Blog It

13.10.2021 Bart Van den Brande

Sirius Legal is juridische partner van Agoria Techlancers, dé community voor freelancers in de technologische sector

We hebben bij Sirius Legal een lange traditie van partnerships met beroepsfederaties in technologie- en communicatiegebonden sectoren. We waren dan ook erg vereerd en enthousiast toen Agoria ons een tijdje geleden vroeg of we de vaste legal partner wilden worden van hun nieuwe community voor IT consultants, Techlancers, die vorige week boven de doopvont werd gehouden.

18.01.2021 Roeland Lembrechts

Naar dataveilige IT-contracten met deze 10 basistopics

Outsourcing van heel wat bedrijfsinformatie en -taken komt steeds meer voor. Door middel van verschillende IT-toepassingen zal je als bedrijf meer data, in vele gevallen ook vertrouwelijke data, delen met IT-dienstverleners. Daarbij dien je steeds in het achterhoofd te houden dat je in het proces van deze outsourcing een doorgedreven veiligheidsbeleid voert. 

In het geval van persoonsgegevens bestaat de duidelijke verplichting om gepaste technische en organisatorische maatregelen te nemen, maar het voorkomen van datalekken en de algemene verplichting om ervoor te zorgen dat je bedrijfsinformatie niet lekt of gecompromitteerd wordt is van essentieel belang. Een onveilig databeleid leidt immers steeds meer tot financiële en reputatieschade van je onderneming.

Net daarom dien je als ondernemer gepaste contractuele waarborgen in te bouwen met jouw IT-dienstverlener. Schenk daarbij de nodige aandacht aan beveiligingsmaatregelen voor de informatie die je toevertrouwt. Zo kan je cyberrisico’s zoals datalekken, ongeautoriseerde toegang of gebruik van de data, alsook de aansprakelijkheid van je bedrijf tot een minimum beperken. 

 

10 topics om mee te nemen in je veiligheidsbeleid

Waar moet je dan op letten wanneer je in de overeenkomst met je IT-dienstverlener je databeveiliging onderhandelt? Welke zaken kan je best opnemen om je veiligheidsbeleid stevig in de steigers te zetten?  We geven je graag 10 basistopics mee: 

  1. Kijk bij een onderhandeling in de eerste plaats naar je eigen situatie. Hoe gevoelig is je bedrijfsinformatie en welke impact heeft dit op je onderneming wanneer er zich een incident voordoet? Zijn de aangeboden beveiligingsmaatregelen daar toereikend genoeg voor? Wat is de bereidheid van de IT-dienstverlener om zich aan te passen aan jouw beveiligingseisen? Kijk na in hoeverre de dienstverlening conform je eigen veiligheidsbeleid en -procedures is.
  2. Kijk steeds na of er wettelijke vereisten en procedures op jouw bedrijf van toepassing zijn en in welke mate de contracterende dienstverlener daar een ondersteunende rol in speelt. We denken daarbij aan de talrijke transparantie-, meldings-, notificatie- en medewerkingsverplichtingen die op je onderneming van toepassing kunnen zijn, afhankelijk van de soort data die je verwerkt, de sector waarin je werkzaam bent of de hoedanigheid van je onderneming.
  3. Definieer welke personen geautoriseerd worden om je bedrijfsinformatie te ontsluiten en probeer dit te beperken tot enkel de personen die noodzakelijk toegang moeten hebben tot deze gegevens. Stipuleer naast de interne bevoegdheden bij je contractspartij ook welke derde partijen, zoals onderaannemers, toegang zullen hebben.
  4. Bepaal de inhoudelijke veiligheidsverplichtingen met je IT-dienstverlener met betrekking tot de vertrouwelijke behandeling van je data, de voorwaarden voor de ontsluiting ervan, en de aansprakelijkheid voor de schending van deze voorwaarden, inclusief de schending van de geautoriseerde personen en derden.
  5. Kijk na of je IT-dienstverlener handelt conform internationale, Europese en nationale wetgeving en laat in je clausules de IT-dienstverlener bevestigen dat hij conform handelt. Eventueel kan je specifieker nagaan conform welke internationale standaarden je IT-dienstverlener werkzaam is en in het positieve geval welke certificaten de IT-dienstverlener bezit. Belangrijk hierbij is om goed na te kijken op wat deze certificaten concreet betrekking hebben en voor welke bedrijfsactiviteiten er effectief certificaten behaald zijn. Hebben deze voldoende betrekking op de verwerking van jouw bedrijfsinformatie? Ben je zelf voldoende technisch aangelegd, dan kan je zelf een reeks technische beveiligingsmaatregelen opnemen in de overeenkomst die de IT-dienstverlener dient te respecteren.
  6. Leg procedures vast in het geval er zich een beveiligingsincident zou voordoen, waarbij er voor de IT-dienstverlener duidelijk wordt omschreven wat zijn detectieplichten, waarschuwingsplichten, medewerkingsplichten, etc. zijn. Stel in het kader van de opstelling van een incident response team vast welke coördinerende rol de IT-dienstverlener kan opnemen. Voeg daaraan toe welke communicatie de IT-dienstverlener wel, maar vooral niet kan voeren en zorg ervoor dat je deze crisiscommunicatie zelf in handen houdt.
  7. Maak goede afspraken over verplichtingen rond herstel en verbeteringen van de systemen van de IT-dienstverlener na een eventueel incident. Maak daarbij afspraken over de gemaakte kosten, de aansprakelijkheid van de IT-dienstverlener en zijn verplichtingen tot vrijwaring in geval van schadeclaims, boetes en overige vervolgingen waar je je aan zou kunnen blootstellen. 
  8. Ter controle van alle voorgaande verplichtingen kan je ook de mogelijkheid opnemen om gerichte audits en controles uit te oefenen bij de IT-dienstverlener. Deze controle kan je zelf doen of laten doen door derden-specialisten.
  9. Neem in de overeenkomst eventueel op dat een schending van de voorgaande verplichtingen een schending is van een essentiële contractuele verplichting die je toelaat om eenzijdig en kosteloos het contract te beëindigen.
  10. Tot slot, voorzie steeds de mogelijkheid om van de IT-dienstverlener te eisen dat bij eerste verzoek alle informatie kan overgedragen of vernietigd kan worden, zowel tijdens de overeenkomst als bij afloop. Kijk daarbij steeds na welke informatie kan vernietigd worden en/of welke informatie de IT-dienstverlener dient bij te houden binnen het kader van zijn wettelijke verplichtingen.

 

Een geïntegreerde aanpak voor dataveilige IT-contracten

Het implementeren van bepalingen rond de beveiliging van je data vraagt steeds om een geïntegreerde aanpak binnen de gehele overeenkomst en grondig nazicht van de toepasselijke wetgeving. Dit kan soms leiden tot complexe vraagstukken, waarbij er in vele gevallen een evenwicht dient gezocht te worden tussen de mogelijkheden en de bereidheid van de IT-dienstverlener en anderzijds de minimale beveiligingsvoorwaarden die je moet of kan opleggen als afnemer van deze diensten.

Wens je begeleiding of ondersteuning bij de opmaak van je IT-contract of het opzetten van deze specifieke clausules, neem dan gerust contact op met Roeland via roeland@siriuslegal.be 

17.12.2020 Roeland Lembrechts

Wie laat zich vrijwillig hacken? De "coordinated vulnerability disclosure policy" voor ethische hacking.

Om de cyberveiligheid van je bedrijf of organisatie te verhogen kan je een coordinated vulnerability disclosure policy gebruiken (een beleid voor de gecoördineerde bekendmaking van kwetsbaarheid of CVDP). Het is een policy die je uitschrijft om ethische hackers de mogelijkheid te geven om je IT-systemen te testen op mogelijke kwetsbaarheden. In het kader van deze samenwerking bepaal je regels rond de vertrouwelijkheid van deze informatie en de eventuele bekendmaking van de ontdekte kwetsbaarheden op een verantwoorde en gecoördineerde manier.

 

Een aanvullende organisatorische en technische maatregel

Het toepassen van zo’n policy wordt beschouwd als een waardevolle aanvulling op jouw veiligheidsbeleid en schept een aantal voordelen:

  • het biedt een juridisch kader voor ethische hackers, 
  • kwetsbaarheden worden eerder ontdekt en opgelost/hersteld voordat malafide cybercriminelen er gebruik van maken, 
  • met zo’n beleid geef je als bedrijf aan je stakeholders aan dat zij vertrouwen kunnen hebben in je IT-systemen,
  • de vertrouwelijkheid van de informatie wordt gewaarborgd, maar anderzijds wordt de IT-gemeenschap wel gecoördineerd op de hoogte gebracht van mogelijke kwetsbaarheden en leidt zo tot een verhoogde algemene cyberveiligheid,
  • je kan je met je organisatie compliant maken aan de vereisten van de GDPR, NIS-wetgeving, aansprakelijkheidsvereisten onder het Wetboek Economisch Recht, etc.

Het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) publiceerde reeds in november 2015 haar Good Practice Guide on Vulnerability Disclosure, From challenges to recommendations. Deze gids van 92 pagina’s behandelt de achtergrond van de uitgevoerde studie op deze policies, de verschillende uitdagingen en bevindingen én geeft vervolgens een reeks aanbevelingen die je kan gebruiken bij het opstellen van deze policies. In de annex wordt een uitgebreide template met begeleidende informatie voorzien.

Zeer recent publiceerde ook het Centrum voor Cyber Security België (CCB) haar ‘Gids over het beleid voor de gecoördineerde bekendmaking van kwetsbaarheden’. Deze praktische gids bestaat uit 2 delen. In deel I: goede praktijken geeft het CCB een reeks aanbevelingen om zowel de inhoud van de CVDP als de procedure ervan zo goed als mogelijk op te stellen. In deel II: wettelijke aspecten geeft zij een uitgebreide toelichting van de toepasselijke strafrechtelijke bepalingen met telkens een toepassing op de CVDP en bespreekt zij de policy in het kader van de GDPR.

Het CCB geeft zelf alvast het goede voorbeeld en heeft op haar eigen website een Coordinated Vulnerability Policy geplaatst. Het CCB biedt zich ook aan als coördinator tussen je organisatie en de deelnemers om bijstand te verlenen bij de toepassing van je policy. Contact kan opgenomen worden via vulnerabilityreport@cert.be.

De opmaak van zo’n policy wordt dus aangemoedigd door de Europese en nationale cybersecurity-autoriteiten. De uitgebreide documentatie die zij daarvoor aanbieden, vormt alvast een goede basis om zelf aan de slag te gaan met een CVDP.

 

Enkele addertjes onder het gras

Het opstellen van zo’n CVDP is echter niet zonder risico. De hierboven vermeldde documentatie maakt dit ook reeds duidelijk, maar we wijzen graag op een aantal extra aandachtspunten. 

  • Scope en voorwaarden

Met het CVDP geef je als organisatie aan onder welke voorwaarden je toelaat om handelingen te stellen die in principe onder de strafrechtelijke kwalificatie kunnen vallen van externe/interne hacking, informaticasabotage, gebruik van hacker tools en het onderscheppen van elektronische communicatie.

Het CCB spreekt in haar richtlijnen over een vorm van toetredingsovereenkomst of een machtiging om deze handelingen te stellen. Het neemt immers het onrechtmatig karakter van de handeling weg om te kunnen spreken van een strafbare gedraging. Vanaf dat je deze machtiging (dus de scope en de voorwaarden van de policy) overschrijdt, val je terug in het strafrechtelijk discours.

Een onduidelijke policy bevat verschillende risico’s, zowel voor de onderneming die de policy publiceert, als voor de hacker die deelneemt aan het disclosure programma. 

De interpretatie die een onderneming geeft aan de toepassing van de voorwaarden is daarom niet dezelfde als degene die het Openbaar Ministerie er eventueel aan zou geven. Het is nog af te wachten welk vervolgingsbeleid het Openbaar Ministerie in dit kader zal volgen. Redelijkerwijs kan aangenomen worden dat zolang hacker en onderneming in goede verstandhouding de policy respecteren, er geen al te grote problemen te verwachten zijn, nu zulke policies ook vanuit de overheid aangemoedigd wordt.

Voorzie tot slot ook steeds een duidelijke timebox waarbinnen de voorwaarden van de policy gelden. Wijzig je de voorwaarden, zorg dan voor duidelijkheid wanneer deze wijzigingen van toepassing zijn, zodat ethische hackers ook duidelijk weten binnen welk speelveld ze jouw systemen kunnen testen. 

  • Belangen van derden

Hou bij de opmaak zeker rekening met de rechten van derden. Gebruik je als bedrijf een cloudomgeving of andere hardware/software-systemen van derden, dan moeten ook zij toelating geven om deze op een ethische manier te laten hacken. Zo niet, dan komt het onrechtmatig karakter van het hacken weer bovendrijven. Of erger, in dat geval zou je zelfs kunnen oordelen dat de onderneming die de policy publiceert, zich schuldig maakt aan aanzetting tot hacking, wat zwaarder bestraft wordt dan het hacken zelf.

  • Gevolgen en eventuele schade

Jouw systemen laten testen kan ook ongewild schade veroorzaken:  IT-systemen die vastlopen/crashen met een tijdelijke onbeschikbaarheid van het systeem of verlies van gegevens, de performance/doorvoer van je systemen kan worden aangetast tijdens het testen, data kunnen worden gewijzigd of verwijderd, alarmen kunnen worden geactiveerd door inbraakdetectiesystemen, etc. Hierdoor kan je onderneming enorme schade oplopen. De neiging zal dan groot zijn om alsnog de gekende hacker aansprakelijk te stellen.

Jouw policy moet dus naast de melding dat er geen strafklacht zou neergelegd worden, ook bepalen in welke mate en hoe de hacker aansprakelijk kan geacht worden voor eventuele schade en anderzijds welk risico op schade de onderneming voor haar eigen rekening neemt. Bepaal ook in hoeverre je de betrokken hacker zal vrijwaren voor claims die van derden kunnen komen.

Stem jouw policy ook steeds af met je lopende schadeverzekeringen en je eventuele afgesloten cybersecurity verzekering. Kijk ook steeds na of je geen melding moet maken van de publicatie van de policy, aangezien de betrokken verzekeraar kan oordelen dat dit een risicoverzwaring inhoudt.

  • Proportionaliteit als leidraad

Een algemeen principe dat steeds dient gehanteerd te worden, is dat van de proportionaliteit. De betrokken hacker mag alleen doen wat noodzakelijk is om de kwetsbaarheid bloot te kunnen leggen.

Zorg daarom in je policy onder meer voor een expliciet verbod tot social engineering, verbod op het plaatsen van een eigen ‘backdoor’ om een kwetsbaarheid aan te tonen, verbod tot wijzigen, kopiëren of verwijderen van data, verbod om herhaaldelijk toegang tot IT-systeem te zoeken, verbod om toegang tot systeem met anderen te delen en het verbod tot bruteforcen (herhaaldelijk gebruik van wachtwoorden).

