Column


IT-jurist Peter van Schelven over...

Eigendom van data: een placebo in de cloud?

“Opdrachtgever blijft te allen tijde eigenaar van de bij de provider ingevoerde gegevens.” Bepalingen van deze strekking komen in heel wat cloud- en hostingcontracten voor. Ze geven de afnemer van cloud- en hostingdiensten naar het lijkt een veilig gevoel. Maar wat zijn die woorden nou eigenlijk waard?

Een contractsbepaling die zegt dat een opdrachtgever altijd eigenaar blijft van zijn digitale data die op de server van een provider staan, gaat uit van de aanname dat digitale data voorwerp van eigendom kunnen zijn. Die juridische aanname klopt echter niet. Immers, het Burgerlijk Wetboek bepaalt klip-en-klaar dat alleen ‘zaken’ object van eigendom kunnen zijn.

Stoffelijke dingen
Het merendeel van de juristen in ons land stelt zich op het standpunt dat digitale data geen zaken zijn. Zaken zijn volgens de wet stoffelijke dingen en daar vallen dus tafels, auto’s, huizen en theekopjes onder, maar digitale data niet. Digitale data worden voor onstoffelijk gehouden. Slechts een zeer kleine minderheid van juristen in Nederland – waaronder ook ikzelf – verdedigt dat digitale data wel zaken kunnen zijn, maar u doet er om redenen van zekerheid verstandig aan die minderheid niet te volgen. De ‘mainstream’ onder mijn vakgenoten zegt dat data niet onder zakenrechtelijk eigendom kunnen vallen.

Voor de goede orde: eigendom op zaken moet worden onderscheiden van intellectueel eigendom, zoals het auteursrecht. Over dat laatste heb ik het hier nu niet. Dat is juridisch immers iets heel anders.

Revindicatie
Waarom is de discussie over het eigendom van zaken praktisch van belang? Stel, u leent mij uw fiets uit. Als ik vervolgens failliet ga, dan kunt u uw in eigendom toebehorende fiets zonder enig bezwaar bij de faillissementscurator opvorderen. Hij of zij moet die keurig netjes aan u teruggeven en mag de fiets dus niet verpatsen. De curator is gebonden aan de regel dat hij of zij andermans eigendommen moet respecteren. In potjeslatijn van de juristen heet het dat u uw eigendom kunt revindiceren.

Als je – zoals gezegd – aanneemt dat digitale data niet onder het eigendomsrecht van het Burgerlijk Wetboek vallen, dan ligt de problematiek van teruggave geheel anders. Als de provider bij wie u digitale data hebt ondergebracht, onverhoopt failliet mocht gaan, dan is het nog maar de vraag of de curator ‘uw’ data op uw verzoek retourneert. Die kan bijvoorbeeld teruggave weigeren als dat in het belang van de afwikkeling van de faillissementsboedel is. Of: de curator kan instemmen met een teruggave, maar pas nadat u bereid bent hem of haar daarvoor een aardig bedrag te betalen. In het slechtste geval staat u dus met lege handen. Het spreekt voor zich dat de ongestoorde toegang tot data belangrijk is voor de continuïteit van uw bedrijfsvoering en dat belang is met een armzalig eigendomsartikeltje in een contract niet gewaarborgd.

Heer en meester
Een bepaling in een cloud- of hostingcontract waarin iets wordt gezegd over eigendom van de data van de opdrachtgever, is in de regel niet veel meer dan een placebo. Zo’n bepaling geeft de afnemer wellicht een lekker gevoel, maar de juridische waarde ervan is gering. De bepaling suggereert dat de afnemer altijd heer en meester over ‘zijn’ data blijft, maar in faillissementskwesties red je het daar niet mee. Toch zie je dat dergelijke clausules in de praktijk inmiddels wijdverbreid zijn.

Wie als afnemer zijn belangen rondom toegang en afgifte van data goed wil regelen, moet veel meer doen dan louter vertrouwen op weinig heilzame bepalingen in contracten. Doe je dat niet, dan kom je van een koude kermis thuis.

Cloud Secure
Een van de middelen om je te beschermen tegen het faillissement van de provider, is ‘Cloud Secure’: een complexe combinatie van juridische en technische continuïteitswaarborgen die het ongestoorde gebruik van de clouddiensten waarborgt. Als je zoiets zelf in elkaar wilt fabrieken, dan komt daar nogal wat bij kijken. Het is daarom prettig dat deze beschermingsvorm inmiddels als commodity in de markt beschikbaar is. Wie zijn bedrijfsdata serieus neemt, doet er verstandig aan die bescherming serieus te overwegen. Want met een placebo in een contract – hoe mooi en sympathiek ook geformuleerd – red je het als afnemer niet.


Meer weten over cloud in relatie tot security? Kom dan op woensdag 2 november tijdens Infosecurity.nl 2016 naar het debat 'Cloudsecurity'.


Lees meer over