Curator vangt bot bij cloud service provider en rechter

De cloud service provider is weliswaar verplicht tot levering van de administratie van zijn gefailleerde klant aan de curator, maar niet tot gratis doorlevering van de SaaS-dienst. Omdat deze cloudleverancier zich bereid heeft verklaard alle administratieve gegevens van het failliete bedrijf - naar schatting enkele tienduizenden pagina’s - op een harddisk te zetten en deze aan de curator te overhandigen, krijgt de curator waar hij recht op heeft, namelijk de schoenendoos met bonnetjes.

Aldus oordeelde de voorzieningenrechter in Den Bosch in een eerste-in-zijn-soort vonnis van 20 maart jl., naar aanleiding van het faillissement van een klant van een cloudleverancier.

Wat is het geval? Een cloud service provider stopt met de levering van de boekhoudsoftware als dienst via Internet, omdat zijn klant failliet is gegaan. De curator heeft dus geen toegang tot de financiële administratie van de gefailleerde. De cloud service provider is alleen bereid om haar dienstverlening aan de curator voor te zetten tegen betaling van een eenmalig bedrag van EURO 3.000 aan opstartkosten een maandelijkse vergoeding van EURO 1.000.

Daar is de curator het niet mee eens. Voor een goede afwikkeling van het faillissement is het noodzakelijk dat hij inzage heeft in de administratie van de gefailleerde. Om die administratie geordend en leesbaar te kunnen raadplegen dient de curator in te kunnen loggen op de software van de cloud service provider. Nu de curator recht heeft op toegang tot de administratie, is hij daarvoor geen vergoeding verschuldigd. Wanneer de curator al een onkostenvergoeding aan de cloud service provider verschuldigd zou zijn, dan dienen die kosten reëel te zijn en voldoende te zijn onderbouwd. Het gevraagde bedrag voldoet daar niet aan.

Volgens de rechter in kort geding kan de curator niet van de cloud service provider niet verlangen dat deze haar dienstverlening hervat, omdat de curator duidelijk had gemaakt dat hij geen nieuwe overeenkomst wilde sluiten. De bevoegdheid van de curator om nakoming te vorderen is daarmee vervallen. Daarnaast is de cloud service provider altijd bereid geweest de curator toegang te geven tot de administratie, mits zij haar werkzaamheden daarvoor vergoed krijgt.

Het is onweersproken dat het inzichtelijk maken van de administratieve data van het gefailleerde bedrijf voor de curator aanzienlijke inspanningen va van de zijde van de cloud service provider vereist. Het is niet simpelweg een kwestie van het verstrekken van een inlogcode. Zo moet een nieuwe server-omgeving worden opgezet en moet die omgeving vervolgens ook weer draaiend gehouden worden.

De bevoegdheid van de curator gaat naar het oordeel van de voorzieningenrechter echter niet zover dat de curator aanspraak kan maken op meer dan de (leesbare) administratieve gegevens (de bekende schoenendoos met bonnetjes) van de gefailleerde. Het is in beginsel de taak van de curator om vervolgens zo nodig orde aan te brengen in die gegevens. Daarvoor kan hij derden inschakelen. Voor die diensten zal hij dan wel moeten betalen.

Anders gezegd: de cloud service provider is alleen verplicht de ongestructureerde administratie van zijn klant te leveren.

Nieuw Amerikaans overheidsbeleid: cloud computing centraal

De Amerikaanse regering formuleert buitengemeen voortvarend, ingrijpend hervormingsbeleid voor haar eigen informatiehuishouding. Het moet anders; vooral efficiënter, doelmatiger en goedkoper. Cloud computing vormt de kern en het beleid kan nationaal op steun rekenen, hoewel er vraagtekens zijn.

Dat blijkt uit de executive update Cloud computing en nieuw Amerikaans overheidsbeleid, die deze auteur in opdracht van het Forum en College Standaardisatie (Logius, agentschap van het ministerie van BZK) schreef.

Het cloud computing initiative (september 2009), ontwikkeld door de eerste CIO van het Witte Huis, Vivek Kundra, bevat de eerste beginselen van nieuw beleid voor federale overheidsautomatisering. In februari 2010 volgde cloud first. cloud first het beoogt nadrukkelijk het adoptietempo te versnellen. Federale overheidsorganisaties zijn onder andere verplicht eerst veilige en betrouwbare opties voor cloud computing te evalueren alvorens nieuwe investeringen te doen.

In februari 2010 stelde de Office of Management and Budget het federal data center consolidation initiative vast. FDCCI adresseert kosten en energieverbruik van federale datacenters in het licht van efficiencyverbetering, versterking van de beveiligingssituatie van de overheid in het algemeen en het bevorderen van groene ICT door middel van consolidatie in het bijzonder. Geen 2000 maar 1200 datacenters; een sluitingspercentage van 40%. Kundra publiceerde in december 2010 een 25-puntenplan voor de uitvoering van de modernisering van de federale informatievoorziening.

