CONTRACTEREN IN DE CLOUD Mirjam Elferink en Martijn Kortier advocaten IE, ICT & Privacy 15 april 2014
CASUS VOORAF
Stel: Een groot museum, met een miljoen bezoekers per jaar, heeft ter verlevendiging van haar tentoonstellingen de nodige (audio-)visuele en interactieve elementen in het museum geïnstalleerd. Sinds enige tijd heeft zij dat volledig uitbesteed aan een ICT-dienstverlener die genoemde diensten op afstand levert en onderhoud.
2
CASUS VOORAF
Daarmee betreft het een clouddienst. Wanneer er een storing in die dienstverlening plaatsvindt zal dat grote gevolgen hebben voor het museum. Tentoonstellingen worden minder interactief of kunnen zelfs helemaal niet plaatsvinden, bezoekers raken teleurgesteld en haken af, om over de schade die daarmee gemoeid is nog maar niet te spreken.
3
CASUS VOORAF Op een gegeven moment is het Museum ontevreden over de mate van dienstverlening door de ICT-leverancier. Daarop besluit het museum om tijdelijk haar rekeningen niet meer te betalen. De cloudleverancier reageert furieus en dreigt met het ‘op zwart zetten’ van de schermen in het museum. Vraag: Mag de ICT-leverancier dat? Volgens u? N.B. overstappen naar een andere leverancier is niet eenvoudig en snel te realiseren en is bovendien kostbaar.
4
ONDERWERPEN
1. 2. 3. 4. 5.
Verschillende cloudvormen Contractbeheer/management Privacy: bewerkersovereenkomst, datalekken, Patriot Act Aansprakelijkheid: verlies van data Continuïteit: faillissement provider; backup- en exitregeling, escrow ; beëindiging overeenkomst 6. Aandachtspunten privacy en cloudcontracten
5
CLOUD COMPUTING
“Een manier om computerkracht te leveren waarbij schaalbare en flexibele ICT-capaciteiten als een dienst beschikbaar worden gesteld aan verscheidene externe klanten op basis van internettechnologie”. (definitie van Gartner)
6
VIJF KENMERKEN VAN CLOUD COMPUTING
1. Geleverd als dienst 2. Schaalbaar en flexibel 3. Gedeeld met derden 4. Betalen naar gebruik 5. Benaderbaar via internet
7
VERSCHILLENDE MODELLEN
•Public cloud •Community cloud •Private cloud •Hybrid cloud
8
ASP, SAAS, IAAS, PAAS: IN DE CLOUD Flexibel beschikbaar stellen en gebruik van software en hardware op afstand (via internet) ASP: Application Service Provider (meestal gebruiksrecht + hosting) 1-to-1 SaaS (nieuwe generatie ASP): Software as a Service (voorbeeld: Google Docs, Gmail, Salarisverwerking) 1-tomany
9
ASP, SAAS, IAAS, PAAS: IN DE CLOUD IaaS: Infrastructure as a Service (toegang tot virtuele systemen waarop klanten eigen systemen kunnen installeren)
PaaS: Platform as a Service (toegang tot ontwikkelomgeving, zoals Google Apps) Salarisverwerking, CRM, internetbankieren, urenregistratie, Google…
10
WAAROM CONTRACTEREN? CONTRACTBEHEER NÓG BELANGRIJKER:
11
Vaak hebben partijen geen behoefte aan de rompslomp die een overeenkomst met zich meebrengt.
Maar, in trajecten waarin een product of dienst (zoals hosting) geleverd gaat worden, zal de overeenkomst dienen als werkdocument. Hierin kan o.a. worden opgenomen • Verwachtingen; • Omvang ontwikkeling; • Tijdsduur; • Consequenties overtreden tijdsduur
12
CASUS ONDERHANDELING Stel:
• U bent het hoofd van de ICT-afdeling van een internationaal opererend bedrijf dat alleen in Nederland al 2000 werknemers heeft. •Vanuit kostentechnisch oogpunt (en omdat u minder rompslomp wilt), wenst u de volledige personeelsadministratie van uw bedrijf naar de cloud te brengen, inclusief de verzuimregistratie. •U vindt een geschikte cloudleverancier en start met hem de onderhandelingen •Wat regelt u contractueel? Welke afspraken legt u vast? En waarom? 13
CASUS ONDERHANDELING •Maak koppeltjes van 2 personen. Persoon 1 is de vertegenwoordiger van het bedrijf -> de klant/afnemer Persoon 2 is de vertegenwoordiger van de cloudleverancier. •Start de onderhandelingen en noteer kort wat u overeenkomt. •Waarom bent u dat overeengekomen? Vanuit beider perspectieven bekeken.