  • Ook GDPR komt weer om de hoek loeren…

Bij het uittesten van je systemen kan het zijn dat de hacker kennis krijgt van persoonsgegevens en deze op de ene of andere manier dient te verwerken. Bepaal daarom ook meteen in je policy dat de hacker zelf voldoende garanties biedt met betrekking tot de toepassing van geschikte technische en organisatorische maatregelen. De ethische hacker moet zich hiervan bewust zijn, aangezien het gebrek van zulke garanties hem per definitie uitsluit van de voorwaarden van de policy en zich opnieuw op strafrechtelijk glad ijs bevindt.

Voorzie daarnaast als onderneming in je policy ook de wettelijk verplichte bepalingen zoals deze zijn opgenomen in art. 28 van de GDPR. Zorg ervoor dat je duidelijk doel en middelen bepaalt zodat elke hacker goed kan inschatten binnen welke grenzen de hacking onder een rechtmatige verwerking valt. Gaat de hacker buiten die opdracht, dan kan hij als eigen verwerkingsverantwoordelijke beschouwd worden en zich eveneens blootstellen aan de specifieke GDPR-sancties.

  • De policy staat niet op zichzelf

Hou er tot slot rekening mee dat een CVDP nooit op zichzelf staat. In geval van mogelijke verwerking van persoonsgegevens moet je dataregister aangevuld worden. Ga ook na of je vooraf geen DPIA (gegevensbeschermingseffectbeoordeling) moet uitvoeren. Voorzie daarnaast ook een aangepast incident response plan dat rekening houdt met de hypothese van de CVDP. Verzorg je interne en externe communicatie bij de melding van een kwetsbaarheid.

 

Naar een matuur cyberveilig beleid

Het opstellen en publiceren van een CVDP draagt zonder twijfel bij tot de maturiteit van de cyberveiligheid van je onderneming of organisatie. Het toont eveneens aan dat je een aanvullende technische & organisatorische maatregel neemt in overeenstemming met de toepasselijke wetgeving. De correcte opstelling van zo’n CVDP vraagt echter wel om de juiste juridische reflexen die niet altijd even eenvoudig zijn.

 

Meer informatie of begeleiding nodig bij de opmaak van een CVDP? 

Neem dan gerust even contact op met ons team via roeland@siriuslegal.be of neem eens een kijkje op onze Cyber security en legal risk management pagina’s.

19.06.2020 Roeland Lembrechts

De aansprakelijkheid van IT-dienstverleners

Door de digitale evolutie heeft zowat elke onderneming nood aan een kwalitatieve ICT-infrastructuur. Externe dienstverleners uit de IT-sector bieden daarbij graag verschillende diensten aan om ondernemingen op een geïntegreerde wijze hun economische activiteiten te verbeteren en te innoveren. Maar naast de zoektocht naar efficiëntie en verbetering dient ook steeds meer rekening gehouden te worden met de digitale veiligheid van deze ondernemingen. En ook daar speel je als externe IT-dienstverlener een belangrijke rol. 

 

Veroordeling in Nederland

De rol van de IT-dienstverlener werd door de rechtbank van Amsterdam nog eens op scherp gesteld met een vonnis van 14/11/2018 (gepubliceerd op 07/06/2020). Een Nederlands IT-bedrijf had een volledige IT-infrastructuur geplaatst bij een administratiekantoor en verzorgde vervolgens op afroep het onderhoud en beheer ervan. Deze dienstverlening kon beschouwd worden als een totaalpakket. Dit administratiekantoor werd echter het slachtoffer van een aanval met ransomware, waardoor alle data versleuteld werden, inclusief de back-ups.

Het bewuste administratiekantoor heeft uiteindelijk een vergoeding via bitcoins moeten betalen om haar data vrij te krijgen en heeft beroep moeten doen op een gespecialiseerd Cyber Security bedrijf om de oorzaak van de aanval te achterhalen. Op basis van die bevindingen besloot het administratiekantoor om het IT-bedrijf aansprakelijk te stellen en vorderde zij een schadevergoeding wegens o.a. omzetverlies, personeelskosten, betaling van de vergoeding in bitcoins voor vrijgave van de data en de kosten van het gespecialiseerd Cyber Security bedrijf om de technische oorzaak te achterhalen. De rechtbank kende die vergoeding grotendeels toe en het IT-bedrijf diende hiervan ⅔ te betalen. Dit kwam, naast de gerechtskosten, neer op een bedrag van +/- 10.000 Euro.

We zouden nog voorzichtig kunnen stellen dat deze cyberaanval een relatief beperkte impact heeft gehad, maar de overwegingen van de rechtbank zijn daarentegen wel van bijzonder belang voor elke onderneming die IT-diensten aanbiedt. Net daarom geven we hier een kort overzicht van de belangrijkste overwegingen:

  • Er was geen schriftelijke overeenkomst zodat de rechtbank heeft gekeken naar wat een klant mag verwachten bij de implementatie van een IT-infrastructuur, in dit geval wanneer het gaat over een totaalpakket. Ondanks de discussie tussen de partijen, heeft de rechtbank geoordeeld dat adequate beveiligingsmaatregelen daar ook effectief toebehoren. Het niet leveren van een firewall en externe back-ups in dit geval brengt de rechtbank tot het besluit dat de IT-dienstverlener in gebreke is gebleven.
  • Dat de IT-dienstverlener beveiligingsmaatregelen had voorgesteld, maar dat deze afgewezen werden door de klant, verandert niets aan de eigen verantwoordelijkheid van de IT-dienstverlener. Die had in dat geval de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aanbieden of op zijn minst indringend en herhaaldelijk waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten.
  • Dat het betrokken contact bij de klant zelf voldoende ICT-kennis zou hebben, doet evenmin afbreuk aan de eigen verantwoordelijk van de IT-dienstverlener.
  • Indien er gebruik was gemaakt van strengere technische beveiligingsmaatregelen samen met sterkere wachtwoorden, dan had de kans bestaan dat de ransomware-aanval geneutraliseerd kon worden. Nu dit niet het geval was, moet de fout en de oorzaak bij de IT-dienstverlener gezocht te worden. Enkel omdat de klant zelf zwakkere wachtwoorden prefereerde, is de klant gedeeltelijk medeverantwoordelijk gesteld.
  • De ICT-dienstverlener kan in dat geval de bijkomende herstelwerkzaamheden niet doorrekenen aan de klant.

 

En wat in België?

Dezelfde overwegingen zoals in het Nederlandse vonnis zijn terug te vinden in de Belgische rechtspraak. Zo werd reeds geoordeeld dat bij het ontbreken van een schriftelijke overeenkomst het vermoeden geldt dat IT geleverd wordt cfr. de concrete behoeften van de klant. Beveiligingsmaatregelen kunnen daar dus bij horen. 

Op de IT-dienstverlener rust ook een zware informatieverplichting, gelet op het gespecialiseerde karakter van zijn dienstverlening. Schending van die informatieverplichting zou zelfs kunnen leiden tot nietigheid van de overeenkomst door dwaling bij de klant. Informeren over de nodige beveiligingsmaatregelen en de eventuele risico’s is dus een absolute must.

Weigert de klant adequate beveiligingsmaatregelen te aanvaarden, dan heeft de IT-dienstverlener hetzij de verplichting om de opdracht te weigeren, hetzij de verplichting om de klant schriftelijk te informeren over de risico’s van het ontbreken van adequate veiligheidsmaatregelen. Het is aangeraden om in dit geval de klant te laten aftekenen dat de IT-dienstverlener niet aangesproken kan worden.

Tot slot zal bij de vaststelling dat de IT-dienstverlener aansprakelijk is, de schade ook begroot kunnen worden aan de gederfde winsten en alle opgelopen kosten, inclusief de kosten van een eenzijdig IT-forensisch onderzoek, voor zover dit als noodzakelijk kon beschouwd worden.

 

Even samengevat

Je kan besluiten dat de verantwoordelijkheid van de IT-dienstverlener bij een cyberaanval niet min is. Zeker indien de impact voor de klant nog groter is. Een bedrijf dat een aantal weken haar economische activiteiten niet kan uitoefenen, wordt al snel geconfronteerd met een enorm omzetverlies en personeelskost. Ook de ‘losgelden’ om snel data vrij te krijgen kunnen een pak hoger liggen. Hetzelfde geldt voor de herstelwerkzaamheden die nadien moeten gebeuren om het bedrijf digitaal weer up and running te krijgen.

Om die reden is het voor elke IT-dienstverlener van het grootste belang om bij elke opdracht een schriftelijke overeenkomst te voorzien, de klant zeer goed en aantoonbaar te informeren en zo mogelijk een verzekering beroepsaansprakelijkheid te sluiten.

Mocht je meer vragen hebben over je aansprakelijkheid als IT-dienstverlener en wat je kan doen om dit zo goed mogelijk in te dekken, contacteer dan gerust Roeland via roeland@siriuslegal.be.

23.11.2019 Roeland Lembrechts

Waarop moet je letten bij een cloudcontract?

Op 16 oktober werd door de experten Bob Diachenko en Vinny Troia een gigantisch datalek ontdekt op de Elasticsearch-server. Het gaat om een lek van 4 terabyte van zo’n 4 miljard gebruikersaccounts. De experten telden gegevens van meer dan 4 miljard unieke personen. Het gaat daarbij over gegevens zoals namen, e-mailadressen, telefoonnummers en profielinformatie van verschillende platformen zoals Facebook, Linkedin, Twitter & GitHub. Men spreekt over het grootste datalek ooit in een cloudomgeving. (https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/)

Steeds meer bedrijven schakelen de laatste jaren over op de ‘cloud’ en dat is niet zonder reden. Het reduceert IT-kosten, zorgt voor effectiever mobiel werken, een hogere productiviteit, standaardisatie van processen, … Je gebruikt en betaalt immers enkel hetgeen je nodig hebt in de cloud. Dit in tegenstelling tot aankoop van het traditionele on-premise IT-materiaal. Die voordelen blijken ook op grote schaal hun effect te kennen: gebruik van cloud computing heeft een relevant effect op het bruto binnenlands product (bbp) van de EU met maximaal € 250 miljard en creëert 3,8 miljoen banen tegen 2020 vergeleken met 2012.

Maar ondanks al deze voordelen blijken heel wat ondernemingen tot op vandaag nog terughoudend te zijn om hun activiteiten toe te vertrouwen aan cloudservices. De grootste redenen hiervoor zijn onvoldoende kennis en deskundigheid van de contractuele, de juridische aspecten en de technische implementatie van diensten op basis van de cloud. Maar ook het risico van een inbreuk op de beveiliging blijkt een belangrijke overweging voor ondernemingen: de zorg over een beveiligingslek scoort het hoogst voor zowel grote ondernemingen als KMO’s.

 

Onderzoek naar de economische schade ten gevolge van slechte cloudcontracten

De Europese commissie publiceerde op 04/11/2019 haar finaal rapport ‘Study on the Economic Detriment to Small and Medium-Sized Enterprises Arising from Unfair and Unbalanced Cloud Computing Contracts’ waarin duidelijk wordt welke problemen Europese kmo’s ondervinden met cloud-contracten en wat de kost inhoudt van oneerlijke en onevenwichtige Cloud Computing Contracten.

Uit dit onderzoek is onder meer gebleken dat:

  • de contractuele verantwoordelijkheid van de cloudprovider in vele gevallen onduidelijk blijkt te zijn door overlappingen en lacunes in de overeenkomsten. Dit blijkt vooral zo met betrekking tot beveiligingsaspecten.
  • KMO’s ook kijken naar het aantal datalek-incidenten dat een cloudprovider reeds heeft gehad.
  • KMO’s in vele gevallen een slechte onderhandelingspositie hebben om de algemene voorwaarden aan te passen aan hun behoeften, waardoor zij niet altijd een aangepaste oplossing hebben wanneer er zich een probleem voordoet. De algemene voorwaarden worden regelmatig als oneerlijk beschouwd.
  • Cloud services heel wat vragen oproepen met betrekking tot privacy, vertrouwelijkheid en gegevensintegriteit.
  • In de periode 2016-2017 één op de vier KMO’s geconfronteerd werd met contractgerelateerde problemen met Cloudproviders. De belangrijkste problemen hielden verband met de non-conformiteit van de geleverde dienst. Het gaat dan voornamelijk over  de snelheid van de dienstverlening (55% van de bevraagde KMO’s), de beschikbaarheid of continuïteit van de dienst (49%), updates van de service (32%) en duidelijkheid van de instructies voor het gebruik van cloud computing-services (26%).
  • Problemen met betrekking tot beveiliging vrij vaak voorkwamen. Daarbij gaat het vooral over het gebrek aan bescherming van de gegevens tegen diefstal of virussen en ongeoorloofde openbaarmaking van of toegang tot gegevens.
  • Contractgerelateerde problemen een groot economisch nadeel genereerden, gemeten aan de hand van verloren omzet en alle andere kosten. Het omzetverlies was de belangrijkste component van het nadeel, die 37% van het totale nadeel vertegenwoordigde, terwijl de kosten van personeel die betrokken zijn bij het oplossen van het probleem ongeveer 32% van het totale nadeel vertegenwoordigen.

 

Waarop moet ik letten bij het ondertekenen van een cloudcontract?

Dat slechte cloudcontracten tot kosten en frustraties kunnen leiden, lijkt met dit onderzoek nu wel vast te staan. Een probleem dat vele ondernemingen ondervinden is dat zij te weinig kennis hebben van de technische implicaties van de aangeboden dienst én van de juridische garanties die daar tegenover moeten/kunnen gesteld worden. En dit is toch van belang, aangezien een probleem rond veiligheid van je bedrijfsgegevens of de gebrekkige dienstverlening moet leiden tot een adequate aansprakelijkheidsregeling van de Cloudprovider.

Die analyse is in vele gevallen niet eenvoudig. Cloud contracten zijn geen overeenkomsten die een aparte wettelijke regeling hebben. Zij moeten, afhankelijk van de soort dienstverlening(en), gekwalificeerd worden als een verkoop, lease, huur, hosting, aanneming, sui generis-overeenkomst, … Bovendien is er ondertussen heel wat Europese regelgeving die specifiek van toepassing is op digitale contracten/dienstverlening. Dit kan telkens zijn implicatie hebben op de draagwijdte van de aansprakelijkheid van de Cloudprovider en je mogelijkheden om tot een oplossing te komen.

Ondernemingen zijn dan ook meestal niet in staat om de gevolgen van deze contractuele beperkingen in te schatten. Nochtans kan dit van groot belang zijn in het geval je geconfronteerd wordt met een datalek en je als onderneming daar zelf voor verantwoordelijk kan gesteld worden.

Voordat je zulke overeenkomsten tekent, is het aan te raden om volgende zaken na te (laten) kijken. Een verwittigd man is er niet alleen twee waard, maar vooral minder gefrustreerd.

