Cloud Legal Compliance

750 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
750
On SlideShare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cloud Legal Compliance

  1. 1. Cloud & Legal today Johan Vandendriessche 20 september 2011
  2. 2. Aandachtspunten Juridisch en contractueel?  ‘Make or buy’-beslissing – cloud of geen cloud, welk type cloud?  Risicobeheersing en/of –afwenteling  Verzekering  Overeenkomst Juridisch  Compliance  “de naleving van wet- en regelgeving, evenals de interne bedrijfsregels (policies)”  Sterke tendens om ‘compliance’ uit te breiden, doordat regelgeving steeds meer operationele risico’s gaat omvatten  Verwerking van persoonsgegevens (Data Protection)  Beperkingen m.b.t. de verwerking van persoonsgegevens  Essentiële ‘compliance’-verplichting!
  3. 3. Aandachtspunten Contractueel  Inhoud van de Cloud-dienst en de kwaliteitsniveau’s (SLA’s)  Risicobeperking en/of –afwenteling  Organisatie van de dienst en veiligheidsmaatregelen  SLA’s  Aansprakelijkheid en verzekering van de Cloud dienstverlener  Prijs en betaling  Continuïteit  Schorsings- en beëindigingsmodaliteiten  Transitie en retransitie Even vooruitlopen: cloud brengt op juridisch en contractueel vlak weinig nieuws met zich mee
  4. 4. Sleutelbegrippen Cloud (per type)
  5. 5. Sleutelbegrippen  Cloud (per type) Beheerd door Eigenaar van de ‘Dedicated’ infrastructuur infrastructuurPubliek Cloud dienstverlener Cloud dienstverlener NeenPrivaat, extern Cloud dienstverlener Cloud dienstverlener JaPrivaat, intern Interne organisatie Interne organisatie JaHybride Gemengd Gemengd Hangt af van contract met Cloud dienstverlener Bron: J. Ruiter and M. Warnier, Privacy Regulations for Cloud Computing – Compliance and Implementation in Theory and Practice.
  6. 6. Verwerking van persoonsgegevens Beperkingen m.b.t. de verwerking van persoonsgegevens  Persoonsgegevens: “elke informatie met betrekking tot een geïdentificeerde of een identificeerbare natuurlijke persoon […]”  Ruime interpretatie  Niet noodzakelijk gevoelig of vertrouwelijk  Verwerking: “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens […]” Doel: Strikte aansprakelijkheid koppelen aan de wettelijke beperkingen  Verantwoordelijke voor de verwerking  Verwerker (dienstverlener)
  7. 7. Verwerking van persoonsgegevens Verwerking van persoonsgegevens is verboden, tenzij toegestaan onder de Wet Verwerking moet voldoen aan bepaalde beginselen  Proportionaliteit  Doelgebonden  Beperkt in tijd  Transparant (op individueel en collectief vlak)  Datakwaliteit  Databeveiliging  Geen uitvoer van persoonsgegevens naar niet-EER landen, tenzij passende bescherming wordt geboden Wederkerige contractuele garanties zijn gebruikelijk
  8. 8. Beveiligingsplicht Beveiligingsplicht  Algemene verplichting  Specifieke verplichtingen  Verplichtingen m.b.t. gebruik van (al dan niet cloud) dienstverleners CBPL heeft richtlijnen uitgevaardigd  ‘Referentiemaatregelen’  Gebaseerd op ISO 27000 normen  Nuttig, maar geen absolute verplichting
  9. 9. Beveiligingsplicht Technische maatregelen Organisationele maatregelen Bescherming tegen elke onrechtmatige verwerking Passend beschermingsniveau rekening houdend met:  Beschikbare technologie en kosten;  Aard van de betroffen persoonsgegevens en de potentiële risico’s Maatregelen zijn onderling inwisselbaar Maatregelen t.a.v. de Cloud dienstverlener  Betrouwbare partner kiezen (security assessment!)  Schriftelijke of elektronische overeenkomst  Veiligheidsmaatregelen moeten contractueel opgelegd worden  Beperking van verwerkingsmogelijkheden
  10. 10. Praktische benadering cloud-overeenkomsten Click-wrap-overeenkomst / toetredingsovereenkomst  In beginsel geldig in België Weinig flexibiliteit bij sommige Cloud dienstverleners  Contractuele bepalingen liggen vast  Dienstenomschrijving ligt vast in standaarddiensten  Standaard SLA’s Afweging van Cloud diensten is (bijna steeds) noodzakelijk
  11. 11. Praktische benadering cloud-overeenkomsten Verplichtingen van de dienstverlener? SLA Opschorting / beëindiging van de overeenkomst  Opgelet voor al te soepele schorsingsmogelijkheid langs de zijde van de dienstverlener Exit Plan / Retransitie (risico op vendor lock-in)  Beschikbaarheid van de data  Dataformaat?  Bijstand bij einde van de overeenkomst? Tegen welke voorwaarden?  Belgisch gemeen recht is weinig nuttig voor de klant Aansprakelijkheid? Auditmogelijkheid?
  12. 12. Conclusie Cloud Computing is in principe steeds mogelijk vanuit compliance oogpunt Kies het juiste type Cloud in functie van compliance- vereisten Veiligheidsmaatregelen  Onontbeerlijk bij verwerking van persoonsgegevens  Essentieel bij andere categorieën van data Continuïteit en kwaliteit zijn steeds belangrijk aandachtspunten bij contractonderhandeling Retransitie en beschikbaarheid van data
  13. 13. Bedankt voor uw aandacht. Vragen?

×