2012 Cloud Computing; juridische aspecten, contracten en rechten
[CLOUD COMPUTING; JURIDISCHE ASPECTEN CONTRACTEN EN RECHTEN] Dit document bespreekt de belangrijkste juridische kwesties en risico's rond gegevensbescherming en -beveiliging in de Cloud en belicht de specifieke kenmerken voor het ontwikkelen, onderhouden en beĂŤindigen van Cloud Computing contracten. Het pleit voor het opstellen van een aantal eigen waardeproposities voordat er een Cloud relatie wordt aangegaan.
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Inhoudsopgave Juridische aspecten van Cloud Computing...................................... 3 Falen/uitval dienst. ................................................................................... 5 Cloud Computing contracten ............................................................... 7 Contractonderhandeling ........................................................................ 7 De Prijs........................................................................................................... 8 Tien belangrijke bepalingen in Cloud Computing contracten . 9 Cloud Computing Gebruikersrechten.............................................. 12
2
Jambo ConsultancyŠ
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Juridische aspecten van Cloud Computing Het werken met Cloud Computing service providers kan voor menig bedrijf ingewikkeld zijn. Hoewel nieuwe internettechnieken bedrijven een scala aan voordelen biedt, zijn er vele juridische kwesties en veiligheidsrisico’s m.b.t. Cloud Computing. Naast een overzicht in de huidige wetgeving is het maken van goede afspraken en contracten van essentieel belang. In dit document meer over de juridische overwegingen van Cloud Computing en waarom organisaties deze eerst zorgvuldig moeten evalueren. Due diligence vóór het aangaan van een relatie met een Cloud service provider is absoluut een vereiste! Van de kant van de profiders pleit vooral Microsoft voor de invoering van de Cloud Computing Advancement Act om het consumentenvertrouwen in de beveiliging Cloud Computing te vergroten maar dit alleen is niet voldoende. Organisaties moeten vanuit een juridisch standpunt, ook weten waar de gegevens waarvoor ze verantwoordelijk zijn, zowel de persoonlijke klantgegevens, bv creditcard gegevens èn de bedrijfsinformatie, zich fysiek bevinden. Juridische problemen zijn het directe gevolg van de plaats waar een Cloud provider zijn gegevens bewaart en het toepassen van buitenlandse wetgeving inzake gegevensbescherming en -bewaking. Europese afnemers van Cloud diensten hebben hun bezorgdheid geuit over het idee dat de Amerikaanse overheid toegang kan krijgen tot gegevens die zijn opgeslagen buiten de Verenigde Staten door een Cloud service provider die is gevestigd in de Verenigde Staten of een dochteronderneming van een Amerikaans bedrijf is. De USA Patriot Act (2001) geeft de Amerikaanse regering onbeperkte toegang tot alle gegevens, altijd en overal. De regels van de Stored Communications Act worden vaak gebruikt in het kader van de toegang tot gegevens die zijn opgeslagen door de Cloud service providers.
