De (pre)contractuele fase van cloud services - inleidende verkenning

Er bestaan diverse vormen van cloud services. De bekendste is SaaS, Software as a Service waarin kant-en-klare apps worden geleverd. Andere vormen zijn PaaS, waarbij ontwikkelplatforms worden geboden en IaaS, waarbij vooral infrastructuur met reken- en opslagcapaciteit wordt geleverd.

Er bestaan diverse vormen van cloud services. De bekendste is SaaS, Sofware as a Service waarin kant-en-klare app worden geleverd. Andere vormen zijn PaaS, waarbij ontwikkelplatforms worden geboden en IaaS, waarbij vooral infrastructuur met reken- en opslagcapaciteit wordt geleverd.

De impact van cloud services of cloud technologieën kan niet worden onderschat. Ze leiden tot een ware industrialisatie van de ICT-branche, omdat met de cloud de ICT de kantoren en huiskamers binnenstroomt als de nieuwe norm. De cloud betekent dus een nieuwe levenswijze en een grote boost voor de ICT-branche, dit ondanks het feit dat de economische crisis om zich heen grijpt.

Reden voor de blijdschap rondom de cloud is de elastische schaalbaarheid van computerbronnen. Scales en skills kunnen naar believen worden uitgerold of ingekrimpt, hetgeen grote financiële voordelen betekent voor (groot)gebruikers van ICT. Die schaalbaarheid is mondiaal en dus grensoverschrijdend, wat economisch gezien bijdraagt tot voordeel. Er kan materieel soepel worden geoutsourced en dus kan uit goedkopere en snellere beveiligingsmiddelen worden geput.

Een ander voordeel van de cloud is het feit dat locatie-onafhankelijke bediening mogelijk is. Simpel voorbeeld zijn de voor de consumentenmarkt bedoelde diensten van Google, waaronder Picasa en Drive. Google maakt het inmiddels praktisch mogelijk om een klein kantoor volledig in de cloud te houden, waardoor de aloude PC met 5gb harde disk en extra harde schijven gewoon de deur uitkunnen. Handhelds zoals iPad of smartphones zijn voldoende om de eigen business waar ook ter wereld te regelen, zolang er maar een internetverbinding via een mobiel netwerk of Wifi beschikbaar is.

Voor grotere partijen die hun IT-afdeling in de cloud laten hangen, geldt als voordeel dat pay per use vaak een veel gunstiger effect op de bedrijfsbalans heeft dan investeringskosten. Ergo, bij pay per use is er geen sprake van investeringskosten. Dit heeft dan weer tot effect dat het bedrijf zich kan bezighouden met zijn kerntaken.

De vraag rijst of het bedrijf zich met een gerust hart kan richten op zijn kerntaken. Daarnaast loeren privacyschendingen en andere inbreuken op rechten, zoals octrooien en bedrijfsgeheimen. Hoe zeker is het dat de cloud provider die data als een bankier in zijn kluis kan houden? Per slot van rekening houden alle cloud-vormen niets anders in dan dat de diensten vanuit een of meerdere servers ergens ter wereld worden gehost. Maar waar precies, negen op de tien klanten heeft geen idee. Naast de materiële risico's spelen bij cloud services ook emotionele aspecten een rol, het gevoel dat de onafhankelijkheid en controle kwijt te raken. De cloud industrie propageert dan ook geruststellende geluiden.

Precontractuele fase

Het bedrijf dat omwille van het kostenaspect - of de hype - cloud services in de armen wil sluiten, laat zich eerst goed informeren vooraleer met een provider in zee te gaan. Het goed doorlopen van deze zgn. precontractuele fase is een noodzakelijk vereiste, primordiaal, om met zekerheid verder te kunnen gaan met cloud servicing.

Projectleiders dienen te doorgronden welke vormen van cloud service het bedrijf nodig heeft, het conversie- en implementatietraject nauwkeurig in kaart te brengen, en zich te voorzien van alle aspecten m.b.t. netwerk- en informatiebeveiliging. Een passend beschermingsniveau zoeken dat in verhouding staat tot de kosten is lastig, misslagen daarin kunnen leiden tot onder- of overbeveiliging en leiden direct of indirect tot onnodige kostenverhoging. Aan de cloud dienst en de provider worden ook niet-functionele eisen gesteld. Daarbij valt te denken aan beschikbaarheid/stabiliteit van de dienst, integriteit/betrouwbaarheid, vertrouwelijkheid bijvoorbeeld doordat slechts daartoe geautoriseerde personen toegang hebben tot apps of data, onweerlegbaarheid van systemen in verband met bewijsvoering en bedienbaarheid van het cloud-systeem of de mate van het geleverde gemak.

Reeds in de precontractuele fase verdient legal compliance aandacht. Vooral privacy, meer bepaald informationele privacy verdient aandacht. Informationele privacy betreft verzameling en verwerking van persoonsgegevens met het doel persoonlijke voorkeuren te achterhalen en dus zeer gericht reclame te kunnen aanbieden. Wat privacy betreft zal een passend beschermingsniveau geboden moeten worden, volgens het recht waar de verantwoordelijke voor de verwerking van de persoonsgegevens zijn of haar zetel heeft. Maar, wat is passend?

