Juridische aspecten van SaaS en Cloud

Masterclass juridische aspecten SaaS/Cloud
TU Delft 25 april 2012
mr. drs. Walter H. van Holst
Onafhankelijk IT-advies vanuit de combinatie van technische, bedrijfskundige en juridische expertise
Onafhankelijk IT-advies
combinatie van technische, bedrijfskundige en juridische expertise
Kenmerken
Sinds 1991
Beëdigd informaticadeskundigen
Best practices
Kwaliteitsmanagement
Professioneel netwerk
Huisleverancier
Kernwaarden
Professioneel
Pragmatisch
Objectief
Ambitieus
Betrokken
Betrouwbaar
Onze diensten
Strategie
Voorstudies
Beleid
Verandermanagement
Contractering
Contracten en SLA’s
Onderhandeling
Geschillen
Inkoop
(Out)sourcing
Europese aanbesteding
Contractmanagement
Beoordeling
Audits
Taxaties
Deskundigenberichten
Vernieuwing
Programma van eisen
Pakket- en partnerselectie
Implementatiebegeleiding
Tevens
Second opinions
Projectbegeleiding
Workshops
Opleidingen & workshops
Inkoop
Europees aanbesteden
Outsourcing
Implementatiemanagement
Contractering
Service Level Agreements (SLA’s)
ICT-contracten
Onderhandelen over ICT-contracten
Contractmanagement
Contractmanagement voor ICT
Vendormanagement
Tevens
Application Service Providing (ASP)
IT-Services Procurement Library (ISPL)
Open source software (OSS)
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Levenscyclus uitbestedingsrelatie
exploitatie
Vestzakoutsourcingscontract
• Cloud computing qua overeenkomst analoog
aan uitbestedingsovereenkomst
• Wat is de rol van de leverancier?
• Reseller of service-integrator?
Gemene deler cloud computing contracten
• Versterkte afhankelijkheid van leverancier en
connectiviteit
• Belang Service Level Agreement
• Belang exitscenario’s
Reguliere beëindiging, geschilsituatie, faillissement
• Shared online i.p.v. offline on site
Data niet (alleen) meer on site aanwezig
Reguliere escrow niet adequaat
Continuïteitsmanagement
Risico’s cloud computing
•
•
•
•
•
•
Vendor lock-in
Schending privacy wet- en regelgeving
Isolation failure (multitenancy)
Management interface compromise
Kwaadwillende insider
Resources en data aantrekkelijk doelwit door
concentratie / schaalgrootte
• Discontinuïteit leverancier
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Transitie afhankelijk van gebruikte
standaarden
Afrekenmodel op basis van gebruik
Relatieve onbekendheid met aard van
gegevens afnemer
Technisch karakter van dienstverlening
Relatief hoge mate van standaardisatie
Aandachtspunt: bestaande licenties
Infrastructure-as-a-Service (Iaas)
Transitie is vaak herbouw
Standaarden nog lang niet uitgekristallisseerd
Afrekenmodel op basis van gebruik
Technisch karakter van dienst
Platform-as-a-Service (PaaS)
Software-as-a-Service (SaaS)
Kenmerken SaaS
Transitierisico berust vaak bij leverancier
• Migratie
• Inrichting
Afrekening op basis van transacties
Ondersteuning van bedrijfsprocessen
Flexibiliteit leverancier == flexibiliteit
bedrijfsproces
Samenhang overeenkomst en SLA
SLA is in opvatting Mitopics
operationaliserende bijlage bij contract
Consistentie contract en SLA essentieel
Bonus-/malusregelingen en
aansprakelijkheid
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Belangrijkste wetgeving:
• Wet bescherming persoonsgegevens
(Wbp)
• Begrippenkader Wbp
Begrippenkader
Wbp:
Betrokkene
Persoonsgegevens
Verwerking
Verantwoordelijke
Bewerker
95/46/EC:
Data subject
Personal data
Data processing
Controller
Processor
Wbp compliance in cloud computing
Cloudleverancier is bewerker
Bewerkersovereenkomst is vereist
Gezagsverhouding inzake veiligheid + continuïteit
Onafgebroken keten van
bewerkersovereenkomsten
Dus inclusief onderaannemers zoals hosters
Exportverbod persoonsgegevens buiten
EER
Gezagsverhouding continuïteit + veiligheid
Verantwoordelijke moet bewerker zijn
continuïteits en veiligheidsbeleid kunnen
opleggen
SLA moet dit kunnen operationaliseren
Integriteit van persoonsgegevens onderdeel
van veiligheid
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Continuïteitsmaatregelen
Zo feitelijk mogelijk
Periodiek oefenen
Outputgeoriënteerd
Meer dan techniek: operationele uitwijk
Continuïteitsmaatregelen
• In-de-plaats-tredingsovereenkomst/clausule?
• Source escrow
• Data escrow
• Hot-standby?
• Garantiestellingen?
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Intellectuele rechten
 IE en licentiekwesties – wie is
rechthebbende?







(Maatwerk) software
Databankrechten in de cloud?
Producten: beschermde werken?
Aanpassingen? Toestemming?
Is een licentie afdoende?
Past de licentie in een cloud?
Is de cloudprovider werkelijk eigenaar van de
werken?
 Wie is aansprakelijk/procespartij bij inbreuk op
werken van derden
Juiste model? SaaS setting
Licentiegever
Sublicense?
User Agmt?
7 april 2011
Licentienemer
(SaaS Provider)
Functionaliteitsafnemer (Klant)
Juiste model? IaaS/PaaS setting
?
Licentienemer
(Klant?)
Licentiegever
?
?
Cloud Provider
7 april 2011
Programma
•
•
•
•
•
•
Levenscyclus relatie
Typen overeenkomsten
Privacy
Continuïteit
Intellectuele rechten
Internationaal privaatrecht
Vragen?
Per e-mail:
[email protected]
Overige informatie
Nieuwsbrief:
Internet:
[email protected]
www.mitopics.nl
Bronvermeldingen afbeeldingen:
•Foto rangeerterrein Kijfhoek, Mawijk, wikimedia commons, CC-SA-3.0
•Foto boorplatform in de Noordzee, Christian Bickel, wikimedia commons, CCSA-2.0 DE
•Afbeelding cloud computing, Sam Johnston, wikimedia commons, CC-SA-3.0
•Foto cirrostratus met halo, Simon Eugster, wikimedia commons, CC-SA-2.5
•Foto toiletdeur, Rob Pongsajapan, Flickr, CC-BY-2.5
•Foto Braun food processor, Donovan Govan, wikimedia commons, CC-SA-3.0
•Foto ambulance, neiljohnuk, wikimedia commons, CC-BY-2.5
Licentie voor presentatie als geheel: Creative Commons-Gelijk
Delen-Versie 3.0 Nederlands