Over cloud computing wordt veel gesproken, maar dat maakt nog niet dat de rijen gesloten zijn. Voor- en tegenstanders debatteren over de vraag wat deze nieuwe leveringswijze nu precies inhoudt: SaaS, hosting, managed service, cloud, grid of on-demand. Ondanks deze diversiteit kunnen we een aantal praktische opmerkingen maken over de contracten.
Het ontluikende cloud-segment biedt minstens op twee manieren commerciële kansen voor het kanaal. Allereerst kan een bedrijf een cloud-dienst leveren op basis van een eigen product. In een dergelijk geval kan de leverancier zelf een service-level agreement opstellen, en hoeft hij geen rekening te houden met de juridische voorwaarden voor producten en diensten van anderen. Hij levert immers alleen de eigen diensten.
Daarnaast kan de marktspeler diensten van anderen aanbieden en bundelen. Daarbij kan het gaan om technologiediensten (software, platform en infrastructuur) of informatiediensten (mash-up). Hierbij worden de contracten dikker, omdat iedere partij die diensten levert, dat onder zijn eigen standaardvoorwaarden doet.
Privacy
In het brede cluster van ‘cloud-achtige’ diensten verschillen niet alleen de namen van de contracten tussen aanbieder en gebruiker (van ‘gebruiksrechtovereenkomst’ tot ‘servicevoorwaarden’), maar loopt ook de inhoud ervan uiteen. Wel zijn er onderwerpen die bijna overal terugkomen, zowel over de technologie als over de te verwerken bedrijfsinformatie.
Neem een applicatiedienst, bijvoorbeeld crm-software, die door een cloud service provider wordt aangeboden. De te verwerken bedrijfsinformatie van de klant bevat vrijwel zeker ook persoonsgegevens. Op de verwerking van persoonsgegevens zijn al jaren strikte wettelijke voorschriften van toepassing, zoals de organisatorische en technische beveiliging van het gehele verwerkingsproces. Ook mogen de gegevens zonder toestemming van het ministerie van Justitie niet de buiten de Europese Economische Ruimte (EER) worden verwerkt.
De Wet Bescherming Persoonsgegevens kent verschillende sleutelbegrippen. Belangrijk zijn de ‘verantwoordelijke’ en de ‘bewerker’. Bij third-party cloud computing ligt het voor de hand dat de klant, als eigenaar van de informatie, de verantwoordelijke is en dat de cloud service provider de bewerker is. Dat is echter niet altijd het geval. Onlangs wezen de Europese privacytoezichthouders erop dat er steeds vaker situaties ontstaan waarin verantwoordelijken en bewerkers beiden een rol spelen. Daardoor is het lastig vast te stellen wie welke verantwoordelijkheid heeft. Dat vraagt meer dan ooit om analyse en heldere afspraken.
Belangrijk is tevens dat de bedrijfsinformatie van de klant blijft. Daar mag de cloud service provider zelf ‘niets’ mee doen, behalve deze volgens de afspraken verwerken.
Samengesteld
Over naar de informatietechniek. Contracten voor cloud-computingdiensten zijn samengestelde voorwaarden. Naast de levering (en licentieverlening) van het softwaredeel op abonnementsbasis, gaat het om onderhoud en beveiliging. Een en ander wordt op basis van een bepaald niveau geleverd.
Last but not least, zijn cloud-achtige dienstverleningscontracten te kwalificeren als een overeenkomst tot opdracht (artikel 7:400 Burgerlijk Wetboek). Dat betekent bijvoorbeeld dat de opdrachtgever (de klant dus) te allen tijde het contract kan opzeggen. Bovendien moet de cloud service provider volgens een bepaalde wettelijke norm handelen, namelijk conform de ‘zorg van een goed opdrachtnemer’. Als hij bijvoorbeeld het dienstenniveau niet haalt, kan hij aansprakelijk zijn voor eventuele schade.