Print:

Cloud-providers, verwerkers en aansprakelijkheid

Peter van Schelven, Adviseur ICT & Recht

LinkedIn profiel

Er zijn nog maar weinig bedrijven en organisaties die niet op een of andere manier ‘in de Cloud zitten’. Soms is dat het onvermijdbare gevolg van de keuze om bepaalde extern draaiende applicaties te gebruiken. Peter van Schelven, hoofddocent van ondermeer de IIR-cursus Cloud & Recht, geeft zijn visie op actuele ontwikkelingen en uitdagingen voor organisaties die met Cloud bezig zijn.

Niet minder vaak is de stap naar de Cloud het resultaat van een welbewuste keuze tot uitbesteding van een of meer taken op het vlak van de geautomatiseerde informatievoorziening. Dat doet zich bijvoorbeeld voor als je een IaaS-, PaaS- of SaaS-provider in de arm neemt. Dit IT-potjeslatijn staat voor Infrastructure as a Service, Platform as a Service en Software as a Service. Achter de metafoor van  de ‘Cloud’ schuilen dus tal van verschillende soorten diensten, die elk hun eigen karakteristieken hebben en in de praktijk dus ook elk hun eigen type contracten hebben. We spreken dan van IaaS-, PaaS- en SaaS-contracten. Het vraagt nogal wat inzicht over de aard en inhoud van de gewenste diensten om te bepalen welke soort contract in een concreet geval nodig is.

Europees privacyrecht en vendor-management

Een organisatie die op een verantwoorde wijze de Cloud in wil gaan, doet er goed aan tevoren stil te staan bij de vele juridische voetangels en klemmen. Een voorbeeld: bij de opslag van persoonsgegevens in de Cloud vraagt de Algemene Verordening Gegevensbescherming (AVG), de Europese privacyregels waaraan bedrijven en organisaties per 25 mei 2018 moeten voldoen, om bijzondere aandacht. Veel Cloud-providers zijn zogeheten ‘verwerkers’ in de zin van de AVG en dat impliceert dat hun opdrachtgevers onder de AVG met een nieuwe set spelregels rekening moeten houden.

Wat zijn zoal de vernieuwingen onder de AVG? Het begint met professioneel vendor-management. De Europese regels zeggen dat je alleen met een verwerker in zee mag gaan als die voldoende technische en organisatorische maatregelen biedt om de privacy van de burger te waarborgen. Dat noopt dus tot het ontwikkelen en toepassen van criteria om een goede verwerker te selecteren. Zo is het niet toegestaan om een goedkope, maar technisch onbetrouwbare Cloud-provider te selecteren, zelfs al zou je er een contract mee afsluiten dat klinkt als een klok. Inkoop van Cloud-diensten kan daarom niet langer zonder goede selectie-eisen.

Een andere vernieuwing onder de AVG betreft de inhoud van de afspraken die je als opdrachtgever met een verwerker moet maken. De AVG stelt ten aanzien van die verwerkerscontracten heel wat inhoudelijke eisen. Inmiddels hebben talloze bedrijven en organisaties hun contracten op de nieuwe regels afgestemd. De praktijk laat echter zien dat velen nog bezig hun contractpraktijk op orde te brengen.

Aansprakelijkheid voor datalekken

Een bijzonder punt van aandacht is de aansprakelijkheid voor datalekken tegenover gedupeerde burgers. Datalekken kunnen het gevolg zijn van benedenmaatse security en in dat geval ben je als bedrijf of organisatie in beginsel aansprakelijk als de burgers waarop de gelekte data betrekking hebben, schade ondervinden. Dat is ook zo als het datalek niet bij jouw eigen bedrijf of organisatie plaats vindt, maar bij de door jou ingeschakelde Cloud-provider.

De vraag of de security van de provider de toets der kritiek kan doorstaan, moet niet alleen worden afgemeten naar de regels van de AVG, maar ook naar de instructies die door jou als opdrachtgever aan de provider zijn verstrekt. In een goed verwerkerscontract worden om die reden passende afspraken over de technische en organisatorische security gemaakt en dat is veelal geen sinecure. Ook tref je in zo/n contract veelal afspraken aan hoe de schade van de burger tussen opdrachtgever en Cloud-provider verdeeld dient te worden. Anders dan in de praktijk meer dan eens wordt beweerd, kunnen de contractspartijen hun onderlinge aansprakelijkheid en wederzijdse verhaalsrechten limiteren.

Bij het maken van afspraken over die verdeling moet bovendien voor ogen gehouden worden dat de AVG de rechtspositie van de burger op het punt van de aansprakelijkheid fors heeft versterkt. De gedupeerde burger mag zelf kiezen wie hij voor een schadevergoeding aanspreekt: Cloud-provider of de opdrachtgever van de Cloud-provider? Op die manier tracht de AVG te bevorderen dat de burger zijn schade volledig vergoed krijgt. Dus: als een ziekenhuis mijn patiëntgegevens lekt, dan mag ik het ziekenhuis aanspreken, maar ook de door het ziekenhuis ingeschakelde hostingbedrijf als dat achter die lek zit.

Kortom, als u overweegt de Cloud in te gaan, dan is het verstandig goede afspraken te maken over schadevergoeding bij datalekken. Dat is alleen mogelijk met een stevige kennis van het raakvlak van de AVG, contracten- en aansprakelijkheidsrecht en – niet in de laatste plaats – de verzekerbaarheid van Cloud- en privacyrisico’s.

Cloud & Recht IIR

Bekijk de brochure - Verdiepingscursus cloud & recht

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten