Cloudrecht in ontwikkeling

Cloudrecht in ontwikkeling
Evenals computernetwerken heeft cloudcomputing zich nooit in een juridisch vacuüm bevonden; ICT-diensten maken deel van onze samenleving uit. Bovendien gaat het bij cloudcomputing om een samenloop van reeds bestaande technieken. Dat laat rijzende vragen en bezorgdheid bij gebruikersorganisaties onverlet.
Inmiddels zet spoedeisendheid de legislatieve toon, in hoofdzaak gedreven door economische belang en nationale veiligheid.
Verder laten toezichthouders van zich horen. Van Autoriteit Persoonsgegevens tot De Nederlandse Bank. Onderbelicht is echter de jurisprudentie. De vooralsnog schaarse rechtspraak over clouddiensten biedt een interessante kijk op feitelijk gedrag met juridische consequenties.
Victor de Pous
In 2006 lanceerde online-retailer Amazon haar rekenkracht- en opslagdienst Amazone W eb Services. Dat feit markeerde de start van infrastructuur als dienst. Rond deze tijd zag tevens software as a service (SaaS) het licht; de opvolger van application service providing. Sommigen opteren voor de introductie van zoekmachines op internet (Lycos, Yahoo!) of e-maildienst Hotmail.com als geboorte van cloudcomputing. W eer anderen verwijzen naar de eerste vorm van commerciële automatisering van de gegevensverwerking met mainframes en domme terminals op afstand, na de Tweede Wereldoorlog. Hoe het ook zij, de rechtsontwikkeling omtrent elektronische gegevensverwerking en verwante domeinen heeft niet stilgestaan. Tegenwoordig vullen wetgever en toezichthouder het rechtskader van cloudcomputing telkens stapsgewijs in, in detaillering van bestaande generieke rechtsnormen of door middel van nieuwe bijzondere regels. Rechtspraak blijft vooralsnog opvallend schaars.
 
Normering en aanknopingspunten
Een manier voor het op hoofdlijnen in kaart brengen van de juridische aspecten van computing in het concrete geval, betreft de identificatie van aanknopingspunten, desgewenst in volgorde.
Deze modus operandi geeft richting en houvast voor juridische analyse en besluitvorming, omdat hieruit essentiële, doorgaans dwingendrechtelijke onderdelen van het rechtskader volgen.
• Het begint met de vraag er of sprake is van een product of dienst. Algemeen bezien hebben we te maken met een verschillend rechtskader voor een product of een dienst. Dat overigens geldt in versterkte mate bij SaaS, omdat de gebruiker doorgaans geen fysiek exemplaar van de software ontvangt, die hij op afstand gebruikt. Hierdoor verliest hij als licentienemer zijn wettelijk recht op foutherstel, zoals vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC) en onze Auteurswet. Kopiëren van een ‘exemplaar’ van het computerprogramma door de licentienemer mag namelijk ten behoeve van foutherstel. Bij cloudcomputing is echter sprake van immateriële openbaarmaking van een computerprogramma (zonder kopie).
• Vervolgens dient de tweedeling zelfdoen of uitbesteding zich aan, hetgeen bepaalde verantwoordelijkheden en aansprakelijkheden met zich meebrengt.
• Dan kan er worden gekeken naar de aard van de dienst: gaat het om het leveren van technologie, gegevens of wellicht beiden? Er geldt deels een bijzonder juridisch regime voor computerprogramma's.
• In geval van gegevensverwerking rijst de vraag naar de aard van de gegevens: financiële gegevens, bedrijfsgeheimen, overheidsinformatie, open data (van overheidsorganisaties) en wat dies meer zij.
• Nog aan aanknopingspunt: op welke bedrijfstak richt de dienst zich? De Nederlandsche Bank stelt bijvoorbeeld nadere voorwaarden voor cloudcomputing voor de financiële sector. Of anders gesteld: wie zijn de gebruikers? Meer algemeen maakt het rechtskader tevens onderscheid tussen consument en degene die handelt in de uitoefening van een beroep of bedrijf.
• Last but not least: internationale aspecten kunnen zwaar wegen. Zelfs bij ‘nationale’ clouddiensten, waarbij de gegevensverwerking volledig op het grondgebied van een soevereine staat plaatsvindt, kan mede buitenlands recht geldigheid hebben. Denk aan wetgeving met extraterritoriale werking zoals de Amerikaanse Partriot Act. Allerlei soevereine staten hebben wetgeving gecodificeerd waar de rechtsmacht (jurisdictie) de eigen landgrens overschrijdt. In tegenstelling tot het juridisch raamwerk voor de verwerking van persoonsgegevens op grond van het privacyrecht, speelt de locatie van de bedrijfsinformatie niet of nauwelijks een rol wanneer het gaat om toegang tot in de cloud verwerkte persoonsgegevens door vreemde overheden in het kader van strafvordering en nationale veiligheid. De bottom line luidt dat mondiale overheidstoegang tot clouddata waarschijnlijk een feit is. Die toegang kennen we in soort en maten. De ene keer wordt via een rechtshulpverzoek de ondersteuning ingeroepen van het land waar de informatie zich bevindt, een ander maal vindt toegang grensoverschrijdend heimelijk plaats, wanneer de informatie bij een externe cloudleverancier wordt opgevraagd. Een ander voorbeeld betreft het Nederlandse wetsvoorstel Computercriminaliteit III, dat een grensoverschrijdende ‘overheidshack’ onder voorwaarden legitimeert. (V oorstel van wet, 22 december 2015, Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit.)
 