  1. Kijk na hoe de onderlinge verantwoordelijkheid tussen jezelf en de Cloudprovider verdeeld is. Is die evenwichtig? Is dit duidelijk genoeg gedefinieerd? Kan dit bij problemen tot een bevredigende en snelle oplossing leiden? Heeft de Cloudprovider niet al te veel zijn aansprakelijkheid beperkt en is dit nog rechtmatig? Zijn de Clouddiensten conform de Cloud SLA  Standardisation Guidelines van de Europese Commissie?
    In vele gevallen zijn Cloud-overeenkomsten standaardcontracten en is je onderhandelingsmarge niet echt ruim. Wens je toch te onderhandelen, hou er dan rekening mee dat de Cloudprovider zich via andere clausules of een hogere prijs zal willen indekken. Het is in elk geval het proberen waard en helpt je bij het beslissingsproces om al dan niet een overeenkomst te sluiten.
  2. Vraag ook wie de subcontractors zijn van de Cloudprovider. In vele gevallen beheren deze subcontractors essentiële onderdelen van de clouddienst en is het dus van belang dat je de betrouwbaarheid en de juridische verhouding met de Cloudprovider kent. 
  3. Hoe zit het buiten het gebruiksgemak met de databeveiliging en de privacy? Kan de Cloudprovider je verzekeren dat hij, indien toepasselijk, aan de NIS-verplichtingen voldoet? Regelmatig zal je ook een verwerkersovereenkomst moeten voorzien om je databescherming cfr. de GDPR te verzekeren. Ga ook steeds na waar de servers van de Cloudprovider fysiek staan.
  4. Blijkt uit de overeenkomst voldoende wat precies het voorwerp is van de dienstverlening? Weet je op voorhand welke dienst je effectief kan verwachten? Heeft de Cloudprovider voorzien dat hij eenzijdig wijzigingen aan het contract kan maken, gelet op de snelle evoluties in de IT-wereld? Zo ja, blijft de verhouding tussen de partijen dan nog evenwichtig?
  5. Zijn je intellectuele eigendomsrechten op je data en je creaties die je in de Cloudomgeving upload en/of ontwikkelt, voldoende beschermd? Is het duidelijk wat de eventuele eigendomsoverdrachten zijn en/of de gebruiksrechten die je er op toestaat?
  6. Zijn er onderzoeks- en controlemogelijkheden voor je voorzien? Kan je zelf controleren wat de beveiligingsmaatregelen zijn en op welke manier je data effectief bewaard worden? Kan je bijvoorbeeld nagaan of er sprake was van een datalek en zo ja, hoe groot de impact is?
  7. Aangezien een Cloudovereenkomst al snel een internationaal karakter heeft, is het nuttig om na te kijken welk recht van toepassing is en waar je eventueel je rechten kan uitoefenen. Kijk dus ook zeker na of je in werkelijkheid je rechten wel kan afdwingen.

 

Conclusie

Het succes van Clouddiensten voor een onderneming kan niet meer ontkend worden en is te danken aan haar kostenreducerende en flexibele toepassingen. Maar aan deze opportuniteiten en gebruiksvriendelijkheid zijn ook risico’s verbonden. Om die reden zijn ondernemingen nog steeds terughoudend ten opzichte van Cloudtoepassingen, waarbij voornamelijk een gebrekkige dienstverlening en de gebrekkige veiligheid van de bedrijfsgegevens als grootste bezorgdheden worden genoemd.

Om het vertrouwen te winnen in je Cloudleverancier is het om die reden aangeraden het Cloudcontract grondig door te (laten) nemen en zo mogelijk te onderhandelen over verschillende aspecten. Zo kan je op zijn minst inschatten welke risico’s je daarbij neemt en hoe je deze risico’s tot een aanvaardbaar minimum kan herleiden zonder al te veel te moeten inboeten op het potentieel van de Cloudtoepassing. 

 

Meer vragen?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.

22.10.2019 Roeland Lembrechts

Shadow-IT en GDPR: neem tijdig de juiste technische en organisatorische maatregelen

Op 10 september 2019 heeft de Poolse Gegevensbeschermingsautoriteit een monsterboete van 645.000 Euro opgelegd aan morele.net ten gevolge van een cyberaanval. Deze aanval was oorzaak van een datalek van gegevens van 2.200.000 personen. De beschermingsautoriteit verweet morele.net dat zij geen aangepaste maatregelen had genomen met betrekking tot de authenticatie bij toegang tot de data. Evenmin was er sprake van een effectieve monitoring van mogelijke aanvallen gerelateerd aan ongewone online activiteiten.

Hieruit blijkt opnieuw dat technische en organisatorische maatregelen van essentieel belang zijn om datalekken te voorkomen. Deze maatregelen moeten steeds ‘state of the art’ zijn en vereisen dus een voortdurende opvolging. Voor veel ondernemingen is hierbij een belangrijk aandachtspunt het gegeven van ‘Shadow-IT’. Dit is alle IT die ingezet wordt voor de activiteiten van de onderneming, maar niet onder de controle vallen van de onderneming. We denken daarbij aan het gebruik van verschillende Saas-toepassingen, file-sharing applicaties, cloud & storagediensten, etc. die werknemers gebruiken om hun werk uit te oefenen. Denk maar aan Whatsapp, dropbox, Wetransfer, … om te communiceren, bestanden te delen, etc.

 

Dood aan Shadow-IT

Veel werknemers kiezen voor het gebruik van Shadow-IT van zodra de IT-infrastructuur van de onderneming minder efficiënt en comfortabel, complexer en niet compatibel met eigen devices is en/of wanneer die werknemers geen of weinig kennis hebben van de gevaren van het gebruik ervan.

Het gebruiksgemak van deze applicaties zorgt ervoor dat de drempel zeer laag is. Maar dit gebruik vormt een reëel risico voor de bescherming van je data. GARTNER stelt o.a. dat in 2020 één derde van de veiligheidslekken haar oorzaak zal vinden in het gebruik van Shadow-IT. 

Én omdat je als onderneming geen controle hebt op de toepassing ervan, stel je je bloot aan schendingen van o.a. je GDPR-verplichtingen. De voorbeelden zijn talrijk. Als verantwoordelijke van je gegevens weet je niet waar je gegevens worden opgeslagen en wie er toegang heeft tot deze gegevens. Evenmin weet je of deze gegevens worden geëxporteerd naar servers buiten de EU. De provider van de applicatie of de cloud heeft evenmin een verwerkersovereenkomst met je afgesloten, laat staan dat je controle hebt op eventuele subverwerkers. Je weet dus niet welke beveiligingsmaatregelen deze provider heeft genomen om je gegevens alsnog te beschermen. In je verwerkingsregister zal al evenmin deze datastroom in kaart gebracht zijn, zodat er onduidelijkheid bestaat over de classificatie en de rechtsgrond voor verwerking van deze gegevens. Wanneer één van je klanten zijn of haar rechten onder de GDPR wenst uit te oefenen, dan zal dit niet evident zijn. Zo zal het recht om vergeten te worden bijzonder moeilijk kunnen uitgeoefend worden indien je niet weet waar de betrokken gegevens zich bevinden.

Shadow-IT binnen je onderneming is dus zeker niet zonder risico’s.

 

Lang leve Shadow-IT!

Ondanks de gevaren van Shadow-IT, kan en moet dit niet volledig verbannen worden. Werknemers zullen steeds zoeken naar tools die hun werk efficiënter en eenvoudiger kunnen maken. Zo blijkt ook uit The Entrust Datacard Shadow IT Report 2019 dat 97% van de respondenten overtuigd is dat werknemers door het gebruik ervan productiever zijn, 96% overtuigd is dat werknemers meer geëngageerd zijn en 93% ervan overtuigd is dat dit leidt tot een hogere loyaliteit ten aanzien van de onderneming. Het gebruik van Shadow-IT zou dus een concurrentieel voordeel kunnen opleveren.

