Ict-specialisten en hun werkgevers denken niet na over de juridische risico’s die kleven aan het opslaan van data in de cloud. Bedrijven en hun schuldeisers zijn bij faillissement niet meer de baas over hun gegevens. In ict-kringen is ‘de cloud’ een buzzwoord uit de oudheid, maar bestuurders van ondernemingen worstelen dagelijks met de cloud.
In de huidige situatie is bij dataopslag in de cloud faillissementsfraude moeilijk te signaleren door curatoren en het oordeel van onbehoorlijk bestuur ligt op de loer. Kortom: een verandering in houding van ondernemers is noodzakelijk evenals een aangepaste wet voor cloudbeheerders.
Taken bestuurder
Een bestuurder van een onderneming is verplicht om de administratie van de vennootschap zo te voeren dat te allen tijde de rechten en verplichtingen van de vennootschap inzichtelijk kunnen worden gemaakt. Wat als de administratie van de onderneming zich in de cloud bevindt en het computerscherm op zwart gaat? Curatoren staan door de opkomst van cloudcomputing vaak machteloos, omdat zij de beheerder van de data niet kunnen dwingen de data ter beschikking te stellen. Dit is funest voor de (toekomstige) bedrijfsvoering, maar ook voor curatoren die in geval van een faillissement geld voor schuldeisers proberen te verzamelen.
Rechten curator
Bij een faillissement heeft de curator van de wetgever allerlei vergaande rechten gekregen om ervoor te zorgen dat hij zijn taak kan uitvoeren. Zo heeft hij het recht om de volledige administratie, alsmede gegevensdragers waarop zich deze administratie bevindt, in beslag te nemen (Artikel 92 Faillissementswet). Ook heeft een curator toegang tot elke plaats, voor zover dat voor het vervullen van zijn taak nodig is (Artikel 93a Faillissementswet). Vroeger nam de curator wanneer hij binnenkwam bij de gefailleerde gewoon de server mee. Daarnaast nam hij een werkstation mee om er zeker van te zijn dat hij de software had om de gegevens op de server leesbaar en inzichtelijk te maken.
Echter doordat meer en meer bedrijven data tegenwoordig opslaan in de cloud zijn deze rechten niet meer toereikend. Data in de cloud is zonder dat er betaald is voor deze dienst niet toegankelijk. En voor het uitlezen van deze data is vaak specifieke software uit diezelfde cloud nodig. Zonder vergoeding, die in het geval van faillissement moet voortkomen uit de boedel, zijn de diensten van de cloud- en softwareleverancier niet te gebruiken. De Belastingdienst heeft de rechten om gratis toegang tot de cloud op te kunnen eisen.
Risico’s ondernemer
Als de data vaststaat in de cloud kan een curator niet zien of een bestuurder een paar dagen voor het faillissement een dure Ferrari voor één euro heeft verkocht aan een familielid. Faillisementsfraude is dus lastig of niet vast te stellen. Los van de mogelijkheid tot vaststelling van faillisementsfraude, kan ook het oordeel geveld worden van onbehoorlijk bestuur. De bestuurder van een vennootschap is wettelijk verplicht om de administratie van de vennootschap zodanig te voeren dat rechten en verplichtingen van de vennootschap kunnen worden gekend (Artikel 2:10 Burgerlijk wetboek). Zonder toegang tot de administratie te hebben zal de curator mogelijk stellen dat onduidelijk is of helemaal niet aan de administratieverplichting is voldaan. Bij het niet voldoen van de administratieverplichting wordt de conclusie getrokken van onbehoorlijk bestuur (Artikelen 2:138 en 248 Burgerlijk Wetboek).
Omdat onbehoorlijk bestuur door de wet wordt gezien als mogelijk belangrijke oorzaak van het faillissement, wordt de bestuurder aansprakelijk gehouden voor het gehele tekort in het faillissement. Het kan dus voorkomen dat een bestuurder die zijn administratie keurig op orde heeft gehouden in de cloud, na faillissement geconfronteerd wordt met een aansprakelijkstelling omdat de curator geen toegang heeft tot de cloud.
Onbewolkt gebruik maken van de cloud
Om de bovenstaande problemen te voorkomen moeten ten eerste ondernemers en it’ers zelf voordat ze gaan werken in de cloud, vast laten leggen dat ze altijd toegang krijgen tot hun gegevens. Alleen dan komt hun bedrijfsvoering niet in gevaar. Daarnaast moet uiteindelijk de wet worden aangepast, zodat cloudbeheerders gedwongen kunnen worden om data van gefailleerden toegankelijk en leesbaar te maken. Deze verplichting dient te bestaan voor de gehele duur van een faillissement. Het kan namelijk voorkomen dat nader onderzoek in de administratie geïndiceerd is, bijvoorbeeld in het verloop van een procedure tegen een bestuurder.
