Wij hebben weer eens een lekker praktisch en theoretisch dagje doorgemaakt: Cloud contracten voor juristen. Los van de techniek. Geen PaaS, SaaS, IaaS of welke door DwaaS bedachte techniek. Nee; afgelopen week kregen juristen van ondernemingen en advocaten achtergrondinformatie hoe je cloud-outsourced.
Alle bekende argumenten komen voor op de powerpoints: data in binnen- of buitenland. Meekijken van andere landen in jouw data. Bescherming van persoonsgegevens. Hoe krijg je intellectual property terug bij uitval van een cloudsourcing partij. Daar kwamen geen nieuwe zorgen bij. Een prettige gedachte: alle zorgen zijn inzichtelijk.
Vanuit één van Nederlands grootste advocaten kantoren kwam een uitspraak waar wij als Nederlandse lokale spelers blij van mogen worden. De Patriot Act moet je toepassen. Dan niet de VS variant, maar de dagelijkse uitvoer hiervan: acteer met vaderlandsliefde. Immers: Vaderlandsliefde (ook wel patriottisme) is een gevoel van trots voor (bepaalde aspecten van) het land van herkomst of (mocht er emigratie plaatsvinden) land waarin een persoon woonachtig is. Vaderlandsliefde wordt in de regel niet als negatief ervaren. Zo staat het omschreven op Wikipedia.
Waarom vaderlandslievend acteren. Niet vanuit een over-ontwikkeld gevoel van trots, al ben ik van mening dat de democratische vrijheid in Nederland een vrijheid is die gekoesterd mag worden. Neen, vanuit een simpel zakelijk en juridisch oogpunt. Cloud wordt door een jurist gezien als outsourcing. Dit is niet iets nieuws, bestaat al jaren. Ik maak zelfs al tikfouten als oudsoucing..
Kenmerk van outsourcing is het afstemmen van de dienstverlening. Deze afstemming doe je niet alleen in techniek, servicetijden en vormen. Onderliggend aan de samenwerking is de juridische afstemming tussen beide partijen. En hier komt mijn hosanna deel: het gegeven advies, collectief door alle sessies heen, act local! Stem de dienstverlening af met een lokale it-speler die past bij je organisatie. De grote cloud-leveranciers, zijn zeer sterk in gestandaardiseerde diensten en dito voorwaarden. Afwijken van de standaard voorwaarden is niet mogelijk. Tenminste, als je minder dan zo’n duizend+-werkplekken hebt. Nu ken ik niet alle organisaties in Nederland. Wel weet ik dat het merendeel van de Nederlandse bedrijven en organisaties kleiner zijn dan de magische duizend+-werkplekken.
De achterliggende gedachte is eenvoudig: stem je voorwaarden af met je leverancier. Ga met de beoogde leverancier om de tafel. Je kocht die ouderwetse infrastructuur toch ook niet na de eerste offerte? En: je onderhandelt beter met lokale spelers dan met grote internationale spelers. Een voordeel is dat je risico’s beter kan verdelen,dat je weet met wie je zaken doet en dat je de bedrijfsdata kan aanraken als je dat wenst. Dit is hét argument voor ons maar ook voor alle andere Nederlandse cloud-aanbieders. Gebouwd in onze eigen polders, onder het Nederlandse recht, afgestemd op voorwaarden van de Nederlandse klanten.
Krijgt M.Rutte te D.H. toch nog zijn zin: ‘koop die auto, ga verhuizen’. En nu nog: gebruik die mooie Hollandse cloud.
Leuk geschreven! en ook waar. Door je data in NL of op z’n minst op EU bodem op te slaan voorkom je een hoop incompatibele juridische en veiligheidseisen. De privacy- en databescherming (wetgeving) is in de EU al deels geharmoniseerd in het ’95 Directief, en er is een nieuwe Regulatie in de maak.
