Nieuw faillissementsrecht legt verregaande verplichtingen op aan cloudleveranciers

Net als cloud-diensten, komen ook de rechtsaspecten van dit leveringsmodel voor technologie en gegevensverwerking, goed op stoom. We zien telkens meer wetgeving, vooral in het domein privacy en netwerk- en informatiebeveiliging, inclusief meldplichten voor ICT-gerelateerde incidenten en toenemende bevoegdheden en bemoeienissen van toezichthouders. Onderbelicht is de vooralsnog schaarse Nederlandse rechtspraak over cloud computing. Ook gevolgen van de aankomende herijking van ons faillissementsrecht, mede in relatie tot de versleuteling van informatie van cloudgebruikers en de verplichtingen van cloudleveranciers, blijven grotendeels onder de radar.

Dat blijkt het trendonderzoek 'Cloud computing in juridisch perspectief 2016', dat de Stichting EuroCloud Nederland op de vakbeurs InfoSecurity op 2 november aan de bezoekers aanbiedt. De studie wordt jaarlijks, sinds 2010, uitgevoerd door bestuurslid mr. Victor de Pous.

"De rechtsontwikkelingen gaan nu snel. Dat zien we bijvoorbeeld ook bij de normering van grensoverschrijdende gegevensstromen. De Algemene Verordening Gegevensbescherming, het EU-US Privacy Shield, de uitspraak in hoger beroep in de zaak In re Warrant to Search a Certain Email Account Controlled & Maintained by Microsoft Corp, de EU-Verordening inzake netneutraliteit, de EU-Richtlijn netwerk- en informatiebeveiliging en bijvoorbeeld de EU-Verordening elektronische identiteiten en vertrouwensdiensten zijn, al dan niet mede, exponent hiervan", aldus De Pous.

Versterking rechtspositie curator

Ook het autonome Nederlandse recht is van groot belang voor de cloudmarkt. Zo maakte eind 2012 het Ministerie van Veiligheid en Justitie een begin met een herijking van het faillissementsrecht. Het gaat om modernisering, versterking van het reorganiserend vermogen van bedrijven en fraudebestrijding. In het kader van de bestrijding van fraude is op 14 juli 2015 het wetsvoorstel versterking rechtspositie curator bij de Tweede Kamer ingediend, met daarin opgenomen een reeks van maatregelen.

Met betrekking tot het gebruik van digitale technologie algemeen en cloud computing in het bijzonder zijn tenminste twee wettelijke voorschriften relevant. Artikel 105a verplicht de gefailleerde terstond de administratie aan de curator over te dragen met daarbij de noodzakelijke middelen, zoals encryptiesleutels, om de inhoud binnen redelijke termijn leesbaar te kunnen maken. Artikel 105b verplicht derden, die de administratie van de failliete onderneming in de uitoefening van hun beroep of bedrijf geheel of gedeeltelijk onder zich hebben, om de administratie desgevraagd aan de curator ter beschikking te stellen.

Verregaande medewerkingsplicht

"Niet iedereen beseft dat dit wetsvoorstel de rechtspositie van cloudleveranciers (maar bijvoorbeeld ook payroll providers) in alle hevigheid raakt. Het gaat namelijk om een verregaande medewerkingsplicht. Daarvoor mag de cloudleverancier weliswaar redelijke kosten aan de curator in rekening brengen, maar als er niets te halen valt, vist deze diensverlener achter het net en wellicht zelfs tweemaal, omdat er facturen van de klant openstaan", zegt De Pous. Met het oog op het mislopen van de kosten voor medewerking is van regeringszijde eerder geopperd om de tarieven te verhogen. Deze suggestie verdient geen aanbeveling. Het is onrechtvaardig om alle klanten voor het onzekere voorval 'by default' te belasten.

Encryptie

Onderbelicht is tevens het element an vhet verstrekken van encryptiesleutels aan de curator — om, zover noodzakelijk, de inhoud van de administratie binnen redelijke termijn leesbaar te kunnen maken — in het licht van het sterke encryptiebeleid dat Nederland sinds 4 januari 2016 voert.

"Ons kabinet wenst nadrukkelijk geen beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. Klare taal. Hoe verhoudt dit standpunt zich dan met het wetsvoorstel versterking rechtspositie curator?", vraagt De Pous zich af.

Van de redactie