Er zijn al veel artikelen over cloud computing geschreven en veel over outsourcing, maar tot nu toe is één onderwerp relatief onderbelicht gebleven, namelijk dat van de juridische bijkomstigheden van cloud computing outsourcing.
Enkele algemeen juridische aspecten werden geblogd door Walter van Holst en recent hebben Jeroen van der Lee en ik er in algemene zin over gesproken op een NGI/NvvIR/NVBI symposium. Maar tot nu toe heb ik weinig gezien over de juridische consequenties van cloud computing in een outsourcingssituatie.
Wat is daar voor bijzonders aan? Is cloud computing niet hetzelfde als SaaS, ASP of utility computing? En weten we al niet genoeg van de juridische aspecten van die soorten dienstverlening? Ja en nee. Als een blinde aan de staart van een olifant voelt, zal hij zich een ander beeld van die olifant vormen dan wanneer hij aan zijn poot voelt. Zo is het ook met cloud computing. De juridische consequenties zijn verschillend en afhankelijk van welk aspect van de dienst je bekijkt.
Cloud computing wordt op verschillende niveaus aan verschillende soorten klanten aangeboden. Een onderliggende laag, ‘ict-niveau', levert de ict-infrastructuur: ‘infrastructure as a service'. Een laag daarboven kan op ontwikkelingsniveau worden aangeboden: ‘platform as a service'. Daar weer bovenop kan het op gebruikersniveau worden aangeboden: ‘software as a service'. Op het bovenste niveau is er aanzienlijke overlap tussen cloud computing en SaaS, maar die overlap verdwijnt op de onderliggende niveaus. Elk van de niveaus kan dienen als platform voor outsourcing. Ik wil mij nu richten op de situatie waarin een klant zijn ict-infrastructuur uitbesteedt naar een cloud provider.
Waar moet een uitbestedende partij op letten bij het afsluiten van een cloud computing-contract? Ik denk op zijn minst, er zijn er ongetwijfeld meer, aan drie woorden: beveiliging, opschortingsrecht en compliance.
Wat veiligheid betreft, moet de uitbestedende partij bekijken wat voor maatregelen de provider heeft getroffen om zijn data te beschermen tegen beschadiging en hoe het gescheiden gehouden wordt van andere gebruikers. Dit is het onderwerp dat, wanneer er in de cloud iets misgaat (wat in de afgelopen paar jaren inderdaad voorgekomen is), de aandacht van de media krijgt. De klant zou moeten kunnen achterhalen wat voor back-upsystemen de provider te bieden heeft, welke oplossingen er geboden worden in geval van dataverlies, welke voorzieningen er zijn voor dataherstel, hoeveel tijd dat herstel in beslag zou nemen, hoe vaak het proces wordt getest, etc.
Opschortingsrecht is een wettelijke voorziening die, tenzij partijen anders overeenkomen, de provider toestaat om zijn dienstverlening stop te zetten en data vast te houden totdat de gebruiker naar tevredenheid aan (betaal)verplichtingen heeft voldaan. In outsourcingssituaties kan het uitoefenen van dat recht de bedrijfsvoering van de outsourcer stopzetten. Het is dus voor de klant van belang om een regeling te treffen met de provider, waarbij oog is voor de eventuele gevolgen (en oplossingen) in geval van een geschil in een later stadium.
Bij compliance spelen meerdere aspecten een rol, zoals privacy, financiële regelingen en licenties. De regelgeving rondom privacy in Nederland en elders in Europa is behoorlijk streng. Een van de voorschriften is dat persoonlijke gegevens niet verwerkt mogen worden buiten de Europese Economische Ruimte (EER) zonder toestemming van het Ministerie van Justitie. Echter, juist een van de kenmerken van cloud computing is dat, door middel van virtualisatie, de klant niet per se weet van welke fysieke servers de provider gebruik maakt bij zijn dienstverlening. Als de servers toevallig buiten de EER staan, zou de klant onbewust in overtreding van de privacyregelgeving kunnen zijn.
Vergelijkbaar is dat de financiële toezichthouder wettelijk is toegestaan informatie van klanten op te vragen aangaande beveiligingsmaatregelen en audit-voorzieningen en de verdeling van verantwoordelijkheden binnen een outsourcingsverband. Met dit soort regelingen wordt vaak geen rekening gehouden in de algemene voorwaarden van de providers. Het is aan de gebruikers om zich ervan te verzekeren dat de provider hen ook in staat kan stellen hun financiële verplichtingen na te komen.
Tenslotte moet de klant zich ook op het gebied van licenties aan de regels kunnen houden. Dat is nog een hele uitdaging, omdat de voorwaarden van standaard softwarelicenties (gebaseerd op CPU's bijvoorbeeld of op sites of gebruikersaantallen) niet meer toepasbaar zijn in een cloud. Dit betekent dat de klant, provider en licentiehouder van de software nieuwe afspraken moeten vastleggen waarmee elke partij beschermd wordt en van de geboden diensten gebruik gemaakt kan worden zonder overtredingen te begaan.
Door de hype rondom cloud computing worden sommige basisbeginselen makkelijk over het hoofd gezien. De kwesties die hier worden aangesneden zijn niet nieuw, ze staan slechts in een nieuwe context. Tijd en ervaring kunnen ons helpen de antwoorden te vinden, maar daarom moeten eerst wel de vragen worden gesteld.
Cloud Computing betekent – in mijn opinie – op zichzelf niets anders, dan dat je als aanbieder zorgt, dat de beschikbaarheid van applicaties en data gewaarborgd is door niet ??n server, maar meerdere constant met elkaar synchroniserende servers in te zetten. Wat dat met minder transparantie en grotere risico’s voor de gebruiker te maken heeft in juridische zin ontgaat mij. Volgens mij zijn de forse investeringen die hiermee worden gedaan door de leverancier voor de klant UITSLUITEND pure winst. Niet voor niets is Google’s imapserver tientallen malen beter beschikbaar dan die van Microsoft via Exchange op locatie.
Ik kan het mis hebben, maar ik denk, dat het de gemiddelde klant worst zal zijn, waar welke server zich bevindt. Als zijn applicaties en data maar beschikbaar zijn en de veiligheid wordt gegarandeerd door de leverancier. Persoonlijk denk ik, dat die dat zelfs heel wat beter kan garanderen in een perfect beveiligd datacenter met servers, dan ergens bij een klant op locatie.
…”Ik kan het mis hebben, maar ik denk, dat het de gemiddelde klant worst zal zijn, waar welke server zich bevindt. Als zijn applicaties en data maar beschikbaar zijn en de veiligheid wordt gegarandeerd door de leverancier.”…
Ik denk dat je wel gelijk hebt dat het de gemiddelde klant niet zal uitmaken. Maar dat is natuurlijk wel een beetje struisvogelpolitiek. De klant blijft wel verantwoordelijk voor het naleven van de relevante regelgeving. En ik voorzie net als de auteur lastige (juridische) knelpunten.
Ik denk dat de juridische aspecten nogal onderschat worden. Neem bijvoorbeeld het feit dat inderdaad persoonsgegevens niet buiten de EU bewaard mogen worden. Hoeveel outsourcende partijen zullen daar aan denken? (ok, met uitzondering van de grotere bedrijven). Juist de kleinere ondernemingen met kleine ICT budgetten zullen gebruik maken van applicaties en data in de cloud, en laat dat nu net ook die doelgroep zijn die niet standaard beschikt over een eigen juridische afdeling.