White Paper
cloudshape
6 juni 2013
Juridische aandachtspunten ten aanzien van Cloud Computing
Van perceptie naar werkelijkheid Bij aanbieders van Cloud Computing gaat het vaak om grote buitenlandse spelers, waardoor zowel regelgeving uit Nederland, Europa als daarbuiten van toepassing is. Op Europees niveau is sluitende wetgeving rondom Cloud Computing nog steeds in ontwikkeling. Dat voedt aannamen over bijvoorbeeld de Amerikaanse ‘Patriot Act’ die niet altijd stroken met de werkelijkheid. Dat neemt niet weg dat uw gegevens beschermd moeten zijn. Privacy is een fundamenteel recht dat nauw verbonden is met persoonlijke vrijheid. Weet u welke juridische aandachtspunten rondom Cloud op u van toepassing zijn? De stormachtige ontwikkeling van Cloud Computing heeft een duidelijke internationale dimensie. Data gaan immers de grens over. Dat roept allerlei vragen op over dataprotectie, privacy en de mogelijkheid van landen om gegevens op te vragen. Cloudleveranciers hebben in dit verband te maken met verschillende en soms conflicterende regels over hoe zij met data om moeten gaan. Gelukkig ziet de Europese Unie de vraag vanuit de publieke sector als één van de voornaamste motoren voor de verdere ontwikkeling van Clouddiensten. Zo stelt Europees commissaris Neelie Kroes dat Cloud Computing essentieel is voor de groei van Europa. Volgens Kroes moet eenduidige regelgeving het vertrouwen van gebruikers vergroten en meer investeerders trekken. Het gaat hierbij niet om strengere of meer regulering, maar om verbetering en toespitsing ervan. Dat proces is gaande. In de tussentijd is er geen reden om geen gebruik te maken van de mogelijkheden die Cloud Computing biedt. Het is wel zaak de juiste juridische aandachtspunten in kaart te brengen.
Tel: +(0)13 5800985 www.cloudshape.com
www.navisite.com
cloudshape
2/6 - Juridische aandachtspunten Cloud Computing
Perceptie en werkelijkheid
Als gevolg van het gebrek aan eenduidigheid in wetgeving, maar ook onwetendheid, doen over Cloud Computing wilde verhalen de ronde. Er is daarbinnen een groot verschil tussen perceptie en werkelijkheid. Bijvoorbeeld ‘Big Brother’ de Verenigde Staten die op basis van de Patriot Act eenvoudig data opvraagt. Het is een symbool geworden voor de ‘koudwatervrees’ rondom de Cloud. Dat overheden toegang tot gegevens kunnen krijgen is niet nieuw. De overgang naar Cloud Computing roept wel vragen op over de veranderende context en de consequenties hiervan. De werkelijkheid is dat er voorwaarden zijn als het gaat om een verzoek tot het opvragen van informatie in verband met een justitieel onderzoek. De huidige wetgeving in zowel de Verenigde Staten als in Europa en Nederland zorgt ervoor dat bevoegde instanties de mogelijkheid hebben om gegevens op te vragen. Dat betekent dat iedere overheid, ook de Nederlandse en andere overheden uit Europa, zo’n verzoek kan indienen. Het maakt daarbij in principe niet uit of die gegevens in het eigen datacenter of in de Cloud staan. Echter, wanneer de gegevens in de Cloud staan bij een leverancier die onder Amerikaanse jurisdictie valt, kunnen de gegevens direct vanuit de VS bij de betreffende onderneming opgevraagd worden via de Patriot Act (zie kader pagina 3). Is dat niet het geval dan kan een verzoek tot inzage worden gedaan via de Nederlandse justitie of veiligheidsdiensten. Het is juridisch gezien niet mogelijk om tegen te houden dat bepaalde data worden opgevraagd door de overheid als deze een relatie legt met staatsveiligheid of strafvordering. Hoe vaak dit gebeurt is onduidelijk. Ook de manier waarop de VS inlichtingen verkrijgt, verschilt ten opzichte van Nederland: waar de Amerikanen hoofdzakelijk inzage vorderen in data, verkrijgt de Nederlandse overheid gegevens door het gebruik van telefoontaps.
