25
Nov
2019

Online deponeren van data en software

Juridische inbedding vereist technische kennis

Data en software zijn onderdeel van bedrijfskritische systemen

De kapitaalwaarde van data en software bij Nederlandse overheden en bedrijven bedraagt €54 miljard (2017) en maakt daarmee nog een relatief klein deel uit van de totale kapitaalgoederenvoorraad (ca. 2,5% in 2017). Dit aandeel groeit echter snel (+6% in 2017) en daarmee veel sneller dan de gemiddelde groei van alle kapitaalgoederen (+2% in 2017).[1]

Voor vrijwel alle overheden en bedrijven geldt dat data en software meer en meer onderdeel van hun bedrijfskritische systemen zijn gaan uitmaken. De correcte financiële waardering [2] en de erkenning van het kritische belang van data en software voor de continuïteit van de bedrijfsprocessen blijven hier bij achter. Dit heeft allerlei ongewenste consequenties. Het uitvallen van één, en zeker enkele, van deze systemen levert groot omzet- en productieverlies op, omdat alle afdelingen (marketing, sales, inkoop, productie, etc.) er afhankelijk van zijn. Vaak gebruiken deze afdelingen ook dezelfde systemen (zoals CRM en ERP), wat hun onderlinge afhankelijkheid nog versterkt.

Data en software worden in veel gevallen niet of verkeerd gewaardeerd op de bedrijfsbalans [3] waardoor de waarde van het bedrijf bij overdracht onjuist wordt vastgesteld en de winstberekening onjuist plaatsvindt, met de nodige gevolgen voor aandeelhouders, het bedrijf en de fiscaliteit. Het toenemende aantal SAAS-constructies leidt er weliswaar toe dat software steeds vaker op de balans van de SAAS leveranciers komt te staan, maar dat vermindert het bedrijfskritische karakter niet. De gebruiksovereenkomst met de SAAS leverancier zal daarom meerjarig zijn en het bedrijf zal nog andere maatregelen moeten nemen om de beschikbaarheid van bedrijfskritische data en software te garanderen. De bescherming die dit oplevert, is geen eenmalige kostenpost (de aanschafprijs of de licentie fee), maar een onderdeel van een activum. Laten we dit activum ‘continuïteitssysteem’ noemen (meer dan de directe vervangingskosten).

De SAAS leverancier zal ook vaak voor de dataopslag zorgen waardoor vrijwel elk SAAS systeem, ook al gaat het om standaardsoftware, niet zo gemakkelijk vervangbaar is. Ook de dienstverlener die software gebruikt om data voor een bedrijf te verwerken (bijvoorbeeld voor de financiële en personeelsadministratie) zorgt voor een dergelijke afhankelijkheid. Dit artikel behandelt niet het probleem van de waardering (daarover volgt nog een ander artikel), maar wel de problemen die het bedrijfskritische belang van data en software voor de continuïteit van een bedrijf kunnen opleveren en de oplossingen die online deponeren daarvoor biedt.

Online deponeren van data en software

Om de continuïteit van bedrijfskritische data en software te garanderen zijn verschillende technische en juridische instrumenten beschikbaar, die elkaar aanvullen en met elkaar verweven zijn. Data die met standaardsoftware worden verwerkt kunnen in een portabel formaat worden opgeslagen waardoor de SAAS leverancier, de softwareleverancier of de dienstverlener die standaardsoftware gebruikt gemakkelijker kunnen worden vervangen. Van data en software kan een back up op een extern systeem worden gemaakt. Als er zich technische storingen voordoen dan kan daarmee herstel plaatsvinden. Aangezien data steeds wijzigen en software ook met een steeds hogere frequentie wordt geüpdatet of geüpgraded is het noodzakelijk om de frequentie van de back ups hieraan aan te passen. Dit vereist een vorm van het online maken van back ups, bijvoorbeeld bij een data center. Om deze wijze van veiligstellen van data en software ook te laten functioneren in het geval dat de SAAS leverancier, de softwareleverancier of de dienstverlener uitvalt, bijvoorbeeld door wanprestatie, faillissement of criminaliteit (ransomware!), is een vertrouwde (TTP) en vertrouwelijke (gecodeerde) vorm van online deponeren noodzakelijk.

