Deze website serveert cookies bij de advertenties    |    Meer informatie    |    Geen melding meer: ik vind cookies OK
Zie ook: Cloudrecht | Cloudcontract | Cloud computing | Europese cloud

Wat is een cloudcontract?

Met een cloudcontract bieden leveranciers clouddiensten aan hun klanten aan. Voorbeelden van diensten die 'in de cloud' worden aangeboden: webhosting, pure opslagruimte (SkyDrive, Dropbox), fotobewerking en -opslag (Picasa), kantoorapplicaties (Office 365), boekhoudprogramma's en natuurlijk de diverse sociale media, zoals Facebook en LinkedIn.

Nu steeds meer bedrijven gebruikmaken van clouddiensten, groeit de behoefte aan kennis over de potentiŽle risico's. Europese regelgeving, vooral die op het gebied van privacy, heeft grote invloed op het opslaan en bewerken van data.

Hieronder bespreken we de belangrijkste voorwaarden waarmee partijen die een clouddienst afnemen rekening moeten houden. Deze voorwaarden hangen veelal samen met de eisen die voortvloeien uit de Europese en Nederlandse regelgeving met betrekking tot de bescherming van persoonsgegevens (ook wel dataprotectie- of privacyregelgeving genoemd). Daarnaast worden enkele risico's besproken die samenhangen met regelgeving in landen buiten Europa, met name de Verenigde Staten.

Lees ook de algemene informatie over cloudrecht

Cloudcontracten en de bescherming van persoonsgegevens

Cloudcontract De reden dat privacyregelgeving bij clouddiensten een rol speelt, is gelegen in het feit dat de leverancier van een clouddienst vaak persoonsgegevens van zijn klanten verwerkt. Bijvoorbeeld, een bedrijf dat gebruikmaakt van Office 365, zet zijn data niet meer op de harde schijf van zijn computer(s), maar rechtstreeks bij Microsoft op de server. Hiermee krijgt Microsoft direct of indirect toegang tot die data. Deze data kunnen bedrijfsgegevens bevatten, maar ook persoonsgegevens. Als persoonsgegevens onderdeel uitmaken van deze data, speelt in veel gevallen de Wet Bescherming Persoonsgegevens een rol.

Zie ook de algemene informatie over bescherming persoonsgegevens.

Voorbeeld

In het onderstaande gaan we uit van een veelvoorkomend scenario: het gebruik van Microsoft Office 365 in de cloud. De leverancier is hier Microsoft. De afnemer van de clouddienst, bedrijf X, neemt een licentie op de kantoorsoftware en stelt het programma ter beschikking aan zijn werknemers, de eindgebruikers. We nemen een HR-afdeling als voorbeeld omdat de gebruikers van Office 365 op deze afdeling ongetwijfeld persoonsgegevens opslaan, zoals arbeidscontracten en beoordelingsformulieren.

In de volgende paragrafen komen eisen en aspecten aan de orde die mogelijk een rol spelen bij deze situatie.

Schriftelijke overeenkomst cloud computing

Checklist contract cloud computing De leverancier van een clouddienst heeft vaak toegang tot de data die zijn afnemers bij hem op de server hebben opgeslagen. Bevatten deze data persoonsgegevens, dan geldt de leverancier als bewerker van deze persoonsgegevens.
Wanneer er sprake is van 'bewerking' is de afnemer van de clouddienst verplicht om met de leverancier een zogenoemde bewerkersovereenkomst te sluiten.

De bewerkersovereenkomst is ter bescherming van de privacy van de eindgebruiker. In deze overeenkomst verplicht de leverancier zich zorgvuldig met de persoonsgegevens om te gaan. Onderwerpen die in deze overeenkomst aan de orde komen zijn onder andere: beveiliging van de data, geheimhouding, het inschakelen van derden en de locatie van de servers.

Zie de speciale pagina over bewerkersovereenkomst

Locatie en export van data

De privacywetgeving stelt hoge eisen aan de doorgifte van persoonsgegevens naar landen buiten de Europese Unie. Ook het plaatsen van persoonsgegevens op een server in een datacentrum buiten de Europese Unie geldt als zo'n doorgifte.
De afnemer van de clouddienst zal dan ook bij de leverancier moeten informeren naar de locatie van zijn gegevens om zodoende de juiste maatregelen te (laten) treffen. Wanneer niet aan alle wettelijk eisen is voldaan, is de feitelijke consequentie dat er een andere leverancier of een ander product moet worden gekozen.

Scenario's in locatie en export van data

Bij de opslag van de data (met persoonsgegevens) kunnen de volgende situaties zich voordoen:
Let op:
Wanneer de persoonsgegevens op een EU-server staan die toegankelijk is voor een helpdesk in bijvoorbeeld India, is sprake van een doorgifte naar een land zonder passend beschermingsniveau. Hiervoor zal een EU Model Contract moeten worden gesloten.

Risico's of nadelen van de cloud

Risico's en beveiliging cloud Hieronder staan enkele risico's die een rol kunnen spelen bij de beslissing om 'in de cloud te gaan'.

Amerikaanse wetgeving en de privacy van Europeanen

Nog los van de praktijken van de NSA die in 2013 door Edward Snowden werden onthuld, loopt de privacy van alle niet-Amerikanen ernstig gevaar. Er zijn de laatste jaren namelijk verschillende Amerikaanse wetten in het leven geroepen die het Amerikaanse instanties mogelijk maken de gegevens van niet-Amerikanen in te zien. Dit in combinatie met de opkomst van cloud services maakt dat de privacyschending vanuit de VS sterk is toegenomen.

In het algemeen geldt: clouddiensten die door Amerikaanse bedrijven worden aangeboden, zijn voor niet-Amerikanen onveilig. Lees de volledige achtergrondinformatie hierover in een rapport dat Casper Bowden in september 2013 schreef voor het Europees Parlement: The US surveillance programmes and their impact on EU citizens fundamental rights