Hoe de curator toegang kan krijgen tot een administratie in de cloud

“De curatoren hebben te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden.” Oh kijk, dat was een gezellige boel in Amsterdam: cloudleverancier Microsoft weigerde de curatoren van een dochter van de Russische Alfa Bank toegang te geven tot de bedrijfsadministratie, onder meer onder verwijzing naar de EU-sanctieregels tegen Russische bedrijven. Een dilemma zoals we dat vaker horen, de Nederlandse wet zou tot iets verplichten maar vanwege altijd schimmig blijvende “US law” zouden bedrijven daar dan geen gehoor aan hoeven geven.

In april ging de betreffende dochter – de Amsterdam Trade Bank – failliet, mede vanwege sanctieregels: “Leveranciers van bijvoorbeeld software konden door de strafmaatregelen niet langer zaken doen met ATB, waardoor het heel moeilijk was om nog verder te gaan met bankieren”, zo meldde het AD. Dat is op zich een begrijpelijke consequentie van sancties, maar creëert hier wel een bijzonder probleem bij de afwikkeling van datzelfde faillissement.

Je zou zeggen dat dit een klaar klontje was. De Faillissementswet zegt immers in artikel 105b letterlijk dat iedereen die administratie van een failliet heeft, die moet geven:

Derden met inbegrip van accountantsorganisaties en een externe accountant, die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen die administratie en de daartoe behorende boeken, bescheiden en andere gegevensdragers desgevraagd volledig en ongeschonden aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken.
Microsoft weigerde echter, en dat ging zelfs zo ver dat niet eens duidelijk was welke partij eigenlijk de administratieve dienstverlening verricht. Daardoor ontstond het basale probleem van wie te dagvaarden, waarop de curatoren maar gewoon een vaste advocaat van Microsoft aanschreven. Men belandde uiteindelijk toch in de rechtszaal, en de ergernis van de rechter spat van het vonnis:
In de aanloop naar dit kort geding heeft (de advocaat van) Microsoft verstoppertje gespeeld door niet kenbaar te maken welke Microsoft-vennootschap moest worden gedagvaard en door nog niets van haar verweer prijs te willen geven.
Ook met de inhoudelijke vraag heeft de rechter weinig moeite. In de Nederlandse wet staat dat de curatoren recht hebben op de administratie, dus die moet Microsoft geven. Dat ze dan wellicht klem komt te zitten met andere wetgeving uit andere landen is haar probleem, maar geen excuus om onze wet te negeren als je in Nederland zaken wilt doen. Bovendien valt het inhoudelijk wel mee, als je die Sanctieverordening goed leest:
Evenmin is aannemelijk dat Microsoft bij het voldoen aan het gevorderde strafrechtelijke of financiële risico’s van enige betekenis loopt. Het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement kan voorshands niet worden aangemerkt als een door de EU Sanctieverordening verboden handeling (het ter beschikking stellen van “economische middelen” die kunnen worden gebruikt om “tegoeden, goederen of diensten te verkrijgen”). Ook ten aanzien van het Amerikaanse sanctieregime geldt dat voorshands niet aannemelijk is dat het verlenen van toegang tot de Microsoft-omgeving in het kader van een faillissement strijd oplevert met de verplichting eigendommen van gesanctioneerde (rechts)personen te blokkeren en/of strijd oplevert met het verbod die eigendommen over te dragen, waarbij het nog de vraag is of gedaagde sub 3 (Microsoft Ireland Operations Limited) al dan niet (indirect) gebonden is aan het Amerikaanse sanctieregime.
Die laatste is ook een leuke in AVG-verband: de discussie over gebondenheid aan de US Cloud Act versus de Europese AVG gaat over precies hetzelfde probleem, namelijk of je gebonden bent aan beide wetten tegelijk en welke dan wint. Het antwoord is dus: mogelijk ben je aan beiden tegelijk gebonden, en je kunt dus tegenstrijdige vonnissen krijgen uit de VS en Europa en dan is dat even heel vervelend voor jou maar je gaat er wel aan voldoen:
veroordeelt gedaagde sub 3 (Microsoft Ireland Operations Limited) om al hetgeen noodzakelijk is te doen, zodat gegarandeerd is dat de Stichting Vereffening binnen 48 uur na het wijzen van dit vonnis ongehinderde toegang tot, en gebruik van, de volledige Microsoft-omgeving heeft en blijft houden, op straffe van een dwangsom van EUR 10 miljoen voor elke 24 uur na betekening van dit vonnis dat de Stichting Vereffening die ongehinderde toegang tot, of gebruik van, niet of niet volledig (meer) heeft, met een maximum van EUR 100 miljoen.
Een dwangsom van (maximaal) 100 miljoen euro is bij mijn weten in Nederland nog niet voorgekomen, en het is minstens zo opmerkelijk dat deze al na tien dagen aangetikt wordt. Dat onderstreept wel de haast die de rechtbank ziet. En terecht: 23.000 particuliere spaarders van de bank kunnen nu niet bij hun geld.

Arnoud

Is een SaaS dienstverlener vanwege de AVG verplicht escrow op te zetten?

Een lezer vroeg me:

Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?
De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline backup die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.

Arnoud