Het Praktijkboek Cloud Contracten

Het Praktijkboek Cloud Contracten Wat u moet weten over cloud contracten gebundeld in een praktische en deskundige gids.

Ywein Van den Brande www.crealaw.eu

Copyright © Crealaw - Ict Law Partners bvba 2013 Uitgever: Crealaw - Ict Law Partners bvba Witte Patersstraat 4 1040 Brussel O.N. 0832.298.008 [email protected] Waarschuwing: Het Praktijkboek Cloud Contracten bevat deskundig en praktisch advies voor iedereen die wordt geconfronteerd met recht en software. Het vervangt evenwel geen persoonlijk advies en bijstand van een juridisch raadsman. Zeker met het overnemen van typeclausules dient te worden opgelet aangezien deze aan de specifieke situatie dienen te worden aangepast. Hoewel het met zorg is samengesteld, is de uitgever niet verantwoordelijk voor eventuele vergissingen. 978-1-62590-232-0

3

Inhoud

1. Inleiding ........................................................................ 7 2. Cloud contracten onderhandelen?..................................11 3. Waaruit bestaat een cloud contract? ...............................13 A. Standaard cloud contracten ........................................13 B. Het modelcontract .....................................................14 4. Dienstverlening in de cloud (SLA) .................................17 A. Welke diensten dienen te worden geleverd onder welke voorwaarden? .............................................................17 B. Inspanning of resultaat?..............................................17 C. Service in de cloud .....................................................18 5. Opschorting en beëindiging van de cloud diensten ........21 A. Opschorting van de dienstverlening wegens fout ........21 B. Vroegtijdige beëindiging wegens fout .........................23 C. Eenzijdige beëindiging zonder fout ............................24 D. Blokkering dienst ......................................................24 6. Vergoeding voor cloud diensten .....................................27 7. De data van de klant ......................................................29 A. Vertrouwelijkheid.......................................................29 B. Integriteit ...................................................................30 C. Back-up .....................................................................31 D. Meta-data ..................................................................32 E. Gebruik van de klantdata door de leverancier .............32 F. Exit / migratie naar een ander platform ......................33

4

Het Praktijkboek Cloud Contracten | www.crealaw.eu

8. Privacy in de cloud.........................................................35 A. Korte inleiding tot het recht op eerbiediging van het privéleven ............................................................35 B. De privacywet ............................................................37 C. Relatie cloud leverancier - bedrijfsafnemer .................38 D. Relatie cloud leverancier – consumenten ...................39 E. Internationale toepassing van de (Belgische) WVP ....40 F. Het grensoverschrijdend uitwisselen van persoonsgegevens .......................................................41 9. Audit .............................................................................43 10. Intellectuele rechten in de cloud ..................................45 A. De intellectuele eigendomsrechten van de cloud leverancier ................................................................45 B. De intellectuele eigendomsrechten van de klant ........46 C. De intellectuele eigendomsrechten op nieuwe ontwikkelingen .........................................................47 D. Inbreuken door de klant ...........................................48 11. Eenzijdige wijziging van de voorwaarden .....................49 12. Toepasselijk recht .........................................................51 A. Het internationaal privaatrecht ..................................51 B. Toepasselijk recht in geval van rechtskeuze .................52 C. Toepasselijk recht bij afwezigheid van rechtskeuze ......54 13. De aansprakelijkheid van de cloud leverancier als ISP ..57 A. De cloud leverancier als louter internet service provider? ...................................................................57 B. De beperkte aansprakelijkheid van de ISP ..................59

Het Praktijkboek Cloud Contracten

C. Dient de cloud leverancier toe te zien op de handelingen van de gebruikers? .................................64 D. Beveiligingsplicht ......................................................65 14. Besluit .........................................................................67 Checklist............................................................................69 Meer weten?.......................................................................71 Modelcontract ...................................................................73 Ywein Van den Brande.......................................................101

5

7

1. Inleiding

“Software as a service”, “platform as a service”, “infrastructure as a service”: SaaS, PaaS en IaaS zijn allemaal vormen van cloud computing. Waar bij SaaS de nadruk eerder zal liggen op het licentieaspect op de software, zal bij PaaS de hosting en dienstverlening belangrijker worden en komt er bij IaaS nog het aspect infrastructuur bij. Strikte grenzen zijn er echter niet en het heeft juridisch dan ook geen zin om ze te onderscheiden. We bekijken ze best als “cloud contracten”. Waar gewone software licentiecontracten en software ontwikkelings-contracten vaak hard worden onderhandeld, worden cloud contracten meestal gepresenteerd als toetredingscontracten. Vanuit het standpunt van de leverancier is het begrijpelijk dat deze liever zijn voorwaarden oplegt dan het contract met de klant te onderhandelen, maar voor de klant ligt dit toch gevoeliger. Dit is zeker het geval wanneer de cloud applicatie voor de klant kritisch is. De standaard voorwaarden van de cloud leverancier zijn daarenboven vaak schrikbarend eenzijdig. Zo zijn er voorwaarden die voorzien dat de cloud leverancier niet verantwoordelijk is om de gegevens van de gebruiker veilig of intact te houden en dat hij niet aansprakelijk is in geval van verlies van de data (de gebruiker dient zijn eigen back-ups te voorzien). Andere leveranciers behouden zich het recht voor om het account van de gebruiker te beëindigen wegens inbreuk op de Acceptable Use Policy of zelfs zonder opgave van reden. Verder zijn er leveranciers die stellen de data van de gebruiker enkel op gerechtelijk bevel te zullen vrijgeven, maar even goed zijn er die de gegevens op veel bredere gronden vrijgeven, inclusief omdat het in hun eigen zakelijk voordeel is.

8


En misschien het meest onrustwekkende is dat de meeste cloud leveranciers zich het recht voorbehouden om de contractsvoorwaarden eenzijdig te wijzigen. De gebruiker dient de vaak uitgebreide gebruiksvoorwaarden op regelmatige basis na te kijken en te vergelijken met zijn eigen originele kopie. Het absoluut belangrijkste aspect bij het afsluiten van een cloud contract is weten waar de risico’s liggen, zodat men deze in rekening kan brengen en afwegen. Wanneer de leverancier bv. weigert in te staan voor verlies van data, kan dit worden ondervangen door een eigen back-up te voorzien. Wanneer men het cloud contract niet heeft gelezen en men op voorhand niet weet dat de leverancier geen waarborgen geeft betreffende de opgeslagen data (zoals bv. voor de Amazon Web Services het geval is), dan riskeert men om voor onaangename verrassingen komen te staan. Het is net dat wat vermeden dient te worden. Wanneer consumenten voor private doeleinden gebruik maken van gratis diensten als Yahoo, Facebook of Google (allemaal clouddiensten), komt het er niet zo op aan. Het gaat niet om kritische applicaties en er is een wettelijk kader dat de consument toch een minimale bescherming biedt, bv. op vlak van privacy. Zij kunnen voor hun partikuliere doeleinden meestal akkoord gaan met de opgelegde voorwaarden. Maar voor bedrijven ligt dit anders. Door gebruik te maken van de cloud verliest het bedrijf de directe controle over de software en zijn gegevens. De software draait immers niet langer lokaal, maar op de servers van de leverancier (of diens toeleverancier). De toegang tot de software en de data kan op eenvoudige beslissing van de cloud leverancier worden gewijzigd of zelfs verhinderd. Wanneer de desbetreffende applicatie voor het bedrijf niet kritisch is of wanneer het bedrijf snel kan overschakelen op een andere leverancier, dan kan men hiermee instemmen. Voor kritische applicaties kan dit enkel indien men voor dergelijke situaties een operationeel plan B

1. Inleiding

heeft. Deze afweging moet zeker worden gemaakt alvorens een cloud contract wordt afgesloten. Een zorgvuldige onderneming gaat niet met bedrijfskritische toepassingen naar de cloud zonder degelijke garanties of op zijn minst een stevig plan B. Het is dan ook verwonderlijk (en onrustbarend) dat bedrijven in de praktijk zo snel instemmen met de toepasselijkheid van de algemene voorwaarden van de leverancier. De voor de hand liggende reden is wellicht het gemak waarmee cloud contracten kunnen worden afgesloten. Maar toch dient men waakzaam te zijn. De spreekwoordelijke kleine lettertjes in toetredingscontracten kunnen immers meer dan vervelende gevolgen hebben voor de klant. Voor bedrijfskritische applicaties dienen de juridische waarborgen evenzeer in rekening te worden gebracht als het technische gebruiksgemak en gemaakte besparingen. Zo niet kan dit later zuur opbreken. Het Praktijkboek Cloud Contracten wil dit helpen voorkomen met een bondige en praktische bespreking van de pijnpunten die zich typisch bij cloud contracten voordoen. Het gaat evenwel niet verder in op het algemene informaticarecht. Voor een beter begrip van het algemene informaticarecht wordt verwezen naar Het Praktijkboek Informaticarecht waarvan de gegevens achteraan in dit boek zijn opgenomen. Ten einde zo concreet mogelijk richtlijnen te geven voor een meer evenwichtig contract tussen cloud, leverancier en klant, werd door Crealaw in samenwerking met Agoria een modelcontract opgesteld. Dit is achteraan toegevoegd. Verder dank ik Jeroen November, Paul Cobbaut en Kaat Vandorpe voor de vriendelijke nalezing van de tekst. Hun advies en tips waren uitermate nuttig. Voor vragen, opmerkingen of suggesties kan u mij steeds contacteren: [email protected]. Ik wens u alvast veel leesplezier. Ywein, maart 2013

9

11

2. Cloud contracten onderhandelen?

Cloud diensten kunnen met slechts enkele “clicks” en een kredietkaart in gebruik worden genomen. Het eerste gebruik is vaak gratis en daarna wordt vaak slechts het daadwerkelijke gebruik aangerekend. Geen nood dus om te investeren in dure servers en software. De cloud groeit mee met de behoeften van de klant. Maar net in dit gebruiksgemak zit de angel (of schuilt de adder onder het gras). De internetgebruiker is dermate gewoon om de ‘I Agree’-button aan te klikken dat hij vergeet dat hij zich hiermee daadwerkelijk tot een contract bindt. Het akkoord gaan met internetvoorwaarden is zo gebruikelijk geworden dat vaak wordt vergeten dat deze net zoals alle andere contracten kunnen worden onderhandeld. Dit laatste in evenredigheid met de onderhandelingskracht van de klant natuurlijk. In de praktijk blijkt evenwel dat heel wat cloud leveranciers open staan voor onderhandeling van de voorwaarden wanneer het hen wordt gevraagd en het contract voldoende belangrijk is. Niemand ziet immers graag een klant afhaken op basis van een contractclausule. Anderzijds kunnen cloud leveranciers hun diensten aantrekkelijker maken door hun klanten betere voorwaarden en garanties te bieden. Wanneer men als leverancier zeker is kwaliteit aan te kunnen bieden, hoeft men immers niet terug te schrikken om dit ook effectief in een overeenkomst met de klant op te nemen. Het zal de klanten en hun juridische adviseurs helpen hun onzekerheid te overwinnen en de stap naar de cloud dienstverlener te zetten. Maar niet alle cloud leveranciers zijn bereid hun voorwaarden aan te passen. Wanneer het cloud contract niet kan worden onderhandeld, is er één troost: de wet bepaalt dat de clausules in toetredingscontracten tegen de bedinger (de cloud leverancier) dienen te worden geïnterpreteerd (art. 1162 B.W.). Toch is dit in de praktijk

12


slechts een schrale troost. Soms is het beter om een duurdere cloud leverancier te kiezen, waarbij men de juridische zekerheid heeft om de dienstverlening te kunnen afdwingen, dan een goedkope oplossing waarbij men volledig afhankelijk is van de goede wil van de leverancier. Wanneer het gaat om niet kritische bedrijfsapplicaties of wanneer het falen van de cloud toepassing kan worden ondervangen, kan met mindere contractclausules ingestemd worden. Belangrijk is om de risico’s op voorhand te kennen en deze af te wegen tegen de mogelijke nadelen die hieraan zijn verbonden. Meer weten over toetredingscontracten? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

13

3. Waaruit bestaat een cloud contract?

a. Standaard cloud contracten Vaak lijkt een cloud contract op het eerste zicht eenvoudig. Men krijgt veelal een attractief bestelformulier voorgeschoteld met daarin enkele plannen die men kan onderschrijven. Het enige noodzakelijke is het aanvinken dat men akkoord gaat met de voorwaarden. Deze voorwaarden bevatten evenwel meestal links naar andere online documenten die door verwijzing in het contract worden geïncorporeerd en die geacht worden er integraal deel van uit te maken. Aldus gaat men met één muisklik akkoord met een hele set aan voorwaarden. De instemming van de gebruiker is in principe geldig, ook al heeft hij deze documenten niet allemaal gelezen. Goed nakijken is dus de boodschap. Cloud contracten zijn er in alle vormen en maten. Toch is volgende structuur vaak aanwezig: 1. Algemene voorwaarden Hierin wordt uiteengezet onder welke voorwaarden de cloud leverancier zijn diensten aanbiedt aan zijn klanten. Deze voorwaarden zijn veelal standaard voor alle klanten. Toch hoeft een klant er niet vanuit te gaan dat deze niet kunnen worden onderhandeld. 2. Specifieke voorwaarden In de specifieke voorwaarden worden klant-specifieke afwijkingen op de algemene voorwaarden opgenomen. Een dergelijk document kan steeds worden opgesteld.

14


3. Service level agreement (SLA) In een Service Level Agreement of kortweg SLA, garandeert de leverancier een bepaald niveau van dienstverlening voor de cloud dienst. Veelal is dit het beschikbaar stellen van de dienst gedurende een gegarandeerde minimum periode, bv. een gegarandeerde uptime van 99 procent berekend over iedere zesmaandelijkse periode. De SLA maakt een belangrijk onderdeel uit van het cloud contract. 4. Acceptable Use Policy In de Acceptable Use Policy wordt het gebruik uiteengezet dat de klant van de cloud dienst mag maken. Doordat deze beschrijving vaak voor de hand liggend lijkt, wordt dit document wel eens over het hoofd gezien. Toch is het aangeraden dit grondig te lezen. De meeste cloud contracten voorzien immers dat iedere garantie vervalt wanneer de klant de dienst gebruikt in strijd met deze Acceptable Use Policy. 5. Privacy Policy De Privacy Policy is een document dat we op de meeste websites vinden. Voor bedrijven die gebruik maken van cloud diensten is het aangeraden om dit document goed na te lezen. De gegevens die worden verwerkt betreffen immers vaak deze van hun personeel en klanten.

b. Het modelcontract In samenwerking met Agoria stelde Crealaw een modelcontract op voor cloud diensten (toegevoegd achteraan dit boek). Cloud contracten worden veelal elektronisch gesloten. Dit leidt tot een quasi geruisloze contractsluiting waarbij de klant vaak vergeet of nalaat kennis te nemen van de contractvoorwaarden. Om dit

3. Waaruit bestaat een cloud contract?

15

te verhinderen en om onderhandeling tussen klant en leverancier te bevorderen, werd voor het modelcontract gekozen voor een handmatig te ondertekenen contract. Verder werd ervoor geopteerd om alle documenten zoveel mogelijk te integreren. Het modelcontract bestaat uit het contract zelf en één document voor specifieke voorwaarden. De overige documenten werden geïntegreerd. Meer weten over geldigheidsvoorwaarden van contracten, Algemene Voorwaarden, SLA of Privacy? Lees Hoofdst. V en VII van Het Praktijkboek Informaticarecht op www.crealaw.eu.

