelsadministratie van uw bedrijf naar de cloud te brengen, inclusief de verzuimregistratie. • U vindt een geschikte cloudleverancier en start met hem de onderhandelingen • Wat regelt u contractueel? Welke afspraken legt u vast? En waarom?
7
CASUS ONDERHANDELING • Maak koppeltjes van 2 personen. • Persoon 1 is de vertegenwoordiger van het bedrijf -> de klant/afnemer • Persoon 2 is de vertegenwoordiger van de cloudleverancier. • Start de onderhandelingen en noteer kort wat u overeenkomt. • Waarom bent u dat overeengekomen? Vanuit beider perspectieven bekeken.
8
ASPECTEN VAN CLOUDCONTRACTEN Privacy Beveiliging, bewerkersovereenkomst, verantwoordelijkheden Patriot Act Datalekken
Continuïteit Eigendom van de data, back-up regeling, escrow Beëindiging, exit regeling
Overige contractuele afspraken aansprakelijkheden en garanties, IE-rechten, SLA 9
CASUS: PRIVACY • Stel: u wilt uw werknemersregistratie, salarisverwerking en ziekteverzuim via een SaaS-applicatie laten opslaan bij een hostingprovider. Welke privacy-aspecten kleven hieraan?
10
WET BESCHERMING PERSOONSGEGEVENS (WBP) Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp
11
BELANGRIJKE BEGRIPPEN UIT DE WBP
Persoonsgegeven: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms òòk: IP-adres). Verwerking: Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloudleverancier.
12
BELANGRIJKE BEGRIPPEN UIT DE WBP
Verantwoordelijke: Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier). Bewerker: “Verwerkt” persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener).
13
WBP IN CLOUDCONTRACTEN 1. 2.
Bewerkersovereenkomst Beveiligingsplicht - Omschrijving maatregelen - Controle
3. 4. 5. 6. 7. 8. 9. 10.
Verwerken in opdracht Geheimhouding / geen toegang derden Subbewerkers Bewaren Exit Inzageverzoeken Informeren beveiligingsincidenten / datalekken Verwerking in EU / passend beveiligingsniveau
14
MELDPLICHT DATALEKKEN: NU VOOR TELECOMPROVIDERS, STRAKS OOK VOOR ANDERE BEDRIJVEN Meldplicht o.g.v. Telecommunicatiewet geldt voor aanbieders van openbare elektronische communicatiediensten: telecommunicatie-providers internet acces providers
Algemene Meldplicht in wetsvoorstel voor wijziging Wpb Breder toepassingsbereik: geldt voor “verantwoordelijken” in de zin van de Wbp Melden bij het Cbp en de betrokkene; Nalaten melden: bestuurlijke boete van max. € 450.000,-.
15
PATRIOT ACT VEEL IN DE MEDIA • Nederland en de NSA The Post online 12 april 2014 • 'Van de ratten besnuffeld': HP bouwt Europese cloud WebWereld 1 april 2014
• De Europese cloud: gebakken lucht of oorlog in cyberspace? Management Team 9 april 2014 • Facebook? De CIA kijkt mee NRC.Next 19 oktober 2012 16
THE PATRIOT ACT • Niet alleen individuele informatieverzoeken, maar ook voor groepen; • Beperkte rechterlijke toetsing; • Toetsing levert geen rechtsbescherming voor nietAmerikanen op; • Onduidelijkheid over reikwijdte en gebruik.
17
CASUS • Stel: u neemt een hostingdienst af van een Nederlandse onderneming met een moederonderneming in de USA. U bent contractueel overeengekomen dat uw gegevens alleen in Nederland verwerkt en opgeslagen worden.
Is de Patriot Act naar uw mening van toepassing?
18
WANNEER VAN TOEPASSING? Indien data van de gebruiker opgeslagen worden bij een bedrijf gevestigd in: • De VS; • De EU, met een VS moederbedrijf; • De EU en dat bedrijf gebruik maakt van de diensten van een VS dochteronderneming voor dataprocessing; • De EU en dat bedrijf gebruik maakt van een derde partij voor data storage of data processing, i.e. een hosting company, die gevestigd is in de VS.
19
AANBEVELINGEN
1. Ga bij uw dienstverlener na of zij onder de Amerikaanse jurisdictie valt; 2. Maak een goede risicoanalyse van de soort gegevens dat u wenst onder te brengen bij uw cloudleverancier; 3. Beslis vervolgens of u met een dienstverlener in zee wilt gaan die onder de reikwijdte van de Patriot Act valt.
20
AANBEVELINGEN
• Zo ja, regel in ieder geval contractueel: 1. dat vrijwillige gegevensverstrekking is verboden; 2. dat uw cloudleverancier aansprakelijk is voor mogelijke schade wegens schending van de Wbp en u vrijwaart voor mogelijke schadeclaims.
43
AANBEVELINGEN • Zo nee, denk vooruit: 1. en neem een verbodsbepaling op van overname van uw cloudleverancier of diens moederbedrijf door een Amerikaans bedrijf; 2. Neem een verbodsbepaling op dat de dienst niet uitbesteed mag worden aan derden die onder de reikwijdte van de Patriot Act vallen.
44
ZIENSWIJZE CBP • Doorgifte persoonsgegevens naar VS is mogelijk indien Amerikaanse clouddienstverlener zich tot naleving van de Safe Harbor Principles heeft verplicht! Alleen dan: ‘passend beschermingsniveau’. • Echter: dit garandeert niet dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywetgeving. •
45
Patriot Act gaat altijd voor!
CASUS: CONTINUÏTEIT
• Om half 9 ’s ochtends kan niemand bij uw bedrijf inloggen op het netwerk. Internet functioneert; het ‘netwerk’ van de hostingprovider niet. • Wat blijkt? Hostingprovider is failliet Uw bedrijf kan geen gebruik meer maken van haar e-mail en klantenbestand. De gevolgen voor uw bedrijfsvoering zijn groot. • Kunt u de curator van uw hostingprovider dwingen om u toegang te verlenen tot het ‘netwerk’? 49
IN DE PRAKTIJK De curator mag wanprestatie plegen overeenkomst hoeft hij niet na te komen, toegang tot en gebruik van het ‘netwerk’ hoeft hij dus niet toe te staan.
• Hoe voorkomt u dat u bij faillissement van de hostingprovider geen toegang meer heeft tot uw infrastructuur en uw applicaties? 50
CASUS: CONTINUÏTEIT
• Niet, maar risico kan wel worden ingeperkt.
Hoe?
1. Escrow-overeenkomst en / of 2. Back-up
51
FAILLISSEMENT EN CLOUD • Faillissement cloudleverancier • Faillissement klant • Wat gebeurt er met de data? • 105 Fw: De failliet is verplicht de curator alle inlichtingen te verschaffen. • Wat als die inlichtingen, zoals administratie bij de cloudleverancier ‘liggen’? • Evt binnentreden datacentrum door curator (93a Fw) • Alleen de curator mag dat, slechts na machtiging van de rechtercommissaris. ICT-deskundige mag niet mee. 52
FAILLISSEMENT KLANT Voorontwerp wet versterking positie curator Artikel 105b Fw: “Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken’.
53
FAILLISSEMENT KLANT • • • •
54
Medewerkingsplicht cloudleverancier / hostingprovider. Wie betaalt? Concurrente schuldeiser? Of anders? ICT-diensten gelijk te stellen aan nutsvoorzieningen? (jurisprudentie)
FAILLISSEMENT CLOUDLEVERANCIER
U heeft nog een gebruiksrecht op (en recht op toegang tot) een applicatie van de failliete hostingprovider. Als we ervan uitgaan dat het ‘netwerk’ wordt overgenomen door een derde, kan deze derde dan ook deze applicatie beschikbaar houden?
55
OPLOSSING: SAAS ESCROW? SaaS Escrow Overname door een onafhankelijke derde die toegang tot de ‘omgeving’ biedt, bij voorkeur gedurende een periode van drie maanden
Een oplossing die meer ‘garantie’ op continuïteit biedt! 56
SAAS ESCROW Aandachtspunten Saas escrow – Karakter: drie partijen overeenkomst; – Volledige beschrijving applicatie opnemen; – Depot van broncode, basiskennisdocumentatie (!) en overige documentatie; – Overdracht gedeelte van het auteursrecht aan de afnemer; – Omschrijving ‘trigger events’ (faillissement); – Omvang recht na ‘trigger events’.
57
EIGENDOM VAN DE DATA
Regel wie eigenaar is van de data en wat er met de data moet gebeuren na einde overeenkomst!
59
VAN WIE ZIJN DE DATA?
• Teruggaveplicht bij het einde van het contract? – Explicitiet overeenkomen in contract – Wellicht zorgplicht ex artikel 7:401 BW? – Wie draagt de kosten van de teruggaveplicht en hoe worden de data teruggeven? • Downloadrecht en back-upregeling
60
VAN WIE ZIJN DE DATA?
• • • • • • •
61
Welke data wordt teruggegeven? Wanneer? Altijd of alleen bij einde contract? Teruggave of vernietiging van de data? Op welke termijn dient dat te geschieden? Gronden teruggave change of control, faillissement. Garantie en audit Retentierecht op data en opschortingsrecht
OPSCHORTING • • • • •
Terug naar de museumcasus van het begin van de presentatie Wanneer is opschorting van de clouddienst toegestaan? Continuiteit bedrijfsvoering klant Dienstverlening essentieel? Proportionaliteit (ingebrekestelling/aankondiging, ernst tekortkoming) • Redelijkheid en billijkheid • (Europsyche / Fides Vzr. Rb Rotterdam 8 mei 2012, LJN BW5386)
63
OPSCHORTING
• Evt: HR 20-3-1981, NJ 1981, 640 (inzk nutsvoorzieningen) • Opschortingsrecht kan worden uitgeoefend • Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid onaanvaadbaar zou zijn. • Verregaande afhankelijkheid bedrijfsvoering van klant.
74
SAMENVATTING: AANDACHTSPUNTEN PRIVACY • •
• •
• 65
Wbp: verantwoordelijke, bewerker; Verantwoordelijke: bepaalt doel en middel; klant cloud service provider / soms cloud service provider zelf bij SaaS (zeggenschap bij dataverwerking); Bewerkersovereenkomst: verantwoordelijke moet waarborgen opleggen: Informatiebeveiliging; Toepasselijk recht: Wbp als de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp; Echter ook lokale wetgeving, bijvoorbeeld USA Patriot Act.
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (1) Continuïteit van de dienstverlening • dienstverlener en toeleverancier en onderaannemers • back-ups • escrow Toegang tot de applicatie / fysiek gescheiden omgeving Kwaliteit - controle over fysieke locatie data; dienstverlening: - veiligheid (inzien, manipuleren etc.) data; - snelheid; - toegankelijkheid data.
66
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (2) SLA Maak goede afspraken over het dienstenniveau in een SLA. Voorkom een zgn. “vendor-lock-in” door heldere afspraken te maken over: • Eigendom van de data; wie is eigenaar? Wat te doen met data na einde ovk? • Bij wie rusten de intellectuele eigendomsrechten m.b.t. de data?; • Exit regeling: medewerkingsplicht aan migratie data naar andere cloudleverancier (mogelijkheden verhuizen systeem) • Eigendom servers (in geval van private cloud) 67
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3)
68
•
Aansprakelijkheid Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy
•
Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke.
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3) Continuïteit van de dienstverlening Voorkom een ‘vendor lock-in’: zorg ervoor dat de data ook beschikbaar zijn na het einde van de overeenkomst. Toepasselijk recht Cloud ≠ grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen.
69
VRAGEN?
70
VOLG ONS OP TWITTER! @MIRJAMELFERINK @MARTIJNKORTIER
71
45
46
HARTELIJK DANK VOOR UW AANDACHT EN GRAAG TOT ZIENS!
47