Verder mag naar Nederlands recht verlangd worden dat de klant bij de verwerking van persoonsgegevens voldoende technische en organisatorische beveiligingsmaatregelen treft of (controleerbaar) laat treffen, zodat de persoonsgegevens niet eenvoudig weglekken. Onder technische maatregelen worden onder andere begrepen toegangscontrole systemen zoals - klassiek - een stevige deur met een goed slot, op de server(s) inlog en wachtwoord, maar ook hippere maatregelen zoals biometrische sloten. Van organisatorische aard zijn zaken zoals een verdeling van verantwoordelijkheden en bevoegdheden, instructie en training en het opzetten van een calamiteitenprocedure in het onverhoopte geval onbevoegden toegang proberen te krijgen of hebben verkregen tot de persoonsgegevens.

Onder legal compliance vallen ook aspecten met betrekking tot interoperabiliteit en reverse-engineering (dat is namelijk niet overal toegestaan), handelsrestricties en legaliteit van de data en fiscaliteiten cq. bewaarplicht van elektronische gegevens. Ook voor elektronische data geldt in beginsel 7 jaar. Legal compliance vergt ook dat diegene die van cloud diensten gebruik wil maken, de klant dus, zelf een onderzoeksplicht heeft en zich dus, zoals hiervoor reeds gemeld, goed over de ins en outs van de cloud dienst dient te informeren. Het zal duidelijk zijn dat hoe groter de bedrijfsbelangen zijn die van de cloud afhankelijk worden gesteld, des te redelijker zal het zijn dat de klant grondiger de cloud dienst en de cloud provider onderzoekt.

Contractuele fase

Indien de precontractuele fase met succes is doorlopen, volgt de contractuele fase. Hoewel het belang van de ICT-advocaat of counsel in de eerste fase aanzienlijk is, kan zijn of haar belang op het moment dat afspraken op papier moeten worden gesteld, niet worden onderschat. Zo zal, als het goed is, de advocaat of counsel zijn wenkbrauwen fronsen bij het lezen van de volgende clausule, die overigens Google oplegt bij gebruik van haar diensten:

"Wanneer u inhoud uploadt naar, of anderszins toevoegt aan, onze Services verleent u Google (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken (zoals afgeleide werken als gevolg van vertalingen, aanpassingen of andere wijzigingen die we aanbrengen om ervoor te zorgen dat uw inhoud beter werkt met onze Services), te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren. De rechten die u verleent in deze licentie, zijn bedoeld voor het beperkte doel om onze Services uit te voeren, te promoten en te verbeteren en om nieuwe Services te ontwikkelen." www.google.nl/intl/nl/policies/terms/regional.html

Enige alertheid op dat soort bedingen is geraden. En hoewel voorstelbaar is dat bij het zakendoen met zeer grote spelers in het veld van cloud services de onderhandelingsruimte op de standaardcontracten die zij onder de neus schuiven gering is, is het toch altijd de moeite - mede in het licht van de onderzoeksplicht - om onduidelijke clausules verduidelijkt te krijgen. Want, om het vorenstaande citaat te nemen, wat valt precies onder het doel van google om 'Services uit te voeren, te promoten en te verbeteren en om nieuwe Services te ontwikkelen'? Immers, de definitie van 'Services' - namelijk producten en services van Google Inc. - schept slechts meer onduidelijkheid.

Dit, om te illustreren dat een nauwkeurige blik op het cloud hosting contract nuttig is. Naast licenties op het gebruik van de cloud services staan in een dergelijk contract clausules met betrekking tot privacy, garanties, disclaimer, intellectuele rechten, boetes, geheimhouding, back up, exit en toepasselijk recht. De inhoud van het hosting contract op zich kan de contractuele fase complex maken. Voor zover service levels niet in dat contract zijn opgenomen, komen ze aan bod in een separate overeenkomst, de zgn. service level agreement of SLA. Daarin komt o.a. de calamiteitenprocedure aan de orde, die eerder in de precontractuele fase onder de loep werd genomen.

Conclusie

Het feit dat er vaak sprake is van meerdere contracten die alle met elkaar gesynchroniseerd moeten worden, maakt de (pre)contractuele fase complexer. Gebruikerslicenties, SLA, privacy- en escrow-regelingen worden vaak in afzonderlijke contracten opgenomen. Het is geen sinecure om in die contracten compliance aan de verschillende jurisdicties te regelen. Regels en belangen uit verschillende jurisdicties kunnen tegenstrijdig zijn, en voeding geven aan langdurige conversaties. Het belangrijkste dat daarbij voor ogen dient gehouden te worden is: Wie doet wat waar wanneer en hoe (WWWWH).

Kortom, wie in de cloud stapt laat zich grondig informeren (WWWWH), verzekert zich van garanties m.b.t. continuïteit, beveiliging, bescherming privacy en intellectuele rechten en regelt de (verdeling van) aansprakelijkheden.

© 2013 mr. F.J. Van Eeckhoutte, ICT/IE-advocaat, Amersfoort
www.vaneeckhoutteadvocaten.nl