Transparantie
Een andere aanname is dat organisaties door Cloud Computing de controle over hun data kwijtraken omdat die op afstand staat. Deze perceptie is gebaseerd op de veronderstelling dat bij Cloud Computing het per definitie niet bekend is waar de data staat. Dat hoeft natuurlijk helemaal niet. Eis bij een Cloudleverancier absolute transparantie over de locatie van de data en leg dat vast in het contract. Bij uitbesteding van data
Tel: +(0)13 5800985 www.cloudshape.com
aan de hand van een Cloudmodel is bovendien ook niet gezegd dat je alle data buiten de bedrijfsmuren moet plaatsen. Het is ook mogelijk om te kiezen voor een hybride model waarbij gevoelige informatie binnen de bedrijfsmuren wordt gehouden en informatie die of minder kritisch is of minder vaak benaderd hoeft te worden extern wordt geplaatst. Tevens is er de aanname dat zodra de technologie en data op afstand staan er altijd anderen zijn die daar bij kunnen. Ook dat is een verkeerd beeld. Er is ‘rechtmatige’ en ‘onrechtmatige’ toegang tot de data van een organisatie. De eigenaar van de data bepaalt wie rechtmatige toegang heeft en de beheerder hoeft om de kwaliteit van de dienstverlening te kunnen blijven garanderen geen inhoudelijke toegang tot de data te hebben.
Veiligheid
In recent onderzoek van het Ministerie van Veiligheid en Justitie naar aanleiding van de haalbaarheid van Cloud Computing voor de Nederlandse overheid was één van de conclusies dat ‘slechts een deel van de aanbieders bedrijfsmatig volwassen genoeg is om daadwerkelijk ingezet te kunnen worden’. Die conclusie was in belangrijke mate gericht op het aspect dataveiligheid. De vaak kleine Europese aanbieders hebben een achterstand in te halen op hun Amerikaanse collega’s. De ontwikkeling waarbij grote Amerikaanse partijen sinds de start van het informatietechnologietijdperk de dienst uitmaken, zet door in de Cloudrevolutie. Tachtig procent van de Cloudleveranciers zijn Amerikaans of hebben moedermaatschappijen in het land. Vanzelfsprekend wijzen Europese Cloudpartijen op de privacy-risico’s bij Amerikaanse aanbieders in verband met de omstreden Patriot Act. Maar feit is dat juist deze grote partijen vaak beter kunnen voldoen aan normen en certificeringen op het gebied van veiligheid en privacy. Omdat de investeringen die daarmee gemoeid zijn verdeeld worden over de vele duizenden klanten. Een wat kleinere onderneming zal die grote investeringen in beveiliging economisch niet kunnen verantwoorden. Daardoor zal het gebruik van diensten uit de Cloud voor organisaties vaak niet alleen een verbetering van dienstverlening opleveren, maar maken ze ook een sprong voorwaarts in hun informatiebeveiliging. Het is dus belangrijk dat organisaties en bedrijven zich niet vooraf al laten beperken door mythes, maar zich vooral verdiepen in de feiten.
www.navisite.com
3/6 - Juridische aandachtspunten Cloud Computing
cloudshape
Wat is de Patriot Act?