De Amerikaanse overheid geldt als de grootste ICT-gebruiker en inkoper ter wereld. Het gaat om 76 tot 80 miljard dollar per jaar ten behoeve van meer dan 10.000 verschillende informatiesystemen, inclusief 19 miljard dollar voor ICT-infrastructuur. De regering ziet cloud computing als middel om fragmentatie van informatiesystemen, slecht projectmanagement en het moderniseren van verouderde systemen grondig aan te pakken.

Onze kinderen gaan met meer technologie naar school dan hun ouders doorgaans op het werk hebben, moet president Obama hebben gezegd. Scherp gezien. Het uiteindelijke doel richt zich op het verbeteren van productiviteit en prestaties van federale overheidsorganisaties. Intern sluiten de rijen zich, zowel over cloud computing als preferente leveringswijze van automatisering als over de noodzaak van datacenterconsolidatie.

Maar de cloud first-strategie kreeg vorig jaar van federale ICT-managers kritiek wegens korte tijdslijnen, onvoldoende financiering en conflicterende mandaten. Modernisering van de 19 miljard per jaar kostende ICT-infrastructuur is een speerpunt, maar er liggen daarnaast uiterst belangrijke beveiligingsprioriteiten. Denk aan beveiliging van federale netwerken, beveiliging van de kritische infrastructuur en beveiliging van persoonsgegevens. Volgens de ICT-top van de agentschappen stuit realisatie deels op een gebrek aan financiën, terwijl er bovendien onduidelijkheid bestaat wie ‘eigenaar’ is van ‘cyber security’. Kennelijk is er sprake van een vacuüm in leiderschap. Ondertussen gaan uitwerking en uitvoering van beleid door.

Kundra’s opvolger Steven VanRoekel zette in november 2011 een vervolgstap en introduceerde het future first beleid; een in ontwikkeling zijnde set van aanvullende uitgangspunten — zoals xml first, web services first en virtualization first — die bepalen op welke wijze de federale overheid haar ICT inricht. Nieuw is tevens shared first; een beleidsinitiatief dat federale overheidsorganisaties inkoop, technologie en deskundigheid onderling wil laten delen. Bovendien zag eind 2011 het federal risk and authorization management program het licht. FedRAMP bevat een gestandaardiseerde benadering van beveiliging en inkoop van cloud computing (diensten en producten) door middel van een ‘do once, use many times’-raamwerk.

Overheidorganisaties moeten ‘cloud-actief’ worden

Hoewel de kostenbesparingen ronduit aantrekkelijk kunnen zijn, initieert cloud computing ten principale ongekende organisatorische en maatschappelijke veranderingen. Zonder clouddiensten geen succesvolle invoering van nieuwe manieren van werken, effectieve rampenbestrijding of doelgerichte en efficiënte dienstverlening aan burger en ondernemer. Nederlandse overheidsorganisaties kunnen niet anders dan ‘cloud-actief’ te worden. Dat vraagt om beleid op basis van strategische doelstellingen. Het recht vervult hierbij een dubbelrol en acteert als kaderscheppend voorschrift ­— dwingendrechtelijke wet- en regelgeving — en contractueel instrument om ICT en informatievoorziening ‘nieuwe stijl’ in goede banen te leiden.

Dat blijkt uit Naar ‘cloud-actieve’ verheidsorganisaties; een analyse die deze auteur speciaal voor de beurs Overheid & ICT schreef.

Beursorganisator VNU Exhibitions Europe stelt de executive analyse kosteloos aan bezoekers en standhouders ter beschikking; PinkRoccade sponsorde de onafhankelijke analyse.

Cloud computing kennen we in soorten en maten. Ze bestaat uit een matrix van ICT-diensten. Uiteindelijk kan zo ongeveer alles — technologie en informatievoorziening — als dienst op afroep, geautomatiseerd via Internet worden geleverd. Bestuurders moeten zich de verschijningsvormen en inzetmogelijkheden van cloud eigen maken en beleid ontwikkelen. Pas dan kan een overheidsorganisatie ten volle profiteren van de ongekende mogelijkheden. Cloud computing ontsluit en faciliteert organisatorische en maatschappelijke veranderingen: van nieuwe manieren van werken bij burgerzaken of in de zorg tot met de realisatie van smart cities

Bestuurders die bezorgd zijn over de ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis, doen er goed aan deze problematiek in het juiste perspectief te plaatsen. Allereerst is het vigerende Europese beleid met betrekking tot overheidsdata ‘open, tenzij’. Dat betekent een forse stimulans voor externe clouddiensten, omdat bij deze categorie gegevens vertrouwelijkheid en privacybescherming ontbreken. Classificatie van overheidsinformatie is dus gewenst. Vervolgens komt de vraag aan de orde of het verstandig is om de clouddienst uit te besteden, en zo ja, onder welke voorwaarden. Bij open overheidsdata vormt in ieder geval buitenlandse jurisdictie geen enkel probleem.