Online deponeren betekent dan: Het online vastleggen op een extern medium bij een vertrouwde derde partij (TTP) van gecodeerde data en software bij elke relevante wijziging daarvan, zonder dat de TTP inzage krijgt in de data of software. Hierbij worden escrow overeenkomsten gesloten tussen het bedrijf (de eigenaar van de data en/of de gebruiker van de data en de software), de SAAS leverancier, de softwareleverancier of de dienstverlener en de TTP.

Het online deponeren van de data en software vereist daarbij aandacht voor een aantal bijzondere juridische aspecten. Bijzonder aan vertrouwd online deponeren ten opzicht van traditionele depots is de frequentie en de wijze van deponeren (online, gecodeerd). Twee gevolgen van deze wijze van deponeren zijn (1) dat het gecodeerde depot veelal niet bij de TTP maar door de TTP bij een datacenter plaatsvindt, vanwege de hogere frequentie en omvang van de depots en (2) dat een derde partij (bijvoorbeeld een IT-notaris) zonder toegang tot het depot de sleutel kan beheren.[4]

Online deponeren maakt het mogelijk om het depot te coderen en de sleutel bij een derde neer te leggen. De consequentie hiervan is, dat andere partijen dan de eigenaar van de data en leverancier van de software en de belanghebbende partij(en) aan wie de data en software bij discontinueren van de verwerker van de data of de leverancier van de software beschikbaar moeten worden gesteld, geen inzicht in de data en software verkrijgen. Dit is noodzakelijk om de vertrouwelijkheid van de data en de exclusieve beschikkingsrechten over de software te kunnen bewaken. De TTP die het depot verzorgt beschikt slechts over een gecodeerd depot en de sleutelbewaarder (ook TTP) slechts over de private sleutel. Die sleutel stelt hij beschikbaar als aan de voorwaarden is voldaan waaronder de belanghebbende het depot mag decoderen en gebruiken.

Juridische aspecten van Online deponeren

Welke bijzondere juridische aspecten vloeien voort uit deze eigenschappen van online deponeren?

Een bedrijf kan op verschillende manieren data en software gebruiken bij zijn bedrijfsprocessen:

  1. Het bedrijf verwerkt a) eigen data b) data van een ander;

  2. Het gaat daarbij a) wel of b) niet (tevens) om persoonsgegevens;

  3. Het bedrijf gebruikt daarbij a) eigen software of b) software van een ander (SAAS, licentie, of dienstverlening);

  4. De verwerking van data (1.) en het gebruik van software (3.) vinden plaats op a) eigen hardware in huis, of b) eigen hardware in een huurrack of c) hardware van een ander.

De eerste variabele is juridisch relevant in verband met de beschikkingsrechten over de data (inbreuken op eigendom, databankenrecht, auteursrecht, gebruiksrecht) en de administratieve, civiele en eventueel strafrechtelijke aansprakelijkheid voor de gevolgen van het bezit en het verwerken van de data (o.a. openbaarmaken, verwerken). De tweede variabele is juridisch relevant voor de toepasselijkheid van geheimhoudingsverplichtingen en het privacyrecht (o.a. AVG). De derde variabele is juridisch relevant voor de keuze en invulling van de juiste gebruiksrechtovereenkomsten voor de software. De vierde variabele is ten slotte juridisch relevant voor de wijze waarop de continuïteit van de beschikbaarheid van de data en software technisch en juridisch kan worden gegarandeerd.