Bijzondere karakteristieken
Met de komst van clouddienstenmatrix verandert ICT niet alleen van een verzameling producten in diensten met veelal continue levering tegen een hoog beschikbaarheidpercentage. Tegelijkertijd neemt de afhankelijkheid van gebruikersorganisaties ten opzichte van zowel technologie als leverancier toe. Deze constatering legt de nadruk op de vraag wie waarvoor verantwoordelijk en aansprakelijkheid is. Contracten behoren redelijkheid en helderheid te bieden.
Bovendien vereist de afhankelijkheid ten opzichte van ICT-bedrijf en informatietechniek bij cloudcomputing andersoortige continuïteitsmaatregelen. De gebruikersorganisatie wil om uiteenlopende redenen doorgaans de mogelijkheid hebben snel over te stappen naar een andere leverancier of in sommige situaties wellicht de dienst zelf te verzorgen. Technische standaarden met een meer open karakter helpen daarbij, net zoals een contractuele overdrachtsregeling (exit-clausules) en afspraken over SaaS-escrow (depot van software, bedrijfsgegevens en specifieke informatie over configuraties en instellingen van ICT-systemen bij een onafhankelijke derde).
Ook het voldoen aan juridische kaders (legal compliance) krijgt andere dimensies, onder meer vanwege het achterliggende concept (dynamische gegevensverwerking, vaak door derden op afstand verzorgd), het element van ketenautomatisering (meerdere ICT-bedrijven leveren uiteindelijk samen een clouddienst) en het ‘vloeibare’ (verlies van locatie) en mogelijk grensoverschrijdende karakter van de gegevensverwerking. Relevant is zowel het voldoen aan wet- en regelgeving (regulatory compliance) als aan andere juridische voorschriften, zoals overeenkomsten (contractual compliance).
 
