Masterclass juridische aspecten SaaS/Cloud TU Delft 25 april 2012 mr. drs. Walter H. van Holst Onafhankelijk IT-advies vanuit de combinatie van technische, bedrijfskundige en juridische expertise Onafhankelijk IT-advies combinatie van technische, bedrijfskundige en juridische expertise Kenmerken Sinds 1991 Beëdigd informaticadeskundigen Best practices Kwaliteitsmanagement Professioneel netwerk Huisleverancier Kernwaarden Professioneel Pragmatisch Objectief Ambitieus Betrokken Betrouwbaar Onze diensten Strategie Voorstudies Beleid Verandermanagement Contractering Contracten en SLA’s Onderhandeling Geschillen Inkoop (Out)sourcing Europese aanbesteding Contractmanagement Beoordeling Audits Taxaties Deskundigenberichten Vernieuwing Programma van eisen Pakket- en partnerselectie Implementatiebegeleiding Tevens Second opinions Projectbegeleiding Workshops Opleidingen & workshops Inkoop Europees aanbesteden Outsourcing Implementatiemanagement Contractering Service Level Agreements (SLA’s) ICT-contracten Onderhandelen over ICT-contracten Contractmanagement Contractmanagement voor ICT Vendormanagement Tevens Application Service Providing (ASP) IT-Services Procurement Library (ISPL) Open source software (OSS) Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Levenscyclus uitbestedingsrelatie exploitatie Vestzakoutsourcingscontract • Cloud computing qua overeenkomst analoog aan uitbestedingsovereenkomst • Wat is de rol van de leverancier? • Reseller of service-integrator? Gemene deler cloud computing contracten • Versterkte afhankelijkheid van leverancier en connectiviteit • Belang Service Level Agreement • Belang exitscenario’s Reguliere beëindiging, geschilsituatie, faillissement • Shared online i.p.v. offline on site Data niet (alleen) meer on site aanwezig Reguliere escrow niet adequaat Continuïteitsmanagement Risico’s cloud computing • • • • • • Vendor lock-in Schending privacy wet- en regelgeving Isolation failure (multitenancy) Management interface compromise Kwaadwillende insider Resources en data aantrekkelijk doelwit door concentratie / schaalgrootte • Discontinuïteit leverancier Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Transitie afhankelijk van gebruikte standaarden Afrekenmodel op basis van gebruik Relatieve onbekendheid met aard van gegevens afnemer Technisch karakter van dienstverlening Relatief hoge mate van standaardisatie Aandachtspunt: bestaande licenties Infrastructure-as-a-Service (Iaas) Transitie is vaak herbouw Standaarden nog lang niet uitgekristallisseerd Afrekenmodel op basis van gebruik Technisch karakter van dienst Platform-as-a-Service (PaaS) Software-as-a-Service (SaaS) Kenmerken SaaS Transitierisico berust vaak bij leverancier • Migratie • Inrichting Afrekening op basis van transacties Ondersteuning van bedrijfsprocessen Flexibiliteit leverancier == flexibiliteit bedrijfsproces Samenhang overeenkomst en SLA SLA is in opvatting Mitopics operationaliserende bijlage bij contract Consistentie contract en SLA essentieel Bonus-/malusregelingen en aansprakelijkheid Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Belangrijkste wetgeving: • Wet bescherming persoonsgegevens (Wbp) • Begrippenkader Wbp Begrippenkader Wbp: Betrokkene Persoonsgegevens Verwerking Verantwoordelijke Bewerker 95/46/EC: Data subject Personal data Data processing Controller Processor Wbp compliance in cloud computing Cloudleverancier is bewerker Bewerkersovereenkomst is vereist Gezagsverhouding inzake veiligheid + continuïteit Onafgebroken keten van bewerkersovereenkomsten Dus inclusief onderaannemers zoals hosters Exportverbod persoonsgegevens buiten EER Gezagsverhouding continuïteit + veiligheid Verantwoordelijke moet bewerker zijn continuïteits en veiligheidsbeleid kunnen opleggen SLA moet dit kunnen operationaliseren Integriteit van persoonsgegevens onderdeel van veiligheid Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Continuïteitsmaatregelen Zo feitelijk mogelijk Periodiek oefenen Outputgeoriënteerd Meer dan techniek: operationele uitwijk Continuïteitsmaatregelen • In-de-plaats-tredingsovereenkomst/clausule? • Source escrow • Data escrow • Hot-standby? • Garantiestellingen? Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Intellectuele rechten IE en licentiekwesties – wie is rechthebbende? (Maatwerk) software Databankrechten in de cloud? Producten: beschermde werken? Aanpassingen? Toestemming? Is een licentie afdoende? Past de licentie in een cloud? Is de cloudprovider werkelijk eigenaar van de werken? Wie is aansprakelijk/procespartij bij inbreuk op werken van derden Juiste model? SaaS setting Licentiegever Sublicense? User Agmt? 7 april 2011 Licentienemer (SaaS Provider) Functionaliteitsafnemer (Klant) Juiste model? IaaS/PaaS setting ? Licentienemer (Klant?) Licentiegever ? ? Cloud Provider 7 april 2011 Programma • • • • • • Levenscyclus relatie Typen overeenkomsten Privacy Continuïteit Intellectuele rechten Internationaal privaatrecht Vragen? Per e-mail: [email protected] Overige informatie Nieuwsbrief: Internet: [email protected] www.mitopics.nl Bronvermeldingen afbeeldingen: •Foto rangeerterrein Kijfhoek, Mawijk, wikimedia commons, CC-SA-3.0 •Foto boorplatform in de Noordzee, Christian Bickel, wikimedia commons, CCSA-2.0 DE •Afbeelding cloud computing, Sam Johnston, wikimedia commons, CC-SA-3.0 •Foto cirrostratus met halo, Simon Eugster, wikimedia commons, CC-SA-2.5 •Foto toiletdeur, Rob Pongsajapan, Flickr, CC-BY-2.5 •Foto Braun food processor, Donovan Govan, wikimedia commons, CC-SA-3.0 •Foto ambulance, neiljohnuk, wikimedia commons, CC-BY-2.5 Licentie voor presentatie als geheel: Creative Commons-Gelijk Delen-Versie 3.0 Nederlands