Cloud Computing “Cloud computing”, waarschijnlijk bent u de term de afgelopen jaren veelvuldig tegengekomen. De voor- en nadelen van cloud computing worden met enige regelmaat in de juridische literatuur besproken. Zoals vaker het geval is bij nieuwe technologie slaat de balans vaak door naar een focus op de nadelen en het benadrukken van de risico’s. Hoewel cloud computing zeker niet zonder risico’s is, schijnt achter de wolken weldegelijk de zon. Jeroen Lub – senior associate bij Norton Rose Fulbright
Wat is cloud computing? Cloud computing is niet nieuw. Als u op enig moment Facebook, Hotmail, Google of het DigiD van de overheid heeft gebruikt, dan heeft u al gebruik gemaakt van cloud computing. Cloud computing is hardware, software of een combinatie van beide die wordt aangeboden als dienst. Cloud computing bestaat in een aantal smaken: •
Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;
•
Infrastructure as a Service (IaaS): hardware die via het internet ter beschikking wordt gesteld; en
•
Platform as a Service (PaaS): een volledige ontwikkelomgeving (het platform) wordt aangeboden.
Het onderscheid tussen cloud computing en de meer bekende, traditionele vormen van het aanbieden van IT diensten (outsourcing, ASP, etc.) berust op een aantal kenmerken: Meerdere gebruikers 1
Een cloud computing systeem wordt voor meerdere gebruikers gelijktijdig ingezet. De cloud computing aanbieder kan zijn infrastructuur optimaal benutten door de pieken in benodigde capaciteit van één afnemer af te zetten tegen de dalen van een andere afnemer. Door deze optimale benutting kan de aanbieder van cloud computing zijn dienst tegen een veel scherpere prijs leveren dan het geval waarin elke gebruiker afzonderlijk voor zijn piekcapaciteit hard- en/of software moet inkopen. Schaalbaarheid De aanbieder van een cloud computing dienst kan met de spreekwoordelijke druk op de knop de capaciteit die een gebruiker ter beschikking staat onmiddellijk verhogen of verlagen. Dit staat de gebruiker toe zijn IT infrastrcutuur gemakkelijk en vrijwel onmiddellijk aan te passen aan veranderende eisen. Betalen naar gebruik Aangezien een gebruiker op verzoek zijn benodigde capaciteit kan verhogen of verlagen en de cloud computing aanbieder vrijgekomen capaciteit gemakkelijk door kan verkopen, is het mogelijk een nieuw business model aan te bieden: ‘pay per use’. Voor de gebruiker zijn de voordelen evident, het wordt mogelijk precies de hoeveelheid IT in te kopen die nodig is en deze hoeveelheid naar gelang de noodzaak te verhogen of verlagen. Het onderhoud zit bij de prijs inbegrepen en wordt door de aanbieder verzorgd. Kapitaalintensieve investeringen en de daarbij behorende risico’s, lange interne ontwikkeltrajecten en uitgebreide IT afdelingen die oplossingen implementeren en onderhouden, zijn bij het gebruik van cloud computing niet langer noodzakelijk.
1
Er kan ook sprake zijn van een zogenaamde private cloud. Hierin zet een bedrijf een separate cloud computing infrastructuur op die zij uitbaat aan haar eigen gebruikers, dit vertoont echter meer gelijkenissen met het traditionele outsourcing dan met cloud computing.
