Achtergrond

Juridische vraag: Wat als mijn hostingprovider failliet gaat?

woensdag 18 februari 2009, 11:27 door Arnoud Engelfriet, 13 reacties

Heb jij een vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

De vraag van deze week gaat over het zekerstellen van het eigendom van de website(code), de databases en de data indien je een webapplicatie hebt gehost bij een extern hostingbedrijf.

Vraag: Stel dat het externe hostingbedrijf failliet gaat, dan wil je toch dat je eigen internetbedrijf direct verder kan gaan. In het geval je een internetbedrijf hebt, is het van groot belang dat je dan direct weer up and running bij een ander hostingbedrijf bent. Je wilt niet dat je website(code), databases en data onder de boedel valt, waardoor het bijvoorbeeld een tijd uit de lucht is.

Hoe zorg je nu dat je je website(code), databases en data expliciet jouw eigendom zijn en dat je er dus ten alle tijde de beschikking over hebt, zodat je het kunt overzetten naar een ander hostingbedrijf (in het geval je huidige hostingprovider failliet gaat)?

Antwoord: In theorie is dit allemaal goed te regelen, maar de praktijk blijkt vaak toch weerbarstig.

Allereerst over de eigendom van de code, databases en andere informatie. Als je informatie opslaat bij een externe partij, blijven de intellectuele eigendomsrechten (auteursrecht, databankrecht, etcetera) bij jou liggen. Die partij krijgt alleen een licentie (gebruiksrecht) om met die informatie te doen wat afgesproken is. Bij hosten van een website geldt een andere licentie dan bij een online backup-dienst, maar het principe is hetzelfde. Je zou voor de zekerheid in het contract kunnen opnemen dat de rechten bij jou blijven liggen.

Als de hoster dan failliet gaat, vallen deze rechten dan ook niet in de boedel. De curator kan dus niet zomaar jouw data gaan verkopen. Wellicht kan hij de verleende licentie doorgeven aan een partij die het bedrijf overneemt, maar dat is het wel zo'n beetje.

Wel lastig is het feit dat de harde schijven, backuptapes en andere media wel eigendom zijn van het failliete bedrijf. Toegang daartoe krijgen is dan ook nogal lastig. Het is dus zeker slim om te zorgen dat je alle gegevens op minstens twee locaties hebt opgeslagen, zodat je niet afhankelijk bent van een onwillige curator.

Als de hostingpartij software voor je ontwikkelt, dan liggen die rechten bij hen omdat zij volgens de Auteurswet de maker en dus de auteursrechthebbende zijn. Het door hen opgezette CMS is bijvoorbeeld van hen, en dat kun je niet zomaar meenemen naar een nieuwe partij. Vaak heb je ook geen toegang tot de broncode zodat je het niet eens kunt meenemen als je dat zou willen.

Je kunt ook dit contractueel regelen door vast te leggen dat de auteursrechten op de opgeleverde software naar jou overgaan. Mijn ervaring is dat dat op veel weerstand stuit, zeker bij hosters die dezelfde software voor veel klanten inzetten. Een goedkoop alternatief kan dan zijn om een open source CMS te kiezen. Dan hoef je in principe alleen maar te weten welke versie en welke modules men gebruikt, en dan een andere hoster te zoeken die dezelfde software aanbiedt. En dan maar hopen dat men geen eigen aanpassingen had doorgevoerd waardoor het niet werkt bij de nieuwe hostingpartij.

Wie meer zekerheid wil, kan een escrowclausule bedingen. Escrow is een duur woord voor een kopietje van de software bij een notaris in bewaring geven. Met de notaris wordt dan afgesproken dat deze het kopietje afgeeft aan de klant als de hostingpartij failliet gaat, stopt met het bedrijf of iets van dien aard. Zo kan de klant doorgaan met het gebruik. Althans, dat hoop je dan maar, want in de praktijk zitten hier nogal wat haken en ogen aan.

