Ik wil een kopie van mijn clouddata van de curator!

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil ook geen data afgeven. Wat kan ik doen? Die data is toch ons eigendom?

Nee, die data is niet je eigendom. Die data is juridisch helemaal niets en daarom valt er dus niets te eisen omtrent die data.

Het hosten van data is voor de wet een vorm van dienstverlening. Dat daarbij bits worden gemanipuleerd, is leuk maar juridisch niet relevant. Afgezien van specifiek virtuele objecten in digitale werelden is data niet iets dat voor eigendom in aanmerking komt, omdat het daar niet tastbaar genoeg voor is.

Afspraken maken dus. De dienstverlener moet “de zorg van een goed opdrachtnemer in acht nemen”, staat in de wet. Vandaag de dag mag je daar wel uit concluderen dat hij moet zorgen voor toegang tot data, bij voorkeur in een algemeen leesbaar formaat. Zo kun je backups maken van je data voor een eventuele migratie of calamiteit zoals faillissement. (Hoewel dit nog nooit bij de rechter bevestigd is en menig clouddienstverlener data opsluit in een eigen formaat waarna je er alleen via hun tools bij kunt.)

Alleen: bij faillissement houdt alles op wat je contractueel hebt afgesproken. De curator heeft maar één taak en dat is de schuldeisers tevreden stellen. Als hij daarbij wanprestatie moet plegen, dan is dat toegestaan. Een contractuele afspraak dat je bij faillissement gauw een kopie mag downloaden, is dus het papier niet waard waar deze op afgesproken is.

Met de hoster valt wellicht wat af te spreken. Die is niet failliet dus die zou een kopie van de data kunnen geven. Maar omdat je daar niet al een contract mee had, is hij daartoe niet verplicht en zou hij zijn kans schoon kunnen zien even wat verlies goed te maken. Beter is dus dit vooraf af te spreken, bijvoorbeeld via de stichting Continuïteit (waar ik bestuurslid van ben).

Wellicht heb je auteursrecht op de data. Ook dat gaat niet helpen: het is geen inbreuk op auteursrecht of databankrecht om te weigeren toegang tot een kopie van het werk te verschaffen. Dat weten we uit een rechtszaak in mei waarbij de toegang tot een databank werd geblokkeerd door de dienstverlener. “Geen toegang tot de gegevens” hebben is niet het soort schade waar deze intellectuele-eigendomswetten voor gemaakt zijn.

Een goede backupstrategie en/of afspraken met hoster en dienstverlener zijn dus de enige middelen om dit probleem op te lossen. En als je dat pas achteraf wilt regelen, dan gaat het een hele dure grap worden.

Arnoud

42 reacties

  1. Is er niet ook nog zo iets als maatschappelijk ongewenst? Ik kan me een voorbeeld herinneren dat een vrouw weigerde de hoofdkraan dicht te draaien waardoor de zaak eronder (extra) waterschade op liep. Die vrouw was gewoon verantwoordelijk omdat het een kleine moeite was geweest om even de kraan dicht te draaien.

    Zo is het toch ook een kleine moeite voor die hoster om voor een paar tientjes even de backup te sturen.

    1. Er is de maatschappelijke zorgvuldigheid inderdaad. Maar om nu te zeggen dat het onzorgvuldig is om een dienst te leveren aan een partij met wie je geen contract hebt? Dit is geen simpele handeling, even een kraan dichtdraaien. Het exporteren van data van een klant van een klant vereist best wat tijd. Hoe weet je welke datastructuur er is, hoe dit te exporteren?

      1. De vraag stelling is wellicht wat onduidelijk en de term fors is voor meerdere uitleg vatbaar.

        Als het gaat om een pure backup van de data van die ene klant (dus 1 file of een set van files) dan zie ik niet in waarom je daar fors voor zou moeten betalen. Meer dan 1 uur werk zou dat niet hoeven zijn om die op een FTP te zetten zodat de klant het kan downloaden. Als je daar dan 3 uur voor rekent dan lijkt me dat nog acceptabel. Als de hoster daar als een legale afpersing € 6.000 voor vraagt (omdat hij weet dat het hele waardevolle data is) dan lijkt me dat toch onwenselijk.