17

4. Dienstverlening in de cloud (SLA)

a. Welke diensten dienen te worden geleverd onder welke voorwaarden? Cloud contracten zijn meestal, net zoals de cloud dienstverlening, volledig geautomatiseerd. Met enkele “clicks” worden ze afgesloten. In tegenstelling tot gedrukte contracten, blijft de gebruiker met niet veel in de handen achter. Wanneer er zich een probleem voordoet, is het voor de gebruiker soms moeilijk om te bewijzen welke afspraken er werden gemaakt en op welke dienstverlening hij recht heeft. Daarom is het als gebruiker aangewezen om er bij het afsluiten van de dienstverlening voor te zorgen dat de te verlenen dienstverlening goed is omschreven in het contract, in een bijlage of anderszins en om deze samen met het contract lokaal te bewaren. Beschrijvingen en voorwaarden op websites kunnen immers worden gewijzigd en het is achteraf uiterst moeilijk om dergelijke wijzigingen aan te tonen.

b. Inspanning of resultaat? Wanneer een leverancier een verbintenis op zich neemt, is het belangrijk om een onderscheid te maken tussen een inspanningsverbintenis (ook wel middelenverbintenis of best efforts genaamd) en een resultaatsverbintenis (ook wel uitslagverbintenis genaamd). Bij een resultaatverbintenis verbindt de schuldenaar zich ertoe om een bepaald resultaat te bereiken. Wanneer de schuldenaar dit resultaat niet bereikt, wordt hij geacht aansprakelijk te zijn wegens niet nakoming van zijn verbintenis. Het is aan de schuldenaar om

18


het bewijs te leveren dat de reden van de tekortkoming hem niet kan worden toegerekend. Hij moet dus zelf het tegenbewijs leveren. Bij een inspanningsverbintenis verbindt de schuldenaar er zich louter toe om zich te zullen inspannen om een bepaald resultaat te halen. Dit resultaat is evenwel niet gegarandeerd. Wel dient de schuldenaar de inspanningen te leveren die van een normaal bedachtzaam en voorzichtig persoon kunnen worden verwacht. Wanneer het resultaat niet wordt gehaald, volstaat dit op zich niet opdat de schuldenaar aansprakelijk zou zijn. Het is aan de schuldeiser om het bewijs te leveren dat de schuldenaar niet de inspanningen heeft geleverd die van een redelijke –professionele– partij kunnen worden verwacht. In de praktijk ziet men dat de cloud leverancier de lat meestal zo laag mogelijk legt. Waar van een leverancier normaliter “best efforts” worden verwacht, opteert de cloud leverancier veelal voor “commercially reasonable efforts”. Hiermee wordt bedoeld dat de cloud leverancier zich maar dient in te spannen voor zover commercieel redelijk van hem kan worden verwacht. Wanneer een prompte oplossing bieden of het herstel van data te zware kosten met zich meebrengt, zal de cloud leverancier zich op basis van dergelijke clausule aan zijn verplichtingen pogen te onttrekken. Voor de klant is het van belang om na te gaan hoe kritisch de applicatie is en een voldoende dienstverlening te eisen.

c. Service in de cloud In de standaard cloud contracten is meestal voorzien dat de leverancier de dienst ter beschikking stelt “as is”, m.a.w. in de staat waarin deze zich bevindt op het moment van het sluiten van het contract. Juridisch gezien heeft dit een dubbel gevolg: enerzijds is het aan de klant om na te gaan of de aangeboden dienst voor

4. Dienstverlening in de cloud (SLA)

19

zijn doeleinden bruikbaar is, anderzijds worden geen garanties geboden betreffende het technische functioneren van de dienst (beschikbaarheid, snelheid, gebruiksvriendelijkheid edm.). Natuurlijk moet de leverancier, ook wanneer de dienst “as is” wordt geleverd, nog steeds getuigen van een zekere professionaliteit. Hij dient zich nog steeds in te spannen om de beloofde dienstverlening te bieden. Hoewel de leverancier niet aansprakelijk zal kunnen worden gesteld voor het niet halen van het resultaat door eventuele bugs of gebrekkige functionaliteiten, moet de dienst van het niveau zijn dat van een leverancier te goeder trouw kan worden verwacht. De formulering “as is” laat niet toe om om het even wat op de markt te brengen. Daarom is het als leverancier belangrijk om duidelijk te communiceren over de mogelijkheden en beperkingen van de service. Soms ook wordt in de standaard contracten met grote trom een SLA aangeboden. Een grondige studie van dergelijke standaard SLA leert evenwel dat deze de aansprakelijkheid van de leverancier vaak nog verder uitholt. Het is dus zeker niet voldoende om van de leverancier een SLA te verkrijgen. Er dient tevens te worden nagegaan of deze effectief garanties biedt op het vlak van uptime, toegankelijkheid, antwoordsnelheid, geboden ondersteuning, veiligheid van data edm. Hou goed voor ogen dat er een groot onderscheid bestaat tussen het niet-tevreden zijn van een dienstverlening en het kunnen aantonen/bewijzen dat een dienst niet correct werd geleverd. Dit geldt nog sterker in de cloud, nu de klant zelf vaak geen toegang heeft tot gegevens betreffende uptime, reactiesnelheden edm. Daarom dient er in een cloud SLA extra aandacht te worden besteed aan de rapportering door de leverancier. Concrete meetresultaten dienen te worden vastgelegd en deze dienen met regelmaat te worden gerapporteerd en overgelegd.

20


Tenslotte is er nog de mogelijke compensatie waarop de klant recht heeft in geval de SLA niet wordt gehaald. Vaak wordt deze gedefinieerd in service credits, die dan recht geven op een reductie op de kostprijs van toekomstige dienstverlening. De vraag stelt zich in welke mate dergelijke service credits de gebruiker effectief compenseren, zeker in geval de dienstverlening dermate slecht was dat de gebruiker deze wenst te beëindigen en met een andere dienstverlener in zee wil gaan. Wanneer er wel een SLA wordt overeengekomen en het service niveau wordt beteugeld met penalties voor de leverancier rijst de vraag of men te maken heeft met een forfaitaire schadevergoeding (een vooraf bepaalde vaste schadevergoeding die verondersteld wordt alle schade van de klant te dekken), dan wel met een beding tot vergoeding voor de minderwaarde op het geleverde. In het laatste geval kan de klant nog een bijkomende schadevergoeding worden toegekend, in het eerste geval niet. Meer weten over het verschil tussen inspannings- en resultaatsverbintenis, de beperking van de aansprakelijkheid door de leverancier, de SLA, edm.? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

21

5. Opschorting en beëindiging van de cloud diensten

Cloud contracten voorzien veelal de mogelijkheid voor de cloud leverancier om de dienstverlening op te schorten of zelfs te beëindigen wanneer de gebruiker niet voldoet aan zijn verplichtingen (bv. betaling) of wanneer hij bepaalde voorwaarden, zoals de Acceptable Use Policy, schendt. Sommige cloud contracten gaan hierin veel verder en voorzien dat de cloud leverancier het contract kan opschorten of beëindigen omdat dit hem zakelijk het beste uitkomt of voor om het even welke reden. Het spreekt voor zich dat bij dergelijke opschorting of beëindiging de gebruiker voor problemen komt te staan.

a. Opschorting van de dienstverlening wegens fout Cloud contracten voorzien vaak dat de cloud leverancier de dienstverlening zonder kennisgeving kan opschorten wanneer de klant in de fout gaat, bv. door de Acceptable Use Policy te schenden. De reden die hiertoe wordt gegeven is dat de cloud leverancier verantwoordelijk is voor wat er op zijn platform gebeurt en onmiddellijk moet kunnen ingrijpen. Toch is dit niet volledig correct. De cloud leverancier zal in vele gevallen immers een vrijstelling genieten van aansprakelijkheid als internet Service Provider (zie hoofdst. 13). De wettelijke regeling laat meer dan genoeg ruimte voor een redelijke verwittigingsprocedure. Dergelijk contractueel recht tot opschorting is geldig onder Belgisch recht. Net zoals alle andere contractuele rechten is het

22


evenwel aan bepaalde grenzen onderworpen. De cloud leverancier dient het te goeder trouw uit te voeren en mag het niet misbruiken. Ook wanneer het contract niets voorziet, is de cloud leverancier niet zonder mogelijkheden om de dienstverlening op te schorten. Hij kan zich immers beroepen op het beginsel “exceptio non adimpleti contractus” (ENAC). Dit is het beginsel dat men niet gehouden is om zijn deel van een overeenkomst uit te voeren, indien de tegenpartij als eerste in gebreke blijft. Deze exceptie is wel aan een aantal voorwaarden verbonden: - Er dient samenhang te bestaan tussen de opgeschorte verbintenis en de verbintenis waarvan de niet-nakoming wordt aangevoerd. Bv. Zo kan de cloud leverancier niet langer de exceptie van niet-uitvoering opwerpen om het overeengekomen service level niet te halen wanneer de gebruiker de factuur toch betaalt. - De schuldvordering van de cloud leverancier dient zeker te zijn. Bv. vervallen facturen. - De gebruiker pleegt een wanprestatie die aan hem toerekenbaar is. Hier kan bv. discussie omtrent ontstaan wanneer het account van de gebruiker werd gehacked. ENAC is een beginsel uit het gemene recht. Ook de gebruiker kan zich hierop beroepen. Het is aangeraden om de tegenpartij voorafgaandelijk in kennis te stellen alvorens dat men zich hierop beroept. Wanneer de gebruiker bv. de intentie heeft om de vergoeding voor maandelijks gebruik in te houden is het aangewezen om de cloud leverancier er voorafgaandelijk op te wijzen op welke punten van de dienstverlening hij in gebreke is gebleven. Dit beginsel is onderworpen aan de goede trouw. Dit houdt in dat partijen er geen onredelijk gebruik van mogen maken, en onder


23

meer de proportionaliteit dienen te respecteren. Het voordeel van de schuldeiser dient te worden afgewogen tegen het nadeel van de schuldenaar. Bv. wanneer een factuur niet stipt is betaald, zal de cloud leverancier een afweging dienen te maken tussen zijn eigen belang (risico op niet betaling) en dat van de klant (verlies gegevens, blokkering bedrijf…) alvorens hij de toegang tot de dienst blokkeert of data vernietigt. De cloud leverancier dient hier rekening mee te houden en mag de gebruiker niet nodeloos/disproportioneel schaden. De mogelijkheid tot opschorting van de dienstverlening zal natuurlijk steeds een doeltreffend drukkingsmiddel zijn in handen van de leverancier. De gebruiker zal in vele gevallen immers liever een betwiste factuur betalen dan het risico te lopen om van de dienst te worden afgesneden.

b. Vroegtijdige beëindiging wegens fout Wanneer een partij in gebreke blijft, dient deze in principe te worden in gebreke gesteld en een redelijke respijttermijn te krijgen om alsnog te presteren. Standaard cloud contracten voorzien evenwel vaak dat de cloud leverancier het recht heeft de dienstverlening onmiddellijk te beëindigen in geval de gebruiker in gebreke blijft, voor welke reden ook. Een dergelijk beding is in principe geldig. Ook dit recht dient te goeder trouw te worden uitgevoerd. Het is over het algemeen voor de cloud leverancier dan ook aangewezen om eerst in gebreke te stellen en niet zonder meer tot beëindiging over te gaan. Vaak voorzien cloud contracten dat de cloud leverancier het recht heeft om de overeenkomst te beëindigen wanneer de financiële stabiliteit van de gebruiker in het gedrang is (bv. ingeval van faillissement, gerechtelijke reorganisatie edm.). Dergelijke bedingen zijn in principe geldig.

24


Vele cloud contracten voorzien dat de reeds betaalde vergoedingen in dergelijk geval verworven zijn en niet worden terugbetaald.

c. Eenzijdige beëindiging zonder fout Standaard cloud contracten voorzien vaak de mogelijkheid voor de cloud leverancier om de dienstverlening onmiddellijk of met bijzonder korte opzeggingstermijn te beëindigen, los van enig in gebreke blijven door de klant. Aangezien het verlenen van een opzeggingstermijn niet van openbare orde is, is een dergelijk beding in principe geldig. Het spreekt natuurlijk voor zich dat een dergelijk beding zeer nadelig is voor de klant, die hiermee rekening zal moeten houden. Natuurlijk dient ook dit recht door de cloud leverancier te goeder trouw te worden uitgeoefend.

d. Blokkering dienst In de media leest men van tijd tot tijd dat bedrijven als Google, Facebook, Apple edm. hun diensten aan lokale bedrijven hebben geschorst of beëindigd om redenen die voor ons moeilijk te begrijpen zijn. Het betreft dan meestal een conflict tussen normen en waarden, bv. hoe men staat tegenover naakt. Soms ziet men echter meer onrustwekkende conflicten, zoals wanneer een lokaal bedrijf legitiem (conform de voorwaarden van de cloud dienst) gebruik maakt van een aangeboden gratis dienst, doch de leverancier dergelijk gebruik liever niet heeft. De praktijk leert dat de cloud leverancier de dienstverlening dan wel eens durft te beëindigen op basis van een bedenkelijke of zelfs foutieve interpretatie van de voorwaarden. De beëindiging gebeurt veelal met eenvoudige kennisgeving per e-mail, zonder veel mogelijkheden tot beroep. Het is dan zeer moeilijk en tijdrovend om met de cloud leverancier in onderhandeling te treden


25

om dergelijke (al dan niet bewuste) vergissingen recht te zetten. De stap zetten naar de rechter om zijn gelijk af te dwingen komt in de praktijk uiterst zelden voor, wegens praktisch niet haalbaar. Bedrijven dienen hier rekening mee te houden alvorens te investeren in projecten die afhankelijk zijn van dergelijke internationale toeleverancier. Meer weten over ingebrekestellingen, opschorting en beëindiging van contracten? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

27

6. Vergoeding voor cloud diensten

Er bestaan verschillende vergoedingsmodellen in de cloud. Populair zijn modellen waarbij de basisdienstverlening gratis is, maar die de gebruiker voor specifieke diensten laat betalen. Soms is dit een vaste dagelijkse of maandelijkse vergoeding, soms wordt afgerekend per “click”, “view”, “upload”, verwerking, geheugeneenheid edm. Grote juridische problemen stellen zich bij deze afspraken niet, zolang er maar duidelijkheid is wat de klant wordt aangerekend en dat de afrekening correct wordt opgesteld. Voor de klant zal het immers niet steeds evident zijn om het door hem gemaakte gebruik aan te tonen. Hier dienen goede afspraken te worden gemaakt betreffende rapportering. Wanneer er geen volledige transparantie is, kan het voor de klant aangewezen zijn om contractueel auditrechten te voorzien. Vaak wordt bepaald dat de kosten van dergelijke audit voor de klant zijn, tenzij de audit een afwijking boven een vooraf bepaald percentage vaststelt. Meer over auditrechten onder hoofdst. 9. Een aandachtspunt voor de leveranciers is hun aansprakelijkheid voor gratis diensten. Soms lijkt men van mening dat men niet aansprakelijk kan zijn voor een dienst die gratis wordt verleend. Toch is dit niet correct. Voor gebreken in gratis verleende diensten kan men wel degelijk aansprakelijk worden gesteld. Het feit dat de leverancier op de dienst niets heeft verdiend, is op zich juridisch niet relevant. Daarom is het voor de leverancier in dergelijk geval aangewezen om contractueel zijn aansprakelijkheid te beperken. Indien hij dit nalaat, is hij conform het wettelijke regime onbeperkt aansprakelijk.