Maar hoe kan je dit concurrentieel voordeel uitspelen zonder je bloot te stellen aan de voornoemde risico’s? Er zijn hiervoor verschillende maatregelen die je kan nemen. Zo kan je o.a.:

  • een duidelijk IT-beleid voeren met betrekking tot je data, software, hardware, website, …
  • duidelijke policies opstellen op voor je werknemers met betrekking tot het gebruik van je data, het gebruik van applicaties, thuiswerken, BYOD, …
  • je werknemers sensibiliseren rond de gevaren en voor een regelmatige opfrissingscursus, seminarie, etc zorgen.
  • voor een gebruiksvriendelijke IT-infrastructuur zorgen waarbij werknemers zo min mogelijk weerstand ondervinden om het te gebruiken.
  • alle tools die werknemers gebruiken registreren en controleren zodat ook werknemers weten welke extra tools kunnen gebruikt worden. Neem vervolgens contact op met de bewuste providers en controleer deze op IT-veiligheid en compliancy.
  • je IT-infrastructuur monitoren met Shadow IT ontdekkingstools en toepassing maken  van vb. CASB-oplossingen (Cloud Access Security Broker), veiligheidstoepassingen op basis van identificatie en authenticatie, etc.

 

Conclusies

Shadow-IT kan heel wat risico’s met zich meebrengen als het gaat over de cyberveiligheid van je onderneming. Een datalek als gevolg daarvan, kan leiden tot stevige boetes, zodat het aangeraden is om je technische en organisatorische maatregelen steeds te finetunen. Een belangrijk aandachtspunt bij deze maatregelen is het risicovol gebruik van Shadow-IT door je werknemers. Neem steeds de correcte initiatieven om dit risico maximaal te beperken.

 

Meer vragen over de cyberveiligheid van je onderneming binnen GDPR?

Neem dan gerust even contact op met Roeland via roeland@siriuslegal.be

17.05.2019 Bart Van den Brande

"Webhoster is (meestal) geen verwerker onder GDPR", zegt Hof van Beroep in Parijs

In een beslissing van 1 maart 2019 heeft het Parijse Hof van Beroep erop gewezen dat aan specifieke voorwaarden moet worden voldaan opdat hostingproviders aansprakelijk kunnen worden gesteld in geval van onwettige inhoud.

De Franse rechtbank oordeelde in één trek door ook dat hostingproviders op zich geen verantwoordelijke voor de verwerking van persoonsgegevens zijn onder GDPR en als zodanig niet onderworpen zijn aan verplichtingen op grond van de wet op de gegevensbescherming.

 

Advocaat dagvaardt website hosting provider

In dit geval is de eiser een advocaat die beweert dat een bedrijf – waarvan de hoofdactiviteit bestaat in het hosten van websites en het beheer van advertentieruimte – op twee websites, zonder zijn toestemming, een contactpagina heeft opgenomen met vermelding van zijn naam en bedrijfsactiviteit, samen met een vals -betalend- telefoonnummer.

Om een ​​lang en ingewikkeld procedureel verhaal kort te maken: de eiser voerde een kort geding tegen verschillende beklaagden, inclusief het bedrijf dat de betwiste webpagina’s hostte om te proberen al zijn persoonlijke informatie van de websites te zien verwijderen en een provisionele schadevergoeding van € 20.000 te bekomen. De eiser vroeg de rechtbank ook te bevestigen dat het hostingbedrijf een aantal verplichtingen uit de oude Franse privacywet (vervangen door de GDPR) en de informatieverplichtingen uit de Loi pour la Confiance Numérique (bij ons in België de Wet Elektronische Handel) niet had nageleefd.

De rechtbank wees echter alle vorderingen af omdat het hostingbedrijf als hostingprovider enkel dan aansprakelijk kan worden gesteld als het kennis had van de onwettige inhoud. De eiser had met andere woorden de hostingprovider vooraf moeten wijzen op het bestaan van inbreuken.

Het hof van beroep van Parijs bevestigde deze beslissing nu in haar recente arrest.

Op zich is bovenstaande een te verwachten en correcte toepassing van de huidige Franse en Europese regels rond de aansprakelijkheid van internet service providers (in dit geval een hosting provider).

 

GDPR

Interessanter is dat het Hof van Beroep ook heeft geoordeeld dat de hostingprovider onder GDPR (of voorheen de Franse privacywetgeving) géén verantwoordelijke voor de verwerking van persoonsgegevens is, maar een loutere verwerker.  Om die reden is het niet zijn verantwoordelijkheid om op eigen initiatief actie te ondernemen met betrekking tot de werking van de genoemde websites, zoals het voldoen aan wettelijke informatieverplichtingen onder GDPR of het verkrijgen van toestemming van de betrokkene onder GDPR.

Hiermee geeft het Hof van Beroep in Parijs een expliciete verduidelijking en bevestiging van de rol en de verplichtingen van hostingproviders.  Omdat zij in de meeste omstandigheden niet degene zijn die “het doel en de middelen bepalen voor de verwerking van persoonsgegevens”, wat de basisdefinitie is van een verantwoordelijke voor de verwerking, moeten ze niet voldoen aan de verplichtingen die op de verantwoordelijke voor de verwerking rusten.

 

Waarom is dit zo belangrijk?

Zowel de oude Belgische als Franse privacywetgeving, alsook de huidige GDPR maken een duidelijk onderscheid tussen enerzijds de verantwoordelijke voor de verwerking en anderzijds de verwerker, elk met eigen verplichtingen onder GDPR.

Het komt aan de verantwoordelijke voor de verwerking van persoonsgegevens toe om ervoor te zorgen dat de verwerking van persoonsgegevens conform GDPR gebeurt en dat de basisprincipes uit de GDPR nageleefd worden.  De verwerking moet proportioneel zijn, er mogen niet meer gegevens verwerkt worden dan nodig zijn, de verwerking en bewaring moeten beperkt zijn in de tijd, de verwerking moet doelgebonden zijn.

Het is bovendien de verantwoordelijkheid van de verantwoordelijke voor de verwerking om te zorgen dat hij of zij over een gepaste rechtsgrond beschikt (opt-in, gerechtvaardigd belang) én om ervoor te zorgen dat aan alle informatieverplichtingen ten aanzien van de betrokkenen wiens gegevens verwerkt worden voldaan wordt.

Een hele boterham, zeker als daaraan toegevoegd wordt dat het ook aan de verantwoordelijke toekomt om te voldoen aan de meldplicht bij datalekken, om als aanspreekpunt met de overheid en met de betrokkenen te fungeren en om ervoor te zorgen dat alle verwerkers veilig en conform hun verwerkersovereenkomst verwerken.

De verwerker op zijn beurt heeft het heel wat makkelijker.  Hij of zij is enkel een onderaannemer ten aanzien van de verantwoordelijke voor de verwerking en zijn verplichtingen komen en grosso modo op neer om de instructies van de verantwoordelijke te respecteren, de data niet voor eigen gebruik aan te wenden en enkel te verwerken binnen het kader van de opdracht en, de data veilig te verwerken en alle nodige hulp en bijstand te verlenen bij controles en data breaches aan de verantwoordelijke.

De verwerker zit op  het vlak van praktische en juridische verplichtingen én op het vlak van potentiële aansprakelijkheid in een veel comfortabelere positie van de verantwoordelijke en precies dat laatste blijkt ook uit het arrest dat we hierboven besproken hebben: de hosting provider ontsnapt aan aansprakelijkheid omdat hij een louter uitvoerende functie heeft, als onderaannemer voor de verantwoordelijke.

 

Moet je overigens een verwerkersovereenkomst afsluiten met je hosting provider?

