Flexibele Organisatie | Masterclass Cloud ICT Flexibiliseer uw ICT en innoveer uw business Sprekers: Marianne Korpershoek, Ernst-Jan Louwers, Hub Martinussen Cloud ICT is een van de belangrijkste ICT trends. Cloud ICT biedt mooie kansen om uw organisatie meer flexibiliteit te bieden en innovatie te stimuleren. Cloud ICT is ook een containerbegrip waarover op vele manieren wordt gesproken en geschreven. In de Masterclass bieden wij u op een heldere wijze inzicht in deze ontwikkeling, maken we de vertaling naar toegevoegde waarde voor uw bedrijfsvoering en besteden we aandacht aan de juridische aspecten van Cloud ICT. De masterclass is niet direct bedoeld voor ICT’ers maar voor beslissers die hun ICT organisatie graag willen challengen op deze trend. Vragen die aan de orde komen zijn: Cloud ICT: Wat is het? Wat heb ik er aan? Welke kans biedt Cloud ICT voor het flexibiliseren van mijn organisatie? Cloud ICT in juridisch perspectief: Waar zijn mijn data? Wie is aansprakelijk voor datalekken? What about privacy? Hoe waarborg ik continuïteit?

1. Masterclass
Cloud ICT
Marianne Korpershoek
Ernst-Jan Louwers
Eindhoven, 4 november 2013

2. Louwers IP|Technology Advocaten
• Nichekantoor in Eindhoven sinds december 2006
• Top 20 meest toonaangevende nichekantoren IP/IT
•
Intellectuele eigendom / media & reclame
•
IT, IT-aanbestedingen, technologie
•
Privacy
•
Commerciële contracten
• 7 ervaren en gespecialiseerde juristen
• Juridische eredivisie
• O.a. Grotius Specialisatie, Vereniging voor
Informaticarecht Advocaten VIRA, ITechLaw
• Deskundig met kennis van uw branche
• Flexibel, toegankelijk, gastvrij, efficiënt

3. Agenda
• Cloud computing
• Continuïteit
• Risk management!

4. Cloud?
• Gemeenschappelijke kenmerken:
o
o
o
o
o
hardware, software of informatie
op aanvraag
toegankelijk via internet - geen lokale installatie
meerdere datacenters
opslag van data op meerdere locaties (vaak niet
aanwijsbaar)
• Vormen, bijv.
o ASP/Software as a Service („SaaS‟)
o Platform as a Service („Paas‟)
o Infrastructure as a Service („Iaas‟)

5. Waarom?
Voordelen afnemer
Nadelen afnemer
Lage investeringskosten
Verbindingsproblemen
Schaalbaar
Minder flexibel
Onafhankelijk van locatie
Beveiliging
Slechts betalen gebruik
Externe opslag van data
Weinig instapkennis vereist
Gebruik en toegang na
insolventie
Afhankelijkheid
Interoperabiliteit/compatibiliteit

6. Kaf en koren
• Goede ICTdienstverlener?
• Onder andere:
o
o
o
o
o
referenties
harde SLA
ISO 27001
goede hosting
datacenter
Tier Level
Requirements
1
• Single non-redundant distribution path serving the IT
equipment
• Non-redundant capacity components
• Basic site infrastructure with expected availability of
99.671%
2
• Meets or exceeds all Tier 1 requirements
• Redundant site infrastructure capacity components
with expected availability of 99.741%
3
• Meets or exceeds all Tier 1 and Tier 2 requirements
• Multiple independent distribution paths serving the IT
equipment
• All IT equipment must be dual-powered and fully
compatible with the topology of a site's architecture
• Concurrently maintainable site infrastructure with
expected availability of 99.982%
4
• Meets or exceeds all Tier 1, Tier 2 and Tier 3 requirements
• All cooling equipment is independently dual-powered,
including chillers and heating, ventilating and airconditioning (HVAC) systems
• Fault-tolerant site infrastructure with electrical power
storage and distribution facilities with expected
availability of 99.995%

7. Cloud contract: aandachtspunten 1
• Scope
• SLA (o.a. beschikbaar, oplostijd, logging)
• Data
• eigendom
• waar staan de data?
• backup / redundancy
• Escrow/waarborg software en data (o.a.
bij insolventie)

8. Cloud contract: aandachtspunten 2
• Beveiliging
• normen data center
• toegang, encryptie
• Privacy, o.a. risk assessment
• Aansprakelijkheid en verzekering
• Geschillen
• Exit/transitie – toegang tot data na exit

9. Privacy
Regelgevend kader
• Wet Bescherming Persoonsgegevens
• Wet Basisregistratie Personen
• Wbp -> EU Privacyverordening
• CBP Richtsnoeren
• advies Cloud computing “artikel 29 Werkgroep”

10. Privacy
Plan-do-check-act - passend beveiligingsniveau:
• risk assessment ten aanzien van:
• persoonsgegevens
• aard van de verwerking
• gewenste beveiligingsniveau
• beveiligingsstandaarden (NEN en ISO)
• branchespecifieke normen
• gezondheidszorg (NEN 7510)
• overheid BRP
• regelmatige compliance controle

11. CONTINUÏTEIT

12. Continuïteit risico‟s in de cloud
•
•
•
•
Afhankelijk / bedrijfskritisch?
Continuïteit (applicaties, data en diensten)
Data: security (bedrijfskritisch / gevoelig)
Waar staan de hosted data?
Extern
Geen directe controle
Niet (alleen) broncode

13. Continuïteit: eisen
Software
Interfaces
Services
Data

14. Escrow: doel
• Veilig stellen van sources
• Escrow agent / TTP
• Vrijgave in „triggering events‟
aan rechtmatige gebruikers

15. Belang en niveau van continuïteit
Level
Tolerance
Methods
Non-critical
Some interruption

application/service
acceptable
Legal
Disadvantages
Deposit of sources at

Escrow agreement
escrow agent may

SLA provisions with
be sufficient
respect to

Application not
available

Reinstallation and
reinstallation and
going live
Critical application/service
Must be available again

immediately
Deposit at escrow

going live can take
some time
Advanced escrow-
agent/special
through special

Hosting provider
purpose entity

Consultancy
(foundation;

Fully redundant
Expensive
warranty agreement
purpose foundation

„stichting‟)
system / realtime

Foundation to take
mirror operated by
over services
special purpose
temporarily
foundation

Transfer IP rights to the
software to holding or
other separate entity
Non-critical or critical
Plan B
Agreement with cloud 
Requires a lot of
data at customer or
provider for the
attention from
customer‟s data
reverse backup in
customer
center

Reverse backup of
cloud agreement

Fallback system

Test



Requires regular
Agreement with
'maintenance' such as
consultant for the
checking reverse data
establishment of the
backup and testing the
fallback system
fallback system

16. Escrow: middelen
• Contract
• Depot en verificatie
• Veilige bewaring
• Continu beheer
• Trusted third party
• Triggering events
– faillissement van leverancier – IP in faillissement
– niet-nakoming of slechte nakoming door leverancier

17. ESCROW MODELLEN

18. Traditionele escrow
Source code
Deposit
Verification
at agent
by expert
Acceptance
Triggering
event
Issue of
copy

19. Traditionele escrow
• Voordelen
• Simpel en gemakkelijk
• Nadelen
• in praktijk maar weinig (tijdige) depots
• niet voldoende voor cloud
• geen toegang tot kennis en HR
• niet waterdicht: curator beletsel
toegang/gebruik sources

20. Geavanceerde escrow/waarborg
HOLDING B.V.
TRANSFER IP
LICENSE IP
IP
SUPPLIER/PROVIDER B.V.
Step 1: IP allocatie buiten operating company

21. IP
ESCROW-WARRANTY
AGREEMENT
HOLDING B.V.
License/VAR
agreement
SUPPLIER/PROVIDER B.V.
WARRANTY FOUNDATION
SOURCES
CLOUD / SaaS
AGREEMENT
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
CUSTOMER/END USER
Stap 2: escrow-waarborg regeling
OPTIONAL:
MIRROR
ENVIRONMENT

22. IP
ESCROW-WARRANTY
AGREEMENT
HOLDING B.V.
License/VAR
agreement
SUPPLIER/PROVIDER B.V.
WARRANTY FOUNDATION
SOURCES
CLOUD / SaaS
AGREEMENT
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
OPTIONAL:
MIRROR
ENVIRONMENT
CUSTOMER/END USER
Stap 3: triggering event – stichting neemt over

23. IP
HOLDING B.V.
ESCROW-WARRANTY
AGREEMENT
WARRANTY FOUNDATION
SOURCES
CUSTOMER/END USER
CUSTOMER/END USER
Stap 4: stichting verleent diensten
OPTIONAL:
MIRROR
ENVIRONMENT

24. IP
ESCROW-WARRANTY
AGREEMENT
HOLDING B.V.
License/VAR
agreement
NEWCO SUPPLIER/PROVIDER B.V.
WARRANTY FOUNDATION
SOURCES
NEW CLOUD / SaaS
AGREEMENT
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
CUSTOMER/END USER
Stap 5: newco neemt over en stichting trekt zich terug
OPTIONAL:
MIRROR
ENVIRONMENT

25. Geavanceerde escrow/waarborg
• Voordelen
• dedicated stichting
• leverancier in control, gebruiker/gebruikersgroep,
onafhankelijk
• escrow agent
• mirror: systeem direct beschikbaar (backup,
recovery, fallback)
• IP allocatie - betrokkenheid rechthebbende
• toegang tot kennis en skills van leverancier
(via IP-company)

26. Geavanceerde escrow/waarborg
• Nadelen
• mirror duurder
• administratie stichting
• wat bij faillissement van IP-owner?
• Eventueel vruchtgebruik ten behoeve van stichting
• alleen voor MKB (?)

27. Waarvoor kunt u ons bellen?
• Continuïteitsoplossingen
• Assistentie / quickscan / opstellen
o contracten
o bouwers van software, website, grafische interface,
hostservice provider, datacenter, cloudcontract, tailormade
o raamcontract toegang
o gebruiks-/toegangsvoorwaarden
o privacy assessment
• Intellectuele eigendom
o o.a. IP allocatie
o ook bijv. domeinnaam, merklicentie, auteursrecht
Risk management, compliance en governance!

28. www.louwersadvocaten.nl
o.a. diverse artikelen over cloud computing en continuïteit
louwers@louwersadvocaten.nl
040 2393203
06 52 048154