Enkele juridische bedenkingen bij Cloud Computing

Afhankelijk van de persoon met wie je erover spreekt is cloud computing ofwel dé toekomst van IT dienstverlening ofwel de meest overroepen hype van de voorbije 25 jaar.  De debatten op internetfora, conferences of LinkedIngroepen zijn wat dat betreft erg amusant om volgen.  Deze advocaat hoopt alvast dat cloud computing wat langer blijft hangen dan de meeste wolkenvelden, want zijn kantoor stapt zeer binnenkort ook binnen in the cloud.

Tijd dus voor een juridische analyse, want los van de theoretische, vaak bijna filosofische, discussies tussen believers en non believers is  cloud computing in het dagelijkse leven very real.  Elke dag worden meer of minder vernieuwende diensten verpakt als cloud diensten -als SAAS, PAAS of IAAS of een combinatie ervan- en afgeleverd aan eindklanten.

Cloud computing stelt twee voor de jurist of advocaat uitdagende aandachtspunten.

In de eerste plaats is er de contractuele relatie tussen eindgebruiker en dienstverlener, waarin de eindgebruiker op een zeer vergaande en uitzonderlijke wijze de controle over zijn bedrijf uit handen geeft.  Als de ganse IT van een bedrijf in de wolken verdwijnt, wordt het erg moeilijk voor dat bedrijf om zijn onafhankelijkheid ten aanzien van de cloud supplier te bewaren.  Als je daarbij ook nog de vaststelling rekent dat vele leveranciers evolueren naar standaard toetredingscontracten, wordt het al snel duidelijk dat de potentiële eindklant maar beter waakzaam kan zijn voor de kleine lettertjes.

Los van de voor de hand liggende nood aan een goede SLA, met daarin ook aandacht voor de rol van eventuele onderaannemers in de cloud, zijn er twee essentiële risico’s verbonden aan het feit dat de eindgebruiker de controle over zijn ganse IT, en dus zijn onderneming, uit handen geeft.  Beide zijn verbonden aan de vaststelling dat als de service op een gegeven ogenblik wegvalt, een tijdelijk of blijvend stilvallen van de activiteiten binnen het bedrijf van de eindgebruiker dreigt.

Het eerste risico in dit verband vloeit voort uit het recht voor de leverancier om de overeenkomst op te schorten als de eindgebruiker zijn verplichtingen niet nakomt, in huis- tuin en keukenlatijn is dit de niet-uitvoeringexceptie.   Als eindgebruiker wil je vanzelfsprekend niet dat je leverancier de stekker eruit trekt van zodra je enkele facturen niet hebt betaald.  De overeenkomst kan dus maar beter een duidelijke en vergaande inperking voorzien van het recht voor de leverancier om de servicelevering op te schorten als je als eindgebruiker wil voorkomen dat je op een gegeven ogenblik de gijzelaar wordt van je leverancier.

Een tweede, maar gelijkaardig, risico duikt op bij het einde van de overeenkomst.  Wanneer je op een gegeven ogenblik beslist dat je ofwel je data opnieuw in house wil brengen of dat je ze wil overbrengen naar een andere leverancier, zit je opnieuw in een situatie van afhankelijkheid van je supplier.  En aangezien je op het punt staat die supplier te verlaten, is hij niet noodzakelijk geneigd om erg hard meet te werken aan de overdracht van je data en zolang dat niet gebeurd is, heb je de controle over je onderneming niet opnieuw zelf in handen.

Ook hier kunnen enkele goede contractuele clausules veel ongemakken voorkomen.  Duidelijk kwantificeerbare verplichtingen en timings voor de leverancier voor teruggave van de data, de verbintenis onder schadevergoeding om geen data te wissen, continuïteit van de dienst tijdens de overgangsfase, … allemaal elementen om rekening mee te houden.

Maar los van de contractuele afspraken tussen leverancier en gebruiker duikt aan de horizon een probleem van een geheel andere orde op voor bepaalde bedrijven die cloud diensten willen gaan afnemen.

Als bedrijven in hun dagelijkse activiteit persoonsgegevens verzamelen van hun klanten en die gegevens de cloud insturen voor verwerking, duiken immers enkele op het eerste zicht onverwachte problemen op met de privacywetgeving.   Belangrijk daarbij is dat zowat élk bedrijf, vaak zonder het zelf te weten, persoonsgegevens verwerkt.  Een Outlook adressenfolder die op een server in de cloud staat en gebruikt wordt om gerichte mails aan groepen contacten te versturen volstaat immers al.

Het bedrijf dat persoonsgegevens verzamelt en verwerkt is de “verantwoordelijke voor de verwerking van persoonsgegevens” in de zin van de privacywet en op haar rust de verplichting om persoonsgegevens in overeenstemming met de wet te verwerken en erop toe te zien dat gegevens eerlijk en rechtmatig verwerkt worden, nauwkeurig zijn en tijdig bijgewerkt worden en niet langer bewaard worden dan nodig is.

De privacywetgeving ging er altijd al van uit dat de verantwoordelijke voor de verwerking beroep zou moeten doen op onderaannemers.  Toen de wet in 1992 werd opgesteld dacht men nog dat de meeste van die onderaannemers zich in hetzelfde land zouden bevinden als de verantwoordelijke voor de verwerking, of minstens binnen de Europese Economische Ruimte.  Binnen die EER gelden strenge privacybeschermingsregels, die veel verder gaan dan in veel andere landen, hierin inbegrepen landen zoals de VS.

