Juridische en contractuele aspecten van cloud computing (SAI)

1,376 views
1,244 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,376
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Juridische en contractuele aspecten van cloud computing (SAI)

  1. 1. Juridische en contractuele aspecten vanCloud ComputingBeyond Cloud Computing: governance &juridische aspectenSAI24 juni 2010
  2. 2. 1. Wat is ‘Cloud Computing’?“Cloud computing is een vorm van computergebruikwaarbij schaalbare en flexibele IT-faciliteitenals dienst worden aangeboden aan grote aantallen klantendie internettechnologie gebruiken.” (Artikel 29 Werkgroep)“[…] Well make cloud computing announcements. Im notgoing to fight this thing. But I dont understand what wewould do differently in the light of cloud computing otherthan change the wording of some of our ads. Thats myview.” (Larry Ellison, Oracle) 2
  3. 3. 2. Cloud: wat is er nieuw onder de zon? “Cloud computing overeenkomst” = dienstverleningsovereenkomst die zich situeert in de informaticasfeer Aansprakelijkheid Kwaliteit en continuïteit van de dienstverlening Rapportering en opvolging (audit & compliance) Afhankelijkheid? Internationale context Verwerking van persoonsgegevens Beveiliging van de gegevens Cloud = standaarddienst Toetredingsovereenkomst (click-wrap?) Eenzijdig in het voordeel van de dienstverlener? Vergelijking vs. onderhandeling 3
  4. 4. 3. Aansprakelijkheid Toetredingscontracten = sterke beperking van de aansprakelijkheid van de dienstverlener Uitsluiting van onrechtstreekse schade Meest gangbare schade in IT-context Omvang definitie! Bv. Verlies van of schade aan data? Beperking van rechtstreekse schade Korte verjaringstermijnen Service credits gelden als forfaitaire schadevergoedingen (“sole remedy” met aansprakelijkheidsbeperking voor gevolg)? Toepasselijk recht en jurisdictie? Praktisch probleem bij de evaluatie van de rechten Praktisch probleem bij de afdwinging van rechten 4
  5. 5. 4. Kwaliteit en continuïteit Service Level Agreements Inhoud Meetbaarheid Controle van SLA Schaalbaarheid / flexibiliteit Garantie SLA Onvoorziene omstandigheden Faillissement dienstverlener in de schakel DRP / BCP Escrow 5
  6. 6. 5. Rapportering en opvolging Audit Praktisch haalbaar? Wie? Wat? Waar? Kostprijs Self-audit als oplossing? Certificatie en kwaliteitsgaranties Contractueel bepaalde certificatieverplichtingen opleggen Kwaliteitsprocedures ISO 27000 & SAS70 Problemen bij gereglementeerde sectoren (bv. banken) 6
  7. 7. 6. Onafhankelijkheid Cloud Computing = controleverlies Data is een waardevol bestanddeel van een onderneming Beschikbaarheid van data is essentieel “Vendor lock-in” risico Einde overeenkomst? Beschikbaarheid van data in een herbruikbare vorm Teruggaveverplichting bij einde overeenkomst (retransitie) Contractuele retransitiemaatregelen zijn essentieel! Escrow? 7
  8. 8. 7. Internationale context Toepasselijk recht & jurisdictie Welk recht is van toepassing? Waar moet er proces gevoerd worden en op welke wijze? Intellectuele eigendom Cloud oplossing (licentiebeleid) Betrokken data Legaal in alle landen? Notice & take down – gevolgen? Handelsrestricties 8
  9. 9. 8. Verwerking van persoonsgegevens Specifieke wettelijke verplichting bij verwerking van persoonsgegevens EU Richtlijn 1995/46/EG Wet 8 december 1992 & KB 13 februari 2001 Aandachtspunten Bepaling van de verantwoordelijke voor de verwerking Toepasselijke wetgeving (territoriaal)? Verplichtingen bij uitbesteding van de verwerking Beperkingen inzake de uitvoer van persoonsgegevens Beveiligingsplicht 9
  10. 10. 8.1. Verantwoordelijke voor de verwerking Betrokken entiteiten Verantwoordelijke voor de verwerking (“data controller”) Bepaalt het doel en de middelen van de verwerking Verwerker (“data processor”) Verwerkt gegevens ten behoeve van de verantwoordelijke Betrokkene De natuurlijke persoon wier gegevens verwerkt worden Belang? Toewijzing verantwoordelijkheid Bepaling toepasselijk recht Sterke beveiligingsplicht (verplicht contractueel door te schuiven bij uitbesteding aan een verwerker) Gebruikelijke kwalificatie bij cloud computing: Klant is verantwoordelijke voor de verwerking Dienstverlener is verwerker 10
  11. 11. 8.2. Toepasselijk recht? Vestiging van de verantwoordelijke voor de verwerking Binnen EEA? Buiten EEA? Mogelijke incidentele toepassing van wetgeving door verwerking in België (of een andere EEA-lidstaat) Middelen op het grondgebied Geen loutere transit Mogelijke cumulatie van toepasselijke wetgeving 11
  12. 12. 8.3. Uitvoer van persoonsgegevens Uitvoer buiten EEA: niet toegestaan, behalve indien een adequate bescherming wordt geboden Uitzonderingen Witte lijst (beperkt aantal landen) Standaardovereenkomst “C2P” en “onward transfer” “Safe Harbor” geaccrediteerde ondernemingen (VS) Binding corporate rules (BCR) (moeilijk te implementeren) Toestemming van de betrokkenen (moeilijk te implementeren – Commissie wijst veralgemeend gebruik af) Contractuele maatregelen – individuele afweging (hoog risico) 12
  13. 13. 8.4. Beveiligingsplicht Adequate beveiliging tegen elke „onwettige verwerking‟ Stand van de techniek en kosten Risico‟s en de aard van de persoonsgegevens Cloud: hogere risico‟s omwille van het zakenmodel Tussenkomst van meerdere partijen Verbonden met het Internet Meerdere landen? Controleverlies Gedeelde infrastructuur? Gevolg: in principe een zwaardere beveiligingsplicht bij de verwerker 13
  14. 14. 9. Veiligheidsplicht Contractuele voorziening zijn noodzakelijk! Verplichting tot vertrouwelijkheid en doelgebonden gebruik Verplichting tot adequaat beveiligen (technisch & organisatorisch) Toegang tot de dienst Back-up & restore Segregatie Sterke governance Periodieke rapporteringsplicht (bv. self-evaluation) Meldingsplicht bij incidenten Opgelet bij internationale contracten: niet alle landen gebruiken dezelfde concepten / basisverplichtingen 14
  15. 15. Conclusie Onzekerheid over bepaalde bestaande concepten Kwalificatie verantwoordelijke / verwerker Juridische problemen zijn vaak dezelfde als deze bij meer traditionele contracten Praktische organisatie kan bepaalde juridische en contractuele problemen verscherpen Problemen vergen soms een gewijzigde aanpak Bijzondere aandacht is vereist in geval van “compliance” verplichtingen Internationale karakter kan problematisch zijn Controleverlies is moeilijk verenigbaar met compliance-vereisten 15
  16. 16. Dank u voor uw aandacht! Vragen?Johan VandendriesscheAdvocaatT. 02.282.60.74johan.vandendriessche@twobirds.comwww.twobirds.com

×