Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

Cloudcontract

[ cloudcontract.eu ]

Wat is een cloudcontract?

Met een cloudcontract bieden leveranciers clouddiensten aan hun klanten aan. Voorbeelden van diensten die 'in de cloud' worden aangeboden: webhosting, pure opslagruimte (SkyDrive, Dropbox), fotobewerking en -opslag (Picasa), kantoorapplicaties (Office 365), boekhoudprogramma's en natuurlijk de diverse sociale media, zoals Facebook en LinkedIn.

Nu steeds meer bedrijven gebruikmaken van clouddiensten, groeit de behoefte aan kennis over de potentiële risico's. Europese regelgeving, vooral die op het gebied van privacy, heeft grote invloed op het opslaan en verwerken van data.

Hieronder bespreken we de belangrijkste voorwaarden waarmee partijen die een clouddienst afnemen rekening moeten houden. Deze voorwaarden hangen veelal samen met de eisen die voortvloeien uit de Europese en Nederlandse regelgeving met betrekking tot de bescherming van persoonsgegevens (ook wel dataprotectie- of privacyregelgeving genoemd). Daarnaast worden enkele risico's besproken die samenhangen met regelgeving in landen buiten Europa, met name de Verenigde Staten.

Lees ook de algemene informatie over cloudrecht

Cloudcontracten en de bescherming van persoonsgegevens

Cloudcontract De reden dat privacyregelgeving bij clouddiensten een rol speelt, is gelegen in het feit dat de leverancier van een clouddienst vaak persoonsgegevens van zijn klanten verwerkt. Bijvoorbeeld, een bedrijf dat gebruikmaakt van Office 365, zet zijn data niet meer op de harde schijf van zijn computer(s), maar rechtstreeks bij Microsoft op de server. Hiermee krijgt Microsoft direct of indirect toegang tot die data. Deze data kunnen bedrijfsgegevens bevatten, maar ook persoonsgegevens. Als persoonsgegevens onderdeel uitmaken van deze data, speelt in veel gevallen de Algemene Verordening Gegevensbescherming een rol.

Zie ook de algemene informatie over bescherming persoonsgegevens.

Voorbeeld

In het onderstaande gaan we uit van een veelvoorkomend scenario: het gebruik van Microsoft Office 365 in de cloud. De leverancier is hier Microsoft. De afnemer van de clouddienst, bedrijf X, neemt een licentie op de kantoorsoftware en stelt het programma ter beschikking aan zijn werknemers, de eindgebruikers. We nemen een HR-afdeling als voorbeeld omdat de gebruikers van Office 365 op deze afdeling ongetwijfeld persoonsgegevens opslaan, zoals arbeidscontracten en beoordelingsformulieren.

In de volgende paragrafen komen eisen en aspecten aan de orde die mogelijk een rol spelen bij deze situatie.

Schriftelijke overeenkomst cloud computing

Checklist contract cloud computing De leverancier van een clouddienst heeft vaak toegang tot de data die zijn afnemers bij hem op de server hebben opgeslagen. Bevatten deze data persoonsgegevens, dan geldt de leverancier als verwerker van deze persoonsgegevens.
Wanneer er sprake is van 'verwerking' is de afnemer van de clouddienst verplicht om met de leverancier een verwerkersovereenkomst te sluiten.

De verwerkersovereenkomst is ter bescherming van de privacy van de eindgebruiker. In deze overeenkomst verplicht de leverancier zich zorgvuldig met de persoonsgegevens om te gaan. Onderwerpen die in deze overeenkomst aan de orde komen zijn onder andere: beveiliging van de data, geheimhouding, het inschakelen van derden en de locatie van de servers.

Zie de speciale pagina over verwerkersovereenkomst

Locatie en export van data

De privacywetgeving stelt hoge eisen aan de doorgifte van persoonsgegevens naar landen buiten de Europese Unie. Ook het plaatsen van persoonsgegevens op een server in een datacentrum buiten de Europese Unie geldt als zo'n doorgifte.
De afnemer van de clouddienst zal dan ook bij de leverancier moeten informeren naar de locatie van zijn gegevens om zodoende de juiste maatregelen te (laten) treffen. Wanneer niet aan alle wettelijk eisen is voldaan, is de feitelijke consequentie dat er een andere leverancier of een ander product moet worden gekozen.

