Cloud computing: steeds lastiger om grip te houden op data

Een van mijn cliënten had laatst een geschil met zijn ICT-dienstverlener. Hij kon niet meer bij zijn eigen administratie- en facturatiesysteem dat draaide in de ‘cloud’; ook zijn klantgegevens zaten hierin. De ICT-dienstverlener bleek hem de toegang onmogelijk te hebben gemaakt.

“Cloud computing maakt het steeds lastiger om grip te houden op data. @mirjamelferink geeft in haar opiniestuk @nrclive een aantal praktische aanbevelingen. #cyber”
Tweet this!

Cloud computing

Steeds meer organisaties maken gebruik van ‘cloud computing’. Het is in feite een paraplubegrip voor allerlei vormen van ICT-dienstverlening die ter beschikking worden gesteld via het internet. Software draait niet meer op eigen computers of servers, maar op servers van derden. Net als de data, die ook niet meer in eigen huis worden gehost. Nu de data opeens ‘buitenshuis’ staat, is men afhankelijk van de betrouwbaarheid van de – soms kwetsbare – keten van leveranciers in de cloud. Clouddiensten zorgen er ook voor dat cybersecurity steeds belangrijker wordt. Uit diverse onderzoeken blijkt dat wij door snelle digitalisering en hoge mate van afhankelijkheid daarvan steeds kwetsbaarder worden voor verstoringen. Kortom, hoe verder de techniek schrijdt, hoe lastiger het wordt om grip te houden op onze data.

Uit diverse onderzoeken blijkt dat wij door snelle digitalisering en hoge mate van afhankelijkheid daarvan steeds kwetsbaarder worden voor verstoringen

Verdeling van verantwoordelijkheden

Bij ‘cloud computing’ is niet altijd direct duidelijk wie waarvoor verantwoordelijkheid draagt, wie welke bevoegdheden heeft of wie effectieve controle kan uitoefenen op bepaalde verwerkingen van gegevens. Omdat er bij ‘cloud computing’ meerdere partijen in de keten zijn betrokken, wordt de samenwerking tussen partijen -en een goede verdeling tussen rollen en verantwoordelijkheden- steeds complexer. De risico’s nemen navenant toe. Wat bij afnemers vaak onbekend is, is dat zij ook hun eigen verantwoordelijkheid hebben bij de beveiliging van hun (deel van de) ICT.

Bij afnemers is vaak onbekend dat zij ook hun eigen verantwoordelijkheid hebben bij de beveiliging van hun (deel van de) ICT

Risico’s vooraf in kaart brengen

Voordat clouddiensten worden afgenomen, zouden organisaties kritisch naar een aantal aspecten moeten kijken, zowel vanuit technisch, organisatorisch als juridisch perspectief, met name daar waar het de veiligheid en beveiliging van hun data betreft. De Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei jl. geldt, heeft daartoe al een belangrijke impuls gegeven daar waar het gaat om persoonsgegevens. Via dit wettelijke kader wordt een hogere mate van bewustwording bij organisaties gekweekt om veilig en zorgzaam met hun persoonsgegevens om te gaan. Verder wordt er een aantal waarborgen afgedwongen. Daarnaast worden in sommige gevallen verplicht bepaalde instrumenten voorgeschreven, zoals het uitvoeren van een Privacy Impact Assessment. Hiermee kunnen vóóraf bepaalde risico’s in kaart worden gebracht.

Voordat clouddiensten worden afgenomen, zouden organisaties kritisch naar een aantal aspecten moeten kijken

Praktische aanbevelingen

Hoewel veel bedrijven zich inmiddels bewust zijn van de risico’s van cloud computing, zie ik het als ICT-advocaat toch nog vaak mis gaan. Meest voorkomende oorzaak: het contract of het ontbreken daarvan. Wat opvalt is bijvoorbeeld dat verwachtingen over en weer niet goed worden uitgesproken en als gevolg daarvan ook niet goed contractueel worden vastgelegd. Ook komt het voor dat partijen een verschillend beeld hebben bij de uitleg van bepaalde afspraken of begrippen. Een aantal praktische aanbevelingen:

  • Maak in het contract goede afspraken over de beschikbaarheid en bereikbaarheid van de dienst en de data alsmede over de betrouwbaarheid, vertrouwelijkheid en het gebruiksgemak daarvan. Vorm zelf een beeld van de keten van leveranciers die bij de diensten zijn betrokken: waar zitten potentiële kwetsbaarheden en afhankelijkheden?
  • Bespreek een goede incidenten- en datalekregeling.
  • Leg vast wie er toegang heeft tot de data, of er moet worden gelogd en hoe vaak.
  • Maak afspraken over de eigendom van de data en de intellectuele eigendomsrechten die mogelijk ontstaan ten aanzien van de dataverzameling/databank.
  • Spreek af wie waarvoor aansprakelijk is. Met name het verlies van data en/of het ontstaan van datalekken is een van de grootste risico’s bij clouddiensten. Vraag goed na of deze risico’s verzekerd dan wel verzekerbaar zijn.
  • Zorg dat wordt voldaan aan de privacyregels die voortvloeien uit de AVG als uw data ook persoonsgegevens bevatten. Zelfs al ‘doet’ een clouddienstverlener niets met uw data en slaat hij deze alleen op. Ook dan dient u te voldoen aan de regels van de AVG.
  • Regel een aantal zaken waardoor de continuïteit van de dienstverlening wordt gewaarborgd zoals ondersteuning van de leverancier bij migratie van bestaande ICT-oplossingen en het leggen van koppelingen met andere systemen en/of diensten.
  • Voorkom een ‘vendor lock-in’: zorg ervoor dat de data ook beschikbaar zijn na het einde van de overeenkomst (waaronder faillissement, verhuizing naar een andere leverancier). Vergewis u ervan op welke (fysieke) locatie de data worden opgeslagen.

Kijk tenslotte welk recht van toepassing wordt verklaard in de contracten. Het is namelijk niet ondenkbaar dat u ofwel met buitenlandse partijen contracteert ofwel dat buitenlandse partijen verderop in de keten diensten ten behoeve van uw organisatie leveren. Daarnaast: persoonsgegevens mogen niet zonder meer in landen buiten de Europese Unie worden opgeslagen.

Persoonsgegevens mogen niet zonder meer in landen buiten de Europese Unie worden opgeslagen.

‘Cloud computing’ is een mooie ontwikkeling. Deze biedt veel kansen. Maar blijf bewust van de risico’s. Zorg dat u grip houdt op uw data. Een goed contract voorkomt veel problemen.


Mirjam van Elferink & Kortier Advocaten is gespecialiseerd in het adviseren en procederen over intellectuele eigendomsrechten (IE), ICT-contracten, (software-)licenties en privacy. Zij is gepromoveerd in het auteursrecht. Bovendien adviseert, doceert en publiceert zij regelmatig over deze onderwerpen. Mirjam staat een diversiteit aan ondernemingen bij, van innovatieve start ups tot aan grotere ondernemingen en overheden. Daarnaast procedeert zij namens cliënten onder meer in diverse IE-inbreukzaken en ICT-trajecten. Zij is onder andere lid van de specialisatie Vereniging voor Intellectuele Eigendom Proces Advocaten (VIEPA)


Tijdens de NRC Live serie over cybersecurity delen wij regelmatig opiniestukken van onze sprekers.

Bekijk programma