Flexadvocaten
home » weblog » veiligheid van data, extern hosten, privacy en cloud-computing
12-11

Veiligheid van data, extern hosten, privacy en cloud-computing

11:27 uur | Reageren

Noot:

Extern hosten van data, e-mails of applicaties is financieel en operationeel gezien een uitkomst. Het is relatief betrouwbaar, schaalbaar, snel, wereldwijd benaderbaar, etc. Helaas is het lastig om daarbij geen gebruik te maken van  systemen in met name Amerika. Want de overheid aldaar biedt geen enkele privacy bescherming terwijl u daartoe wel verplicht bent. U zit dus klem. Wat te doen?

 

Inleiding

Steeds meer mensen werken met producten als google (docs), dropbox of icould.
Cloud-leveranciers bieden steeds vaker een oplossing om naast de opslag van data ook een e-mail server te draaien, de boekhouding online te doen of applicaties te draaien voor bijvoorbeeld tekstverwerking. Ook verlangen moedermaatschappijen vaak dat alle IT oplossingen centraal (door hen) gehost worden. Al deze leveranciers van IT diensten noem ik hierna cloud-leverancier.

 

Voor- en nadelen

De voordelen zijn evident. Uw kosten voor hardware, licenties, systeembeheerder etc. dalen, u hebt minder specifieke ICT kennis in huis nodig, de schaalbaarheid gaat met sprongen vooruit en de data is wereldwijd te benaderen. Kortom, als alles goed gaat werkt het uitstekend. Daar tegenover staat dat u afhankelijk wordt van onbekenden, u weet niet waar de data is en u bent de controle kwijt.

 

Met name de volgende twee issues:

Allereerst is het niet zondermeer toegestaan om persoonsgerelateerde informatie (denk aan e-mails) buiten de EU op te slaan. Ten tweede wilt u goede afspraken maken met de beheerder van uw data voor het geval de liefde over is (of nog erger..).

 

1: Privacy

Landen buiten de EU kunnen doorgaans niet het vereiste beschermingsniveau bieden van persoonsgevoelige informatie. E-mailadressen van klanten of medewerkers vallen daar ook onder.  Dat geldt voor landen als China of India maar  eker ook voor de Verenigde Staten. De overheid aldaar kan zichzelf probleemloos toegang verschaffen tot alle opgeslagen data. Binnen de EU levert dat een flagrante schending op van de privacy van personen.

Hier is een dunne oplossing voor gevonden in de VS. Daar kunnen bedrijven zelf bepaalde waarborgen inbouwen en zich vervolgens op de “Safe Harbour List” laten plaatsten. Indien uw data beheerd wordt door bedrijven op die lijst, zou u kunnen voldoen aan de wettelijke bepalingen in Nederland. Of dat ook werkelijk zo is valt nog te betwijfelen want sinds kort voldoet ook Google niet meer aan de Europese eisen betreffende privacy terwijl dat bedrijf toch op de “Safe  arbour List” staat.

Voorts is het mogelijk om met uw cloud-leverancier een standaard contract te tekenen dat is opgesteld “door de EU”. Bij bedrijven die deze overeenkomst tekenen mag u in beginsel uw data opslaan.

 

2: goede afspraken met uw databeheerder

U wilt waarschijnlijk garanties dat u probleemloos kunt migreren wanneer u de dataopslag zelf gaat doen of  bij een ander onder gaat brengen. Ook wilt u zeker weten dat uw data nog beschikbaar is wanneer uw databeheerder in surseance verkeert of failliet gaat (de verhouding vreemd vermogen/eigen vermogen is vaak treurig bij databeheerders en de concurrentie is moordend…). Ten slotte wilt u garanties over maximale dataverlies en maximale downtime. Alles bijeen is vooral het volgende van belang:

  • Met wie doet u zaken? Waar is die  partij geregistreerd? Solvabiliteit? ISO 27001?
  • Is Nederlands recht van  toepassing?
  • Wat is de up- en downstream snelheid (en kunt u dat controleren?)
  • Wat is de maximum downtime per  jaar, maand en dag?
  • Wat is de maximale hersteltijd na  een server crash? Zijn daar scenario’s voor?
  • Wat is de maximale periode  waarover u data kunt kwijtraken?
  • Wie belt u bij problemen? Wat is  de gegarandeerde responstijd?
  • Wat te doen bij surceance,  faillissement, beslag op uw servers bij de databeheerder?
  • Hoe is de overstap geregeld  (hierheen en hier vandaan) en kan u zonder hulp van die leverancier of zelfs in diens weerwil uw data veilig stellen en ergens anders  stallen?

 

Conclusie

Wordt uw data buiten de EU opgeslagen, dan doet u er goed aan om de standaard overeenkomst te laten tekenen. Helaas weet u niet of uw cloud-leveranciers zich aan de contractuele afspraken zal  houden. Dit is lastig want u blijft wel zelf ervoor verantwoordelijk dat uw onderneming bij de opslag en het doorgeven van die gegevens handelt conform de Nederlandse wetgeving. Kortom het buiten de EU hosten is juridisch gezien eigenlijk niet aan te bevelen maar de kans op problemen is mogelijk te verwaarlozen.

Wanneer u vervolgens extern gaat hosten is naast de privacy issues een aantal meer operationele kwesties van belang die wel op een degelijke (juridische steekhoudende) wijze geregeld dienen te worden.

______

Frank Meijers / november 2012

 

 

Reactie(s)

Een reactie plaatsen

Uw e-mailadres wordt niet aan andere bezoekers getoond

Categoriën

Nieuws (57)
Arbeidsrecht (26)
Ondernemingsrecht (20)
Contractenrecht (16)
Frank Meijers (13)
Vincent Rutgers (6)
Faillissementsrecht (5)
Aanbestedingsrecht (4)
Belastingrecht (1)
intellectueel eigendomsrecht (1)