1
Hoge mate van abstractie Een ander kenmerk van cloud computing is de hoge mate van abstractie van het aangeboden product ten opzichte van de onderliggende technologie. Anders dan bij meer traditionele vormen van IT als dienstverlening, is de gebruikte technologie niet, of in veel mindere mate, voorwerp van de overeenkomst. Een gevolg van deze abstractie is dat de gebruiker een meer beperkte waarneming heeft van de achterliggende structuur. Data centers over de hele wereld, hoge snelheid internet verbindingen en organisaties van duizenden mensen die de technologie implementeren, programmeren en onderhouden verdwijnen allemaal in een ‘black box’. Voor de gebruiker zijn vooral de interface en de facturen inzichtelijk. 2
Aan deze kenmerken kunnen we nog twee zaken toevoegen : Uitgebreide IT infrastructuur met een sterke geografische spreiding In de regel is het zo dat cloud computing aanbieders een zeer uitgebreide IT infrastructuur hebben, veelal is deze sterk geografisch gespreid. Dit is noodzakelijk om de capaciteit te kunnen bieden voor voldoende gebruikers om zodoende van schaalvoordelen gebruik te kunnen maken en de schaalbaarheid van de oplossing te waarborgen. Weinig ruimte voor maatwerk Bij cloud computing is er vaak weinig ruimte voor maatwerk, dit geldt zowel voor de contracten als voor de daadwerkelijke diensten. Het is tot op zekere hoogte inherent aan het businessmodel dat de geboden diensten in hoofdlijnen gelijkvormig zijn. De mogelijkheid flexibel op en neer te schakelen in capaciteit of de capaciteit verder te verkopen bij onderbezetting, kan anders aangetast worden. Ook op contractueel gebied speelt deze overweging sterk mee. Uiteenlopende afspraken per gebruiker zal het businessmodel bemoeilijken.
Risico’s Het gebruik van cloud computing brengt een aantal risico’s met zich mee. De voornaamste risico’s zijn: Veiligheid van gegevens Met betrekking tot de veiligheid van gegevens biedt cloud computing zowel voor- als nadelen. Door de integratie van data van meerdere gebruikers ontstaat het risico van oneigenlijke toegang tot deze data. Ook heeft de gebruiker geen, of aanzienlijk moeizamer, fysieke toegang tot zijn gegevens. Dit maakt het lastiger de gegevens veilig te stellen in geval van calamiteiten of terug te halen in geval van onenigheid met de aanbieder. Anderzijds is het zo dat voor een cloud computing aanbieder de veiligheid van de gegevens tot zijn ‘core business’ behoort. Zijn kennis en focus stellen hem in staat een veiligheidsniveau te waarborgen dat superieur is aan hetgeen de gemiddelde gebruiker kan garanderen. Als de IT infrastructuur van de aanbieder sterk geografisch gespreid is, is het eveneens eenvoudig een kopie van de gegevens op veilige afstand van elkaar te bewaren. Toepasselijk recht De geografische spreiding van cloud computing diensten in infrastructuur kan vragen opwerpen met betrekking tot het toepasselijke recht. In het bijzonder met betrekking tot persoonsgegevens kan dit 3 een lastig probleem zijn. Een opinie van de Artikel 29 Werkgroep biedt hier wel enige houvast. Het toepasselijke recht voor toepassing van Richtlijn 95/46/EG inzake het verwerken van persoonsgegevens, is het recht van de zetel van degene die verantwoordelijk is voor de verwerking van de persoonsgegevens. Het gaat dan om die zetel in de context waarvan de persoonsgegevens
2
Deze kenmerken zijn wat ons betreft niet constitutief voor cloud computing, maar eerder gevolgen van de infrastructuur en het businessmodel. 3 Article 29 Working Party Opinion 8/2010
2
verwerkt worden. Een voorbeeld ter verduidelijking: waar een verantwoordelijke in Nederland een zetel heeft en er in de context van de activiteiten van die Nederlandse zetel persoonsgegevens worden verwerkt, is de Nederlandse wet voor de bescherming van persoonsgegevens van toepassing, ook als deze gegevens daadwerkelijk elders in Europa verwerkt worden. Op een bewerker van persoonsgegevens die in opdracht van de verantwoordelijke handelt, is ook het recht van de lidstaat waar deze bewerker gevestigd is van toepassing. In geval van conflict gaat dit laatste recht voor. Als de verantwoordelijke zijn zetel buiten de Europese Economische Ruimte (EER) heeft, maar de middelen (apparatuur) voor de verwerking bevinden zich binnen de EER, dan is het recht van de lidstaat waar deze middelen zich bevinden van toepassing. Dit geldt niet voor apparatuur die slechts een doorgifte bewerkstelligt (‘mere transit’). Verantwoordelijkheid De verdeling van verantwoordelijkheden tussen partijen kan problematisch zijn bij cloud computing. In de regel is het zo dat cloud computing aanbieders zo veel mogelijk verantwoordelijkheid bij de gebruiker proberen te leggen. Door de beperkte controle die de gebruiker heeft ten aanzien van de cloud computing dienst kan zo’n verdeling risicovol en nadelig zijn voor de gebruiker. De verdeling van verantwoordelijkheden kan ook problematisch zijn in het licht van de Wet bescherming Persoonsgegevens (WBP). De scheiding tussen bewerker en verantwoordelijke die in de WBP gemaakt wordt, is bij cloud computing niet altijd even scherp te stellen. Deze scheiding is echter wel van belang voor de verdeling van de wettelijke verantwoordelijkheden tussen partijen. Het vaststellen wie waarvoor verantwoordelijk is, is lastig door de soms verregaande bevoegdheden die de cloud computing aanbieder zich kan aanmeten ten aanzien van de verwerking van persoonsgegevens. Hoewel een cloud computing aanbieder doorgaans bewerker zal zijn in de zin van de WBP, kan deze ook verantwoordelijke voor de verwerking van persoonsgegevens zijn. Als de cloud computing aanbieder zelf de doeleinden van de verwerking van persoonsgegevens bepaalt, zal dit het geval zijn (hij verwerkt bijvoorbeeld zonder specifieke opdracht van de gebruiker de persoonsgegevens voor marketingdoeleinden). Lastiger te duiden, maar zeker zo belangrijk, is dat wanneer de cloud computing aanbieder zich verregaand bemoeit met de middelen van de verwerking van persoonsgegevens, hij ook aangemerkt kan worden als verantwoordelijke voor de verwerking. Het bepalen van bewaartermijnen of wijze van beveiliging kunnen bijvoorbeeld van dusdanige invloed zijn 4 dat de cloud computing aanbieder als medeverantwoordelijke aangewezen wordt. Voor de gebruiker van cloud computing is deze verdeling van verantwoordelijkheden van belang omdat deze de aansprakelijkheid van de partijen deels bepaalt. Een bijkomend punt is dat het verplicht kan zijn om een bewerkersovereenkomst te sluiten met een cloud computing aanbieder die voor hem als bewerker handelt. Grensoverschrijdend gegevensverkeer Van grensoverschrijdend gegevensverkeer is vaak sprake bij cloud computing. Naar Richtlijn 95/46/EG is grensoverschrijdend gegevensverkeer buiten de EER slechts toegestaan wanneer de verantwoordelijke een adequaat beschermingsniveau kan garanderen. Bij cloud computing kan een gebruiker vaak niet met zekerheid bepalen waar zijn data zich op enig moment bevindt. Cloud computing aanbieders zijn regionale diensten aan het uitrollen om dit probleem op te lossen. Ook kunnen aanbieders uit de VS die een adequaat beschermingsniveau bieden onder de Safe Harbor Principles vallen. Gereguleerde gegevens Het gebruik van cloud computing kan ook het nakomen van bepaalde verplichtingen met betrekking tot gereguleerde gegevens bemoeilijken. Denk hierbij aan eisen uit de Wet op het Financieel Toezicht (bijvoorbeeld de mogelijkheid een zorgvuldigheidsonderzoek uit te voeren, de bewaarplicht voor
4
Article 29 Working Party Opinion 1/2010.
3
gegevens, toegang tot de gegevens en het terrein voor het uitvoeren van een audit). Zo heeft De Nederlandsche Bank (DNB) bijvoorbeeld overeenstemming met Microsoft bereikt over de levering van clouddiensten aan verzekeraars. Probleem daarbij was dat cloud computing aanbieders vaak beperkingen stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Ook heeft DNB aangegeven dat de wettelijke eisen geen belemmering meer hoeven te zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Uiteraard dienen deze financiële instellingen nog wel een goede risicoanalyse te maken wanneer ze activiteiten willen uitbesteden in de cloud.
Hoe gaan we ermee om? De bovengenoemde risico’s vereisen dat er enigszins voorzichtig met het gebruik van cloud computing systemen omgesprongen moet worden. Er zijn een aantal manier om de risico’s zoveel mogelijk te beperken. Het grootste gedeelte van deze oplossingen ligt in de invloedssfeer van de gebruiker zelf. De contractuele oplossingen, die soms lastig uit te voeren zijn, vereisen vanzelfsprekend wel expliciet medewerking van de cloud computing aanbieder. Keuze gegevens Het gebruik van de cloud computing hoeft geen alles-of-niets besluit te zijn. Het is aan te raden een gedegen afweging te maken welke gegevens zonder al te veel risico’s in een cloud computing systeem opgenomen kunnen worden en welke beter in eigen beheer kunnen blijven. Keuze aanbieder Het zorgvuldig kiezen van een aanbieder is ook van belang in het beheersen van de risico’s van cloud computing. Het zorgvuldig doornemen van de voorwaarden en een beeld vormen van de techniek die de aanbieder gebruikt, kan een groot aantal risico’s verminderen of wegnemen. Er zijn allerlei initiatieven vanuit de markt en de Europese Gemeenschap om te komen tot specifieke certificering, richtlijnen en standaarden voor cloud computing, maar op dit moment bestaat er nog geen algemeen geaccepteerde (uniforme) standaard. De meer algemene standaarden voor informatiebeveiliging (ISO27001) en controle mogelijkheden (SSAE16) bieden uiteraard ook enige houvast. Inrichting van de feitelijke situatie Op de inrichting van de feitelijke situatie heeft ook een gebruiker tot op zekere hoogte invloed. Belangrijke zaken zijn de mogelijkheid om gegevens versleuteld aan te bieden, zorgvuldig beheer van toegangscodes, regelmatig een eigen back-up van gegevens aanleggen, etc. Het uitvoeren van beveiligings audits kan ook nuttig zijn om de feitelijke situatie bij de cloud computing aanbieder te onderzoeken. Dit gaat echter minder sterk op voor aanbieders die hun infrastructuur en werknemers wereldwijd verspreid hebben. Contractueel Zoals eerder vermeld is het niet mogelijk om met alle cloud computing aanbieders contracten op maat te maken. Waar dit wel mogelijk is vallen de risico’s in grote lijnen contractueel te ondervangen. Zo kunnen er contractueel afspraken gemaakt worden over aansprakelijkheid, verdeling van bevoegdheden onder de WBP, de bevoegdheden van toezichthouders, toegang tot de gegevens na beëindiging of in geval van calamiteiten, etc. De mogelijkheid tot maatwerk groeit wel mee met de toename van het aantal aanbieders. Ook maken meer gespecialiseerde aanbieders maatwerk minder noodzakelijk. Een aanbieder die elektronische dossier systemen voor advocatenkantoren aanbiedt, zal in de regel aan vergelijkbare eisen moeten voldoen ongeacht het kantoor waar hij mee te maken krijgt.
4
Conclusie Het gebruik van cloud computing heeft grote voordelen maar de technologie is niet zonder risico’s. Deze risico’s zijn echter goed beheersbaar, mits hier zorgvuldig mee wordt omgegaan. Zelfs als er weinig sprake is van maatwerk op contractueel gebied kan er veilig gebruik worden gemaakt van cloud computing door een verstandige gebruiker. Keuzes met betrekking tot de toepassing, aanbieder en eigen beveiligingsmaatregelen kunnen hierbij een rol spelen. Tevens lopen er diverse initiatieven die richtlijnen en standaarden voor cloud computing verwachten te ontwikkelen. Ook zal maatwerk waarschijnlijk meer gebruikelijk worden, terwijl de noodzaak voor maatwerk door de groei van meer gespecialiseerde aanbieders zal verminderen. Al met al ziet cloud computing een zonnige toekomst tegemoet.
Over de auteur:
Jeroen Lub, senior associate bij Norton Rose Fulbright adviseert over alle (internationale) aspecten van commerciele transacties die samenhangen met technologie, intellectueel eigendom, outsourcing, media en bescherming van persoonsgegevens. Jeroen heeft uitgebreide kennis en ervaring opgedaan binnen deze rechtsgebieden in zowel Londen als Amsterdam. Naast het begeleiden van transacties, adviseert hij cliënten ook over alle mogelijke commerciele contracten en staat hij cliënten bij tijdens de onderhandelingen (van RFP tot signing
5