fex 131104 - presentatie louwers ip-technology advocaten - masterclass cloud ict flevum executive
DESCRIPTION
Flexibele Organisatie | Masterclass Cloud ICT Flexibiliseer uw ICT en innoveer uw business Sprekers: Marianne Korpershoek, Ernst-Jan Louwers, Hub Martinussen Cloud ICT is een van de belangrijkste ICT trends. Cloud ICT biedt mooie kansen om uw organisatie meer flexibiliteit te bieden en innovatie te stimuleren. Cloud ICT is ook een containerbegrip waarover op vele manieren wordt gesproken en geschreven. In de Masterclass bieden wij u op een heldere wijze inzicht in deze ontwikkeling, maken we de vertaling naar toegevoegde waarde voor uw bedrijfsvoering en besteden we aandacht aan de juridische aspecten van Cloud ICT. De masterclass is niet direct bedoeld voor ICT’ers maar voor beslissers die hun ICT organisatie graag willen challengen op deze trend. Vragen die aan de orde komen zijn: Cloud ICT: Wat is het? Wat heb ik er aan? Welke kans biedt Cloud ICT voor het flexibiliseren van mijn organisatie? Cloud ICT in juridisch perspectief: Waar zijn mijn data? Wie is aansprakelijk voor datalekken? What about privacy? Hoe waarborg ik continuïteit?TRANSCRIPT
Masterclass
Cloud ICT
Eindhoven, 4 november 2013
Marianne Korpershoek
Ernst-Jan Louwers
Louwers IP|Technology Advocaten
• Nichekantoor in Eindhoven sinds december 2006
• Top 20 meest toonaangevende nichekantoren IP/IT
• Intellectuele eigendom / media & reclame
• IT, IT-aanbestedingen, technologie
• Privacy
• Commerciële contracten
• 7 ervaren en gespecialiseerde juristen
• Juridische eredivisie
• O.a. Grotius Specialisatie, Vereniging voor
Informaticarecht Advocaten VIRA, ITechLaw
• Deskundig met kennis van uw branche
• Flexibel, toegankelijk, gastvrij, efficiënt
• Cloud computing
• Continuïteit
• Risk management!
Agenda
• Gemeenschappelijke kenmerken:
o hardware, software of informatie
o op aanvraag
o toegankelijk via internet - geen lokale installatie
o meerdere datacenters
o opslag van data op meerdere locaties (vaak niet aanwijsbaar)
• Vormen, bijv.
o ASP/Software as a Service („SaaS‟)
o Platform as a Service („Paas‟)
o Infrastructure as a Service („Iaas‟)
Cloud?
Waarom?
Voordelen afnemer Nadelen afnemer
Lage investeringskosten Verbindingsproblemen
Schaalbaar Minder flexibel
Onafhankelijk van locatie Beveiliging
Slechts betalen gebruik Externe opslag van data
Weinig instapkennis vereist Gebruik en toegang na
insolventie
Afhankelijkheid
Interoperabiliteit/compatibiliteit
• Goede ICT-
dienstverlener?
• Onder andere:
o referenties
o harde SLA
o ISO 27001
o goede hosting
o datacenter
Kaf en koren
Tier Level Requirements
1
• Single non-redundant distribution path serving the IT equipment
• Non-redundant capacity components • Basic site infrastructure with expected availability of
99.671%
2 • Meets or exceeds all Tier 1 requirements • Redundant site infrastructure capacity components
with expected availability of 99.741%
3
• Meets or exceeds all Tier 1 and Tier 2 requirements • Multiple independent distribution paths serving the IT
equipment
• All IT equipment must be dual-powered and fully compatible with the topology of a site's architecture
• Concurrently maintainable site infrastructure with expected availability of 99.982%
4
• Meets or exceeds all Tier 1, Tier 2 and Tier 3 requirements • All cooling equipment is independently dual-powered,
including chillers and heating, ventilating and air-conditioning (HVAC) systems
• Fault-tolerant site infrastructure with electrical power storage and distribution facilities with expected availability of 99.995%
• Scope
• SLA (o.a. beschikbaar, oplostijd, logging)
• Data
• eigendom
• waar staan de data?
• backup / redundancy
• Escrow/waarborg software en data (o.a.
bij insolventie)
Cloud contract: aandachtspunten 1
• Beveiliging
• normen data center
• toegang, encryptie
• Privacy, o.a. risk assessment
• Aansprakelijkheid en verzekering
• Geschillen
• Exit/transitie – toegang tot data na exit
Cloud contract: aandachtspunten 2
Privacy
Regelgevend kader
• Wet Bescherming Persoonsgegevens
• Wet Basisregistratie Personen
• Wbp -> EU Privacyverordening
• CBP Richtsnoeren
• advies Cloud computing “artikel 29 Werkgroep”
Privacy
Plan-do-check-act - passend beveiligingsniveau:
• risk assessment ten aanzien van:
• persoonsgegevens
• aard van de verwerking
• gewenste beveiligingsniveau
• beveiligingsstandaarden (NEN en ISO)
• branchespecifieke normen
• gezondheidszorg (NEN 7510)
• overheid BRP
• regelmatige compliance controle
CONTINUÏTEIT
Continuïteit risico‟s in de cloud
• Afhankelijk / bedrijfskritisch?
• Continuïteit (applicaties, data en diensten)
• Data: security (bedrijfskritisch / gevoelig)
• Waar staan de hosted data?
Extern
Geen directe controle
Niet (alleen) broncode
Software
Interfaces
Services
Data
Continuïteit: eisen
• Veilig stellen van sources
• Escrow agent / TTP
• Vrijgave in „triggering events‟
aan rechtmatige gebruikers
Escrow: doel
Level Tolerance Methods Legal Disadvantages
Non-critical
application/service
Some interruption
acceptable
Deposit of sources at
escrow agent may
be sufficient
Escrow agreement
SLA provisions with
respect to
reinstallation and
going live
Application not
available
Reinstallation and
going live can take
some time
Critical application/service Must be available again
immediately
Deposit at escrow
agent/special
purpose foundation
Hosting provider
Consultancy
Fully redundant
system / realtime
mirror operated by
special purpose
foundation
Advanced escrow-
warranty agreement
through special
purpose entity
(foundation;
„stichting‟)
Foundation to take
over services
temporarily
Transfer IP rights to the
software to holding or
other separate entity
Expensive
Non-critical or critical Plan B Reverse backup of
data at customer or
customer‟s data
center
Fallback system
Test
Agreement with cloud
provider for the
reverse backup in
cloud agreement
Agreement with
consultant for the
establishment of the
fallback system
Requires a lot of
attention from
customer
Requires regular
'maintenance' such as
checking reverse data
backup and testing the
fallback system
Belang en niveau van continuïteit
• Contract
• Depot en verificatie
• Veilige bewaring
• Continu beheer
• Trusted third party
• Triggering events – faillissement van leverancier – IP in faillissement
– niet-nakoming of slechte nakoming door leverancier
Escrow: middelen
ESCROW MODELLEN
Source code Deposit
at agent
Verification
by expert Acceptance
Triggering event
Issue of copy
Traditionele escrow
• Voordelen
• Simpel en gemakkelijk
• Nadelen
• in praktijk maar weinig (tijdige) depots
• niet voldoende voor cloud
• geen toegang tot kennis en HR
• niet waterdicht: curator beletsel
toegang/gebruik sources
Traditionele escrow
HOLDING B.V.
SUPPLIER/PROVIDER B.V.
TRANSFER IP LICENSE IP
IP
Geavanceerde escrow/waarborg
Step 1: IP allocatie buiten operating company
HOLDING B.V.
CUSTOMER/END USER
WARRANTY FOUNDATION
ESCROW-WARRANTY
AGREEMENT
SUPPLIER/PROVIDER B.V.
License/VAR
agreement
IP
Stap 2: escrow-waarborg regeling
CLOUD / SaaS
AGREEMENT
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
OPTIONAL:
MIRROR
ENVIRONMENT
SOURCES
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
HOLDING B.V.
CUSTOMER/END USER
WARRANTY FOUNDATION
ESCROW-WARRANTY
AGREEMENT
SUPPLIER/PROVIDER B.V.
License/VAR
agreement
IP
Stap 3: triggering event – stichting neemt over
CLOUD / SaaS
AGREEMENT
OPTIONAL:
MIRROR
ENVIRONMENT
SOURCES
HOLDING B.V.
CUSTOMER/END USER
WARRANTY FOUNDATION
ESCROW-WARRANTY
AGREEMENT
IP
Stap 4: stichting verleent diensten
CUSTOMER/END USER
OPTIONAL:
MIRROR
ENVIRONMENT
SOURCES
HOLDING B.V.
CUSTOMER/END USER
WARRANTY FOUNDATION
ESCROW-WARRANTY
AGREEMENT
NEWCO SUPPLIER/PROVIDER B.V.
License/VAR
agreement
IP
Stap 5: newco neemt over en stichting trekt zich terug
NEW CLOUD / SaaS
AGREEMENT
SAAS-SERVICES
SERVER(S) WITH
SOFTWARE AND DATA
OPTIONAL:
MIRROR
ENVIRONMENT
SOURCES
• Voordelen
• dedicated stichting
• leverancier in control, gebruiker/gebruikersgroep,
onafhankelijk
• escrow agent
• mirror: systeem direct beschikbaar (backup,
recovery, fallback)
• IP allocatie - betrokkenheid rechthebbende
• toegang tot kennis en skills van leverancier
(via IP-company)
Geavanceerde escrow/waarborg
• Nadelen
• mirror duurder
• administratie stichting
• wat bij faillissement van IP-owner?
• Eventueel vruchtgebruik ten behoeve van stichting
• alleen voor MKB (?)
Geavanceerde escrow/waarborg
• Continuïteitsoplossingen
• Assistentie / quickscan / opstellen o contracten
o bouwers van software, website, grafische interface,
hostservice provider, datacenter, cloudcontract, tailormade
o raamcontract toegang
o gebruiks-/toegangsvoorwaarden
o privacy assessment
• Intellectuele eigendom o o.a. IP allocatie o ook bijv. domeinnaam, merklicentie, auteursrecht
Risk management, compliance en governance!
Waarvoor kunt u ons bellen?
www.louwersadvocaten.nl
o.a. diverse artikelen over cloud computing en continuïteit
040 2393203
06 52 048154