Presentatie Menno Weij op Nationale Accountancydag 2012

Nationale Accountancy Dag
The Connected World: enkele juridische implicaties

Menno Weij
SOLV Advocaten
mail: weij@solv.nl
Twitter: @mennoweij

Twitteren over de NAD? #nad

Inhoud:
• Accountant en zijn online dienstverlening
• Eigendom op de data
• Compliance en verwerking persoonsgegevens (privacy)
• Accountant en zijn online aanwezigheid
• Cookies
• Nieuwsbrief
• Accountant en zijn online bedrijfsprocessen
• Enkele aandachtspunten cloud contracten
• BYOD


Wat is Cloud Computing?
• Geen eenduidige definitie

• Forrester: 'A form of standardized it-based capability - such as Internet-
based services, software, or it infrastructure - offered by a service provider
that is accessible via Internet protocols from any computer, is always
available and scales automatically to adjust to demand, is either pay-per-
use or advertising-based, has Web- or programmatic-based control
interfaces, and enables full customer self-service„

• Eric Schmidt (Google): „Cloud are computers that are somewhere else’.


Wat is Cloud Computing?
• Elementen:
– Schaalbaar en elastisch
– Diensten
– Gedeeld
– Afrekenen per gebruik / capaciteit
– Dmv internet(technologie)

• Technisch: server virtualisatie

• Verschijningsvormen: private, public en hybride


Vormen van Cloud Computing
• WaaS: wifi-infrastructuur met controller online ipv in het lokale netwerk

• IaaS: infrastructuur (servers, netwerk e.d.), bijv. Windows Azure

• PaaS: diensten op infrastructuur, bijv. toegangsbeheer, portal faciliteiten,
bijv. PayPal, Amazon S3

• SaaS: applicatieniveau, bijv. Webmail, Google Apps, Facebook


Voordelen Nadelen
• Lagere kosten • Veiligheid
• Efficiëntie • Betrouwbaarheid
• Gebruiksgemak • Controle
• Mobiliteit • Overstapkosten
• Veiligheid • Compatibiliteit
• Beschikbaarheid • Gebrek aan support
• Onderhoud
• Duurzaam


Accountant en online dienstverlening
• Eigendom op de data
• Compliance en verwerking persoonsgegevens (privacy)


Data in de cloud

• Geen specifiek regime, aanhaken bij ‘off-line regels’

• Veelal geregeld in:
– Cloud computing overeenkomst
– SLA
– ToS (algemene voorwaarden)


Data in de cloud (2)
• “Eigendom van gegevens”
– Stelsel intellectuele eigendomsrechten
– Revindicatie bestanden?

• Hof Arnhem 3 mei 2011, LJN: BQ5240:
– Niet gebleken dat de digitale gegevens (emails/ documenten),
op zichzelf vatbaar zijn voor afgifte (revindicatie). Immers,
ingevolge artikel 5:2 BW is revindicatie beperkt tot zaken


Voorbeeld
• Google Terms of Service (alg. vw.):

Some of our Services allow you to submit content. You retain
ownership of any intellectual property rights that you hold in that
content. In short, what belongs to you stays yours. When you upload or
otherwise submit content to our Services, you give Google (and those
we work with) a worldwide license to use, host, store, reproduce,
modify, create derivative works (such as those resulting from
translations, adaptations or other changes we make so that your content
works better with our Services), communicate, publish, publicly perform,
publicly display and distribute such content.


Eigendom data (3)
• Wat gebeurt er:
– Als één der partijen niet betaalt? EuroPsyche/Fides
– Bij faillissement van de Cloud provider? InfoTechnology
– Bij faillissement van de afnemer? Oilily/SaaSPlaza

• Sluit een (data?) escrow-regeling af?
• Voor de hand liggend advies: regel het in contract
• Denk aan back-ups!


Privacy & Compliance (1)
• Welke privacywet is eigenlijk van toepassing? NL of anders?

• Belangrijkste partijen onder WBP:
– Verantwoordelijke

– Bewerker

– Betrokkene

• Je moet een grondslag voor verwerking hebben!


• Enkele verplichtingen uit de Wbp:
• Verantwoordelijke of bewerker?
• Beveiliging: passende technische en organisatorische maatregelen treffen
(art. 13 Wbp).
• Ervoor zorg dragen dat de bewerker voldoende waarborgen biedt ten
aanzien van de technische en organisatorische beveiligingsmaatregelen (art.
14 Wbp).
• Bewerkersovereenkomst! (art. 14 lid 2 Wbp).
• Toezicht op naleving (art. 14 lid 1, laatste zin Wbp).
• Niet doorgeven naar „derde landen‟ welke geen passend
beschermingsniveau waarborgen (art. 76 en 77 Wbp).
• Toegang tot gegevens betrokkene (artt. 35 en 36 Wbp).


