Een lezer vroeg me:
Ik wil graag weten hoe de volgende zaken bij een online backupdienst geregeld zijn. Stel dat de provider failliet gaat. Op welke wijze is de klant dan gegarandeerd dat hij zijn data nog kan benaderen en dat de data terugkomt en dat hij de tijd heeft om zijn data kan weghalen?
Dit is niet geregeld en je hebt dus een probleem als dit gebeurt.
Online dienstverlening is zo nieuw dat er maar bar weinig geregeld is, en al helemaal niet op het gebied van beschikbaarheid en continuïteit. Als je de wet erbij pakt, kom je niet verder dan algemene zinnen als dat de dienstverlener “de zorg van een goed opdrachtnemer in acht nemen” moet. Maar dat vertalen naar een harde SLA is echt onmogelijk; dat moet de markt zelf verzinnen, is de gedachte. En pas als dat niet blijkt te werken, komen er misschien wettelijke maatregelen.
Een contract kan nog zo veel mooie dingen beloven, maar bij faillissement houdt alles op. De curator is gerechtigd de stekker eruit te trekken, ook bij klanten die al vooruit betaald hadden en ook bij klanten tegen wie gegarandeerd was dat het systeem zou blijven draaien ook na faillissement. En ja, dat is natuurlijk contractbreuk maar een claim wegens contractbreuk mag u indienen bij de boedel en die wordt dan misschien betaald – als de Belastingdienst en de bank zijn betaald.
De enige echte manier om dit te regelen binnen de huidige wetgeving is een stichting continuïteit opzetten die met de provider van de cloudprovider regelt dat het systeem blijft doordraaien na het faillissement. De stichting betaalt dan de rekening. Op die manier kan iedereen nog even doorhobbelen. Ook heb ik wel constructies gezien waarbij de data onder beheer van een stichting kwam (bijvoorbeeld door een nachtelijke kopie af te geven) die vervolgens bij faillissement deze toegankelijk maakt in een open bestandsformaat. Kan, maar iedereen moet dat wel apart regelen.
Biedt het bedrijf niet zo’n regeling, dan heb je twee opties: 1) de dienst niet gebruiken of 2) elke nacht een kopie maken van de data. Wat eigenlijk ook weer neerkomt op niet gebruiken want je zet nou net dingen online in een backup zodat je het niet zelf hoeft te backuppen. Maar iets beters weet ik niet.
En oh ja, meer over dit soort problemen lees je in ons nieuwe boek Cloud: Deskundig en praktisch juridisch advies waarvan de voorintekening net is geopend.
Arnoud
Ik moet opeens aan de MegaUpload-kwestie denken, waar ook veel gebruikers legale content hebben bewaard waar ze nu opeens niet meer bij kunnen omdat deze service ook werd gebruikt voor illegaal materiaal. Hoe kun je je hier tegen beschermen?
Een faillisement is inderdaad 1 methode waardoor de toegang tot data spontaan verdwijnt maar inbeslagname bij een crimineel onderzoek gebeurt toch ook af en toe.
Dit is een interessant onderwerp, als zzp-er heb ik al meedere bedrijven gehad die bijv. hun data niet in de cloud willen hebben. Enerzijds vanwege de gedachte dat men in hun data gaat snuffelen. (Amerikaanse of Nederlandse overheid) Anderzijds dat hun data van de ene op de andere dag verdwenen zou kunnen zijn…
Dit klopt dus!? En dus blijven bedrijven liever veel geld uitgeven aan in-house oplossingen i.p.v. besparen via de cloud…
Is het mogelijk dat de cloud-provider een truc uithaalt door bijv. een dochteronderneming op te zetten die als stichting fungeert? Dit lijkt me niet al te ingewikkeld te controleren door de klant, maar ik weet niet of een dergelijke constructie wel legaal is (want eigenlijk omzeil je zo het failliet).
@Mark:
Security in de cloud is nog zeker wel een issue. Vooral bij dingen als software-as-a-service ligt dat lastig, omdat de software ook server-side draait. Het lijkt momenteel mogelijk (met nieuwe cryptografische technieken; als je wilt googlen: Homomorphic encryption, searching in encrypted data) ook dit volledig te beveiligen, maar voor zover ik weet is dat nog niet in de praktijk gebracht. Ook is het nog zo dat een cloud provider weer een extra ingewikkeld contract oplevert, iets waarvan ik me voor kan stellen dat kleinere bedrijven liever vermijden. Ja, er zijn voordelen aan ‘de cloud’, maar een beetje voorzichtig zijn is momenteel nog wel verstandig.
Onze (deurwaardersbranche) ASP-provider heeft de broncode van haar ERP-software in depot via Escrow Europe.
Dit artikel doet mij echter realiseren dat er niks geregeld is m.b.t. tot de data. Weliswaar wordt de data redundant opgeslagen bij twee verschillende datacentra van Telecity Group, bij een faillissement van de ASP-provider of van Telecity Group zijn wij de sjaak. Wij kunnen dan niet meer bij onze tienduizenden dossiers.
Misschien toch een punt om aan te halen in de vergadering van de gebruikersvereniging.
En verder hebben ze nog de interessante claim:
“Er zijn in de datacenters strenge toegangseisen en inbreken is onmogelijk.”
Onmogelijk?