28


Meer weten over aansprakelijkheid? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

29

7. De data van de klant

Eén van de grote voordelen van de cloud is dat alle data samen op de servers van de cloud leverancier staan en van overal toegankelijk zijn. Het lijkt dan ook logisch dat de cloud leverancier die de data beheert, waarborgt dat de data bij hem veilig zijn en vertrouwelijk worden behandeld. Dit lijkt evident, maar toch voorzien sommige standaard cloud contracten in andere bepalingen. Zij leggen de verantwoordelijkheid voor de veiligheid van de data net bij de klant en bieden geen waarborgen terzake. De klant staat aldus contractueel in voor het encrypteren van de data en het nemen van regelmatige back-ups. Dit is geen probleem indien de klant zulks ook effectief doet (indien technisch mogelijk). De problemen duiken pas op wanneer de gebruiker de voorwaarden niet leest en zelf geen voorzieningen treft. Indien er dan problemen opduiken, staat de klant in de kou. Hieronder worden een aantal punten besproken waarmee best rekening wordt gehouden alvorens data toe te vertrouwen aan de cloud.

a. Vertrouwelijkheid Eerst en vooral stelt zich de problematiek van de vertrouwelijkheid van de gegevens. De leverancier is technisch in staat om kennis te nemen van alle gegevens van de klant. Hieromtrent moeten goede afspraken worden gemaakt, zeker wanneer persoonsgegevens betrokken zijn. In dat laatste geval dient de leverancier te waarborgen de Privacywetgeving te zullen

30


respecteren en te zullen voldoen aan de technische vereisten voor de verwerking en beveiliging van dergelijke gegevens. Dit laatste is zeker van belang voor een leverancier buiten de Europese Gemeenschap (zie verder onder Hoofdst. 8). Indien de vertrouwelijkheid van de gegevens voor de klant van belang is, dan is het aangewezen in het contract te voorzien dat de cloud leverancier het contractueel voorziene vertrouwelijkheidsniveau laat doorwerken naar zijn onderaannemers en leveranciers. Iedereen die toegang heeft tot de data dient het geëiste niveau van vertrouwelijkheid te respecteren. Eén van de belangrijke punten hierbij is de vraag onder welke omstandigheden de leverancier de data van de klant zal vrijgeven. De leverancier kan immers verzoeken tot vrijgave van informatie krijgen wanneer de klant wordt verdacht van inbreuken op intellectuele rechten, illegale of oneerlijke praktijken edm. Sommige cloud contracten voorzien dat de cloud leverancier dit enkel zal doen op gerechtelijk bevel, terwijl andere zich het recht voorbehouden aan ieder verzoek tot informatie te voldoen. De leverancier kan in dergelijk geval ervoor opteren om de klantdata vrij te geven om het risico op een juridische procedure te vermijden.

b. Integriteit Sommige cloud diensten verschuiven de aansprakelijkheid voor het encrypteren en het decrypteren van vertrouwelijke gegevens naar de klant. Dit is natuurlijk veel makkelijker contractueel vastgelegd dan technisch uitgevoerd, zeker wanneer de data in de cloud worden verwerkt. In de praktijk vertrouwen de klanten op de cloud leverancier om hun gegevens veilig en integer te houden terwijl ze worden


31

verwerkt. Mocht er toch een veiligheidsinbreuk zijn, dan zal de klant het echter niet makkelijk hebben om zijn schade op de leverancier te verhalen door de bovenvermelde contractuele verschuiving van aansprakelijkheid.

c. Back-up Een ander aandachtspunt is de back-up van data. Vaak bepalen de voorwaarden van de cloud leverancier enkel dat dagelijks een backup wordt genomen. Maar wat houdt dat juist in? Worden enkel de bestanden opgeslagen of de gehele databank? Is er controle op de correctheid van de back-up? Kunnen de data teruggezet worden en hoe lang duurt dit? Het is voor de klant belangrijk hier een duidelijk zicht op te hebben. Dit kan enkel wanneer de leverancier een duidelijke en transparante back-up procedure heeft. Dat de verantwoordelijkheid voor de back-up in standaard cloud contracten bij de klant wordt gelegd heeft een goede reden. Wanneer gegevens verloren zijn gegaan of vernietigd zijn, is de wedersamenstelling ervan (voor zover mogelijk) vaak tijdrovend en kostelijk. Wanneer de inspanningen te groot zijn voor de cloud leverancier, wil deze er voor kunnen opteren om deze inspanningen niet te doen en zich op deze clausule te beroepen. Het spreekt voor zich dat de klant in dergelijk geval in de kou blijft staan. Hoewel zijn data technisch gezien recupereerbaar zijn, heeft hij geen middel om de cloud leverancier er toe te dwingen hiertoe over te gaan. De klant die de cloud wenst te gebruiken voor kritische data heeft dan ook twee mogelijkheden: garanties voorzien in het cloud contract (en hiervoor dan ook te betalen) of zelf de verantwoordelijkheid voor de back-up opnemen.

32


Hoewel de meeste cloud leveranciers zeer redundante systemen gebruiken die dataverlies bijna uitsluiten, mag de klant hier niet zomaar op vertrouwen. Technische problemen kunnen steeds voorkomen en ook in de meest redundante systemen kunnen data verloren gaan door administratieve, menselijke, fouten.

d. Meta-data Data die vaak over het hoofd worden gezien, zijn de meta-data die toegevoegd worden bij het gebruik van de cloud dienst zelf. Ze worden gegenereerd door handelingen van de klant via de cloud dienst. Voorbeelden zijn verzendingsdata van e-mails, hun plaats binnen een correspondentie, verwijzingen naar bijlagen, tijdstempels, toegangsgegevens tot data, edm. De eigendom van deze data is niet altijd duidelijk. Vaak wordt voorzien dat de vooraf bestaande eigendomsrechten op de content die door de klant wordt ingevoerd, niet worden gewijzigd. Aldus blijft een opgeladen foto eigendom van de klant, maar blijft het statuut van de meta-data onbenoemd. Indien deze meta-data van belang zijn voor de klant is het aangewezen expliciet te voorzien dat de eigendomsrechten hierop aan hem worden overgedragen ten einde latere discussies te vermijden.

e. Gebruik van de klantdata door de leverancier In cloud contracten wordt veelal aan de leverancier een licentie verleend om de data van de klant te gebruiken met het oog op de te verlenen diensten. Bij gebrek aan dergelijke clausule, kan worden verondersteld dat deze impliciet is voorzien. De leverancier kan zijn diensten immers niet verlenen zonder dat de data van de klant in zekere mate worden gebruikt. De dienstverlening van de cloud is nu eenmaal het voorwerp van het cloud contract.


33

Deze clausules hebben echter ook vaak een bijkomend doel, met name een licentie voor de cloud leverancier om de data van de klant aan te wenden voor doeleinden die niet strikt nodig zijn voor de dienstverlening. Het betreft dan vaak het gebruik van geanonimiseerde data voor statistische-of marketingdoeleinden. Sommige cloud leveranciers hebben een business model, specifiek rond het vermarkten van dergelijke data. Het is aan de klant om uit te maken of hij zijn data daartoe wil lenen.

f. Exit / Migratie naar een ander platform Onder Belgisch recht bestaat er geen wettelijke verplichting voor de cloud leverancier om mee te werken aan de migratie van data of applicaties aan het einde van het contract. Hoewel de klant zich steeds kan beroepen op het principe van de uitoefening van contracten te goeder trouw, zal hij sterk afhankelijk zijn van de goede wil van de cloud leverancier. Wanneer de cloud leverancier weigert mee te werken, heeft de klant weinig verweermiddelen en loopt hij het risico dat hij de facto niet van leverancier kan veranderen. Dit is het zogenaamde “vendor lock-in”. Klanten die dit risico wensen te vermijden, dienen hiermee reeds bij het sluiten van de overeenkomst rekening te houden en de nodige contractuele bepalingen in de overeenkomst op te nemen om voor zichzelf een goede exit regeling te garanderen. Deze afspraken zullen onder meer betrekking hebben op volgende punten: - Periode waarbinnen de migratie dient te gebeuren; - Welke data zijn eigendom van de klant en worden gemigreerd (hou rekening met meta-data); - Hoe worden de te migreren gegevens ter beschikking gesteld (formaten, wijze, periode van beschikbaarheid);

34


- Vergoeding voor de assistentie van de leverancier. Meer weten over de bescherming van persoonsgegevens of het einde van de overeenkomst? Lees Hoofdst. V en VIII van Het Praktijkboek Informaticarecht op www.crealaw.eu.

35

8. Privacy in de cloud

a. Korte inleiding tot het recht op eerbiediging van het privéleven Wanneer wordt gesproken over privacy, wordt al te vaak meteen gedacht aan de Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens. Hoewel deze wet vaak misleidend de ‘privacy wet’ wordt genoemd, behandelt deze enkel de verwerking van persoonsgegevens. Zij regelt dus slechts een beperkt aspect van het fundamentele recht van ieder mens op eerbiediging van het privéleven. Het fundamentele recht op eerbiediging van het privéleven is opgenomen in artikel 8 van het Europees Verdrag voor de Rechten van de Mens, artikel 17 van het Internationaal Verdrag voor Burgerlijke en Politieke Rechten en artikel 22 van de Belgische Grondwet. Het begrip ‘privéleven’ dient zeer ruim te worden geïnterpreteerd. De situaties en vragen gerelateerd aan de bescherming van dit recht zijn talrijk en gevarieerd. Voorbeelden van het recht op eerbiediging van het privéleven zijn onder meer de bescherming van de fysieke en morele integriteit van een persoon, diens fysieke of sociale identiteit en persoonlijke autonomie, diens recht op identiteit en persoonlijke ontwikkeling, diens recht op een naam, seksuele geaardheid, politieke en religieuze overtuiging, enz. Ook het recht om contacten aan te knopen of relaties te ontwikkelen met zijn gelijken, bv. via sociale media, valt onder deze bescherming.

36


Het recht op eerbiediging van het privéleven strekt zich uit tot het internet. Het is niet omdat iemand bepaalde gegevens of uitlatingen op het web heeft gedaan, dat deze legitiem kunnen worden verwerkt. In tegendeel, bij iedere verwerking van persoonsgegevens dient een afweging te worden gemaakt met het recht op privacy van diegene wiens gegevens worden verwerkt. Hoewel het recht op eerbiediging van het privéleven fundamenteel is, is het niet absoluut. Het is onderhevig aan beperkingen en we zijn dan ook gewend dat onze persoonlijke levenssfeer van tijd tot tijd wordt doorbroken. Zo is het mogelijk dat de gegevens van gebruikers worden vrijgegeven in geval van illegaal opgelade muziek, racistische uitlatingen edm. Dergelijke inmengingen in de persoonlijke levenssfeer zijn evenwel slechts geoorloofd wanneer cumulatief voldaan is aan volgende drie voorwaarden: A. Legaliteitsbeginsel

Een inmenging is enkel mogelijk wanneer dit wordt voorzien door een rechtsnorm. De term rechtsnorm dient ruim te worden geïnterpreteerd en duidt op wetten en Koninklijke besluiten, maar evenzeer op regels en policies opgesteld door de cloud leverancier. B. Finaliteitsbeginsel

De inmenging in het privéleven moet een gerechtvaardigd doel hebben zoals de bescherming van de rechten en vrijheden van derden. De ingeroepen belangen mogen van economische aard zijn. C. Relevantie- en proportionaliteitsbeginsel

De inmenging in het privéleven dient relevant en geschikt te zijn in functie van het ingeroepen belang. De inmenging mag bovendien niet buitenproportioneel zijn en dient derwijze te worden toegepast


37

dat zij zo weinig mogelijk schade berokkent aan diegene op wiens privéleven een inmenging geschiedt. Zo zal de organisator van een online tombola enkel de naam en contactgegevens van de deelnemers kunnen verzamelen en bv. niet hun inkomen, familiale situatie edm. De afweging van legaliteit, finaliteit en relevantie/proportionaliteit dient keer op keer in concreto te gebeuren. Het is dan ook zeer moeilijk hieromtrent algemene richtlijnen te formuleren. Dit is een korte inleiding. Meer informatie vindt men in Hoofdst. VIII van Het Praktijkboek Informaticarecht.

b. De Privacywet De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van de persoonsgegevens (hierna de ‘WVP’) is van toepassing op elke geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op elke niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen (art. 3 WVP). Het is evident dat cloud diensten deze wetgeving dienen te respecteren. Maar de vraag stelt wie verantwoordelijk is voor de naleving van deze wetgeving: de klant of de leverancier? De WVP maakt onderscheid tussen de verantwoordelijke voor de verwerking en de verwerker. Onder ‘verantwoordelijke voor de verwerking’ wordt diegene verstaan die (alleen of samen met anderen) het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Het criterium is dus niet het feitelijk uitvoeren van de verwerking, maar het hebben van de beslissingsbevoegdheid over de verwerking. Het is de verantwoordelijke voor de verwerking die onder de WVP de grootste verantwoordelijkheid draagt betreffende de verwerking.

38


Diegene die de verwerking feitelijk uitvoert wordt de ‘verwerker’ genoemd. Dit is diegene die, ten behoeve van de verantwoordelijke voor de verwerking, persoonsgegevens verwerkt. Ook de verwerker heeft een aantal verplichtingen onder de WVP, doch minder.

c. Relatie cloud leverancier - bedrijfsafnemer Wanneer een bedrijf (als klant van de cloud dienst) persoonsgegevens van bv. consumenten of werknemers verwerkt via een cloud leverancier, zal de WVP van toepassing zijn. In dit geval stelt zich de vraag of de cloud leverancier louter verwerker is (en niets meer doet dan feitelijk de persoonsgegevens in opdracht van de cloud klant te verwerken), dan wel dat hij invloed heeft op het doel en de middelen voor de verwerking van de persoonsgegevens. Dit onderscheid heeft directe invloed op de juridische verantwoordelijkheden en aansprakelijkheid van zowel de cloud klant als de cloud leverancier. Wanneer de cloud leverancier zich beperkt tot het ter beschikking stellen van een softwareplatform en geen invloed heeft op de gegevens zal hij beschouwd worden als een loutere verwerker. Wanneer de cloud leverancier meer doet en gaat beslissen hoe de gegevens zullen worden verwerkt, wordt hij (mede-)verantwoordelijke voor de verwerking van de gegevens. Cloud diensten die bv. automatisch integreren met sociale netwerken, persoonsgegevens analyseren voor marketing doeleinden etc. doen mogelijk meer dan het louter verwerken in opdracht van de klant. Indien zij zelf het initiatief nemen om persoonsgegevens te verwerken, kwalificeren zij als mede-verantwoordelijke onder de WVP. Omdat de cloud klant de persoonsgegevens ter verwerking aanbiedt en alleszins als verantwoordelijke zal kwalificeren, is het uitermate van belang dat deze goed weet waartoe de cloud


39

leverancier zijn bestanden kan of zal aanwenden. De cloud klant dient er over te waken dat de rechten van de betrokkene (diegene wiens persoonsgegevens worden verwerkt/ de eind klant) niet worden geschonden. Zo zal de betrokkene in sommige gevallen zijn instemming moeten hebben gegeven met de verwerking van zijn gegevens door de cloud leverancier. Om onduidelijkheid hieromtrent te vermijden, is het aangewezen om de verantwoordelijkheden van de cloud leverancier contractueel goed af te bakenen en daarmee gelijktijdig ook zijn statuut als verwerker of mede-verantwoordelijke voor de verwerking conform de WVP.

d. Relatie cloud leverancier – consumenten Consumenten gebruiken cloud diensten meer en meer voor persoonlijke doeleinden. Ze laden foto’s van zichzelf en vrienden op, leggen lijsten met contacten aan, delen applicaties met vrienden edm. Artikel 3 WVP voorziet dat de Privacywet niet van toepassing is op de verwerking van persoonsgegevens door natuurlijke personen, wanneer deze uitsluitend voor persoonlijke of huishoudelijke doeleinden wordt verricht. Denk hierbij bijvoorbeeld aan een persoonlijk vriendenbestand op Facebook. Het is duidelijk dat zakelijk gebruik, zoals Lady Gaga met haar 31 miljoen Facebook vrienden, niet onder deze uitzondering kan vallen. Ook VZW’s (zoals de lokale schaakclub of parochie) kunnen zich niet op deze uitzondering beroepen. De uitzondering geldt enkel voor de persoonlijke en huiselijke doeleinden van Jan Modaal. Maar meer en meer wordt vastgesteld dat cloud leveranciers deze bepaling misbruiken om gegevens indirect te verwerken. In plaats van zelf de verwerking uit te voeren, stimuleert de cloud leverancier de particuliere gebruiker om dit te doen door vriendenlijsten

40


aan te leggen, applicaties met derden te delen, aanbevelingen of uitnodigingen naar hun adressenbestand te verzenden edm. De gemiddelde internetgebruiker blijkt weinig geremd te zijn om gegevens van vrienden en kennissen via sociale media te delen. Zo dreigt er een juridisch vacuüm te ontstaan waarin niemand aansprakelijk is voor persoonsgegevens: niet de cloud leverancier, die geen verwerking onderneemt doch slechts een platform ter beschikking stelt van de gebruiker, die zich op de uitzondering van artikel 3 kan beroepen. Omdat dergelijke situatie ongewenst is, gaan meer en meer stemmen op om de gebruiker te responsabiliseren en grenzen te stellen aan het onoverlegd delen van andermans persoonsgegevens op het internet en om de cloud leverancier toch aansprakelijk te stellen voor de handelingen van de gebruikers op zijn platform.