Ja, in alle gevallen waarin je hosting provider toegang heeft tot persoonsgegevens waarover je verantwoordelijk bent (bijvoorbeeld omdat hij toegang heeft tot de backend van je website, tot de invulformulieren op je website, tot de analytics tools op uw websites, tot data uit tracking cookies op uw website, …)  wel en het is dan zelfs zo dat je hosting provider je spontaan de nodige verwerkersgaranties op papier zou moeten aanbieden. Veilig omgaan met jouw gegevens is immers de hoeksteen van zijn of haar beroep en de basis van uw vertrouwensrelatie met uw hosting provider.

Weet wel dat je als verantwoordelijke en “eigenaar” voor jouw eigen data verantwoordelijk bent om ervoor te zorgen dat je een verwerkersovereenkomst hebt met al jouw verwerkers alvorens je data met hen deelt.  De boetes bij het niet hebben van verwerkersovereenkomsten die veilige verwerking garanderen lopen op tot 2% van jouw wereldwijde omzet of 10 miljoen euro en die boete is in de eerste plaats voor jou als verantwoordelijke en niet voor de verwerker waar je beroep op deed.  Dring dus aan en zorg voor een schriftelijke verwerkersgarantie. dat kan overigens ook in algemene voorwaarden, in licentievoorwaarden of in elk bindend document tussen jezelf en je dienstverlener. Een afzonderlijke verwerkersovereenkomst is zeker niet altijd nodig.

 

Vragen rond GDPR?

Bart Van den Brande en de andere leden van ons team zijn graag beschikbaar.  Neem gerust contact op via bart@siriuslegal.be of op + 32 486 901 931

29.03.2018 Bart Van den Brande

GDPR tips: Verwerkersovereenkomsten met je webbouwer of hosting provider

25 mei 2018 nadert met rasse schreden en de voorbije paar maanden is de Belgische ondernemerswereld duidelijk eindelijk wakker geworden en gestart met de voorbereidingen op de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels).

Een vaak terugkerende vraag in de vele audits die we op dit ogenblik voor onze eigen cliënten uitvoeren is de volgende: “wat moeten wij eigenlijk eisen van onze webbouwer en/of onze hosting provider in een verwerkersovereenkomst onder GDPR?

 

Verwerkersovereenkomsten zijn verplicht…

De eerste vaststelling is dat je webbouwer, je hosting provider, je externe IT-leverancier, je online agency, mailingagency, enz… allemaal partijen zijn die toegang krijgen of kunnen krijgen tot jouw persoonsgegevens, het is te zeggen tot persoonsgegevens die jij hebt verzameld en die jouw “eigendom” zijn.  Dat betekent dat er met al deze partijen een zogenaamde verwerkersovereenkomst moet afgesloten worden.  Zo’n verwerkersovereenkomst is een onder GDPR verplicht te voorziene geschreven overeenkomst waarin elke derde partij die toegang krijgt of kan krijgen tot jouw persoonsgegevens moet kunnen garanderen dat hij of zij er “veilig” en “GDPR conform” mee om zal gaan.  Je bent verplicht zulke overeenkomsten af te sluiten en het loutere feit dat je ze niet hebt met alle betrokken derde partijen kan je –theoretisch gezien- een fikseboete opleveren.

 

… maar ook nuttig

Los van de mogelijke boetes is zo’n verwerkersovereenkomst overigens ook een erg nuttig document.  Het is immers jouw garantie of jouw zekerheid dat je partners zorgvuldig, veilig en correct met je bedrijfsdata zullen omgaan.  Vanuit dat oogpunt zou zo’n verwerkersovereenkomst eigenlijk de vanzelfsprekendheid zelve moeten zijn.

Maar wat moet er dan in die verwerkersovereenkomsten staan?  Wel, zoals al hoger aangegeven, is de eerste bezorgdheid om van de verwerker de garantie te krijgen dat hij veilig omgaat met jouw gegevens. Daarnaast zegt de verordening dat in de overeenkomst ook moet opgenomen zijn wat de verwerker precies zal doen voor je (website hosten, maintenance en support, mailingacties, etc…), hoe lang zijn opdracht zal duren (1 jaar, 2 jaar, onbepaalde duur, etc…), welke gegevens hij zal mogen gebruiken of waar hij toegang toe zal hebben (naam, adres, e-mail, IP-adres, …) en welke de rechten en plichten van elk der partijen zullen zijn in het kader van deze opdracht.

Het is vooral dit laatste element dat interessant kan zijn en dat een verwerkersovereenkomst een echte meerwaarde kan opleveren voor de webshopuitbater ten aanzien van de webbouwer, hoster, mailingpartner of andere partijen.  Je kan hier immers enkele erg belangrijke regelingen treffen die later erg handig kunnen zijn en die je in conflictsituaties de nodige zekerheid en controle garanderen.

In de eerste plaats kan je van de verwerker waarop je beroep doet eisen dat hij niet enkel garandeert dat hij “veilig” met je data zal omgaan, maar dat hij bovendien zeer specifieke richtlijnen opvolgt over wat hij wel en niet mag.  Dat is met name het geval wanneer de verwerker in kwestie toegang krijgt tot “gevoelige” data zoals bijvoorbeeld degene die de verordening zelf opsomt (medische gegevens, biometrische gegevens, gegevens over geslacht, geloofsovertuiging, seksuele voorkeur, politieke voorkeur, lidmaatschap van een vakbond, afkomst of etnie) of andere data die als gevoelig kan beschouwd worden, zoals betaalkaartgegevens of financiële gegevens.  In zulke omstandigheden kan je precies afspreken hoe data overgemaakt wordt, wie er toegang toe krijgt, waar ze bewaard moet of mag worden, wanneer ze gewist moet worden, etc…  Gekoppeld aan een controlerecht of een auditrecht ter plaatse, ben je op die manier zeker van de veiligheid van je data.

Daarnaast kan je best in een verwerkersovereenkomst duidelijkheid eisen over de verzekeringen van de derde-verwerker voor gevallen van datalekken, hacking, phishing of andere potentiële schadegevallen.  Jij bent als webshop immers altijd verantwoordelijk ten aanzien van je klanten en als een en ander fout loopt kan je maar beter zorgen dat je je tegen je leverancier kan keren en dat die goed verzekerd is.  Hacking is overigens lang niet zo exotisch als het lijkt.  We worden bij Sirius Legal geregeld geconfronteerd met dergelijke dossiers.

De volgende belangrijke stap is duidelijk afspreken of je partner beroep mag doen op onderaannemers en zo ja op dewelke.  De GDPR voorziet wat dat betreft in een standaard verbod op onderaanneming, wat betekent dat je partner voor elke individuele onderaannemer in se opnieuw bij jou moet komen aankloppen, wat voor heel wat praktische moeilijkheden kan zorgen.  Zorg er dus voor dat meteen in de initiële overeenkomst voorzien is hoe en wanneer beroep kan gedaan worden op bepaalde onderaannemers (we denken bijvoorbeeld aan zelfstandige IT-consultants die mee aan uw website zullen werken).

Een volgend aandachtspunt is informatie-uitwisseling en coördinatie van acties ingeval van data breach of dataverlies.  De Verordening voorziet immers voor het eerst in een formele verplichting om de overheid te verwittigen indien je gegevens verliest of als deze gestolen of gekopieerd (kunnen) worden.  Je moet dan binnen 72 uur na vaststellen van het incident de overheid verwittigen.  Het niet tijdig melden van data-incidenten is op zich een reden om een aanzienlijke boete op te lopen, wat je natuurlijk liever vermijdt.  Om je meldplicht ten aanzien van de overheid correct na te komen in die gevallen waarin het probleem bij een van jouw partners ligt, is het van belang dat deze partner je zo snel mogelijke alle details verschaft over de data breach die bij hem of haar plaatsvond en vooral ook dat hij of zij zelf niet op eigen houtje en zonder overleg de overheid inlicht terwijl je zelf nog niet klaar bent om te communiceren.  Zorg er dus voor dat dergelijke situaties duidelijk contractueel geregeld zijn.  Ook hier moeten we al te vaak vaststellen dat bedrijven de grootste moeite hebben om van bijvoorbeeld een hosting provider details te krijgen van data breaches bij de provider.  De natuurlijke reflex is immers altijd om het eigen falen te bedekken, wat in dit soort gevallen nu precies vermeden moet worden.

