M. Korpershoek, 'Een cloudescrow of niet?', eerder verschenen in Automatiseringsgids 10'12.

Regelmatig blijkt de escrow waardeloos te zijn vanwege juridische en/of technische mankementen.

Als een leverancier failliet gaat, kan een escrowregeling uitkomst bieden. Maar in veel gevallen zijn die regelingen waardeloos, zegt Marianne Korpershoek. Bij het toepassen van cloudcomputing nemen de problemen alleen maar toe. Afnemers hebben meer tijd nodig om goede keuzes te maken. Bovendien is het de vraag of een goede cloudescrow wel te betalen is.

Software is de afgelopen dertig à veertig jaar onontbeerlijk geworden voor de bedrijfsvoering. In die jaren is ook gezocht naar oplossingen om ervoor te zorgen dat een bedrijf door kan blijven werken met de bestaande systemen wanneer zijn leverancier failliet gaat of gewoon stopt. De oplossing wordt gevonden in een zogenaamde escrowovereenkomst. Wat alleen vaak wordt vergeten is dat zo’n overeenkomst bestaat in vele vormen. Regelmatig blijkt de escrow waardeloos te zijn omdat er sprake is van juridische en/of technische mankementen. Ook is vaak helemaal niet duidelijk of de gewenste continuïteit mogelijk of financieel haalbaar is. Ten slotte gaan steeds meer bedrijven over op het gebruik van applicaties in de cloud. Bij het gebruik van cloudcomputing biedt traditionele escrow niet voldoende soelaas en is het de vraag of goede cloudescrow wel te betalen is. In het schema worden de verschillende vormen van cloudescrow genoemd. Maar eerst, in het kort, iets over escrow in zijn kale vorm en een aantal handvatten om te bepalen of en welke vorm van escrow nodig is.

Handen vol geld
Zoals gezegd wil een afnemer een escrowregeling om de continuïteit van zijn applicaties te garanderen bij faillissement van zijn leverancier. Wanneer de leverancier zijn broncode en documentatie aan al zijn afnemers zou geven dan zou continuïteit geen groot issue zijn. Met broncode en documentatie kunnen ook andere bedrijven de software onderhouden. In de broncode en documentatie zit echter wel alle know-how van de leverancier. Het is dus heel begrijpelijk dat zij niet zo maar aan de afnemer worden verstrekt.

Escrow is in zijn meest basale vorm een depot van de broncode van software, meestal buiten de macht van de eigenaar van die software, vergezeld van een overeenkomst die het gebruik en de aanpassing van de software regelt mocht de eigenaar failliet gaan. Een dvd of een usb-stick met de broncode in een verzegelde envelop in de kluis van een notaris, heet al vaak een escrow. Omdat er in geen enkele wet ook maar iets geregeld is over software-escrow moet de afnemer er maar op vertrouwen dat hij ook echt iets heeft aan de escrowregeling. Iedereen mag zich escrowagent noemen. De afnemers van escrowdiensten zullen zelf moeten controleren of die agent ook de verwachte continuïteit kan garanderen. Wanneer de escrow niet goed geregeld is, ontstaan er bij het faillissement allerlei problemen. De broncode die op de drager staat blijkt niet te compileren tot een executable. De broncode is niet of slecht gedocumenteerd zodat onderhoud niet mogelijk is. Of de broncode blijkt niet up-to-date.

Bij cloudcomputing zijn de problemen nog groter. Niet alleen de escrowovereenkomst dient alle juridische problemen te tackelen, er moeten ook allerlei technische maatregelen worden genomen. Ook al is de broncode helemaal in orde, een systeem volledig inrichten met alle relevante applicaties en data is een ander verhaal. Dat kan veel tijd in beslag nemen en wanneer je volledig afhankelijk bent van de cloud, heb je die tijd vaak niet. Dat is op te lossen door met twee volledig gesynchroniseerde systemen te werken, maar dat kost vaak handen vol geld.

Daarom dienen er met het oog op de kosten, goede keuzes gemaakt te worden bij het afsluiten van een cloudescrow. Nog meer dan voor de traditionele escrow geldt, moet de afnemer goed nadenken wat de risico’s zijn voor zijn bedrijf bij het faillissement van zijn cloudleverancier. Als je gekozen hebt voor een leverancier met een SLA die maximale continuïteit eist, dan moet je je afvragen of en hoe deze SLA gegarandeerd kan worden wanneer de leverancier failliet gaat. Wanneer het noodzakelijk is voor de bedrijfscontinuïteit dan betekent dat dat het uitonderhandelen van de cloudovereenkomst net zoveel tijd in beslag zal nemen als het uitonderhandelen van de SLA.

