Juridisch Risicomanagement in de Cloud

6 juni 2012Reacties uitgeschakeld voor Juridisch Risicomanagement in de Cloud

In samenwerking met The Legal Connection

De behoefte naar schaalbaarheid en flexibiliteit leidt wereldwijd tot een toename van het gebruik van Software as a Service (SaaS) en Cloud computing. Volgens onderzoeksbureau Gartner zal naar verwachting de wereldwijde SaaS omzet in 2015 $21.3 miljard dollar bedragen en 90% van de SaaS diensten zal gebruik maken van de Cloud (tegen 75% in 2011).

Escrow Alliance en The Legal Connection- Juridisch Risicomanagement in de Cloud doorNaarmate een bedrijf meer gebruik maakt van SaaS en/of mission critical systemen in de Cloud onderbrengt, des te gevoeliger het bedrijf is voor een onderbreking van de continuïteit in haar bedrijfsproces. Het onderscheid tussen de schakels in de keten van een bedrijfsproces dat in de klassieke economie nog zo duidelijk was, vervaagt meer en meer in de wereld van Cloud computing. Het is niet meer mogelijk om duidelijk vast te stellen op welke server data staat, wie de gegevens verwerkt etc.

Bedrijfscontinuïteit is het proces van identificeren, voorkomen en corrigeren van potentiële bedreigingen voor de organisatie. Zoals altijd geldt ook bij bedrijfscontinuïteit dat voorkomen beter is dan genezen. Hierbij kunnen preventieve, corrigerende en repressieve maatregelen worden onderscheiden. In deze context hebben preventieve maatregelen tot doel te voorkomen dat zich situaties voordoen die de continuïteit van een organisatie in gevaar brengen.

Naast technische en organisatorische maatregelen speelt juridisch risicomanagement een belangrijke rol bij het voorkomen en corrigeren van onderbrekingen van de bedrijfscontinuïteit. Over het algemeen zal compliance, het voldoen aan wet- en regelgeving, het uitgangspunt zijn bij juridisch risicomanagement. Het niet voldoen hieraan kan immers de bedrijfscontinuïteit in gevaar brengen. Het is daarom niet onverwachts dat veel bedrijven privacy en databeveiliging als grootste bezwaren zien voor de overstap naar de Cloud. In de ideale wereld is de Cloud immers niet aan grenzen gebonden, maar leggen de verschillende nationaal geregelde privacywetten de Cloud wel degelijk beperkingen op. Waar de data is opgeslagen is meestal niet aan te wijzen. Wie, waar en wanneer toegang heeft tot de data is ook weinig transparant.

In deze context hebben preventieve maatregelen tot doel te voorkomen dat zich situaties voordoen die de continuïteit van een organisatie in gevaar brengen.

Belangrijk zijn de schakels in de eerder genoemde keten van het bedrijfsproces. Cloud leveranciers maken over het algemeen gebruik van diensten van derden. Zo zal een leverancier van SaaS diensten gebruik maken van derden voor de levering van hostingdiensten, maar ook diensten afnemen van specifieke derde partijen zoals payment providers, creditchecks en meer. Dit brengt de nodige onzekerheden met zich mee. Zijn deze derden wel compliant? Welke gevolgen heeft non-compliance voor hen en daarmee ook voor uw bedrijfsproces? Denk hierbij niet alleen aan privacy, maar ook aan aansprakelijkheid en wetgeving omtrent data export en intellectuele eigendomsrechten. Hierbij moet worden opgemerkt dat het uitsluiten van de aansprakelijkheid voor derden in Nederland een gangbare en veelal door de rechtspraak geaccepteerde praktijk is.

Naast wettelijke kaders gaat meer dan ooit om contractuele waarborgen en zekerheden voor gebruikers. Zij worden bij de inzet van cloud-applicaties afhankelijker van hun leveranciers. Wie zijn bedrijfsautomatisering letterlijk buiten de deur plaatst, mag van haar leveranciers eisen dat het goed en zorgvuldig gebeurt.

Bij het corrigeren van de continuïteitsbedreiging speelt escrow een belangrijke rol. Eventueel gecombineerd met technische maatregelen (disaster recovery, Cloud Escrow ) kan zo de continuïteit worden gewaarborgd, zonder een inbreuk te doen aan de intellectuele eigendomsrechten van de leverancier(s). Net zoals bij de preventieve maatregelen, is het ook hier belangrijk bij Cloud computing dat men rekening houdt met de gehele keten.

De escrowregeling is een juridische constructie waarin de broncode van het programma en daarmee verband houdende materialen in escrow wordt gegeven bij een escrow-agent geeft.
Op het moment van een voorval zoals bijvoorbeeld wanprestatie of faillissement van de leverancier, levert de escrow-agent onder strikte voorwaarden de broncode uit aan de gebruikers van de software op basis van de escrow- en licentieovereenkomst.

De bovengenoemd overwegingen spelen een rol bij zowel preventieve, repressieve als corrigerende maatregelen bij een (potentiële) onderbreking van de bedrijfscontinuïteit. In de virtuele wereld van de Cloud is dit niet zo transparant als voorheen. Juist dit gebrek aan transparantie vraagt om duidelijke afspraken met de partijen in de keten. Een afspraak met alleen de eindleverancier van de dienst is dus misschien niet voldoende. Tot op welk niveau afspraken moeten worden gemaakt, zal vaak een risico overweging zijn op basis van de waarschijnlijkheid dat dit risico zich voordoet en de impact van een onderbreking van het desbetreffende proces ten opzicht van de kosten die hiermee gemoeid zijn.

The Legal Connection
The Legal Connection geeft praktisch juridisch advies op het gebied van ICT-recht, intellectueel eigendom en privacy. Door juridische kennis en begrip van bedrijfsprocessen en informatiestructuren te combineren helpt ze haar klanten met het maken van de vertaalslag van ICT & Recht naar de praktijk.

Escrow Alliance
Escrow Alliance combineert brede bedrijfskundige ervaring op snijvlak van ICT en business met verregaande kennis over software- en internetontwikkelingen. Escrow Alliance biedt met haar escrowregelingen toekomstbestendige oplossingen voor continuïteitsvraagstukken en is onder meer gespecialiseerd in vraagstukken rondom continuïteit voor Financiele platen SaaS-, Cloud, ASP en PaaS-platformen (cloud computing).

Dit artikel verscheen eerder in Financial Systems