Jeroen,
Betreffende de ‘Hollandse wolken’ ben ik heel benieuwd naar het verhaal achter MegaUpload en Leaseweb. Vooral de volgende uitspraken vind ik intrigerend:
1. Data ís niets, juridisch gezien. Niet in de VS en niet bij ons.
2. “destruction of evidence” is alleen strafbaar als gepleegd door of op initiatief van een partij bij de rechtszaak.
Nu zal ik wat recht is wel krom lullen maar argumentatie dat data gewist is omdat de rekening niet betaald werd heeft natuurlijk wel een achtergrond. Zo hadden we tenslotte al een soortgelijk incident waar ook de kasstroom geblokkeerd werd vanuit een partij in het conflict.
Eerder had Reza hier trouwens ook een interessant stuk over:
https://www.computable.nl/artikel/opinie/cloud_computing/4573553/2333364/klant-kan-gevaar-zijn-voor-cloudleverancier.html
Geweldig dat dit uit een juridische koker komt. Ik vraag me namelijk wel even af wie ‘Eigenaar’ financieel en juridisch is als gesteld wordt dat data juridisch ‘Niets’ is. Prachtig. Ik duik vandaag nog in dat gat. Ik ga pretenderen diensten te kunnen leveren voor bedrijven -500.
Ik ben dan in één klap binnen. Ik ga een jaar cashen, ga een technische loop opzetten en na een jaar ga ik op de kaymans zitten. Geen uitleveringsverdrag met Nederland en bereikbare landen om op vakantie te gaan waar Nederland geen uitleverings verzoek mee heeft. Wat een zalige gedachte. Ik word op slag witteboord crimineel. Want ik ga wel een pak dragen natuurlijk.
Heb ik een conflict, huur ik meteen Jeroen in. Contracten laat ik door Jeroen opstellen want die weet vast wel in de kleine lettertjes te verwoorden…. ‘Dat is pech, je data is weg’… en ‘klop niet aan mijn poort als je niets meer van je data hoort…’
Maar de klap op de vuurpijl is dan waarschijnlijk wel een ander argument. Als data niets is, dan MAG er met die data van alles gebeuren. Geen enkele rechter die een provider van cloud iets kan maken. De klant betaald namelijk voor ‘Niets’ en ‘Niets’ kan paradoxaal niet als ‘Iets’ worden gekwantificeerd of als betaalbaar en dus te kwantificeren schadepost voor de leverancier van die data.
Ik zie het voor mij. De bankenwereld is uit de problemen en zoals Jeroen het verwoord, ‘Rutte is Gered!’ Banken en verzekeraars in Nederland kunnen weer koppeplroducten aanbieden aan cloudklanten met krankzinnige boetecluasules wanneer je er vanaf wilt. De dienstenafnemers hebben geen moer te vertellen want als je ‘Niets’ geeft, kun je ‘Niets’ ook niet kwijt raken. Dijsselbloem en Weekers heffen met bulderend gelach over elke euro drie tot vier maal BTW, bedenken dan een leuk trucje om hoogstens twee maal BTW terug te hoeven storten en kassa.
IT tekorten? Hebben we niet meer. Al die grote en kleine cloudleveranciers moeten aan de bak. En snel ook. Data centers moeten er worden geplaatst in vooral leegstaande kantoorpanden. Verhip, lossen we daar en passant ook nog even een probleem op.
U leest het goed. Met ‘Niets’ hebben we meteen de crisis in Nederland beslecht…… Jeroen…. Hulde…. je bent geweldig.
Jeroen,
Het is een tijd geleden!
