Nieuws & blogs

  1. Home
  2. Nieuws & Blogs
  3. Ik zit nu even op de wolken, waar niks me kan raken

Ik zit nu even op de wolken, waar niks me kan raken

24 augustus 2015

“Ik zit nu even op de wolken, waar niks me kan raken...”

... dromen Flinke Namen en Lange Frans op het hitje “Wolken”. Dat de “cloud” haast niet meer weg te denken is uit het huidige IT-landschap hoef ik de T-shaped laywers onder ons niet te vertellen. En de kritische advocaat hoef ik uiteraard niet te vertellen dat de spreekwoordelijke vlieger van Flinke Namen en Lange Frans helaas niet op gaat in het land van cloud computing. In de cloud loop je zeker wel een risico. Hoe verhoudt het gebruik van cloud computing zich tot onze gedragsregels?

Opkomst van de “cloud”
Al sinds de jaren ‘80 van de vorige eeuw heeft de personal computer bij veel huishoudens en bedrijven de intrede gedaan. Sinds de jaren ‘90 kwam daar mondjesmaat internet bij (wie herinnert zich het geluid van de inbelverbinding?). En in de jaren ‘00 van deze eeuw werd internet wel gemeengoed. Met de opkomst van de mobiele telefoon en andere draagbare apparatuur, en dan met name de smartphones en tablets met internetverbinding, zijn we in ons dagelijks leven steeds (meer) ‘connected’.

Als PLEIT-ganger zal je vast ook flink online zijn. Anders las je dit artikel ook niet. Maar nog belangrijker is dat in ieder geval jouw cliënten leven op de digitale snelweg: de kenniseconomie, de informatiesamenleving en grote delen van de wereld zijn ‘connected’. We mailen zoveel dat regenwouden weer een kans krijgen om te groeien, we posten zoveel selfies dat de spiegelindustrie dreigt in te zakken en bankzaken doen we allang niet meer met een koffer onder de arm vol met stapels bankbiljetten.

Dat de wereld is veranderd (en vanzelfsprekend nog altijd verandert) hoef ik de nieuwe orde van advocaten niet meer uit te leggen: digitale dossiers en werken in de zogenaamde cloud wordt steeds meer gemeengoed. En in mijn optiek terecht.

Maar waar veel advocaten vaak niet bij stil staan zijn de risico’s die verbonden zijn aan cloud computing. En juist voor onze beroepsgroep, waar geheimhouding nog een van de laatst overgebleven privileges is, is het van groot belang om daarbij stil te staan. Om juist die geheimhouding te kunnen waarborgen.

Cloud en cloud computing
Maar dan eerst even voor de wat minder nieuwe advocaat: wat is die “cloud” nu eigenlijk? Simpel gezegd zou je het kunnen vervangen door het ‘internet’. Maar meer specifiek staat het metafoor voor het netwerk van computers dat een soort ‘wolk’ vormt waarop je als eindgebruiker software of andere IT-diensten kunt gebruiken, zonder die hard- of software aan te hoeven schaffen of te huren, en zonder eigenlijk te weten vanaf welke computer(s) die software of dienst überhaupt afkomstig is. De fysieke lokatie is (althans: lijkt) irrelevant. De software, het platform of de infrastructuur die je vanuit de cloud gebruikt wordt je als dienst geleverd en niet zozeer als (tastbaar) product. Vandaar ook de termen SaaS (software as a service), PaaS (platform as a service) en IaaS (infrastructure as a service), bijvoorbeeld.

De gebruikte hard- en software waarop zo’n computer draait is door het netwerk van computers in feite ook irrelevant geworden voor de eindgebruiker. En dat betekent ook dat de eindgebruiker geen omkijken heeft naar het onderhoud van die hard- en software. Door middel van die cloud kunnen de computers in dat netwerk ook (automatisch) opschalen naar de andere computers in het netwerk om hun eigen systemen zo te ontlasten en daardoor op snellere, effectievere en flexibelere wijze de gevraagde diensten te kunnen leveren. De algemene term voor deze IT-infrastructuur waarbij de opslag en verwerking van data en software is verdeeld in datacentra van de cloud provider(s) en op afstand benaderbaar is, heet ook wel cloud computing.