De Patriot Act is onderdeel van een serie van Amerikaanse wetten die in het leven geroepen zijn kort na de terroristische aanslag op het WTC in 2001. Op grond van de wetgeving mogen Amerikaanse veiligheidsdiensten gegevens opvragen, zolang die onder hun jurisdictie vallen. Dat is in Amerika vrij snel. Voldoende is dat een bedrijf in Amerika structureel activiteiten ontplooit. In Europa is voor het maken van inbreuk op de privacy door de overheid, een wettelijke grondslag nodig. Het maakt in beginsel niet uit of Cloudgegevens in Amerika of ergens anders in de wereld zijn opgeslagen. Als een Nederlandse Cloudaanbieder structureel zaken doet in de Verenigde Staten, dan geeft Amerikaanse wet- en regelgeving al de mogelijkheid voor autoriteiten om gegevens op te vragen vanuit Nederland. Wanneer er een ‘redelijke verwachting bestaat dat de opgevraagde gegevens relevant zullen zijn voor een lopend strafrechtelijk onderzoek’, mogen inlichtingen worden gevraagd. Zo is terrorisme strafbaar maar ook fiscale delicten. De bewuste Cloudleverancier en de betrokkene worden hiervan niet op de hoogte gebracht. Verzoek Vallen verdachten buiten de Amerikaanse wetgeving, dan kunnen gegevens worden opgevraagd in samenwerking met de Nederlandse justitie of veiligheidsdiensten. Aan een verzoek hoeft geen gevolg te worden gegeven als data wordt opgeslagen bij een onderneming die geen enkele activiteit in de Verenigde Staten ontplooit. In samenwerking met Nederlandse veiligheidsdiensten en wetgeving kan echter wél toegang tot systemen en gegevens worden gevraagd. Het voorkomen van dit soort verzoeken is op grond van de huidige wetgeving niet mogelijk. Een indirect verzoek heeft voordelen. De bescherming van privacy in Nederland en Europa is beter gewaarborgd. Daardoor ligt er vaker een gerechtelijk bevel ten grondslag aan het verzoek. Dit verkleint de kans op een ongegrondheid en de omvang van de inbreuk. Ter relativering: bijna elk land heeft een overheid die dergelijke verzoeken wettelijk heeft vastgelegd in de wet, op grond waarvan zij de nationale veiligheid probeert te beschermen. Het is volgens een rapport van het Instituut voor Informatierecht (IViR) te verwachten dat het opvragen van gegevens uit de Cloud door overheden alleen maar zal toenemen gezien de hoeveelheid gegevens die daarin worden ondergebracht. Hoe vaak dat nu gebeurt, is moeilijk na te gaan. Het is daarom niet aan te geven hoe groot het risico daadwerkelijk is. Wil men gebruik maken van Cloud Computing en werken met bedrijven die actief zijn in Amerika, dan is de Patriot Act een gegeven. Maar wel een gegeven dat pas aan de orde komt indien de eindgebruikers of data verdacht blijken te zijn.
Tel: +(0)13 5800985 www.cloudshape.com
www.navisite.com
cloudshape
4/6 - Juridische aandachtspunten Cloud Computing
De feiten
Het ‘Handvest van de Grondrechten van de Europese Unie’ bepaalt dat ‘eenieder recht heeft op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.’ Het recht op gegevensbescherming hierin is uitgewerkt in verschillende richtlijnen, waaronder de zogeheten ‘Dataprotectierichtlijn’. Deze heeft twee doelen: het waarborgen van grondrechten en het waarborgen van de vrije markt binnen Europa, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. De lidstaten zijn verplicht de richtlijn om te zetten in nationaal recht. In Nederland is dat de ‘Wet bescherming persoonsgegevens’ (Wbp). De Dataprotectierichtlijn bepaalt dat de locatie van de vestiging van de verantwoordelijke doorslaggevend is voor de toepassing ervan. Dit geldt alleen voor vestigingen in Europa. Voor partijen zonder vestiging in Europa geldt dat als zij ‘middelen’ in Nederland hebben waarmee persoonsgegevens verwerkt worden, de Wbp ook van toepassing is. De ‘verantwoordelijke’ is ‘de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’. De ‘vestiging’ is de zetel van de persoon en niet de locatie van de IT-faciliteiten die voor de verwerking van persoonsgegevens worden gebruikt. Hoewel dus de locatie van gegevens in beginsel niet bepalend is voor de toepasselijkheid van de Wbp, is het toch noodzakelijk dat bedrijven rekening houden met de locatie waarnaar persoonsgegevens doorgegeven en verwerkt worden in het kader van Cloud Computing.