14
ASPECTEN VAN CLOUDCONTRACTEN Privacy Beveiliging, bewerkersovereenkomst, verantwoordelijkheden Patriot Act Datalekken Continuïteit Eigendom van de data, back-up regeling, escrow Beëindiging, exit regeling Overige contractuele afspraken aansprakelijkheden en garanties, IE-rechten, SLA 15
PRIVACY
16
CASUS: PRIVACY Stel: u wilt uw werknemersregistratie, salarisverwerking en ziekteverzuim via een SaaS-applicatie laten opslaan bij een hostingprovider. Welke privacy-aspecten kleven hieraan?
17
WET BESCHERMING PERSOONSGEGEVENS (WBP)
Van toepassing bij verwerking van persoonsgegevens in het kader van activiteiten van een verantwoordelijke die een vestiging in Nederland heeft. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp
18
BELANGRIJKE BEGRIPPEN UIT DE WBP Persoonsgegeven: Elk gegeven dat herleidbaar is tot een natuurlijke persoon (bijv. naam, mailadres, foto, maar soms òòk: IP-adres). Verwerking: Elke handeling m.b.t. persoonsgegevens, van het moment van verzameling tot vernietiging. Ook opslag door cloudleverancier.
19
BELANGRIJKE BEGRIPPEN UIT DE WBP Verantwoordelijke: Bepaalt doel en middel van de verwerking (bijv. de klant van de cloud service leverancier). Bewerker: “Verwerkt” persoonsgegevens ten behoeve van de verantwoordelijke; staat niet onder direct gezag van de verantwoordelijke (veelal cloud- of SaaS-dienstverlener).
20
1.
BEWERKERSOVEREENKOMST
Het bedrijf en de cloudleverancier zijn verplicht een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens.
21
2. BEVEILIGINGSPLICHT De cloudleverancier moet de persoonsgegevens adequaat beveiligen. beveiliging tegen dataverlies; bescherming van de toegang tot persoonlijke gegevens door onbevoegden. Klant / afnemer dient risicoanalyse te doen naar beveiliging: hoe hoger het risico, hoe hoger het vereiste beveiligingsniveau; voor bijv. ziekteverzuimgegevens van werknemers is een hoger beveiligingsniveau vereist dan voor adresgegevens. 22
3. OMSCHRIJVEN BEVEILIGINGSMAATREGELEN
De beveiligingsmaatregelen m.b.t. persoonsgegevens moeten worden omschreven in het cloudcontract. Bijv.: firewalls, wachtwoorden, encryptie van gegevens; Omschrijving van beveiligingsbeleid van klant / afnemer.
23
4. CONTROLEREN BEVEILIGING De cloudleverancier moet het bedrijf in staat stellen om erop toe te zien of hij zijn verplichting tot adequate beveiliging nakomt. Klant / afnemer moet controleren of de cloudleverancier zijn beveiligingsverplichtingen nakomt; Audit mogelijkheid opnemen in cloudcontract; Let op: voor niet-nakomen beveiligingsverplichting door cloudleverancier is klant / afnemer aansprakelijk.
24
5. VERWERKEN IN OPDRACHT De cloudleverancier mag de persoonsgegevens van het bedrijf slechts in opdracht van het bedrijf verwerken. De cloudleverancier mag de persoonsgegevens van klant / afnemer alleen verwerken voor zover dat noodzakelijk is om de clouddiensten aan klant / afnemer te leveren; De cloudleverancier mag de persoonsgegevens niet voor eigen doeleinden gebruiken, zoals het rechtstreeks benaderen van werknemers van klant / afnemer voor direct marketingdoeleinden.
25
6. GEEN TOEGANG DERDEN/GEHEIMHOUDING Zonder toestemming van het bedrijf mag de cloudleverancier derden geen toegang geven tot de persoonsgegevens. De cloudleverancier (en degenen die onder zijn gezag handelen, zoals bijvoorbeeld personeel), is in beginsel verplicht om persoonsgegevens geheim te houden; Er zijn uitzonderingen: bijvoorbeeld rechtmatige inzageverzoeken van bevoegde autoriteiten.