A. Wetgevers
Dat wetgevers ICT en elektronische gegevensverwerking hebben ontdekt, mag in Europa en Nederland geen verrassing zijn. Het communautaire mantra luidt sinds eind tachtiger jaren: bijzondere wetgeving als de ‘enabler’ van de informatiemaatschappij. Onze wetgever sluit zich hierbij aan.
Op dat uitgangspunt valt af te dingen. Burger en ondernemer zijn immers met digitale technologie aan de slag gegaan, op basis van het generieke en bestaande recht en ongeacht (vermeende) rechtsonzekerheid. Neem het consumentgerichte webshoppen, dat al twintig jaar stijgt en nu in toenemende mate mobiel plaatsvindt.
Of anders: kijk naar het illegaal downloaden van muziek, films, games, e-books, foto’s en wat dies meer zij, vaak uit illegale bron. Kennelijk lappen individuen grootschalig rechtsnormen aan hun laars, inclusief wetenschappers die onrechtmatig en wederrechterlijk academische papers ontsluiten of downloaden. De site https://sc-hub. io vermeldt dat er 47 miljoen wetenschappelijke artikelen gratis zijn te downloaden. Een greep uit de Europese en autonoom-wettelijke blauwdrukken.
Algemene verordening gegevensbescherming
Het Europees Parlement heeft op 16 april eindelijk de in januari 2012 geïntroduceerde Algemene verordening gegevensbescherming vastgesteld, waardoor onze Wet bescherming persoonsgegevens in 2018 plaatsmaakt voor een uniform regime voor de verwerking van persoonsgegevens in de gehele unie. Met rechtstreekse werking en dwingend van karakter. Geen nationale afwijking mogelijk, inclusief de beoogde aangescherpte en nieuwe privacyrechten, strikte beveiligingsvoorschriften, nieuwe meldplichten en zware sancties bij overtreding. Zo wordt het niet melden van de verwerking van persoonsgegevens gezien als een economisch delict en dus strafbaar (in Nederland: op grond van het Wetboek van Strafrecht).
Verordening elektronische identiteiten en vertrouwensdiensten
Europa werkte de afgelopen jaren tevens aan de Verordening elektronische identiteiten en vertrouwensdiensten in de interne markt. De Europese Raad van Ministers heeft deze eID AS Verordening in 2015 goedgekeurd. De nieuwe regeling vervangt de bestaande wetgeving die alleen betrekking heeft op de elektronische handtekening. Brussel wil stimuleren dat nationale e-ID-stelsels gebruikt kunnen worden voor grensoverschrijdende veilige transacties door wederzijdse erkenning. De juridische normering richt zich op elektronische identificatie en zes elektronische vertrouwensdiensten.
Richtlijn voor netwerk- en informatiebeveiliging
In het domein cybersecurity ligt er sinds februari 2013 een communautaire richtlijn ter tafel, de Richtlijn voor netwerk- en informatiebeveiliging.
Dit ontwerp bepaalt onder meer dat exploitanten van essentiële infrastructuur in een aantal sectoren (financiële dienstverlening, vervoer, energie, gezondheidszorg), aanbieders van diensten van de informatiemaatschappij (met name
appstores, platforms voor elektronische handel, betalingsdiensten via internet, cloudcomputing, zoekmachines en sociale netwerken) en overheden (i) risicobeheersregelingen moeten invoeren en tevens (ii) ernstige incidenten met betrekking tot hun kerndiensten moeten melden. Over de reikwijdte is nu consensus bereikt.
Nederlandse wetgeving
Het legislatieve geweld uit Europa dringt de autonome wetgevingsbevoegdheid van Nederland ten onrechte naar de achtergrond, omdat daarmee het belang van nationale wetgeving wordt ondergesneeuwd. Voor cloudcomputing is onder meer relevant dat de voltallige Tweede Kamer instemde met een wijziging van de Telecomwet. Telecommunicatiebedrijven moeten klanten compenseren door één dag van het abonnementsgeld terug te betalen bij een storing die tussen de 12 en 24 uur duurt. Duurt een storing langer, dan komt daar per dag een dag abonnementsgeld bij.
Verder worden organisaties binnen vitale sectoren verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security
Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Tijdige melding maakt een effectievere aanpak van dit soort incidenten mogelijk, met als doel maatschappelijke ontwrichting te voorkomen of te beperken. Dit staat in een wetsvoorstel van staatssecretaris Dijkhoff (Veiligheid en Justitie), dat bij de Tweede Kamer is ingediend. Tot veel discussie leidt de aankomende Wet computer-criminaliteit III, in het bijzonder de nieuwe bevoegdheid van politie en justitie tot een ‘overheidshack’, ongeacht waar het informatiesysteem zich bevindt.
 
