Tag: Saas

About Saas

Subscribe Feeds

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

Geplaatst op in Informatiemaatschappij, 20 reacties

kpn-online-backupCloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via).

De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage en blessurepreventie. Voor dat werk had zij de nodige documenten, foto’s en video’s ontwikkeld en om die netjes te bewaren had ze bij KPN de dienst Back-up Online afgenomen.

Toen kwam er een harddiskcrash bij haar bedrijf, maar gelukkig had ze de online backup nog. Helaas geen logingegevens meer. KPN heeft dan het beleid dat ze een nieuw account aanmaken en de bestanden overzetten.

Alleen bleken in dit geval de bestanden niet te zijn overgezet. Er “was iets niet goed gegaan”, aldus een KPN-medewerker tijdens de rechtszaak. De rechtbank vindt dat terecht een toerekenbare tekortkoming en volgens de wet moet KPN dan de schade van het benadeelde bedrijf vergoeden.

KPN had -natuurlijk- algemene voorwaarden, die haar aansprakelijkheid beperkten tot dood en letselschade, fysieke schade aan spullen en redelijke kosten ter beperking van verdere schade. (Nee, ik weet ook niet wanneer dat zich kan voordoen bij een online backupdienst.) Voor verlies van gegevens was men dus per definitie nooit aansprakelijk.

Het beperken van je aansprakelijkheid staat op de zogeheten grijze lijst van algemene voorwaarden – je moet als bedrijf kunnen aantonen dat het wél redelijk is je aansprakelijkheid uit te sloten. Dit geldt bij consumenten maar de rechtbank oordeelt dat deze eenmanszaak reflexwerking mag verwachten, omdat online backupdiensten niets te maken hebben met haar eigen kernactiviteiten (fysiotherapie en dergelijke) en het hier gaat om een kleine eenmanszaak tegenover een grote multinational.

Die uitsluiting gaat dus van tafel en KPN moet de schade vergoeden. Maar wat is de schade? De kosten van het opnieuw maken van de betreffende bestanden lijkt het meest logisch aanknopingspunt, waardoor de rechtbank kiest voor uurtarief maal aantal uren voor herstelwerk. Hiervoor krijgen de partijen een gelegenheid om nadere gegevens aan te dragen.

Had mevrouw de schade kunnen voorkomen? Ja, aldus KPN: had die inloggegevens ergens anders bewaard dan had je gewoon bij je backup gekund. Oftewel je had dit kunnen voorkomen. Nee, zegt de rechtbank: de fout van KPN is véél groter en het bedrijf kon gewoon bij de gegevens met die escalatieprocedure voor verloren logins. Dan is het “eigen schuld” noemen net iets te gortig.

Dit vonnis betekent niet dat élke cloudprovider nu automatisch onbeperkt aansprakelijk is voor alle schade. Er moet nog steeds wel een fout zijn gemaakt bij de dienstverlener. En niet elke fout zal zo ernstig zijn als wat KPN hier voor elkaar kreeg. Maar op zich vind ik de uitkomst zeer verteerbaar: bij een online backupdienst is de kern “bewaar de gegevens”. Dus dan mág het niet gebeuren dat gegevens kwijt raken – en in je voorwaarden “verlies van gegevens” uitsluiten van aansprakelijkheid is natuurlijk een tikje zot.

Arnoud

Vijf cloudzaken die belangrijker zijn dan de Patriot Act

Geplaatst op in Ondernemingsvrijheid, 24 reacties

cloud.pngWe gaan naar de cloud maar oh jee dat mag niet want de Patriot Act. Het meest gehoorde bezwaar tegen dienstverlening uitbesteden aan een cloudprovider. Met de Patriot Act in de hand kan de FBI ongegeneerd snuffelen in clouddata, ook als het gaat om Europese persoonsgegevens. En daarmee handel je in strijd met onze Wbp. Oh jee. Ja, toegegeven dat is een probleem. Maar in de praktijk heb ik dit nog nooit tot een écht conflict of overheidsoptreden zien leiden. Maar wat er wél in de praktijk misgaat, zijn deze vijf dingen.

  1. Data-export: ben je in staat je data te exporteren in een formaat waar je ook werkelijk mee kunt werken? Of zit alles ‘opgesloten’ in het formaat van de cloudleverancier en moet je met copypaste vanaf het scherm alles over zien te zetten naar je nieuwe leverancier?
  2. Continuïteit: wat ga je doen als de dienst niet meer beschikbaar is? Is er een lokale backup of een alternatief waarmee je tijdelijk door kunt? En vooral: wat ga je doen als de dienst ermee stopt, bv. vanwege faillissement of overname+stekkeruitname. Menig clouddienst(je) blijkt ineens verdwenen omdat de achterliggende startup er geen geld meer voor heeft.
  3. Beschikbaarheid: flauw maar wél belangrijk. Als een dienst er niet is terwijl je daar wel op rekent, dan gaat het mis. Heb je een Service Level Agreement afgesloten? Staan daarin de kerncijfers en prestatie-indicatoren die je echt nodig hebt? 99% uptime betekent 3,5 dag downtime per jaar. Dat klinkt misschien als te overleven, maar wat als dat elke week 2x een half uur storing midden op de dag is? En staat er echt een boete in het contract, of krijg je 1/30e van de maandelijkse vergoeding terug? En wat héb je daaraan?
  4. Datalekveiligheid: een species van beveiliging in het algemeen natuurlijk. Maar wel een belangrijke, want een datalek levert je een forse hoeveelheid slechte publiciteit op. En wanneer de Europese Privacyverordening van kracht wordt, komen er boetes op het laten lekken van persoonsgegevens. (Ook andere data wil je natuurlijk niet laten lekken, maar dan moet je de boete zelf contractueel afspreken.)
  5. Voorwaarden-billijkheid: de algemene voorwaarden van veel cloud- of SaaS-diensten zijn erg eenzijdig of bevatten opmerkelijke clausules. Zo wordt vaak tussen neus en lippen door een onbeperkt gebruiksrecht op de klantdata opgevraagd (nog net niet “Wij mogen uw foto’s op t-shirts verkopen” maar het scheelt niet veel) en

Missen jullie nog dingen? Wat zijn jullie problemen met clouddienstverleners, of juist met hun klanten?

Arnoud<br/> PS: meer weten over cloud, security & continuïteit? Kom naar onze training op 11 februari!

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

Geplaatst op in Security, 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Gebruikers Google Analytics schenden Nederlandse privacywet

Geplaatst op in Informatiemaatschappij, 23 reacties

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

Mag ik een hosted dienst afsluiten bij wanbetaling?

Geplaatst op in Informatiemaatschappij, 3 reacties

Het lijkt vrij logisch bij een internetdienst: als de klant niet betaalt, dan sluit je de toegang tot de dienst af. Dat is immers het sterkste machtsmiddel dat je hebt. En aangenomen dat de klant die dienst belangrijk vindt (waarom betaalt hij er anders voor), zal hij dan snel alsnog over de brug komen met de achterstallige betalingen. Maar helemaal zonder risico is het niet.

De wet noemt het tijdelijk niet leveren van een dienst bij wanbetaling van de wederpartij ‘opschorten’. In principe ben je vrij in de keuze hoe je wilt opschorten, maar je moet daarbij wel altijd rekening houden met de redelijke belangen van de klant en de hoogte van de wanbetaling. De wet zegt dat “opschorting slechts toegelaten [is], voor zover de tekortkoming haar rechtvaardigt.” Het is niet aan te raden om de gehele dienstverlening naar de klant te staken als deze alleen de BTW op een factuur is vergeten te betalen. E-mail van zijn klanten laten bouncen is zelden verstandig. Uitgaande diensten (verzenden van mail bijvoorbeeld) kun je probleemloos wel gewoon blokkeren.

Ik raad altijd aan om een gefaseerd proces van opschorten te hanteren, en dat ook duidelijk in de voorwaarden op te nemen. Mijn standaardaanpak: eerst gaat de applicatie op read only, een week later worden gewone gebruikersaccounts geblokkeerd en een week daarna wordt de gehele applicatie ontoegankelijk. Door dit vooraf te melden én op een duidelijke en redelijke manier uit te werken, sta je sterk als de klant naar de rechter stapt en claimt dat je niet proportioneel hebt gehandeld.

De periode van opschorting mag je in principe laten lopen tot de klant zijn rekening heeft betaald. De klant moet echter gewoon zijn lopende verplichtingen blijven voldoen. Hij moet dus ook betalen voor de periode dat je de dienstverlening opgeschort hebt. Eventueel kun je ook af- of aansluitingskosten in rekening brengen. Maar ook hier geldt: dit moet wel redelijk zijn in de gegeven omstandigheden. Plus, het bestaan van dergelijke kosten moet in de voorwaarden zijn gemeld.

Opschorten is niet zonder risico: als achteraf blijkt dat dit niet terecht was, moet je de klant schadeloos stellen voor de periode dat de dienst niet te gebruiken was. Verwijzen naar de beperkte aansprakelijkheid uit je algemene voorwaarden gaat je niet helpen. Opschorten valt onder “opzettelijK” handelen en daarvoor mag je nooit je aansprakelijkheid uitsluiten.

Als zelfs opschorting geen zoden aan de dijk zet, zal de volgende stap opzegging van het contract zijn wegens wanprestatie. Ook dit middel moet in redelijke verhouding staan tot de wanbetaling. Maar dit middel is een stuk zwaarder, want je gaat nu onherstelbare dingen doen: het account afkoppelen, de dienst onbereikbaar maken en mogelijk zelfs data wissen.

Lastig is dat hier allemaal weinig over geregeld is in de wet. Data is niets dus als die weg is dan kun je als klant niets eisen. Dat voelt niet helemaal lekker, zeker niet als achteraf blijkt dat de reden voor afsluiting een misverstand of overmacht was. Ook hier dus: zorg voor een duidelijke procedure bij afsluiting en bewaar als het even kan de data totdat je zeker weet dat de klant weg blijft.

Arnoud

Argh, wéér een popup – “D66 wil bijsluiter voor datagraaien in de cloud”

Geplaatst op in Privacy, Security, 15 reacties

waarschuwing-webwereldHier krijg ik búitengewoon veel jeuk van. Aanbieders van clouddiensten die niet gevestigd zijn in Europa moeten verplicht en compleet duidelijk maken dat data toegankelijk kan zijn voor geheime diensten en onderworpen aan surveillance door buitenlandse autoriteiten, meldde Webwereld gisteren. NEE. Gewoon NIET. Het wérkt niet, mensen om toestemming vragen nadat je ze een door een jurist opgestelde tekst hebt geïnformeerd over de mogelijke risico’s.

Ja, de cloud is eng en de Amerikaanse al helemaal. De NSA tapt het hele internet, en de FBI kan met geheime gag orders en zonder gerechtelijk bevel een heel datacenter leegtrekken op het moment dat je derde voornaam twee letters gemeen heeft met iemand uit een terroristendatabank. Dus als je als politicus zegt, hier gaan we wat aan doen, dit kan zo niet langer: helemaal prima. (Of de angst reëel is, is een andere discussie.)

Maar als je zegt, de VS doen dingen met persoonsgegevens die in strijd zijn met de wetgeving rond persoonsgegevens en de fundamentele grondrechten die wij in de Europese Unie respecteren, dan moet je dus zeggen: blijf met je rotpoten van onze persoonsgegevens af. Oftewel dan verbied je Europese hosters/dienstverleners om met de Amerikaanse cloud te werken.

Vind je dat dat óók weer wat te ver gaat, dan ga je met de Amerikanen bakkeleien dat die hun wetten moeten aanpassen. Of je zegt, het gaat in de praktijk prima dus we draaien lekker totdat we horen dat het misgaan en dán gaan we de boel verbieden. En dat signaal kun je eventueel ook naar Washington sturen.

Wat je alleen vooral NIET moet gaan doen is op dat moment zeggen: weet je wat, we gaan de burger opvoeden dat ze moeten beseffen dat buitenlandse veiligheidsdiensten mogelijk meekijken en dat de FBI niet gebonden is aan onze Grondwet. En al helemáál niet met een popup. Want dat wérkt eenvoudig niet – zie de cookiewet.

Iets juridischer komt het erop neer dat ze in de Privacyverordening wil opnemen dat doorgifte aan een buitenlandse (lees: niet-EU) cloudprovider alleen mag met aparte toestemming van de betrokkene (argh, popup) en dan ook nog eens

after having been informed in clear, unambiguous and warning language through a separate and prominently visible reference to:
– the possibility of the personal data being subject to intelligence gathering or surveillance by third-country authorities; and
– the risk that the protection of personal data and fundamental rights provided by Union and Member State law cannot be guaranteed, despite the legal basis of the transfer

Het idee van “leg mensen uit hoe het juridisch zit en dan maken ze een geïnformeerde keuze” is een idealistisch maar buitengewoon irreëel denkbeeld als we het hebben over de gemiddelde internetter. Hoe kan ik nu vrijwillig en zinnig de afweging maken, ja, dat is prima dat de CIA en de NSA mij gaan profilen en de FBI mijn data besnuffelt? Wat betékent dat? Ga ik op de No Fly lijst als ik blogs als deze plaats op WordPress?

Ik snap hier wérkelijk helemaal niets van. Als er iets is dat de privacywetgeving en het concept “privacy is belangrijk” kapot maakt dan is het wel het idee “als we maar verplicht stellen dat iedereen het mensen maar uitlegt, dan komt het goed”. Nee. Mensen zijn niet bezig met privacy, wíllen daar niet mee bezig zijn; zij vertrouwen erop dat bedrijven zich netjes gedragen en dat anders de overheid optreedt.

In heel uitzonderlijke gevallen waarin een gemiddelde(!) burger redelijkerwijs zowel ja als nee zou kunnen zeggen, kan ik me nog iets voorstellen bij een aparte opt-in. Maar dat behoort echt een uitzondering te zijn en te blijven, en niet de hoofdregel die ie in de privacywetgeving is geworden. Net als bij cookies. Of je zegt, cookies en tracking zijn te eng voor woorden, verbieden die hap. Of je zegt, de technologie werkt maar er is ruimte voor misbruik – en dan verbied je het misbruik. Maar je gaat niet zeggen “dat misbruik is eigenlijk wel oké als mensen op ja klikken”.

“U gaat dood van deze sigaret” werkt al maar nauwelijks. Dus waarom zou “Mogelijk dat uw fundamentele rechten zoals gegarandeerd door het EU Handvest niet gewaarborgd worden ondanks dat de overdracht legaal is” dat dan wel zijn? (En ja dat gaat de tekst zijn, laat dat maar aan de nu-cookieverklaring-schrijvende juristen over.)

Argh. Echt.

Arnoud

“Jurisdictie wordt bepaald door waar je informatie als eerste binnenkomt”, pardon?

Geplaatst op in Intellectuele rechten, Security, 10 reacties

transatlantic-cable-kabel-internetIk heb een paar arresten gemist geloof ik. In NRC Handelsblad van gisteren stond een artikel over de cloud, met daarin de intrigerende opmerking:

Ja, Softlayer is een Amerikaans bedrijf, waarvoor Amerikaanse wetten gelden. Maar alleen voor informatie die als eerste in de VS is opgeslagen: „Het Amsterdamse deel is Nederlands. Informatie die hier als eerste binnenkomt, valt dus onder Nederlandse wet.”

Nee. Néé. Gewoon níet. Hoe kóm je bij dat criterium, “als eerste opgeslagen”. Noem mij één wet of gerechtelijke uitspraak waar dit uit volgt.

Voor zover ik weet zijn de Amerikanen heel simpel: als we erbij kunnen valt het onder ons recht. En aangezien 90% van de cloud fysiek in de VS staat, is dat lekker makkelijk voor ze. (Dit even los van hoe makkelijk ze erbij mogen, patriotacttechnisch.)

Verder ken ik geen enkele uitspraak van een rechter dat jurisdictie bepaald wordt door waar data het éérst binnenkomt. Het Hof van Justitie hier houdt het bij dingen als “gericht op een land”, door bv te kijken naar wat voor telefoonnummer je hebt, welke taal, valutakeuze en bezorgmethoden. Bol.com is Nederlands want 0900-nummer, iDealbetaling, Nederlands en Post.nl. Waar de servers staan en dat de domeinnaam een .com is, maakt niet uit. En over waar de data voor het eerst binnenkwam staat er al helemáál niets in die arresten.

Nog een leuke quote:

Wij passen de capaciteit van het serverpark daarop aan: informatie die op dat moment niet nodig is, verplaatsen we binnen ons netwerk naar een plek waar iedereen slaapt, zeg aan de Oostkust van de VS.

Ik heb me altijd afgevraagd wat er gebeurt als je in de VS een Nazi-site host (die daar legaal is) die dan ’s nachts naar Duitsland drijft (waar dat heel erg verboden is). Dan ben je dus strafbaar door de acties van je cloudprovider.

Iemand enig idee waar hij dit op baseert?

Arnoud

Wanneer is een cloudprovider Amerikaans (of Nederlands)?

Geplaatst op in Intellectuele rechten, Security, 27 reacties

cloud-flag-usaEen lezer vroeg me:

Vorig jaar blogde je over de Amerikaanse cloud en de risico’s daarvan. Maar wat maakt een cloudprovider “Amerikaans”? Moet je dan kijken naar de rechtsvorm van het bedrijf, de locatie van de servers, wat men op de site zet of welk ander criterium geldt er?

Met de term “Amerikaanse cloud” bedoelde ik clouddienstverleners waar de Amerikaanse overheid (rechts-)macht over kan uitoefenen. Een in de VS gevestigde en opererende partij (Amazon Inc. met haar datacenter in Virginia bijvoorbeeld) valt hier evident over. Maar ook het Amerikaanse Google Inc met haar datacenter in Groningen, Nederland valt eronder. Het bedrijf zelf opereert in de VS en kan dus door de rechter aldaar worden gedwongen data uit dat Nederlandse datacenter over te hevelen naar de Amerikaanse politie of Justitie.

Wat nu als het een Nederlandse BV is die eigenaar is van dat datacenter? Dat lijkt niet veel uit te maken, want men kan dan nog steeds de Amerikaanse moedermaatschappij bewerken en die kan dan haar dochter sommeren de data te overhandigen. Als de moedermaatschappij immers de zeggenschap heeft, dan kan de dochter daar niets tegen doen. Als in het contract tussen moeder en dochter staat dat de moeder niets mag vragen dat tegen de lokale wetgeving van de dochter in gaat, of als de dochter zegt dat de opdracht gewoon in strijd is met die lokale wetgeving, dan wordt het spannend. Of en hoe dát standhoudt durf ik echt niet te zeggen.

De omgekeerde situatie kan ook: een Nederlandse BV die servers fysiek in Amerika ondergebracht heeft (gehuurd of gekocht of virtueel). Die BV valt niet onder Amerikaans recht, maar de partij in wiens lokaal die servers fysiek staan wél. En langs die weg kan dan alsnog een gerechtelijk bevel tot inzage van de servers worden afgegeven. De Nederlandse BV kan de data encrypten (Mega, kom d’r maar in) zodat de Amerikaanse overheid niets met die data kan, maar het zal van de bedrijfsvoering afhangen of dat haalbaar is.

Maar ook als een bedrijf geen fysieke banden met een land heeft, kan dat land soms toch rechtsmacht uitoefenen tegen het bedrijf. Wanneer een bedrijf zich expliciet richt op een land, dan is het goed verdedigbaar dat dat land daar dan wat over mag zeggen. Een webshop die in het Nederlands is, iDealbetalingen toestaat en bezorgt via Postnl valt onder Nederlands recht. Dat de domeinnaam een .com is en de server in Duitsland staat, doet er dan niet meer toe. Je zou zoiets ook prima op een clouddienstverlener kunnen toepassen.

In het strafrecht ken ik geen vergelijkbare jurisprudentie, maar het Wetboek van Strafrecht kent wel de nodige expliciete bepalingen die mensen in het buitenland strafbaar maken onder de Nederlandse wet. Natuurlijk is het wel lastiger om een buitenlander hier te veroordelen én te bestraffen, maar als er een uitleveringsverdrag is dan zijn er mogelijkheden. En binnen de EU kan dit via overlevering bereikt worden.

De ietwat platte samenvatting is dus dat je onder het recht van een land valt als ze bij jou of bij je spullen kunnen. Dat kun je aankleden met allerlei mooie rechtstheorieën maar volgens mij komt het uiteindelijk daarop neer.

Arnoud

Een digitale schoenendoos met bonnetjes voor de curator

Geplaatst op in Informatiemaatschappij, 16 reacties

Dit gaan we steeds vaker krijgen: faillissementsproblemen in de cloud. Waar een bedrijf vroeger hooguit voor stroom en elektriciteit afhankelijk was van derden voor het dagelijks functioneren, is nu (naast koffie) de internettoegang en de gehoste diensten absoluut cruciaal. Maar als een bedrijf failliet gaat, zal zo’n leverancier natuurlijk meteen de stekker eruit trekken want die ziet zijn facturen niet meer betaald. En dat is dan weer heel pijnlijk voor de curator, want daarmee gaan zijn mogelijkheden voor een doorstart verloren. In 2009 bepaalde een rechter al eens dat een SaaS-dienstverlener soms verplicht kan zijn door te gaan met leveren, ondanks openstaande facturen. En nu lag er de vraag bij de rechter, wat te doen als de dienst al gestaakt is?

Het failliete bedrijf had zijn administratie in de cloud gestopt bij Vict. Na het faillissement was op zeker moment die stekker eruit gehaald, waarna de (zo te lezen virtuele) server dus niet meer beschikbaar was. De data stond nog ergens op een backup, dat wel. En daar wilde de curator graag bij, want voor hem is die administratie zeer belangrijk.

Zó belangrijk zelfs dat de Faillissementswet apart regelt dat hij een vérgaande bevoegdheid heeft (artikelen 92 en 93a) om bij die administratie te kunnen. Ook als deze bij derden ligt. Hij zou dus bij de boekhouder de schoenendoos met bonnetjes mee kunnen nemen, om eens wat te noemen.

Maar kan hij van een clouddienstverlener verlangen dat die de serveromgeving terug gaat zetten én de data restaureert omdat hij er anders niet bij kan? Nee, dat niet:

De bevoegdheid van de curator gaat naar het oordeel van de voorzieningenrechter echter niet zover dat de curator aanspraak kan maken op meer dan de (leesbare) administratieve gegevens (de bekende schoenendoos met bonnetjes) van de gefailleerde. Het is in beginsel de taak van de curator om vervolgens zo nodig orde aan te brengen in die gegevens. Daarvoor kan hij derden inschakelen. Voor die diensten zal hij dan wel moeten betalen.

Bijgevolg moet de curator dus Vict gewoon betalen als hij wil dat Vict iets doet. Eventueel kan de curator per direct de harddisk met de backup krijgen (“enkele tienduizenden pagina’s!”, ja met uitroepteken) maar dan mag hij zelf het formaat daarvan uitpuzzelen en er chocola van maken. Maar wil hij de administratiesoftware zelf terug in de lucht (in de wolk?) dan kost dat gewoon geld.

Op zich had de rechter ook anders kunnen oordelen. Artikel 37b Faillissementswet bepaalt dat een leverancier zijn contract niet mag opzeggen bij faillissement van de klant, als het gaat om afleveren van gas, water, elektriciteit of verwarming, benodigd voor de eerste levensbehoeften of voor het voortzetten van de door de gefailleerde gedreven onderneming. De diensten moeten wel “benodigd” zijn, oftewel zonder die diensten moet het bedrijf niet door kúnnen gaan. Bij gas en elektra is dat vrij evident, maar ik zie het wel gebeuren dat e-mail en de cloudgehoste administratie of Office-software er ook onder gaat vallen. Jullie ook? En wat nog meer?

Update (2 april 2013) in hoger beroep bevestigd. Het Gerechtshof zegt:

Gegeven het feit dat de curator de overeenkomst tussen Retera en Vict niet gestand heeft willen doen, kan Vict naar het voorlopig oordeel van het hof, gelet op het hiervoor overwogene, niet worden gehouden om de voor haar uit die overeenkomst voortvloeiende werkzaamheden toch voort te zetten.De artikelen 92 en/of 93a Fw noodzaken Vict daartoe in ieder geval niet. Niet valt in te zien dat Vict voor de door de curator verlangde werkzaamheden niet de – commerciële- vergoeding zou mogen verlangen die door Vict en Retera daarvoor was overeengekomen.

Arnoud