3
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Er zijn vele voorbeelden te noemen waarbij het onzorgvuldig toepassen van Cloud Computing de rechters voor moeilijke beslissingen stelt. Bij de huidige stand van zaken valt dit uiteen in de volgende twee juridische Cloud Computing aspecten; 1) Falen/uitval van dienst 2) Cloud Computing contracten
4
Jambo ConsultancyŠ
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Falen/uitval dienst Terwijl met behulp van financieel aantrekkelijke Cloud Computing services veel voordelen te behalen zijn, is dit alleen het geval als de dienst zonder problemen functioneert. Is er echter een verlies van de internetverbinding of een capaciteitsprobleem bij het verwerken van gegevens, dan kan dit belangrijke gevolgen hebben voor de gebruikers van deze diensten. De dienstverlener zal geen enkele compensatie voor één van deze verliezen garanderen bij een gratis licentie. Bij een abonnement zal de inzet van de service provider een vorm van compensatie zijn bij het in gebreke blijven van de dienstverlening. In de meeste gevallen is deze compensatie beperkt. Reken er maar niet op te worden gecompenseerd voor het verlies van omzet als gevolg van onderbreking van de dienstverlening. Om te weten te komen welke opties en voorwaarden een Cloud service provider bij uitval biedt moet u zoeken in verschillende documenten. Kijk eerst in de Services Agreement. Salesforce.com Master Services Agreement beschrijft dat het bedrijf zich verplicht tot het verrichten van diensten 24-7 (zie paragraaf 4.1), met uitzondering van geplande downtime en een aantal specifieke omstandigheden, zoals cyber aanvallen. Het bedrijf gaat ook een verbintenis aan met betrekking tot de veiligheid, vertrouwelijkheid en integriteit van gegevens van de gebruiker (zie paragraaf 4.2). Sommige bedrijven vullen hun algemene voorwaarden aan met een apart Service Level Agreement (SLA). Dit in aanvulling op de serviceovereenkomst. Het resultaat voor beide situaties, een overeenkomst van dienstverlening of in combinatie met een SLA, hetzelfde. Als de service wordt onderbroken, gelden één of meerdere van deze bepalingen in de Services Agreement of in de SLA. Zij vormen de basis voor het definiëren van de geschillen tussen de twee partijen. In de contracten staan zaken aangaande het netwerk. Bijvoorbeeld; wij garanderen dat ons datacenternetwerk beschikbaar zal zijn 100% van de tijd voor een bepaalde maandelijkse factureringsperiode, met uitzondering van gepland onderhoud. 5
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Of de vergoedingen bij uitval. Bijvoorbeeld; als we niet voldoen aan de garantie zoals vermeld, komt u in aanmerking voor een geldelijke vergoeding. Dit zal worden berekend als een percentage van de kosten die negatief beïnvloed zijn door het falen van de Cloud profider en die vallen binnen de huidige maandelijkse facturatie periode gedurende welke de storing optrad (die moet worden toegepast aan het einde van de cyclus), en is als volgt: Netwerk: Vijf procent (5%) van de vergoedingen voor elke 30 minuten van het netwerk van downtime, tot 100% van de vergoedingen. ... .... Deze Service Level Garantie is uw enige en exclusieve remedie voor Cloud Servers onbeschikbaarheid. Merk op dat de vergoeding allèèn zal zijn voor het verlies van de dienst, en zal uitkomen op een percentage van uw maandelijkse servicekosten. Er is geen compensatie voor het verlies van data en zaken, reputatie of ander verlies. Deze voorwaarden stemmen overeen met wat er over het algemeen aangeboden wordt in deze industrie.
6
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Cloud Computing contracten Bij het aangaan van een relatie met een Cloud Computing service provider, moeten bedrijven tijdens de contractonderhandeling voldoende aandacht besteden aan de contractvoorwaarden, veiligheidseisen en een aantal andere belangrijke bepalingen. In het vervolg van dit document komen de volgende contract aspecten aan de orde; de contractonderhandeling en de prijs, het opstellen van het contract en haar 10 belangrijkste bepalingen.
