De ‘Cloud’ is in de mode. Cloud computing bestaat al minstens sinds het begin van de 21e eeuw, maar zeker de laatste jaren wordt het als de oplossing voor al onze problemen gezien. Door het ‘outsourcen’ van diensten en applicaties naar een virtuele infrastructuur op het Internet, is er geen nood meer aan eigen hardware, software, oplagruimte en onderhoud. Dit werkt kostenbesparend en zorgt ervoor dat overal gebruik kan worden gemaakt van de applicaties, zonder afhankelijkheid van plaats en lokale computers. In principe is enkel een internetverbinding en een browser nodig – simple comme bonjour dus! Een korreltje zout is hier echter op zijn plaats: juridisch zijn er immers toch nog wel wat vragen te stellen bij het cloud computing fenomeen.
Over het algemeen kan binnen cloud computing een onderscheid worden gemaakt tussen software as a service (gebruik van een applicatie), platform as a service (gebruik van een platform met toegangsbeheer en andere faciliteiten voor het draaien van eigen programma’s), en infrastructure as a service (gebruik van de hele ICT-infrastructuur op afstand: servers, netwerk, opslagcapaciteit, …). Vooral met software as a service zijn we meer bekend dan u op het eerste gezicht zou denken: Facebook, webmail, on-line boekhouding tools, enz. Voorbeelden van de andere diensten zijn EC2 van Amazon, en de Google Apps suite.
Aanvaardbare risico’s?
Het is echter niet al goud wat blinkt: cloud computing is niet zonder risico’s. Volgens Richard Stallman, de oprichter van de Free Software Foundation, is het zelfs gewoon dom om cloud computing te gebruiken. Hoewel de man nooit om een extreme mening verlegen zit en hij hier nogal radicaal het kind met het badwater weggooit, moeten een aantal aspecten toch nog eens goed bekeken worden. Op juridisch vlak gaat het dan vooral om problemen betreffende privacy en aansprakelijkheid.
De bestaande privacy-regels gaan ervan uit dat een duidelijk geïdentificeerde persoon of bedrijf verantwoordelijk is voor de verwerking van persoonsgegevens. In de cloud valt dit echter nog moeilijk te handhaven, aangezien de data overal ter wereld kan bewaard worden zonder dat we het zelf weten. Het is dus quasi onmogelijk te bepalen wie verantwoordelijk is voor mogelijke lekken van persoonsgegevens, en onder welke nationale wetgeving dit zou moeten worden vervolgd. Ondertussen moet het bedrijf dat de data in de cloud heeft geplaatst of heeft laten bewerken zich wel verantwoorden bij de geschade partijen, ook al heeft het zelf in praktijk geen enkele controle over de data. Bovendien zouden volgens de Europese wetgeving persoonsgegevens enkel mogen worden doorgegeven aan bepaalde landen (die worden geacht de privacy voldoende te respecteren). De Verenigde Staten zijn hier bijvoorbeeld niet bij. Tenzij toestemming gevraagd wordt van elke betrokken persoon, kan dus maar beter een data center binnen Europa worden gekozen.
De privacy-problematiek is maar een deel van de mogelijke aansprakelijkheidszorgen rond cloud computing. Overeenkomsten met aanbieders van cloud computing diensten beperken hun aansprakelijkheid in grote mate, waardoor risico’s rijzen in verband met performantie, eenzijdige onderbreking van de overeenkomst, het ‘terugkrijgen’ of overplaatsen van de data na het beëindigen van de overeenkomst, gebondenheid aan bepaalde leveranciers (vendor lock-in), e.d. Opnieuw is het moeilijk om deze aanbieders aan te spreken: de rechter in uw thuisstad of –land zal in de meeste gevallen niet bevoegd zijn, en Nederlands of Belgisch recht zal er weinig aan te pas komen.
Een gewaarschuwd man telt voor twee.
Terwijl het recht zoals gewoonlijk de technologie achterna loopt en nog geen pasklare oplossingen kan bieden voor het gebruik van de cloud, moet elke mogelijke gebruiker ervan voor zichzelf de voordelen en risico’s afwegen, en vooral de kleine lettertjes van de contracten goed lezen. Welke garanties geeft de dienstaanbieder, geeft hij de data door aan derde partijen, waar staan zijn servers? Indien de data geëncrypteerd wordt door de aanbieder, kan de gebruiker er zelf nog wel aan? Zijn er alternatieven in geval van faillissement? Het bewust omgaan met dit soort vragen is cruciaal voor het vertrouwen in Cloud computing, en dus ook voor het blijvende succes ervan.
Auteur: Katleen Janssen
