Cloudrecht

[ cloudrecht.eu ]

Wat is cloudrecht?

Cloudrecht betreft de juridische aspecten van cloud computing. Nu steeds meer bedrijven gebruikmaken van clouddiensten, groeit de behoefte aan kennis omtrent de potentiële risico's. De Europese wetgeving, en vooral die op het gebied van privacy, heeft een grote invloed op het opslaan en verwerken van data. Beveiliging en privacy zijn 'hot'.

Op deze pagina wordt eerst ingegaan op de achtergrond van cloud computing: wat is een cloud? Daarna komen de diverse juridische aspecten aan de orde.

Zie ook: cloudcontract

Een stukje historie: de locatie van servers

In het verleden plaatsten kleine bedrijven hun servers in een speciale kast of (inpandige) computerruimte. Grote bedrijven hadden een eigen rekencentrum met diverse computers. Wanneer computers verbonden moesten worden met andere locaties, zoals bij filialen, dan werden datalijnen gehuurd. Met de komst van internet werd het gemakkelijker en goedkoper om servers elders te plaatsen: dure huurlijnen waren immers niet meer nodig.

Websites worden traditioneel op externe servers geplaatst/gehost. Dat is vanwege de beveiliging en vanwege de kosten die de toegang van bezoekers tot interne servers met zich brengt, en beveiligingsperikelen. Verder is de capaciteit van interne servers minder goed schaalbaar dan die in het datacenter van een provider.

Typen hosting en servergebruik

Tot voor kort werd onderscheid gemaakt tussen de volgende typen hosting en servergebruik in een datacenter:
Server hosting
  • Shared

    Verschillende bedrijven of websites maken gebruik van één server.
  • Dedicated

    Een bedrijf heeft de beschikking over een server die niet met andere wordt gedeeld. Deze server wordt gehuurd of geleased. Met de hoster kunnen afspraken worden gemaakt over aanvullende diensten.
  • Colocation

    Een bedrijf maakt gebruik van een eigen server, die bij de hoster wordt geplaatst.

Geleidelijk aan is de techniek van virtualisatie een steeds grotere rol gaan spelen. Virtualisatie is een techniek die hardware loskoppelt van een besturingssysteem. Op deze manier kunnen meerdere 'virtuele' servers draaien op één fysieke server. Flexibiliteit en kostenbesparing zijn kenmerkend voor virtualisatie.

Cloud computing gaat nog een stap verder. Ook bronnen die elders aanwezig zijn kunnen bij de virtualisatie worden gebruikt. Denk hierbij aan datacenters die op andere locaties staan. Dat kan 10 km verderop zijn, maar ook in een ander werelddeel. Het geheel wordt cloud genoemd. De plek waar computerprogramma's en data staan kan voortdurend wijzigen. Precies dit kenmerk van cloud computing brengt bepaalde risico's met zich.

Cloud computing : private versus public

Er zijn verschillende varianten van cloud computing. De definities zijn niet scherp. Dat komt doordat er op technisch of infrastructureel gebied veel mogelijk is en de leveranciers van cloudoplossingen zich graag differentiëren van concurrenten door het leveren van extra diensten. Informeer daarom altijd wat je leverancier precies bedoelt met de diverse termen.

De grofste indeling is die in private cloud & public cloud. Sommige leveranciers leggen het verschil tussen private en public uit als toegankelijk voor één organisatie versus toegankelijk voor iedereen. Voorbeelden van de laatste zijn Gmail, Office 365 en Dropbox.

Er zijn ook leveranciers die het verschil tussen private en public cloud uitleggen via de fysieke plaatsing van servers. Een private cloud is dan het datacentrum van de leverancier, een public cloud is de opslag verspreid over verschillende datacenters.

Weer anderen gebruiken de term private cloud voor de server(s) in hun eigen computerruimte of juist voor hun (dedicated) server in een datacentrum. Kortom: de ene cloud is de andere niet.

Het begrip cloud verwatert sowieso. Zo noemen sommigen een externe harde schijf een 'persoonlijke cloud', 'thuiscloud' of 'privécloud'. En voor weer anderen is 'in de cloud' synoniem met 'op internet'.
Gekscherend kun je stellen dat het menselijk geheugen de enige echte 'personal cloud' is.

Een hybride cloud is een vorm van cloud computing die de on-premise infrastructuur combineert met een openbare cloud. Ook private clouds kunnen gecombineerd worden met een public cloud. Deze hybride vorm wordt ingezet vanwege beveiligingsaspecten, specifieke technische vereisten of omdat de lokale programmatuur nog niet in een cloudversie beschikbaar is.

Is het onderscheid tussen de cloudvormen belangrijk?