@Rens: Dat kan zeker, een dochteronderneming staat los van het faillissement van de moeder. Hooguit kunnen dan de aandelen van de moeder in de dochter verkocht worden, waarna de dochter ineens heel ergens anders aan hangt. Een aparte stichting is iets transparanter.
Het is toegestaan om maatregelen te nemen die zaken buiten de boedel houden zodat er bij een faillissement weinig te halen is. Dit is waarom menig bedrijf met moeder/dochter-constructies werkt. De dochter draagt het risico en de moeder heeft de eigendommen. (Soms zit er zelfs een midden-BV tussen om de moeder nog meer af te schermen.) Wat alleen niet mag is met kénnis van een dreigend faillissement gauw dingen uit de boedel halen. Zie Actio pauliana.
Je punt 2 ben il het niet mee eens. Het bedrijf waar ik werk gebruikt een online backup puur als vervanging van de tapes van vroeger. We hebben een lokale nachtelijke backup om data terug te kunnen halen en een cloud-backup alleen voor gevallen dat de lokale backup niet meer beschikbaar is (brand etc.). Het verlies van alleen de online backup is dus niet zo erg. Lijkt mij een vrij standaard situatie. Vertrouw nooit alleen op je cloud!
@Arnoud: gelden die persoonsgegevens dan ook als onderdelen van de boedel in die zin? Ik kan me namelijk niet voorstellen dat de curator vrolijk die gegevens gaat veilen onder overige cloud aanbieders.
Overigens, nu ik daar toch over na denk, wanneer kunnen (door)verkopen van (onderdelen van) bedrijven op remming door privacy wetgeving stranden?
@Rens: homomorphic encryption en zijn vriendjes zijn inderdaad nog zeer theoretisch en verre van praktisch toepasbaar. Daar zou ik nog wel een decennium onderzoek op willen zetten.
@Stas: persoonsgegevens ‘zijn’ niets. In de boedel vallen zaken en overige rechten (“goederen”, in de zin van de wet) en persoonsgegevens zijn geen goed. Daarmee zijn ze eigenlijk vogelvrij, want de dragers waar ze op staan zijn wél goederen en kunnen dus bij opbod worden verkocht.
Wel zullen verkoper en koper rekening moeten houden met de Wbp, met name de eis van doelgebonden toestemming. In de praktijk betekent dat dat de koper alleen wat kan met die gegevens als hij hetzelfde gaat doen als de verkoper. Een klantenbestand van een failliete webshop mag dus worden gekocht door de concurrent, als die van plan is de contracten over te nemen. Hij moet dan wel de klanten informeren en ze gelegenheid geven er uit te stappen.
Heel vervelend natuurlijk als je Online Backup dienstverlener failliet gaat maar hoe erg is dat voor jou als klant eigenlijk? Ik ga er vanuit dat je in zo’n geval niet kunt beschikken over je reservekopie. Je zou kunnen zeggen: je risico op dataverlies neemt toe. Maar dat is toch geen acute bedreiging voor je continuïteit? Concreet: alles ligt nog keurig opgeslagen op je hoofdsysteem en functioneert vandaag als gisteren.
Volgens mij moet je bij de test van een ‘Worst Case Scenario’ er gewoon rekening mee houden dat een willekeurig faciliteit er niet is. Dus ook optie ‘OB provider failliet’. Als je vervolgens wilt uitsluiten dat je data zou verliezen doordat bv. je server crasht op dezelfde dag dat je OB provider failliet gaat dan kies je toch een derde opslag locatie? Dat lijkt mij tenminste eenvoudiger te regelen dan een aparte stichting oprichten. En daarbij: een paar nachten uploaden en je schaduwkopie is keurig ondergebracht bij een andere provider.
Laatste opmerking: elke MKB-er zou zo kritisch moeten zijn op zijn data backup!
Er is wel degelijk een mogelijkheid om te garanderen dat klanten, ook na een onverhoopt faillissement van de online backup partij, gebruik kunnen blijven maken van hun backup data. In samenwerking met escrow agent Escrow Alliance hebben wij hier onlangs een nieuwe dienst voor geïntroduceerd: Escrow Backup.
Wanneer een klant kiest voor deze Escrow Backup module, wordt de data als extra zekerheid gerepliceerd naar een 2e opslagplatform. Het 2e opslagplatform valt onder het beheer van Escrow Alliance en is geplaatst in een ander data-center dat geografisch gescheiden is van die van het primaire storage platform. Mocht er onverhoopt iets gebeuren met de onderneming Cloud2, het fysieke primaire opslagplatform of met de locatie van het data-center van de primaire backup, dan staat de data altijd veilig op deze alternatieve 2e locatie.
Meer informatie over Escrow Backup is te vinden op: http://cloud2.nl/blog/escrowbackuppreserveertkritischedata
Interessant Jeroen. Valt dat tweede datacenter onder een andere rechtspersoon? Als beiden van dezelfde rechtspersoon zijn, weet ik niet of het wel goed gaat wanneer die failliet gaat.
Jazeker. Het tweede datacenter valt onder Escrow Alliance en staat dus volledig los van Cloud2. De facturatie voor deze dienst vindt ook plaats vanuit Escrow Alliance en niet vanuit Cloud2. De dienst is natuurlijk wel gewoon via Cloud2 te bestellen. Wij zorgen ervoor dat Escrow Alliance contact op neemt met de klant en het geheel wordt ingeregeld.