Contractonderhandeling Advocaten wijzen erop om voorzichtig te zijn bij de contractonderhandelingen met Cloud Computing service providers. Organisaties moeten niet het contract van een service provider online eventjes doorklikken zonder hierover te onderhandelen. Ondanks dat in de praktijk de profider dit misschien niet wil, moeten ook Cloud diensten worden onderworpen aan zorgvuldige due diligence, compliance of governance systemen. Bedrijven moeten zich ervan bewust zijn dat juridische en compliance risico’s niet eenvoudig maar even kunnen worden verlegd naar de Cloud leverancier. De eindverantwoordelijkheid blijft de aanbesteder van de Cloud diensten. De levering van Cloud diensten vindt steeds meer plaats in een competitieve omgeving. Dat vormt voor organisaties een goede basis om te onderhandelen over belangrijke contractuele bepalingen. Kritieke kwesties voor een bedrijf tijdens contractonderhandelingen met een service profider zijn: Identificeer alle beschermde klantinformatie die de dienstverlener gebruikt en opslaat. Identificeer specifieke veiligheidsprocedures waaraan de profider zich moet houden. Maak duidelijk dat de klant eigenaar van de gegevens is. Eis transparantie met betrekking tot datalocatie. Leg de middelen die gebruikt worden ter controle van en het toezicht op de integriteit van gegevens vast. 7
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Provider moet worden verplicht om onafhankelijke security audits te ondergaan. Voer een proces voortijdige melding van uitval in. Voeg een mogelijkheid voor vroegtijdige beëindiging van de overeenkomst en veilige overdracht van de gegevens toe. Beperk de beperkte aansprakelijkheid van de profider.
De Prijs Om de totale prijs voor een Cloud service te bepalen moeten afnemers alle individuele onderdelen van de dienstverlening die een provider in rekening brengt en hoe deze worden bepaald, begrijpen. Rekent de aanbieder af op basis van het dataverkeer, de benodigde opslag ruimte, server/CPU tijd of een combinatie van deze factoren met nog andere elementen? Een andere factor die de werkelijke kosten bepaalt is het soort dienst dat wordt afgenomen. Soms is die dienst niet veel meer dan een gehoste, dedicated server om applicaties in de Cloud op te draaien. Anderen diensten zijn Cloud gebaseerde back-up of business diensten al dan niet op basis van gehoste opslag. De makkelijkste manier om de prijs te bepalen is je te richten op de aangeboden primaire dienst. De meerderheid van de Cloud service providers onderscheiden hun diensten in drie primaire gebieden: 1) servers in de Cloud, 2) opslag in de Cloud, en 3) sites en applicaties in de Cloud. Elk met zijn eigen formule voor de prijsstelling. De makkelijkste manier om prijzen van de verschillende aanbieders te vergelijken is te kijken naar het door de profiders gebruikte Cloud Model; IaaS, PaaS of SaaS.
8
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Tien belangrijke bepalingen in Cloud Computing contracten Cloud Computing relaties kunnen ingewikkeld zijn. Het gebruik van Cloud diensten betekent voldoen aan diverse wet- en regelgeving en kan gevoelige informatie in gevaar brengen. Daarom is het van essentieel belang voor de gebruikers van Cloud Computing services om de reikwijdte en beperkingen van de services die zij ontvangen als ook de voorwaarden waaronder deze diensten worden geleverd, te begrijpen. Het vastleggen van de volgende 10 bepalingen helpt uw organisatie zich te beschermen maar belangrijker is het regelmatig kritisch herzien van alle stappen en Best Practices voor het ontwikkelen, onderhouden en beëindigen van Cloud Computing contracten. Dit vergroot het begrip van het werken met Cloud Computing services. Bovenstaande 10 bepalingen moeten minimaal in het contract staan. 