cloud legal compliance
TRANSCRIPT
Cloud & Legal today
Johan Vandendriessche
20 september 2011
Juridisch en contractueel? ‘Make or buy’-beslissing – cloud of geen cloud, welk type cloud?
Risicobeheersing en/of –afwenteling Verzekering
Overeenkomst
Juridisch Compliance
“de naleving van wet- en regelgeving, evenals de interne bedrijfsregels (policies)”
Sterke tendens om ‘compliance’ uit te breiden, doordat regelgeving steeds meer operationele risico’s gaat omvatten
Verwerking van persoonsgegevens (Data Protection) Beperkingen m.b.t. de verwerking van persoonsgegevens
Essentiële ‘compliance’-verplichting!
Aandachtspunten
Contractueel
Inhoud van de Cloud-dienst en de kwaliteitsniveau’s (SLA’s)
Risicobeperking en/of –afwenteling
Organisatie van de dienst en veiligheidsmaatregelen
SLA’s
Aansprakelijkheid en verzekering van de Cloud dienstverlener
Prijs en betaling
Continuïteit
Schorsings- en beëindigingsmodaliteiten
Transitie en retransitie
Even vooruitlopen: cloud brengt op juridisch en contractueel vlak weinig nieuws met zich mee
Aandachtspunten
Sleutelbegrippen
Cloud (per type)
Sleutelbegrippen
Cloud (per type)
Beheerd door Eigenaar van de infrastructuur
‘Dedicated’ infrastructuur
Publiek Cloud dienstverlener Cloud dienstverlener Neen
Privaat, extern Cloud dienstverlener Cloud dienstverlener Ja
Privaat, intern Interne organisatie Interne organisatie Ja
Hybride Gemengd Gemengd Hangt af van contract met Cloud dienstverlener
Bron: J. Ruiter and M. Warnier, Privacy Regulations for Cloud Computing – Compliance and Implementation in Theory and Practice.
Beperkingen m.b.t. de verwerking van persoonsgegevens
Persoonsgegevens: “elke informatie met betrekking tot een geïdentificeerde of een identificeerbare natuurlijke persoon […]”
Ruime interpretatie
Niet noodzakelijk gevoelig of vertrouwelijk
Verwerking: “elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens […]”
Doel: Strikte aansprakelijkheid koppelen aan de wettelijke beperkingen
Verantwoordelijke voor de verwerking
Verwerker (dienstverlener)
Verwerking van persoonsgegevens
Verwerking van persoonsgegevens is verboden, tenzij toegestaan onder de Wet
Verwerking moet voldoen aan bepaalde beginselen Proportionaliteit
Doelgebonden
Beperkt in tijd
Transparant (op individueel en collectief vlak)
Datakwaliteit
Databeveiliging
Geen uitvoer van persoonsgegevens naar niet-EER landen, tenzij passende bescherming wordt geboden
Wederkerige contractuele garanties zijn gebruikelijk
Verwerking van persoonsgegevens
Beveiligingsplicht
Algemene verplichting
Specifieke verplichtingen
Verplichtingen m.b.t. gebruik van (al dan niet cloud) dienstverleners
CBPL heeft richtlijnen uitgevaardigd
‘Referentiemaatregelen’
Gebaseerd op ISO 27000 normen
Nuttig, maar geen absolute verplichting
Beveiligingsplicht
Technische maatregelen
Organisationele maatregelen
Bescherming tegen elke onrechtmatige verwerking
Passend beschermingsniveau rekening houdend met: Beschikbare technologie en kosten;
Aard van de betroffen persoonsgegevens en de potentiële risico’s
Maatregelen zijn onderling inwisselbaar
Maatregelen t.a.v. de Cloud dienstverlener Betrouwbare partner kiezen (security assessment!)
Schriftelijke of elektronische overeenkomst
Veiligheidsmaatregelen moeten contractueel opgelegd worden
Beperking van verwerkingsmogelijkheden
Beveiligingsplicht
Click-wrap-overeenkomst / toetredingsovereenkomst
In beginsel geldig in België
Weinig flexibiliteit bij sommige Cloud dienstverleners
Contractuele bepalingen liggen vast
Dienstenomschrijving ligt vast in standaarddiensten
Standaard SLA’s
Afweging van Cloud diensten is (bijna steeds) noodzakelijk
Praktische benadering cloud-overeenkomsten
Verplichtingen van de dienstverlener?
SLA
Opschorting / beëindiging van de overeenkomst Opgelet voor al te soepele schorsingsmogelijkheid langs de
zijde van de dienstverlener
Exit Plan / Retransitie (risico op vendor lock-in) Beschikbaarheid van de data
Dataformaat?
Bijstand bij einde van de overeenkomst? Tegen welke voorwaarden?
Belgisch gemeen recht is weinig nuttig voor de klant
Aansprakelijkheid?
Auditmogelijkheid?
Praktische benadering cloud-overeenkomsten
Cloud Computing is in principe steeds mogelijk vanuit compliance oogpunt
Kies het juiste type Cloud in functie van compliance-vereisten
Veiligheidsmaatregelen
Onontbeerlijk bij verwerking van persoonsgegevens
Essentieel bij andere categorieën van data
Continuïteit en kwaliteit zijn steeds belangrijk aandachtspunten bij contractonderhandeling
Retransitie en beschikbaarheid van data
Conclusie
Bedankt voor uw aandacht. Vragen?