Juridische vraag: Wat als mijn hostingprovider failliet gaat?
Heb jij een vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
De vraag van deze week gaat over het zekerstellen van het eigendom van de website(code), de databases en de data indien je een webapplicatie hebt gehost bij een extern hostingbedrijf.
Vraag: Stel dat het externe hostingbedrijf failliet gaat, dan wil je toch dat je eigen internetbedrijf direct verder kan gaan. In het geval je een internetbedrijf hebt, is het van groot belang dat je dan direct weer up and running bij een ander hostingbedrijf bent. Je wilt niet dat je website(code), databases en data onder de boedel valt, waardoor het bijvoorbeeld een tijd uit de lucht is.
Hoe zorg je nu dat je je website(code), databases en data expliciet jouw eigendom zijn en dat je er dus ten alle tijde de beschikking over hebt, zodat je het kunt overzetten naar een ander hostingbedrijf (in het geval je huidige hostingprovider failliet gaat)?
Antwoord: In theorie is dit allemaal goed te regelen, maar de praktijk blijkt vaak toch weerbarstig.
Allereerst over de eigendom van de code, databases en andere informatie. Als je informatie opslaat bij een externe partij, blijven de intellectuele eigendomsrechten (auteursrecht, databankrecht, etcetera) bij jou liggen. Die partij krijgt alleen een licentie (gebruiksrecht) om met die informatie te doen wat afgesproken is. Bij hosten van een website geldt een andere licentie dan bij een online backup-dienst, maar het principe is hetzelfde. Je zou voor de zekerheid in het contract kunnen opnemen dat de rechten bij jou blijven liggen.
Als de hoster dan failliet gaat, vallen deze rechten dan ook niet in de boedel. De curator kan dus niet zomaar jouw data gaan verkopen. Wellicht kan hij de verleende licentie doorgeven aan een partij die het bedrijf overneemt, maar dat is het wel zo'n beetje.
Wel lastig is het feit dat de harde schijven, backuptapes en andere media wel eigendom zijn van het failliete bedrijf. Toegang daartoe krijgen is dan ook nogal lastig. Het is dus zeker slim om te zorgen dat je alle gegevens op minstens twee locaties hebt opgeslagen, zodat je niet afhankelijk bent van een onwillige curator.
Als de hostingpartij software voor je ontwikkelt, dan liggen die rechten bij hen omdat zij volgens de Auteurswet de maker en dus de auteursrechthebbende zijn. Het door hen opgezette CMS is bijvoorbeeld van hen, en dat kun je niet zomaar meenemen naar een nieuwe partij. Vaak heb je ook geen toegang tot de broncode zodat je het niet eens kunt meenemen als je dat zou willen.
Je kunt ook dit contractueel regelen door vast te leggen dat de auteursrechten op de opgeleverde software naar jou overgaan. Mijn ervaring is dat dat op veel weerstand stuit, zeker bij hosters die dezelfde software voor veel klanten inzetten. Een goedkoop alternatief kan dan zijn om een open source CMS te kiezen. Dan hoef je in principe alleen maar te weten welke versie en welke modules men gebruikt, en dan een andere hoster te zoeken die dezelfde software aanbiedt. En dan maar hopen dat men geen eigen aanpassingen had doorgevoerd waardoor het niet werkt bij de nieuwe hostingpartij.
Wie meer zekerheid wil, kan een escrowclausule bedingen. Escrow is een duur woord voor een kopietje van de software bij een notaris in bewaring geven. Met de notaris wordt dan afgesproken dat deze het kopietje afgeeft aan de klant als de hostingpartij failliet gaat, stopt met het bedrijf of iets van dien aard. Zo kan de klant doorgaan met het gebruik. Althans, dat hoop je dan maar, want in de praktijk zitten hier nogal wat haken en ogen aan.
Zo is er het probleem dat de hostingpartij die code wel compleet en up-to-date moet houden. Wie gaat dat controleren? Een beetje notaris kijkt wel uit. Er zijn gespecialiseerde partijen die deze controle kunnen uitvoeren, maar uiteraard hangt daar vaak een flink prijskaartje aan. Je kunt de hoster ook op zijn blauwe ogen geloven, of een fikse boeteclausule afspreken als blijkt dat de escrowbepaling niet wordt nageleefd, maar daar heb je natuurlijk niet echt veel aan als de hoster failliet gaat. Soms kan een goed compromis zijn dat jij als klant mag komen kijken dat de gedeponeerde code netjes compileert en functioneert in een testomgeving.
Kortom, genoeg mogelijkheden maar om het allemaal in de praktijk uitgevoerd te krijgen zal lang niet meevallen.
Wie heeft er ervaring met dingen uit escrow halen en inzetten?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl
- hoe beschik je over je data zodat je bedrijf kan voortzetten (dit artikel)
maar ik mis nog:
- hoe wordt gezorgd/geborgd dat de bedrijfsdata etc bij de failliete hoster wordt opgeruimd (de opslag van de data bij de failliete hoster is praktisch gezien 'onbeheerd' met alle risico's van dien)
Voor het eerste zou je als klant/bedrijf zelf maatregelen kunnen treffen om zo niet te afhankelijk te zijn van de hoster, voor het tweede punt heb je die afhankelijkheid wel.
Een voorbeeld is hoe kun je een bedrijf in Nederland/Europa/Wereldwijd aansprakelijkhouden voor de schade (derving tijd) van de spam die je ontvangen hebt.
Of hoe zorg je er voor dat je verbinding van je ADSL thuis stabiel blijft, hoe onderhandel je over vergoeding abonnement als er storingen zijn etc..
Wat Arnoud vergeet te melden dat alles civiel rechtelijk is, dat houd dus in dat het je duizenden euro's kan geen kosten als je een kort-geding aanspanned en dat dit vaak niet nodig is omdat je b.v. een NL domein gewoon kunt verhuizen ook al is ISP failliet.
Als je zo "slim" bent geweest om zelf geen recente backup offline te bewaren dan verdien je het om deze dure opleiding te doorlopen.
Maar in de history van Nederland zijn er amper voorbeelden bekend waarbij het failliet van een ISP excessen hebben verzorgt dus het blijft wederom een theoretisch verhaal. Leuk voor op webhostingtalk.nl.
Ik heb het een paar keer van de zijlijn meegemaakt. De ene curator zal zo snel mogelijk afspraken proberen te maken met de partij die bijvoorbeeld de co-locatie levert. Misschien dat die (tijdelijk) het beheer wil voeren. Of misschien zijn er personeelsleden die door willen werken en "meeverkocht" willen worden naar de partij die de failiete boedel overneemt.
Maar daarnaast zijn er nog genoeg curatoren die totaal geen verstand van internet hebben. Als die de klus krijgen, rijden ze zo snel mogelijk naar de co-locatie provider. Meestal nadat ze die provider de opdracht hebben gegeven om (gewoon) de spanning van de servers af te halen. De computers slaan ze vervolgens ergens op. En dan gaan ze op zoek naar geinteresseerde partijen.
Ze vergeten dan dat op dat moment eigenlijk al alle klanten weg zijn. En ze opgescheept zitten met een aantal (oude) computers die niemand meer wil hebben. Als ze regelen dat de systemen operationeel blijven, is er grote kans dat ze alles inclusief klanten en licenties kunnen verkopen.
En het blijkt ook nog steeds voor te komen dat curatoren totaal geen belang hebben bij een oplossing die voor klanten, leveranciers en schuldeisers optimaal is.
Peter
Eigendomsrecht gaat verder dan data terugkrijgen, denk ook aan vertrouwelijkheid. Voorbeeld Google apps. Is het Amerikaanse recht van toepassing op de binnen google apps bewaarde data? Mogen de Amerikaanse inlichtingendiensten (en...) mijn data aftappen, Gmailboxen doorspitten? Wat heeft dat voor gevolgen voor mijn aansprakelijkheid als ik zelf serviceprovider ben?
En wat als de Amerikaanse overheid ruzie krijgt met de nederlandse (of Franse, holding in Parijs)... kan ik dan altijd bij mijn data?
uit bovenstaande blijkt in ieder geval dat het mooi wettelijk geregeld is, maar als ik mijn data een paar dagen nadat een curator de stroom heeft uitgezet terugkrijg ben ik allang uit business...
Er zou een soort escrow moeten zijn voor data en voor services, niet alleen voor broncode.
Hebben ze bijvoorbeeld een aparte BV voor de hardware en verbindingen? Zodat wanneer de werkmaatschappij (een andere BV dus) failliet gaat, de data nog bestaat en geen onderdeel uitmaakt van de boedel?
Dennis Wijnberg
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.