e. Internationale toepassing van de (Belgische) WVP De WVP is van toepassing in twee gevallen (art. 3bis WVP): 1° op de verwerking van persoonsgegevens die wordt verricht in het kader van de effectieve en daadwerkelijke activiteiten van een vaste vestiging van de verantwoordelijke voor de verwerking op het Belgisch grondgebied. Indien een Amerikaanse cloud provider, die in Amerika is gevestigd, gegevens verwerkt van Belgische consumenten en deze gegevens bedoeld zijn voor haar activiteiten in Amerika (en dus niet voor de activiteiten van een Belgische vestiging), dan is de WVP niet van toepassing. 2° op de verwerking van persoonsgegevens door een verantwoordelijke die geen vaste vestiging op het grondgebied van de Europese Gemeenschap heeft, indien voor de verwerking van persoonsgegevens gebruik gemaakt wordt van al dan niet


41

geautomatiseerde middelen die zich op het Belgisch grondgebied bevinden, andere dan degene die uitsluitend aangewend worden voor de doorvoer van de persoonsgegevens over het Belgisch grondgebied. Dit kan het geval zijn wanneer een Amerikaanse cloud leverancier beroep doet op een Belgische toeleverancier voor diensten waarbij de verwerking van persoonsgegevens zijn betrokken. Het spreekt voor zich dat de toepassing van deze regelgeving in een internetomgeving niet steeds duidelijk is.

f. Het grensoverschrijdend uitwisselen van persoonsgegevens Het grensoverschrijdend uitwisselen van persoonsgegevens binnen de Europese Gemeenschap stelt in principe geen probleem. Richtlijn 95/46/EG heeft de wetgevingen van de lidstaten immers geharmoniseerd op dit aspect. Buiten de Europese Gemeenschap mag men slechts persoonsgegevens uitwisselen met landen die een passend beschermingsniveau waarborgen en voor zover de WVP wordt nageleefd (art. 21 e.v. WVP). De vraag of het beschermingsniveau passend is, wordt in eerste instantie door de verantwoordelijke zelf beoordeeld op basis van alle relevante omstandigheden. In het bijzonder wordt rekening gehouden met de aard van de gegevens, met het doeleinde en met de duur van de voorgenomen verwerking of verwerkingen, het land van herkomst en het land van eindbestemming, de algemene en sectoriële rechtsregels die in het betrokken land gelden, alsmede de beroepscodes en de veiligheidsmaatregelen die in die landen worden nageleefd. De verantwoordelijke zal ook moeten rekening houden met de beslissingen van de Europese Commissie terzake. Voor een

42


actuele stand van zaken kan best contact opgenomen worden met de Commissie voor de bescherming van de persoonlijke levenssfeer (meer info in Het Praktijkboek Informaticarecht). In een beperkt aantal gevallen kunnen er toch persoonsgegevens worden uitgewisseld, ook met landen die geen adequate bescherming bieden. Dit is onder meer het geval wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming geeft of wanneer de doorgifte noodzakelijk is voor de uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke voor de verwerking. De zogenaamde “Safe Harbor” is een proces voor Amerikaanse bedrijven om te voldoen aan de vereisten van Richtlijn 95/46/ EG. Met Amerikaanse bedrijven die over een dergelijk certificaat beschikken, is het in principe mogelijk om gegevens uit te wisselen (binnen de grenzen van de Privacywet). Meer weten over de inhoud van de Privacywet? Lees Hoofdst. VIII van Het Praktijkboek Informaticarecht op www.crealaw.eu.

43

9. Audit

De prijszetting van cloud diensten is vaak zeer divers. Sommige plannen worden afgerekend per aantal gebruikers. De afrekening daarvan is door de klant goed te volgen. Maar wat met prijsplannen die opgebouwd zijn rond aantal “views”, “clicks”, “responses”, gebruikte bandbreedte edm.? De klant is hier afhankelijk van de rapportering door de leverancier. Hij heeft zelf geen middelen om de cijfers te verifiëren. Wanneer het gaat om belangrijke bedragen dient de klant ervoor te zorgen dat hij duidelijk weet hoe de prijs wordt berekend en dat er door de leverancier correct wordt gerapporteerd, maar ook dat de klant de mogelijkheid krijgt om de afrekening na te kijken. Dit laatste wordt doorgaans geregeld via de mogelijkheid voor de klant tot audit. Een dergelijke audit is niet enkel van belang voor de correcte afrekening, doch voor alle aspecten waarvoor de klant afhankelijk is van de rapportering van de leverancier. Te denken valt onder meer aan het behaalde service niveau (was de cloud dienst effectief 99 procent beschikbaar?), de veiligheid van de data (wordt de veiligheidsprocedure nageleefd, is de disaster recovery procedure upto-date, ...), de naleving van de Privacywet edm. Sommige cloud contracten voorzien dat de rapporten van de leverancier bewijskracht hebben ten opzichte van de klant. Dit wil zeggen dat de klant er contractueel mee akkoord gaat dat de leverancier zijn diensten op basis van zijn eigen rapporten bewijst. Dit maakt het voor de klant moeilijk om fouten aan te tonen. Indien een dergelijke clausule is opgenomen, is het des te belangrijker om als klant over audit rechten te beschikken zodat de correctheid van de geleverde rapporten kan worden geverifieerd.

44


Net zoals bij de meeste contractclausules mag de klant zich niet tevreden stellen met het eenvoudige feit dat een recht tot audit is opgenomen in het contract. Er dient rekening te worden gehouden met de praktische kant van de zaak zodat men zeker is dat de audit ook effectief kan worden uitgevoerd. Bij het opstellen van de audit clausule dient men dus rekening te houden met praktische zaken zoals in welk land de data staan, in welk center, op welke server... Hoe krijgt de auditor toegang tot deze gegevens, edm.? Wanneer dit uit het oog verloren wordt, loopt men het risico dat de audit in de praktijk onuitvoerbaar blijkt. Meestal wordt bepaald dat de klant de audit kan laten uitvoeren door een derde onafhankelijke partij. De klant zal immers zelden de nodige kennis in huis hebben om zelf de audit door te voeren. Aangezien een dergelijke audit ook inspanningen vergt van de leverancier, wordt doorgaans voorzien dat de klant zijn recht tot audit maximaal eenmaal per jaar kan uitoefenen. Omdat de kosten verbonden aan een audit snel kunnen oplopen, is het belangrijk om hieromtrent duidelijke afspraken te maken. Doorgaans wordt afgesproken dat de klant de kosten van de audit draagt, tenzij de audit substantiële onregelmatigheden aantoont. In dat geval neemt de leverancier de kosten op zich. Om discussies te vermijden, is het aangewezen te definiëren wat wordt verstaan onder substantiële onregelmatigheid. Voor de prijsafrekening bv. wordt de lat vaak op 3 procent gelegd. Wanneer de audit een afwijking van drie procent of minder aan het licht brengt, wordt de facturatie aangepast doch de audit kosten worden dan gedragen door de klant. Indien de afwijking daarentegen meer dan drie procent bedraagt, wordt de facturatie aangepast èn dient de leverancier de kosten van de audit te vergoeden. Dit is echter geen geschreven wet. Het staat partijen vrij om hun eigen afspraken omtrent de audit te maken.

45

10. Intellectuele rechten in de cloud

Onder intellectuele eigendomsrechten wordt een hele reeks van wettelijke rechten verstaan die de houder ervan een wettelijk monopolie toekennen. De belangrijkste intellectuele rechten in het kader van het informaticarecht zijn het auteursrecht, het databankenrecht, de patenten en de merken, maar dit zijn niet de enige bestaande exclusieve rechten. In het kader van dit hoofdstuk wordt er gezamenlijk naar verwezen als ‘Intellectuele Eigendomsrechten’. Voor meer informatie betreffende de verschillende rechten wordt verwezen naar Hoofdst. I van Het Praktijkboek Informaticarecht.

a. De Intellectuele Eigendomsrechten van de cloud leverancier Standaard cloud contracten bevatten bepalingen ter bescherming van de Intellectuele Eigendomsrechten van de cloud leverancier. Ze bepalen dat alle Intellectuele Eigendomsrechten op het cloud platform, zoals dit nu is (as is) en verder evolueert (to be), de exclusieve eigendom worden en blijven van de cloud leverancier. De klant verkrijgt niet meer dan een licentie om het platform te gebruiken in het kader van de cloud dienstverlening. Veelal bieden standaard cloud contracten de klant geen garantie betreffende inbreuk op rechten van derden. Nochtans kan het voor de klant nuttig zijn om dergelijke garanties te eisen. Indien het platform van de leverancier inbreuk maakt op de rechten van derden (auteursrechten, patenten, ...), bestaat er immers het voortdurende risico dat deze derden zich tegen deze inbreuk verzetten en de dienst laten stopzetten. Een incorrecte intellectueelrechtelijke situatie is

46


dan ook een bedreiging voor de continuïteit van de dienstverlening. Wanneer continuïteit voor de klant essentieel is, doet hij hier best navraag naar. Het is zelfs mogelijk om over te gaan tot een IP audit van het cloud platform.

b. De Intellectuele Eigendomsrechten van de klant Sommige cloud contracten voorzien dat alle rechten op de materialen die de klant op de cloud dienst zet, zoals foto’s, filmpjes, teksten edm., eigendom worden van de cloud leverancier. Dergelijke extreme clausules vindt men voornamelijk terug in contracten met consumenten. De reden van deze overdracht is dat de cloud leverancier niet geremd wil zijn in het verdere gebruik van deze materialen. Met deze extreme clausules dient men op te letten. Het maakt het voor de klant moeilijk tot zelfs onmogelijk om de geüploade data naderhand te verwijderen. Afhankelijk van het gebruik en de definitie van overdracht is het strikt juridisch gezien zelfs mogelijk dat de klant inbreuk pleegt op de overgedragen rechten indien hij zijn materialen los van de cloud dienst blijft gebruiken. Gelukkig vinden we dergelijke extreme clausules steeds minder terug. Het gebruik maken van een cloud dienst rechtvaardigt de overdracht van Intellectuele Eigendomsrechten normaliter niet. Beter is dat aan de cloud leverancier een gebruiksrecht wordt verleend om de materialen te gebruiken voor het verlenen van de cloud dienst. Afhankelijk van het contract is dit gebruiksrecht beperkt tot strikt datgene wat nodig is voor het opereren van de cloud dienst tot uiterst ruim. In het laatste geval zal de cloud leverancier de materialen kunnen aanwenden voor reclame doeleinden, uitwisseling met andere diensten, afzonderlijke commercialisering edm. Natuurlijk dient de cloud leverancier dwingende wetten, waaronder de Privacywet (zie Hoofdst. 8) te respecteren.

10. Intellectuele rechten in de cloud

47

Soms voorzien cloud contracten louter dat de eigendom van de data die in de cloud dienst worden opgeladen ongewijzigd blijft. Hiermee wordt bedoeld dat de data van de klant zijn eigendom blijven; indien de klant data van een derde oplaadt, blijft deze derde eigenaar van deze data. Dit lijkt logisch, maar ook met deze formulering dient te worden opgelet. In sommige gevallen zal deze bepaling immers niet voldoende zijn. Dit is het geval wanneer in de cloud belangrijke manipulaties met de data gebeuren en metadata aan de data van de klant worden toegevoegd. Vaak is immers niet enkel de content van belang (bv. de inhoud van een elektronische factuur) doch evenzeer de data van de bewerkingen die in cloud gebeurden (bv. datum en bewijs van verzending, bewijs meezenden algemene voorwaarden, link met rappel etc.). Het is belangrijk dat het statuut van deze metadata wordt overeengekomen (zie Hoofdst. 7).

c. De Intellectuele Eigendomsrechten op nieuwe ontwikkelingen De meeste cloud diensten zijn standaarddiensten waarbij de klant gebruik maakt van de dienst zoals deze evolueert. Hier is het normaal dat alle Intellectuele Eigendomsrechten op het evoluerende platform toekomen aan de leverancier. Deze dient het platform immers ook aan zijn andere klanten ter beschikking te stellen. Maar bij sommige diensten wenst de klant de cloud dienst aan zijn persoonlijke voorkeur aan te passen. Er wordt dan een module/ interface ontwikkeld die specifiek is voor de klant, modules die integreren met de interne systemen van de klant of modules die de klant een competitief voordeel geven. De klant draagt direct of indirect de kosten van deze tailor made dienst en zal dan ook veelal aandringen dat de Intellectuele Eigendomsrechten op de specifieke ontwikkelingen worden overgedragen zodat hij zeker is dat de specifieke ontwikkelingen niet ter beschikking kunnen worden gesteld van concurrenten.

48


In dergelijk geval dient de overdracht van de Intellectuele Eigendomsrechten expliciet in de overeenkomst te worden voorzien. Auteursrechten komen immers toe aan de auteur en niet aan de opdrachtgever of investeerder. Meer informatie betreffende de overdracht van Intellectuele Eigendomsrechten vindt u in Hoofdst. 1 en 2 van het Praktijkboek Informaticarecht.

d. Inbreuken door de klant Onder de meeste cloud contracten dient de klant te verklaren dat de data die in het cloud platform worden opgeladen geen inbreuk vormen op de rechten van derden en dat hij de cloud leverancier voor alle mogelijke negatieve gevolgen terzake zal vrijwaren. Dit lijkt logisch wanneer de klant een particulier of klein bedrijf is dat volledige controle heeft over de data. Minder voor de hand liggend wordt het wanneer de klant het platform op zijn beurt aan een grotere groep gebruikers ter beschikking stelt. Het is immers niet evident voor de klant om deze groep te controleren. Omgekeerd kwalificeert de cloud leverancier doorgaans als Internet Service Provider. Dit wil zeggen dat hij een vrijstelling geniet van aansprakelijkheid vooropgesteld dat hij de regels terzake toepast (zie Hoofdst. 13). Voor klanten die via de cloud dienst toegang bieden aan een grotere groep gebruikers kan het dan ook aangewezen zijn om de cloud leverancier aansprakelijk te stellen voor de data op het cloud platform door expliciet op te nemen dat de leverancier alle nodige maatregelen zal nemen die wettelijk van een Internet Service Provider worden vereist. Meer weten over intellectuele rechten? Lees Hoofdst. I van Het Praktijkboek Informaticarecht op www. crealaw.eu.

49

11. Eenzijdige wijziging van de voorwaarden

Vele cloud contracten voorzien dat de leverancier het recht heeft om eenzijdig de contractvoorwaarden te wijzigen. Wanneer de leverancier zich dit recht voorbehoudt, is de klant vanzelfsprekend nog meer afhankelijk van de goede wil van de leverancier. De leverancier kan de regels immers gedurende het spel wijzigen. Wanneer men een contract onderhandelt, is het aangewezen deze clausule te schrappen. Is een dergelijk beding in standaard voorwaarden afdwingbaar? Dat is afhankelijk van de omstandigheden. Onder Belgisch recht zijn partijen in principe vrij om een beding op te nemen dat één van de partijen toestaat om voorwaarden eenzijdig te wijzigen. Voor zover de partij die een wijziging doorvoert de goede trouw respecteert, zal deze wijziging tegenstelbaar zijn aan de tegenpartij. Natuurlijk dienen dergelijke wijzigingen correct aan de klant te worden gecommuniceerd. Een beding waarbij op de klant de verplichting rust om regelmatig de voorwaarden na te kijken op wijzigingen, heeft minder kans om in rechte afdwingbaar te worden geacht dan een beding waarbij de leverancier de klant voorafgaandelijk van wijzigingen inlicht. Toch ziet men in de praktijk dat leveranciers hun voorwaarden wijzigen, zonder de gebruikers hiervan in te lichten en zelfs zonder een datum van revisie aan de voorwaarden toe te voegen. Dergelijke handelswijze is bedenkelijk. Het is best om voor de klant de mogelijkheid te voorzien de dienstverlening te beëindigen wanneer hij niet instemt met de gewijzigde voorwaarden. Wanneer de klant, na van de wijzigingen op de hoogte te zijn gesteld, de dienst blijft gebruiken, kan hij doorgaans worden geacht met de nieuwe voorwaarden te hebben ingestemd.

