Op 16 oktober werd door de experten Bob Diachenko en Vinny Troia een gigantisch datalek ontdekt op de Elasticsearch-server. Het gaat om een lek van 4 terabyte van zo’n 4 miljard gebruikersaccounts. De experten telden gegevens van meer dan 4 miljard unieke personen. Het gaat daarbij over gegevens zoals namen, e-mailadressen, telefoonnummers en profielinformatie van verschillende platformen zoals Facebook, Linkedin, Twitter & GitHub. Men spreekt over het grootste datalek ooit in een cloudomgeving. (https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/)
Steeds meer bedrijven schakelen de laatste jaren over op de ‘cloud’ en dat is niet zonder reden. Het reduceert IT-kosten, zorgt voor effectiever mobiel werken, een hogere productiviteit, standaardisatie van processen, … Je gebruikt en betaalt immers enkel hetgeen je nodig hebt in de cloud. Dit in tegenstelling tot aankoop van het traditionele on-premise IT-materiaal. Die voordelen blijken ook op grote schaal hun effect te kennen: gebruik van cloud computing heeft een relevant effect op het bruto binnenlands product (bbp) van de EU met maximaal € 250 miljard en creëert 3,8 miljoen banen tegen 2020 vergeleken met 2012.
Maar ondanks al deze voordelen blijken heel wat ondernemingen tot op vandaag nog terughoudend te zijn om hun activiteiten toe te vertrouwen aan cloudservices. De grootste redenen hiervoor zijn onvoldoende kennis en deskundigheid van de contractuele, de juridische aspecten en de technische implementatie van diensten op basis van de cloud. Maar ook het risico van een inbreuk op de beveiliging blijkt een belangrijke overweging voor ondernemingen: de zorg over een beveiligingslek scoort het hoogst voor zowel grote ondernemingen als KMO’s.
Onderzoek naar de economische schade ten gevolge van slechte cloudcontracten
De Europese commissie publiceerde op 04/11/2019 haar finaal rapport ‘Study on the Economic Detriment to Small and Medium-Sized Enterprises Arising from Unfair and Unbalanced Cloud Computing Contracts’ waarin duidelijk wordt welke problemen Europese kmo’s ondervinden met cloud-contracten en wat de kost inhoudt van oneerlijke en onevenwichtige Cloud Computing Contracten.
Uit dit onderzoek is onder meer gebleken dat:
- de contractuele verantwoordelijkheid van de cloudprovider in vele gevallen onduidelijk blijkt te zijn door overlappingen en lacunes in de overeenkomsten. Dit blijkt vooral zo met betrekking tot beveiligingsaspecten.
- KMO’s ook kijken naar het aantal datalek-incidenten dat een cloudprovider reeds heeft gehad.
- KMO’s in vele gevallen een slechte onderhandelingspositie hebben om de algemene voorwaarden aan te passen aan hun behoeften, waardoor zij niet altijd een aangepaste oplossing hebben wanneer er zich een probleem voordoet. De algemene voorwaarden worden regelmatig als oneerlijk beschouwd.
- Cloud services heel wat vragen oproepen met betrekking tot privacy, vertrouwelijkheid en gegevensintegriteit.
- In de periode 2016-2017 één op de vier KMO’s geconfronteerd werd met contractgerelateerde problemen met Cloudproviders. De belangrijkste problemen hielden verband met de non-conformiteit van de geleverde dienst. Het gaat dan voornamelijk over de snelheid van de dienstverlening (55% van de bevraagde KMO’s), de beschikbaarheid of continuïteit van de dienst (49%), updates van de service (32%) en duidelijkheid van de instructies voor het gebruik van cloud computing-services (26%).
- Problemen met betrekking tot beveiliging vrij vaak voorkwamen. Daarbij gaat het vooral over het gebrek aan bescherming van de gegevens tegen diefstal of virussen en ongeoorloofde openbaarmaking van of toegang tot gegevens.
- Contractgerelateerde problemen een groot economisch nadeel genereerden, gemeten aan de hand van verloren omzet en alle andere kosten. Het omzetverlies was de belangrijkste component van het nadeel, die 37% van het totale nadeel vertegenwoordigde, terwijl de kosten van personeel die betrokken zijn bij het oplossen van het probleem ongeveer 32% van het totale nadeel vertegenwoordigen.
Waarop moet ik letten bij het ondertekenen van een cloudcontract?
Dat slechte cloudcontracten tot kosten en frustraties kunnen leiden, lijkt met dit onderzoek nu wel vast te staan. Een probleem dat vele ondernemingen ondervinden is dat zij te weinig kennis hebben van de technische implicaties van de aangeboden dienst én van de juridische garanties die daar tegenover moeten/kunnen gesteld worden. En dit is toch van belang, aangezien een probleem rond veiligheid van je bedrijfsgegevens of de gebrekkige dienstverlening moet leiden tot een adequate aansprakelijkheidsregeling van de Cloudprovider.