B. Toezichthouders
Agentschap Telecom, Autoriteit Consument en Markt, Autoriteit Financiële Markten, Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens), De Nederlandsche Bank en bijvoorbeeld de Kansspelautoriteit zijn toezichthouders in uiteenlopende markten, die gemeen hebben dat ze zich — mede — bemoeien met digitale technologie en gegevensverwerking, cloudcomputing incluis. Naast de verschillende vormen van het houden van toezicht, vervullen ze soms de rol van uitvoerder van wetgeving, zoals Agentschap Telecom doet.
Het juridisch belang van toezichthouders neemt ontegenzeggelijk toe, zowel maatschappijbreed als sectoraal. Dat is gelegen in de omstandigheid dat taken worden uitgebreid — denk aan de Wet meldplicht datalekken voor de Autoriteit Persoonsgegevens — en de uitbreiding van de bevoegdheid tot het opleggen van bestuurlijke boetes. Zo kan de privacytoezichthouder wetsovertreders beboeten met 820.00 euro; een stijging ongeveer 200 procent ten opzichte van de bevoegdheid die voor de jaarwisseling gold.
Maatschappijbreed en sectoraal
In het domein cloudcomputing laat in het bijzonder de privacytoezichthouder van zich horen en zij plaatst het leveringsmodel vanzelfsprekend in het kader van de verwerking van persoonsgegevens. In 2012 zagen de eerste opinies het licht, zowel autonoom als in hoedanigheid van lid van de zogenoemde Artikel 29 werkgroep (de verenigde privacytoezichthouders in Europa). Daarnaast zijn er inmiddels richtsnoeren over de beveiliging van persoonsgegevens en de meldplicht datalekken gepubliceerd, die tevens de inzet van clouddiensten in het hart raken. Verder onderzoekt de Autoriteit Persoonsgegevens concrete toepassingen, zoals de verwerking van gezondheidgegevens.
Hier zien we zowel werkgevers als bijvoorbeeld een producent van sportschoenen onrechtmatig handelen. Zo handelde Nike eind 2015 in strijd met de Wet bescherming persoonsgegevens doordat zij gebruikers onvoldoende informeerde dat via de app gezondheidsgegevens worden verwerkt. Hierdoor was geen sprake van geïnformeerde toestemming. Ook informeerde Nike de gebruikers niet dat de persoonsgegevens worden verwerkt voor analyse- en onderzoeksdoeleinden, bijvoorbeeld door gebruikers op basis van leeftijd, geslacht, ervaring en hardloopniveau in segmenten in te delen en daarvan de gemiddelde prestaties te berekenen.
Een toezichthouder kan ook bijdragen aan marktstimulering van nieuwe ICT-diensten en creëert dus op deze wijze economische waarde voor klant en leverancier. Zo mogen financiële bedrijven sinds 2012 ‘cloudsourcen’ onder de voorwaarde dat De Nederlandsche Bank de mogelijkheid heeft om onderzoek bij de leverancier uit te voeren.
Microsoft was destijds de eerste leverancier die een onderzoeksrecht met de toezichthouder overeenkwam inzake Office 365. De pragmatische insteek van DNB en de bereidheid van Microsoft tot een contractueel ‘right to examine’ in zijn datacenters, betreft een cruciale juridische mijlpaal voor de adoptie van clouddiensten in Nederland en in Europa. De afspraken overstijgen nadrukkelijk de financiële sector en geven voor andere bedrijfstaken en de publieke sector een positief signaal af. Bovendien biedt navolging van het centrale juridische voorschrift dat voor de banken en verzekeringsmaatschappijen geldt, een uitstekend aanknopingspunt voor het scheppen van vertrouwen in cloudcomputing; uitbesteding mag niet tot afbreuk op toezicht leiden.
 
C. Jurisprudentie
Verder ontstaat er rechtspraak over clouddiensten, maar net zoals waarschijnlijk in de meeste rechtsstelsels, blijft de jurisprudentie bij ons vooralsnog schaars. Dat kan — in ieder geval met betrekking tot gevallen van wanprestatie door de leverancier — te maken hebben met de sterke afhankelijkheidssituatie tussen partijen, en mede met complexiteit en inhoud van algemene voor waarden en van service level agreements. We trekken daarnaast een vergelijking met de juridische praktijk ten aanzien van software bugs. Ontelbare fouten in eveneens ontelbare (standaard) computerprogramma’s sinds begin jaren tachtig, hebben zover bekend nergens ter wereld geleid tot een hausse aan aansprakelijkheidsstelling door gebruikers. Van de bescheiden hoeveelheid rechtspraak over cloudcomputing wijzen we op de volgende uitspraken.
 
Inzage clouddata
Een failliete ondernemer mag curatoren bij de uitvoering van hun wettelijke taak niet dwarsbomen, terwijl de cloudleverancier wordt geboden om de bedrijfsgegevens, die in de cloud zijn opgeslagen, te ontsluiten, aldus een kortgeding-vonnis. De leverancier moet de digitale omgeving zodanig herstellen en aan de curatoren via het Citrix-por tal ter beschikking stellen dat deze door middel van ‘alleen lezen’-rechten toegang verkrijgen tot de via een derde bij de provider gehoste concerndata. Voorwaarde is wel dat curatoren de leverancier een redelijke vergoeding voor de werkzaamheden betalen. Hier valt op dat — opnieuw — vonnis is gewezen in een casus, waarin de klant failleert en dus niet de cloudleverancier. Deze omstandigheid stelt faillissementscuratoren in beginsel voor een probleem. Bij de afwikkeling van de boedel, inclusief doorstart van een onderneming, is de bedrijfsinformatie van de failliet cruciaal. Eerder oordeelde overigens dezelfde rechter (in 2012 en dat werd in hoger beroep bevestigd) dat de curator recht heeft op alle administratieve gegevens van de failliet.
Wanneer de cloudleverancier er een ‘digitale schoenendoos met bonnetjes’ van maakt en die aan de curator op een harddisk overhandigt, heeft de leverancier aan zijn wettelijke plicht voldaan. Hij hoeft de gegevens dus niet per se online toegankelijk te maken.
Uit deze jurisprudentie blijkt duidelijk dat de curator telkens bezorgd is dat hij geen toegang tot de bedrijfsinformatie krijgt of dat deze informatie verdwijnt.
 
Webscraping
Een andersoortige casus. PR Aviation exploiteert een website waarop consumenten vluchtgegevens van low-cost luchtvaartmaatschappijen kunnen doorzoeken, prijzen vergelijken en tegen betaling van een provisie een vlucht boeken. De gegevens die nodig zijn om te voldoen aan een individuele zoekopdracht haalt PR Aviation — geheel langs geautomatiseerde weg — onder meer uit een gegevensverzameling, die is gekoppeld aan de ook voor consumenten toegankelijke website van Ryanair. Om toegang te krijgen tot deze site dient de bezoeker de toepasselijkheid van de algemene voorwaarden van Ryanair te aanvaarden door een daartoe strekkend hokje aan te vinken, waardoor onder meer akkoord wordt gegaan met dat de website uitsluitend voor particuliere doeleinden mag worden gebruikt.
De Hoge Raad vraagt zich af of het gebruik van een databank in de zin van de Databankenrichtlijn, die niet door het auteursrecht of sui generis recht (een recht dat speciaal voor en naar aanleiding van een toepassing in het leven is geroepen, red.) wordt beschermd, contractueel mag worden beperkt. Het Hof van Justitie van de Europese Unie beantwoordt die vraag nadrukkelijk positief.
Dit betreft een uiterst belangrijke uitspraak met verregaande gevolgen voor ondernemen in de informatiemaatschappij. Hotels, luchtvaartmaatschappijen, maar ook andere bedrijven, kunnen derden verbieden hun onbeschermde databanken met informatie over — beschikbaarheid en prijzen en voorwaarden — van hun producten en diensten commercieel te gebruiken. Vooraf toestemming vragen is in beginsel noodzakelijk geworden.
 
