Wie is eigenaar van uw data in de cloud en wat als u overstapt?

Zorgt uw cloudcontract voor continuïteit van diensten en integriteit van data?

Clouddiensten kunnen veel toegevoegde waarde bieden voor uw organisatie door de aangeboden flexibiliteit en schaalbaarheid. Maar er zijn óók een aantal aspecten van deze dienstverlening die voorafgaand aan  - en natuurlijk ook bij -  het sluiten van een contract extra aandacht nodig hebben. Zeker als uw bedrijf afhankelijk is van de beschikbaarheid van data of software in de cloud, is het belangrijk om na te gaan of de cloud-dienstverlening ook in de toekomst is gegarandeerd. En of uw gegevens ten allen tijde voor de juiste personen toegankelijk blijven. Met andere woorden, zorgt uw cloudcontract voor continuïteit van diensten en integriteit van data? 

Continuïteit en integriteit: vijf aandachtspunten

Elke relatie kan stuk, dus is het ook niet ondenkbaar dat een cloud-relatie ooit wordt verbroken. Bijvoorbeeld als er sprake is van een conflict, opzegging of ontbinding van de overeenkomst, of bij een faillissement. De vraag is dan of u in die situaties nog zonder problemen door kunt werken. Het is belangrijk om die situaties bij het contracteren in kaart te brengen. Daarbij zijn in ieder geval de volgende aandachtspunten van belang:

1. Maak heldere afspraken over het beëindigen van het contract door de leverancier

Niet alleen u maar ook uw Cloud-leverancier kan tot opzegging of ontbinding van de overeenkomst overgaan. Als uw belangen niet duidelijk worden gewaarborgd kan een contract dat wordt opgezegd of ontbonden door uw leverancier direct tot schade leiden. Immers, de bedrijfsvoering wordt per direct bedreigd als de leverancier de ‘stekker er uit trekt’.  

Het is aan te raden om vooral het volgende in het contract met uw leverancier te controleren:

1. Binnen welke termijn kan de leverancier opzeggen en is dat voldoende om elders een alternatieve clouddienst af te nemen? Is dat niet het geval, dan is het aan te bevelen om de termijn aan te passen of u moet interne maatregelen nemen; 
2. Bevat het contract mogelijkheden voor de leverancier om direct de relatie te beëindigen? Zo, ja dan is het aan te bevelen dit aan te passen in het contract of het risico dat hier door de leverancier een beroep op wordt gedaan te beperken.

Veel contracten bevatten een clausule waarin staat dat het niet betalen van een rekening direct de mogelijkheid geeft om het contract te ontbinden of om zonder voorafgaande kennisgeving de dienstverlening op te schorten. Een fout in de administratie kan dan tot gevolg hebben dat uw bedrijf stil komt te liggen. Voorkom dit door bijvoorbeeld af te spreken dat opschorting of ontbinding alleen mogelijk is na schriftelijke kennisgeving van het voornemen van een leverancier om te ontbinden of op te schorten.

2. Creëer een uitwijkmogelijkheid

Als een cloud-dienst tijdelijk stil komt te liggen, dan kan het lang duren voordat er een alternatieve oplossing voor u voorhanden is. Gedurende die tijd moeten (nieuwe) software en hardware beschikbaar worden gemaakt en moet data worden geëxporteerd en ingeladen. Een op voorhand opgezette uitwijkmogelijkheid voor het geval dat de dienstverlener om welke reden dan ook niet meer kan leveren (storing, faillissement, beslaglegging) zorgt er voor dat de cloud-dienst voor u actief blijft bij langdurige storingen of wanneer er een geschil ontstaat met een leverancier of de leverancier failliet gaat. Voor zo’n uitwijkmogelijkheid moeten dan wel afspraken worden gemaakt.

Een uitwijk-optie staat meestal niet standaard in een cloudcontract en moet ook niet worden verward met een back-up (waarover hierna meer). Een uitwijk-optie moet er namelijk in voorzien dat de cloud-dienst (en niet alleen de data) volledig kan worden hervat op het moment dat de leverancier daartoe niet in staat is. Om die volledig operationele uitwijk te realiseren kan het nodig zijn dat de gehele dienst op een andere locatie door de leverancier gespiegeld wordt opgezet of bijvoorbeeld dat een hosting escrow-partij zelfstandig de rechten en gegevens heeft om de dienst al dan niet tijdelijk voort te zetten voor de klant.