1. Sluit wijziging van de contractvoorwaarden uit 2. Beschrijf de dienst 3. Beperk het gebruik of hergebruik van gegevens 4. Eis vertrouwelijkheid en veiligheid 5. Intellectuele eigendomsrechten 6. Verklaringen en garanties 7. Schadevergoeding 8. Beperking van aansprakelijkheid en schade 9. Duur en verlenging van het contract 10.Effect van beëindiging Ad 1.Bij veel Cloud service overeenkomsten mag de Cloud service provider voorwaarden over de prijs en de tariefstructuur of de dienstverlening, op elk moment en zonder voorafgaande kennisgeving, veranderen. Stel je eens voor; het huren van een appartement waar de verhuurder op elk gewenst moment elektriciteit uit kan schakelen of de ramen mag verwijderen! Ad 2. Veel contracten geven de verkoper de vrijheid om functionaliteiten toe te voegen of te verwijderen. Het kan nodig zijn om enige stabiliteit af te dwingen. 9
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Ad 3. Klanten willen de toegang tot en gebruik van hun gegevens beperken tot wat strikt noodzakelijk is voor de levering van de diensten. Deze eis kan het gevolg zijn van geldende wetten, zoals de HIPAA, GLBA in de USA, of andere buitenlandse wetgeving inzake gegevensbescherming. De Cloud provider is een host en heeft een faciliterende rol maar mag klantgegevens niet voor eigen rekening gebruiken, tenzij dit expliciet is toegestaan. De partijen moeten het eens worden over de locatie van de gegevens omdat de locatie bepaalt welk recht van toepassing is op de gegevens. Wetten inzake gegevensbescherming van landen bevatten zeer specifieke bepalingen en kunnen de manier waarop persoonlijke gegevens worden overgedragen beperken. Ad 4. Klanten willen meteen op de hoogte zijn van een inbreuk op de beveiliging die afbreuk kan doen aan hun data en bedrijfsprocessen. Ad 5. Het is zeer belangrijk voor Cloud relaties inzicht te hebben in het precieze kader waar de toegekende licenties binnen elkaars intellectuele eigendom vallen. Dit kan een cruciaal element zijn bij de afweging van de voor- en nadelen van het invoeren van de dienst. Intellectuele eigendomsrechtproblemen komen in vele verschillende vormen voor. Bij sommige services kunnen publicaties of foto’s etc. van de gebruiker geplaatst worden. Wanneer de dienst gratis is dan is het waarschijnlijk dat na de looptijd van het contract de provider zich een royalty vrije licentie om deze inhoud te gebruiken, toe-eigent. Bij sommige Cloud diensten kan het betekenen dat er een licentie voor intellectueel eigendom verstrekt wordt. Dit kan bijvoorbeeld worden beperkt tot het gebruik van de techniek of toepassing en verbiedt modificatie. Hierdoor kan de gebruiker alleen de generieke gestandaardiseerde functies gebruiken en worden aanpassingen die zou het gebruik van de dienst eenvoudig of efficiënter maken uitgesloten. De service verleent bijvoorbeeld alleen toegang tot een database maar is erg strikt in wat de klant kan doen met de informatie. Ad6. Verklaringen en garanties in Cloud dienstcontracten gaan bijvoorbeeld over waar of hoe de diensten wordt uitgevoerd, de kwalificaties van de individuele uitvoering van de dienst, de betrouwbaarheid van de technologie
10
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
die wordt gebruikt om de diensten uit te voeren of het intellectuele eigendomsrecht. Ad 10. Wat gebeurt er met de gegevens? Hoe kan het worden opgehaald? In welke vorm en welk formaat? Wordt de dienstverlener verplicht om de gegevens te bewaren op haar systemen gedurende een overgangsperiode?
