Cookie Deze website serveert cookies voor advertenties. Ga alleen door als u dit goed vindt.   |   Balk inklappen   |   Meer informatie

Cloudrecht

[ cloudrecht.eu ]

Wat is cloudrecht?

Cloudrecht betreft de juridische aspecten van cloudcomputing. Nu steeds meer bedrijven gebruikmaken van clouddiensten, groeit de behoefte aan kennis omtrent de potentiële risico's. De Europese wetgeving, en vooral die op het gebied van privacy, heeft een grote invloed op het opslaan en verwerken van data. Beveiliging en privacy zijn 'hot'.

Op deze pagina wordt eerst ingegaan op de achtergrond van cloudcomputing: wat is een cloud? Daarna komen de diverse juridische aspecten aan de orde.

Zie ook: cloudcontract

Een stukje historie: de locatie van servers

In het verleden plaatsten bedrijven hun servers in een speciale kast of (inpandige) computerruimte. Grote bedrijven hadden een eigen rekencentrum met diverse computers. Wanneer computers verbonden moesten worden met andere locaties, zoals bij filialen, dan werden datalijnen gehuurd. Met de komst van internet werd het gemakkelijker en goedkoper om servers elders te plaatsen: dure huurlijnen waren immers niet meer nodig.

Websites worden traditioneel op externe servers geplaatst/gehost. Dat is vanwege de beveiliging en vanwege de kosten die de toegang van bezoekers tot interne servers met zich brengt. Verder is de capaciteit van interne servers minder schaalbaar dan die van een provider.

Typen hosting en servergebruik

Tot voor kort werd onderscheid gemaakt tussen de volgende typen hosting en servergebruik:
Server hosting
  • Shared

    Verschillende bedrijven of websites maken gebruik van één server.
  • Dedicated

    Een bedrijf heeft de beschikking over een server die niet met andere wordt gedeeld. Deze server wordt gehuurd of geleased. Met de hoster kunnen afspraken worden gemaakt over aanvullende diensten.
  • Colocation

    Een bedrijf maakt gebruik van een eigen server, die bij de hoster wordt geplaatst.

Geleidelijk aan is de techniek van virtualisatie een steeds grotere rol gaan spelen. Virtualisatie is een techniek die hardware loskoppelt van een besturingssysteem. Op deze manier kunnen meerdere 'virtuele' servers draaien op één fysieke server. Flexibiliteit en kostenbesparing zijn kenmerkend voor virtualisatie.

Cloudcomputing gaat nog een stap verder. Ook bronnen die elders aanwezig zijn kunnen bij de virtualisatie worden gebruikt. Denk hierbij aan datacenters die op andere locaties staan. Dat kan 10 km verderop zijn, maar ook in een ander werelddeel. Het geheel wordt cloud genoemd. De plek waar computerprogramma's en data staan kan voortdurend wijzigen. Precies dit kenmerk van cloudcomputing brengt bepaalde risico's met zich.

Cloudcomputing : private versus public

Er zijn verschillende varianten van cloudcomputing. De definities zijn niet scherp. Dat komt doordat er op technisch of infrastructureel gebied veel mogelijk is en de leveranciers van cloudoplossingen zich graag differentiëren van concurrenten door het leveren van extra diensten. Informeer daarom altijd wat uw leverancier precies bedoelt met de diverse termen.

De grofste indeling is die in private cloud & public cloud. Sommige leveranciers leggen het verschil tussen private en public uit als toegankelijk voor één organisatie versus toegankelijk voor iedereen. Voorbeelden van de laatste zijn Gmail, Office 365 en Dropbox.

Er zijn ook leveranciers die het verschil tussen private en public cloud uitleggen via de fysieke plaatsing van servers. Een private cloud is dan het datacentrum van de leverancier, een public cloud is de opslag verspreid over verschillende datacenters.

Weer anderen gebruiken de term private cloud voor de server(s) in hun eigen computerruimte of juist voor hun (dedicated) server in een datacentrum. Kortom: de ene cloud is de andere niet.

Het begrip cloud verwatert sowieso. Zo noemen sommigen een externe harde schijf een 'persoonlijke cloud', 'thuiscloud' of 'privécloud'. En voor weer anderen is 'in de cloud' synoniem met 'op internet'.
Gekscherend kun je stellen dat het menselijk geheugen de enige echte 'personal cloud' is.

Is het onderscheid tussen de cloudvormen belangrijk?