Een andere mogelijkheid is dat de afnemer zich afvraagt of een plan B mogelijk is. Bijvoorbeeld wanneer het bedrijfsproces in de cloud redelijk snel ergens anders of op eigen systemen ondergebracht kan worden. De gebruikte data moeten dan wel redelijk makkelijk op andere applicaties verwerkt kunnen worden. Dan is het zaak om plan B goed in te richten, te testen en ervoor te zorgen dat de data die ondergebracht zijn in de cloud regelmatig teruggeleverd worden. Uiteraard is het raadzaam dat er zo nu en dan een ‘ontruimingsoefening’ wordt gedaan om te checken of het systeem werkt.

Voor een leverancier kan het een unique selling point zijn, wanneer hij niet alleen een goede SLA heeft, maar afnemers ook kunnen kiezen voor een op hun behoeften toegesneden cloudescrow.

Kiezen
Zolang er geen goede wettelijke regeling is voor de rechten van de afnemer bij het faillissement van zijn software- of cloudleverancier of er geen goede geaccepteerde standaarden zijn ontwikkeld, is het van belang om bij de keuze voor een bepaalde oplossing ook de gewenste continuïteit bij het failliet gaan van de leverancier mee te nemen. Als de belangen groot zijn, zullen er bij het maken van een keuze al snel een softwareconsultant en jurist betrokken moeten worden.

Voordat een afnemer kiest voor een bepaald systeem moet hij zich afvragen wat de risico’s zijn wanneer de leverancier van het systeem failliet gaat. Ligt het bedrijf dan volledig plat? Of is er tijd om oplossingen te vinden door bijvoorbeeld voor andere systemen en/of applicaties te kiezen of door de systemen door andere leveranciers te laten onderhouden. Wanneer de risico’s groot zijn, is het van het grootste belang dat er veel aandacht wordt besteed aan de continuïteit, zowel op technisch, organisatorisch als juridisch vlak. Een goede oplossing die continuïteit op de korte termijn garandeert zal tijd en een forse investering vergen. Wanneer de risico’s klein zijn kun je je afvragen of een escrowregeling wel nodig is. Het kan al voldoende zijn om ervoor te zorgen dat de data bijvoorbeeld in een regelmatige backup in een gemakkelijk porteerbaar formaat snel weer voor handen zijn.

Wanneer een leverancier een escrowregeling aanbiedt is het belangrijk helder te krijgen wat de escrow betekent bij faillissement. Soms zijn escrowregelingen optioneel. Het is belangrijk je af te vragen of de leverancier wel waar voor zijn geld biedt. Wanneer een escrowregeling onderdeel is van het totaalpakket, is het van belang om je af te vragen of de regeling voldoende is. Wanneer het gaat om belangrijke bedrijfsprocessen die in de cloud ondergebracht worden, is het zaak om de bestaande escrowregeling van de leverancier kritisch, zowel juridisch als technisch, tegen het licht te houden.

Rechtbank Utrecht 8 augustus 2012, LJN BY0563 (Proximedia tegen gedaagden)

Proximedia en gedaagden is een overeenkomst voor informaticaprestaties gesloten. De overeenkomst is schriftelijk vastgelegd en door beide partijen ondertekend. Gedaagden waren niet tevreden met de service van Proximedia en weigeren te betalen. Proximedia vordert betaling van de overeenkomst. Gedaagden stellen zich op dwaling, Proximedia heeft wanprestatie gepleegd en gedaagden stellen dat er sprake is van een onredelijk bezwarend beding. De Rechtbank oordeelt dat gedaagden te weinig bewijs ter onderbouwing van de stellingen, gedaagden zullen de openstaande facturen van Proximedia betalen.

Dwaling
4.6.  De rechtbank overweegt dat [gedaagden], nu Proximedia gemotiveerd betwist dat [gedaagden] door toedoen of nalaten van de vertegenwoordiger heeft gedwaald bij het sluiten van de overeenkomst, haar beroep op dwaling niet voldoende feitelijk heeft onderbouwd, mede in het licht van de tekst van de overeenkomst en het feit dat [gedaagden] eerst na verloop van twee en een half jaar – en nadat door partijen gedurende geruime tijd uitvoering is gegeven aan die overeenkomst – een beroep op dwaling heeft gedaan. [gedaagden] heeft in dit kader in reactie op de gemotiveerde betwisting daarvan door Proximedia, niet kunnen volstaan met het herhalen van de enkele stelling dat door de vertegenwoordiger van Proximedia niet gewezen is op de looptijd van de overeenkomst noch op het boetebeding. Het lag op de weg van [gedaagden] haar stellingen nader te onderbouwen. [gedaagden] is bovendien niet ingegaan op de stelling van Proximedia dat de “niet reduceerbare en onherroepelijke” contractsduur van 48 maanden alsook de verplichting om 60% van de resterende maandelijkse termijnen te betalen bij tussentijdse beëindiging van de overeenkomst voldoende duidelijk uit de door hem ondertekende overeenkomst blijken. [gedaagden] heeft zich in dit kader beperkt tot de stelling dat zij de overeenkomst niet heeft gelezen omdat zij het verhaal van de vertegenwoordiger goed vonden en er ‘alle vertrouwen in hadden’. [gedaagden] heeft tegenover de betwisting van Proximedia niet nader toegelicht waardoor zij zich onder druk gezet voelde om snel te tekenen, noch waarom zij de overeenkomst heeft getekend (kennelijk) zonder deze door te lezen, anders dan met hetgeen hiervoor is weergegeven. Ook indien juist zou zijn dat Proximedia niet heeft geleverd wat is overeengekomen, dan kan dit niet leiden tot de vernietigbaarheid van de overeenkomst wegens dwaling. In dat geval is mogelijk sprake van wanprestatie (zie hierna onder 4.8 e.v.).
Geconcludeerd wordt dat [gedaagden] haar beroep op dwaling - gelet op de gemotiveerde betwisting daarvan door Proximedia en in het licht van de hiervoor omschreven omstandigheden - onvoldoende met concrete feiten en omstandigheden heeft onderbouwd. Dit betekent dat niet zal worden toegekomen aan bewijslevering zodat het beroep op dwaling zal worden verworpen.

