Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds meer kantoren kiezen voor oplossingen waarbij de software en/of data of nog meer niet meer op de eigen servers staat maar in een datacenter elders. Dit wordt ook wel “de Cloud” genoemd. Mogen advocaten hun data in de Cloud bewaren? Het Kader In Regel 6 lid 1 van de Gedragsregels staat dat de advocaat verplicht is tot geheimhouding. Wanneer je de NOvA belt voor richtlijnen over Cloud Computing, dan verwijst men naar de CCBE richtlijnen en de checklist die Balieplus op basis daarvan heeft opgesteld. Advocaten moeten bij grensoverschrijdende werkzaamheden binnen de EU en de EER de CCBE Gedragscode in acht nemen. De CCBE heeft in december 2012 richtlijnen1 gegeven voor het gebruik van Cloud Computing door advocaten. Deze richtlijnen zijn zeer uitgebreid. Naast de CCBE richtlijnen, heeft de artikel 29 werkgroep een belangrijk advies geschreven over de maatregelen die zowel gebruikers als aanbieders van clouddiensten ter harte moeten nemen. 2 Wat is Cloud Computing Verschillende onderdelen van de ICT kunnen van locatie naar de cloud worden verplaatst; de software, het platform, de infrastructuur.
Waarom kiezen voor een Cloud oplossing: Om diverse redenen kan voor een externe [Cloud] oplossing gekozen worden;
1
CCBE Richtlijnen voor het gebruik van Cloud Compunting Services door advocaten, 5 december 2012
2
ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 05/2012 on Cloud Computing Adopted July 1st 201
1
- financieel: in plaats van servers aan te hoeven schaffen betaal je een maandelijkse vergoeding voor de dienst waar je gebruik van maakt. - beveiliging: datacenter zijn beter beveiligd dan je zelf kunt realiseren. - onderhoud: in plaats van onderhoud aan servers op locatie is het vaak eenvoudiger om onderhoud te plegen in een datacenter. - eenvoud: cloud-gebaseerde software is vaak eenvoudig te onderhouden [bv Advocaatcentraal]. Risico’s aan Cloud computing: Geheimhouding en gegevensbescherming De data worden elektronisch bewaard buiten het kantoor van de advocaat. Dit roept vragen op: - moet de advocaat de cliënt om toestemming vragen voordat vertrouwelijke informatie van de cliënt in de Cloud bewaard mag worden; - wat voor maatregelen moet de advocaat treffen om de betrouwbaarheid en veiligheid van de Cloud oplossing te waarborgen; - wat voor maatregelen moet de advocaat treffen om te waarborgen dat de gegevens beveiligd zijn tegen hackers; - wat voor maatregelen moet de advocaat treffen om te waarborgen dat derden geen onbevoegde toegang hebben tot de ruimten waar de servers zich bevinden. Patriot act / PRISM Amerikaanse bedrijven hebben te maken met de Patriot Act. Wie onder de Amerikaanse jurisdictie valt, moet op grond van deze Wet allerhande informatie verschaffen aan Amerikaanse autoriteiten. De Amerikaans Wet bepaalt wie onder de Amerikaanse jurisdictie valt. Hier vallen niet alleen Amerikaanse bedrijven onder [Google, Amazon, Microsoft], maar ook bedrijven die regelmatig zaken doen in Amerika of bedrijven die een dochter / kantoor in Amerika hebben [SURFnet] of Amerikaanse werknemers in dienst bij een Europees bedrijf. Het grootste probleem zit bij het moeten verschaffen van persoonsgegevens. Dit zal haaks staan op privacyregelgeving in Nederland en de rest van de Europese Unie. Impact van de Patriot act. Vraag aan Gordon Frazer, director Microsoft UK: “Can MS garantuee that EU-stored data, held in EU based datacenters will not leave the European Economic Area under any circumstances even under a request by the Patriot Act”? Antwoord: “MS cannot provide those garantuees. Neither can any other company.”. Doorgifte van persoonsgegevens naar en toegang geven tot persoonsgegevens aan personen uit landen buiten de EU/EER is een vorm van gegevensverwerking. Een dergelijke verwerking van persoonsgegevens buiten de EU/EER is alleen toegestaan indien het betreffende land een ‘passend beschermingsniveau’ kent.3 Indien een passend beschermingsniveau ontbreekt dan geldt een doorgifteverbod.
3
De Europese Commissie stelt vast welke landen een passend ‘beschermingsniveau’ kennen. Deze lijst is o.a. te vinden.
2
In een zienswijze over Cloud Computing op 10 september 2012 [SURFmarket] heeft het CBP daarom aangegeven: - De VS worden niet aangemerkt als een land met een ‘passend beschermingsniveau’ omdat er geen algemene wetgeving bestaat voor de bescherming van persoonsgegevens. Safe Harbor framework Bedrijven van buiten de EU die na een eigen onderzoek vaststellen dat zijwel voldoen aan de EU beschermingseisen kunnen een Safe Harbor certificaat aanvragen. Dit is een ‘eigen verklaring’ en garandeert dus niet dat het bedrijf in de praktijk daar ook uitvoering aan geeft. De bedrijven die gebruik maken van bedrijven met een Safe Harbor/certificaat moeten er zich dus van blijven vergewissen dat dit bedrijf de EU beschermingseisen nakomt. Model clauses en corporate binding rules Een bedrijf in de EU dat persoonsgegevens wil laten verwerken buiten de EU in een land dat geen ‘passend beschermingsniveau’ heeft kan ook nog gebruik maken van door de EU opgestelde model contracten en/of corporate binding rules. Vooral het opstellen van de corporate binding rules is een langdurig proces en is in principe alleen weggelegd voor grote organisaties Conclusie Dit betekent dat het ontbreken van een passend beschermingsniveau in sommige landen er aan in de weg staat dat een advocaat in die landen vertrouwelijke [persoons]gegevens mag laten verwerken. Het grote probleem hierbij is dat de cloudleverancier die zelf ook gebruik maakt van allerlei onderaannemers vaak ook niet weet waar de data zich bevinden en wie waarvandaan toegang heeft tot de gegevens. Private vs Public Cloud Bij Cloud oplossingen wordt vaak onderscheid gemaakt tussen: - een public cloud; de data bevindt zich “ergens” ter wereld in een “publiek toegankelijke” database. Zoals bijvoorbeeld: MSN Outlook, GMail, etc. - een private cloud; de data bevindt zich in een speciaal gecreëerd, afgescheiden gedeelte. Let op private cloud is geen term die in wet of regelgeving is vastgelegd, dat betekent dat ook een leverancier die een Private Cloud aanbiedt, geen adequate bescherming biedt voor de gegevens van een advocaat. Dat betekent dat de voorwaarden van de betreffende leverancier goed beoordeeld moeten worden.
Waar bevinden de data zich:
3
Data zijn elektronisch snel te verplaatsen. Om redenen van continuïteit kunnen de data [of delen van data] daarvoor ieder moment over verschillende datacenters verdeeld worden. Wanneer daar geen aparte afspraken over worden gemaakt, dan zouden je data het ene moment in Duitsland kunnen staan en de andere dag in India of de VS. Aanbevelingen Wanneer de advocaat zorgvuldig de Cloud Provider kiest, kiest voor een private cloud en contractueel de nodige waarborgen vastlegt met de Cloud Provider, dan bestaat er naar mijn mening geen reden waarom een advocaat zijn data niet in de Cloud zou mogen bewaren. Aanbevelingen Cloud Contract 1. Voordat een cloud/contract wordt gesloten, dient de advocaat te controleren; de ervaring, de reputatie, de specialisatie en het geregistreerd adres van de Cloud Provider. In feite een soort due diligence. 2. De Cloud Provider moet garanderen dat hij compliant is met EU data beschermingsregelgeving, zoals de privacywetgeving maar ook de Wetgeving over datalekken. Zorg ervoor dat in de overeenkomst wordt vastgelegd: Vertrouwelijkheid gegevens 1. dat alle data in een private cloud van de Cloud Provider worden geplaatst en alleen in een private cloud worden bewaard. 2. dat alle data die door u in de private cloud van de Cloud Provider worden geplaatst uw eigendom blijven, zonder dat de Cloud Provider een gebruiksrecht krijgt, anders dan nodig is om de Cloud-overeenkomst uit te kunnen voeren. 3. dat u altijd onbeperkt en onbelemmerd toegang heeft tot uw data. 4. dat de Cloud Provider zich maximaal zal inspannen om te voorkomen dat uw data verloren gaan, vermengd of verminkt worden. 5. dat de Cloud Provider er zorg voor zal dragen dat de data zodanig zijn en beveiligd blijven dat onbevoegden geen toegang hebben tot uw data. 6. dat de Cloud Provider na het einde van de overeenkomst uw data, zoals deze aanwezig waren per datum einde van de overeenkomst, voor u nog enige tijd beschikbaar houdt en na die tijd vernietigt. 7. dat de Cloud Provider er zorg voor zal dragen dat uw data altijd in een datacenter in een EU-land worden bewaard en bewerkt, dat het datacenter en andere toeleveranciers een Nederlandse eigenaar heeft en dat er geen US bedrijf betrokken is bij de dienstverlening door het datacenter. 8. dat de Cloud Provider certificeringen heeft die tenminste gelijkwaardig zijn aan de ISO-normen voor informatiebeveiliging en/of de CBP–richtsnoeren voor beveiliging van persoonsgegevens. En dat naleving van deze normen regelmatig geaudit wordt. Calamiteitenregeling ~ provider failliet 1. dat de Cloud Provider er zorg voor zal dragen dat de backup van de data op een andere locatie wordt bewaard dan de “originele” data. 2. dat regelmatig een backup van de data wordt gemaakt; vastleggen hoe vaak een backup wordt gemaakt. 3. dat de Cloud Provider er zorg voor zal dragen dat in geval van een faillissement van de Cloud Provider, de backup van de data zich bevindt in een datacenter dat geen eigendom is van de Cloud Provider.
4
Exit- en migratieregeling 1. dat de Cloud Provider samen met u een exit- en migratieregeling opstelt die als bijlage aan de overeenkomst wordt gehecht. 2. dat in deze exit- en migratieregeling ondermeer aan de orde zal komen: - wederzijdse taken en verantwoordelijkheden - inzet medewerkers van de Cloud Provider / u - wat wordt geleverd (data / documentatie / tools etc.) en in welke vorm [format] - tijdspad en termijnen - verwijdering data pas X maanden na het einde van de overeenkomst - kosten die door de Cloud Provider hiervoor berekend kunnen worden. Subcontracting 1. dat de Cloud Provider U vooraf zal informeren indien het datacenter of andere toeleveranciers gewijzigd worden. Indien U onoverkomelijke bezwaren heeft tegen deze wijziging, dan zullen partijen in goed overleg een passende oplossing trachten te vinden. Governance: 1. dat u altijd recht heeft op toegang tot uw data die zich in de macht van de Cloud Provider bevinden en dat u het recht heeft om audits [right to examine] te laten uitvoeren op deze data. 2. dat u het recht heeft geïnformeerd te worden over beveiligingsincidenten. Indien een beveiligingsincident een risico vormt voor uw data, dan zal de Cloud Provider het initiatief nemen om u te informeren. Let op bevoegdheid Cloud Provider om: 1. eenzijdig de functionaliteit van de applicatie te mogen wijzigen; 2. eenzijdig de service levels te mogen wijzigen; 3. diensten te mogen opschorten; 4. overeenkomst te mogen opzeggen en op welke termijn. Jos van der Wijst [Bogaerts & Groenen Advocaten], met dank aan Marianne Korpershoek van Louwers IP|Technology Advocaten
5
