Is een SaaS dienstverlener vanwege de AVG verplicht escrow op te zetten?

| AE 12330 | Ondernemingsvrijheid, Privacy | 7 reacties

Een lezer vroeg me:

Strekt de AVG zover dat softwarepartijen verplicht zijn – in het kader van beveiligen van de continuiteit – een escrowachtige regeling aan te bieden waarbij software en hosting geborgd zijn na een faillissement of overname?
De AVG verplicht tot adequate maatregelen tot beschikbaar houden van persoonsgegevens zo lang als dat nodig is voor de toegezegde dienstverlening en de rechten van betrokkenen. Er is dus nergens een algemeen lijstje met wat je moet doen of hoe lang, je moet zelf beredeneren (al dan niet in een DPIA) wat er nodig is om aan deze eis te voldoen.

Een partij die een softwaredienst met persoonsgegevens aanbiedt, moet er dus voor zorgen dat die dienst blijft draaien zo lang als nodig. Escrow of een continuïteitsregeling is daarvoor een mogelijk middel. Maar als er andere manieren zijn om de klanten te blijven bedienen, dan is dat ook prima. Een offline backup die in noodgevallen naar de klanten gestuurd kan worden, zou ook kunnen werken.

Bij faillissement zal de dienstverlening gewoonlijk eindigen, hoewel dat niet wil zeggen dat de betrokkenen dan geen rechten meer hebben. Dus formeel zou ik zeggen dat er dan iets van continuïteit moet zijn, hoewel dat praktisch gezien lastig af te dwingen is want de organisatie is dan nou eenmaal failliet en dan houdt het gewoon op.

Het grote probleem met escrow is dat het daadwerkelijk uitvoeren pittig kan zijn: ga er maar aan staan om vanuit een broncodedepot een online dienst weer neer te zetten. Zat de database met gegevens bijvoorbeeld ook in het depot? Hoe oud was die databasedump dan eigenlijk?

Een overname is geen excuus voor welke wijziging in de dienstverlening dan ook. Daar moet de dienst dus gewoon doorlopen en moeten de gegevens gewoon beschikbaar zijn.

Het maakt natuurlijk ook nog uit of het softwarebedrijf een verwerkingsverantwoordelijke is of een verwerker. Als dat laatste het geval is, dan zal de afnemer van de dienst meer stappen moeten nemen om zich tegen uitval van die verwerker te wapenen. Escrow of continuïteit ligt dan meer voor de hand.

Arnoud

Open source met verspreidingsverbod

| AE 4714 | Intellectuele rechten | 50 reacties

Interessante vraag vorige week bij mijn blog over “van wie is dat CMS”:

Hoe zit het met een constructie waarin de ontwikkelaar jou enerzijds het CMS onder de LGPL beschikbaar stelt en jij je er vervolgens contractueel op vastlegt het niet te verspreiden op last van een fikse boete? Waarbij de boete vervalt bij faillisement van de leverancier.

Dit is een creatieve poging om een soort van escrowregeling op te zetten. Het idee is dan dat je bij faillissement een LGPL opensourcelicentie krijgt, zodat je toch door kunt blijven werken met die software.

Alleen: het gaat niet werken.

De LGPL is in feite gewoon een licentiecontract (ja, een contract) en contracten kunnen door een curator worden gepasseerd. Dus of je nu een speciale escrowclausule in je ‘gewone’ licentie opneemt of zo’n LGPL-met-boete-constructie hanteert, het verliest zijn waarde zodra de leverancier failliet is.

De constructie deed me denken aan de term open source escrow. Dit komt erop neer dat de escrowagent de broncode in escrow houdt en uitbrengt onder een open source licentie zodra bekend is dat de leverancier failliet gaat (of met zijn bedrijfsvoering stopt om andere redenen). Dat kan dus, maar alleen als de agent de auteursrechten heeft.

Zouden mensen hier behoefte aan hebben? En zou het überhaupt werken, een stukje propriëtaire software die ineens open source wordt? Wie heeft zin daaraan te gaan werken?

Arnoud