Tel: +(0)13 5800985 www.cloudshape.com
Wat is Safe Harbor?
Europese bedrijven die persoonsgegevens willen doorgeven aan Amerikaanse bedrijven, mogen dat doen indien het bedrijf over een zogeheten Safe Harbor-certificaat beschikt. De Europese commissie heeft bepaald dat bedrijven met dit certificaat een ‘passend beschermingsniveau waarborgen’. Safe Harbor is een cruciale regeling tussen de EU en VS. Alleen als Amerikaanse bedrijven Safe Harbor-gecertificeerd zijn mogen zij privégegevens van Europese consumenten verwerken en opslaan. Het gaat om zeven principes, waaronder ‘ondubbelzinnige toestemming’ van en een opt-out mogelijkheid voor betrokkenen, passende databeveiliging, duidelijk omschreven handhaving en correcte klachtafhandeling. De aan de ‘Safe Harbor Principles’ ten grondslag liggende ‘Safe Harbor Agreement’ tussen de Europese Commissie en het Amerikaanse Ministerie van Handel staat echter expliciet toe dat aan verzoeken van Amerikaanse opsporingsdiensten en andere overheidsorganisaties tot verstrekking van gegevens wordt voldaan via de Patriot Act. Eigen verantwoording Het College Bescherming Persoonsgegevens (CBP) stelt dat Nederlandse bedrijven en organisaties die Clouddiensten afnemen van een Amerikaanse aanbieder, ook zelf verantwoordelijk zijn voor de naleving van de Wet bescherming persoonsgegevens. Dat de Amerikaanse aanbieder zegt de ‘Safe Harbor Principles’ na te leven, kan onvoldoende garantie bieden. De Nederlandse partij, verantwoordelijk voor de doorgifte, moet verifiëren of de zelfcertificering bestaat en controleren of de Amerikaanse partij de Nederlandse regels ook daadwerkelijk naleeft. Daar kunnen aanvullende maatregelen uit naar voren komen die nodig zijn om aan de wet te voldoen. Het is belangrijk te kiezen voor een Cloudleverancier die voldoende waarborgen kan geven ten aanzien van de veiligheid van persoonsgegevens en waar aanvullende afspraken mee gemaakt kunnen worden.
www.navisite.com
cloudshape
5/6 - Juridische aandachtspunten Cloud Computing
Passend beschermingsniveau
Als de vestiging van de verantwoordelijke zich binnen een EU-lidstaat bevindt, is de Dataprotectierichtlijn van toepassing. Ook als de vestiging van de Cloudaanbieder zich buiten Europa bevindt, maar de verwerking wèl gebruik maakt van al dan niet geautomatiseerde middelen die zich binnen Nederland bevinden, is de Wbp van toepassing. De Wbp bepaalt dat persoonsgegevens slechts aan landen buiten de Europese Unie mogen worden doorgegeven indien deze landen een ‘passend beschermingsniveau waarborgen’. De Europese Commissie kan formeel bepalen of een land een passend beschermingsniveau kent en plaatst deze op een witte lijst. Op deze lijst staan landen als Australië, Canada en Argentinië. Voor verzending van persoonsgegevens naar de Verenigde Staten is een ‘Safe Harbor’ framework ingericht. Voor de VS gaat het daarbij om organisaties die voldoen aan de ‘Safe Harbor’-principes (zie kader pagina 4). De Safe Harbor regelgeving is bedoeld voor Amerikaanse bedrijven die zaken doen met organisaties binnen de Europese Unie. Amerikaanse bedrijven die beschikken over een Safe Harbor certificaat worden verondersteld een passend beschermingsniveau te bieden. In aanvulling hierop is het bij een service provider buiten de Europese Unie die persoonsgegevens zal (laten) verwerken in derde landen, wel verstandig om essentiële gegevensbeschermingsregels op te nemen in een contract. Een contract is juridisch bindend tussen partijen, zodat deze regels ook in het buitenland juridisch afdwingbaar zijn. Wel is het zo dat in dat geval óók andere regelgeving van kracht kan zijn. Wanneer bijvoorbeeld gegevens zijn opgeslagen bij een Amerikaanse provider, of een Europese dochteronderneming, in een datacenter op Amerikaans grondgebied, het Amerikaanse klanten betreft, of wanneer er structureel zaken wordt gedaan met Amerikaanse partijen, kan de USA Patriot Act (zie kader pagina 3) van toepassing zijn.