11
Jambo ConsultancyŠ
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
Cloud Computing Gebruikersrechten Het is absoluut noodzakelijk voor bedrijven en gebruikers van Cloud Computing Services om te weten over hun rechten en verantwoordelijkheden. Afnemers en gebruikers van de internetdienst kunnen het beste eerst voor zichzelf een set van waardeproposities vaststellen, vóórdat zij Cloud Computing relaties aangaan. Over veel zaken moet eerst intern duidelijkheid zijn. Daarbij kunnen de volgende rechten gerangschikt worden naar belangrijkheid en een eerste uitgangspunt zijn voor het aangaan van financieel voordelige Cloud relaties; 1) Recht op eigendom, gebruik en beheer van gegevens en het recht ze te bewaren 2) Recht op service level agreements (SLA's) waarin verplichtingen, sanering en zakelijke resultaten vastgelegd worden 3) Recht op kennisgeving van en keuze over veranderingen die op de eigen bedrijfsprocessen van de gebruiker van invloed zijn 4) Recht op het begrijpen van de technische beperkingen of eisen van de service 5) Recht op de wettelijke eisen van de rechtsgebieden waar de profider opereert te begrijpen 6) Recht op het weten van de veiligheidsprocessen die door provider gevolgd worden 7) De verantwoordelijkheid om te begrijpen en zich te houden aan software licentie eisen Ad 1. Als een provider niet erg duidelijk is over vraagstukken betreffende de eigendom van gegevens, de controle en het gebruik ervan kan dit leiden tot het toeeigenen en het manipuleren van de “eigen” gebruikersinformatie, zonder dat daarvoor toestemming is verleend. Ad 2. Cloud SLA's komen meestal uit de oude doos en zijn van technische aard. Er is meestal geen duidelijkheid over de gebruikersdiensten b.v. in het geval van falen/uitval. Een Cloud Computing service provider probeert nauwelijks om dingen te repareren of op een bepaalde manier te saneren. Vandaag de dag vraagt een gebruiker aan de provider van een internetdienst om een andere SLA, afhankelijk van het soort dienst die hij gebruikt. De SLA moet nu 12
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
betrekking hebben op de aard van de business issues van de aangeboden dienst. Ad 3. Ondersteuning van het bedrijfsproces is dé reden waarom Cloud Computing afnemers van de diensten van providers gebruik maken. Na de ondertekening van het contract met de provider is elke verandering in termen van prijs of upgrades van invloed op de business van de afnemer. Daarom moet de gebruiker van tevoren goed geïnformeerd worden over de veranderingen die gepland zijn door de dienstverlener en ook wat de herstelprocedure is, om hem zo even de tijd te geven zodat zijn bedrijf zo min mogelijk hierdoor wordt geraakt. Ad 4. Cloud Computing service providers geven vaak niet alle details over hun oplossing en de technische eisen en beperkingen. Na ondertekening van het contract en na het investeren een aanzienlijk bedrag in, kan de gebruiker zich realiseren dat de aanbieder van de oplossing niet in staat is zich aan te passen aan de eisen van de organisatie. Daarom, en in het bijzonder voor complexe, langlopende projecten, moeten de gebruikers en Cloud Computing service providers elkaar op de hoogte houden over de technische eisen en beperkingen. Ad 5. Gebruikers van internetdiensten hebben soms de neiging de wettelijke eisen over het hoofd te zien. Dienstverleners moeten de gebruikers informeren over het rechtsgebied waaronder ze gegevens hebben ingevoerd en de wettelijke eisen waaraan de gebruikers moeten voldoen. Op basis hiervan kan de gebruiker beslissen of hij in zee wil gaan met de invoering van de Cloud service. Ad 6. De gebruiker moet zich goed bewust zijn van de profiders’ veiligheidsprocessen. Bovendien moet de gebruiker ook worden geïnformeerd over de ramp herstelplannen van de service aanbieder. Ad 7. Een service provider dient de gebruiker op het juiste gebruik van softwarelicenties te wijzen. Als de gebruiker de software op de Cloud zet van een derde partij is het in strijd met de overeenkomst en is hij verantwoordelijk.
13
Jambo Consultancy©
[CLOUD COMPUTING; JURIDISCHE ASPECTEN 4 juli 2012 CONTRACTEN EN RECHTEN]
De mate waarin een profider bereid is aan de wensen van de afnemer tegemoet te komen is niet alleen afhankelijk van de mate van competitie in de Cloud markt voor de specifieke dienst maar ook en vooral of het een grote of kleine speler betreft. Dit is misschien wel het belangrijkste aspect bij de afweging van pro’s en cons voor het aangaan van een Cloud relatie!
Disclaimer; Alle ideeën, concepten, oplossingen, Apps en andere door Jambo Consultancy© ontwikkelde applicaties en tools staan geregistreerd bij Benelux Bureau voor de Intellectuele Eigendom (BBIE).
14
Jambo Consultancy©