Ict-specialisten en hun werkgevers denken niet na over de juridische risico’s die kleven aan het opslaan van data in de cloud. Bedrijven en hun schuldeisers zijn bij faillissement niet meer de baas over hun gegevens. In ict-kringen is ‘de cloud’ een buzzwoord uit de oudheid, maar bestuurders van ondernemingen worstelen dagelijks met de cloud.
In de huidige situatie is bij dataopslag in de cloud faillissementsfraude moeilijk te signaleren door curatoren en het oordeel van onbehoorlijk bestuur ligt op de loer. Kortom: een verandering in houding van ondernemers is noodzakelijk evenals een aangepaste wet voor cloudbeheerders.
Taken bestuurder
Een bestuurder van een onderneming is verplicht om de administratie van de vennootschap zo te voeren dat te allen tijde de rechten en verplichtingen van de vennootschap inzichtelijk kunnen worden gemaakt. Wat als de administratie van de onderneming zich in de cloud bevindt en het computerscherm op zwart gaat? Curatoren staan door de opkomst van cloudcomputing vaak machteloos, omdat zij de beheerder van de data niet kunnen dwingen de data ter beschikking te stellen. Dit is funest voor de (toekomstige) bedrijfsvoering, maar ook voor curatoren die in geval van een faillissement geld voor schuldeisers proberen te verzamelen.
Rechten curator
Bij een faillissement heeft de curator van de wetgever allerlei vergaande rechten gekregen om ervoor te zorgen dat hij zijn taak kan uitvoeren. Zo heeft hij het recht om de volledige administratie, alsmede gegevensdragers waarop zich deze administratie bevindt, in beslag te nemen (Artikel 92 Faillissementswet). Ook heeft een curator toegang tot elke plaats, voor zover dat voor het vervullen van zijn taak nodig is (Artikel 93a Faillissementswet). Vroeger nam de curator wanneer hij binnenkwam bij de gefailleerde gewoon de server mee. Daarnaast nam hij een werkstation mee om er zeker van te zijn dat hij de software had om de gegevens op de server leesbaar en inzichtelijk te maken.
Echter doordat meer en meer bedrijven data tegenwoordig opslaan in de cloud zijn deze rechten niet meer toereikend. Data in de cloud is zonder dat er betaald is voor deze dienst niet toegankelijk. En voor het uitlezen van deze data is vaak specifieke software uit diezelfde cloud nodig. Zonder vergoeding, die in het geval van faillissement moet voortkomen uit de boedel, zijn de diensten van de cloud- en softwareleverancier niet te gebruiken. De Belastingdienst heeft de rechten om gratis toegang tot de cloud op te kunnen eisen.
Risico’s ondernemer
Als de data vaststaat in de cloud kan een curator niet zien of een bestuurder een paar dagen voor het faillissement een dure Ferrari voor één euro heeft verkocht aan een familielid. Faillisementsfraude is dus lastig of niet vast te stellen. Los van de mogelijkheid tot vaststelling van faillisementsfraude, kan ook het oordeel geveld worden van onbehoorlijk bestuur. De bestuurder van een vennootschap is wettelijk verplicht om de administratie van de vennootschap zodanig te voeren dat rechten en verplichtingen van de vennootschap kunnen worden gekend (Artikel 2:10 Burgerlijk wetboek). Zonder toegang tot de administratie te hebben zal de curator mogelijk stellen dat onduidelijk is of helemaal niet aan de administratieverplichting is voldaan. Bij het niet voldoen van de administratieverplichting wordt de conclusie getrokken van onbehoorlijk bestuur (Artikelen 2:138 en 248 Burgerlijk Wetboek).
Omdat onbehoorlijk bestuur door de wet wordt gezien als mogelijk belangrijke oorzaak van het faillissement, wordt de bestuurder aansprakelijk gehouden voor het gehele tekort in het faillissement. Het kan dus voorkomen dat een bestuurder die zijn administratie keurig op orde heeft gehouden in de cloud, na faillissement geconfronteerd wordt met een aansprakelijkstelling omdat de curator geen toegang heeft tot de cloud.