Problemen Privacy versus Cloud volgens EU Werkgroep
• Geen controle over de verwerking van de data.
• Beschikbaarheid
• Integriteit
• Vertrouwelijkheid
• Bewerkingsmogelijkheden
• Isolatie
• Onvoldoende informatie over de wijze van verwerking.
• Transparantie


Doorgifte buiten EER:
• Alleen als passend beschermingsniveau,
– Binding corporate rules
• Gedragscodes
• Binnen 1 organisatie (bijv. multinationals)
• Wederzijdse erkenning
– Safe harbour principles
• Alleen doorgifte naar de VS!
– EU standard contractual clauses
• Standaard contractuele bedingen die voldoen aan de richtlijn
• Of grond van art. 77 Wbp: toestemming.


Accountant en online aanwezigheid
• Cookies
• Nieuwsbrief


Cookies (1)
• Cookie-verbod art. 11.7a Telecommunicatiewet

• In werking per 5 juni 2012

• Amendement PVV en PvdA per 1 januari 2013:
omkering bewijslast.


Cookies (2)
• Art. 11.7a Tw:
– Informatieverplichting
– Toestemmingsvereiste

• Ziet op alle technieken die gegevens plaatst of toegang tot
gegevens op randapparatuur van gebruiker wenst te krijgen,
dus niet beperkt tot cookies!


Cookies (3)
• Uitzonderingen voor cookies die:
– Uitsluitend tot doel hebben de verzending van communicatie.
• Inloggen bij internetbankieren

– Cookie is strikt noodzakelijk voor uitvoering gevraagde dienst.
• Taalvoorkeur
• Winkelwagentje


Cookies (4)
Informatieverplichting:
• Bevat de doeleinden waarvoor de gegevens worden
verzameld/opgeslagen.
• Voldoende specifiek.
• Verwijzing naar algemene voorwaarden, privacy en/of
permission statement eigenlijk niet voldoende.
• Voldoende zichtbaar op website en leesbaar voor gebruiker
• OPTA: informeer ook over cookies die onder uitzondering
vallen.


Cookies (5)
Toestemmingsvereiste:
• Vrij
• Specifiek
• Geïnformeerd

• Niet impliciet (zie FAQ van OPTA op internet)

• (Nog) niet via webbrowserinstellingen


Voorbeeld


Nieuwsbrief (1)
• Spamverbod in art. 11.7 Tw
• Bericht via geautomatiseerd oproep en- communicatie systeem
• Ongevraagde communicatie
• Over commerciele, ideële of charitatieve doeleinden
• Geldt voor:
– Feitelijke verzender
– Opdrachtgever tot verzending
• Ziet op verzending van berichten aan zowel consumenten (mei 2004) als
bedrijven (oktober 2009)


Nieuwsbrief (2)
• Vereisten:
– Ontvanger moet toestemming hebben gegeven.
• Vrij, specifiek en geïnformeerd
• Algemene voorwaarden niet voldoende
– Ontvanger moet zien van wie het bericht afkomstig is.
• Geen pseudoniem of alias
– Ontvanger moet zien hoe en bij wie hij zich kan afmelden.
• In ieder bericht! Kosteloos & gemakkelijk


Nieuwsbrief (3)
Uitzonderingen (1):
• Klantrelatie: gegevens zijn verkregen in het kader van verkoop van een
product of leveren dienst
• Mits mogelijkheid van verzet bij verstrekken gegevens en opt-out
mogelijkheid bij berichten.
• Bedrijven:
• als nieuwsbrief verstuurd wordt naar adres dat openbaar is op de
website;
• Indien het bedrijf buiten EER zit, en aan de in dat land geldende
regelgeving is voldaan.


Nieuwsbrief (4)
Uitzonderingen (2):
• Tell-a-friend, mits:
• Communicatie gebeurt volledig op eigen initiatief van de
internetgebruiker;
• Voor ontvanger is duidelijk wie initiatiefnemer is van de e-mail;
• Internetgebruiker moet, voor verzending, inzage hebben in volledige
bericht dat in zijn naam wordt verzonden;
• Verantwoordelijke gebruikt persoonsgegevens uitsluitend voor
eenmalige verzending als bedoeld door initiatiefnemende
internetgebruiker.


Handhaving TW
OPTA:
• Bestuursdwang
• Last onder dwangsom
• Boetes tot maximaal €450.000,-

OPTA is niet bang om
te gebruiken!
€660.000,- boete


Accountant en online bedrijfsprocessen

• Juridische aspecten
• BYOD


Juridische aspecten (1)
• Wat zijn Service Level Agreements (SLA)?

• Wat is het belang van een goede SLA?
– Storing in Amazon EC2 cloud

• Meten is weten


• Wat moet er in een SLA staan? (1)
– Garanties voor up-time
– Oplos- en Responstijden
– Rapportage!
– Back-up regeling
– Disaster Recovery?
– Kaartensysteem bij schending SLA?


• Wat moet er in een SLA staan? (2)
– Beëindigingsclausule
– Exit en/of Medewerkingsverplichting / dataconversie
– Auditmogelijkheden
– Escrow regeling?
– Beveiligingsmaatregelen
Aansprakelijkheid


Bring Your Own Device


Wat is BYOD?

BYOD: werknemer neemt eigen device mee voor het
uitvoeren van zijn werkzaamheden en verkrijgt hiermee
toegang tot e-mail, file servers en databases
(eigen def.)


Andere definities/aspecten
• Soms gelimiteerd tot een bepaalde vaste omgeving, maar meestal
niet

• Werknemers, freelancers, studenten, hotelgasten

• Smartphones, tablets, laptops

• Internet, e-mail, Lan, VOIP e.d.


Is niet gelijk aan
• CYOD (Choose Your Own Device)

• BYOT (Bring Your Own Technology)

Maar soms wel afgekort tot BYO…

En in de toekomst anyanyanyany
(device, locatie, applicatie, anyone)


Voordelen Nadelen
• Bedrijf: • Bedrijf:
– Besparing – Kostenaspect
– Productiviteit (240 u p/j) – Management IT
– Betere zorgplicht werknemers – Security

• Werknemer: • Werknemer:
– Keuzevrijheid – Mix met privé
aspecten
– Controle
– Kosten


Waarom is BYOD relevant?
• Cisco Study: IT Saying Yes To BYOD

– 95% van de bedrijven staan BYOD toe
– 84% leveren de apparatuur voor BYOD
– 76% van de bedrijven is zeer positief over BYOD
– Trend van “ver-consumentering IT”


Aandachtspunten
• Beveiliging

• Beveiliging (persoons)gegevens

• Aansprakelijkheid

• Relatie werkgever -werknemer!


Security (1)
• Security opties:

– Strenge securityinstellingen – Up-to-date antivirus en antimalware

– Veilige inlogmethoden – Veilig geconfigureerde software

– Sterke authenticatieprotocollen – Up-to-date gepatchte software

– Passende toegangscontrole – Passend lokaal- en netwerkbeleid

– Een hostgebaseerde firewall – Geconfigureerde en ingeschakelde
auditing policies


Security (2)
• 3 security oplossingen:
– Virtualisatie

– Devicebeheer door werkgever

– Aparte verbinding + mogelijkheid “remote wipe”

• Stel een BYOD policy op!


Bescherming (persoons-) gegevens

• Belangrijkste zaken US draaiden allemaal om gebrek aan
beveiliging en verlies/diefstal devices.

• Hoe werkt dit uit onder de Wbp en rol van
verantwoordelijke/bewerker?


Aansprakelijkheid
• Dwingend recht:
– Werkgever is aansprakelijk voor schade voortkomend uit in te
zetten materialen.

– Mits de werkgever redelijkerwijs had kunnen voorkomen dat
deze schade zou optreden.

– Werknemer slechts aansprakelijk indien de schade een gevolg is
van zijn opzet of bewuste roekeloosheid. (Bijv. opzettelijk
loslaten malware/virussen).


Relatie werkgever-werknemer

• Keuzevrijheid

• Privacy


Tips BYOD
• Kies een goede security oplossing

• Stel een duidelijke BYOD policy op

• Opslaan bedrijfsgegevens op eigen device tegengaan


Vragen?


Presentatie Menno Weij op Nationale Accountancydag 2012

Recommandé

Recommandé

Contenu connexe

Similaire à Presentatie Menno Weij op Nationale Accountancydag 2012

Similaire à Presentatie Menno Weij op Nationale Accountancydag 2012 (20)

Plus de Twinfield International, a Wolters Kluwer business

Plus de Twinfield International, a Wolters Kluwer business (20)

Presentatie Menno Weij op Nationale Accountancydag 2012