Outsourcing in de cloud: een juridische puzzel?
Senior Juridisch Consultant
Expert van Computable voor de topics: Outsourcing en Cloud Computing
MeerEr zijn al veel artikelen over cloud computing geschreven en veel over outsourcing, maar tot nu toe is één onderwerp relatief onderbelicht gebleven, namelijk dat van de juridische bijkomstigheden van cloud computing outsourcing.
Enkele algemeen juridische aspecten werden geblogd door Walter van Holst en recent hebben Jeroen van der Lee en ik er in algemene zin over gesproken op een NGI/NvvIR/NVBI symposium. Maar tot nu toe heb ik weinig gezien over de juridische consequenties van cloud computing in een outsourcingssituatie.
Wat is daar voor bijzonders aan? Is cloud computing niet hetzelfde als SaaS, ASP of utility computing? En weten we al niet genoeg van de juridische aspecten van die soorten dienstverlening? Ja en nee. Als een blinde aan de staart van een olifant voelt, zal hij zich een ander beeld van die olifant vormen dan wanneer hij aan zijn poot voelt. Zo is het ook met cloud computing. De juridische consequenties zijn verschillend en afhankelijk van welk aspect van de dienst je bekijkt.
Cloud computing wordt op verschillende niveaus aan verschillende soorten klanten aangeboden. Een onderliggende laag, ‘ict-niveau', levert de ict-infrastructuur: ‘infrastructure as a service'. Een laag daarboven kan op ontwikkelingsniveau worden aangeboden: ‘platform as a service'. Daar weer bovenop kan het op gebruikersniveau worden aangeboden: ‘software as a service'. Op het bovenste niveau is er aanzienlijke overlap tussen cloud computing en SaaS, maar die overlap verdwijnt op de onderliggende niveaus. Elk van de niveaus kan dienen als platform voor outsourcing. Ik wil mij nu richten op de situatie waarin een klant zijn ict-infrastructuur uitbesteedt naar een cloud provider.
Waar moet een uitbestedende partij op letten bij het afsluiten van een cloud computing-contract? Ik denk op zijn minst, er zijn er ongetwijfeld meer, aan drie woorden: beveiliging, opschortingsrecht en compliance.
Wat veiligheid betreft, moet de uitbestedende partij bekijken wat voor maatregelen de provider heeft getroffen om zijn data te beschermen tegen beschadiging en hoe het gescheiden gehouden wordt van andere gebruikers. Dit is het onderwerp dat, wanneer er in de cloud iets misgaat (wat in de afgelopen paar jaren inderdaad voorgekomen is), de aandacht van de media krijgt. De klant zou moeten kunnen achterhalen wat voor back-upsystemen de provider te bieden heeft, welke oplossingen er geboden worden in geval van dataverlies, welke voorzieningen er zijn voor dataherstel, hoeveel tijd dat herstel in beslag zou nemen, hoe vaak het proces wordt getest, etc.
Opschortingsrecht is een wettelijke voorziening die, tenzij partijen anders overeenkomen, de provider toestaat om zijn dienstverlening stop te zetten en data vast te houden totdat de gebruiker naar tevredenheid aan (betaal)verplichtingen heeft voldaan. In outsourcingssituaties kan het uitoefenen van dat recht de bedrijfsvoering van de outsourcer stopzetten. Het is dus voor de klant van belang om een regeling te treffen met de provider, waarbij oog is voor de eventuele gevolgen (en oplossingen) in geval van een geschil in een later stadium.
Bij compliance spelen meerdere aspecten een rol, zoals privacy, financiële regelingen en licenties. De regelgeving rondom privacy in Nederland en elders in Europa is behoorlijk streng. Een van de voorschriften is dat persoonlijke gegevens niet verwerkt mogen worden buiten de Europese Economische Ruimte (EER) zonder toestemming van het Ministerie van Justitie. Echter, juist een van de kenmerken van cloud computing is dat, door middel van virtualisatie, de klant niet per se weet van welke fysieke servers de provider gebruik maakt bij zijn dienstverlening. Als de servers toevallig buiten de EER staan, zou de klant onbewust in overtreding van de privacyregelgeving kunnen zijn.