Deze juridisch relevante variabelen leveren 72 verschillende klassen van casus met hun eigen model voor de behandeling van de juridische aspecten op,[5] waarvan ik in dit artikel slechts een enkele veel voorkomende klasse kan behandelen:

Dienstverlening door advocaten, accountants, fiscalisten, notarissen, beheerders van medische databanken, administratiekantoren, etc. vindt veelal plaats met (1b) data van een ander (incl. (2a) persoonsgegevens) en (3b) software van een ander (4a) op eigen hardware.

De dienstverlener verwerkt data van zijn cliënten (veelal bedrijven) en heeft een gebruiksrecht (licentie) op software van een derde. De client levert de ruwe data (input) en verkrijgt een mede daarop gebaseerd eindproduct (output: advies, behandeling, overzicht, berekening, overeenkomst, akte, etc.) van de dienstverlener.

In deze klasse van casus zijn er drie probleemsituaties die de continuïteit van de betrokken bedrijven raken die door online deponeren kunnen worden opgelost:

1) De client bewaart de ruwe data na aanlevering niet zelf. De door de dienstverlener te verwerken gegevens worden bijvoorbeeld veelal door de administratie of door het personeel van de client via online systemen bij de dienstverlener aangeleverd. Denk aan financiële gegevens en personeelsgegevens zoals vakantiedagen, ziekteverlof, e.d.;

2) De dienstverlener bewaart de bewerkte data alleen op voor hem zelf toegankelijke systemen (de door de client aangeleverde gegevens worden geaggregeerd en bewerkt);

3) De meest recente versie van de software waarmee de data worden verwerkt moet worden doorontwikkeld terwijl de leverancier discontinueert.

De client zelf moet er zorg voor dragen dat de ruwe data beveiligd zijn en dat de integriteit van deze data wordt bewaakt (o.a. art. 32 AVG, maar ook de arbeidsovereenkomst met personeel, NEN 2082, etc.). Deze data moeten daarom op zodanige wijze worden getransporteerd en opgeslagen dat derden er niet bij kunnen (alleen door geautoriseerde personen en gecodeerd), maar ook op zodanige wijze dat zij beschikbaar blijven voor gebruik en om de rechten (arbeidsrechtelijk, privacyrechtelijk, etc.) van de betrokkenen te kunnen garanderen.

Voor de ruwe data en de verwerkte gegevens moet de dienstverlener een verwerkersovereenkomst sluiten met de client (die voor de persoonsgegevens verantwoordelijk is). In deze overeenkomst moet al rekening worden gehouden met de beveiliging van deze gegevens bij transport en bewerking.

De dienstverlener moet escrow overeenkomsten met zijn cliënten, zijn softwareleveranciers en een TTP en een sleutelbewaarder sluiten, waarin de dienstverlener zich verplicht om de data en software, bij elke relevante wijziging, online te deponeren. In deze overeenkomsten moeten bovendien voorzieningen zijn getroffen waarmee de volledigheid, integriteit en portabiliteit van de data worden gecontroleerd en de beschikkingsrechten en bruikbaarheid van elke nieuwe versie van de software op afdoende wijze worden gecontroleerd. Dit kan bijvoorbeeld plaatsvinden door de TTP bij de leverancier resp. client voordat het depot plaatsvindt. Bij een hoogfrequent depot kan de controle mogelijk slechts steekproefsgewijs plaatsvinden.

Deze casus krijgt juridisch inhoudelijk een totaal ander karakter als de software bij een derde draait (SAAS) en/of de depots in een huurrack respectievelijk op de hardware van een datacenter worden opgeslagen. Voor het juist toepassen van het recht en gebruiken van de techniek in alle 72 genoemde klassen is juridische en technische expertise vereist.[6] Gespecialiseerde IT-juristen en beëdigde informaticadeskundigen moeten hierbij samenwerken.