Zo is er het probleem dat de hostingpartij die code wel compleet en up-to-date moet houden. Wie gaat dat controleren? Een beetje notaris kijkt wel uit. Er zijn gespecialiseerde partijen die deze controle kunnen uitvoeren, maar uiteraard hangt daar vaak een flink prijskaartje aan. Je kunt de hoster ook op zijn blauwe ogen geloven, of een fikse boeteclausule afspreken als blijkt dat de escrowbepaling niet wordt nageleefd, maar daar heb je natuurlijk niet echt veel aan als de hoster failliet gaat. Soms kan een goed compromis zijn dat jij als klant mag komen kijken dat de gedeponeerde code netjes compileert en functioneert in een testomgeving.

Kortom, genoeg mogelijkheden maar om het allemaal in de praktijk uitgevoerd te krijgen zal lang niet meevallen.

Wie heeft er ervaring met dingen uit escrow halen en inzetten?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl

Juridische vraag: Welke gegevens mag je bij ontslag meenemen?

Column: SaaS is gatenkaas

Reacties (13)

18-02-2009, 12:21 door Anoniem

De vraagstelling zou ik scherper willen aanzetten:
- hoe beschik je over je data zodat je bedrijf kan voortzetten (dit artikel)
maar ik mis nog:
- hoe wordt gezorgd/geborgd dat de bedrijfsdata etc bij de failliete hoster wordt opgeruimd (de opslag van de data bij de failliete hoster is praktisch gezien 'onbeheerd' met alle risico's van dien)

Voor het eerste zou je als klant/bedrijf zelf maatregelen kunnen treffen om zo niet te afhankelijk te zijn van de hoster, voor het tweede punt heb je die afhankelijkheid wel.

18-02-2009, 16:23 door Arnoud Engelfriet

Klopt, je bent helemaal afhankelijk van de curator in dat geval. Daar is juridisch weinig aan te doen ben ik bang.

18-02-2009, 16:45 door Anoniem

Lastige zaken inderdaad.

18-02-2009, 19:03 door Anoniem

Wanneer kunnen we juridische artikelen verwachten over dagelijkse zaken. Dit onderwerp als ook het vorig onderwerp zijn nu niet dingen die wekelijks voorkomen.

Een voorbeeld is hoe kun je een bedrijf in Nederland/Europa/Wereldwijd aansprakelijkhouden voor de schade (derving tijd) van de spam die je ontvangen hebt.

Of hoe zorg je er voor dat je verbinding van je ADSL thuis stabiel blijft, hoe onderhandel je over vergoeding abonnement als er storingen zijn etc..

Wat Arnoud vergeet te melden dat alles civiel rechtelijk is, dat houd dus in dat het je duizenden euro's kan geen kosten als je een kort-geding aanspanned en dat dit vaak niet nodig is omdat je b.v. een NL domein gewoon kunt verhuizen ook al is ISP failliet.

Als je zo "slim" bent geweest om zelf geen recente backup offline te bewaren dan verdien je het om deze dure opleiding te doorlopen.

Maar in de history van Nederland zijn er amper voorbeelden bekend waarbij het failliet van een ISP excessen hebben verzorgt dus het blijft wederom een theoretisch verhaal. Leuk voor op webhostingtalk.nl.

19-02-2009, 20:51 door Arnoud Engelfriet

@Anoniem 19:03: de onderwerpen die je aandraagt, zijn meer kwesties van onderhandelingen of lange adem dan juridisch. Ik zal erover nadenken, maar de hoofdregel is duidelijk: als je schade hebt door bv. spam of een storing, dan kun je die verhalen. Tenzij in de algemene voorwaarden uitgesloten, mits die uitsluiting redelijk is. Recht hebben is makkelijk, recht halen is de kunst.

20-02-2009, 10:42 door Anoniem

Door Arnoud EngelfrietKlopt, je bent helemaal afhankelijk van de curator in dat geval. Daar is juridisch weinig aan te doen ben ik bang.

Ik heb het een paar keer van de zijlijn meegemaakt. De ene curator zal zo snel mogelijk afspraken proberen te maken met de partij die bijvoorbeeld de co-locatie levert. Misschien dat die (tijdelijk) het beheer wil voeren. Of misschien zijn er personeelsleden die door willen werken en "meeverkocht" willen worden naar de partij die de failiete boedel overneemt.