Ook de Europese Commissie signaleert terecht dat er bij overheid en bedrijfsleven zorgpunten zijn, bijvoorbeeld over informatiebeveiliging en juridische kwesties. Zij wil echter nadrukkelijk ‘ontzorgen’ en obstakels wegnemen. Met de publicatie van twee wetsvoorstellen, die de gedateerde privacyweging uit 1995 met het oog op Internet en cloud computing ingrijpend herzien, werd in januari al een eerste stap gezet. Vervolgens wordt het inkoopbeleid voor overheidsorganisaties geharmoniseerd en geïntegreerd om standaarden, kwaliteitsnormen en lagere prijzen af te dwingen.

Cloud computing komt niet alleen langs de formele weg bij een overheidsorganisatie binnen, maar is er vaak al. Denk aan ‘bring your own device’: de situatie dat bestuurder, werknemer en externe kracht zijn eigen notebook, tablet en/of smartphone meeneemt naar en vooral gebruikt voor het werk. ‘Het gaat natuurlijk niet om de hardware, maar om de vraag wat men er mee doet.

Tien tegen één dat BYOD leidt tot ‘use your own app’, waaronder chat-programma’s, en Facebook voor communicatie, en nog veel meer. Willen bestuurders dat ongecontroleerd accepteren? BYOD leidt bovendien tot ‘use your own storage’. Is het gewenst dat allerlei overheidsinformatie wordt opgeslagen bij publieke gegevensopslagdiensten, zoals Dropbox, iCloud of Skydrive? De noodzaak om voortvarend tot cloudbeleid te komen, staat buiten kijf.


Cloudsector VS vreest legislatieve rem

Een lappendeken van conflicterende wet- en regelgeving bedreigt een wereldwijde markt voor cloud computing, aldus de Business Software Alliance. De Amerikaanse brancheorganisatie onderzocht 24 landen (Nederland overigens niet), die samen tachtig procent van de ICT op de wereld vertegenwoordigen. Om het vrije gegevensverkeer over landsgrenzen heen soepeler te laten verlopen en om economisch het maximale uit cloud computing te halen, moeten regeringen hun beleid beter op elkaar afstemmen, luidt het devies. 

De zogenoemde BSA Global Cloud Scorecard biedt voor het eerst een ranglijst van landen die kennelijk bereid zijn om de groei van een wereldwijd geïntegreerde cloudmarkt te vooral juridisch stimuleren. Het onderzoek classificeert namelijk wet- en regelgeving in zeven domeinen: (i) privacy en gegevens, (ii) cyber-security, (iii) cybercriminaliteit, (iv) intellectueel eigendom, (v) technologische interoperabiliteit en juridische harmonisatie, (vi) vrij gegevensverkeer en (vii) ICT-infrastructuur. Japan, Australië, Duitsland, de Verenigde Staten en Frankrijk vormen de top 5-landen met het meest robuuste beleid voor cloud computing.

Uit het onderzoek volgt een scherpe scheiding tussen ontwikkelde en opkomende economieën op het gebied van ontwikkeling van cloud computing. Japan, de Verenigde Staten en de EU beschikken over ‘solide regelgeving’ die de groei van cloud computing ondersteunt. De opkomende economieën Brazilië, India en China (BRIC) zijn het verst van integratie in de wereldwijde cloud-computingmarkt verwijderd.

Japan voert de ranglijst op alle punten aan doordat het land van de rijzende zon over een uitgebreide privacybescherming beschikt die geen remmende werking op het vrije gegevensverkeer heeft. Daarnaast heeft Japan een groot aantal anti-cybercrime en intellectuele eigendomswetgeving, plus een robuuste ICT-infrastructuur. Het land is verder toonaangevend in het ontwikkelen van internationale technologiestandaarden.

Volgens de BSA luidt de meest opvallende bevinding dat sommige landen die het best goed doen, zich toch zodanig ‘inmetselen’ met wet- en regelgeving dat hun (nationaal) legislatief kader conflicteert met dat van andere landen. Als voorbeeld wijst de brancheorganisatie op het wetsvoorstel van de Europese Privacy Verordening van 25 januari jl., die het privacyrecht in de 27 lidstaten ingrijpend hervormt en uniform harmoniseert. Het voorstel valt slecht in de Verenigde Staten. Sommigen spreken, mede in relatie tot de negatieve gevolgen van de US Patriot Act op grond waarvan de Amerikaanse overheid in voorkomende gevallen inzage in buitenlandse computerbestanden kan vorderen, van een op handen zijnde handelsoorlog tussen de beide machtsblokken.

Opmerkelijk en deels diametraal zijn de uitkomsten van een andere, wereldwijde — dit maal Indiase studie, waaruit blijkt dat Zuid-Amerika en Azië bij de adoptie van cloud computing fors vooroplopen. Daarentegen blijven Europa en zelfs de Verenigde Staten, met haar grote spelers in de cloudmarkt, zoals Amazone Web Services, Google, Microsoft, Rackspace en Salesforce, achter.

Gelet op de onderzoeken rijst de vraag welke rol het grensoverschrijdende element van het leveringsmodel, zowel feitelijk (‘internationale clouds’) als juridisch (internationaal wettelijk raamwerk), daadwerkelijk bij de overgang naar clouddiensten door de private sector speelt.