2. Hoe zit het met de wetgeving?

Bij cloud computing worden IT infrastructuur en toepassingen gebruikt over het internet in de vorm van een dienst. Daarbij staan uw bedrijfsgegevens bij een externe partij. Per definitie is die data in de public cloud niet plaatsafhankelijk. De gegevens zijn wereldwijd beschikbaar. De cloud service provider kan de gegevens (ver)plaatsen over verschillende datacenters over de landsgrenzen heen. En dat kan heel wat consequenties hebben op juridisch vlak.

Cloud computing wordt stilaan gemeengoed bij bedrijven. De markt voor cloud computing groeit dit jaar opnieuw met 20% tot 25%, tot meer dan 70 miljard dollar wereldwijd. Hiervan wordt een groot deel gerealiseerd door KMO’s. Nu al wordt ongeveer 10% van alle nieuwe software geleverd als Software-as-a-Service modellen.

Maar wat zegt de wetgever?

Bij cloud computing geeft u een deel of uw volledige ICT in handen van een derde partij die (de zorgen over ) het beheer van uw gegevens voor u zal overnemen. Door het outsourcen van de gegevens verlegt u echter niet de verantwoordelijkheid naar de wetgever toe. Als bedrijf blijf u dus zelf volledig verantwoordelijk om aan alle wettelijke bepalingen, die de wetgever oplegt, te voldoen. Uw IT kan u outsourcen in de cloud, maar de verantwoordelijkheid hierover niet.

Een tweede aandachtspunt is de privacy. Bij zo goed als iedere cloud dienst zal u in één of andere vorm gegevens opslaan over klanten, leveranciers of business partners. De Europese richtlijnen, omgezet in de Belgisch wetgeving, is hierover bijzonder streng. Er staan bijzonder hoge boetes tegenover. De gegevens mogen enkel bewaard worden in landen die een strenge privacy garanderen. Op de lijst van goedgekeurde landen staan alle EU landen, Zwitserland, Liechtenstein, Noorwegen, IJsland, Canada, Argentinië en Australië. Recent adviseerde adviesbureau Forrester zijn klanten expliciet om beter niet direct gebruik te maken van Amerikaanse Public Cloud providers omdat er onvoldoende privacy garanties zijn in de US door de Patriot Act.

Bekijk daarom aandachtig de volgende punten indien uw data onder de privacy wetgeving valt:

  • Vestiging van de Cloud service provider. Kijk goed na waar de service provider gevestigd is. Dit kan van belang zijn als er een juridisch conflict komt met de service provider. Het is makkelijker om iets juridisch af te dwingen bij een Belgisch of een Europees bedrijf.
  • Bewaartermijnen van gegevens. Worden alle gegevens bewaard volgens de wettelijke bewaartermijnen in België ? Bijvoorbeeld 3 of 7 jaar voor boekhoudkundige documenten. Of  5 jaar voor sociale documenten en bijvoorbeeld maximale bewaartijd van persoonsgegevens.
  • Locatie van de gegevens. In het contract moet uitdrukkelijk beschreven staan waar uw gegevens bewaard worden ivm de privacy wetgeving.
  • SLA. In de Service Level Agreement staat de beschikbaarheid van de dienst beschreeven, evenals garanties voor de veiligheid van de gegevens en procedures rond back-ups. Kijk ook na of er boeteclausules zijn die deze garanties hard kunnen maken en wat de voorwaarden zijn om het contract te verbreken als de service provider (herhaaldelijk) de SLA’s niet nakomt.
  • Mag uw service provider eenzijdig het contract verbreken? Uiteraard wilt u niet dat de service provider uw diensten stopzet of uw gegevens gijzelt als er een conflict ontstaat (bijv. over een onbetaalde factuur).
  • Wat gebeurt er bij het verbreken van het contract? Als u dan toch het contract verbreekt moet ook beschreven staan wat er met uw gegevens zal gebeuren en hoe u die terug kan krijgen. Best wordt dit ook onderbouwt met een schadevergoeding als er toch gegevens zouden gewist worden. Bekijk ook welke procedure uw leverancier gebruikt om de continuïteit van zijn diensten te garanderen na de verbreking van het contract.

Conclusie

Cloud Computing biedt heel wat opportiniteiten om uw IT flexibeler en goedkoper te maken, maar laat u niet vangen door het juridische aspect. Wilt u geen onnodige risico nemen, laat u dan bijstaan door een jurist als u een contract afsluit met een Cloud service provider, zelfs al gaat het om een standaard contract.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *