Bent u op grond van de wet en regelgeving verplicht om de continuïteit van door u verwerkte gegevens zeker te stellen? Dan eindigt deze verantwoording niet bij het inkopen van een clouddienst. De clouddienstverlener neemt deze verantwoording niet automatisch van u over.
Op grond van wet en regelgeving zijn bijvoorbeeld zorginstellingen (bron) en financiële instellingen (bron) verplicht de continuïteit van door hen gebruikte clouddiensten te waarborgen. Zo moet een zorgverlener de patiëntgegevens behoeden voor verlies en een financiële instellingen is verantwoordelijk voor de integriteit, voortdurende beschikbaarheid en beveiliging van geautomatiseerde gegevensverwerking. Mocht de financiële instelling besluiten de verwerking in de cloud te stoppen / te outsourcen, dan blijft de instelling daarvoor verantwoordelijk.
Meer algemeen: denk ook aan de fiscale bewaarplicht. Mocht u uw financiële gegevens in de cloud hebben, dan geldt hetzelfde als voor uw hardcopy administratie. U moet het voor de duur van 7 zeven jaar bewaren en kunnen inzien. Uw verantwoordelijkheid ten aanzien van de gegevens verandert niet op het moment dat u besluit deze te bewaren (en verwerken) in de cloud. Als de stekker uit de clouddienst gaat moet u nog steeds kunnen beschikken over uw administratie.
Wat zijn de verschillende smaken om (meer) controle te houden in de cloud?
- Escrow: De dienstverlener geeft software en/of data in bewaring bij een notaris (of andere thrusted third party). Op het moment dat de continuïteit wordt bedreigd, geeft de notaris de software of de data af aan de klant;
- Escrow+: hetgeen wat dan in bewaring wordt gegeven, wordt dan vooraf gecontroleerd op deugdelijkheid;
- Maatwerk zoals toegelicht in een eerdere blog.
Een clouddienst bestaat hoofdzakelijk uit software, hosting, knowhow van de ICTer en data van de gebruiker. Om de continuïteit van een ‘hele’ clouddienst te regelen is het noodzakelijk maatregelen te treffen voor al deze onderdelen. Een Escrow of Escrow+ zorgt hier niet voor. Hier is immers niets geregeld voor de hosting. Om voortdurende beschikbaarheid zeker te stellen zal de hosting ook in de lucht moeten blijven. Bij een simpele clouddienst kan er wellicht eenvouding overgestapt worden naar een nieuwe hosting service provider. Bij een wat meer complexe clouddienst waarbij bijvoorbeeld specifieke hardware of knowhow van de hosting service provider nodig is, is dit niet het geval. Dan is een hot/cold standby nodig of er moeten extra afspraken gemaakt worden met de hosting service provider. Deze afspraken moeten regelen dat hij de stekker er niet uit trekt bij bijvoorbeeld het faillissement van de clouddienstverlener (lees hier meer).
Ook wordt het Nebula probleem niet opgelost door een escrowovereenkomst te sluiten. De Hoge Raad heeft in het Nebula arrest gezegd dat de curator een overeenkomst mag doorscheuren als hij dat nodig acht. Ook als de overeenkomst hem tot niets verplicht behalve het passief toelaten van gebruik. In onze casus zou dat kunnen betekenen dat u wel over de broncode beschikt maar de code niet mag gebruiken omdat de curator de licentie doorscheurt.
De Escrow heeft wel nut als u enkel uw data veilig wilt stellen. Ik raad dan aan afspraken toe te voegen over het format en de uitleesbaarheid. Als u de software niet meer mag gebruiken waarmee de data eerst werd geordend dan heeft u niets meer aan de data. Tenminste als deze niet geordend en in het juiste format veilig wordt gesteld.
Indien u meer zekerheid nodig heeft, dan kunt u beter kiezen voor de maatwerkoplossing.