Onbewolkt gebruik maken van de cloud
Om de bovenstaande problemen te voorkomen moeten ten eerste ondernemers en it’ers zelf voordat ze gaan werken in de cloud, vast laten leggen dat ze altijd toegang krijgen tot hun gegevens. Alleen dan komt hun bedrijfsvoering niet in gevaar. Daarnaast moet uiteindelijk de wet worden aangepast, zodat cloudbeheerders gedwongen kunnen worden om data van gefailleerden toegankelijk en leesbaar te maken. Deze verplichting dient te bestaan voor de gehele duur van een faillissement. Het kan namelijk voorkomen dat nader onderzoek in de administratie geïndiceerd is, bijvoorbeeld in het verloop van een procedure tegen een bestuurder.
Een andere oplossing zou kunnen zijn dat de klant van de cloudleverancier van tijd tot tijd een (leesbare) back-up op een fysieke gegevensdrager (bijvoorbeeld een externe harddisk) ontvangt. Dit zal door cloudleveranciers en ict-deskundigen worden gezien als een stap terug naar het stenen tijdperk.
Samen met de ict-branche kunnen andere oplossingen bedacht worden om zeker te stellen dat de klant altijd, dus ook na het niet betalen van de rekeningen alsmede in geval van een faillissement van de cloudleverancier, toegang houdt tot de data in de cloud.
Willem Berendsen, advocaat bij Legal experience Advocaten
Het is correct dat er niets nieuws onder de zon is, maar ga s.v.p. niet voorbij aan het feit dat het oude niet goed gereguleerd is. Ongeacht of het traditionele outsourcing of moderne cloud services betreft; van de wetgever mag verwacht worden dat zij de randvoorwaarden in place brengt die de rechtszekerheid in het economisch verkeer bevorderen. Dat vraagt op gezette tijden enig onderhoud van het juridische stelsel waarbinnen we acteren; en Nederland heeft daarin achterstallig onderhoud opgelopen in vergelijking met bijvoorbeeld Luxemburg (zie mijn eerste reactie). In de huidige situatie kan je perikelen m.b.t. data-ownership alleen voorkomen met fijnslijperij in de contractuele vastlegging tussen cloudafnemer en cloudaanbieder. Door gebrek aan awareness, kennis of tijd wordt daar maar al te vaak aan voorbijgegaan. Vergeet niet dat dit typisch een multidisciplinair vraagstuk is op het grensvlak van ICT en recht; een grensvlak dat (in mijn beleving) te kampen heeft met misinterpretaties, onbegrip en ongeloof tussen disciplines. Bovendien mag (naar mijn stellige overtuiging) van een gemiddelde ondernemer niet verwacht worden dat hij/zij dergelijke risico’s volledig kan overzien en voor iedere clouddeal een jurist inschakelt om tot een netjes afgehechte dienstenovereenkomst te komen. Dat is kostbaar gezien schaarse kennis en het beperkt de handelingssnelheid van de ondernemer. Enfin, alhoewel programmacode en wetsartikelen zoiets moois als het algoritme als overeenkomstige karakteristiek hebben… zijn er nog vele muurtjes te slechten. Wat dat betreft spreken de commentaren op dit artikel boekdelen.
Ik lees in reacties:
“Om een lang verhaal kort te maken, een ondeugdelijk beleid geeft altijd spijt en dat heeft niets met de cloud te maken maar het gemak waarmee verantwoordelijkheid ontlopen kan worden.”
Maar dat heeft weer niets te maken met het artikel dat over Cloud-risicos gaat. En die worden daarin heel mauwgezet 🙂 omschreven. Bijv zelfs als je je hele administratie goed bijhoudt in de Cloud, dan nog kun je juist bij faillissement problemen krijgen. Omdat je er niet bij kan, vanwege onbetaalde rekening of wat voor andere reden dan ook.
Wie gaat de rechter duidelijk maken dat het failliete bedrijf haar zaakjes op orde had, maar nu ff niet bij de data kan want die staat ergens in een een wolk. Dat wordt geloofwaardiger met een paar fysieke servers waarbij men nog een paar wachtwoorden moet opzoeken. Dingen die je ziet zijn nu eenmaal geloofwaardiger, vooral als je het (programma/data/infra) niet helemaal begrijpt.
@Mauwerd
Zoals je weet zie ik de cloud niet als wondermiddel voor alle kwalen, het is een middel wat je met beleid in moet zetten. Administratieve slordigheden of ondeskundigheden komen dan ook voor bij alles onder eigen beheer.