Conclusie online deponeren: multidisciplinaire expertise vereist, veiligheid en vertrouwelijkheid aanzienlijk verbeterd

Online deponeren vereist diepgaande kennis van het recht (o.a. AVG, intellectuele eigendom, escrow overeenkomsten, dataopslag-overeenkomsten, PPS,[7] etc.) en diepgaande kennis van de techniek voor de beveiliging van data en software. Een depot van data en/of software is niet zinvol als de data bijvoorbeeld onvolledig, niet integer of niet portabel zijn of de software onvolledig, niet bruikbaar of onoverdraagbaar is. Kennis van beveiligingsprocedures en technieken en van het installeren en controleren van software is daarbij een vereiste.

De voordelen van een dergelijke multidisciplinaire dienst zijn vervolgens overduidelijk. De data en software zijn alleen ongecodeerd beschikbaar voor hun eigenaars en leveranciers en in het geval van discontinueren van de eigenaars of de leveranciers onder precies omschreven voorwaarden voor belanghebbenden (gebruikers, afnemers). Buiten het geval van discontinueren van de eigenaars of leveranciers heeft de TTP alleen toegang tot het gecodeerde depot en de sleutelbewaarder (bijvoorbeeld de IT-notaris) exclusief tot de private sleutel. Zij hebben slechts toegang tot het ongecodeerde depot bij de eigenaars en leveranciers, voor zover nodig bij de controle voorafgaand aan het depot. Zij controleren daarna slechts of aan de voorwaarden voor deponering en eventuele afgifte is voldaan. In het laatste geval kunnen zij, door de bijzondere eigenschappen van het online depot, de sleutel en de gecodeerde data of broncode direct aan de belanghebbenden beschikbaar stellen.

 

Dr. mr. C.N.J. de Vey Mestdagh, dir. R&D Software Borg Instituut

 

[1] https://www.ing.nl/zakelijk/kennis-over-de-economie/uw-sector/zakelijke-dienstverlening/software-bij-bedrijven-flink-toegenomen.html. Zie voor meer details: https://opendata.cbs.nl/statline/#/CBS/nl/dataset/84328NED/table?ts=1572278276236. Geraadpleegd 18-11-2019.

[2] Zie o.a. https://www.nvbi.nl/blog/detail-blog/nvbi-lanceert-protocol-voor-waarderen-software?ArtMID=2588&ArticleID=1040&tabid=146 en https://www.accountant.nl/globalassets/accountant.nl/blad/2012-nr.-3/acc_2012_3_betrouwbaarheid_gaat_voor.pdf. Geraadpleegd 18-11-2019.

[3] Voor standaardsoftware geldt veelal dat deze slechts als terugkerende kostenpost wordt gezien en derhalve niet direct wordt geactiveerd. Voor maatwerksoftware dat slechts de ontwikkel- of aanschafkosten worden geactiveerd. Dit leidt in het geval van bedrijfskritische software tot onderwaardering als de standaardsoftware door een enkele leverancier wordt geleverd of de toepassing geïntegreerd werkt met andere software waardoor deze niet gemakkelijk vervangen kan worden en bij maatwerksoftware omdat deze door een enkele leverancier wordt geleverd. Voor data geldt dat deze vrijwel nooit direct worden geactiveerd (tenzij zij tot de handelswaar van het bedrijf behoren).

[4] Bij een offline depot is dit weliswaar ook mogelijk, maar een stuk bewerkelijker en ingewikkelder. In de praktijk wordt daarom een offline depot niet gecodeerd, of liggen de sleutel en het gecodeerde depot in één hand.

[5] ((1a+1b) x (2a+2b) x (4a+4b+4c)) +((3a+3b) x (4a+4b+4c)) = (2x2x3) + (2x3) = 72 ;-)

[6] Hierbij is nog geen rekening gehouden met andere variabelen dan de vier hiervoor genoemde (bijvoorbeeld extra eisen aan bepaalde typen data of software, bestuurlijke aansprakelijkheid, verzekering, strafrechtelijke aspecten van data- en softwaregebruik, etc.).

[7] Zie http://softwareborginstituut.nl/nieuws/embedded-data-en-software-in-onroerende-zaken. Geraadpleegd 18-11-2019.