Voordelen cloud computing
De cloud en cloud computing kennen voordelen genoeg: denk aan de afname in IT-kosten (je hoeft geen servers te kopen, te huren of te onderhouden (en de kosten voor personeel die dat zou moeten doen)). Ook de mogelijkheid om toegang te verkrijgen tot dossiers, klantgegevens en juridische informatie vanaf iedere plek denkbaar is natuurlijk een belangrijk voordeel van cloud computing voor advocaten. Of je nu op het strand kantoor houdt, bij jouw klant op lokatie bent, in de rechtbank staat, of net een reisje Lapland hebt geboekt. En wat te denken van gelijktijdig werken in gezamenlijke documenten met kantoorgenoot of cliënt? Zolang de gebruiker toegang heeft tot het internet, kunnen ze toegang krijgen tot de gegevens die zijn opgeslagen in de cloud. Ongeacht de gebruikte hardware of software.

Cloud een roze wolk? De risico’s
Ideaal? Jazeker. Maar zoals het de vaak eigenwijze, conservatieve en kritische advocaat zou betamen: kunnen hier geen vraagtekens bij worden gezet? Jazeker wel: iedere advocaat behoort ook te weten dat de cloud geen roze wolk is. Naast de aanzienlijke voordelen brengt de cloud namelijk ook zeer grote risico’s met zich mee. Denk daarbij in eerste instantie aan gegevensbescherming maar daarnaast ook aan de professionele verplichtingen van vertrouwelijkheid.

Wat als de clouddienst (tijdelijk) onbereikbaar is? Het zal je natuurlijk net gebeuren op het moment dat een deadline dreigt te verlopen. Dit is een groot risico omdat nu juist een derde partij is ingeschakeld om de computerdiensten met inbegrip van de opslag van gegevens onder controle te hebben.

En hoe zit met de beveiliging van de gegevens? Je zult vast een hele betrouwbare partij hebben ingeschakeld om de clouddienst te leveren, maar het is juist bij cloud computing mogelijk dat het datacenter van de aanbieder onderling is verbonden met het netwerk van servers dat zich mogelijk ook in landen buiten de Europese Economische Ruimte bevindt. En daar is geregeld een lager niveau van gegevensbescherming van toepassing.

Bovendien kunnen gegevens ook worden opgesplitst en worden opgeslagen op verschillende landen op verschillende servers waartussen die gegevens ook nog eens continue worden gemigreerd. In veel gevallen zal een cloudprovider niet eens weten waar de betreffende gegevens op een bepaald moment zullen zijn opgeslagen.

Juist deze kenmerken van cloud computing moeten voor iedere advocaat leiden tot aandacht voor specifieke kwesties en eventuele zorgen. Juist vanwege de bescherming tegen potentiële diefstal, verlies of openbaarmaking van vertrouwelijke informatie.

Richtsnoeren voor gebruik van de cloud door advocaten
Gelukkig sta je daar als advocaat niet alleen in. Zoals gezegd: niet alleen jij (of jouw client) verandert: de hele wereld verandert mee. Niet voor niets dat de Europese Commissie de ontwikkeling van cloud computing heeft benadrukt in haar Digitale Agenda voor Europa. Juist om de voordelen van cloud computing te kunnen maximaliseren heeft de commissie benadrukt dat het juridische kader, de technische en commerciële grondslagen en de markt moeten worden verbeterd en moeten worden ondersteund. Dit heeft geleid tot diverse richtsnoeren en richtlijnen, waaronder van de Artikel 29 Werkgroep voor Dataprotectie (Opinie 05/2012, samen met andere zeer interessante opinies) en – specifiek voor advocaten – de CCBE Richtsnoeren voor het gebruik van cloud computing services door advocaten.

Deze laatstgenoemde richtlijnen zijn bedoeld voor het creëren van meer bewustzijn onder advocaten over de verschillende risico’s verbonden aan cloud computing. Ook zijn ze bedoeld om de aandacht te vestigen op de problemen waarmee individuele advocaten mogelijk geconfronteerd kunnen worden bij het overwegen en maken van beslissingen ten aanzien van het gebruik van clouddiensten.

De richtlijnen gaan allereerst specifiek in op kwesties met betrekking tot professionele geheimhouding en gegevensbescherming: zo kunnen de gegevens die zijn opgeslagen in een cloud omgeving gevoelig zijn voor het risico van onbevoegde (fysieke of digitale) toegang. Niet alleen door (werknemers van) de provider of diens onderaannemers, maar ook bijvoorbeeld hackers of andere kwaadwillenden.

Daarnaast gaan ze in op kwesties met betrekking tot de ‘extra-territorialiteit’: Zo kunnen cloudproviders mogelijk onder lokale regelgeving worden gehouden tot het overhandigen van vertrouwelijke communicatie tussen advocaat en cliënt. Ook kunnen er problemen bestaan in tegenstrijdige lokale/nationale wetten en regelgevingen.

Voorts zien de richtlijnen op kwesties met betrekking tot contracten met cloudproviders: Wie heeft de eigendom/beschikking/controle over de gegevens? Worden er kopieën gemaakt en wie heeft daar de beschikking over? Is er een back-up voorhanden? En hoe ziet die back-up eruit? Hoe zit het met de beveiliging van de gegevens? Encryptie? Toegang? Wat gebeurt er als er toch iets mis gaat? Worden beveiligingsincidenten gemeld? Wat als de dienst niet beschikbaar is? Of als er onderhoud moet worden gepleegd? En wat gebeurt er aan het eind van de dienstverlening, mag je je gegevens dan terug? En bij faillissement van de cloudprovider? En ten slotte: worden verwijderde gegevens ook echt vernietigd?

Reflectie van de cloud
Kortom: een hoop om bij stil te staan en om over na te denken voordat de advocaat besluit de cloud in te gaan.

Maar ook als je gebruik maakt van de cloud, raad ik iedere advocaat aan om zich iedere keer af te vragen: is het echt nodig dat deze e-mail / dit document “daar” (waar?) staat? Of is een lokale kopie op je eigen computer, of kantoor-lokale NAS-server, voldoende? En hoe zit het daar trouwens met de beveiliging en vertrouwelijkheid?

Terug naar het papier?
Veel risico’s dus. Maar moet de advocaat dan niet gewoon (terug) naar het papier? Tja… als IT-advocaat kan ik me dat nauwelijks meer voorstellen. Te meer nu juist een papieren dossier in mijn optiek mogelijk een nog veel grotere liability kunnen vormen, waar nota bene ook dezelfde vragen gelden: Zijn alle portieren van slot voorzien? Wie heeft een toegangspasje? En wat kan die schoonmaker die hier ‘s avonds ongestoord zijn werk kan doen allemaal zien? Of de glazenwasser die tijdens jouw werkzaamheden op je bureau kan kijken? De koerier die jouw pakketje van A naar B brengt? Wat als mijn kantoor afbrandt? Kan ik wel bij mijn archiefkast als er onderhoud aan de airco wordt verricht? En wat als mijn verhuurder failliet gaat? Hoe archiveer ik dossiers? En wat moet ik wanneer vernietigen?

Is de ‘cloud’ echt zoveel anders?
Een advocaat hoort daar, in mijn optiek, steeds bij stil te (kunnen) staan. Zonder zijn hoofd in de (donder- c.q. roze) wolken, maar met beide benen op de grond. Laat Flinke Namen en Lange Frans het maar niet horen...

De auteur
Wouter Dammers, IT-advocaat en oprichter LAWFOX Advocatuur te Amsterdam, helpt zijn cliënten op een flexibele en  innoverende manier bij juridische conflicten in de ICT. Wouter  is gespecialiseerd in IT-recht, open source licenties,  privacyrecht en auteursrechtelijke en octrooirechtelijke  vraagstukken met betrekking tot software. 

"Al bloggend op weg naar PLEIT2015"
Deze blog is geschreven in het kader van PLEIT2015. Ben jij jurist op het gebied van ICT recht en wil jij graag een prikkelende of informatieve blog over dit thema delen? Of deel je graag jouw kennis als jurist over de ontwikkelingen op het gebied van ICT die jou raken? Stuur je blog dan naar: pleit@deadvocatenwijzer.nl. Wij verspreiden het artikel onder vermelding van je naam en (kantoor)website via de websites en social media kanalen van De Advocatenwijzer en PLEIT2015. Aanmelden voor PLEIT2015 kan via de website www.pleit.nl. Hier kan je ook voor meer informatie terecht.