50


Meer weten over algemene voorwaarden? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

51

12. Toepasselijk recht

a. Het Internationaal Privaatrecht Met de cloud maakt het niet meer uit waar de leverancier is gevestigd en is het vaak onmogelijk om na te gaan in welk land gegevens worden verwerkt. Meer en meer stelt zich dan ook de vraag naar het toepasselijke recht. Dit is het domein van het Internationaal Privaatrecht. Wanneer de partijen zelf onderling hebben bepaald welk recht van toepassing is en welke rechter bevoegd is voor hun geschil, zal dat recht van toepassing zijn en die rechter bevoegd. Wanneer de partijen hieromtrent niets hebben bepaald, zullen de regels van het Internationaal Privaatrecht uitmaken welk recht van welk land toepasselijk is, welke rechtbank van welk land bevoegd is, en hoe andere landen die rechterlijke uitspraak zullen erkennen en uitvoeren. Binnen Europa wordt de vraag naar het toepasselijke recht voor dienstencontracten (en dus voor cloud contracten) geregeld door de Rome I verordening voor contractuele verbintenissen en de Rome II verordening voor niet-contractuele verbintenissen. De vraag naar de bevoegde rechtbank wordt dan weer door de EEX-verordening ondervangen. Deze verordeningen zijn van toepassing wanneer een Europese Rechter gevraagd wordt over het toepasselijke recht en de bevoegde rechtbank te oordelen. Niet-Europese rechters zullen hun eigen conflictregels toepassen. De Rome I verordening heeft universele werking. Dit wil zeggen dat het mogelijk is dat het door haar aangewezen recht een nietEuropees rechtstelsel betreft.

52


b. Toepasselijk recht in geval van rechtskeuze In de relatie cloud leverancier – klant, wordt het toepasselijke recht doorgaans contractueel vastgelegd in de algemene voorwaarden die door de leverancier van toepassing worden gesteld op de cloud dienst. Veelal wordt in deze voorwaarden geopteerd voor het recht en de rechtbanken van de plaats waar de leverancier gevestigd is. Dit houdt in dat de Belgische klant vaak wordt geconfronteerd met het feit dat het Amerikaanse recht van toepassing is en een Amerikaanse rechter bevoegd. Dergelijke toepassing van buitenlands recht en bevoegdheid van buitenlandse rechter is in principe geldig. In onderhandelde contracten wordt soms naar een middenweg gezocht en wordt soms geopteerd voor een rechtstelsel dat voor beide partijen vreemd is. Dit is perfect rechtsgeldig. De partijen kunnen opteren voor een dergelijk neutraal recht. Opdat de rechtskeuze geldig is, is niet vereist dat het gekozen recht enige banden heeft met het contract of de contractanten. Het is voldoende dat beide partijen zich akkoord verklaren (al is het impliciet via de aanvaarding van algemene voorwaarden) met de rechtskeuze. Of de rechtskeuze rechtsgeldig is gebeurd, dient te worden beoordeeld aan de hand van het aangewezen recht. Of het aanklikken van een akkoord-button volstaat als wilsinstemming, dient dus te worden beoordeeld aan de hand van het door partijen aangewezen recht. Indien de rechter vaststelt dat er geen rechtsgeldige overeenstemming was tussen partijen betreffende het toepasselijke recht, dan zal dit worden bepaald overeenkomstig de regels van het Internationaal Privaatrecht. Op deze regel is één uitzondering voorzien in artikel 10 van de Rome I verordening. Wanneer de rechtskeuze niet uitdrukkelijk is opgenomen in het contract tussen de partijen of in de toepasselijke voorwaarden, doch slechts naderhand duidelijk wordt (bv. de


53

rechtskeuze werd op een voor de klant moeilijk toegankelijk plek opgenomen en werd als het ware voor hem verborgen gehouden) dan kan de klant zich beroepen op het recht van de staat waar hij zijn gewone verblijfplaats heeft om aan te tonen dat hij niet heeft ingestemd met de toepasselijke rechtskeuze. Hij kan zich hier enkel op beroepen indien uit de concrete omstandigheden blijkt dat het niet redelijk zou zijn om het in het contract of voorwaarden aangewezen recht toe te passen. Het spreekt voor zich dat dit een uitzonderingsregel is die niet snel zal worden toegepast. De regel beschermt de klant wel tegen malafide leveranciers. Wanneer een Belgische klant geconfronteerd wordt met een clausule waarvan hij geen kennis had/kon hebben op het ogenblik van het sluiten van de overeenkomst en deze clausule bepaalt dat het Amerikaanse recht van toepassing is en een Amerikaanse rechter bevoegd, zal de Belgische klant zich voor de Belgische rechter toch op dit artikel 10 van de Rome I verordening kunnen beroepen. Wanneer men de mogelijkheid heeft om met de leverancier te onderhandelen, mag men de toepasselijkheid van buitenlands recht en de bevoegdheid van een buitenlandse rechtbank niet te licht aanvaarden. Rechtsregels verschillen van land tot land (ook binnen de Europese Gemeenschap) en de kosten van een buitenlandse procedure zijn vaak enorm. De stap naar een procedure in het buitenland wordt in de praktijk dan ook niet zo snel gezet. Indien men een buitenlands recht en rechter aanvaardt, dient men dus rekening te houden met een serieuze procedurele handicap. Bovendien kan het buitenlandse recht regels inhouden die men niet had verwacht met soms onaangename (financiële) verrassingen tot gevolg. De afspraken tussen leverancier en klant betreffende het toepasselijke recht, hebben evenwel geen invloed op bepalingen van de eigen internationale orde en van bijzonder dwingend recht. Een

54


voorbeeld hiervan is de privacy wetgeving. Een Belgische rechter zal deze wet toepassen wanneer handelingen gesteld worden die onder het toepassingsgebied van de Belgische privacy wetgeving vallen, ook wanneer de partijen contractueel overeengekomen zijn dat het Belgische recht niet van toepassing is.

c. Toepasselijk recht bij afwezigheid van rechtskeuze Wanneer de partijen geen overeenkomst hebben gesloten betreffende het toepasselijke recht, gebeurt de rechtsaanwijzing op grond van art. 4, eerste lid, litt.b, Rome I-verordening. Volgens deze bepaling is het recht van toepassing van de staat waar de dienstverlener (de leverancier van de cloud dienst) zijn gewone verblijfplaats heeft. Rechtspersonen en vennootschappen worden verondersteld hun gewone verblijfplaats te hebben waar hun hoofdbestuur is gevestigd. Dit houdt in dat wanneer bv. gecontracteerd wordt met een Belgische vestiging van een Frans bedrijf, het Franse recht in principe van toepassing zal zijn. Hierop is evenwel een correctiemechanisme voorzien. Wanneer vanuit een lokale vestiging, filiaal of bijkantoor ‘een inhoudelijke bijdrage’ is geleverd tot uitvoering van de cloud overeenkomst, dan kan het lokale recht van toepassing worden verklaard. Het is de lokale rechter die autonoom zal oordelen of er sprake is van een ‘inhoudelijke bijdrage’. Hoewel deze term niet is gedefinieerd, valt hierbij te denken aan facturatie, helpdesk, deelname aan de gegevensverwering in de cloud edm.


55

Ook wanneer voor de klant verborgen werd gehouden dat hij met een buitenlandse vennootschap contracteerde, kan aan het lokale recht worden aangeknoopt. Wanneer het toepasselijke recht overeenkomstig deze regels bepaalbaar is, loopt de analyse gelijk aan de hypothese waar de partijen het toepasselijke recht contractueel hebben bepaald. Meer weten over rechtskeuze? Lees Hoofdst. V van Het Praktijkboek Informaticarecht op www. crealaw.eu.

57

13. De aansprakelijkheid van de cloud leverancier als ISP

a. De cloud leverancier als louter Internet Service Provider? Iedereen die beschikt over zijn volle verstand (onderscheidingsvermogen) is als eerste aansprakelijk voor zijn daden. Wanneer een klant een cloud dienst gebruikt om zijn mening te uiten, is de klant dan ook als eerste aansprakelijk voor de inhoud van zijn boodschap. Wanneer deze beledigend, racistisch of anderszins schadend is, zal de klant zich dienen te verantwoorden. De vraag stelt zich of ook de aansprakelijkheid van de cloud leverancier in gedrang kan komen. Het antwoord hierop is negatief, vooropgesteld dat de cloud leverancier de regels volgt. De cloud leverancier is immers net zoals iedereen aansprakelijk voor zijn diensten en dit zowel op burgerrechtelijk als op strafrechtelijk vlak. Op burgerrechtelijk vlak is hij aansprakelijk voor de schade die door zijn fout wordt aangericht, bv. door het niet behalen van het afgesproken service niveau of het verlies van data. Op strafrechtelijk vlak kan de cloud leverancier aangesproken worden als dader, mededader of medeplichtige van misdrijven, zoals bv. kinderporno of negationisme. Enerzijds heeft de cloud leverancier de mogelijkheid om zijn aansprakelijkheid voor schade contractueel te beperken. Hij kan bv. in zijn voorwaarden opnemen dat hij slechts aansprakelijk is tot een maximaal bedrag van 25.000€ of voor het bedrag dat de klant gedurende de voorbije twaalf maanden voor de dienst heeft betaald. Deze beperking van aansprakelijkheid geldt enkel ten opzichte van

58


diegenen waarmee de cloud leverancier een contract heeft. Ten opzichte van derden geldt deze beperking van aansprakelijkheid niet (voor meer info betreffende de beperking van aansprakelijkheid, zie Het Praktijkboek Informaticarecht p. 82 e.v.). Aangezien de cloud leverancier vaak geen vat heeft op het gebruik dat de gebruikers van zijn diensten maken, kan dit leiden tot unfaire situaties. De cloud leverancier zou aansprakelijk gehouden kunnen worden voor bv. het feit dat een gebruiker een foto oplaadt zonder toestemming van de auteursrechthebbende. Relevant is hier de vraag of de leverancier louter een dienst/platform aanbiedt, dan wel zelf actief informatie verwerkt. In het eerste geval is de cloud leverancier een zuivere Internet Service Provider (afgekort ISP). De ISP is een tussenpersoon die louter technische diensten levert betreffende het doorgeven, opslaan en bewerken van informatie. De ISP neemt zelf niet het initiatief om informatie via zijn diensten te verwerken, doch biedt louter technische ondersteuning. De ISP geniet een wettelijke beperking van aansprakelijkheid. Hij is slechts in beperkte gevallen aansprakelijk voor de informatie die via zijn diensten wordt verwerkt. In het tweede geval verwerkt de cloud leverancier de informatie zelf en draagt hij dan ook de volledige aansprakelijkheid. Dit onderscheid is van belang wanneer er bv. kinderporno, illegale software, illegale muziekbestanden, spam, edm. vanop het cloud systeem wordt verspreid. Wanneer de cloud leverancier zich beperkt tot louter technische ondersteuning en zelf geen initiatief hiertoe heeft genomen, zal hij hier zelf niet voor aansprakelijk kunnen gesteld worden. Wanneer de cloud leverancier echter meer doet dan loutere technische ondersteuning, kan zijn persoonlijke aansprakelijkheid in gedrang komen. Het is cloud leveranciers die betrokken zijn bij de inhoud van de informatie die via hun diensten wordt verwerkt dan ook aangewezen om zich terughoudender op


59

te stellen. Zij vallen immers onder het striktere, gemeenrechtelijke, aansprakelijkheidsregime. Het onderscheid tussen de cloud leverancier als zuivere ISP of niet is een feitelijk gegeven. Wanneer de cloud leverancier zich op zijn statuut als ISP wenst te beroepen (om aansprakelijkheid te ontlopen) dient hij te kunnen aantonen dat hij wel degelijk als ISP kwalificeert en zelf geen initiatief heeft genomen voor de verwerking van de betwiste informatie.

b. De beperkte aansprakelijkheid van de ISP Het wettelijk kader dat de beperking van aansprakelijkheid van de ISP vastlegt, is opgenomen in artikelen 18 tot 21 van de Wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij. Ze zijn een omzetting van de Europese Richtlijn inzake elektronische handel (Richtlijn 2000/31/ EG). De ISP geniet een wettelijke vrijstelling van aansprakelijkheid in volgende drie gevallen: 1. De ISP treedt op als doorgeefluik (“mere conduit”) De ISP wordt geacht op te treden als doorgeefluik indien de cloud dienst bestaat in het doorgeven in een communicatienetwerk van door de gebruikers van de dienst verstrekte informatie, of in het verschaffen van toegang tot een communicatienetwerk, voor zover: 1° het initiatief tot de doorgifte niet bij de cloud leverancier ligt; 2° de ontvanger van de doorgegeven informatie niet door de cloud leverancier wordt geselecteerd; 3° de doorgegeven informatie niet door de cloud leverancier wordt geselecteerd of gewijzigd.

60


Het doorgeven van informatie en het verschaffen van toegang omvatten de automatische, tussentijdse en tijdelijke opslag van de doorgegeven informatie, voor zover deze opslag uitsluitend dient om de doorgifte in het communicatienetwerk te bewerkstelligen en niet langer duurt dan redelijkerwijs voor het doorgeven nodig is. Samengevat komt dit erop neer dat cloud leveranciers die hun activiteit beperken tot het doorgeven van informatie en het verschaffen van toegang, niet aansprakelijk worden gesteld voor zover zij geen initiatief nemen en neutraal blijven met betrekking tot de verspreide informatie. Deze vrijstelling geldt zowel op burgerrechtelijk als strafrechtelijk vlak. Soms wordt gesteld dat ISP’s die louter optreden als doorgeefluik vrijgesteld zijn van aansprakelijkheid, zelfs indien ze kennis hebben van de aanwezigheid van onwettige informatie op hun netwerk en hier niet tegen optreden. Let op: er is een verschil tussen louter kennis hebben van en met opzet meewerken. In het laatste geval vervalt de vrijstelling van aansprakelijkheid alleszins. Maar ook in het eerste geval is voorzichtigheid geboden. Het is immers de vraag of dergelijke interpretatie een correcte weergave is van de Europese Richtlijn, die volgens bepaalde rechtsleer lijkt te veronderstellen dat “mere conduit” geen kennis van de inhoud veronderstelt. “Mere conduit” cloud leveranciers die kennis krijgen van illegale inhoud op hun netwerk, kunnen dan ook best concreet juridisch advies inwinnen. 2. De ISP slaat de gegevens louter tijdelijk op (“caching”) Wanneer de cloud dienst bestaat uit het doorgeven via een communicatienetwerk van door een klant verstrekte informatie, is de cloud leverancier niet aansprakelijk voor de automatische, tussentijdse en tijdelijke opslag van die informatie, wanneer deze opslag enkel geschiedt om latere doorgifte van die informatie aan andere gebruikers en op hun verzoek doeltreffender te maken, als aan elk van de volgende voorwaarden is voldaan:


61

1° de cloud leverancier wijzigt de informatie niet; 2° de cloud leverancier neemt de toegangsvoorwaarden voor de informatie in acht; 3° de cloud leverancier respecteert de gangbare regels betreffende de bijwerking van de informatie; 4° de cloud leverancier wijzigt niets aan het gangbare rechtmatige gebruik van technologie voor het verkrijgen van gegevens over het gebruik van de informatie; 5° de cloud leverancier handelt prompt om de door hem opgeslagen informatie te verwijderen of de toegang ertoe onmogelijk te maken, zodra hij er daadwerkelijk kennis van heeft dat de informatie verwijderd werd van de plaats waar zij zich oorspronkelijk in het net bevond, of dat de toegang ertoe onmogelijk werd gemaakt, of zodra een administratieve of gerechtelijke autoriteit hiertoe bevel geeft. Wanneer de leverancier daadwerkelijk kennis krijgt van een onwettige activiteit of informatie, dient hij dit onverwijld aan de procureur des Konings te melden. Samengevat komt dit erop neer dat cloud leveranciers wiens dienst bestaat uit de automatische, tussentijdse en tijdelijke opslag van informatie uitsluitend met het oog op het meer doeltreffend maken van de latere overdracht ervan, zijn vrijgesteld van aansprakelijkheid. Zij dienen wel aan de vijf boven gestelde voorwaarden te voldoen. Cloud leveranciers die de informatie langer dan tijdelijk opslaan, kunnen niet genieten van deze vrijstelling. De vijf voorwaarden waaraan dient te worden voldaan zijn niet onlogisch. Allereerst mag de cloud leverancier de inhoud van de informatie niet wijzigen. Doet hij dit wel, dan wordt hij geacht invloed te hebben op de inhoud en kan hij er aansprakelijk voor

62


worden gehouden. Hiermee worden vanzelfsprekend wijzigingen aan de informatie van louter technische aard, die technisch noodzakelijk zijn om de dienst te kunnen leveren, niet bedoeld. De volgende voorwaarde is minder evident: de cloud leverancier neemt de toegangsvoorwaarden voor de informatie in acht. Hiermee wordt bedoeld dat de ISP de toegangsrechten op de oorspronkelijke informatie dient te respecteren. Indien de oorspronkelijke informatie slechts voor een beperkte groep gebruikers toegankelijk is (bv. door paswoordcontrole of mits betaling), dienen de tijdelijke kopieën dit eveneens te zijn. Verder dient hij de in de bedrijfstak alom geldende regels betreffende de bijwerking van informatie te respecteren. Dit wil zeggen dat, wanneer een gebruiker van de cloud dienst de informatie wenst bij te werken of te verwijderen, de leverancier hiertoe de mogelijkheid dient te bieden, op een wijze die algemeen gangbaar is binnen de bedrijfstak. Caching cloud leveranciers, die informatie van gebruikers niet daadwerkelijk verwijderen of gevraagde wijzigingen niet conform de algemeen geldende normen doorvoeren, lopen het risico om de vrijstelling van aansprakelijkheid te verliezen. De ISP zal ook de gebruikelijke technologieën waarmee het gebruik van de informatie kan worden geverifieerd, moeten respecteren. Hij mag dus niet moedwillig een zwarte doos installeren. Ten slotte dient de caching leverancier die kennis krijgt van illegale activiteiten prompt actie te ondernemen zoals omschreven in de vijfde voorwaarde. Deze voorwaarden zijn er gekomen om te verhinderen dat illegale informatie onbeperkt zou blijven hangen op caching servers, mirror sites edm. Tijdelijke kopieën dienen tijdelijk te zijn en louter dienen voor caching. Voor kopieën die niet aan deze regels voldoen, kan de leverancier aansprakelijk worden gesteld.


