8
Nov
2018

De juridische kant van ‘de Cloud’

Soorten Cloud services

Cloud is een term die voor diverse ICT-diensten wordt gebruikt en welke je in juridisch opzicht alleen kunt gebruiken indien je goed omschrijft wat er met de Cloud wordt bedoeld.

Onder Cloud worden meerdere services verstaan, zoals:

  • Software as a Service (SaaS);

  • Platform as a Service (PaaS);

  • Infrastructure as a Service (IaaS).

SaaS, PaaS en IaaS zijn drie verschillende services. Waarbij je bij SaaS doorgaans het volledige pakket hebt, dus toegang tot software, moet je bij PaaS de software zelf nog regelen en voorziet IaaS enkel in de infrastructuur (denk aan: datacenter, netwerk, opslag, service, virtualisatie).

Maar wat wordt er precies gezien als de infrastructuur-, Platform- en Software as a Service? Worden alle componenten genoemd of geacht aanwezig te zijn? Om verschil in interpretatie te voorkomen is het van belang om altijd te omschrijven wat er wordt verstaan onder IaaS, PaaS, en SaaS.

Type Cloud?

Naast het verschil in wat de Cloud als service inhoudt is er ook nog een verschil in type Clouds. Denk hierbij o.a. aan:

  • Private Cloud

    We spreken van Private Cloud als het een infrastructuur betreft van één organisatie. De betreffende organisatie heeft bij Private Cloud de volledige controle over onder andere de data, beveiliging en kwaliteit.

  • Public Cloud

    We spreken van een Public Cloud als het een infrastructuur betreft ten behoeve van het algemene publiek of grote groepen van organisaties. Organisaties die gebruik maken van de Public Cloud krijgen een voor alle afnemers gelijke functionaliteit geleverd. Je hebt hierbij als organisatie zelf dus geen controle over bijvoorbeeld data, beveiliging en kwaliteit.

  • Community Cloud

    We spreken van een Community Cloud als het een infrastructuur betreft welke wordt gerund voor meerdere organisaties. Meerdere organisaties werken hierbij op dezelfde infrastructuur. Organisaties kunnen hierbij gezamenlijk de controle uitoefenen (over data, beveiliging en kwaliteit). Oftewel gezamenlijk eisen stellen. Om met meerdere organisaties een Community Cloud te starten dienen de eisen wel op één lijn te liggen.

Contractuele aandachtspunten

Cloud contracten zijn vaak complexe en veelomvattende contracten. Een aantal punten die aandacht vragen bij de beoordeling van het contract zijn:

1. Het voorwerp van de overeenkomst

Allereerst is het natuurlijk van belang om duidelijk te hebben om wat voor contract het gaat. Gaat het om een contract voor SaaS, PaaS of IaaS en wat wordt hier precies onder verstaan?

Welke onderdelen worden door de dienstverlener geleverd en welke moet jij zelf nog regelen? En zorgt de dienstverlener ook voor de implementatie?

2. Toegang en beschikbaarheid

Het is van belang dat duidelijke afspraken worden gemaakt over de toegang en de beschikbaarheid van de Cloud dienst. Er dienen maatregelen te worden getroffen om de continuïteit te waarborgen. Afspraken omtrent beschikbaarheid worden vaak vastgelegd in Service Level Agreements (SLA’s). Hierbij is het van belang om duidelijke en meetbare afspraken te maken en een disaster recovery procedure overeen te komen. Denk hierbij aan afspraken omtrent back-ups (hoe vaak), minimum beschikbaarheid, percentage et cetera.

3. Eigendom van de data

‘’Eigendom van de data‘’ is iets wat je in veel Cloud contracten terug ziet komen. Uiteraard is het belangrijk om te regelen wat de dienstverlener wel en niet mag doen met de door jou ingevoerde data. Digitale data wordt echter (nog niet) gezien als zaak en zodoende kan iemand hier dus geen eigenaar van zijn. Je dient dus overeen te komen met de dienstverlener wat zij wel en niet met de data mogen doen. Denk daarbij ook aan teruggave van data bij einde van het contract.

Let op: de curator is aan deze afspraken niet gebonden. Zie hiervoor ook punt 6.

4. Privacy/security

Een Cloud dienstverlener kan (doorgaans) worden gezien als Verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). Het is dus van belang om een verwerkersovereenkomst met de dienstverlener te sluiten.

5. Opschorting

In veel Cloud contracten komen we een opschortingsbeding tegen. Bijvoorbeeld de mogelijkheid tot opschorting van de diensten indien de gebruiker van de Cloud diensten niet (op tijd) betaald. Opschorting is echter niet altijd mogelijk en dit wordt ook niet altijd door de rechter gehonoreerd. Ook als klant zit je niet te wachten op opschorting van je (bedrijfskritische) Cloud diensten. Een mogelijkheid voor de dienstverlener om in zo’n geval de gebruiker toch tot betaling te bewegen is het terugschroeven van de Service Levels.

6. Faillissement

Bij faillissement van de Cloud dienstverlener ben je als gebruiker aangewezen op de curator. Zoals bij punt 3 al kort genoemd is de curator niet gehouden aan de afspraken die jij met de dienstverlener hebt gemaakt omtrent bijvoorbeeld teruggave van de digitale data. Maar naast teruggave van de data is ook continuïteit van je (bedrijfskritische) applicaties van belang. Om zeker te zijn van continuïteit en daarmee ook je data kan een escrowregeling worden overeengekomen met de dienstverlener.

Een aanvulling op de escrowregeling m.b.t. Cloud diensten, waarbij hosting tevens door de dienstverlener wordt verzorgd, is het “financieel garantiesysteem’’ ontwikkeld door Software Borg. Dit systeem is gebaseerd op de notariële akte waarbij maximale zekerheid ten opzichte van de hostingprovider verkregen kan worden tegen de kosten van een notariële akte.

7. Exit-scenario

Het is, om onder andere een vendor lock-in te voorkomen, van belang om vooraf een exit scenario overeen te komen. In een exit-scenario spreek je met de dienstverlener af dat zij de verplichting hebben om mee te werken aan de overdracht van de dienstverlening naar een opvolgende dienstverlener. Ook afspraken als het format waarin de data wordt overgedragen, de termijn en de kosten welke aan deze medewerking en overdracht verbonden zijn, dienen te worden overeengekomen.

 

Bovenstaande lijst van aandachtspunten is niet uitputtend. Mocht je overwegen om over te gaan naar de Cloud, van Cloud dienstverlener te switchen, wil je een kritische blik op (onderdelen) van de huidige overeenkomsten of meer informatie over escrow dan kun je uiteraard contact met ons opnemen.