Blog Legal Look: Victor de Pous over eigendom van informatie

  1. 20 mei 2015
  2. 0 reacties

Victor de Pous

> Van wie is de data?

Eén van de vragen die telkens terugkeert, heeft betrekking op het eigendom van informatie die op basis van het leveringsmodel cloud computing wordt verwerkt. Bij nader inzien gaat de vraagstelling van de veronderstelling uit dat een clouddienst de facto een vorm van uitbesteding betreft. Dat hoeft niet, maar zal wel vaak het geval zijn. Het leeuwendeel van de clouddiensten, zowel IaaS, PaaS en SaaS, wordt immers door derden, de leveranciers, aangeboden en verzorgd. De eigendomsvraag is in dit perspectief zo gek nog niet. Maar pas op. Waarom zou het gebruikmaken van een dienst van een ander sowieso een eigendomsoverdracht inhouden? Om eens wat te noemen, wie een postpakket verstuurt, draagt eigendom van deze zaak niet over aan de koeriersdienst. Dezelfde redenering biedt uitkomst bij cloud computing.

We hebben echter al eerder gewaarschuwd. Eigendom vertelt niet het volledige juridische verhaal. Een informatie-eigenaar kan een ander bijvoorbeeld een licentie (gebruiksrecht) verlenen. En dat is precies wat de algemene voorwaarden van Google cum sui doorgaans bepalen. Wie gebruikmaakt van een clouddienst, geeft de leverancier een in tijd en omvang soms zelfs zeer brede licentie op de inhoud van met name opslagdiensten, die op basis van cloud computing worden geleverd. Dat kan voor de klant onwenselijk zijn. Meer algemeen: waarom streeft een cloudleverancier überhaupt een gebruiksrecht op de informatie van haar klanten na, anders dan noodzakelijk voor de technische levering van de service?

> Hoe zit het met dataportabiliteit?

Uit beschermingsoogpunt van de vertrouwelijkheid van de bedrijfsinformatie geldt dus de regel dat het terechte en logische behoud van eigendom op in de cloud verwerkte data alleen niet zaligmakend is. Die conclusie trekken we uit continuïteitsoogpunt door naar het gerechtvaardige belang van een hoog beschikbaarheidsniveau van het uitbestede bedrijfsproces. Dat belang lijkt weliswaar evident; toch blijft continuïteit bij clouddiensten helaas nog altijd onderbelicht. Jammer. Wat ook de reden van een leverancierswissel mag zijn - wanprestatie of faillissement van een leverancier, wijziging ICT-beleid aan gebruikerszijde en nog veel meer gronden - import en export van data kan medewerking van de cloudleverancier verlangen. Dat hangt mede af van het gebruikte data format en datamodel.

> Zijn er nog andere continuïteitsmaatregelen?

De rol van escrow - een van oorsprong Anglo-Amerikaanse financiële zekerheidsconstructie met juridische borging - met betrekking tot ICT is door de komst van cloud computing ingrijpend gewijzigd. Vroeger ging het vooral om depot, verificatie en updaten van de broncode, compilers en ontwikkeldocumentatie van zwaardere standaard softwarepakketten bij een onafhankelijke derde, die, na het voltrekken van een onzeker voorval, zoals wanprestatie of faillissement van de softwareleverancier, het gedeponeerde domweg aan de gebruiker afgeeft. Deze modus operandi biedt niet langer uitkomst bij cloud computing.

SaaS-escrow draait om het beschikbaar houden van de applicatie (betreft doorgaans een continue clouddienst) en het verlenen van toegang van de bedrijfsinformatie wanneer de cloudleverancier niet meer levert. Dat kan op verschillende manieren, bijvoorbeeld door de hosting provider niet-zijnde cloudleverancier, contractueel te verplichten door te blijven leveren, terwijl het escrow-agentschap de betalingsverplichtingen overneemt. Dat vraagt om voorafgaande toestemming van de cloudleverancier. Bovendien zal de escrow-agent de rol van de cloudleverancier slechts voor beperkte tijd (drie tot zes maanden) willen overnemen. Voor een structureel Plan B moet de klant dus zelf zorgen. Terecht. Regeren is vooruitzien.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

 
Dossiers