Met de tegenwoordige techniek is het voor de snelheid nauwelijks meer relevant waar applicaties draaien en waar gegevens worden opgeslagen. Het idee achter cloud computing is dat de gebruiker (op welk niveau dan ook) niet hoeft te weten waar de gegevens precies staan. Dat wordt immers automatisch geregeld. In principe is dat niet relevant voor de (eind)gebruiker.

Echter, in verband met vooral Europese regelgeving op het gebied van privacy is het wel van belang omdat er aanvullende vereisten zijn afhankelijk van de geografische locatie van data. Hiermee vervalt één van de voordelen van cloud computing: we moeten wel degelijk weten waar de gegevens zich bevinden.

Juridische aspecten van cloud computing

Hieronder volgt een opsomming van juridische aspecten die van belang zijn bij de keuze om al dan niet 'in de cloud' te gaan. De meeste aspecten zijn een gevolg van de eisen die worden gesteld door de Europese Privacyverordening AVG.

Hosting cloud
We gaan uit van de veelvoorkomende situatie dat een leverancier een softwareprogramma ter beschikking stelt aan een klant. Deze klant gaat zelf werken met de toepassing (bijvoorbeeld een boekhoudprogramma) of stelt deze ter beschikking aan eindgebruikers (zoals bij een webwinkel).
  • Verwerkersovereenkomst

    Een leverancier van clouddiensten zal vaak persoonsgegevens van de klant verwerken. Op grond van de AVG moet de klant met de leverancier schriftelijk afspraken maken. Bijvoorbeeld over aspecten als beveiliging en geheimhouding.
  • Beveiliging / security

    De leverancier moet de persoonsgegevens voldoende beveiligen. De beveiligingsmaatregelen moeten schriftelijk worden vastgelegd. Daarnaast moet de klant controleren of de leverancier zijn verplichtingen nakomt.
  • Doorgifte naar buitenland

    Voor het plaatsen van persoonsgegevens op servers buiten de Europese Unie gelden strenge eisen. De klant zal moeten informeren naar de locatie van zijn gegevens om zodoende de juiste maatregelen te (laten) treffen. Eventueel zal hij voor een andere leverancier moeten kiezen die uitsluitend gebruikmaakt van servers binnen de Europese Unie of in een land met een passend beschermingsniveau.
    Wanneer de persoonsgegevens op een EU-server staan die toegankelijk is voor een helpdesk in India, is er eveneens sprake van doorgifte naar het buitenland die bijzondere maatregelen vergt.
  • Exit-strategie

    De leverancier mag persoonsgegevens niet langer bewaren dan voor de dienstverlening nodig is. Na beëindiging van het cloudcontract moet de leverancier de gegevens van zijn servers verwijderen, in overleg met de klant. Ook hierover moeten afspraken worden vastgelegd.
  • Meldplicht datalekken

    De leverancier moet de klant 'onverwijld' op de hoogte stellen van beveiligingsincidenten. Zeker met het oog op de verplichting van de klant een datalek te melden bij de Autoriteit Persoonsgegevens. Het is de klant die verantwoordelijk is voor een tijdige melding - hij of zij kan zich niet verschuilen achter het excuus dat de cloudleverancier hem niets heeft verteld.
    Lees de details op de pagina: datalekken
  • Buitenlandse wetgeving: US e-discovery rules

    Onder e-discovery of electronic discovery wordt verstaan het doorzoeken van (vaak grote hoeveelheden) elektronische data. De gevonden data kan in het kader van een juridische procedure aan de rechter of wederpartij worden verstrekt.
    Amerikaanse wetgeving maakt het mogelijk dat zelfs bij een geschil tussen twee Nederlandse partijen de ene partij bij de Amerikaanse cloudleverancier van de andere partij documentatie opvraagt die in de cloud is opgeslagen.
    Lees meer over e-discovery
  • Buitenlandse wetgeving: export control laws

    Door gebruik te maken van de diensten van een Amerikaanse cloudleverancier kan een Nederlandse onderneming ongemerkt de strenge Amerikaanse exportregels overtreden en hoge boetes riskeren. De Amerikaanse exportregels zijn over het algemeen strenger dan de Europese. Een bedrijf dat in overeenstemming met de Europese regels handel drijft met een land dat op de Amerikaanse embargolijst staat en besluit gebruik te gaan maken van Office 365 of GoogleDocs loopt hier risico!
  • Buitenlandse wetgeving: state control powers

    In sommige landen, waaronder de Verenigde Staten, heeft de overheid de wettelijke bevoegdheid om van providers toegang tot de servers te eisen. Dit heeft geleid tot de ongeldigverklaring van Safe Harbor en Privacy Shield, twee doorgiftemechanismen die werden gebruikt om persoonsgegevens van de EU naar de VS te sturen.
Een veilige keuze is het gebruik van een Europese cloud, waarbij alle data in Europa staat (en blijft) en waar alleen mensen binnen de EU (of in landen met een toereikend beschermingsnivau) toegang toe hebben.

Gerelateerde onderwerpen