 

Hou altijd zelf controle

Met deze tips in het achterhoofd kan je wellicht aan de slag met verwerkersovereenkomsten die niet enkel voldoen aan de formele vereiste van de GDPR, maar die voor jouw bedrijf ook écht een meerwaarde kunnen betekenen als het ooit fout gaat.  Laat ons afsluiten met een laatste tip wat dat betreft: hou altijd zelf controle.  Zorg voor je eigen model van verwerkersovereenkomst en leg dat voor aan je partners voordat zij je hun model bezorgen.  De waarborgen die je spontaan aangeboden zal krijgen, gaan immers in de meeste gevallen minder ver dan wat je als klant graag zou zien in zo’n overeenkomst…

 

Vragen over verwerkersovereenkomsten of over GDPR in het algemeen?

Contacteer gerust Bart Van den Brande op 0486 901 931 of op bart@siriuslegal.be

21.02.2017 Bart Van den Brande

Fiscaal voordeel voor “innovatieaftrek” bij software development

De federale overheid ziet in België een draaischijf voor de ontwikkeling van intellectuele eigendom.  Octrooien, kwekersrechten, software development, … voor allemaal moet België een aantrekkelijke uitvalbasis vormen in de toekomst.  Om die reden wordt hard gewerkt aan enkele wettelijke en fiscale hervormingen die de ontwikkeling van onder meer nieuwe software moet bevorderen. 

Vandaag kennen vennootschappen al een belastingvrijstelling ten belope van 80% voor inkomsten uit de verkoop of licentie van gepatenteerde producten of procedés. Belangrijke voorwaarde bij deze ‘oude’ octrooiaftrek is dat een goedgekeurd octrooi moet worden voorgelegd. Hierdoor vallen een aantal belangrijke intellectuele eigendomsrechten uit de boot, zoals in veel gevallen ook software. Ook de lange wachttijd om een octrooi te laten goedkeuren blijkt vaak een pijnpunt.

Om hieraan te verhelpen werd begin dit jaar nu ook een nieuw fiscaal voordeel (“innovatieaftrek”) ingevoerd dat van toepassing is specifiek op de ontwikkeling van software.   Het nieuwe voordeel komt bovenop de toch al erg gunstige fiscale behandeling van royalties uit auteursrechten waarvan onder meer software developers al enkele jaren kunnen genieten.

 

Wat houdt dit nieuwe fiscale voordeel in?

De innovatieaftrek laat aan bedrijven toe om de innovatie-inkomsten op hun software ten belope van maximaal 85% (ipv de 80% die geldt bij octrooien) in aftrek te brengen en aldus de belastingdruk op hun inkomsten uit de ontwikkeling van software de facto terug te brengen tot +/- 5%.  Bedragen die de 85% overschrijden kunnen overgedragen worden naar een volgend jaar.

Het is bij dit alles niet langer nodig om een onderzoekscentrum in België te hebben, ook het land waar de octrooibescherming wordt bekomen, is in de toekomst minder belangrijk.

Voor ondernemingen die de huidige octrooiaftrek al toepassen, is een overgangsregeling voorzien tot 2021. In die periode kunnen ondernemingen kiezen en afwegen welke aftrek in de praktijk het voordeligst is voor hen.

 

Wat zijn “innovatie-inkomsten”?

Als “innovatie-inkomsten worden in aanmerking genomen alle in België belastbare inkomsten uit licenties, inkomsten uit schadevergoedingen voor inbreuken op het auteursrecht en softwarebeschermingsrecht en meerwaarden uit de overdracht of cessie van auteursrechten.

De innovatieaftrek zal enkel toegepast kunnen worden op de netto-inkomsten na aftrek van uitgaven die rechtstreeks en uitsluitend betrekking hebben op het intellectueel eigendomsrecht. Ondernemingen die verschillende R&D projecten hebben lopen of die werken aan “gemengde” projecten die slechts deels uit software development bestaan, moeten dus een en ander correct kunnen uitsplitsen.

 

Op welke software geldt de aftrek?

De innovatie-aftrek geldt voor nieuw ontwikkelde software die beschermbaar is door het auteursrecht en het softwarebeschermingsrecht (en die dus voldoende “origineel” is) en die als noodzakelijke voorwaarde moet voortvloeien uit een onderzoeks- of ontwikkelingsprogramma binnen het bedrijf.  De software mag bovendien geen inkomsten gegenereerd hebben voor 1 juli 2016.  Ook bewerkingen of adapties van bestaande software kunnen overigens in aanmerking komen.

Ondernemingen kunnen op deze manier gebruik maken van een aanzienlijk belastingvoordeel voor licentievergoedingen en verkopen van nieuwe software. Maar ook bedrijven die voor interne gebruik computerprogramma’s ontwikkelen kunnen voortaan gebruik maken van de belastingvrijstelling. In dat geval zal een ‘fictieve’ licentievergoeding berekend moeten worden, alsof de software in licentie zou zijn gegeven aan derden.

 

Beperking van de aftrek

Het belastingvoordeel is weliswaar beperkt overeenkomstig de BEPS (Base Erosion Profit Shifting) regels van de EU.

Enkel de eigen ontwikkeling door het bedrijf kan in aftrek genomen worden.  Dit noemt men de ‘Nexus’ berekening.  Het gevolg hiervan is dat een Belgische vennootschap niet louter gebruikt kan worden als ‘doorgeefluik’ zonder eigen R&D activiteit te ontwikkelen.

Vennootschap die intellectuele eigendom (deels) hebben ingekocht of het onderzoek hebben uitbesteed aan een verbonden vennootschap in een ander land, kunnen op dat ingekochte of uitbestede deel de fiscale aftrek dus niet gebruiken.

Het blijft om die reden van het grootste belang om de innovatieve activiteiten binnen een groep fiscaal optimaal te structuren, met daarbij de nodige aandacht voor transfer pricing.

 

Blijft bestaan: het fiscaal voordeelregime voor inkomsten uit auteursrechten

Naast bovenstaande nieuwe regels, kunnen fysieke personen (niet vennootschappen, maar wel hun aandeelhouders of bestuurders en zaakvoerders) al enkele jaren genieten van een érg interessante fiscale behandeling van inkomen dat zij ontvangen als vergoeding of royalities voor licenties of verkoop van software.

Fysieke personen die software ontwikkelen en deze commercialiseren via een vennootschap kunnen zo voor een bedrag van om en bij de 56.000 euro per jaar aan royalities uitkeren, belast aan een vaste bevrijdende roerende voorheffing van 25%.  Aangezien de wet ook voorziet in aanzienlijke forfaitaire kostenaftrekken die eerst in aanmerking genomen kunnen worden, is de netto belastingdruk op inkomsten uit royalties voor de fysieke personen achter een vennootschap in se beperkt tot 7 à 8%.

De combinatie van beide regelgevingen zorgt ervoor dat zowel vennootschap als aandeelhouder/zaakvoerder een erg gunstig fiscaal regime kunnen genieten op de commercialisering van (nieuwe software).

 

Vragen over softwarebescherming en licenties in het algemeen of de toepassing van de innovatie-aftrek en het royalties regime in het bijzonder?

Bart Van den Brande en de rest van ons team staan graag vrijblijvend tot uw beschikking op bart@siriuslegal.be of 0032 486 901 931