Ik heb altijd in mijn reacties op cloudartikelen gezegd dat ik als een klein bedrijf met 250 gebruikers niet interessant ben voor grote spelers zoals Google, MS etc. Hierdoor moet ik me aanpassen aan hun regels en sla! Juist kiezen voor een locale aanbieder zou interessanter voor me zijn. Maar de vraag is of deze kleine jongens gebaseerd op hun oplossing, prijs en mogelijkheden met die grote spelers concurreren kunnen of moet ik juist hierom weer bij die grote spelers aankloppen! En ook de vraag of de business van locale spelers sterk genoeg is met voldoende middelen en geld zodat ik beschermd word tegen hun faillissement (dank Ewout)?
hoezo data is “niets” juridisch gezien. Het ligt wel iets genuanceerder dan dat. Het is geen fysiek goed, niet tastbaar. Maar er bestaan ook zaken als het auteursrecht en het intellectueel eigendomsrecht en wanneer de data NAW gegevens bevat ook nog zaken als de wet bescherming persoonsgegevens. Jeroen maakt een goede case dat je wanneer je gebruik maakt van Nederlandse cloud aanbieders in elk geval niet te maken krijgt met wetten van andere landen die een andere kijk op die data hebben en die geschillen over wat er wel/niet met die data mag gebeuren enorm kunnen compliceren, vaak in het nadeel van de afnemer van de cloud dienst.
alleen jammer dat hij met woorden als DwaaS zo’n negatieve insteek kiest.
Lekker dik aangezet artikel. Daar hou ik van.
En ook ben ik voor het gebruik van een NL / EU cloud. De amerikanen geven ons genoeg kansen gezien de laatste ontwikkelingen mbt Prism.
Toch wil ik een paar kanttekeningen plaatsen.
– Microsoft heeft ook een datacenter in Nederland, dus qua compliance en wetgeving is het echt niet moeilijk om data in NL te stallen bij MS en zorgen dat het daar ook niet uit verdwijnt (in theorie natuurlijk, want wie weet hoe wel getapt worden). Amazon heeft een datacenter in Ierland. Geen NL, maar wel EU.
– Als je kijkt naar de prijs en functionaliteit die VS aanbieders doen staat dat in schril contrast met wat er bij NL aanbieders mogelijk is. Datacenter / Bandbreedte / IaaS kunnen we hier ook wel, maar bijvoorbeeld voor de generieke Saas stack is er geen vergelijkbaar aanbod. Tel daarbij de security measures, prijs, beschikbaarheid and track record op en dan is een chauvinistische keuze wel een met serieuze overwegingen.
– SLA’s zijn ondergeschikt en in mijn ogen niet interessant. Deze geven geen enkele zekerheid en behouden je niet voor als dingen echt fout gaan. Dus dat je daarover weinig onderhandelingspositie hebt is dus ook meteen minder interessant. Natuurlijk is een goede boeteclausule een stok achter de deur, maar volgens mij niet meer dan dat.
Ik besef dat dit wel kort door de bocht is, maar wel om een tegengeluid te geven.
Wat ik wel steeds meer zie is dat dienstverleners VS of open source producten zelf hosten (bij een derde partij/datacenter) en hier dan hele goede dienstverlening op doen. Alleen, hiermee maak je niet snel echt een verschil van anders werken. Het lijkt wat meer op traditioneel outsourcen.
Het zou fijn zijn als we in NL / EU wat meer gaan denken in schaal, eigen producten gaan ontwikkelen die ook doen wat VS producten doen. Meer selfservice en complexe zaken simpel maken.
We are chasing taillights…
Ben S.
Je nuancering is terecht maar ook opmerkelijk omdat beide genoemde rechten tenslotte geleid hebben tot de case MegaUpload. Saillant detail is nu dat we geen mogelijkheid meer hebben om te controleren of inderdaad alle data die genoemde rechten ook daadwerkelijk schondt.
Ondertussen heeft Obama, in navolging van een rapport en wetgeving over verlies aan intellectueel eigendom nu ook de oorlog verklaard aan patent trollen want het blijkt dat 70 tot 90% actief zijn op het gebied van software.
Het is leuk dat Jeroen refereert aan ‘Vergaan Onder Corruptie (VOC) is leuk maar ik denk niet dat we zitten te wachten op factorijen. En voor wie de zin nog kent: “Ik ben makelaar in koffie, en woon op de Lauriergracht nummer37”
Evert, Ben,
Dank voor de positieve reactie. Ben, dwaas is luchtig bedoeld. De algemene schrijfstijl is wat luchtig. Er wordt veel aangeboden in het @ as a service land.
Ewout,
Wellicht dat in een specifieke situatie data gezien wordt als niets / niks / nada. Ik kan mij niet voorstellen dat een ondernemer zijn data set ziet als een set zonder waarde. Het is in puristische benadering juist dat data zicht omtovert naar informatie als er context aan ontleend wordt. Om het als vertrekpunt als waardeloos te zien, gaat mij een brug te ver. De verwijzing die jij maakt naar MegaUpload en Leaseweb ken ik niet de inhoudelijke details. Wat er publiekelijk bekend is, is dat MegaUpload gebruikt maakt(e) van 630 servers (bron webwereld). Gedurende een jaar is er geen betaling geweest voor het gebruik van deze dienst. Als ik de uitleg van de security officer van Leaseweb lees lijkt het mij een wel overwogen besluit en geen opwelling. Zeker als je dit plaatst tegen de achtergrond van de uitspraak Kantonrechter Rotterdam 8 mei 2012 (BW5386). De kern van de uitspraak is dat je de dienstverlening niet meteen mag opschorten bij het niet betalen van facturen.
Anders dan bij een faillissement kan de curator vragen de dienstverlening door te laten gaan, maar wel een vergoeding te vragen. En ja, dan gaat je exit strategie gelden. Een conclusie van Bird & Bird op dit evenement was dat je in geval van een faillissement snel moet handelen of een grote zak geld moet meebrengen.
Rene (NumQuest),
Ik begrijp jouw business model en verdien model. Kan je daar niet mee helpen anders dan meegeven: don’t quit your day job. Jouw bestemming De Kaayman kan snel veranderen in: Bekaaid-man..
Reza,
Idd, time flies. Wij zitten op één lijn wat betreft beoordelen van dienstverleners. En ja, de grote spelers zijn veelal kapitaalkrachtiger dan kleinere spelers. Er zijn veel factoren die een keuze van dienstverlener beïnvloeden. Mijn advies: alles van niet onderscheidend is in je bedrijfsvoering kan je betrekkelijk eenvoudig daar plaatsen waar je de beste prijs / garantie krijgt. Dan is de verhouding in service / contracten anders dan wanneer het strategische data betreft. Met dit deel zou je als organisatie meer grip willen hebben in de afstemming van dienstverlening. En ja, dat kan dus eenvoudiger met een lokale speler van gelijke omvang. En dan kom je weer terug bij de eerste stelling: hoe solvabel is een leverancier. Dat is bij een lokale onderneming beter te toetsen dan bij een zeer grote speler. Het ondernemersrisico blijft een kwestie van afwegen: welke risico blijft er over en welke tegenmaatregelen zijn er.
Henri,
Je merkt dat de markt in de VS en de UK een mooie voorsprong heeft in adoptie van @aas diensten en daarmee ook een deel ontwikkeling. Daar zijn wij het roerend met elkaar eens. Ik verschil van mening dat de SLA ondergeschikt is. Mijn betoog is dat je de inhoud van de overeenkomst onderhandelbaar moet zijn. Zeker voor die delen van IT voorziening die van strategisch belang zijn voor een organisatie. De SLA is een onderdeel van de overeenkomst. Juist dit onderhandelbaar zijn van de overeenkomst kan in het voordeel zijn van de afnemer. Risico’s kunnen beter gedeeld worden. En dat wordt ook gepredikt door ’s lands grote advocatenkantoren. Dit is los van de techniek / volwassenheid van de eventuele cloudportal.
@Henri
Alle Amerikaanse bedrijven vallen automatisch onder de Patriot Act, ongeacht waar de data staat.
Dit is precies waar het juridische touwtrekken begint..
– Data in NL/EU mag niet zonder meer opgevraagd worden door andere landen.
– Alle Data die in de VS staat of bij een Amerikaans bedrijf moet zonder tussenkomst van een rechter opvraagbaar zijn door de VS (deel vd Patriot Act)