Tel: +(0)13 5800985 www.cloudshape.com
Juridisch contract
Afnemers van Cloud Computing dienen als eerste een uitgebreide en zorgvuldige risicoanalyse uit te voeren. De aanbieders van Clouddiensten moeten op hun beurt alle noodzakelijk informatie verschaffen die nodig is voor de afnemers om de voor- en nadelen in te schatten. De relatie tussen de aanbieder en de afnemer van de Clouddienst wordt voor een groot deel beheerst door de afspraken tussen beiden, die in een contract moeten worden bevestigd. Beveiliging, transparantie en juridische zekerheid spelen hierin een belangrijke rol. Een contract kan de rechten en plichten uit de Wet bescherming persoonsgegevens niet terzijde schuiven. Daarmee gelden de voorschriften van de Wbp als dwingend recht, wat betekent dat partijen daar in principe niet door middel van een overeenkomst van kunnen afwijken. Voor de duidelijkheid: deze paper is geenszins volledig. Juridische toetsing ten aanzien van Cloud Computing is maatwerk. Per bedrijf, branche, dienstverlening, persoons- of bedrijfsgegevens, product, etc. zal gekeken moeten worden naar de risico’s en eventuele juridische consequenties van het gebruik van Cloud. Tevens zijn er, naast juridische zekerheid, een aantal aspecten ten aanzien van beëindiging van een overeenkomst (exit), continuïteit, aansprakelijkheid, dienstverleningsniveau en het intellectuele eigendom, die ook bijzondere aandacht verdienen. In al deze gevallen is het raadzaam de overeenkomst door een jurist te laten toetsen.
Tot slot: Cloud Computing is een welkom initiatief dat we breed moeten omarmen. De Cloud is in het huidige juridische kader goed in te passen. De aanstaande verbetering en toespitsing van regulering zal bovendien leiden tot een hogere mate van standaardisatie en passende wet- en regelgeving. En daarmee tot een positieve impuls voor grootschalige adoptie van de voordelen en innovatie die Cloud Computing biedt.
www.navisite.com
cloudshape
6/6 - Juridische aandachtspunten Cloud Computing
Deze white paper is mede tot stand gekomen op basis van een interview met Thomas van Essen, werkzaam als advocaat bij SOLV Advocaten in Amsterdam. Dit advocatenkantoor specialiseerde zich als eerste in Nederland op het gebied van juridische dienstverlening voor technologie, media en communicatie.
Cloudshape BV Sint Josephstraat 93 5017 GD Tilburg Postbus 914 5000 AX Tilburg Nederland
Cloudshape ondersteunt bedrijven bij de overgang van de conventionele ICT infrastructuur naar de Cloud. Cloudshape is de exclusieve partner van NaviSite en migreert de infrastructuur naar het IaaS NaviCloud Enterprise class Private Cloud platform.
Tel: +(0)13 5800985 Fax: +(0)13 5800984
[email protected] twitter: @CloudshapeNL www.cloudshape.com www.navisite.com
neem contact op
getting there Tel: +(0)13 5800985 www.cloudshape.com
www.navisite.com