26
7. GROEPSMAATSCHAPPIJEN EN ONDERAANNEMERS De cloudleverancier mag alleen groepsmaatschappijen en onderaannemers inschakelen met wie hij een: schriftelijke overeenkomst heeft gesloten waarin geheimhoudings- en beveiligingsverplichtingen zijn opgenomen. Groepsmaatschappijen en onderaannemers zijn, net als de cloudleverancier, (sub)bewerkers in de zin van de Wbp; Voor hen gelden in beginsel dezelfde verplichtingen als voor de cloudleverancier.
27
8. PERSOONSGEGEVENS NIET LANGER BEWAREN DAN NOODZAKELIJK De cloudleverancier mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de clouddiensten aan het bedrijf te leveren. Klant / afnemer moet hier als verantwoordelijke voor zorgen. Opnemen in cloudcontract.
28
9. DATA OOK WEER UIT DE CLOUD De cloudleverancier moet ervoor zorgen dat het bedrijf de persoonsgegevens bij het einde van de overeenkomst weer uit de cloud kan halen. Persoonsgegevens moeten daarna worden verwijderd uit de systemen van de cloudleverancier; Klant / afnemer zal de persoonsgegevens zelf weer willen beheren of willen onderbrengen bij een andere cloudleverancier.
29
10. MEEWERKEN AAN INZAGEVERZOEKEN De cloudleverancier moet meewerken aan inzageverzoeken van betrokkenen tot inzage en correctie van hun persoonsgegevens. Klant / afnemer moet binnen 30 dagen reageren op dergelijke verzoeken;
30
11. INFORMEREN OVER BEVEILIGINGSINCIDENTEN
De cloudleverancier moet het bedrijf onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens. In geval van een beveiligingsincident (bijv. een datalek) moet klant / afnemer kunnen beoordelen wat de gevolgen daarvan zijn en welke maatregelen er kunnen worden getroffen om deze gevolgen te beperken (bijv. informeren van werknemers).
31
MELDPLICHT DATALEKKEN: NU VOOR TELECOMPROVIDERS, STRAKS OOK VOOR ANDERE BEDRIJVEN Meldplicht o.g.v. Telecommunicatiewet geldt voor aanbieders van openbare elektronische communicatiediensten: telecommunicatie-providers internet acces providers Algemene Meldplicht in wetsvoorstel voor wijziging Wpb Breder toepassingsbereik: geldt voor “verantwoordelijken” in de zin van de Wbp Melden bij het Cbp en de betrokkene; Nalaten melden: bestuurlijke boete van max. € 450.000,. 32
12. VERWERKING ALLEEN BINNEN EUROPESE UNIE OF LAND MET ‘PASSEND BESCHERMINGSNIVEAU’
De cloudleverancier mag de persoonsgegevens alleen verwerken in de Europese Unie of in een land met een ‘passend beschermingsniveau’.
33
TOELICHTING •landen EU voldoen aan hoog niveau van privacybescherming; •‘witte lijst’ Europese Commissie: aantal landen aangewezen door EC met een passend beschermingsniveau; •geen bijzondere regels voor verwerking van persoonsgegevens in deze landen; •Is de cloudleverancier (of een van zijn datacenters) in een ander land gevestigd dan aanvullende, veelal complexe regels. 34
IN DE PRAKTIJK Lokalisatie of regionalisatie is een relatief eenvoudige oplossing voor een complex probleem. Het lokaal (bijvoorbeeld in Nederland) of regionaal (bijvoorbeeld in Europa) opslaan van gegevens Steeds meer leveranciers komen klanten hierin tegemoet, omdat andere oplossingen vaak onvoldoende toereikend zijn.
35
13. VERPLICHTINGEN IN GEVAL VAN ONDERZOEK AUTORITEITEN Bij verzoek door een autoriteit om persoonsgegevens van het bedrijf van de klant te verstrekken moet de cloudleverancier: 1. het bedrijf / de instelling onmiddellijk informeren; 2. het bedrijf / de instelling in staat stellen om zijn rechten te verdedigen; 3. alle medewerking verlenen om de toegang zo beperkt mogelijk te houden.
36
IN DE PRAKTIJK
Mogelijk bezwaar cloudleveranciers vanwege extra inspanning die geen onderdeel is van hun standaard dienstverlening. Advies: regel dit contractueel! Maar let op: het is de cloudleverancier soms wettelijk verboden om het bedrijf / de instelling te informeren. Dat kan bijvoorbeeld het geval zijn bij strafrechtelijke onderzoeken en de US Patriot Act.
37
PATRIOT ACT VEEL IN DE MEDIA Nederland en de NSA The Post online 12 april 2014 'Van de ratten besnuffeld': HP bouwt Europese cloud WebWereld 1 april 2014 De Europese cloud: gebakken lucht of oorlog in cyberspace? Management Team 9 april 2014 Facebook? De CIA kijkt mee NRC.Next 19 oktober 2012 38
THE PATRIOT ACT
Niet alleen individuele informatieverzoeken, maar ook voor groepen; • • •
39
Beperkte rechterlijke toetsing; Toetsing levert geen rechtsbescherming voor nietAmerikanen op; Onduidelijkheid over reikwijdte en gebruik.
CASUS
Stel: u neemt een hostingdienst af van een Nederlandse onderneming met een moederonderneming in de USA. U bent contractueel overeengekomen dat uw gegevens alleen in Nederland verwerkt en opgeslagen worden.
Is de Patriot Act naar uw mening van toepassing?
40
WANNEER VAN TOEPASSING? Indien data van de gebruiker opgeslagen worden bij een bedrijf gevestigd in: •De VS; •De EU, met een VS moederbedrijf; •De EU en dat bedrijf gebruik maakt van de diensten van een VS dochteronderneming voor dataprocessing; •De EU en dat bedrijf gebruik maakt van een derde partij voor data storage of data processing, i.e. een hosting company, die gevestigd is in de VS.
41
AANBEVELINGEN
1. Ga bij uw dienstverlener na of zij onder de Amerikaanse jurisdictie valt; 2. Maak een goede risicoanalyse van de soort gegevens dat u wenst onder te brengen bij uw cloudleverancier; Beslis vervolgens of u met een dienstverlener in zee wilt gaan die onder de reikwijdte van de Patriot Act valt.
42
AANBEVELINGEN Zo ja, regel in ieder geval contractueel: 1. dat vrijwillige gegevensverstrekking is verboden; 2. dat uw cloudleverancier aansprakelijk is voor mogelijke schade wegens schending van de Wbp en u vrijwaart voor mogelijke schadeclaims.
43
AANBEVELINGEN Zo nee, denk vooruit: 1. en neem een verbodsbepaling op van overname van uw cloudleverancier of diens moederbedrijf door een Amerikaans bedrijf; 2. Neem een verbodsbepaling op dat de dienst niet uitbesteed mag worden aan derden die onder de reikwijdte van de Patriot Act vallen.
44
ZIENSWIJZE CBP Doorgifte persoonsgegevens naar VS is mogelijk indien Amerikaanse clouddienstverlener zich tot naleving van de Safe Harbor Principles heeft verplicht! Alleen dan: ‘passend beschermingsniveau’.
Echter: dit garandeert niet dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese en Nederlandse privacywetgeving. Patriot Act gaat altijd voor!
45
FILMPJE NOS 13 oktober 2012 ‘Toezicht op gegevens in een cloud is hard nodig’
46
CASUS AANSPRAKELIJKHEID VERLIES DATA Ondanks goede voorzorgsmaatregelen wordt u op een dag geconfronteerd met verlies van data uit uw netwerk. Het blijkt te gaan om uiterst gevoelige persoonsgegevens van een werknemer, die vervolgens ‘op straat’ zijn komen te liggen. Het Regionale Dagblad heeft dit nieuws al opgepikt. Uw werknemer lijdt daardoor schade en dient een claim in bij uw bedrijf. In de hostingovereenkomst is de aansprakelijkheid voor indirecte schade door de cloudprovider uitgesloten.
Kunt u met succes de schade verhalen bij de cloudprovider?
47
CASUS AANSPRAKELIJKHEID VERLIES DATA Het uitsluiten van aansprakelijkheid voor indirecte schade heeft tot gevolg dat de cloudprovider wél aansprakelijk is voor verlies van gegevens, maar niet voor de gevolgen hiervan. I.c. kunt u dus zelf opdraaien voor de schade die uw werknemer geleden heeft.