Wanprestatie
4.9.   De rechtbank is van oordeel dat [gedaagden] - gelet op de gemotiveerde betwisting door Proximedia - onvoldoende heeft onderbouwd dat er sprake is geweest van wanprestatie aan de zijde van Proximedia. [gedaagden] heeft in dit kader slechts verwezen naar een aantal e-mails en brieven maar niet concreet uiteengezet waaruit deze tekortkomingen hebben bestaan. Voorts heeft te gelden dat, zoals Proximedia stelt, uit de door [gedaagden] in het geding gebrachte stukken, niet valt af te leiden dat [gedaagden] Proximedia op enig moment in gebreke heeft gesteld. Gesteld noch gebleken is immers dat [gedaagden] Proximedia op enig moment in gebreke heeft gesteld ter zake de laptop of de opleiding. Ter zake de verplichtingen van Proximedia ten aanzien van de website heeft te gelden dat [gedaagden] Proximedia weliswaar kenbaar heeft gemaakt dat zij niet tevreden is over de wijze waarop Proximedia de overeenkomst uitvoerde, maar dat [gedaagden] Proximedia op enig moment een schriftelijke aanmaning heeft gestuurd waarbij Proximedia een termijn voor nakoming is gesteld, is niet gebleken. [gedaagden] wijst in dit kader op het e-mail bericht van 10 september 2009, die als een ingebrekestelling dient te worden aangemerkt. De rechtbank is evenwel van oordeel dat dit e-mail bericht niet als zodanig kan worden aangemerkt. Weliswaar stelt [gedaagden] hierin dat zij haar betalingsverplichting opschort, maar daarmee voldoet dit bericht niet aan de vereisten van een deugdelijke ingebrekestelling. Daarenboven heeft te gelden dat, zoals door [gedaagden] is erkend, [gedaagden] nadien is bezocht door een technicus van Proximedia. [gedaagden] erkent dit bezoek maar stelt dat deze technicus het probleem niet heeft kunnen verhelpen waarna zij op 23 oktober 2009 de overeenkomst heeft ontbonden. Proximedia heeft de ontvangst van deze brief betwist, onder meer door te stellen dat uit die brief niet blijkt dat deze aan Proximedia is verzonden en voorts ook niet valt te rijmen met de nadien door Proximedia verzonden brieven. De rechtbank is van oordeel dat [gedaagden] de stellingen van Proximedia op dit punt onvoldoende gemotiveerd heeft betwist. Zij heeft in dat kader slechts herhaald dat zij de brief heeft verzonden en daarbij aangegeven niet te weten op welke wijze dat is gebeurd. Het had evenwel op de weg van [gedaagden] gelegen om - juist gelet op de inhoud van de brief waaruit inderdaad niet blijkt aan wie die is gericht en de inhoud veeleer weg heeft van een opsomming van de gebeurtenissen aan een derde - haar stellingen op dit punt nader te onderbouwen. Zij had dit bijvoorbeeld kunnen doen door aan te geven aan wie/naar welk adres deze brief is verzonden en waarom zij op geen enkele van de vele nadien door Proximedia aan haar toegezonden brieven heeft gereageerd, hetgeen, zoals Proximedia ook stelt, wel voor de hand had gelegen indien zij daadwerkelijk van oordeel was dat zij de overeenkomst reeds had beëindigd. Nu [gedaagden] haar stellingen op dit punt niet voldoende heeft onderbouwd, en daarmee niet heeft voldaan aan de op haar rustende stelplicht wordt niet toegekomen aan bewijs zodat het in dit kader door [gedaagden] gedane bewijsaanbod wordt gepasseerd.

Onredelijk bezwarend beding
4.13.  Het beding dat opgenomen is in artikel 7.1 van de overeenkomst is naar het oordeel van de rechtbank aan te merken als een beding in de zin van artikel 6:91 BW, nu [gedaagden] gehouden is in het geval van een tekortkoming in de nakoming van zijn verbintenis een (forfaitaire) schadevergoeding te voldoen ter hoogte van 60 procent van de resterende termijnen. Nu [gedaagden] toerekenbaar tekort geschoten is, is zij op grond van artikel 7.1 verplicht een schadevergoeding te voldoen. Het beroep van [gedaagden] op de vernietigbaarheid van artikel 7.1 op grond van 6:233 sub a BW wordt verworpen, nu artikel 7.1 van de overeenkomst als zodanig niet als onredelijk bezwarend aan te merken is. Hierbij wordt meegewogen dat de rechtbank de bevoegdheid heeft om de hoogte van de forfaitaire schadevergoeding te matigen (artikel 6:94 lid 1 BW).

HvJ EU 18 oktober 2012, zaak C-173/11 (Football Dataco e.a.)

Prejudiciële vraag gesteld door Court of Appeal (England & Wales) (Civil Division).

Eerder gepubliceerd als IEF 11885, In navolging van IEF 11471 en meer Football Dataco op IE-Forum. Opvraging en hergebruik (uploads), databankenrecht en IPR.

Uitlegging van de databankenrichtlijn 96/9/EG, met name van artikel 7. Recht van de maker van een database om de opvraging en/of het hergebruik van een deel van de inhoud van de database te verbieden. Begrippen „opvraging” en „hergebruik” (art. 7, lid 2, van de richtlijn). Database met gegevens over aan de gang zijnde voetbalwedstrijden („Football Live”).

Antwoord: Artikel 7 van richtlijn 96/9/EG van het Europees Parlement en de Raad van 11 maart 1996 betreffende de rechtsbescherming van databanken moet aldus worden uitgelegd dat wanneer een persoon gegevens die hij eerder heeft geüpload uit een databank die wordt beschermd door het recht sui generis ingevolge deze richtlijn, via een webserver in lidstaat A naar de computer van een andere persoon in lidstaat B op diens verzoek verzendt om in het geheugen van deze computer te worden opgeslagen en op het computerscherm te worden getoond, sprake is van „hergebruik” van die gegevens door de verzender. Die handeling moet worden geacht in elk geval in lidstaat B plaats te vinden wanneer er aanwijzingen zijn dat uit de handeling blijkt dat degene die deze verricht zich op leden van het publiek in die lidstaat wil richten, hetgeen ter beoordeling van de nationale rechter staat.

Vraag: 

Wanneer een partij gegevens uploadt van een door een recht sui generis ingevolge richtlijn 96/9/EG1 ("databankrichtlijn") beschermde databank op de webserver van die partij in lidstaat A en deze webserver in reactie op verzoeken van een gebruiker in lidstaat B dergelijke gegevens naar de computer van de gebruiker verzendt, zodat zij worden opgeslagen in het geheugen van die computer en op het computerscherm worden getoond,
a) moet het verzenden van de gegevens dan worden beschouwd als "opvraging" of "hergebruik" door die partij;
b) vindt er dan enige opvraging en/of enig hergebruik door die partij plaats:
i) alleen in [lidstaat] A;
ii) alleen in [lidstaat] B, of
iii) in [lidstaat] A en [lidstaat] B?

Op andere blogs:
1709blog (Football Dataco: the transmission theory may apply...)
DeBrauwBlackstoneWestbroek (Online database infringement takes place in targeted Member State)
JIPLP € (Football Dataco v Yahoo! An article of immediate interest)
KluwerCopyrightBlog (Football Dataco II: ‘Re-utilisation’ must be interpreted broadly)
Mediareport (Dataco – Sportradar: welke rechter is bevoegd bij internet-inbreuk op databankenrecht?)
SCL The IT Law Community (Database Right: ECJ Judgment in Football Data Co v Sportradar)

Uit de CBP-nieuwsbrief:

Google’s nieuwe privacyvoorwaarden in strijd met EU-richtlijn
De Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, hebben na gezamenlijk onderzoek geconstateerd dat de wijzigingen in de privacyvoorwaarden van Google in strijd zijn met de Europese privacyrichtlijn. Lees verder >

Europese privacytoezichthouders geven reactie op nieuwe EU-privacyregelgeving
De Europese privacytoezichthouders hebben een opinie aangenomen over de voorstellen van de Europese Commissie voor een nieuw Europees juridisch raamwerk voor gegevensbescherming. Lees verder >

CBP: online volgen van surfgedrag van internetgebruikers alleen met toestemming
Het CBP wil het belang benadrukken dat een wereldwijde Do Not Track-standaard in overeenstemming moet zijn met Europese privacyregelgeving. Lees verder >

CBP: Interne toegangsbeveiliging patiëntgegevens RPZ-ziekenhuis onvoldoende
Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendossiers. Lees verder >

Zienswijze CBP over cloud computing
Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. Lees verder >

HvJ EU 16 oktober 2012, zaak C-614/10 (Commissie tegen Oostenrijk)

In navolging van IT 812.

