“De Brug tussen Vertrouwen en Zekerheid” Menno Weij SOLV Advocaten Email:
[email protected] Mobiel: 06 109 190 24 Twitter: @mennoweij
Inhoud: Privacy • Eigendom op de data • Compliance en verwerking persoonsgegevens ICT Contracten (CLOUD) • Enkele aandachtspunten Bonus: • Cookies • Nieuwsbrieven
Wat is Cloud Computing? Geen eenduidige definitie Forrester: 'A form of standardized it-based capability - such as Internet- based services, software, or it infrastructure - offered by a service provider that is accessible via Internet protocols from any computer, is always available and scales automatically to adjust to demand, is either pay-per-use or advertising-based, has Web- or programmatic-based control interfaces, and enables full customer self-service‘ Eric Schmidt (Google): ‘Cloud are computers that are somewhere else’.
Wat is Cloud Computing? Elementen: • Schaalbaar en elastisch • Diensten • Gedeeld • Afrekenen per gebruik / capaciteit • Dmv internet(technologie) Technisch: server virtualisatie Verschijningsvormen: private, public en hybride
Vormen van Cloud Computing WaaS: wifi-infrastructuur met controller online ipv in het lokale netwerk IaaS: infrastructuur (servers, netwerk e.d.), bijv. Windows Azure PaaS: diensten op infrastructuur, bijv. toegangsbeheer, portal faciliteiten, bijv. PayPal, Amazon S3 SaaS: applicatieniveau, bijv. Webmail, Google Apps, Facebook
Voordelen
• • • • • • • •
Lagere kosten Efficiëntie Gebruiksgemak Mobiliteit Veiligheid Beschikbaarheid Onderhoud Duurzaam
Nadelen
• • • • • •
Veiligheid Betrouwbaarheid Controle Overstapkosten Compatibiliteit Gebrek aan support
PRIVACY Eigendom op de data Compliance en verwerking persoonsgegevens (privacy)
Eigendom Data (1)
Eigendom van de gegevens • Stelsel intellectuele eigendomsrechten • Revindicatie bestanden? (= opeisen van je eigendom) Hof Arnhem 3 mei 2011, LJN BQ5240 : • “Niet gebleken dat de digitale gegevens (emails/ documenten), op zichzelf vatbaar zijn voor afgifte”. Dus: geen opeising mogelijk? Veelal contractueel geregeld in: • Licentie-overeenkomst • Service Level Agreement • Algemene Voorwaarden
Voorbeeld Google Terms of Service (alg. vw.): Some of our Services allow you to submit content. You retain ownership of any intellectual property rights that you hold in that content. In short, what belongs to you stays yours.
Dus ook Data? En let even op deze: When you upload or otherwise submit content to our Services, you give Google (and those we work with) a worldwide license to use, host, store, reproduce, modify, create derivative works (such as those resulting from translations, adaptations or other changes we make so that your content works better with our Services), communicate, publish, publicly perform, publicly display and distribute such content.
Eigendom data (2)
Wat gebeurt er: • Als één der partijen niet betaalt? EuroPsyche/Fides uitspraak • Bij faillissement van de Cloud provider? InfoTechnology • Bij faillissement van de afnemer? Oilily/SaaSPlaza uitspraak
Sluit een (data?) escrow-regeling af? (NB: kosten!) Voor de hand liggend advies: regel inzage/afgifte data in contract, en denk aan (laten) maken back-ups!
Privacy & Compliance (1) Welke privacywet is eigenlijk van toepassing? NL of anders? Belangrijkste partijen onder WBP: • Verantwoordelijke: Uzelf • Bewerker: de ICT Dienstverlener • Betrokkene: Uw klant/patient NB: bijzondere gegevens! (zwaarder regime)
Privacy & Compliance (2) Enkele verplichtingen uit de WBP: • Beveiliging: passende technische en organisatorische maatregelen treffen (art. 13 Wbp). • Ervoor zorg dragen dat de bewerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen (art. 14 Wbp). • Bewerkersovereenkomst! (art. 14 lid 2 Wbp). • Toezicht op naleving (art. 14 lid 1, laatste zin Wbp). • Niet doorgeven naar ‘derde landen’ welke geen passend beschermingsniveau waarborgen (art. 76 en 77 Wbp).
Privacy & Compliance (3)
Belangrijk om te onthouden:
-
Let op die bewerkersovereenkomst; En de dienstverlener moet verantwoordelijk voor zijn eigen verplichtingen als bewerker
-
Zorg dat je relatief eenvoudig over de data/persoonsgegevens kan beschikken als deze extern zijn, maar let op dat persoonsgegevens niet zomaar buiten de EU gaan
Privacy & Compliance (4) Problemen Privacy versus Cloud volgens EU Werkgroep Geen controle over de verwerking van de data. • Beschikbaarheid • Integriteit • Vertrouwelijkheid • Bewerkingsmogelijkheden • Isolatie Onvoldoende informatie over de wijze van verwerking. • Transparantie
Privacy & Compliance (5) Doorgifte buiten Europa (lees: EER)? Alleen als passend beschermingsniveau! • Binding corporate rules − Gedragscodes − Binnen 1 organisatie (bijv. multinationals) − Wederzijdse erkenning • Safe harbour principles − Alleen doorgifte naar de VS! • EUR standard contractual clauses − Standaard contractuele bedingen die voldoen aan de richtlijn Of grond van art. 77 Wbp: toestemming.