Scenario's in locatie en export van data

Bij de opslag van de data (met persoonsgegevens) kunnen de volgende situaties zich voordoen:
  • Datacentrum in de Europese Economische Ruimte

    De Europese Economische Ruimte bestaat uit de landen van de Europese Unie en Liechtenstein, Noorwegen en IJsland. Staat het datacentrum in een van deze landen, dan zijn geen bijzondere maatregelen nodig.
  • Datacentrum in een land van de 'witte lijst'

    Staat het datacentrum in een van deze landen, dan zijn geen bijzondere maatregelen nodig.
    De witte lijst is een lijst van landen die volgens de Europese Commissie een passend beschermingsniveau hebben.
  • Datacentrum in de Verenigde Staten

    Hoewel de VS op de witte lijst staan, is het een apart geval. Voor een aantal situaties is het EU-US Privacy Shield een oplossing.
  • Datacentrum in ander land

    Staat het datacentrum in een ander land dan de hierboven genoemde, dan is de klant in de meeste gevallen verplicht met de cloudleverancier een EU Model Contract te sluiten.
Let op:
Wanneer de persoonsgegevens op een EU-server staan die toegankelijk is voor een helpdesk in bijvoorbeeld India, is sprake van een doorgifte naar een land zonder passend beschermingsniveau. Hiervoor zal een EU Model Contract moeten worden gesloten.

Risico's of nadelen van de cloud

Risico's en beveiliging cloud Hieronder staan enkele risico's die een rol kunnen spelen bij de beslissing om 'in de cloud te gaan'.
  • US discovery rules (e-discovery)

    Onder e-discovery wordt verstaan het overleggen van elektronisch opgeslagen gegevens aan de wederpartij en aan de rechter in het kader van een juridische (civiele) procedure.
    Amerikaanse wetgeving maakt het mogelijk dat bij een geschil tussen twee Nederlandse partijen de ene partij bij de Amerikaanse cloudleverancier van de andere partij documentatie opvraagt die in de cloud is opgeslagen.
  • Export control laws

    Door gebruik te maken van de diensten van een Amerikaanse cloudleverancier kan een Nederlandse onderneming ongemerkt de strenge Amerikaanse exportregels overtreden en hoge boetes riskeren. De Amerikaanse exportregels zijn over het algemeen strenger dan de Europese. Een bedrijf dat in overeenstemming met de Europese regels handel drijft met een land dat op de Amerikaanse embargolijst staat en besluit gebruik te gaan maken van Office 365 of GoogleDocs loopt hier risico!
  • State control powers

    In sommige landen heeft de overheid de wettelijke bevoegdheid om van providers toegang tot de servers te eisen. In deze context zijn vooral de US Patriot Act en de FISA/FISAA berucht (zie paragraaf hieronder). Ook andere landen kennen dergelijke bevoegdheden.

Amerikaanse wetgeving en de privacy van Europeanen

Nog los van de praktijken van de NSA die in 2013 door Edward Snowden werden onthuld, loopt de privacy van alle niet-Amerikanen ernstig gevaar. Er zijn de laatste jaren namelijk verschillende Amerikaanse wetten in het leven geroepen die het Amerikaanse instanties mogelijk maken de gegevens van niet-Amerikanen in te zien. Dit in combinatie met de opkomst van cloud services maakt dat de privacyschending vanuit de VS sterk is toegenomen.

In het algemeen geldt: clouddiensten die door Amerikaanse bedrijven worden aangeboden, zijn voor niet-Amerikanen onveilig. Lees de volledige achtergrondinformatie hierover in een rapport dat Casper Bowden in september 2013 schreef voor het Europees Parlement: The US surveillance programmes and their impact on EU citizens fundamental rights