Sommige escrow dienstverleners bieden de mogelijkheid om een cloudomgeving operationeel te maken voor  het geval er incidenten zijn bij de leverancier. De klant kan daarvan dan direct gebruik maken bij calamiteiten en zonder dat er toestemming van iemand anders voor nodig is. Voor deze uitwijk opties is het dan nodig dat de softwareleverancier, de klant en de escrow-dienstverlener onderling afspraken maken over de rechten op de software, updates en nieuwe releases, databases, en de momenten waarop de escrow door de klant kan worden ingeroepen.

3. Maak back-ups en stel data veilig

Back-ups kunnen voorkomen in verschillende soorten en maten. Soms wordt er periodiek een volledige back-up gemaakt en soms wordt er alleen een back-up gemaakt van wijzigingen in data. Ook de bewaartermijnen variëren per dienstverlener. Het is dan niet op voorhand duidelijk hoe ver er terug kan worden gezocht in de historie.

Er moet natuurlijk, überhaupt, al sprake zijn van een verplichting om data op te slaan. Niet alle cloudleveranciers voorzien automatisch in een back-up en van een algemene zorgvuldigheidsnorm om daarvoor zorg te dragen, lijkt geen sprake.

Er moet dus nadrukkelijk met uw leverancier worden afgesproken dat een back-up wordt gemaakt, van welke gegevens er een back-up wordt gemaakt, wanneer en op welke manier de back-up plaatsvindt, en hoe lang deze back-up bestanden worden bewaard. Sommige bedrijven kiezen er – als alternatief – voor om een back-up van hun belangrijkste gegevens uit de cloud zelf lokaal te bewaren. Met die laatste optie kan dan mogelijk ook makkelijker worden voorzien in de wettelijke bewaarplicht van de administratie van bedrijven, zelfstandigen en rechtspersonen inclusief de verplichting om daar inzage in te verschaffen.

Bij een verplichting om inzage in een administratie te verschaffen is alleen het maken van een back-up in de cloud niet per definitie voldoende. Er moet vaak ook feitelijk toegang zijn tot die gegevens. Dat blijkt niet altijd een gemakkelijke opgave te zijn op het moment dat een cloudleverancier wegvalt, of wanneer er data wordt beschadigd of het contract wordt beëindigd. Vooral in faillissementssituaties is feitelijke toegang tot data een probleem, terwijl die toegang tot gegevens essentieel is:  alleen met gegevens kan een cloud-dienst namelijk elders worden voortgezet of kan een curator over de administratie worden geïnformeerd. Een cloudleverancier hoeft echter niet zonder meer aan afgifte van gegevens mee te werken. Deze kan zich soms ook beroepen op een retentierecht op gegevens.  

Het is aan te raden om af te spreken dat de eigendom op de data aan u toebehoort en dat de leverancier deze op eerste verzoek (en zonder kosten in rekening te brengen) afgeeft in de door u gewenste vorm. Een andere mogelijkheid is dat er een lokale kopie wordt gemaakt (zie boven) of dat er een back-up beschikbaar is bij een derde partij (bijvoorbeeld een notaris of escrow dienstverlener).

4. Controleer op gebruiksrechten en broncode

Als de afhankelijkheid van uw cloudleverancier zo groot is dat een alternatieve cloud-dienst niet voorhanden is, dan kan het in het kader van continuïteit noodzakelijk zijn dat u moet voorzien in een permanent gebruiksrecht op de software die in de cloud staat. Dat gebruiksrecht moet misschien zelfs nog worden uitgebreid met een recht om de software in de toekomst te (laten) onderhouden.

Vanuit juridisch perspectief en praktisch gezien is dit voor cloud diensten een uitdaging omdat er via een contract voor moet worden gezorgd dat de gebruiksrechten in stand blijven bij een faillissement of verkoop van de (rechten van de) software leverancier. Daarnaast moet er ook worden nagedacht over afgifte van broncode of uitvoerbare code en een omschrijving van de permanent verleende gebruiksrechten.