Die analyse is in vele gevallen niet eenvoudig. Cloud contracten zijn geen overeenkomsten die een aparte wettelijke regeling hebben. Zij moeten, afhankelijk van de soort dienstverlening(en), gekwalificeerd worden als een verkoop, lease, huur, hosting, aanneming, sui generis-overeenkomst, … Bovendien is er ondertussen heel wat Europese regelgeving die specifiek van toepassing is op digitale contracten/dienstverlening. Dit kan telkens zijn implicatie hebben op de draagwijdte van de aansprakelijkheid van de Cloudprovider en je mogelijkheden om tot een oplossing te komen.
Ondernemingen zijn dan ook meestal niet in staat om de gevolgen van deze contractuele beperkingen in te schatten. Nochtans kan dit van groot belang zijn in het geval je geconfronteerd wordt met een datalek en je als onderneming daar zelf voor verantwoordelijk kan gesteld worden.
Voordat je zulke overeenkomsten tekent, is het aan te raden om volgende zaken na te (laten) kijken. Een verwittigd man is er niet alleen twee waard, maar vooral minder gefrustreerd.
- Kijk na hoe de onderlinge verantwoordelijkheid tussen jezelf en de Cloudprovider verdeeld is. Is die evenwichtig? Is dit duidelijk genoeg gedefinieerd? Kan dit bij problemen tot een bevredigende en snelle oplossing leiden? Heeft de Cloudprovider niet al te veel zijn aansprakelijkheid beperkt en is dit nog rechtmatig? Zijn de Clouddiensten conform de Cloud SLA Standardisation Guidelines van de Europese Commissie? In vele gevallen zijn Cloud-overeenkomsten standaardcontracten en is je onderhandelingsmarge niet echt ruim. Wens je toch te onderhandelen, hou er dan rekening mee dat de Cloudprovider zich via andere clausules of een hogere prijs zal willen indekken. Het is in elk geval het proberen waard en helpt je bij het beslissingsproces om al dan niet een overeenkomst te sluiten.
- Vraag ook wie de subcontractors zijn van de Cloudprovider. In vele gevallen beheren deze subcontractors essentiële onderdelen van de clouddienst en is het dus van belang dat je de betrouwbaarheid en de juridische verhouding met de Cloudprovider kent.
- Hoe zit het buiten het gebruiksgemak met de databeveiliging en de privacy? Kan de Cloudprovider je verzekeren dat hij, indien toepasselijk, aan de NIS-verplichtingen voldoet? Regelmatig zal je ook een verwerkersovereenkomst moeten voorzien om je databescherming cfr. de GDPR te verzekeren. Ga ook steeds na waar de servers van de Cloudprovider fysiek staan.
- Blijkt uit de overeenkomst voldoende wat precies het voorwerp is van de dienstverlening? Weet je op voorhand welke dienst je effectief kan verwachten? Heeft de Cloudprovider voorzien dat hij eenzijdig wijzigingen aan het contract kan maken, gelet op de snelle evoluties in de IT-wereld? Zo ja, blijft de verhouding tussen de partijen dan nog evenwichtig?
- Zijn je intellectuele eigendomsrechten op je data en je creaties die je in de Cloudomgeving upload en/of ontwikkelt, voldoende beschermd? Is het duidelijk wat de eventuele eigendomsoverdrachten zijn en/of de gebruiksrechten die je er op toestaat?
- Zijn er onderzoeks- en controlemogelijkheden voor je voorzien? Kan je zelf controleren wat de beveiligingsmaatregelen zijn en op welke manier je data effectief bewaard worden? Kan je bijvoorbeeld nagaan of er sprake was van een datalek en zo ja, hoe groot de impact is?
- Aangezien een Cloudovereenkomst al snel een internationaal karakter heeft, is het nuttig om na te kijken welk recht van toepassing is en waar je eventueel je rechten kan uitoefenen. Kijk dus ook zeker na of je in werkelijkheid je rechten wel kan afdwingen.
Conclusie
Het succes van Clouddiensten voor een onderneming kan niet meer ontkend worden en is te danken aan haar kostenreducerende en flexibele toepassingen. Maar aan deze opportuniteiten en gebruiksvriendelijkheid zijn ook risico’s verbonden. Om die reden zijn ondernemingen nog steeds terughoudend ten opzichte van Cloudtoepassingen, waarbij voornamelijk een gebrekkige dienstverlening en de gebrekkige veiligheid van de bedrijfsgegevens als grootste bezorgdheden worden genoemd.
Om het vertrouwen te winnen in je Cloudleverancier is het om die reden aangeraden het Cloudcontract grondig door te (laten) nemen en zo mogelijk te onderhandelen over verschillende aspecten. Zo kan je op zijn minst inschatten welke risico’s je daarbij neemt en hoe je deze risico’s tot een aanvaardbaar minimum kan herleiden zonder al te veel te moeten inboeten op het potentieel van de Cloudtoepassing.
Roeland Lembrechts
roeland@siriuslegal.be