        Als er alleen data van alle klanten is en de hoster moet daar de gegevens uitfilteren voor deze ene klant, tja dan is het logisch dat dat (veel) geld kost. Dat zelfde geldt natuurlijk als hij de data in een ander formaat moet aanleveren. De hoster hoeft er niet bij in te schieten natuurlijk en mag gewoon een commercieel tarief rekenen.

        Mijn vraag is eigenlijk dit. Als de hoster weet dat die data veel geld waard is (bijv 10.000) en het kost hem maar 5 min om de data te overhandigen, mag hij dan 6.000 vragen of kan je daar juridisch iets tegen doen?

        1. De hoster hóeft helemaal niets te doen. Het gaat hier om dienstverlening. Dat er toevallig bits gemanipuleerd worden bij die dienstverlening, maakt juridisch niet uit.

          Vergelijking: je facilitair dienstverlener is failliet, en nu wil je dat zijn onderaannemer het beveiligingsbedrijf nog even langskomt om je pand te beveiligen. Dat hoeft dat bedrijf helemaal niet te doen, er is geen contract. En als zij dan alleen een contract tegen 3x het normale tarief willen bieden,dan mag dat. Daar is niets onrechtmatigs aan.

          Verschil is natuurlijk dat je in principe gewoon van beveiliger kunt switchen, terwijl je bij bedrijfsdatadiensten dat niet kunt. Dát is een probleem maar de wet erkent dat niet. Verder dan de achterdeur “dit moest niet mogen dus het mag niet” (de maatschappelijke onzorgvuldigheid) kom ik niet.

          1. Zou de hoster dat wel mogen? Ik weet wel dat in juridische zin data niet zo heel veel is, maar als de hoster alle klanten de data overhandigd zit de curator in beginsel met een lege boedel. De klantcontracten zijn in dit soort gevallen mogelijk meer waard dan de rest van de (kantoor) inventaris..

            Het is ook de vraag of de hoster het moet willen omdat deze wel 100% zeker vast moet stellen dat de data aan de juiste partij overhandigd wordt.

    2. Het is niet duidelijk of dat een kleine moeite is. Als data niet duidelijk is gescheiden per klant, of als het onduidelijk is waar het is opgeslagen, kan dat veel tijd en uitzoekwerk kosten. Je wil niet per ongeluk data van een andere klant geven aan de verkeerde persoon. En als het gigabytes of terabytes aan data is, kost dat tijd en moeite om over te dragen.

  2. Het idee achter die stichting is buitengewoon interessant. Hoe werkt dat? Voorzien die in een technische oplossing, d.w.z. een offsite backup? Of is het primair een juridische constructie?

    Mooi om klanten dit aan te bieden in een project proposal.

    1. De website doet vooral veel moeite om mensen van het probleem te overtuigen en biedt dan aan om een juridische maatoplossing voor dit probleem te leveren. Een technische oplossing liljkt me moeilijk, vooral omdat er zoveel verschillende diensten zijn en elk land waar een dienstverlener gevestigd is, weer een eigen faillissementsrecht kent.

    2. Het is een juridische oplossing waarbij het doel is alle voor de dienst essentiële bedrijfsonderdelen veilig te stellen door bijvoorbeeld overdracht of door dubbel uit te voeren. Als de clouddienstverlener failliet gaat, kan de stichting de dienst doorleveren aan de klant voor een bepaalde periode. Meestal wordt dit niet voor 1 klant gedaan maar voor alle klanten. Voor veel klanten is dit interessant en in sommige gevallen zelfs noodzakelijk (denk aan zorg/accountants/advocaten). Binnenkort komt er een factsheet over dit oderwerp, die zal ik doorzetten.

  3. Het verzoek om een (regelmatige) back-up van gegevens zou standaard gehonoreerd moeten worden, desnoods als recht in wetgeving vastgelegd. Bij voorkeur periodiek, en niet als er een probleem is.. Dan staat de klant in geval van een faillisement nooit met lege handen.. Ontbreekt misschien data van 1 of 2 weken, pijnlijk, maar niet onoverkomelijk.

    Ik vind het bijzonder zorgelijk dat o.a. in de makalaardij organisaties diensten aanbieden waarbij de klant in het geheel niet over de data kan beschikken. Minstens zo zorgelijk is dat klanten hier vrij gemakkelijk overheen stappen….. Gelukkig krijgen ze van ons de waarschuwing per post en per e-mail..

    Naast bij een stichting kan je een applicatie in principe natuurlijk ook bij een notaris stallen…

  4. Zijn curatoren (of hun eigendommen) vaak het slachtoffer van slachtoffer van geweld of bedreigingen? Een beroep waar je mensen zo mag/moet pesten lijkt mij niet echt goed voor je gezondheid.

    1. Curatoren hebben wel te voldoen aan de eisen van redelijkheid en billijkheid. Al moeten ze daar al te vaak expliciet op worden gewezen en laten ze het op de rechter aankomen om onrechtmatigheden te corrigeren

  5. Hoe zit het als jij bij partij A een rack huurt die het bij partij B in het datacenter geregeld hebben en daar hangen jouw )eigendom) servers in met daarop jouw (niet eigendom) data.

    Kun je dan binnenlopen en je servers gaan halen bij partij B? Of krijg je dan van B te horen “Racks gaan niet open want A heeft huur betaald!” gevolgd door doe maar 10.000 dan mag je ze komen halen.

    En wat is dan je kans in een kort geding of iets anders snel legaals om er op tijd aan te komen want als je na 3 weken je servers hebt dan zijn je klanten ook al weg.

    1. Specifiek dan kan het. Het is je eigendom en dat mag je opeisen, ook bij partijen met wie je geen contractuele relatie hebt. Natuurlijk moet je wel kunnen bewijzen dát het je server is. Hopelijk zit er een goeie sticker op.

      Het wordt lastig als het rack in eigendom is van partij A en op slot zit met een sleutel die B niet heeft. Dat is niet echt handig mara het kan gebeuren. En of B dan het slot mag forceren, betwijfel ik.

  6. Wij bieden (bij IaaS) altijd twee mogelijke oplossingen. Klant kiest. Offsite back-up (maak je sowieso), dus waarom niet naar een partij anders dan wij of onze partner (de klant zelf / derde partij) en de oplossing van Stichting Continuïteit. Beide oplossingen hebben voor en nadelen.

    1. Dat hoeft ook niet. Hij moet alleen zorgen dat alle schuldeisers juist geinformeerd worden en verder niets te klagen hebben over de uiteindelijke uitkomst. Sommige schuldeisers, zoals de belastingen, komen eerst, daarna gevolgd door de rest. Net als een kudde leeuwen om een karkas. (Ik vind kudde leuker klinken.) Als de prooi een olifant was dan is het voor iedereen feest. Is het een konijn, dan moeten ze allemaal verhongeren. Zo ook met bedrijven die failliet gaan. Als schuldeisers eenmaal weten dat er verder niets te verhalen valt dan zouden ze tevreden moeten zijn met hetgeen ze nog ontvangen.

    2. Volgens mij is art. 37a Fw hier relevant, je hebt een concurrente vordering tot schadevergoeding o.g.v. wanprestatie van de curator (dus geen boedelschuld of vordering jegens de curator pro se). Alle schuldeisers worden dus “tevreden” gesteld met inachtneming van de paritas creditorum.

      1. Ja, maar zo gelijk is het nog niet. Eerst worden de boedelschulden afgehandeld en die omvatten de kosten om het geheel af te wikkelen. Dus het salaris van de curator, taxatiekosten, salaris van medewerkers en zo. Wat er van de pot overblijft kan uiteindelijk onder de faillisementschuldeisers worden verdeeld. Daarbij zijn er echter weer bevoorrechte vorderingen, waar de belastingdienst, het UWV en de preferente schuldeisers dus onder vallen. Dan komen de normale schuldeisers gevolgd door de achtergestelde schuldeisers. Maar het is sowieso maar de vraag of er na de boedelschulden nog enige activa over zijn.

  7. Laat dit een les zijn voor mensen die de cloud zien als de ultieme backup-strategie: backuppen kan je nooit 100% uitbesteden. Zolang er een single point of failure is die alle kopieën tegelijkertijd onbruikbaar kan maken, is je backup-strategie niet goed. Als je je opslag+backups uitbesteedt aan een enkele externe partij, dan is faillissement van die externe partij een single point of failure.

  8. Kan er niet iets gedaan worden met het feit dat de data persoonsgegevens betreffen? Er is toch een wet die deze beschermt? Maar goed, volgens mij mag die curator deze gegevens ook doorverkopen aan andere partijen simpelweg omdat hij mag wanpresteren. Met opbod verkopen aan de meest biedende, bijvoorbeeld. Dit is een risico met online services. Zelfs al heb je een eigen backup van de data dan kunnen de cloudgegevens bij faillisement mogelijk overal terecht komen. Beter is het om je gegevens in de cloud op te slaan op een manier dat de cloudprivider er niets van kan gebruiken. (Encryptie, bijvoorbeeld.) Maar daarvoor zul je je eigen software op de host moeten installeren en neem je dus geen service meer af maar alleen hosting. En je eigen software laten ontwikkelen is weer te duur. Hier is een interessant marktgebied voor service ontwikkelaars. Beveilig de cloud-data zodat alleen de klant erbij kan komen en niet de service/cloudprovider. Er zijn diverse methodes hiervoor die dit mogelijk maken en de beveiliging hoeft niet al te zwaar te zijn. Immers, de beveiliging omzeilen van data is een misdrijf, dus zelfs een curator mag dat niet doen. En zorg ervoor dat de service met regelmaat de data kan exporteren in een leesbaar formaat. Dit is dan de backup voor de gebruiker…

  9. Een van mijn “cloud-boeren” bied ook iets wat hiervoor kan helpen, zolang de 3 partijen dit van te voren afspreken. Als klant van hun falliet gaat en er zijn getekende afspraken dan kunnen die klanten van de failliete klant nog bij hun data:http://www.cloudvps.com/blog/cloudvps-intro duces-data-ownership-guarantee/

    Toch zorg ik liever voor een goede backup. Want was als de cloudboer zelf stopt oid…

    1. Ik denk dat een goede back-up niet voldoende zal zijn als je contactgegevens in de cloud opslaat. De curator kan namelijk deze contactgegevens verkopen aan de hoogste bieder en daar valt weinig aan te doen. Wat de koper van die gegevens er vervolgens mee kan doen is maar de vraag maar er is kennelijk een legale handel in dergelijke gegevens. Arnoud heeft er eerder over geblogd over curators die klantgegevens verkopen.

        1. Waarom zou het niet mogen? Zoals Arnoud al aangeeft, data heeft geen waarde. Data heeft ook geen eigenaar. Maar als iemand bereid is om ervoor te betalen dan kan een curator die kans aangrijpen. De koop en verkoop ervan is niet geregeld in de WBP. Alleen voor gebruik zitten er bepaalde voorwaarden aan, maar dat maakt de gegevens niet waardeloos. En de cloudprovider kan allerlei voorwaarden hebben afgesproken over het beschermen van deze klantgegevens maar de curator mag deze voorwaarden gewoon schenden om zo inkomsten te genereren.

          1. @Wim en Arnoud: Dus jullie stellen dat als mijn accountant failliet gaat, de curator MIJN klantenbestand en administratie kan verkopen aan mijn concurrent? Ik ben geen jurist en zou geen wetsartikel weten maar dat lijkt me toch wel heel maatschappelijk ongewenst…..

  10. Die data is juridisch helemaal niets ,

    Data is onderdeel van een informatiesysteem en heeft wel degelijk juridische bescherming. Bijvoorbeeld in de wet computercriminaliteit Als je daar wederrechterlijk data ontoegankelijk maakt of beschadigt/wist dan is dat strafbaar.

    Van wederrechterlijkheid is hier geen sprake van maar het geeft wel basis aan het feit dat dat juridisch een bepaalde waarde aan data wordt toegekend in de wet en dat het opzettelijk beschadigen van die data strafbaar is.

    Data is dus niet juridisch niks

    1. Ik ga er van uit dat de curator de data niet zal wissen of beschadigen. Wel geeft hij aan de klanten de waarschuwing dat hij de media waarop de data staat moet gaan verkopen als onderdeel van de inboedel en de klanten dus -tegen betaling- een kopie van de data kan ontvangen. Als de klant niet betaalt dan kan hij eventueel kijken of anderen interesse hebben in de data en zoniet, dan wordt de data gewoon gewist en de harde schijf met de data erop kan worden doorverkocht. Levert misschien nog een paar tientjes op voor de schuldeisers. En de curator staat daarbij in zijn recht. En dit kan wel eens vervelend zijn als het om bedrijfsgegevens of allerlei technische ontwerpen gaan, of broncode van software. De curator mag de schijf met deze data erop gewoon doorverkopen. De koper mag vervolgens door de data gaan snuffelen. Zolang er maar niemand iets van publiceert is het auteursrecht niet van toepassing. Er wordt namelijk niets gepubliceert. (Maar de curator kan het maar aan 1 klant doorverkopen.) Ik denk dat de wet dan ook behoorlijk gebrekkig is als het gaat om cloud data. De bescherming van data zou veel beter moeten.

      1. Als het strafrechterlijk iets is dan is het civiel rechterlijk ook iets. Een misdrijf kan als er schade door optreedt in een civiel proces leiden tot schadevergoeding.

        Niet in deze zaak maar als iemand opzettelijk je gegevens wist kan je hem naast laten vervolgen ook gewoon aanklagen wegens een onrechtmatige daad en een schadevergoeding vragen voor de schade die voortvloeit uit het wissen van data. En die schade kan gigantisch oplopen zeker als je bijvoorbeeld ook backups opzettelijk heb vernield !

        1. Dat hangt er vanaf wat je met “iets” bedoelt. Het is juridisch een onrechtmatige daad, maar daarmee is het onderwerp van de daad nog geen recht of zaak, iets waar je een labeltje op kunt plakken, wat mee kunt doen. Die opgestoken middelvinger is als zodanig géén civielrechtelijk iets.

          Verder geldt in het strafrecht wel dat je wederrechtelijk moet vernielen. Ik zie niet meteen hoe daar sprake van is als een hostingpartij je account wist nadat het contract is ontbonden. Of als hij toegang weigert omdat de tussenliggende leverancier failliet is. Je data opeisen met de stelling dat vernielen van de data strafbaar is, gaat hem in ieder geval niet worden.

          1. Ik geef ook aan dat het op deze zaak niet van toepassing is. Ik vind het alleen niet juist om heel pertinent te stellen dat data juridisch niks is. Het heeft sowieso al puur als gegevens een vaste voet in het strafrecht en dat kan je doortrekken naar het civiele recht.

            Maar ook anders. Er zijn bijvoorbeeld ook vituele goederen (in essentie ook data) en ook die kun je stelen. Bitcoins (data) kun je stelen. Data representeerd ook vaak iets wat wel juridisch betekenis heeft. Je kan dus juridsch data bijvoorbeeld zien als een virtuele zaak. Als dat strafrechterlijk kan bij het stelen van een object in habbo waarom kan een setje gegevens in een civielrecht dan ook geen virtuele zaak zijn . Als een object in habbo een door een rechter beoordeelde waarde heeft waarom heeft een set klantdata in een cloud geen waarde als virtueel goed lijkt me bijvoorbeeld een interpretatie die je juridisch kan proberen te gebruiken.

          1. Okay, je krijgt een schadevergoeding. Achteraan aansluiten bij de rest van de schuldeisers, graag…

            Het indienen van een hoge schadevergoeding op de boedel bij de curator is bijvoorbeeld wel een goede optie. De curator kan dan kiezen om die schadevergoeding aan te vechten of om de deze bij de andere vorderingen te leggen of om de schadevergoeding af te kopen met de data die vermoedelijk verder voor de curator toch geen waarde heeft.

            1. De curator gaat eerst kijken of er na de boedelschulden nog geld overblijft. Zoniet, dan valt er verder toch niets meer te doen aan deze kwestie. Het geld is er dan niet dus krijg je sowieso niets, of je nou wel of geen gelijk hebt. Mocht er alsnog geld overblijven (In ongeveer 5% van alle faillisementen) dan gaat de curator dit gelijkmatig verdelen onder de faillisement-schuldeisers, waarbij het de curator helemaal niets uitmaakt of jij nu wel of niet je geld krijgt, zolang je claim maar voldoende onderbouwd is. Zoniet, dan wijst hij deze gewoon af en moet je alsnog naar de rechter stappen. Bij voorkeur voor de geldpot leeg is. Maar sowieso gaan alle niet-betwiste vorderingen eerst nog langs de rechtbank om de definitieve lijst van schulden en schuldeisers vast te leggen. Daarbij wordt ook de volgorde van de vorderingen vastgelegd. Je claim kan dus als laatste aan bod zijn. Als dat alles is goedgekeurd dan moet de curator bepalen hoeveel procent hij per schuldeiser kan uitbetalen. Dat hangt af van hoeveel geld er nog over is. Met een beetje pech krijg je 2, 3% van je claim terug. En daar heb je dan ook lang op moeten wachten. Curators maken zich totaal niet druk om dergelijke claims. Je komt op de stapel bij de rest. Hij gaat eerst bepalen wat er financieel nog te behalen valt. En bij een ICT-bedrijf kan dat behoorlijk weinig zijn! De failliete cloudprovider huurt waarschijnlijk de cloud infrastructuur dus dat is niets waard. Kantoorruimte is vaak ook gehuurd dus ook niets waard. Blijft over de kantoor-spullen van de cloudprovider en dat hoeft ook niet veel te zijn. Misschien 20 man personeel met ieder een PC en/of laptop, nog een paar printers en wat andere apparatuur plus een boel meubelen. Als het bij elkaar nog een ton oplevert is dat al veel. En zoals gezegd gaat daar eerst nog de boedelschuld af in de vorm van belastingen, het salaris en de onkosten van de curator en het achterstallige salaris van het personeel dat aan het UWV betaald wordt. (Het UWV zorgt ervoor dat het personeel nog op tijd hun geld krijgen.) Kortom, een schadevergoeding claimen is mogelijk verspilde moeite. Die krijg je niet…

  11. Arnoud,

    kan je lezer niet gewoon de curator benaderen en die vragen om hem voor een bepaald bedrag de data te verkopen? De curator zal daar beroepshalve in moeten meegaan, en je lezer is tevreden (zakelijk toch, emotioneel waarschijnlijk niet)

    (En als ik die lezer was zou ik als ik mijn data had de faktuur van die curator niet betalen, dan mag hij voor de rechter gaan uitleggen)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.