Dit aspect van de zogenaamde ‘vendor lock in’ deed zich al voor bij de meer traditionelere manieren van software exploitatie. Daarvoor bood in het verleden een escrow-regeling voor de broncode soms een uitkomst. Vergelijkbare regelingen kunnen ook worden afgesproken voor cloudsoftware, zij het dat dan voor de broncode en technische documentatie, maar ook voor de database en de uitvoerbare code expliciete afspraken moeten worden gemaakt, naast het feit dat moet worden voorzien in een permanent en passend gebruiksrecht. Dat is geen gemakkelijke opgave.

5. Persoonsgegevens blijven uw verantwoordelijkheid

Uw (en andermans) gegevens worden in de cloud, en dus bij een andere partij, opgeslagen en bewaard. Deze gegevens kunnen vertrouwelijk en commercieel belangrijk zijn. De integriteit van deze data zal dus gewaarborgd moeten zijn. Er is ook een wettelijke verplichting om integriteit te waarborgen indien het gaat om het verwerken van persoonsgegevens.

Hoe, waar, en hoe lang gegevens worden bewaard en welke beveiligingsmaatregelen er met betrekking tot die data genomen worden is een vraagstuk dat vaak wordt uitbesteed aan de cloudleverancier. Van belang om te onderkennen is echter dat de verplichting om passende beveiligingsmaatregelen te nemen en om datalekken te melden, rust op de verantwoordelijke. Als u een cloud-afnemer bent is er een aanmerkelijke kans dat u als verantwoordelijke wordt beschouwd (en dat u primair wordt aangesproken op het moment dat bijvoorbeeld een boete moet worden opgelegd). Hier dient aandacht aan te worden besteed.

In een cloudcontract (of in een apart bewerkerscontract) is het in dit kader van belang om concrete afspraken met de cloudleverancier te maken over het niveau van de beveiliging van persoonsgegevens en wie er allemaal toegang mag hebben tot deze gegevens. Er moet ook worden vermeld dat de cloudleverancier (veelal de bewerker van de gegevens) aan u directe kennisgeving doet wanneer er door hem een mogelijk datalek wordt gedetecteerd en dat er door de bewerker ook wordt meegewerkt bij vervolgacties naar aanleiding van het datalek.

Ook over de doorgifte van gegevens naar landen buiten de Europese Unie moet duidelijkheid bestaan. In beginsel is dat niet toegestaan, tenzij er bijvoorbeeld sprake is van expliciete toestemming van de betrokkenen. Dat geldt ook voor doorgifte naar de USA nu voor dat land er op dit moment wegens het wegvallen van de zogenaamd Safe Harbor regeling geen algemene grondslag meer bestaat voor gegevensdoorgifte.

Tot slot

De aandachtspunten nogmaals op een rij:

• Maak heldere afspraken over het beëindigen van het contract door de leverancier
• Creëer een uitwijkmogelijkheid
• Maak back-ups en stel data veilig
• Controleer op gebruiksrechten en broncode
• Persoonsgegevens blijven uw verantwoordelijkheid

Heeft u vragen over uw positie als klant bij een cloudleverancier? Lawton kan u van dienst zijn, bijv. door concepten aan te leveren, te beoordelen en als sparring partner bij te dragen aan het zo veilig mogelijk maken van uw positie. Voorkomen is beter dan genezen.  We maken graag kennis met u!

Over Lawton

Lawton is een advocatenkantoor met een sterke focus op ondernemers en het verwezenlijken van diens bedrijfsdoelstellingen. Ons kantoor is gespecialiseerd in financieel recht en ICT /  intellectuele eigendom, ondernemingsrecht, corporate litigation, insolventie en het arbeidsrecht. Wij zijn bereikbaar via telefoon: 076 52 33 450 of e-mail: info@lawton.nl.

Lawton, © 2016

Deze WP is puur informatief van karakter. Aan de inhoud van dit bericht kunnen geen rechten worden ontleend. De inhoud van dit bericht geldt niet als juridisch advies. Voor het gebruik hiervan is Lawton niet verantwoordelijk.