Verloren gegevens
Nog een uitspraak van gewicht. Een leverancier van een computersysteem, die mede wekelijks onderhoud, beheer en service op afstand op zich heeft genomen, is niet verantwoordelijk voor de gevolgen van de crash van een server waardoor gegevensbestanden van de klant verloren zijn gegaan. Het gerechtshof Amsterdam wees de claim van klant Staalbouw Trappen — dat de leverancier gehouden was te zorgen voor de aanwezigheid van een volledige back-up — af. Staalbouw Trappen slaagde er namelijk niet in te bewijzen dat partijen waren overeengekomen dat de leverancier op eigen initiatief de noodzakelijke backups van alle volledige bestanden van Staalbouw Purmerend zou maken.
Ook verwierp de rechter de goedgevonden stelling dat van een zorgvuldig handelend systeembeheerder ‘mag worden verwacht dat hij zorg draagt voor de aanwezigheid van een volledige backup, althans dat op hem de verantwoordelijkheid rust zich ervan te vergewissen dat de klant zich beseft dat de back-up in eigen beheer zal worden gedaan’. Deze is namelijk te algemeen van aard, oordeelde de rechter.
 
Safe Harbour
Op 6 oktober 2015 haalde het Hof van Justitie van de Europese Unie een streep door het Safe Harbour-verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000, waar ongeveer 4.500 Amerikaanse bedrijven zich bij hebben aangesloten — multinationals, zoals Facebook, Google en Microsoft, en vooral veel kleinere ondernemers. Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen. Goed beschouwd is Safe Harbour dan ook, in ieder geval mede, een handelsverdrag, bedoelt om het grensoverschrijdende zakendoen tussen de beide regio’s makkelijker te maken.
De rechter achtte het door Safe Harbour geboden beschermingsniveau toch van onvoldoende niveau. Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Daarnaast werd duidelijk dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is.Inmiddels ligt er een nieuw verdrag, het US-EU privacyschild.
 
Tot slot
Ook in 2016 blijft het leveringsmodel cloudcomputing deels moeite houden met bestaande juridische normen. Rechtsregels zijn namelijk niet alleen van huis uit geografisch bepaald, maar tevens veelal vastgesteld toen informatieverwerking nog statisch was. We konden letterlijk aanwijzen waar data zich bevond. Verder is bij het leveringsmodel voor digitale technologie en informatievoorziening van invloed dat allerlei aspecten samenlopen. Ook juridisch, zoals rechten op software in het licht van virtualisatie en doorlevering, rechten op gegevens en rechten in relatie tot gegevensverwerking.
Ondertussen blijft vertrouwen in zowel cloudcomputing als haar leveranciers onder druk staan. Geavanceerde computercriminaliteit is aan de orde van de dag, overheden willen toegang hebben tot in de cloud verwerkte gegevens en implementeren in toenemende mate nationale wetgeving op basis van eigen keuzes, leveranciers verklaren ingrijpende privacyvoorwaarden van toepassing op hun diensten, en serieuze aandacht voor juridische vastlegging van kwaliteitswaarborgen en andere zekerheden voor de gebruikers van clouddiensten ontbreken nog altijd.
 
Mr. V.A. de Pous (depous@live.nl) houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie, elektronische gegevensverwerking en de informatiemaatschappij en is werkzaam als strategisch adviseur.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag