Big data, personal data, data mining, data retentie, data centre etc… Data is niet meer weg te denken uit onze hedendaagse (online-) samenleving. Ook als jurist in de ICT-wereld ben je er dagelijks mee bezig. Hoog tijd om dat begrip dus eens wat nader te bekijken. En dan bedoel ik met name de juridische status van dat begrip.
Want wat is data eigenlijk? Een verzameling van nullen en enen, opgeslagen op een gegevensdrager? Dat is wel een hele brede omschrijving en zegt dus niet veel. Bovendien is de vervolgvraag; wat zijn die nullen en enen dan? Een jurist moet ‘dingen’ in een hokje kunnen plaatsen om er iets over te kunnen zeggen. Grofweg zijn er juridisch gezien twee smaken: ‘zaken’ en ‘vermogensrechten’. Een zaak is een voor menselijke beheersing vatbare stoffelijke objecten.
Data is dus geen zaak want niemand kan informatie vastpakken. Van een vermogensrecht spreekt men pas (kortgezegd) als het gaat om een recht dat afzonderlijk of tezamen met een ander recht er toe strekt een partij een stoffelijk voordeel te verschaffen. Denk hierbij aan een recht op betaling, een recht op levering van een zaak of dienst etc. Ook deze omschrijving is niet op data van toepassing. Wat nu?
Er zijn bepaalde soorten data die wél onder een juridisch regime vallen. Persoonsgegevens vallen onder de Wet bescherming persoonsgegevens, broncode valt (mits creatief genoeg) onder de Auteurswet en een databank valt onder bepaalde voorwaarden onder het databankrecht.
Maar wat te doen met data of informatie die niet onder de bovengenoemde categorieën valt? Van die data is niet meteen duidelijk van wie het is en wat er mee mag gebeuren. Van wie zijn je opgeslagen e-mails in de cloud? Wat te doen met de klantgegevens die in het factureerprogramma van je accountant zitten? Dit soort data valt niet per se onder een speciaal juridisch regime. Met andere woorden; dit soort data is niks (juridisch gezien).
Als de wet niet duidelijk is dan is het aan de partijen zelf om duidelijke afspraken te maken. Doe dit dus ook! Want data kan juridisch gezien wel niks zijn, voor jou of je onderneming kan data van levensbelang zijn en bovendien heel veel waard zijn. Met name bij clouddiensten waarbij data van de ene partij staat opgeslagen op de servers van de andere partij zijn duidelijke afspraken zeer belangrijk.
Een checklist voor veiligstellen van data:
- Laat in de overeenkomst opnemen wie ‘eigenaar’ van de data is. Het is niet automatisch zo dat de partij die de data invoert in een clouddienst ook de eigenaar is van die data.
- Spreek af op welke wijze de data wordt overgedragen bij beëindiging van de overeenkomst. Een goede exitregeling beschrijft de termijn en de wijze waarop data wordt teruggegeven aan de klant van de clouddienst.
- Maak afspraken over de beveiliging van de data. Als de data je veel waard is wil je niet dat een ander er mee aan de haal gaat.
- Weet waar je data opgeslagen staat. Een clouddienstverlener kan gebruik maken van andere hostingproviders die niet bekend zijn bij de afnemer.
- Zorg dat duidelijk is voor welke doeleinden de clouddienstverlener de data mag gebruiken. Mag de data doorgespeeld worden aan derden of mag de dienstverlener alleen statistische analyses uitvoeren?
Heeft u hulp nodig bij het opstellen van een verwerkersovereenkomst, een cloud exit-regeling of een cloud continuïteitsregeling? Neem dan contact met ons op, wij helpen u graag verder.
ICT-contracten: de basis, verdieping en masterclass
ICTRecht Academy verzorgt praktische basis- en verdiepingscursussen, en een masterclass ICT-contracten waarin op een praktische manier aandachtspunten en valkuilen worden besproken van o.a. NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. U leert documenten te reviewen, op te stellen en er over te onderhandelen. De cursussen zijn voor juridisch publiek (PO) en algemeen publiek, u ontvangt het Handboek ICT-contracten en er zijn speciale PO-deals.