Met de tegenwoordige techniek is het voor de snelheid nauwelijks meer relevant waar applicaties draaien en waar gegevens worden opgeslagen. Het idee achter cloudcomputing is dat de gebruiker (op welk niveau dan ook) niet hoeft te weten waar de gegevens precies staan. Dat wordt immers automatisch geregeld. In principe is dat niet relevant voor de (eind)gebruiker.

Echter, in verband met vooral Europese regelgeving op het gebied van privacy is het wel van belang omdat er aanvullende vereisten zijn afhankelijk van de geografische locatie van data. Hiermee vervalt één van de voordelen van cloudcomputing: we moeten wel degelijk weten waar de gegevens zich bevinden.

Juridische aspecten van cloudcomputing

Hieronder volgt een opsomming van juridische aspecten die van belang zijn bij de keuze om al dan niet 'in de cloud' te gaan. De meeste aspecten zijn een gevolg van de eisen die worden gesteld door de Europese Privacyverordening AVG.

Hosting cloud
We gaan uit van een veelvoorkomende situatie dat een leverancier een softwareprogramma ter beschikking stelt aan een klant. Deze klant gaat zelf werken met de toepassing (bijvoorbeeld een boekhoudprogramma) of stelt deze ter beschikking aan eindgebruikers (zoals bij een webwinkel).

  • Verwerkersovereenkomst

    Een leverancier van clouddiensten zal vaak persoonsgegevens van de klant verwerken. Op grond van de AVG moet de klant met de leverancier schriftelijk afspraken maken. Bijvoorbeeld over aspecten als beveiliging en geheimhouding.
  • Beveiliging

    De leverancier moet de persoonsgegevens voldoende beveiligen. De beveiligingsmaatregelen moeten schriftelijk worden vastgelegd. Daarnaast moet de klant controleren of de leverancier zijn verplichtingen nakomt.
  • Doorgifte naar buitenland

    Voor het plaatsen van persoonsgegevens op servers buiten de Europese Unie gelden strenge eisen. De klant zal moeten informeren naar de locatie van zijn gegevens om zodoende de juiste maatregelen te (laten) treffen. Eventueel zal hij voor een andere leverancier moeten kiezen die uitsluitend gebruikmaakt van servers binnen de Europese Unie of in een land met een 'passend beschermingsniveau'.
    Wanneer de persoonsgegevens op een EU-server staan die toegankelijk is voor een helpdesk in India, is er eveneens sprake van doorgifte naar het buitenland die bijzondere maatregelen vergt.
  • Exit-strategie

    De leverancier mag persoonsgegevens niet langer bewaren dan voor de dienstverlening nodig is. Na beëindiging van het cloudcontract moet de leverancier de gegevens van zijn servers verwijderen.
  • Meldplicht datalekken

    De leverancier moet de klant onmiddellijk op de hoogte stellen van beveiligingsincidenten. Zeker met het oog op de meldplicht datalekken, die op 1 januari 2016 is ingegaan. De klant blijft verantwoordelijk voor een tijdige melding bij de autoriteiten en kan zich niet verschuilen achter het excuus dat de cloudleverancier hem niets heeft verteld. Overigens kennen veel andere landen een vergelijkbare meldplicht.
    Lees de details op de pagina: datalekken
  • Buitenlandse wetgeving: US e-discovery rules

    Onder e-discovery of electronic discovery wordt verstaan het doorzoeken van (vaak grote hoeveelheden) elektronische data. De gevonden data kunnen in het kader van een juridische procedure aan de rechter of wederpartij worden verstrekt.
    Amerikaanse wetgeving maakt het mogelijk dat zelfs bij een geschil tussen twee Nederlandse partijen de ene partij bij de Amerikaanse cloudleverancier van de andere partij documentatie opvraagt die in de cloud is opgeslagen.
    Lees meer over e-discovery
  • Buitenlandse wetgeving: export control laws

    Door gebruik te maken van de diensten van een Amerikaanse cloudleverancier kan een Nederlandse onderneming ongemerkt de strenge Amerikaanse exportregels overtreden en hoge boetes riskeren. De Amerikaanse exportregels zijn over het algemeen strenger dan de Europese. Een bedrijf dat in overeenstemming met de Europese regels handel drijft met een land dat op de Amerikaanse embargolijst staat en besluit gebruik te gaan maken van Office 365 of GoogleDocs loopt hier risico!
  • Buitenlandse wetgeving: state control powers

    In sommige landen heeft de overheid de wettelijke bevoegdheid om van providers toegang tot de servers te eisen. In deze context zijn vooral de US Patriot Act en de FISA/FISAA berucht. Ook andere landen kennen dergelijke bevoegdheden.