Een andere oplossing zou kunnen zijn dat de klant van de cloudleverancier van tijd tot tijd een (leesbare) back-up op een fysieke gegevensdrager (bijvoorbeeld een externe harddisk) ontvangt. Dit zal door cloudleveranciers en ict-deskundigen worden gezien als een stap terug naar het stenen tijdperk.
Samen met de ict-branche kunnen andere oplossingen bedacht worden om zeker te stellen dat de klant altijd, dus ook na het niet betalen van de rekeningen alsmede in geval van een faillissement van de cloudleverancier, toegang houdt tot de data in de cloud.
Willem Berendsen, advocaat bij Legal experience Advocaten
Wellicht kan de Nederlandse wetgever m.b.t. de informatiepositie van de ondernemer leren van onlangs aangenomen wetgeving in Luxemburg (zie link). Helaas zal de informatiepositie van curatoren hiermee nog niet gediend zijn, maar het is een goede eerste stap. Beter goed gejat, dan slecht verzonnen… want Nederlandse beleidsmakers/wetgevingsjuristen moeten écht tempo maken met passende cloudwetgeving. De huidige situatie kan het ondernemerschap van entiteiten in Nederland onbedoeld remmen. Er is geen tijd voor een jarenlang durend wetgevingstraject. Zie: http://www.molitorlegal.lu/news/new-luxembourg-law-right-claim-back-data-bankrupt-it-and-cloud-services-providers-0
Geen speld tussen te krijgen. Iets wat ik dus veelvuldig naar voren breng naar de dames en heren ‘cloudwhisperers’ die er telkens weer ‘lichtzinnig’ om heen dansen maar zich verder vrijwel niet in de juridische aspecten hebben verdiept van hun dienstverlening.
Je hebt op die manier nog veel meer juridische haken en ogen. Wat dacht u van overlijden of contracten die door een afnemenr niet worden nagekomen? Ik kan er zo maar nog een paar scenario’s bedenken waar cloud plots ‘one big dark room’ zal worden.
Zoals ik vaker in mijn reacties naar voren heb gebracht, heb ik heden ten dage nog steeds geen enkel juridisch sluiten akte, overeenkomst of document van een cloud leveancier gezien om gewoon juridisch te kunnen toetsen en eventueel te challengen waar de gaten zich bevinden.
Dat die gaten er zijn, dat moge nu toch wel eens duidelijk zijn, me dunkt.
Neem daarbij ook nog de gelaagdheid van een cloud-stack, welke bijvoorbeeld versnipperd kan zijn over entiteiten in verschillende jurisdicties (denk aan een Amerikaanse SaaS die onderliggend een Franse PaaS hanteert, welke op haar beurt onderliggend een Nederlandse Iaas benut) en je komt in een speelveld dat eigenlijk om internationaal geharmoniseerde wetgeving vraagt (zoals met alles dat het internet en internationale handel raakt). Overigens zie ik een parallel met informatieverplichtingen die in de voedselketen bestaan. Hier valt dus over sectoren heen wat van elkaar te leren. Leuke tijd met complexe vraagstukken. Neemt niet weg dat cloud ontzettend veel voordelen kan bieden; die de moeite waard zijn om te exploreren. Mijn advies: rationaliseer je besluitvorming, borg die contracten en sla’s in de keten over de gehele lifecycle… dus inclusief een onverhoopt sudden death senario van betrokken partijen.
In plaats van “cloud hangt als donkere wolk boven BV Nederland” had de titel beter kunnen luiden “cloud hangt als donkere wolk boven curatoren”. En biedt ook kansen, zoals het wegsluizen van bezittingen voordat de belastingdienst langskomt.
En wetgeving is heel leuk, maar als de cloudleverancier in het buitenland zit kun je daar weinig mee.
Leuk om weer terug te gaan naar een oude discussie:
https://www.computable.nl/artikel/opinie/cloud_computing/4573553/2333364/klant-kan-gevaar-zijn-voor-cloudleverancier.html
Misschien ter aanvulling van dit artikel, dit onderwerp is al in dit artikel en de reacties besproken.
Sommigen zeiden vroeger op school al dat de hond hun huiswerk opgegeten had terwijl ze niet eens een hond hadden, de cloud als excuus voor een slechte financiele administratie is leuk gevonden maar onzin. Faillisementsfraudes zijn dan ook niet zo zeer aan de cloud gebonden (€10 miljard in 2010) maar meer aan bestuurders die het niet zo nauw nemen met de regels.
Een SaaS oplossing kan dus juist helpen om een ondeugelijke administratie te verbeteren, lekker makkelijk ook om deze te controleren;-)
Nadeel is wel de ‘online afhankelijkheid’ welke je krijgt als je geen fallback hebt en een back-up medium zonder systeem is zinloos. Misschien dat papier nog een herintreding gaat maken want dat is eeuwen een uiterst betrouwbaar medium gebleken. Papieren afschriften bij het op zwart gaan van IceSave zal menigeen dan ook gemist hebben. Op papier vast laten leggen om altijd toegang tot je data te krijgen is echter een zekerheid tot aan de voordeur als leverancier A de data uiteindelijk weer onderbrengt bij leverancier B.
Om een lang verhaal kort te maken, een ondeugdelijk beleid geeft altijd spijt en dat heeft niets met de cloud te maken maar het gemak waarmee verantwoordelijkheid ontlopen kan worden.
er wordt vast weer veel te FUD naar boven gekeken. Henri, laat ons s.v.p. weten waarom 🙂
Mauwerd, omdat je het zo lief “vraagt”.
Ewout says it all. Het is niet specifiek iets voor “cloud” en als je dingen “outsourced” moet je nadenken over controle (van data). Niets nieuws onder de zon en de mogelijkheden zijn legio.
Overigens kan ik je ook verklappen dat curatoren het minst van automatisering snappen van allemaal en daarom al 0-1 achter staan. Excel is daar nog koning.
Het artikel, hoewel relevant, pakt cloud erbij voor een stukje extra aandacht.
Dat NumoQuest nog geen contract gevonden heeft om te toetsen is dat hij zich afzet tegen de cloud. Ze zijn er genoeg. In dat opzicht vind ik Cloud VPS een mooi voorbeeld, daarnaast hebben zij ook een tijdje terug ene initiatief gestart. Data garantie overeenkomst : https://www.cloudvps.nl/files/Downloads/Data_Garantie_Overeenkomst.pdf
NumoQuest, kun je deze even toetsen? En omarm de de cloud nu eens. Want er zo tegen afzetten bevestigd alleen maar mijn beeld.
Ik ben het eens met de algemene stelling dat er te weinig wordt nagedacht over de inzet van clouddiensten, of het nu gaat om juridische, functionele of andere aspecten. Het is voor bedrijven uitermate belangrijk om er zeker van te zijn dat ze eigenaar zijn en blijven van de data die ze genereren in een dienst die ze afnemen. Of deze dienst nu Afas Online, Amazon Web Services of Microsoft Office 365 heeft.
Verder gaat dit artikel vooral over een curator die worstelt met het onderscheid tussen data en infrastructuur. Wanneer het failliete bedrijf zijn servers in datacenters van KPN of BIT heeft staan en de data op een shared SAN-service opgeslagen is, loopt curator dan ook nog weg met de server onder zijn arm? Nee, om toegang te behouden tot de data zal de rekening van die dienstverleners nog even betaald moeten worden. Hetzelfde geldt voor de rekening van het energiebedrijf of de beveiligingsdienst die de failliete boedel bewaakt. Of de kosten van een slotenmaker die er voor zorgt dat de curator fysieke toegang tot het pand kan krijgen.
Bij een faillissement van een productiebedrijf is het zelfs niet ongebruikelijk om de productielijn (op een laag pitje) in bedrijf te houden met minimale staf, dit om de boedel aantrekkelijk en waardevol te houden voor een doorstart of overnamekandidaat.
Waarom zou de financiële data die opgeslagen is in een clouddienst dan opeens ‘niet toegankelijk zijn’ omdat er voor de dienst betaald moet worden? De schrijver van het artikel gebruikt het recht om de data te benaderen met het feit voor diensten betaald moet worden. Nogmaals, waarom de energierekening wel betalen uit de boedel maar de factuur van Afas of Exact niet?
Donkere wolken en risico’s voor de ondernemer? Het is prima om elkaar scherp te houden maar de schrijver slaat de plank hier mis.
Zwakke comeback Henri.
Eén goedwillende cloudleverancier maakt nog geen zomer. 😉
En wat onze ‘Excel koningen en koninginnen’ betreft denk ik dat ze hun vak goed genoeg verstaan om heel goed de vinger op een van de zere plekken te leggen. En ondersteunende wetgeving zal zeker wenselijk zijn.