Vergelijkbaar is dat de financiële toezichthouder wettelijk is toegestaan informatie van klanten op te vragen aangaande beveiligingsmaatregelen en audit-voorzieningen en de verdeling van verantwoordelijkheden binnen een outsourcingsverband. Met dit soort regelingen wordt vaak geen rekening gehouden in de algemene voorwaarden van de providers. Het is aan de gebruikers om zich ervan te verzekeren dat de provider hen ook in staat kan stellen hun financiële verplichtingen na te komen.
Tenslotte moet de klant zich ook op het gebied van licenties aan de regels kunnen houden. Dat is nog een hele uitdaging, omdat de voorwaarden van standaard softwarelicenties (gebaseerd op CPU's bijvoorbeeld of op sites of gebruikersaantallen) niet meer toepasbaar zijn in een cloud. Dit betekent dat de klant, provider en licentiehouder van de software nieuwe afspraken moeten vastleggen waarmee elke partij beschermd wordt en van de geboden diensten gebruik gemaakt kan worden zonder overtredingen te begaan.
Door de hype rondom cloud computing worden sommige basisbeginselen makkelijk over het hoofd gezien. De kwesties die hier worden aangesneden zijn niet nieuw, ze staan slechts in een nieuwe context. Tijd en ervaring kunnen ons helpen de antwoorden te vinden, maar daarom moeten eerst wel de vragen worden gesteld.
P. Kok, 23-06-2009 11:59
Ik denk dat je wel gelijk hebt dat het de gemiddelde klant niet zal uitmaken. Maar dat is natuurlijk wel een beetje struisvogelpolitiek. De klant blijft wel verantwoordelijk voor het naleven van de relevante regelgeving. En ik voorzie net als de auteur lastige (juridische) knelpunten.
Peter Verhey, 16-08-2010 9:25
10-02 Het einde van het begin van cloud en virtualisatie
10-02 De windwakken van de cloud-sector
09-02 Citoto
09-02 Lang leve de hackers!
09-02 Modder gooien in ICT-land
08-02 Reseller verliest slag om het groene huishouden
08-02 Hadoop lijkt een alleskunner
07-02 Hou zicht op de informatie bij HNW
07-02 Eigen werknemer kan ook een vijand zijn
06-02 Krachtenbundeling NGI en TestNet is goede zaak
10-02 Ex-Misys-topman moet CSC uit penarie helpen
02-02 Sturen op minimale foutmarge
27-01 Offshoring kan exportmarkten openen
20-01 Heeft u een ‘global mindset’?
12-01 Oracle: Meer externe rekencentra door...
11-01 Cloud vraagt meer ‘maatwerk’ dan gedacht
09-01 Rijk verhangt servicecentrum werkplekbeheer
09-01 Atos neemt belang in Olympische partner MSL
06-01 Accenture beheert SAP-HRM van Shell
06-01 Nieuwe baas IBM past managementteam aan
|
|
07-09-10 Bedrijven zeggen meer uit te besteden in 2010
25-09-09 ASP Forum wijzigt naam in SaaS~Cloud Netwerk
Gemeenten en ICT besparingen
Sommige gemeenten wijzigen hun autonome ICT omgeving in een samenwerkingsverband met als doel het verlagen van ICT......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
Ik kan het mis hebben, maar ik denk, dat het de gemiddelde klant worst zal zijn, waar welke server zich bevindt. Als zijn applicaties en data maar beschikbaar zijn en de veiligheid wordt gegarandeerd door de leverancier. Persoonlijk denk ik, dat die dat zelfs heel wat beter kan garanderen in een perfect beveiligd datacenter met servers, dan ergens bij een klant op locatie.