Juridische aspecten (1)
-
Een contract is een aanbod en een aanvaarding ervan, hoeft niet schriftelijk.
-
Pas op voor de kleine lettertjes, zoals “op deze offerte zijn onze algemene voorwaarden van toepassing”.
-
De droge juridische voorwaarden zeggen wel eens iets anders dan in de voorfase wordt gesuggereerd……….
Juridische aspecten (2) Wat moet er in een SLA staan? • • • • • •
Garanties voor up-time Oplos- en Responstijden Rapportage! Back-up regeling Disaster Recovery? Kaartensysteem bij schending SLA?
Juridische aspecten (3) Wat moet er verder in een ICT contract staan? • • • • • • • •
Wat zijn precies de verplichtingen van de leverancier? Waar moet het systeem en de software aan voldoen? Beëindigingsclausule Exit en/of Medewerkingsverplichting / dataconversie! Auditmogelijkheden ? Escrow regeling? Beveiligingsmaatregelen Aansprakelijkheid/vrijwaring
BONUS
Cookies Nieuwsbrief
Cookies (1) Cookie-verbod art. 11.7a Telecommunicatiewet In werking per 5 juni 2012 Amendement PVV en PvdA per 1 januari 2013: omkering bewijslast
Cookies (2) Art. 11.7a Tw: • Informatieverplichting • Toestemmingsvereiste Ziet op alle technieken die gegevens plaatst of toegang tot gegevens op randapparatuur van gebruiker wenst te krijgen, dus niet beperkt tot cookies!
Cookies (3) Uitzonderingen voor cookies die: • Uitsluitend tot doel hebben de verzending van communicatie. − Inloggen bij internetbankieren • Strikt noodzakelijk zijn voor uitvoering gevraagde dienst. − Taalvoorkeur − Winkelwagentje
Cookies (4) Informatieverplichting: • Bevat de doeleinden waarvoor de gegevens worden verzameld/opgeslagen. • Voldoende specifiek. − Verwijzing naar algemene voorwaarden, privacy en/of permission statement eigenlijk niet voldoende. • Voldoende zichtbaar op website en leesbaar voor gebruiker − OPTA: informeer ook over cookies die onder uitzondering vallen.
Cookies (5) Toestemmingsvereiste: • Vrij • Specifiek • Geinformeerd • Niet impliciet (zie FAQ van OPTA op internet) • (Nog) niet via webbrowserinstellingen
Voorbeeld
Voorbeeld
Nieuwsbrief (1) Spamverbod in art. 11.7 Tw • Bericht via geautomatiseerd oproep en- communicatie systeem • Ongevraagde communicatie • Over commerciele, ideële of charitatieve doeleinden Geldt voor: • Feitelijke verzender • Opdrachtgever tot verzending Ziet op verzending van berichten aan zowel consumenten (mei 2004) als bedrijven (oktober 2009)
Nieuwsbrief (2) Vereisten: • Ontvanger moet toestemming hebben gegeven. − Vrij, specifiek en geinformeerd − Algemene voorwaarden niet voldoende • Ontvanger moet zien van wie het bericht afkomstig is. − Geen pseudoniem of alias • Ontvanger moet zien hoe en bij wie hij zich kan afmelden. − In ieder bericht! Kosteloos & gemakkelijk
Nieuwsbrief (3) Uitzonderingen (1): • Klantrelatie: gegevens zijn verkregen in het kader van verkoop van een product of leveren dienst − Mits mogelijkheid van verzet bij verstrekken gegevens en optout mogelijkheid bij berichten. • Bedrijven: − als nieuwsbrief verstuurd wordt naar adres dat openbaar is op de website; − Indien het bedrijf buiten EER zit, en aan de in dat land geldende regelgeving is voldaan.
Nieuwsbrief (4) Uitzonderingen (2): • Tell-a-friend, mits: − Communicatie gebeurt volledig op eigen initiatief van de internetgebruiker; − Voor ontvanger is duidelijk wie initiatiefnemer is van de e-mail; − Internetgebruiker moet, voor verzending, inzage hebben in volledige bericht dat in zijn naam wordt verzonden; − Verantwoordelijke gebruikt persoonsgegevens uitsluitend voor eenmalige verzending als bedoeld door initiatiefnemende internetgebruiker.
Handhaving TW OPTA: • Bestuursdwang • Last onder dwangsom • Boetes OPTA is niet bang om te gebruiken!
Vragen?
Bedankt voor uw aandacht Menno Weij SOLV Advocaten
[email protected] @mennoweij 06 109 190 24