Column


IT-jurist Peter van Schelven over...

Continuïteit in de cloud: hoe waarborg je dat?

Het management van iedere organisatie dat zijn verantwoordelijkheid voor een goed functioneren serieus neemt, moet de ongestoorde beschikbaarheid van de gebruikte datasystemen zoveel mogelijk waarborgen. Dat is een eis van behoorlijk bestuur. Tot op het hoogste niveau van organisaties brengt dit forse verantwoordelijkheden met zich mee en die kunnen niet louter op het bord van IT-ers en informatiebeveiligers worden gelegd.

Aandacht behoeven uiteraard de risico’s die verbonden zijn aan de incidentele uitval van de systemen die in eigen huis draaien. Maar ook moet worden gekeken naar de kwade kans dat een externe IT-provider - bijvoorbeeld een hosting- of SaaS-provider - op de fles gaat. Heeft u gewaarborgd dat u de systemen van de door u ingeschakelde provider ongestoord kan blijven gebruiken als die partij onverhoopt failliet gaat? En wat hebt u geregeld om te verzekeren dat uw bedrijfsadministratie die u bij een externe partij in de cloud zet, bij haar faillissement ongehinderd en volledig tot uw beschikking blijft? Zowel operationeel als juridisch is het onderwerp van groot belang. Ieder bedrijf moet immers, zo schrijft de wet voor, zijn administratie zodanig voeren dat ‘te allen tijde’ de rechten en verplichtingen van het bedrijf kunnen worden gekend. Als een bedrijf deze verplichting niet nakomt, stelt het zich bloot aan forse juridische en financiële risico’s, wellicht zelfs tot aan privé-aansprakelijkheid van de voltallige directie toe.

Juridische placebo’s
In de praktijk zijn daarom veel IT-providers bereid hun opdrachtgevers tegemoet te komen met betrekking tot dit risico. Zo zegt menig SaaS- of hostingcontract dat de verwerkte of opgeslagen data altijd eigendom is en blijft van de opdrachtgever. Zoiets klinkt natuurlijk aardig en bezorgt de klant wellicht een veilig gevoel, maar een contractuele bepaling van die strekking bezorgt opdrachtgevers bij het faillissement van hun provider echter nul komma nul juridische bescherming. De reden is een heel eenvoudige: data en databestanden zijn onder het regime van het Burgerlijk Wetboek eenvoudigweg geen voorwerp van zogeheten zakenrechtelijk eigendom. Eigendom is volgens de wet namelijk voorbehouden aan stoffelijke objecten en het merendeel van de juristen in ons land rekent data en databestanden daar dus niet toe. Zakenrechtelijke eigendom op data en databestanden is dus een juridisch fabeltje. De zakenrechtelijke eigendom moet hier overigens niet verward worden met de intellectuele eigendom, wat juridisch heel iets anders is.

Een curator moet met zijn vingers van andermans eigendom afblijven, zo vloeit uit de wet voort. Dus u kunt - als ik failliet zou gaan – met de wet in de hand probleemloos uw aan mij uitgeleende fiets van de curator terugvorderen, maar voor de door u aan mij verstrekte bedrijfsdata gaat die vlieger niet op. Misschien moet u zelfs wel flink in de buidel tasten om uw bedrijfsdata van de curator terug te kopen, als hij al bereid is uw data terug te geven. Kortom, als u uw bescherming denkt te ontlenen aan een eigendomsbepaling in een cloudcontract, dan vertrouwt u op niet veel meer dan een juridisch placebo.

Cloud Secure?
Staat u als opdrachtgever dan met lege handen tegenover het faillissement van uw IT-provider? Dat hoeft zeker niet het geval te zijn, maar dat vereist wel dat u van tevoren passende maatregelen treft. Die maatregelen betreffen met name de inschakeling van een extern bureau dat zogeheten Cloud Secure-diensten verzorgt, die voorzien in een specifieke bescherming tegen faillissement van de provider. Als u met een SaaS- of hostingbedrijf in zee gaat, doet u er verstandig aan reeds in een vroegtijdig stadium de inschakeling van een dergelijke dienst te verlangen. Er zijn steeds meer cloudproviders die deze faciliteit ter bescherming van hun opdrachtgevers standaard aanbieden, als het ware is het een soort ‘verzekering’.

Cloud Secure is een dienst die in de kern neerkomt op een combinatie van een afzonderlijke stichting en een set van specifieke contracten. Als de IT-provider failliet gaat, heeft de stichting de taak de continuïteit te waarborgen door te voorzien in een dienstenopvolger, zonder dat de curator van de in faillissement verkerende provider dat zou kunnen frustreren. Kortom, op voorhand wordt de curator buitenspel gezet. Zo’n ‘verzekering’ kan dus een hoop problemen voorkomen.

 


Lees meer over