Let bij een aansprakelijkheidsbepaling o.m. op: •Alleen directe schade of ook indirecte schade? •Zit er een limiet aan? •Welke schade is uitgesloten? •Welke garanties worden gegeven?
48
CASUS: CONTINUÏTEIT
Om half 9 ’s ochtends kan niemand bij uw bedrijf inloggen op het netwerk. Internet functioneert; het ‘netwerk’ van de hostingprovider niet. Wat blijkt? Hostingprovider is failliet Uw bedrijf kan geen gebruik meer maken van haar e-mail en klantenbestand. De gevolgen voor uw bedrijfsvoering zijn groot. Kunt u de curator van uw hostingprovider dwingen om u toegang te verlenen tot het ‘netwerk’?
49
IN DE PRAKTIJK De curator mag wanprestatie plegen overeenkomst hoeft hij niet na te komen, toegang tot en gebruik van het ‘netwerk’ hoeft hij dus niet toe te staan.
Hoe voorkomt u dat u bij faillissement van de hostingprovider geen toegang meer heeft tot uw infrastructuur en uw applicaties? 50
CASUS: CONTINUÏTEIT
Niet, maar risico kan wel worden ingeperkt.
Hoe? 1. Escrow-overeenkomst en / of 2. Back-up
51
FAILLISSEMENT EN CLOUD •Faillissement cloudleverancier •Faillissement klant •Wat gebeurt er met de data? •105 Fw: De failliet is verplicht de curator alle inlichtingen te verschaffen. •Wat als die inlichtingen, zoals administratie bij de cloudleverancier ‘liggen’? •Evt binnentreden datacentrum door curator (93a Fw) •Alleen de curator mag dat, slechts na machtiging van de rechter-commissaris. ICT-deskundige mag niet mee. 52
FAILLISSEMENT KLANT •Voorontwerp wet versterking positie curator Artikel 105b Fw: “Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken’.
53
FAILLISSEMENT KLANT
•Medewerkingsplicht cloudleverancier / hostingprovider. •Wie betaalt? •Concurrente schuldeiser? Of anders? •ICT-diensten gelijk te stellen aan nutsvoorzieningen? (jurisprudentie)
54
FAILLISSEMENT CLOUDLEVERANCIER U heeft nog een gebruiksrecht op (en recht op toegang tot) een applicatie van de failliete hostingprovider. Als we ervan uitgaan dat het ‘netwerk’ wordt overgenomen door een derde, kan deze derde dan ook deze applicatie beschikbaar houden?
55
OPLOSSING: SAAS ESCROW? SaaS Escrow Overname door een onafhankelijke derde die toegang tot de ‘omgeving’ biedt, bij voorkeur gedurende een periode van drie maanden.
Een oplossing die meer ‘garantie’ op continuïteit biedt!
56
CASUS: SAAS ESCROW Aandachtspunten Saas escrow • Karakter: drie partijen overeenkomst; • Volledige beschrijving applicatie opnemen; • Depot van broncode, basiskennisdocumentatie (!) en overige documentatie; • Overdracht gedeelte van het auteursrecht aan de afnemer; • Omschrijving ‘trigger events’ (faillissement); • Omvang recht na ‘trigger events’.
57
CASUS CONTINUÏTEIT (BEËINDIGING OVK) Een afnemer zegt haar SaaS-overeenkomst op omdat de updates van de software te lang op zich laten wachten. Drie weken na opzegging vindt de afnemer een nieuwe SaaSprovider en vangt zij aan met het overzetten van de data. Na één week (het einde van de opzegperiode) wordt haar echter elk toegang tot het netwerk ontzegd. De afnemer eist toegang om zodoende al haar data uit het systeem te halen, echter zonder resultaat. Kan de afnemer afgifte van de data afdwingen?
58
EIGENDOM VAN DE DATA
Regel wie eigenaar is van de data en wat er met de data moet gebeuren na einde overeenkomst!
59
VAN WIE ZIJN DE DATA?
•Teruggaveplicht bij het einde van het contract? • Explicitiet overeenkomen in contract • Wellicht zorgplicht ex artikel 7:401 BW? • Wie draagt de kosten van de teruggaveplicht en hoe worden de data teruggeven? •Downloadrecht en back-upregeling
60
VAN WIE ZIJN DE DATA?