De wetgever is er steeds van uitgegaan dat als gegevens toch doorgegeven zouden worden naar een land met een potentieel lager beschermingsniveau dan het Europese, zo’n doorgifte aan beperkingen onderworpen moet worden om te voorkomen dat die persoonsgegevens in zulke landen in verkeerde handen vallen (zulke “verkeerde” handen kunnen ook overheidsdiensten zijn, die in landen als de VS veel makkelijker beslag kunnen leggen op databases met persoons- en andere gegevens).  Bijgevolg is het naar het buitenland overbrengen van persoonsgegevens enkel toegelaten als de overdracht berust op een wettelijke basis en als ze nodig is voor de legitieme verwerking van de persoonsgegevens en is in elk geval een geschreven overeenkomst met de verwerker vereist.

Bovendien is overeenkomstig artikel 21 van de wet de overdracht naar een ander land eenvoudigweg verboden als dat land geen adequaat beschermingsniveau biedt.  Dit beschermingsniveau bestaat zeker wel voor de landen op de al bij al zeer korte “witte lijst” (o.m. Argentinië en Canada staan op deze lijst), maar voor alle andere landen is de verwerker op zichzelf aangewezen om te beoordelen of het beschermingsniveau hoog genoeg ligt (hij riskeert boetes tot 20.000 euro als gegevens overgemaakt worden naar landen die niet aan de voorwaarden voldoen).

Voor zulke landen bestaan een aantal hulpmiddelen die ervoor moeten zorgen dat men toch aan de wettelijke beschermingsvereisten voldoet.  Amerikaanse bedrijven kunnen bijvoorbeeld vrijwillig een aantal door de EU uitgewerkte engagementen op contractuele basis aanvaarden (zogenaamde safe harbour clausules).  Voor andere landen kunnen partijen in hun schriftelijke overeenkomst standaardclausules opnemen die in de nodige bescherming voorzien, maar al bij al blijft de export van persooonsgegevens naar landen buiten de EER eerder moeilijk, wat Europese bedrijven eigenlijk een ernstig concurrentienadeel oplevert ten opzichte van bijvoorbeeld Amerikaanse bedrijven.

De problemen die een en ander stelt in de cloud spreken voor zich.  Het is voor de eindgebruiker zo goed als onmogelijk om elke onderaannemer te kennen, te weten waar die gelokaliseerd is en een geschreven overeenkomst met die partij af te sluiten die in de nodige beschermingsclausules voorziet.  Bovendien kan de eindgebruiker onmogelijk zijn door de wet opgelegde toezichts- en voorzichtigheidsplicht uitoefenen ten aanzien van contractspartijen die potentieel in alle hoeken van de wereld gevestigd zijn.  De eindgebruiker die persoonsgegevens in de cloud plaats, zeker in publieke clouds, verliest met andere woorden de controle over die persoonsgegevens die de privacywetgeving hem nochtans oplegt en dreigt door de aard van cloud computing zelf de facto en vaak ongewild inbreuken te begaan op de privacywetgeving.

Het gevolg is dat een strikte toepassing van de privacywetgeving een stevige domper zet op cloud computing voor dienstverlenende bedrijven die persoonsgegevens verwerken.  In die mate zelfs dat de privacycommissie van de Duitse deelstaat Schleswig Holstein zeer recent een advies verleende waarin zij stelt dat cloud computing diensten door hun aard in strijd zijn met de Duitse privacywetgeving, die op dezelfde Europese richtlijn gebaseerd is als de Belgische wetgeving en erg gelijkaardige bepalingen bevat.

Is het risico echt zo groot? Ja en neen, het Duitse advies is voorlopig enkel een niet bindend advies en het staat voorlopig ook alleen.  Bovendien lijkt de privacycommissie zelf ook te beseffen dat de huidige wetgeving weinig rekening houdt met nieuwe technologische evoluties en dat die technologisch e evoluties niet tegengehouden kunnen worden.  Anderzijds blijft de wet voorlopig de wet en loopt de ondernemer die zijn data in Brazilië, Ukraïne of Indië opslaat of verwerkt een reëel risico om de wet te overtreden en zich bloot te stellen aan aanzienlijke boetes.

Zijn er geen oplossingen?  Jawel, de contractuele compartimentering of regionalisering van de cloud, waarbij de leverancier garandeert dat Europese persoonsgegevens binnen de EER blijven en daaraan gekoppeld de nodige vrijwaringsclausules en schadebedingen kunnen heel wat onheil voorkomen.  Voor wie via een dochter of moeder in Duitsland persoonsgegevens verzamelt en verwerkt kan maar beter dubbel voorzichtig zijn, gelet op het vernoemde Duitse advies.  Voor iedereen geldt eigenlijk dat een voorafgaande risicoanalyse samen met de advocaat van het bedrijf aangewezen is.

Prof Van Eecke over o.m. cloud computing op de website van de privacycommissie : https://www.privacycommission.be/nl/static/pdf/seminarie-privacyrichtlijn/verwerking-van-persoonsgegevens—uitdagingen-voor.pdf

Voor een erg duidelijk artikel over het standpunt van de Duitse privacycommisie -of althans die van de deelstaat Schleswig Holstein- kan je hier een kijkje nemen:

https://www.mayerbrown.com/publications/article.asp?id=9363&nid=6