Menu

De cloud: It’s just somebody else’s computer

26-apr.-2018

Zoals gebruikelijk in de technologische wereld, kunnen nieuwe technologische ontwikkelingen alle juridische modellen op zo’n kop zetten. Door de snelle internetverbindingen waarover de meeste ondernemingen beschikken, is er een nieuw model ontstaan: cloud computing, ofwel “software als dienst”. Dat houdt in dat de software geïnstalleerd wordt in grote datacentra en via internet voor gebruik beschikbaar wordt gesteld. Zo hoef je die software niet meer op je eigen computer te hebben. Ook je data staat veilig in die zwaar bewaakte datacentra. Erg handig, maar het geeft een paar fundamentele nieuwe juridische vragen.

De cloud staat als zodanig niet in het wetboek. Ook software as a service is juridisch geen apart geregelde constructie. Dat is op zich niet erg; er zijn namelijk algemene regels over dienstverlening, en dat is wat de cloud of SaaS eigenlijk is. Een bekend gezegde luidt: “There is no cloud, it’s just somebody else’s computer”. Wat er feitelijk gebeurt, is dat je ergens ruimte of opslag- dan wel rekencapaciteit krijgt, en dat noemen we juridisch gewoon dienstverlening. Net zoals je de catering van je bedrijf kunt uitbesteden of een schoonmaakster je huis laten schoonmaken.

Wat zegt de wet over diensten? Het belangrijkste is dat een dienstverlener een zorgplicht heeft: hij moet de “zorg van een goed opdrachtnemer” in acht nemen. Wat dat precies inhoudt, is in het algemeen moeilijk te zeggen. Deze zorgplicht is bedoeld als open norm om bij concrete problemen te kunnen toetsen of de dienstverlener hier netjes heeft gehandeld, of juist niet. Algemeen kun je wel zeggen dat een dienstverlener in ieder geval moet doen wat in de branche gebruikelijk is. Als iedereen bijvoorbeeld dagelijks backups maakt, dan kan het in strijd met je zorgplicht zijn om dat niet te doen (tenzij je héél duidelijk vooraf zegt dat je dat niet doet).

Een andere belangrijke regeling is dat de dienstverlener niet zomaar zijn dienst mag opzeggen. Hij moet gewichtige redenen hebben. Of het moet gaan om een onbepaaldetijdcontract, en in dat geval moet hij een voldoende lange opzegtermijn aanbieden voor de klant om over te stappen. Alleen: dit is regelend recht, zoals dat juridisch heet. Je mag er van afwijken in je contract. En vrijwel iedere clouddienstverlener doet dat, bijvoorbeeld door te zeggen dat ze iedere maand het contract mogen opzeggen zonder opgaaf van redenen. Als zakelijke klant zit je daar aan vast, ook als je een jaarcontract had genomen.

Wie data opslaat bij een online backupdienst, of gebruik maakt van een SaaS-dienst voor bijvoorbeeld boekhouding of klantenadministratie, zal al snel geneigd zijn te spreken van ‘zijn’ data. Logisch: die informatie is essentieel voor die persoon, en als hij het fysiek ergens opgeslagen had, dan waren die mappen of papieren ook gewoon zijn eigendom. Maar in de cloud is dat wezenlijk anders. Data is niets, juridisch gezien. Je kunt dus niet spreken van eigendom van data, en er is ook geen wettelijke manier om data op te eisen van een dienstverlener.

Dat data niets is, beschouw ik als het grootste juridische probleem binnen het internetrecht. Want we dénken allemaal van wel, omdat SaaS-diensten nu eenmaal zo duidelijk aansluiten bij de klassieke manier van werken. Data op onze laptops, daar kunnen we altijd bij; die is dus ‘van ons’ in het gewone spraakgebruik. En die data is essentieel voor wat we doen – of het nu bedrijfskritische gegevens zijn of onvervangbare foto’s van je opgroeiende kinderen. Die data moet dus ook van ons zijn. Maar als je hem in de cloud opslaat, heb je er juridisch geen zeggenschap meer over.