Cloud & Legal today

Johan Vandendriessche

20 september 2011

Juridisch en contractueel? ‘Make or buy’-beslissing – cloud of geen cloud, welk type cloud?

Risicobeheersing en/of –afwenteling Verzekering

Overeenkomst

Juridisch Compliance

“de naleving van wet- en regelgeving, evenals de interne bedrijfsregels (policies)”

Sterke tendens om ‘compliance’ uit te breiden, doordat regelgeving steeds meer operationele risico’s gaat omvatten

Verwerking van persoonsgegevens (Data Protection) Beperkingen m.b.t. de verwerking van persoonsgegevens

Essentiële ‘compliance’-verplichting!

Aandachtspunten

Contractueel

Inhoud van de Cloud-dienst en de kwaliteitsniveau’s (SLA’s)

Risicobeperking en/of –afwenteling

Organisatie van de dienst en veiligheidsmaatregelen

SLA’s

Aansprakelijkheid en verzekering van de Cloud dienstverlener

Prijs en betaling

Continuïteit

Schorsings- en beëindigingsmodaliteiten

Transitie en retransitie

Even vooruitlopen: cloud brengt op juridisch en contractueel vlak weinig nieuws met zich mee

Aandachtspunten

Sleutelbegrippen

Cloud (per type)

Sleutelbegrippen

Cloud (per type)

Beheerd door Eigenaar van de infrastructuur

‘Dedicated’ infrastructuur

Publiek Cloud dienstverlener Cloud dienstverlener Neen

Privaat, extern Cloud dienstverlener Cloud dienstverlener Ja

Privaat, intern Interne organisatie Interne organisatie Ja

Hybride Gemengd Gemengd Hangt af van contract met Cloud dienstverlener

Bron: J. Ruiter and M. Warnier, Privacy Regulations for Cloud Computing – Compliance and Implementation in Theory and Practice.

Beperkingen m.b.t. de verwerking van persoonsgegevens

Persoonsgegevens: “elke informatie met betrekking tot een geïdentificeerde of een identificeerbare natuurlijke persoon […]”

Ruime interpretatie

Niet noodzakelijk gevoelig of vertrouwelijk

Verwerking: “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens […]”

Doel: Strikte aansprakelijkheid koppelen aan de wettelijke beperkingen

Verantwoordelijke voor de verwerking

Verwerker (dienstverlener)

Verwerking van persoonsgegevens

Verwerking van persoonsgegevens is verboden, tenzij toegestaan onder de Wet

Verwerking moet voldoen aan bepaalde beginselen Proportionaliteit

Doelgebonden

Beperkt in tijd

Transparant (op individueel en collectief vlak)

Datakwaliteit

Databeveiliging

Geen uitvoer van persoonsgegevens naar niet-EER landen, tenzij passende bescherming wordt geboden

Wederkerige contractuele garanties zijn gebruikelijk

Verwerking van persoonsgegevens

Beveiligingsplicht

Algemene verplichting

Specifieke verplichtingen

Verplichtingen m.b.t. gebruik van (al dan niet cloud) dienstverleners

CBPL heeft richtlijnen uitgevaardigd

‘Referentiemaatregelen’

Gebaseerd op ISO 27000 normen

Nuttig, maar geen absolute verplichting

Beveiligingsplicht

Technische maatregelen

Organisationele maatregelen

Bescherming tegen elke onrechtmatige verwerking

Passend beschermingsniveau rekening houdend met: Beschikbare technologie en kosten;

Aard van de betroffen persoonsgegevens en de potentiële risico’s

Maatregelen zijn onderling inwisselbaar

Maatregelen t.a.v. de Cloud dienstverlener Betrouwbare partner kiezen (security assessment!)

Schriftelijke of elektronische overeenkomst

Veiligheidsmaatregelen moeten contractueel opgelegd worden

Beperking van verwerkingsmogelijkheden

Beveiligingsplicht

Click-wrap-overeenkomst / toetredingsovereenkomst

In beginsel geldig in België

Weinig flexibiliteit bij sommige Cloud dienstverleners

Contractuele bepalingen liggen vast

Dienstenomschrijving ligt vast in standaarddiensten

Standaard SLA’s

Afweging van Cloud diensten is (bijna steeds) noodzakelijk

Praktische benadering cloud-overeenkomsten

Verplichtingen van de dienstverlener?

SLA

Opschorting / beëindiging van de overeenkomst Opgelet voor al te soepele schorsingsmogelijkheid langs de

zijde van de dienstverlener

Exit Plan / Retransitie (risico op vendor lock-in) Beschikbaarheid van de data

Dataformaat?

Bijstand bij einde van de overeenkomst? Tegen welke voorwaarden?

Belgisch gemeen recht is weinig nuttig voor de klant

Aansprakelijkheid?

Auditmogelijkheid?

Praktische benadering cloud-overeenkomsten

Cloud Computing is in principe steeds mogelijk vanuit compliance oogpunt

Kies het juiste type Cloud in functie van compliance-vereisten

Veiligheidsmaatregelen

Onontbeerlijk bij verwerking van persoonsgegevens

Essentieel bij andere categorieën van data

Continuïteit en kwaliteit zijn steeds belangrijk aandachtspunten bij contractonderhandeling

Retransitie en beschikbaarheid van data

Conclusie

Bedankt voor uw aandacht. Vragen?