Blog Legal Look: Victor de Pous over updaten

> Betreft updaten van software een juridische plicht? Cloud computing betekent automatisering op afstand, in datacenters en via internet. De apparatuur aan gebruikerszijde genoemd, bestaat uit PC, notebook, tablet en smartphone. Dat ook deze apparaten uit veiligheidsoverwegingen voortdurend moeten worden voorzien van de laatste softwareversies, hoeft nauwelijks uitleg.

Blog Legal Look: Victor de Pous over data crash

> Wie is verantwoordelijk voor een data crash? Er was eens een Nederlandse leverancier die – ten behoeve van een kant – naast de levering van een server, onder meer wekelijks onderhoud, beheer en service van het systeem op afstand op zich nam. In dit geval heet de klant Staalbouw Trappen en het hieraan verbonden bedrijf Staalbouw Purmerend. En noem het bewuste deel van de levering enigszins trendy: system operation as a service of sysop as a service. De server, waar de leverancier met betrekking tot het systeembeheer voor verantwoordelijk was, crashte op een gegeven moment. Guess what? Daardoor verdwenen allerhande gegevensbestanden van Staalbouw Purmerend als sneeuw voor de zon en kennelijk voor eens en altijd. Dat pikten de staalbouwers niet. Die stapten naar de rechter om schadevergoeding te vorderen. Recent wees het Amsterdam hof – dus in hoger beroep – arrest.

Blog Legal Look: Victor de Pous over afhankelijkheid

> Hoe staat het met de macht van cloudleveranciers?
Tijdens het inmiddels belegen debat tussen open source software en computerprogramma’s, die op andere wijze juridisch worden aangeboden, viel het begrip vendor lock-in regelmatig. Klanten van zogenoemde ‘closed source’ software zouden meer afhankelijk zijn van hun leverancier en daarom niet of moeilijker in staat zijn over te stappen zonder allerlei technische problemen en substantiële omschakelingskosten. Wie open source gebruikt, kan dat wel. Of dit een juiste aanname betreft? Door de bank genomen niet.

Blog Legal Look: Victor de Pous over handhaving

> Veel regels voor cloud computing: hoe zit het met de handhaving? We weten het inmiddels wel. ICT, of juister gezegd, digitale technologie en geautomatiseerde gegevensverwerking, kent een breed pakket aan wettelijke regels, waarbij wetgevers in Europa veelal het standpunt aanhangen dat telkens nieuwe en bijzondere wetgeving – uit oogpunt van rechtszekerheid, consumentenbescherming en/of stimulering van de ‘een te maken’ Europese markt – noodzakelijk is.

Blog Legal Look: Victor de Pous over eigendom van informatie

> Van wie is de data?
Eén van de vragen die telkens terugkeert, heeft betrekking op het eigendom van informatie die op basis van het leveringsmodel cloud computing wordt verwerkt. Bij nader inzien gaat de vraagstelling van de veronderstelling uit dat een clouddienst de facto een vorm van uitbesteding betreft. Dat hoeft niet, maar zal wel vaak het geval zijn. Het leeuwendeel van de clouddiensten, zowel IaaS, PaaS en SaaS, wordt immers door derden, de leveranciers, aangeboden en verzorgd. De eigendomsvraag is in dit perspectief zo gek nog niet. Maar pas op. Waarom zou het gebruikmaken van een dienst van een ander sowieso een eigendomsoverdracht inhouden? Om eens wat te noemen, wie een postpakket verstuurt, draagt eigendom van deze zaak niet over aan de koeriersdienst. Dezelfde redenering biedt uitkomst bij cloud computing.

Blog Legal Look: Victor de Pous over meldplicht datalekken

> Wat is de status van de Wet meldplicht datalekken?
De Tweede Kamer ging onlangs akkoord met een voorstel voor wijziging van de Wet bescherming persoonsgegevens, die uit juni 2013 stamt. Deze Wet meldplicht datalekken breidt tevens de bestuurlijke boetebevoegdheid van het College bescherming persoonsgegevens uit. En hoe. De maximale boete stijgt met 100% naar 450.000 euro.

Blog Legal Look: Victor de Pous over clouddiensten

> Wat is de status van rechtspraak over clouddiensten?
Algemeen bezien loopt het vrijwel zeker in geen enkel rechtsstelsel storm. Daaruit leiden we af dat slechts een enkele bij het cloudproces betrokken partij de gang naar de rechter maakt. Let op: het gaat nadrukkelijk om een ruimere groep stakeholders dan klant en leverancier van clouddiensten. Dat blijft opmerkelijk.

Blog Legal Look: Victor de Pous over privacy

> Is privacy in ‘The Cloud’ dood? Zeker niet, hoewel er steeds meer mensen zijn die aanvoeren dat er een einde aan is gekomen. ‘Individual privacy is effectively dead’ betoogden recent enkele Harvard-hoogleraren op het World Economic Forum in Davos. Dat valt echter te bezien. De Europese Unie scherpt juist wettelijke rechten voor natuurlijke personen en wettelijke verplichtingen voor bedrijf en overheidsorganisatie aan, inclusief hoge boetes voor onder meer het lekken van persoonsgegevens. Daar staat – toegegeven – tegenover dat opsporings- en veiligheidsdiensten steeds meer aftap- en toegangsrechten verkrijgen en telecombedrijven in veel Europese landen nog altijd verplicht zijn allerhande verkeersgegevens te registreren en te bewaren, ondanks de strijd met grondrechten.

Blog Legal Look: Victor de Pous over juridische trends

> Wat zijn de juridische trends voor 2015? De grote lijn toont zich klip en klaar: privacyrecht in soorten en maten domineert de juridische agenda. Zo zal Europa eindelijk de koop doorhakken en de Algemene Verordening Gegevensbescherming vaststellen, die het huidige regime uit 1995 (en dus ook onze Wet bescherming persoonsgegevens) vervangt. Meer rechten voor betrokkenen, minder administratieve lasten voor verantwoordelijken (overheid en bedrijfsleven) en bewerkers (de cloudsector), nieuwe meldplichten bij privacy-incidenten en bijvoorbeeld hogere sancties op niet naleving. Ondertussen zal het kersverse recht om vergeten te worden, voor rechtspraak zorgen. De eerste uitspraak naar Nederlands recht stelt Google overigens in het gelijk.

Blog Legal Look: Victor de Pous over veilige authenticatie

> Gaat DigiD veranderen?

Elektronische identiteiten en elektronische vertrouwensdiensten zijn essentieel voor cloud computing. Zo’n eID voor publiekrechtelijke handelingen betreft DigiD; bedrijven hebben eHerkenning. Dat wordt anders. In 2013 publiceerde BZK namelijk een ontwerp op hoofdlijnen van de werking van het uniforme eID Stelsel NL, dat zich richt op de eerste fase van een nationale infrastructuur voor identificatie, authenticatie en vaststellen bevoegdheid voor het maatschappelijk verkeer via Internet. In het kader van veilige authenticatie wenst Nederland de afhankelijkheid van één middel te verminderen en tevens gebruikers meer keuze te bieden. Er is gekozen voor een ‘multi-middelen’ strategie, terwijl partijen samen aan een publiek-privaat stelsel werken.

Blog Legal Look: Victor de Pous over softwarepiraterij

> Is er verband tussen softwarepiraterij en cloud computing?

Wie ICT zegt, zegt computerprogramma’s. Zonder softwarecode doen digitale apparatuur en dito infrastructuur immers niets. En wie computerprogramma’s zegt, zegt vervolgens softwarepiraterij.

Blog Legal Look: Victor de Pous over cloud computing

> Zien we eindelijk jurisprudentie ontstaan over cloud computing?
Het is al eerder genoteerd. Rechtspraak over clouddiensten blijft uiterst schaars, zeker wanneer we het aantal leveranciers, het aantal diensten en de omvang van sommige diensten meewegen. Toch is er nieuws. Zo schikte Sony in de Verenigde Staten recent met Amerikaanse slachtoffers van de geruchtmakende gegevensinbreuk uit 2011, waarbij persoonsgegevens en mogelijk creditkaartdata van in totaal 77 miljoen gebruikers van de clouddienst Sony Playstation Network werden gestolen. Een schikking van 15 miljoen dollar ligt nu voor.