63

3. De hosting leverancier Wanneer de cloud dienst bestaat uit de opslag van de door een klant verstrekte informatie (bv. het hosten van een persoonlijke blog, website of pagina), is de cloud leverancier niet aansprakelijk voor de op verzoek van de klant opgeslagen informatie, op voorwaarde dat : 1° de leverancier niet daadwerkelijk kennis heeft van de onwettige activiteit of informatie, of wat een schadevergoedingsvordering betreft, geen kennis heeft van feiten of omstandigheden waaruit het onwettelijke karakter van de activiteit of de informatie blijkt; 2° de leverancier, zodra hij van het bovenbedoelde daadwerkelijk kennis heeft, prompt handelt om de informatie te verwijderen of de toegang ertoe onmogelijk te maken en voor zover hij handelt overeenkomstig de procedure uiteengezet verder in dit hoofdstuk. Deze vrijstelling geldt evenwel niet wanneer de klant van de dienst op gezag of onder toezicht van de cloud leverancier handelt. Wanneer de cloud leverancier daadwerkelijk kennis krijgt van een onwettige activiteit of informatie, dient hij dit onverwijld aan de procureur des Konings te melden die dan de nodige maatregelen kan nemen. Zolang de procureur des Konings geen beslissing heeft genomen met betrekking tot het kopiëren, ontoegankelijk maken en verwijderen van de in een informaticasysteem opgeslagen gegevens, kan de leverancier enkel maatregelen nemen om de toegang tot de informatie te verhinderen. Hij mag de informatie dus niet op eigen initiatief vernietigen.

64


c. Dient de cloud leverancier toe te zien op de handelingen van de gebruikers? De cloud leverancier heeft niet de plicht om de gedragingen van de gebruikers actief te controleren. Hij heeft geen algemene verplichting om toe te zien op de informatie die zij doorgeven of opslaan, noch om actief te zoeken naar feiten of omstandigheden die op onwettige activiteiten duiden. Hij mag zulks natuurlijk steeds vrijwillig doen, bv. door het aanstellen van moderatoren. De bevoegde gerechtelijke instanties kunnen wel, in specifieke gevallen, een tijdelijke toezichtverplichting opleggen, indien een wet in deze mogelijkheid voorziet. Ook is het zo dat de cloud leverancier, wanneer hij tijdens het leveren van zijn diensten vermeende onwettige activiteiten of onwettige informatie van gebruikers opmerkt, hij deze onmiddellijk aan de bevoegde gerechtelijke of administratieve autoriteiten dient te melden. De cloud leverancier hoeft zijn platform dus niet op illegale activiteiten af te speuren. Indien hij deze toch opmerkt, dient hij evenwel de bevoegde instanties te verwittigen. Het gevolg van deze regeling is dat een cloud leverancier die wel toezicht uitoefent, bv. via moderatoren, de lat voor zijn aansprakelijkheid hoger legt. Wanneer hij nalaat om bemerkingen van zijn moderatoren door te geven aan de bevoegde instanties, kan zijn eigen aansprakelijkheid immers in gedrang komen. Tenslotte dient de cloud leverancier de bevoegde gerechtelijke of administratieve autoriteiten op hun verzoek alle informatie te verschaffen waarover hij beschikt die nuttig is voor de opsporing en de vaststelling van de inbreuken gepleegd middels zijn cloud dienst. De wettelijke en reglementaire bepalingen terzake dienen hierbij natuurlijk te worden nageleefd.


65

d. Beveiligingsplicht Er bestaat in België geen algemene regelgeving betreffende het niveau van beveiliging waaraan de cloud leverancier dient te voldoen. Het staat de leverancier vrij hieromtrent met zijn gebruikers afspraken te maken. Natuurlijk dient de dienst op een professionele wijze te worden geleverd, en in bepaalde gevallen impliceert dit een bepaalde veiligheidsstandaard. Zo zal een leverancier van een cloud boekhoudpakket een niveau van veiligheid moeten bieden dat conform de industrienormen terzake kan worden verwacht. Waar er geen algemene regelgeving bestaat, kunnen sommige wetten wel specifieke verplichtingen opleggen. Zo zal de cloud leverancier moeten voldoen aan artikel 16 van de Privacywet. Dit houdt in dat de cloud leverancier de gepaste technische en organisatorische maatregelen dient te treffen die nodig zijn om de persoonsgegevens te beschermen: - tegen toevallige of ongeoorloofde vernietiging; - tegen toevallig verlies; - tegen onrechtmatige wijziging en toegang; - tegen iedere andere niet toegelaten verwerking. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s. Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen. Op de website van de Commissie

66


voor de bescherming van de persoonlijke levenssfeer vindt men ook richtlijnen en adviezen terzake weer. Meer weten over aansprakelijkheid en privacy? Lees Hoofdst. V en VIII van Het Praktijkboek Informaticarecht op www.crealaw.eu.

67

14. Besluit

Cloud services hebben een grote waarde, maar houden eveneens een verhoogd risico in. De grotere flexibiliteit van cloud services en hun gebruiksgemak t.o.v. andere oplossingen, dienen te worden afgewogen tegenover mindere zekerheid van en controle over data en dienstverlening en de vaak minder aantrekkelijke contractuele rechten. Er kunnen behoorlijk wat onvoorziene risico’s en kosten verborgen zijn in de gebruiksvoorwaarden van dergelijke diensten. Voor niet-kritische diensten kunnen bedrijven vanuit juridisch oogpunt in principe veilig overschakelen op de cloud. De bescherming ligt hem dan niet op het vlak van juridische zekerheid, maar in het feit dat het bedrijf door het wegvallen van de dienst niet wordt geschaad. Voor kritische diensten dient wel degelijk een goede afweging te worden gemaakt. Daarbij dienen kosten en efficiëntie te worden afgewogen tegenover de toegenomen risico’s. De risico’s kan men tweeërlei ondervangen: ofwel zorgt men voor een praktische oplossing (bv. een eigen back-up) ofwel onderhandelt men met de cloud leverancier een overeenkomst. Bij dit laatste dient natuurlijk te worden opgemerkt dat juridische zekerheid geen absolute zekerheid is. Een goed contract beschermt niet tegen faillissement en contractuele rechten afdwingen neemt soms veel tijd in beslag. Toch mag men niet nalaten cloud contracten te onderhandelen. Het niet-onderhandelen leidt er voor de gebruiker quasi automatisch toe dat hij in geval van problemen aan het kortste eind trekt, tenzij de leverancier uit eigen wil actie onderneemt. Het gemak waarmee cloud contracten kunnen worden afgesloten, leidt er evenwel vaak toe dat gebruikers belangrijke contractuele problemen over het hoofd zien en deze afweging niet maken. Toch

68


mag men zich daar niet aan laten vangen. Gebruikers dienen de voorwaarden van de cloud services goed te lezen en bewust een beslissing nemen om bepaalde risico’s al dan niet te lopen. Leveranciers van cloud diensten kunnen zich dan weer differentiëren van de concurrentie door betere contractvoorwaarden te bieden. Diligente gebruikers zullen hun diensten immers verkiezen boven deze van leveranciers die vast blijven houden aan de onnodig eenzijdige cloud contracten die dezer dagen de norm lijken te zijn. Ondernemen is risico nemen en perfecte juridische zekerheid is quasi uitgesloten. Het is dan ook perfect verantwoord om het verhoogde gebruiksgemak en de kostenbesparing te kiezen boven juridische zekerheid, zolang deze keuze beredeneerd gebeurt. Dit is de les die uit cloud contracten kan worden getrokken. Want blind cloud contracten sluiten, kan leiden tot onaangename verrassingen.

69

Checklist

Om af te sluiten een korte, maar geenszins exhaustieve checklist met afwegingen die men dient te maken wanneer men van een cloud dienst gebruik wil maken: - Prijsberekening en technisch: zijn er effectief voordelen aan de cloud dienst? - Zijn er garanties betreffende de continuïteit van de dienstverlening? Kan de leverancier de dienstverlening eenzijdig beëindigen en zo ja, met welke kennisgeving? - Indien er geen garanties zijn betreffende continuïteit, is de dienst kritisch of kan snel worden overgeschakeld op een alternatief? - Hoe makkelijk of moeilijk is het om de data te migreren naar een andere dienstverlener of om de dienst terug intern te nemen? - Welke garanties zijn er betreffende het niveau van de geboden dienstverlening? Is er een compensatiemechanisme voorzien? Is het compensatiemechanisme zinvol (vergoedt het daadwerkelijk de geleden schade)? Rapporteert de cloud leverancier over het niveau van dienstverlening? Kunnen deze rapporten worden geverifieerd? - Hoe wordt de prijs berekend? Is het mogelijk om de afrekening te controleren? - Heeft de gebruiker het recht tot audit?

70


- Heeft de leverancier de mogelijkheid om de contractvoorwaarden eenzijdig te wijzigen? Zo ja, wordt de gebruiker hiervan ingelicht en heeft hij de mogelijkheid om de dienstverlening op te zeggen? Kan de prijszetting eenzijdig worden gewijzigd? - Zijn er garanties of disclaimers betreffende de veiligheid van de klantgegevens? Kan de leverancier de gegevens vernietigen zonder kennisgeving? Kan de leverancier gedwongen worden de gegevens te recupereren in geval van verlies? Behoudt de gebruiker zijn eigen back-up? - Onder welke voorwaarden kan de leverancier de gegevens van de klant delen met derde partijen of vrijgeven? Bevatten deze gegevens persoonsgegevens in de zin van de Privacywet? Respecteert de cloud leverancier de Privacywet? - In welke mate beperkt de leverancier zijn aansprakelijkheid voor de dienstverlening, in het bijzonder voor indirecte schade zoals verlies van omzet? Wat zijn de mogelijkheden voor de gebruiker om zijn rechten te laten gelden: Wat is het toepasselijke recht en tot welke rechter dient de gebruiker zich te richten? Zijn er eventueel andere beperkingen om een vordering in te stellen (vervaltermijnen, te volgen procedures edm.).

71

Meer weten?

Het Praktijkboek Informaticarecht is een handige gids met alles wat men dient te weten over recht en informatica. Het kan vrij worden geraadpleegd via www.crealaw.eu of in boekvorm worden besteld. Het Praktijkboek Informaticarecht bevat:

I. Overzicht van de belangrijkste intellectuele rechten Een overzicht van de diverse intellectuele rechten waarin onder meer het verschil tussen auteursrechten, databankrechten, patenten en merken wordt uitgelegd.

II. Ontwikkeling van software De toepassing van hoofdstuk I op software, vnl. van toepassing voor de inhouse ontwikkeling van software door de developer zelf, personeel of zelfstandige toeleveranciers.

III. Gebruik van software van derden in een eigen applicatie Uw rechten en plichten indien software van derden in de eigen applicatie wordt gebruikt of software van derden wordt gekloond?

IV. Free and Open Source Software Uw rechten en plichten indien u Free/Open Source Software gebruikt.

72


V. Belangrijkste contracten Waar moet u op letten bij de onderhandeling van een contract en welke contracten bestaan er? Een bondige uiteenzetting voor klant en leverancier.

VI. Distributie van software Let goed op wanneer u beroep doet op derden voor de distributie van uw software.

VII. Overheidsopdrachten De overheid schrijft massaal ICT aanbestedingen uit. Waar vindt u ze, hoe schrijft u in en waar dient u op te letten?

VIII. Verwerking van persoonsgegevens In welke gevallen mag u persoonsgegevens verwerken en waar dient u op te letten?

IX. Personeel en zelfstandige medewerkers Mogen uw klanten uw personeel afwerven? Hoe bescherm je uw intellectueel kapitaal tegen concurrentie door uw personeel? Waar op te letten bij zelfstandige consultants en outsourcing van personeel? Dit en diverse andere vragen.

73

Modelcontract

In samenwerking met Agoria werd een modelcontract opgesteld voor cloud diensten. Dit model dient steeds aangepast te worden aan elke concrete situatie, waarbij verder advies aangewezen is. Iedere aansprakelijkheid voor gebruik van het model is uitgesloten. © Agoria & Crealaw 2012

74


Oktober 2012

MODELOVEREENKOMST SOFTWARE AS A SERVICE TUSSEN ..................................... een vennootschap naar Belgisch recht, met ondernemingsnummer ....................................................... ................ waarvan de maatschappelijke zetel gevestigd is te ….................. .................................................... vertegenwoordigd door ............................................................. ........................................................ hierna “de Dienstverlener” genoemd

EN ...................................... een vennootschap naar Belgisch recht, met ondernemingsnummer ....................................................... waarvan de maatschappelijke zetel gevestigd is te ...................... .................................................... vertegenwoordigd door ............................................................. ........................................................ hierna “de Klant” genoemd beide hierna eveneens individueel “partij” en gezamenlijk “partijen” genoemd

Modelcontract

WERD VOLGENDE OVEREENKOMST GESLOTEN

Artikel 1 - Definities Beschikbaarheid Het tijdvak, uitgezonderd de tijd gereserveerd voor onderhoud en update, gedurende hetwelke CLOUD01 op gebruiksvriendelijke en kwaliteitsvolle wijze beschikbaar dient te zijn overeenkomstig de Specificaties.

CLOUD01 Het op afstand via elektronische weg beschikbaar stellen en houden van de gebruiksfuncties en gebruiksmogelijkheden van de computerprogrammatuur van de Dienstverlener overeenkomstig de Specificaties.

Gebrek Het niet of niet volledig voldoen van CLOUD01 aan de Specificaties.

Gebruiker(s) De perso(o)n(en) die door de Klant gemachtigd zijn om CLOUD01 te gebruiken en door middel van een

75

76


gebruikersnaam en paswoord toegang hebben tot de CLOUD01-account van de Klant.

Intellectuele Eigendomsrechten Alle intellectuele rechten zoals, doch niet beperkt tot, patenten, tekeningen, modellen, auteursrechten, rechten op software en databanken, merken, know-how, domeinnamen en handelsnamen.

Ondersteuning Het door de Dienstverlener telefonisch, per e-mail of door middel van een website of helpdesk, verstrekken van informatie en advies over het gebruik van CLOUD01 ten belope van maximaal [XX uur] per jaar zoals bepaald in de Specificaties. De Ondersteuning kan opleiding omvatten indien voorzien in de Specificaties.

Overeenkomst Deze licentie- en dienstenovereenkomst voor CLOUD01 die gesloten wordt tussen de Dienstverlener en de Klant, met inbegrip van de bijlagen.

Specificaties Beschrijving van de functionaliteit, servercapaciteit, werking en kwaliteitsniveau van CLOUD01, alsook de eventueel te ontwikkelen klantspecifieke modules, zoals besteld door de Klant en bepaald in bijlage.

Modelcontract

Werkuren Maandag tot en met vrijdag tussen 08:00 en 17:00 uur, met uitzondering van wettelijke feestdagen.

Artikel 2 - Voorwerp van de Overeenkomst De Klant wenst gebruik te maken van CLOUD01 en de bijbehorende Ondersteuning. De Dienstverlener is bereid om de Klant CLOUD01 en Ondersteuning te verlenen en toegang te geven tot het CLOUD01platform onder de voorwaarden van de Overeenkomst.

Artikel 3 - Licentie 3.1.

Na betaling van de toepasselijke vergoedingen kent de Dienstverlener aan de Klant een onoverdraagbare en niet-exclusieve licentie toe voor het gebruik van CLOUD01 door het aantal Gebruikers zoals voorzien in de Specificaties. Krachtens deze licentie mag ieder gebruik uitsluitend online gebeuren, uitsluitend ten behoeve van het interne gebruik van de Klant en strikt in overeenstemming met het bedoelde gebruik van CLOUD01 als uiteengezet in artikel 6.

3.2.

De Klant erkent dat CLOUD01 voortdurend verbeterd en aangepast wordt door de Dienstverlener. De Klant heeft alleen toegang tot de laatst uitgegeven versie van CLOUD01. Iedere nieuwe versie of update van CLOUD01 vervangt de originele of vorige versie ervan als gewijzigde versie en is bijgevolg onderhevig aan alle rechten en plichten zoals vermeld in de

77

78


Overeenkomst. Tijdens de updates kan CLOUD01 tijdelijk onbeschikbaar zijn voor de Klant. 3.3.

De Klant kan op om het even welk ogenblik bijkomende licenties bestellen via de CLOUD01-bestelpagina. Voor dergelijke bijkomende licenties zijn de toepasselijke vergoedingen diegene die van kracht zijn op het ogenblik van het plaatsen van de bestelling. Bijkomende bestellingen zijn slechts bindend na bevestiging door de Dienstverlener.

Artikel 4 - Servercapaciteit 4.1.

De Dienstverlener stelt de servercapaciteit ter beschikking van de Klant als voorzien in de Specificaties. De Klant kan bijkomende servercapaciteit bestellen via de CLOUD01-bestelpagina. De bijkomende servercapaciteit wordt verstrekt voor de periode vermeld op de CLOUD01-bestelpagina.

4.2.

Indien het volume van de gegevens die door de Klant worden opgeslagen op de servers van de Dienstverlener de door de Klant betaalde servercapaciteit overschrijdt, zal de Klant hiervan onverwijld op de hoogte worden gebracht en dient deze bijkomende servercapaciteit te kopen via de CLOUD01-bestelpagina.

4.3.

Wanneer de Klant geen bijkomende servercapaciteit koopt bij overschrijding, verwijdert de Dienstverlener de gegevens van de Klant die de betaalde servercapaciteit overschrijden na verloop van 30 dagen. De Klant erkent dat hij, door het niet aanschaffen van bijkomende servercapaciteit, de verantwoordelijkheid

Modelcontract

79

draagt voor ieder verlies van gegevens dat hiervan het gevolg is.

Artikel 5 – Garanties van CLOUD01 5.1.

De Dienstverlener verklaart dat CLOUD01 op een professionele manier werd ontwikkeld en in overeenstemming is met de algemeen aanvaarde industrienormen en de van toepassing zijnde weten regelgeving. De Dienstverlener zal CLOUD01 blijven verbeteren en garandeert dat CLOUD01 te allen tijde zal voldoen aan genoemde normen. De Dienstverlener bepaalt zelfstandig het versiebeleid en zorgt ervoor dat telkens, indien en voorzover dat mogelijk is, de meest recente CLOUD01-versie beschikbaar is voor de Klant.

5.2.

De Dienstverlener garandeert niet dat CLOUD01 geheel vrij is van kleine “bugs” en fouten, doch enkel dat deze geen wezenlijke afbreuk doen aan het gebruik van CLOUD01. De Dienstverlener levert CLOUD01 “zoals het is”. De Klant aanvaardt de verantwoordelijkheid voor de selectie van CLOUD01, het gebruik ervan en de resultaten die ermee worden behaald. De garantie van geschiktheid voor een bepaald gebruik of doel wordt hierbij uitgesloten. De Dienstverlener garandeert niet dat de functies van CLOUD01 voldoen aan de performantievereisten en verwachtingen van de Klant, behoudens indien en zoals gedefinieerd in de Specificaties.

5.3.

De Dienstverlener garandeert dat CLOUD01 te allen tijde voldoet aan de veiligheidsstandaarden en normen

80


voorzien in de Specificaties. De Dienstverlener staat in voor het nemen van gepaste veiligheids-, beschermingsen bewaringsmaatregelen van de inhoud, gegevens en toepassingen die de Klant via CLOUD01 gebruikt. De Dienstverlener neemt alle redelijke maatregelen om gegevensverlies en –beschadiging te voorkomen. De Dienstverlener verbindt zich ertoe medewerking te verlenen aan het uitoefenen van toezicht door of namens de Klant op bewaring, beveiliging en gebruik van deze gegevens. 5.4.

De Dienstverlener garandeert dat CLOUD01 en de Ondersteuning geleverd worden door voldoende ervaren, gekwalificeerd en opgeleid personeel met de juiste deskundigheid en toewijding.

Artikel 6 - Gebruik van CLOUD01 6.1.

De Klant is verantwoordelijk voor het tijdig selecteren en verwerven van een geschikte telecommunicatievoorziening teneinde van CLOUD01 gebruik te kunnen maken, alsook voor de kosten die voortvloeien uit de telecommunicatievoorzieningen.

6.2.

De Klant neemt (i) alle toepasselijke internationale, nationale, regionale en lokale wetten en reglementen en (ii) alle internetreglementen, beleidslijnen en procedures van de Dienstverlener in acht.

6.3.

De Klant verbindt er zich toe CLOUD01 niet te gebruiken voor illegale doeleinden of gedrag dat op enige andere wijze laakbaar is, noch op een illegale,

Modelcontract

81

bedrieglijke of schadelijke wijze voor CLOUD01, de Dienstverlener of derden. De Klant mag geen inhoud verwerken (i) die op enige manier onwettig, tergend, lasterlijk, onrechtmatig, bedreigend of nadelig is of op om het even welke andere manier laakbaar is; (ii) die hij niet gerechtigd is te verwerken volgens enige wet of ingevolge contractuele of fiduciaire relaties; (iii) die een schending uitmaakt van rechten van een derde partij, waaronder, maar niet beperkt tot Intellectuele Eigendomsrechten en zakengeheim. De Klant verbindt zich ertoe geen middelen, software of routines te gebruiken of weer te geven die de Dienstverlener of derden, de toegankelijkheid, beveiliging of de goede werking van CLOUD01 kunnen schaden of die het CLOUD01-platform onevenredig belasten. De Klant mag geen toegang verlenen tot CLOUD01 aan personen die geen Gebruikers zijn binnen CLOUD01 en staat in voor de naleving van artikel 6 door de Gebruikers. 6.4.

De Dienstverlener controleert het gebruik dat de Klant en de Gebruikers van CLOUD01 maken niet, evenmin als de gegevens en bestanden die door de Klant en/of de Gebruikers worden verwerkt via CLOUD01. De Klant is hiervoor als enige aansprakelijk. In het geval dat de Klant enig misbruik van zijn accountinformatie, ongeautoriseerde toegang of gebruik vaststelt of vermoedt, dient de Klant onmiddellijk zijn

82


paswoorden te veranderen en de Dienstverlener hiervan op de hoogte te stellen. Bij inbreuk of een vermoeden van inbreuk op artikel 6, is de Dienstverlener gerechtigd om, mits voorafgaande kennisgeving aan de Klant, alle maatregelen te treffen, de inhoud te blokkeren of te verwijderen en/of de licenties toegekend aan de Klant op te schorten, zonder enig recht tot terugbetaling noch vergoeding in hoofde van de Klant. 6.5.

Het gebruik van CLOUD01 kan onderhevig zijn aan de licentievoorwaarden van toeleveranciers van de Dienstverlener. Indien zulks het geval is, worden deze licentievoorwaarden toegevoegd aan de Specificaties. De Klant bevestigt kennis te nemen van deze voorwaarden en deze te zullen naleven.

Artikel 7 - Kwaliteit van CLOUD01 7.1.

De Dienstverlener streeft naar een Beschikbaarheid van minstens [XX%] gedurende elke kalendermaand zoals verder bepaald in de Specificaties. Van de Beschikbaarheid wordt uitgesloten de vooraf aangekondigde buitengebruikstelling wegens onderhoud en update, alsook enige nietBeschikbaarheid veroorzaakt door overmacht zoals vermeld in art.16. De Beschikbaarheid wordt gemeten door de Dienstverlener en maandelijks gerapporteerd aan de Klant.

Modelcontract

7.2.

83

De Dienstverlener onderneemt alle uit te voeren handelingen ingevolge de Ondersteuning binnen redelijke termijn, met een responstijd van maximaal [XX] tijdens de Werkuren en [XX] buiten de Werkuren. De Dienstverlener kan voorwaarden stellen aan de kwalificaties van en het aantal contactpersonen van de Klant die beroep kunnen doen op de Ondersteuning.

7.3.

De Dienstverlener neemt de nodige maatregelen bij eventuele Gebreken, met een responstijd van maximaal [XX] tijdens de Werkuren en [XX] buiten de Werkuren. Het in behandeling nemen van een Gebrek gebeurt alleen indien en voor zover dit Gebrek aantoonbaar of reproduceerbaar is. Indien de tijd die het oplossen van het Gebrek in beslag neemt van die aard is dat de Beschikbaarheid van CLOUD01 zal worden aangetast, zal de Dienstverlener voorzien in een tijdelijke, toereikende oplossing. Hierbij is de Dienstverlener gerechtigd programmaomwegen of probleemvermijdende beperkingen aan te brengen. Zijn hiervan uitgesloten de Gebreken veroorzaakt door onoordeelkundig gebruik door de Gebruiker(s), of het werken door de Klant met apparatuur en/of programmatuur welke niet voldoen aan de Specificaties. Deze Gebreken worden enkel hersteld op verzoek van de Klant tegen de dan geldende tarieven.

7.4.

Indien de gewaarborgde Beschikbaarheid niet bereikt wordt, terwijl de Klant haar verbintenissen nakomt, heeft de Klant op het einde van het kalenderjaar recht op de terugbetaling van een bedrag in verhouding tot de niet-behaalde Beschikbaarheid tijdens de

84


kalendermaanden van het verlopen jaar, overeenkomstig de formule bepaald in de Specificaties. Dit is de enige en exclusieve remedie voor niet-nakoming van het kwaliteitsniveau door de Dienstverlener.

Artikel 8 - Aansprakelijkheid van de Klant 8.1.

De Klant aanvaardt de volledige en onvoorwaardelijke aansprakelijkheid voor alle operaties die worden verricht met de CLOUD01-accounts van de Gebruikers. De Klant is aansprakelijk voor de vertrouwelijkheid van zijn CLOUD01-accounts, gebruikersnamen en paswoorden, voor de toegang tot zijn computersysteem en voor de handelingen en nalatigheden van welke partij ook die gebruik maakt van een CLOUD01-account van de Klant.

8.2.

De Klant vrijwaart de Dienstverlener en haar aandeelhouders, bestuurders, directeurs, werknemers, agenten, verdelers, raadslieden, moedervennootschappen, dochtervennootschappen en filialen, tegen en met betrekking tot alle vorderingen, schade, verlies, kosten, uitgaven, verplichtingen, aansprakelijkheden en rechtsvorderingen, met inbegrip van maar zonder beperking tot de intrest en boetes, redelijke advocatenerelonen en -kosten en alle bedragen die worden betaald met het oog op de regeling van een eis, vordering of rechtsvordering die voortvloeit uit, het gevolg is van of verband houdt met: (i) het niet vervullen of schenden van welke verplichting ook vermeld in de Overeenkomst; en (ii) vorderingen van om het even welke aard door een derde partij die

Modelcontract

85

om het even welke schade lijdt die rechtstreeks of onrechtstreeks het gevolg is van de activiteiten van de Klant met betrekking tot of in verband met het gebruik van CLOUD01 door de Klant.

Artikel 9 – Aansprakelijkheid van de Dienstverlener 9.1.

De Klant begrijpt dat CLOUD01 een online toepassing is en dat alle software en gegevens van de Klant zullen werken van op de servers van de Dienstverlener. De Dienstverlener kan niet aansprakelijk worden gehouden wanneer een Gebrek of storing van CLOUD01 te wijten is aan (i) netwerk- of communicatieproblemen tussen de Klant en de Dienstverlener, (ii) een storing of een defect in software of hardware die niet afkomstig is van de Dienstverlener, (iii) het feit dat veranderingen of wijzigingen werden aangebracht aan CLOUD01 zonder toestemming van de Dienstverlener, of (iv) indien de Klant in gebreke blijft een Gebrek onmiddellijk aan te geven aan de Dienstverlener samen met documentatie en informatie met betrekking tot de omstandigheden van het Gebrek.

9.2.

De Dienstverlener is evenmin aansprakelijk voor enige links naar of diensten verleend door websites van derde partijen die bereikbaar zijn vanuit CLOUD01 of enige andere connectie of interactie met materialen of functionaliteiten van derden.

9.3.

Uitgezonderd in geval van verlies of beschadiging van gegevens van de Klant, is enige aansprakelijkheid van

86


de Dienstverlener ten aanzien van de Klant of derden voor verlies van winst of omzet, onrechtstreekse, gevolg- of incidentele schade door welke oorzaak ook uitgesloten, ongeacht of de Dienstverlener op de hoogte werd gesteld van de mogelijkheid van dergelijke verliezen of schade. In geval van verlies of beschadiging van gegevens van de Klant, is de totale aansprakelijkheid van de Dienstverlener in elk geval beperkt tot [maximaal het betaalde bedrag voor CLOUD01 tijdens het jaar voorafgaand aan de schadeveroorzakende gebeurtenis]. 9.4.

Voor rechtstreekse schade door toedoen van de Dienstverlener is, indien herstel in natura niet mogelijk is, de totale aansprakelijkheid van de Dienstverlener ten aanzien van de Klant in elk geval beperkt tot [maximaal het door de Klant betaalde bedrag voor CLOUD01, tijdens het jaar voorafgaand aan de schadeveroorzakende gebeurtenis]. De Klant dient alle noodzakelijke maatregelen te treffen die redelijkerwijze kunnen worden verwacht om zijn schade te beperken.

Artikel 10 - Prijs en betalingsvoorwaarden 10.1. De prijzen zijn bepaald op de CLOUD01-bestelpagina of in een van de Dienstverlener uitgaande offerte. Enig ander aanbod, alsook informatie, kladversies, presentaties, berekeningen edm. uitgaande van de Dienstverlener, mogen enkel als informatie worden beschouwd en kunnen de Dienstverlener in geen geval binden.

Modelcontract

87

Alle opgegeven prijzen zijn nettoprijzen exclusief BTW. Alle mogelijke taksen, bestaande of toekomstige, van om het even welke aard met betrekking tot de bestelde diensten zijn ten laste van de Klant. De prijs voor CLOUD01 en Ondersteuning wordt per jaar vooraf gefactureerd. Voor Ondersteuning buiten de Werkuren wordt een toeslag aangerekend zoals vermeld op de CLOUD01-bestelpagina. Tussentijds aan de Overeenkomst toegevoegde licenties of servercapaciteit worden gefactureerd pro rata tot aan de eerstvolgende factuurdatum. 10.2. Facturen zijn betaalbaar ten laatste 30 dagen na factuurdatum. Indien de factuur niet op de vervaldatum wordt betaald, heeft de Dienstverlener vanaf de dag volgend op het verstrijken van deze termijn van rechtswege en zonder voorafgaande ingebrekestelling, recht op de betaling van een intrest tegen de referentievoet vermeerderd met zeven procentpunten afgerond op de dichtstbijzijnde half procent. De referentierentevoet is de rentevoet die de Europese Centrale Bank aanrekent voor haar meest recente basisherfinancieringstransactie, zoals gedefinieerd door de wet van 2 augustus 2002. De Dienstverlener heeft bovendien, onverminderd zijn recht op vergoeding van de gerechtskosten overeenkomstig de bepalingen van het Gerechtelijk Wetboek, recht op een redelijke vergoeding door de Klant voor alle relevante invorderingskosten als gevolg van te late betaling conform de wet van 2 augustus 2002.

