Cloud computing: David en Goliath

Computable Expert

mr. Alan Steele Nicholson MSc

Senior Juridisch Consultant

Expert van Computable voor de topics: Outsourcing en Cloud Computing

Meer

Sommige cloud computing-leveranciers behandelen, als waren zij een moderne Goliath, hun wederpartij als dwergen. Betekent dit dat een kleine ‘David’ elk contractsvoorstel dat zo een Goliath hem voorlegt, moet accepteren? In dit artikel wordt een recent cloudcontract bekeken waarbij twee ‘reuzen’ een overeenkomst hebben gesloten die onderhandelingsmogelijkheden toont die David misschien nog niet had gezien (of had mogen zien). Deze mogelijkheden zouden David nieuwe inzichten kunnen geven voor als hij zich in de cloud waagt, of hij nu een contract sluit met Goliath of met zijn vriendelijke cloudleverancier verderop in de straat.

Eind vorig jaar heeft Google een grote cloud computing-deal gesloten met de stad Los Angeles in de Verenigde Staten. Google zegde hierbij toe e-mail en samenwerkingssoftware (onderdelen van het Google Apps-systeem) te leveren 'as a service', met gebruik van haar zogenaamde Government Cloud-aanbod. Hoewel Google zelfs een jaar later nog steeds worstelt met het implementeren van deze diensten, zien zij de deal met LA inmiddels als een stap naar een nog grotere klant: de Amerikaanse overheid.

Om het LA-contract binnen te halen heeft Google concessies gedaan die nog niet eerder in cloudland waren vertoond. Dit artikel gaat na of deze pogingen Google iets hebben geleerd dat toegevoegde onderhandelingsruimte oplevert.

Google heeft de rol van onderaannemer op zich genomen in het contract met LA: Los Angeles heeft met Computer Sciences Corporation (CSC), als added value reseller, uitonderhandeld dat CSC de Google-diensten zal leveren. LA sloot een afzonderlijke overeenkomst met Google, die vervolgens aan het contract met CSC is gekoppeld.

De twee contracten zijn te omvangrijk om ze hier volledig te analyseren (voor een meer grondige analyse, zie de blog van David Navetta op infolawgroup.com). Het is echter wel mogelijk om in dit artikel een aantal kernthema's samen te vatten en een indicatie te geven over de vraag op welke punten er bewegingsruimte kan zijn bij toekomstige cloudonderhandelingen.

Eisen wat betreft risicobeheersing

CSC heeft de plicht om de veiligheid en vertrouwelijkheid van de beschermde gegevens van de stad LA te waarborgen. Ook heeft CSC de plicht om zeker te stellen dat Google aan de veiligheidseisen van CSC voldoet. Los Angeles kan CSC controleren op compliance en aan CSC de opdracht geven tot een jaarlijkse SAS-70 audit om er zeker van te kunnen zijn dat Google voldoet aan de eisen.

De beloften van Google verschillen van die van CSC. Google zegt toe te zullen voorzien in de 'faciliteiten' voor gegevensbescherming, op minstens het niveau waarop de eigen gegevens worden beschermd en dat daarbij ‘best practices ' zijn gevolgd. Men kan zich afvragen of het begrip ‘faciliteiten' hier misschien slechts verwijst naar, bijvoorbeeld, gebouwen, en of een verklaring over Google's handelswijze in het verleden ook waarborgt dat zij die handelwijze in de toekomst zal voortzetten. Een argument kan dan zijn dat de stad wordt beschermd door het feit dat CSC hoofdverantwoordelijke is.

Verplichtingen rondom vertrouwelijkheid/privacy

Op dit punt bevatten de contracten een brede definitie van vertrouwelijke informatie en bieden zij ruimte voor een niet gelimiteerde schadevergoeding ingeval van openbaarmaking van dergelijke informatie. Het blijft in beide contracten echter onduidelijk wat 'openbaarmaking' inhoudt. Binnen het kader van de verplichtingen rondom risicobeheersing zou er sprake zijn van een 'toerekenbare tekortkoming in de nakoming' (hierna: tekortkoming) op het moment dat, bijvoorbeeld, een hacker toegang verkrijgt tot beschermde gegevens, maar binnen het kader van de verplichtingen over vertrouwelijkheid zouden de leveranciers kunnen redeneren dat er slechts sprake is van tekortkoming wanneer zij actief gegevens 'vrijgeven'. Dit is dan ook een belangrijk aandachtspunt bij toekomstige onderhandelingen.

Voldoen aan wetgeving inzake privacy en beveiliging

Beide leveranciers zeggen toe te voldoen aan wetgeving inzake privacy en beveiliging. Onduidelijk blijft echter hoe zij de toepassing van de wetgeving op hun rol van 'slechts' gegevensverwerker voor zich zien.

Risico van ‘dataverlies'

Het is LA blijkbaar gelukt gunstige voorwaarden te verkrijgen inzake risico van dataverlies, waaronder een gegarandeerde onbeperkte aansprakelijkheid voor CSC. Hieronder valt ook aansprakelijkheid die voortvloeit vanuit een tekortkoming aan de zijde van Google. Echter, het blijft de vraag hoe CSC dit gaat interpreteren: bij welke soorten tekortkomingen van CSC zal LA daadwerkelijk schadeherstel worden toegekend? Wanneer men de schadeloosstellingen beziet die CSC en Google elk toezeggen in geval van tekortkomingen in hun voorzieningen inzake vertrouwelijke gegevens, moet helaas worden vastgesteld dat LA pas recht op ‘herstel' heeft indien de leverancier en LA het er met elkaar over eens zijn dat in de eerste plaats de leverancier verantwoordelijk was voor de tekortkoming. Dat lijkt een volstrekt onwaarschijnlijk scenario.

Voor de garanties die Los Angeles van CSC heeft kunnen krijgen geldt desondanks dat er een limiet aan de aansprakelijkheid is. CSC heeft een trapsgewijze schadeloosstellingclausule weten te krijgen, waarbij zij een onbeperkt herstel van bepaalde tekortkomingen toestaat, maar slechts gedurende dertig dagen na acceptatie. Daarna is een aansprakelijkheidsbeperking van kracht, die toeneemt met het verstrijken van de tijd. Maar, nogmaals: schadeloosstelling zal afhangen van de interpretatie van de tekortkoming. LA kan bijvoorbeeld schadeloos worden gesteld in geval CSC verantwoordelijk is voor ‘verloren' data (bijvoorbeeld een laptop met gegevens die kwijt is), maar wellicht niet als de gegevens door hackers zijn ontvreemd.

De bepalingen van Google houden onbeperkte aansprakelijkheid voor bepaalde tekortkomingen op het gebied van beveiliging en privacy in en geven LA iets meer bescherming dan het contract van CSC. Google garandeert bijvoorbeeld dat het zich aan de SLA zal houden en dat het de vertrouwelijke informatie van LA zal 'beschermen' (in tegenstelling tot de belofte van CSC, zulke informatie niet 'openbaar te maken').

Deze contracten zijn verre van perfect, laat staan mooi geschreven. Ze bieden David echter wel een broodnodige case study voor het omgaan met zijn veel grotere tegenpartijen.