Cloud Computing.Praktische benadering van contractuele en

juridische aspectenPrivacy, archivering en cloud computing in de bedrijfspraktijk

Dendermonde, 12 mei 2011

Cloud Computing: duiding van het begrip

“Cloud computing is een vorm van computergebruik waarbij schaalbare en flexibele IT-faciliteiten als dienst worden aangeboden aan grote aantallen klanten die internettechnologie gebruiken.” (Artikel 29 Werkgroep)

“[…] We'll make cloud computing announcements. I'm notgoing to fight this thing. But I don't understand what we woulddo differently in the light of cloud computing other thanchange the wording of some of our ads. That's my view.” (Larry Ellison, Oracle)

Cloud Computing is gevolg van de steeds toenemende vraag van de gebruikers naar flexibilisering van IT-infrastructuur en IT-diensten

Vormen van Cloud Computing

Overzicht per laag

• Salesforce.com

• Google Docs

• GmailSaaS

• Google App Engine

• Microsoft Azure Platform

• Oracle/AWSPaaS

• Amazon Web Services

• FlexiScaleIaaS

Vormen van Cloud Computing

Overzicht per type

Vormen van Cloud Computing

Schematisch overzicht van de kerneigenschappen

Beheerd door Eigendom van infrastructuur

Dedicated hardware

Publiek Cloud Service Provider

Cloud Service Provider

Nee

Privaat, extern Cloud Service Provider

Cloud Service Provider

Ja

Privaat, intern Interne organisatie Interne organisatie Ja

Hybride Gemengd Gemengd Hangt af van contract met CSP

Bron: J. Ruiter and M. Warnier, Privacy Regulations for Cloud Computing – Compliance and Implementation in Theory and Practice.

Contractuele aspecten van Cloud Computing “Cloud computing overeenkomst” = dienstverleningsovereenkomst die zich

situeert in de informaticasfeer Aansprakelijkheid

Kwaliteit en continuïteit van de dienstverlening

Rapportering en opvolging (audit & compliance)

Afhankelijkheid? (“vendor lock-in”)

Internationale context

Verwerking van persoonsgegevens

Beveiliging van de (persoons)gegevens

Cloud = min of meer gestandaardiseerde dienst Toetredingsovereenkomst (click-wrap?)

Eenzijdig in het voordeel van de dienstverlener?

Vergelijking vs. onderhandeling

Contractuele aspecten van Cloud Computing

Toetredingscontracten = sterke beperking van de aansprakelijkheid van de dienstverlener

Uitsluiting van onrechtstreekse schade

Meest gangbare schade in IT-context

Omvang definitie! Bv. Verlies van of schade aan data?

Beperking van rechtstreekse schade

Korte contractuele verjaringstermijnen

Service credits gelden als forfaitaire schadevergoedingen (“sole remedy” met aansprakelijkheidsbeperking voor gevolg)?

Toepasselijk recht en jurisdictie?

Praktisch probleem bij de evaluatie van de rechten

Praktisch probleem bij de afdwinging van rechten

Contractuele aspecten van Cloud Computing

Service Level Agreements

Inhoud

Meetbaarheid

Controle van SLA

Schaalbaarheid / flexibiliteit

Garantie

SLA

Onvoorziene omstandigheden

Faillissement dienstverlener in de schakel

DRP / BCP

Escrow

Contractuele aspecten van Cloud Computing

Beveiliging: contractuele voorzieningen zijn noodzakelijk!

Verplichting tot vertrouwelijkheid en doelgebonden gebruik

Verplichting tot adequaat beveiligen (technisch & organisatorisch)

Toegang tot de dienst

Back-up & restore

Segregatie van data

Sterke governance

Periodieke rapporteringplicht (bv. ‘self-evaluation’)

Meldingsplicht bij incidenten

Opgelet bij internationale contracten: niet alle landen gebruiken dezelfde concepten / basisverplichtingen

Contractuele aspecten van Cloud Computing

Beveiligingsplicht = audit(mogelijkheid) Praktisch haalbaar?

Wie?

Wat?

Waar?

Kostprijs

Self-audit als oplossing?

Certificatie en kwaliteitsgaranties Contractueel bepaalde certificatieverplichtingen opleggen

Kwaliteitsprocedures

ISO 27000 & SAS70

Problemen bij gereglementeerde sectoren (bv. banken)

Contractuele aspecten van Cloud Computing

Cloud Computing = controleverlies Data is een waardevol bestanddeel van een onderneming

Beschikbaarheid van data is essentieel

“Vendor lock-in” risico

Niet-uitvoeringsexceptie (ENAC) Welke modaliteiten?

Welke impact?

Einde overeenkomst? Beschikbaarheid van data in een herbruikbare vorm

Teruggaveverplichting bij einde overeenkomst (retransitie)

Contractuele retransitiemaatregelen zijn essentieel!

Escrow?

Juridische aspecten van Cloud Computing

Toepasselijk recht & jurisdictie

Welk recht is van toepassing?

Waar moet er proces gevoerd worden en op welke wijze?

Intellectuele eigendom

Cloud oplossing (licentiebeleid)

Verwerkte data

Legaal in alle landen?

Pluraliteit van jurisdicties – gevolgen?

Handelsrestricties

Juridische aspecten van Cloud Computing

Verwerking van persoonsgegevens: contractueel afdekken

Keuze betrouwbare verwerker

Veiligheidsmaatregelen

Aansprakelijkheid

Aandachtspunt: de uitvoer van persoonsgegevens buiten EER

Enkel mogelijk mits ‘passende bescherming’

‘Witte lijst’ (b.v. US Safe Harbor, Zwitserland, …)

Modelcontract EC

Binding Corporate Rules

Aangifteverplichting

Conclusie

Cloud Computing

Flexibelere vorm van reeds bestaande IT-diensten

De IT-diensten op zich zijn niet nieuw

De contractuele en juridische aandachtspunten zijn niet nieuw, maar worden scherper gesteld

Grotere afhankelijkheid

Pluraliteit van jurisdicties

Cloud Computing overeenkomsten

Veelal toetredingsovereenkomsten door de flexibele opstart

Soms verzwakking van de garanties van de klant in vergelijking met meer traditionele vergelijkbare IT-diensten

Dank u voor uw aandacht. Vragen?