Juridische Risico’s van Bedrijfsgegevens in de Cloud

Door Jurian van Groenendaal
cloud

Bedrijven moeten zich rekenschap geven van de juridische risico’s van het opslaan van persoonsgegevens en bedrijfsgegevens in de cloud. Wat zijn die risico’s?

Cloud computing is kort gezegd een externe dienst die hardwaregebaseerde reken-, netwerk- en opslagcapaciteit biedt. Cloud computing is goedkoop, efficiënt en schaalbaar. Alle informatie wordt geplaatst en verwerkt in de cloud. Hoe veilig is die informatie in de cloud? Een probleem ontstaat wanneer die informatie niet goed wordt beschermd, dat er “lekken” zijn of dat het systeem wordt gekraakt.

Uit onderzoek blijkt dat ondernemingen en overheden zich vooral zorgen maken over de veiligheid van cloud computing. Zij vrezen dat vertrouwelijke informatie bekend wordt. Of dat de software die ontwikkeld en gebruikt wordt binnen de cloud in handen van derden komt. Maar die risico’s zijn er natuurlijk ook in het geval waarin gegevens gewoon lokaal worden verwerkt en opgeslagen. Verwacht mag worden dat de beveiliging van een gecentraliseerd, professioneel systeem zoals een cloud van een hoger niveau is dan een normaal bedrijfs- of thuissysteem. Daar tegenover staat wel dat het een aantrekkelijker doelwit is voor een aanval door hackers.

Juridisch kader: contracten en privacywetgeving

Een complicerende factor in de juridische analyse van cloud computing is dat de cloud de landsgrenzen over gaat. Ook de voor cloud computing gebruikte techniek maakt het soms lastig om een juiste analyse te maken. De gegevens zijn niet meer fysiek te benaderen zoals in een bibliotheek. Het aanwijzen van een server waar bepaalde gegevens zich bevinden is niet of slecht mogelijk. De cloud is als het ware één groot organisme. Binnen dat soms wereldwijde organisme zijn de gegevens gefragmenteerd opgeslagen. Er is wel een algemeen juridisch kader te definiëren dat voor cloud computing diensten de lijnen uitzet. Dat kader bestaat uit contractuele afspraken tussen partijen en de dwingende privacyregels van bovenaf.

Op zoek naar advies rondom privacy of een advocaat nodig voor het opstellen van een protocol datalekken of een bewerkersovereenkomst?

Vergelijk prijs en kwaliteit via LegalDutch en vind snel de beste fixed fee deal >>

Wat als de aanbieder de stekker eruit trekt?

Contractueel is er veel mogelijk voor zowel de aanbieder als de gebruiker van een cloud computing dienst. Maar de aanbieder van de dienst zal weinig weggeven in een contract. Dat betekent dat verantwoordelijkheden kunnen worden vermeden en dat de gebruiker uiteindelijk de rekening betaalt als er iets mis gaat. Als er schade ontstaat omdat gegevens in de cloud zijn uitgelekt zou het recht op schadevergoeding kunnen worden beperkt of zelfs uitgesloten.

Een belangrijk aandachtspunt in de contracten is verder het regelen van continuïteit. Het meest voor de hand liggende risico is een geval van onenigheid. Bijvoorbeeld over de kwaliteit van de dienst of de prijs daarvan. De aanbieder van de dienst heeft een sterk machtsmiddel in handen want niemand kan zonder zijn computersystemen. Een groot probleem voor de gebruiker van de dienst ontstaat dus wanneer de aanbieder de dienst eenzijdig afsluit. Ook valt er te denken aan betalingsachterstanden. Een bedrijf dat in zwaar weer zit niet te wachten op nog meer problemen.

Inmiddels is er ook al mondjesmaat rechtspraak gekomen over deze situaties. In één geval werd het afsluiten van de gebruiker van de cloud dienst na een fors opgelopen rekening tijdelijk teruggedraaid. Daarvoor moest wel eerst worden aangetoond dat er geen mogelijkheid was terug te vallen op het oude computersysteem en moest er ook nog een garantie worden afgegeven voor betaling.

Toepasselijke privacywetgeving

De aanbieder van de cloud dienst moet voldoen aan ter plaatse geldende privacywetgeving. Binnen de EU is dat de Privacyrichtlijn. Daarin zijn strikte regels zijn neergelegd voor de manier waarop met persoonsgegevens moet worden omgegaan. Zo is door het Europese Hof van Justitie in een baanbrekend arrest van 13 mei 2014 geoordeeld dat zoekmachines persoonsgegevens in beginsel uit de zoekmachines moeten filteren na een daartoe strekkend verzoek.

Van opslag tot vernietiging: in beginsel moet er altijd eerst toestemming worden gegeven. Het begrip “persoonsgegevens” moet breed worden opgevat. Het zijn alle gegevens die tot een identificeerbare natuurlijke persoon te herleiden zijn. Dat betekent dat bedrijfsgegevens daar in principe buiten vallen. Op dat vlak wordt de relatie tussen de aanbieder en de gebruiker van de dienst puur door contractueel geldende afspraken geregeld. Het is natuurlijk wel mogelijk dat er een mix plaatsvindt. Sommige bedrijfsgegevens bevatten namelijk ook persoonsgegevens zoals contactgegevens van klanten. De hoogste Europese rechter meent overigens ook dat het niet uitmaakt van waaruit de cloud dienst wordt uitgeoefend, als de dienst op Europa is gericht is de Europese regelgeving van toepassing.

Verenigde Staten, Patriot Act en Safe Harbor

Partijen die binnen de Verenigde Staten persoonsgegevens willen verwerken kunnen “meedoen” aan de Europese privacyregels onder het safe harbor principe. Dat betekent dat ze vrijwillig voldoen aan de belangrijkste criteria. De reden hiervoor is dat de bescherming van persoonsgegevens in de Verenigde Staten van een lager niveau wordt gevonden. De Europese Commissie heeft daarover haar zorgen uitgesproken. In dat verband moet ook de Patriot Act worden genoemd. Onder die Amerikaans wet kunnen in de Verenigde Staten door de overheid gemakkelijk gegevens worden opgevraagd. Gegevens zijn in de Verenigde Staten dan ook relatief veel makkelijk op te vragen. Een suggestie is om te zorgen voor zoveel mogelijk encryptie, niet alleen in de verbinding maar ook van de data zelf uiteraard.

Juridische uitdagingen

Zoals elke technologie risico’s oplevert staan daar duidelijke voordelen tegenover. Het is in geval van cloud computing zo dat er juridisch meer aan de hand is dan bij een normale ICT dienst “op afstand”. Er kunnen complexe vraagstukken spelen over bevoegdheid van de rechter, inmenging van buitenlandse wetgeving en autoriteiten en in geval van aansprakelijkheid kun je tegenover hele grote en sterke bedrijven komen te staan. Gaat er wat mis dan is juridische ondersteuning onmisbaar.

Jurian van Groenendaal

Over de auteur

Bekijk het profiel van Jurian van Groenendaal, advocaat bij Boekx Advocaten. Hij procedeert en adviseert in publicatie- en perszaken, zaken over intellectueel eigendomsrecht en domeinnamen.