In't kort: Niet-nakoming – Schending van artikel 28, lid 1, tweede alinea van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) – Verplichting van de lidstaten te verzekeren dat de nationale, met het toezicht op de verwerking van persoonsgegevens belaste toezichthoudende autoriteiten hun opdrachten in volledige onafhankelijkheid kunnen vervullen – Nauwe persoonlijke en organisatorische banden tussen de toezichthoudende autoriteit en de kanselarij van de bondskanselier – Onderwerping van de toezichthoudende autoriteit aan toezicht van de bondskanselier
Advocaat-generaal : Mazák

Antwoord:

Door niet alle nodige maatregelen te nemen om te verzekeren dat de in Oostenrijk geldende wettelijke regeling wat de Datenschutzkommission (commissie voor gegevensbescherming) betreft voldoet aan het criterium van onafhankelijkheid, en meer specifiek, door een regeling in te stellen op grond waarvan
– de bestuurder van de Datenschutzkommission een federale ambtenaar is die is onderworpen aan bestuurlijk toezicht,
– het secretariaat van de Datenschutzkommission is geïntegreerd in de diensten van de bondskanselarij, en
– de bondskanselier een onvoorwaardelijk recht heeft op informatie over alle aspecten van het beheer van de Datenschutzkommission,
is de Republiek Oostenrijk de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

Een bijdrage van Itte Overing, ICTRecht.

Afgelopen vrijdag verscheen op ITenRecht (IT 908) een nogal verontrustend bericht. Er is wettelijk niets geregeld bij het faillissement van een clouddienstverlener en de oplossingen die er zijn (juridisch en/of technisch), zijn duur. Risico: geen continuïteit van de clouddienst en volledige afhankelijkheid van de curator bij faillissement van de dienstverlener.

Ik ben van mening dat dit risico een stuk beter te beheersen is dan dit artikel doet voorkomen. Ook in het geval van kritische bedrijfsprocessen kan er gekozen worden voor de clouddienstverlener. Wel is het dan nodig dat de klant (technisch) inzicht verwerft en dat de clouddienstverlener transparant is in hoe zijn dienst in elkaar zit.

De clouddienst
Wat de juiste continuïteitsoplossing is hangt namelijk af van de specifieke clouddienst. Een clouddienst bestaat vaak uit software en daaraan gekoppelde databases. De software en de data staan op een server en worden onderhouden door (werknemers van) de clouddienstverlener. De server staat in een rek (rack) bij een datacenter en wordt gehost door een hostingprovider. Het datacenter en de gebruiker hebben een internetverbinding waardoor er toegang is tot de software en de data. Afhankelijk van wat de clouddienstverlener zelf levert, wat hij inkoopt en hoe bedrijfskritisch de clouddienst voor zijn klanten is, kan een continuïteitsoplossing worden vormgegeven.

De continuïteit
De oplossing ligt niet in een contract tussen klant en clouddienstverlener over wat er na faillissement van de clouddienstverlener moet gebeuren. Dan houdt de curator de macht. Hij moet immers in voordeel van de gehele boedel handelen en mag daarbij wanprestatie plegen (Nebula-arrest). Dit betekent dat de curator kan besluiten het contract niet na te komen.

Wel ligt de oplossing in de vormgeving van de onderneming van de clouddienstverlener in combinatie met een aantal contractuele afspraken die hun nut behouden en van kracht blijven ook als de curator niet meewerkt. Er moet nu (niet pas bij een bedreiging van de continuïteit) worden nagedacht door de clouddienstverlener hoe hij het risico zo goed mogelijk beperkt. In eerdere blogs (zevendelige serie: ICTRecht “Continuïteit clouddienst”) heb ik oplossingen beschreven voor de verschillende onderdelen van de clouddienst. Deze oplossingen richten zich op faillissement maar ook op andere bedreigingen van de continuïteit van de clouddienst. Denk bijvoorbeeld aan een overname waarbij de partij die het bedrijf acquireert de stekker uit de clouddienst trekt.

De revolutie
Ik ben het ermee eens dat het bieden van continuïteit een methode is om je als dienstverlener te onderscheiden. Waarschijnlijk zal het in de toekomst een onderdeel worden van goede bedrijfsvoering. Door het als clouddienstverlener zelf te regelen, liggen de kosten per klant veel lager. Het is de ervaring van andere internetdienstverleners dat klanten bereid zijn een meerprijs te betalen voor continuïteit.

De klant moet kennis hebben om deze oplossing op waarde te schatten en om te kunnen beoordelen of de oplossing voldoet aan zijn of haar eisen op het gebied van continuïteit. Door deze “empowerment” valt de angst weg en kan de echte cloudrevolutie beginnen.

Itte Overing

Kroniek Technologie en recht (met Niels van der Laan), gepubliceerd in Nederlands Juristenblad 2012/35 van 12 oktober 2012, p. 2512 - 2524 [PDF]

Via blog.chavannes.net, door Remy Chavannes en Niels van der Laan.

‘Technologierecht’ is geen afgebakend rechtsgebied, ‘technologie en recht’ is vooral een tijdelijke wachtkamer voor ontwikkelingen die nog niet door hun eigen rechtsgebied zijn opgehaald. De technologische vooruitgang bezorgde de uitvoerende, wetgevende en rechtsprekende machten wel veel moeilijke vragen en de respons was wisselend en aarzelend. Er dient zich een generatie digital natives aan, van burgers die met internet zijn opgegroeid en zich afvragen waarom die digibete stenentijdperkjuristen zoveel dode bomen nodig hebben om met hopeloze analogieën vragen te lijf te gaan die zij op basis van eigen kennis en intuïtie al kunnen beantwoorden. Steeds meer zetten zij hun stempel op de complexe afwegingen van botsende (grond)rechten die in de digitale informatiesamenleving onvermijdelijk zijn.

J.V.J. Van Hoboken e.a., Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act, IViR.nl.

Uit't persbericht: Utrecht 12 oktober 2012 - Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veel gestelde vragen over de Amerikaanse Patriot Act1. Hoofdconclusie van het onderzoek is dat het voor hogeronderwijsinstellingen in Nederland zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de VS over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.

HR 12 oktober 2012, LJN BW8301 (Stichting De Thuiskopie tegen Opus Supplies Deutschland GmbH)

Uitspraak ingezonden door Tobias Cohen Jehoram en Vivien Rörsch, De Brauw Blackstone Westbroek.

E-Commerce. Auteursrecht. Thuiskopie. Niet-doorberekenen van billijke vergoeding was een keuze van Opus. Leveringsvoorwaarden waarin klantverhouding als importeur werd bestempeld, maakt de billijke vergoeding oninbaar. Over de uitleg van art. 16c Auteurswet, de procedure voortgezet na het tussenarrest van de Hoge Raad van 20 november 2009 (IEF 8367) en na het arrest van het Hof van Justitie van de Europese Unie van 16 juni 2011 (IEF 9791) en de conclusie A-G (IEF 11412). De Hoge Raad vernietigt het arrest van 12 juli 2007 (IEF 4391) en verwijst naar Hof Amsterdam.

Een Duitse aanbieder verkoopt vanuit Duitsland via internet blanco-gegevensdragers aan Nederlandse consumenten. De vraag is wie dan als ‘importeur’ (op wie de verplichting tot betaling van de thuiskopievergoeding rust) in de zin van art. 16c lid 2 Aw moet worden aangemerkt.

2.4 (...) In het licht van de in het tussenarrest vastgestelde feiten, zoals herhaald en samengevat in de conclusie van de Advocaat-Generaal onder 2.18, en in aanmerking genomen

(i) dat, zoals in het tussenarrest al is overwogen, indien de koper/consument voor de toepassing van art. 16c lid 2 Aw als importeur heeft te gelden op de grond dat hij ingevolge de leveringsvoorwaarden van de verkoper in de rechtsverhouding tussen partijen als zodanig is aangemerkt, zulks zou leiden tot de situatie dat de billijke vergoeding in feite oninbaar zou zijn en daarmee sprake is van het "onmogelijk" zijn als bedoeld aan het slot van het tweede antwoord van het HvJEU,
(ii) dat in de door het hof vastgestelde feiten besloten ligt dat op het grondgebied van Nederland het nadeel ontstaat dat auteurs van auteursrechtelijk beschermde werken lijden als gevolg van reproduceren, bedoeld in art. 16c lid 1 Aw, van zulke werken op de informatiedrager door de in Nederland wonende kopers daarvan, en
(iii) dat Opus GmbH over de mogelijkheid beschikt het bedrag van deze billijke vergoeding door te berekenen in de door de kopers betaalde prijs voor de informatiedragers,

moet worden geoordeeld dat Opus GmbH in de zin van art. 16c lid 2 Aw als importeur van de informatiedragers in Nederland heeft te gelden en dus de in deze bepaling bedoelde billijke vergoeding is verschuldigd.

2.5. Daaraan doet niet af dat Opus GmbH geen gebruik heeft gemaakt van de mogelijkheid het bedrag van deze billijke vergoeding door te berekenen aan de kopers van de informatiedragers. Dit berust op een door Opus GmbH gemaakte keuze waarvan de gevolgen voor haar rekening komen.

2.6. Gelet op het antwoord dat het HvJEU heeft gegeven op de tweede door de Hoge Raad gestelde vraag van uitleg staat aan de hiervoor in 2.4 aan art. 16c lid 2 Aw gegeven uitleg voor het onderhavige geval, evenmin in de weg dat Opus GmbH een niet in Nederland gevestigde rechtspersoon is.

Lees de grosse nr. 07/13259, LJN BW8301.

M. Korpershoek, 'Wat te doen bij faillissement cloudleverancier? Zonder wettelijke regels en contractuele afspraken zijn afnemers volledig afhankelijk van curator', eerder verschenen in Automatiseringsgids 06'12.

Analyse bedrijfsprocessen In dit schema is in grote lijnen uiteengezet hoe een analyse van de bedrijfsprocessen moet verlopen. Hier is geen rekening gehouden met het privacyaspect. Wanneer er sprake is van persoonsgegevens die zeer gevoelig zijn (bijvoorbeeld medische gegevens) of gegevens die bij verlies hoge aansprakelijkheden met zich meebrengen (bijvoorbeeld creditcardgegevens) dan kan de analyse anders uitvallen. De kosten zijn out-of-pocketkosten. Bij lage out-of-pocketkosten kan er uiteraard wel sprake zijn van hoge interne kosten.

Een bijdrage van Marianne Korpershoek, Louwers IP|Technology Advocaten.

Wat te doen bij faillissement cloudleverancier? Zonder wettelijke regels en contractuele afspraken zijn afnemers volledig afhankelijk van curator.

Wat gebeurt er als een cloudleverancier failliet gaat? Wat zijn de risico’s voor een onderneming? Voordat een bedrijf in zee gaat met een cloudleverancier, zegt Marianne Korpershoek, is het van groot belang eerst te analyseren welke bedrijfsprocessen in aanmerking komen voor de cloud. De continuïteit moet goed geregeld zijn, zowel technisch als juridisch.

Zowel de Besturenraad, een koepel voor Christelijk onderwijs waarbij meer dan tweeduizend scholen zijn aangesloten, als vele huisartsen in Noord-Holland hadden de afgelopen tijd te maken met het faillissement van hun cloudleverancier. Afnemers zaten met de handen in het haar. Weliswaar trok de curator niet direct de stekker uit de dienst, maar zowel de Besturenraad als de huisartsen vreesden dat zij van de ene op de andere dag niet meer bij hun gegevens konden en geen gebruik meer konden maken van hun gehoste applicaties. In het geval van het faillissement van InfoTechnology, een EPD-beheerder, leidde dat zelfs tot kamervragen omdat de privacy van patiënten niet gegarandeerd kon worden.

Uit deze voorbeelden blijkt dat faillissement van de cloudleverancier vooral tot grote onzekerheid en problemen kan leiden bij afnemers. Inmiddels biedt de markt bijvoorbeeld cloud-escrows. Deze oplossingen zijn duur. Het is ook de vraag of dit soort oplossingen nodig zijn. Zijn er andere manieren om je data veilig te stellen en de continuïteit van de eigen bedrijfsprocessen te garanderen? Naar aanleiding van Kamervragen antwoordde de minister dat afnemers in hun contracten met leveranciers afspraken moeten maken over de continuïteit bij faillissementen, maar wat moet er in zo’n contract staan? En hoeveel zekerheid biedt dat?

Uit eigen ervaring als IT-advocaat weet ik dat de continuïteit bij faillissement, maar ook bij beëindiging van de overeenkomst, meestal slecht is geregeld. Het is juridisch een ingewikkelde materie die vaak niet of summier wordt geregeld in overeenkomsten. Deze overeenkomsten worden vaak geleverd door de leverancier, die weinig belang heeft bij het regelen van de problemen van zijn klant over zijn eigen graf heen. Met als gevolg dat een afnemer bij faillissement van zijn cloudleverancier met lege handen staat. Afnemers, of belangenorganisaties van afnemers, moeten daarom zorgen dat er goede contractuele afspraken worden gemaakt. Voor een leverancier kan een goede regeling voor continuïteit een factor zijn waarmee hij zich onderscheidt van zijn concurrenten.