88


In geval van laattijdige betaling van 30 dagen of langer is de Dienstverlener gerechtigd het gebruik van CLOUD01 op te schorten zonder voorafgaande kennisgeving, tot de volledige betaling.

Artikel 11 – Bescherming van persoonsgegevens 11.1.

De Klant en Dienstverlener leven de toepasselijke wetgeving en reglementering met betrekking tot de bescherming van het privéleven na in geval de Klant persoonsgegevens, zoals bepaald in Artikel 2 van de Privacyrichtlijn 95/46/EG (hierna “Persoonsgegevens” genoemd), verwerkt via CLOUD01. Indien toepasselijk geeft de Klant de verwerking van de Persoonsgegevens aan bij de bevoegde instantie. Met betrekking tot het gebruik van CLOUD01 en de server van de Dienstverlener door de Klant, met inbegrip van, maar niet beperkt tot de optie om Persoonsgegevens over te maken aan derden, treedt de Dienstverlener enkel op - en de Klant geeft de Dienstverlener de instructie om alleen op te treden - als verwerker van de Persoonsgegevens. De Klant erkent dat hij optreedt als verantwoordelijke voor de verwerking en dat hij te allen tijde verantwoordelijk is voor de Persoonsgegevens.

11.2.

De Dienstverlener zal alle nodige technische maatregelen nemen om Persoonsgegevens te beschermen tegen niet-geautoriseerde vrijgave of gebruik.

Modelcontract

89

De Dienstverlener zal in het kader van CLOUD01 en de Ondersteuning enkel beroep doen op een onderaannemer, een moeder- of dochtervennootschap, die beantwoordt aan gelijkwaardige regels inzake de bescherming van Persoonsgegevens. De Dienstverlener garandeert dat de servers zich bevinden op locaties waar gelijkwaardige regels inzake de bescherming van Persoonsgegevens toepasselijk zijn, zoals nader bepaald in de Specificaties. De Dienstverlener zal de Klant onverwijld op de hoogte stellen van enige inbreuk die een invloed kan hebben op de Persoonsgegevens van de Klant. 11.3.

De Klant erkent en stemt ermee in dat de Dienstverlener verslagen mag opstellen die zijn gebaseerd op gegevens die via CLOUD01 zijn verwerkt. Deze verslagen zullen geen Persoonsgegevens bevatten.

Artikel 12 - Intellectuele Eigendomsrechten 12.1.

De Dienstverlener garandeert dat zij over alle benodigde Intellectuele Eigendomsrechten voor het verlenen van CLOUD01 beschikt, waaronder alle rechten met betrekking tot de onderliggende computerprogrammatuur. Alle Intellectuele Eigendomsrechten op CLOUD01, het CLOUD01-platform en de daarin begrepen software, alsook op enige afgeleiden, aanpassingen, verbeteringen, updates of versies verleend door de Dienstverlener of haar toeleveranciers, alsook alle Intellectuele Eigendomsrechten op daarmee gepaard

90


gaand materiaal, zoals afbeeldingen, logo’s, tekeningen, teksten, documentatie, know-how, en alle aanpassingen en eventuele wijzigingen daaraan, behoren uitsluitend toe aan de Dienstverlener respectievelijk haar toeleveranciers. Buiten het recht om CLOUD01 te gebruiken conform de Overeenkomst worden hierop geen enkele rechten verleend aan de Klant of Gebruikers. De Dienstverlener vrijwaart de Klant voor elke vordering door een derde op grond van een inbreuk op de Intellectuele Eigendomsrechten van die derde bij gebruik van CLOUD01, mits de Klant de Dienstverlener onverwijld kennis geeft van deze vordering. 12.2. Intellectuele Eigendomsrechten die ontstaan tijdens CLOUD01, met inbegrip van de rechten op specifieke ontwikkelingen door de Dienstverlener in het kader van de implementatie of customisatie van CLOUD01 voor de Klant, zijn eigendom van de Dienstverlener. De Klant verkrijgt er een niet-exclusieve en onoverdraagbare licentie op voor zover als nodig voor het gebruik van CLOUD01. Niettegenstaande het voorgaande, behoren de Intellectuele Eigendomsrechten op specifieke ontwikkelingen door de Klant in het kader van de implementatie en configuratie van CLOUD01 toe aan de Klant. Evenzo behoren de Intellectuele Eigendomsrechten op klantspecifieke modules ontwikkeld door de Dienstverlener op verzoek en voor rekening van de Klant, zoals functionele modules, extensies (add-ons), invoegtoepassingen (plug-ins) of

Modelcontract

91

andere ontwikkelingen voor de Gebruikers, toe aan de Klant. 12.3. De voorafbestaande eigendomsrechten op de gegevens, data en metadata die de Klant en Gebruikers via CLOUD01 verwerken, blijven ongewijzigd. De Dienstverlener krijgt een licentie hierop voor zover als nodig om CLOUD01 te verlenen. Het is de Klant verboden sublicenties of enige andere rechten toe te kennen aan derden met betrekking tot CLOUD01.

Artikel 13 - Vertrouwelijkheid 13.1.

De Dienstverlener erkent dat de informatie overgemaakt door de Klant in het kader van deze Overeenkomst alsook de gegevens die de Klant en de Gebruikers via CLOUD01 gebruiken (“Vertrouwelijke Informatie”), vertrouwelijk zijn. Wordt niet als Vertrouwelijke Informatie beschouwd de informatie die (i) algemeen bekend is of wordt, zonder openbaarmaking door de Dienstverlener; (ii) de Dienstverlener reeds bekend was voor de openbaarmaking ervan; (iii) onafhankelijk ontwikkeld werd door de Dienstverlener.

13.2. De Dienstverlener maakt de Vertrouwelijke Informatie niet openbaar, behoudens wanneer hij gedwongen is om deze vrij te geven ingevolge wettelijke vereisten of op gerechtelijk bevel. In dat geval geeft de Dienstverlener voorafgaand kennis hiervan aan de Klant, die hiertoe bijstand verleent.

92


13.3. De Dienstverlener verbindt zich ertoe (i) de Vertrouwelijke Informatie niet te wijzigen, noch te gebruiken voor enig ander dan het overeengekomen doel; (ii) CLOUD01 en de Ondersteuning uitsluitend te doen uitvoeren door personen waarvan de Dienstverlener in redelijkheid meent dat zij betrouwbaar zijn; (iii) enkel toegang te verlenen tot de Vertrouwelijke Informatie aan personen die specifiek worden toegewezen aan de uitvoering van CLOUD01 en de Ondersteuning voor de Klant; (iv) de Vertrouwelijke Informatie op verzoek van de Klant alsook na verloop van 90 dagen na beëindiging van de Overeenkomst volledig en permanent te verwijderen van het CLOUD01-platform.

Artikel 14 - Duur en beëindiging 14.1.

De Overeenkomst treedt in werking op [……] en wordt aangegaan voor onbepaalde duur. De Overeenkomst komt in elk geval ten einde bij het verstrijken van alle licenties van de Klant.

14.2. De toegekende licenties zijn van kracht vanaf de datum dat de Dienstverlener de toegangsgegevens aan de Klant heeft verzonden, onafgezien van het ogenblik waarop de Klant gebruik is beginnen maken van de diensten, tot het einde van het desbetreffende kalenderjaar. Daarna worden de licenties jaarlijks automatisch vernieuwd, behoudens schriftelijke kennisgeving van niet-verlenging door de Klant of de Dienstverlener aan de andere partij, minstens drie maanden vóór het einde van het betrokken kalenderjaar

Modelcontract

93

en behoudens beëindiging van de Overeenkomst ingevolge art.14.3 of 14.6. 14.3. In het geval een partij een handeling of nalatigheid van de andere partij vaststelt die een schending uitmaakt van de Overeenkomst, die een derde rechtstreeks of onrechtstreeks schade zou kunnen berokkenen, of op enige andere wijze laakbaar zou zijn, stelt die partij de andere partij zo snel mogelijk en in ieder geval binnen [XX] dagen in gebreke met het oog op het verhelpen van de schending of van het veroorzaakte nadeel binnen [XX] dagen. Indien die andere partij de schending en/of het veroorzaakte nadeel niet verhelpt binnen vooropgestelde termijn, is de ingebrekestellende partij gerechtigd om onmiddellijk, zonder opzeg en zonder gerechtelijke tussenkomst, de Overeenkomst te beëindigen. 14.4. Indien de Klant in gebreke wordt gesteld en de schending niet tijdig ongedaan maakt overeenkomstig art.14.3., is de Dienstverlener bovendien gerechtigd om alle inhoud te blokkeren of te verwijderen en/ of de licenties toegekend aan de Klant op te zeggen of te schorsen, zonder enige terugbetaling van licentievergoedingen of enige andere schadeloosstelling van de Klant en met volledige schadeloosstelling van de Dienstverlener. 14.5. Indien de Dienstverlener in gebreke wordt gesteld en de schending niet tijdig ongedaan maakt overeenkomstig art.14.3., worden de vooruit betaalde vergoedingen

94


terugbetaald aan de Klant voor wat betreft de resterende looptijd van de licenties. 14.6. De Dienstverlener is gerechtigd zonder voorafgaande ingebrekestelling de Overeenkomst door middel van aangetekend schrijven met onmiddellijke ingang te ontbinden indien de Klant in staat van faillissement verkeert, of zich in een procedure van vereffening of ontbinding bevindt.

Artikel 15 - Gegevensoverdracht en bijstand 15.1.

Bij de aanvang van de Overeenkomst en/of gedurende de looptijd ervan, kan de Klant de Dienstverlener om assistentie verzoeken bij het migreren van data naar CLOUD01. De Dienstverlener zal dergelijke assistentie naar best vermogen verlenen. De Klant erkent dat hij de verantwoordelijkheid draagt voor ieder verlies van gegevens dat het gevolg kan zijn van dergelijke migratie en zal te allen tijde in een back-up van de gegevens voorzien. Alle bijstand van de Dienstverlener wordt gefactureerd aan de tarieven die op dat ogenblik van toepassing zijn voor zulke dienst.

15.2. Bij beëindiging van de Overeenkomst en/of het verstrijken van de licenties van de Klant, verwijdert de Dienstverlener de gegevens van de Klant na verloop van 90 dagen. Gedurende deze periode kan de Klant haar gegevens overbrengen naar een ander systeem. De Klant erkent dat hij de verantwoordelijkheid draagt voor ieder verlies van gegevens dat hiervan het gevolg kan zijn.

Modelcontract

95

15.3. Op elk ogenblik tijdens de Overeenkomst en binnen 30 dagen na beëindiging van de Overeenkomst, kan de Klant een kopie aanvragen van de meest recente versie van haar gegevens, die zich op het CLOUD01-platform bevinden, in een algemeen gangbaar formaat. Deze kopie en alle bijstand van de Dienstverlener gevraagd door de Klant met het oog op de continuïteit van het gebruik van haar gegevens, wordt gefactureerd aan de tarieven van de Dienstverlener die op dat ogenblik van toepassing zijn voor zulke dienst.

Artikel 16 - Overmacht Geen van beide partijen zal in gebreke zijn of anderszins aansprakelijk zijn voor enige vertraging of tekortkoming in de uitvoering van de Overeenkomst indien dergelijke vertraging of tekortkoming gebeurt door een oorzaak die onvoorzienbaar en onafhankelijk is van diens redelijke controle, met inbegrip, maar niet beperkt tot de volgende omstandigheden: aardbevingen, overstromingen, branden, epidemie, rellen, terroristische handelingen, gebrek of vertraging van vervoer of communicatie.

Artikel 17 - Overdracht en onderaanneming De Klant is niet gerechtigd de rechten en verplichtingen uit de Overeenkomst aan een derde over te dragen zonder voorafgaande toestemming van de Dienstverlener.

96


De Dienstverlener is gerechtigd om bij de uitvoering van de Overeenkomst gebruik te maken van diensten van derden. Dit laat de verantwoordelijkheid en aansprakelijkheid van de Dienstverlener voor de nakoming van haar verplichtingen ingevolge de Overeenkomst onverlet.

Artikel 18 - Algemene bepalingen 18.1.

Deze Overeenkomst omvat de gehele overeenkomst tussen partijen en is van toepassing op elk gebruik dat de Klant van CLOUD01 maakt. Tenzij anders overeengekomen, zijn de voorwaarden van de Klant en/ of van een derde niet van toepassing.

18.2. Indien één of meerdere bepalingen van de Overeenkomst nietig of onuitvoerbaar worden verklaard, zullen partijen deze bepalingen vervangen door een geldige en uitvoerbare bepaling die, in de mate van het mogelijke, het economische, zakelijke of andere doel van genoemde nietige of onuitvoerbare bepaling zal bereiken en blijven de overige bepalingen van de Overeenkomst van kracht. 18.3. Het loutere feit dat een partij niet aandringt op de strikte naleving van enige bepaling van de Overeenkomst of dit niet afdwingt, kan niet worden geïnterpreteerd als een verzaking aan of afstand van de rechten van deze partij, tenzij dit schriftelijk wordt bevestigd. 18.4. De rechten en herstelmaatregelen die aan de partijen worden toegekend ingevolge de Overeenkomst, zijn

Modelcontract

97

complementair met en beperken geenszins enige andere rechten of herstelmaatregelen die aan de partijen wettelijk zijn toegekend. Alle dergelijke rechten en herstelmaatregelen zijn cumulatief en kunnen afzonderlijk of samen worden uitgeoefend. 18.5. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Overeenkomst voort te duren, blijven na beëindiging daarvan bestaan; waaronder, maar niet beperkt tot het bepaalde met betrekking tot vertrouwelijkheid, aansprakelijkheid en Intellectuele Eigendomsrechten. 18.6. Alle kennisgevingen tussen de Dienstverlener en de Klant zullen schriftelijk en in het Nederlands gebeuren en worden geacht te zijn gedaan (i) aan de Klant indien ze per e-mail worden verzonden naar het e-mailadres voor kennisgevingen dat werd geregistreerd via de CLOUD01-bestelpagina en (ii) aan de Dienstverlener indien ze per e-mail werden verzonden naar […]. Kennisgevingen per e-mail worden geacht te zijn gedaan op de eerste werkdag na verzending per e-mail.

Artikel 19 - Toepasselijk recht en bevoegde rechtbank De Overeenkomst wordt beheerst en uitgelegd in overeenstemming met het Belgische recht. In geval van geschil met betrekking tot de Overeenkomst zijn uitsluitend de rechtbanken waar de maatschappelijke zetel van de Dienstverlener gevestigd is, bevoegd.

98


Opgemaakt te ........................................ in ................... exemplaren op ............................ De Dienstverlener De Klant

99

BIJLAGE

Voorbeeld van oplijsting Specificaties - Functionaliteit - Locatie van servers - Servercapaciteit - Gebruikers - Toepasselijke normen en standaarden - Toeleveranciers - Beschikbaarheid - Rapportering - Ondersteuning - Onderhoud: preventief/herstellend - Incident- en probleembeheer - Responstijden/Oplossingstijden - Upgrades - Backups - Gegevensoverdracht

101

Ywein Van den Brande

Met zijn achtergrond als advocaat, informaticus en specialisatie in economie staat Ywein Van den Brande al meer dan tien jaar technologiebedrijven bij in alle aspecten van hun bedrijfsvoering. Hij werkte in Los Angeles en Brussel voordat hij in 2010 het Brusselse advocatenkantoor Crealaw oprichtte (www.crealaw.eu). Ywein is onder meer ook auteur van Het Praktijkboek Informaticarecht (vrij beschikbaar op www.crealaw.eu) het International Free and Open Source Software Law Book (www.ifosslawbook.org) en medeoprichter van het International Free and Open Source Software Law Review (www.ifosslr.org).

Crealaw

ICT Law Partners bvba Witte Patersstraat 4 1040 Brussel O.N. 0832.298.008 [email protected]

Het Praktijkboek Cloud Contracten

Recommend Documents