Stel, u leent mij uw fiets uit. De fiets is uw eigendom, dus u hebt weinig te vrezen als ik onverhoopt failliet mocht gaan. De curator die in het faillissement wordt benoemd heeft immers de harde verplichting uw eigendom te respecteren en dus kunt u zonder enig beletsel de teruggave van uw fiets verlangen. In juridisch potjeslatijn heet het dat u uw fiets kunt revindiceren. Het eigendom van uw fiets is dus een sterk recht.
Maar gaat dat wat voor uw fiets geldt ook op voor de digitale data die u aan een ander toevertrouwt, bijvoorbeeld een door u ingeschakelde Cloud-provider? Kunt u met succes de digitale data die u in de Cloud opslaat of laat bewerken ook terug claimen als de provider onverhoopt failliet gaat? Of loopt u – anders dan voor uw fiets geldt – het risico dat de curator weigert uw data terug te geven of moet u voor teruggave wellicht zelfs eerst een leuke som geld op tafel van de curator leggen?
Data zijn geen ‘zaken’
Het antwoord op die vragen is afhankelijk van de juridische kwalificatie van uw digitale data. Eigendom is in het Burgerlijk Wetboek geregeld en die zegt dat alleen eigendom mogelijk is op stoffelijke objecten, ook wel aangeduid als ‘zaken’. Een fiets is een zaak, dat staat buiten kijf. Maar de overgrote meerderheid van de juristen in ons land meent dat digitale data naar hun aard onstoffelijk zijn en dus niet vatbaar zijn voor eigendom. Slechts een kleine minderheid van juristen – waartoe ik zelf behoor – ziet dat anders en acht eigendom op digitale data in beginsel wel mogelijk. Als u voorzichtig handelt en die minderheidsopvatting negeert, dan houdt u het er dus voor dat digitale data geen voorwerp van eigendom kunnen zijn. In juridische zin kunnen we dan ook niet spreken van ‘uw’ data, maar wel van ‘uw’ fiets. Naar de maatstaven van het Burgerlijk Wetboek geldt dus: u kunt geen eigenaar van data zijn.
Cloud en data
Wat betekent dit voor uw positie in de Cloud? Als u een externe Cloud-provider inschakelt doet u er verstandig aan effectieve bescherming te creëren tegen het risico dat u vanwege een onverhoopt faillissement van de provider met lege handen komt te staan. Het is immers geen vanzelfsprekendheid dat u de data die bij een provider in de Cloud hebt opgeslagen ook daadwerkelijk terug krijgt. Vanuit een optiek van continuïteit van de informatievoorziening kan zoiets wellicht zeer funest zijn, zeker als uzelf geen backups van de data hebt. Gaat het daarbij om bedrijfskritische gegevens, dan getuigt het al snel van onbehoorlijk bestuur als je als afnemer van Clouddiensten nalaat bescherming tegen dit risico te zoeken. Dat noopt dus tot een alerte houding van opdrachtgevers.
Aan welke bescherming moet je dan denken? Het moet uiteraard gaan om effectieve bescherming. Je hebt dus niets aan juridische placebo’s in Cloud-contracten. Zo zie je nogal eens dat aanbieders van Clouddiensten in hun contracten of algemene voorwaarden een bepaling van de volgende strekking hebben opgenomen: ”De opdrachtgever van de Cloud-provider is en blijft te allen tijde eigenaar van zijn data.” Die bepaling is van weinig waarde want op digitale data rust, zoals gezegd, geen eigendom en dat wordt niet anders door een dergelijke contractsbepaling. Zo/n clausule is goed voor het gevoel van de opdrachtgever, maar overigens van juridisch geringe relevantie.
Data escrow
Bescherming kan wel worden gevonden in zogeheten ‘data escrow’. Al decennialang kennen we in de IT-sector de klassieke vormen van ‘escrow’ van software, waarbij de broncode (sources) van programmatuur met het oog op het waarborgen van de beschikbaarheid bij een gespecialiseerde escrow-agent wordt ondergebracht. Sinds enige tijd bestaan er min of meer vergelijkbare constructies voor data die door een Cloudprovider gehost worden. Gespecialiseerde externe partijen bieden dergelijke beschermingsvormen aan, bijvoorbeeld onder de naam Cloud Secure. Zij bieden passende bescherming als de Cloudprovider ooit failliet gaat. Het belang van data-escrow staat nauwelijks ter discussie. Het is daarom een goede ontwikkeling dat de betere Cloudproviders steeds vaker bereid blijken deze beschermingsvorm standaard aan hun opdrachtgevers aan te bieden.
Gibit 2016
Ook de publieke sector in ons land onderkent steeds meer het belang van data-escrow bij de afname van Clouddiensten. Daarvan getuigt de GIBIT, de in december 2016 geïntroduceerde standaard gemeentelijke inkoopvoorwaarden bij IT. Zij bepalen dat een opdrachtgever (een gemeente) van de ingeschakelde provider kan verlangen dat de data in de Cloud ook aan een derde partij – een escrow-agent – worden geleverd. Deze regeling is een opmerkelijke opstap naar de bescherming van de continuïteit van de gemeentelijke informatievoorziening.
Cloud en continuïteit: het is geen vanzelfsprekend stelletje. Wie het belang van de ongestoorde beschikbaarheid van data in de Cloud wenst veilig te stellen, zal dus zelf de nodige bescherming moeten scheppen. Werk aan de winkel!