Problemen
Wat zijn de problemen bij faillissement van de cloudleverancier? Na een faillissement benoemt de rechtbank direct een curator. Een van de belangrijkste taken van de curator is dat hij zoveel mogelijk geld moet zien te genereren uit de failliete boedel om de schuldeisers te betalen. Dat lukt natuurlijk het beste als het bedrijf ‘going concern’ verkocht kan worden. Het geheel is uiteraard veel meer waard dan de losse bezittingen van het bedrijf. Maar omdat er tegenover de schuldenberg van de failliete leverancier te weinig inkomsten en bezittingen staan om iedere crediteur te betalen, mag het onderzoek naar een doorstart niet al te lang duren. Dat betekent dat er wel enige weken respijt is, maar wanneer een doorstart binnen een redelijke termijn niet mogelijk is, wordt het failliete bedrijf uiteindelijk geliquideerd. Een bedrijf draaiende houden kost immers veel geld, dat afgaat van de einduitkering aan de crediteuren.
Verder is het zo dat er vaak in contracten wordt opgenomen dat de ene contractpartij de overeenkomst kan ontbinden wanneer de andere partij failliet gaat. Leveranciers van de failliete cloudleverancier zijn hierdoor niet meer verplicht om te leveren en zullen dat alleen doen wanneer zij boter bij de vis krijgen. Ook dat dwingt een curator tot snel handelen.
Kortom, wanneer een cloudleverancier failliet gaat, zullen zijn afnemers in grote onzekerheid zitten wat er met hun systemen zal gebeuren. Ze zijn daarbij volledig afhankelijk van de curator. Die zal gedurende het onderzoek naar de doorstart de kip met de gouden eieren – de inkomsten uit de cloudabonnementen – niet slachten. Aan de andere kant zal hij in de hectische eerste periode ook niet willen meewerken aan bijvoorbeeld het veiligstellen van de data. Want hij zal op de eerste plaats niet mee willen werken aan het weglopen van klanten om de kansen op doorstart niet te verkleinen. Verder wil hij zijn schaarse personeel inzetten om het bedrijf draaiende te houden en niet ook nog eens met het veiligstellen en correct verzenden van data naar weglopende klanten. In het beste geval zal een klant fors moeten betalen om zijn data terug te krijgen. Daarbij komt dat onder het huidige recht vaak niet duidelijk is, wie de eigenaar is en welke juridische middelen je hebt om je data terug te krijgen, los van de mogelijke privacyrechtelijke voetangels en klemmen.

Oplossingen
Wat zijn de technische en juridische oplossingen? Bij volledig redundante systemen die constant synchroniseren kan een afnemer bij faillissement van zijn leverancier geruisloos overgaan naar een nieuwe leverancier. Op voorwaarde dat er ook goede contracten zijn die deze overgang mogelijk maken. Deze volledig redundante systemen zijn duur en het is de vraag of het altijd nodig is. Daarom is het van belang om voordat men in de cloud gaat, eerst te analyseren welke bedrijfsprocessen worden onder gebracht in de cloud. Het is uiteraard goed mogelijk dat de continuïteit van verschillende bedrijfsprocessen op verschillende manieren geborgd wordt.
Bedrijven, zoals ziekenhuizen, banken, verzekeringsmaatschappijen en andere, die ieder moment realtime gebruik moeten maken van gegevens zonder dat ze terug kunnen vallen op eigen systemen, doen er verstandig aan te kiezen voor een volledig redundant systeem met goede contracten die de continuïteit waarborgen. Voor systemen die minder kritisch zijn, omdat gegevens niet dagelijks nodig zijn en het verwerken van gegevens een aantal dagen kan wachten, kan er gekozen worden voor minder dure oplossingen. Bijvoorbeeld door een leverancier te kiezen die zijn hosting en onderhoudskosten minimaal een half jaar vooruit betaalt. Dit dient uiteraard wel gegarandeerd te worden in de overeenkomst. Verder moet het contract ook controlemogelijkheden bieden voor het checken van dergelijke afspraken. Als goedkoopste oplossing geldt dat de afnemer regelmatig een backup krijgt van zijn eigen data met een instructie voor het inlezen daarvan in andere applicaties dan wel systemen.

Continuïteit
Kortom, voordat een bedrijf zijn bedrijfsprocessen in de cloud plaatst is het van belang dat men zich afvraagt wat er gebeurt wanneer de leverancier failliet gaat. Bij bedrijfskritische processen is het van belang dat de continuïteit goed geregeld wordt, zowel technisch als juridisch. Cloudprocessen zijn steeds belangrijker voor het totale maatschappelijke systeem, net zoals energieleverantie en het betalingsverkeer dat door banken geregeld wordt. Alleen, in tegenstelling tot banken, ontbreken toezichthouders en zijn er geen wettelijke waarborgen wanneer de cloudleverancier failliet gaat. In het Annual Progress Report 2011 heeft eurocommissaris Kroes aangekondigd dat ze in 2012 komt met een strategie om cloudcomputing te stimuleren. Hopelijk worden daarin ook maatregelen opgenomen om continuïteit bij de afnemer te garanderen. Zolang er geen wettelijke regels zijn en wanneer er geen goede contractuele afspraken zijn gemaakt, is een afnemer volledig afhankelijk van de curator. Dit aspect van cloudcomputing is nog zeer onvolwassen, wat betekent dat een afnemer zeer kritisch zal moeten zijn op dit aspect van de service en zich goed moet laten adviseren op juridische vlak. Leveranciers kunnen zich met een goede continuïteitsregeling onderscheiden van de concurrentie.