•Welke data wordt teruggegeven? •Wanneer? Altijd of alleen bij einde contract? •Teruggave of vernietiging van de data? •Op welke termijn dient dat te geschieden?
•Gronden teruggave change of control, faillissement. •Garantie en audit •Retentierecht op data en opschortingsrecht
61
CASUS CONTINUÏTEIT (BEËINDIGING OVK) Ja, hoogstwaarschijnlijk wel via gang naar rechter die moet beslissen wie eigenaar is van de data. Voorkom een zgn. “vendor-lock-in” door heldere afspraken te maken over: Eigendom van de data; Aan wie de intellectuele eigendomsrechten die op de data rusten, toekomen; Exit regeling: medewerkingsplicht aan migratie data naar andere cloudleverancier Eigendom servers (in geval van private cloud) 62
OPSCHORTING Terug naar de museumcasus van het begin van de presentatie Wanneer is opschorting van de clouddienst toegestaan? •Continuiteit bedrijfsvoering klant •Dienstverlening essentieel? •Proportionaliteit (ingebrekestelling/aankondiging, ernst tekortkoming) •Redelijkheid en billijkheid (Europsyche / Fides Vzr. Rb Rotterdam 8 mei 2012, LJN BW5386)
63
OPSCHORTING
•Evt: HR 20-3-1981, NJ 1981, 640 (inzk nutsvoorzieningen)
•Opschortingsrecht kan worden uitgeoefend •Uitzondering: als opschorting naar maatstaven van redelijkheid en billijkheid onaanvaadbaar zou zijn.
•Verregaande afhankelijkheid bedrijfsvoering van klant.
74
SAMENVATTING: AANDACHTSPUNTEN PRIVACY •
Wbp: verantwoordelijke, bewerker;
•
Verantwoordelijke: bepaalt doel en middel; klant cloud service provider / soms cloud service provider zelf bij SaaS (zeggenschap bij dataverwerking); Bewerkersovereenkomst: verantwoordelijke moet waarborgen opleggen: Informatiebeveiliging; Toepasselijk recht: Wbp als de verwerking van persoonsgegevens plaatsvindt in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. Ook de cloud service provider van een Nederlandse verantwoordelijke valt onder de Wbp; Echter ook lokale wetgeving, bijvoorbeeld USA Patriot Act.
• •
•
65
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (1) Continuïteit van de dienstverlening • dienstverlener en toeleverancier en onderaannemers • back-ups • escrow Toegang tot de applicatie / fysiek gescheiden omgeving Kwaliteit dienstverlening:
66
- controle over fysieke locatie data; - veiligheid (inzien, manipuleren etc.) data; - snelheid; - toegankelijkheid data.
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (2) SLA Maak goede afspraken over het dienstenniveau in een SLA. Voorkom een zgn. “vendor-lock-in” door heldere afspraken te maken over: •Eigendom van de data; wie is eigenaar? Wat te doen met data na einde ovk?
•Bij wie rusten de intellectuele eigendomsrechten m.b.t. de data?; •Exit regeling: medewerkingsplicht aan migratie data naar andere cloudleverancier (mogelijkheden verhuizen systeem) •Eigendom servers (in geval van private cloud) 67
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3) Aansprakelijkheid Regel wie waarvoor aansprakelijk is. Denk m.n. aan: - dataverlies, datalekken en recovery - beschikbaarheid en bereikbaarheid - boete en schade - sole remedy Meldplicht datalekken Anticipeer op de wettelijke ontwikkelingen m.b.t. de datalekmeldplichten. Deze meldplicht rust op u als verantwoordelijke.
68
SAMENVATTING: AANDACHTSPUNTEN CLOUDOVEREENKOMST (3) Continuïteit van de dienstverlening Voorkom een ‘vendor lock-in’: zorg ervoor dat de data ook beschikbaar zijn na het einde van de overeenkomst. Toepasselijk recht Cloud ≠ grensgebonden. Wellicht contracteert u met buitenlandse partijen. Weet op grond van welk recht de eventuele geschillen zullen worden beslecht! Let op: persoonsgegevens mogen niet zonder meer buiten de EU worden opgeslagen.
69
VRAGEN? HARTELIJK DANK VOOR UW AANDACHT
70
VOLG ONS OP TWITTER! @MIRJAMELFERINK @MARTIJNKORTIER
71