Maar daarnaast zijn er nog genoeg curatoren die totaal geen verstand van internet hebben. Als die de klus krijgen, rijden ze zo snel mogelijk naar de co-locatie provider. Meestal nadat ze die provider de opdracht hebben gegeven om (gewoon) de spanning van de servers af te halen. De computers slaan ze vervolgens ergens op. En dan gaan ze op zoek naar geinteresseerde partijen.

Ze vergeten dan dat op dat moment eigenlijk al alle klanten weg zijn. En ze opgescheept zitten met een aantal (oude) computers die niemand meer wil hebben. Als ze regelen dat de systemen operationeel blijven, is er grote kans dat ze alles inclusief klanten en licenties kunnen verkopen.

En het blijkt ook nog steeds voor te komen dat curatoren totaal geen belang hebben bij een oplossing die voor klanten, leveranciers en schuldeisers optimaal is.

Peter

20-02-2009, 14:52 door Anoniem

Zolang dit dus allemaal niet duidelijk is kunnen we dus de cloud wel vergeten. Web 2.0 en zijn opvolgers ook. En wie pikt de routing data in die wettelijk moet worden bewaard.Het is een schandaal dat de politiek wordt geadviseerd door door bureaucraten die alles opslaan en bewaren en niet weten wat er echt aan de hand is.

22-02-2009, 08:59 door [Account Verwijderd]

[Verwijderd]

25-02-2009, 12:33 door Anoniem

Ik ben wel geintresseerd in praktische voorbeelden, zeker nu het woord 'cloud' gevallen is. Roept bij mij steeds meer vragen op.

Eigendomsrecht gaat verder dan data terugkrijgen, denk ook aan vertrouwelijkheid. Voorbeeld Google apps. Is het Amerikaanse recht van toepassing op de binnen google apps bewaarde data? Mogen de Amerikaanse inlichtingendiensten (en...) mijn data aftappen, Gmailboxen doorspitten? Wat heeft dat voor gevolgen voor mijn aansprakelijkheid als ik zelf serviceprovider ben?
En wat als de Amerikaanse overheid ruzie krijgt met de nederlandse (of Franse, holding in Parijs)... kan ik dan altijd bij mijn data?

uit bovenstaande blijkt in ieder geval dat het mooi wettelijk geregeld is, maar als ik mijn data een paar dagen nadat een curator de stroom heeft uitgezet terugkrijg ben ik allang uit business...

Er zou een soort escrow moeten zijn voor data en voor services, niet alleen voor broncode.

13-07-2009, 22:23 door Anoniem

Escrow voor gehoste diensten bestaan. Google maar eens op "SaaS escrow". Let op dat sommige aanbieders een verkapte broncode escrow regeling aanbieden, geen doorlopende continuiteitsregeling.

12-01-2010, 22:18 door Anoniem

Save Source BV is een vd NL escrowpartijen die SaaS Escrow oplossingen heeft die betalingsverplichtingen overneemt waarbij ook data en andere services gewaarborgd worden, is wel gericht op de leverancier die een rack huurt met server bij de hostingprovider maar kan ook met een workaround praktisch opgelost worden voor andere situaties, soms hoort een broncode escrow tot een optionele mogelijkheid die je in kan sluiten

30-10-2010, 23:05 door Anoniem

Goed artikel ook Solv advocaten op CloudTools met concrete antwoorden juridische aspecten SaaS en Cloud Computing: http://www.cloudtools.nl/algemeen/persoonsgegevens-opslaan-in-de-cloud-wetten-en-regels-bij-online-software/

10-03-2011, 13:43 door Anoniem

Ik denk wel dat het begint met het goed nadenken hoe het hostingbedrijf dingen heeft geregeld.

Hebben ze bijvoorbeeld een aparte BV voor de hardware en verbindingen? Zodat wanneer de werkmaatschappij (een andere BV dus) failliet gaat, de data nog bestaat en geen onderdeel uitmaakt van de boedel?

Dennis Wijnberg

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer