Achtergrond

Juridische vraag: hoe kan ik mijn data bij opslagdienst opeisen?

woensdag 18 december 2013, 11:17 door Arnoud Engelfriet, 16 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Mijn bedrijf heeft data opgeslagen bij een online opslagdienst. Onlangs hebben we het contract bij deze dienst opgezegd en nu kan ik niet meer bij onze data. Hoe kan ik deze data toch opeisen?

Antwoord: Als de contractsduur is verlopen, dan heb je echt pech. Dat bedrijf is niet meer verplicht om data te bewaren nadat de contractuele afspraak daarover verlopen is.

De term 'mijn data' is hierbij misleidend. Data kan geen “eigendom” zijn van iemand. Eigendom geldt alleen op fysieke, tastbare zaken en niet op bits. (Tenzij het gaat om bits die unieke en waardevolle items in online games representeren, maar dat is hier niet aan de orde.) En dan heb je dus niets te eisen als zogenaamde “eigenaar” van die data.

Juridisch gezien is hier sprake van dienstverlening: iemand heeft een dienst geleverd (bits in een bepaald formaat opgeslagen) en of men na opzegging nog een kopie moet geven, is een kwestie van contractsuitleg. Er is geen wettelijke regel die je hier recht op geeft.

Dit komt ook wel voor bij online diensten (cloud/SaaS) waarbij de opdrachtgever bedenkt dat hij de data elders wil inzetten en dus een kopie wil. Ook dát is geen recht, tenzij contractueel afgesproken. De dienstverlener is wettelijk niet verplicht een dump van de data af te geven.

Kortom: check uw contract wat daarin staat over exitclausules of maken van een kopie.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: is een kopie van een schijf geldig bewijs?

FBI hackt webcams, hoe zit dat hier?

Reacties (16)

18-12-2013, 11:30 door [Account Verwijderd] - Bijgewerkt: 18-12-2013, 11:32

[Verwijderd]

18-12-2013, 11:36 door 0101

Door Peter V.:Mijn vraag is: als stroom dan wel "enig goed" is, waarom geldt dit dan niet bij "bits" en "bytes"?

In sommige gevallen is dit ook het geval: https://www.security.nl/posting/23291/Rechter%3A+Virtuele+diefstal+is+ook+diefstal.

Dit geval waarbij de gegevens vrijwillig bij de opslagdienst zijn weggezet valt daar natuurlijk niet onder.

18-12-2013, 11:40 door Anoniem

Ik heb een vergelijkbare vraag, maar vanuit een andere insteek:
Mijn bedrijf heeft data opgeslagen bij een online opslagdienst. Onlangs hebben we het contract bij deze dienst opgezegd en nu wil ik dat mijn data volledig worden vernietigd. Hoe kan ik de vernietiging van mijn data eisen ?

Achtergrond is een akkefietje dat ik met een cloudprovider had. Abo was al maanden beeindigd en garantie dat data vernietigd gegeven. Account bleef echter aktief en toen ik iets mekkerde over 'per ongeluk data weg gegooid' werden mijn data zo weer uit de backup tevoorschijn getoverd. Toen ik de provider daarop wees, meldde hij dat hij niet kon verhinderen dat mijn data op de backupserver bleven staan.

Alvast bedankt, Johan

18-12-2013, 11:43 door Arnoud Engelfriet

@Peter V: stroom werd als tastbaar gezien omdat je het als mens kunt manipuleren en het de eigenschap heeft dat als jij het gebruikt, ik het niet nog een keer kan gebruiken. Stroom kan 'op'. In het verlengde daarvan de virtuele diefstal: virtuele goederen zijn uniek, als ik 'm heb heb jij hem niet. Je kunt ze verplaatsen, niet kopiëren.

Digitale data mist deze eigenschap (Hoge Raad 3 december 1996, NJ 1997, 574). Data kan niet 'op' en wordt niet verplaatst maar gekopieerd.

18-12-2013, 13:14 door Anoniem

Onthouden:
Het in eigendom claimen van vertrouwelijke persoonsgegevens door derden is juridisch onmogelijk.
(uitspraak van een juriste wiens naam niet bekend is)

18-12-2013, 15:53 door [Account Verwijderd]

[Verwijderd]

18-12-2013, 18:02 door Anoniem

Door Arnoud Engelfriet:
Digitale data mist deze eigenschap (Hoge Raad 3 december 1996, NJ 1997, 574). Data kan niet 'op' en wordt niet verplaatst maar gekopieerd.

Dit staat natuurlijk wel op gespannen voet met de situatie dat een bepaalde bitrij door een "rechthebbende" kan worden
aangewezen als niet toegestaan om te copieren. Als data werkelijk niks waard is en gecopieerd kan worden, waarom
mag ik dan 100100010010010 wel copieren en 110001100010100101 niet? Of de bitrij iets betekent hangt ook weer
af van externe definities, wat de een ziet als een song in MP3 ziet de ander misschien wel als de output van een een
slecht gelukte randomgenerator.

Maar goed, het probleem uit de oorspronkelijke vraag is inderdaad iets wat je je heel goed moet realiseren als je je data
of andere dienstverlening buiten de deur brengt. Wij zijn daar op het werk ook mee bezig en er is lang gesteggeld om
alles wat je maar zou kunnen bedenken (dienstverlener failliet, contract door hen of door ons beeindigd, wij failliet, noem
maar op) terdege is afgedekt en de toegang tot de data is verzekerd.
Dat kost een boel extra moeite en tijd, en zal met een grote aanbieder (en als kleine klant) wellicht veel moeilijker te
regelen zijn dan in de meer customized situatie waarin we nu zitten.

18-12-2013, 18:42 door Anoniem

De inhoud van een boek kan niet "opraken", maar dat wil niet zeggen dat iedereen er maar mee mag doen wat-ie wil. De uitgever heeft economische belangen die hij mag beschermen tegen derden. Ik maak mij sterk dat dit ook geldt voor hetzelfde boek in digitale vorm, en voor andere data die een economisch belang vormen.

19-12-2013, 12:06 door Arnoud Engelfriet

Op grond van auteursrecht of merkenrecht kun je inderdaad verbieden dat anderen een bit sequence gebruiken op een bepaalde manier (bv. via een ASCII tabel het mappen naar letters en die als boek uitgeven). Echter, dat verbodsrecht levert je géén opeisingsrecht op voor ieder voorkomen van die bit sequence. Dat ik jou kan verbieden een tekst uit te geven, betekent niet dat jij me het Word-document met die tekst moet geven.

(Dit is een feature van auteursrecht, geen bug. Als ik een foto maak en een afdruk aan jou verkoop, mag ik die afdruk niet opeisen via mijn auteursrecht.)

19-12-2013, 12:59 door AcidBurn

Als de contractsduur is verlopen, dan heb je echt pech. Dat bedrijf is niet meer verplicht om data te bewaren nadat de contractuele afspraak daarover verlopen is.

Dit is kolder. We hebben enige tijd geleden een zaak gehad vergelijkbaar met bovenstaand en hierbij oordeelde de rechter dat indien, en voor zover, de data gezien kan worden als eigendom en benodigd is voor het uitoefenen van bijvoorbeeld zakelijke taken dit aangeleverd moet worden.

19-12-2013, 15:05 door Anoniem

Door AcidBurn:

Als de contractsduur is verlopen, dan heb je echt pech. Dat bedrijf is niet meer verplicht om data te bewaren nadat de contractuele afspraak daarover verlopen is.

Je moet oppassen met "vergelijkbare" zaken.

Ik ken situaties waarbij de leverancier de toegang blokkeerde op het moment dat de opzegging binnen kwam i.p.v. bij het einde van het contract. Of, wat vaker voorkomt, op het moment dat de klant zijn domein naar een andere partij heeft verhuisd. De oorspronkelijke leverancier beweert dat het verhuizen van het domein de data impliciet onbereikbaar maakt en hij het dus net zo goed mag verwijderen.

Peter

20-12-2013, 08:30 door sjonniev

Als ik heel eerlijk ben vind ik iedereen die zijn data onversleuteld bij opslagdiensten neerzet niet bijzonder verstandig. Het enige dat je dan hebt als waarborg dat ze niet in je data gaan graaien is een handtekening op een papiertje.

De opslagdienst heeft uiteraard het recht om meteen na opzegging of niet verlengen de opslagruimte weer vrij te maken voor de volgende klant. Opslagruimte is in deze zin dus wel "tastbaar", het kan namelijk op.

20-12-2013, 08:33 door Anoniem

Tja, gevalletje eigen schuld dikke bult. Bedrijven willen voor een dubbeltje op de eerste rij zitten en denken dat in de Cloud opslaan lekker goedkoop is. Dat is het ook totdat de aanbieder failliet gaat of het contract wordt opgezegd. Tja, weg data. Hadden ze hun huiswerk maar beter moeten doen en een Data Escrow moeten afsluiten met een Cloud aanbieder en voor eigen backups zorgen. Maar ja, dat kost natuurlijk geld.

20-12-2013, 14:27 door Briolet

Door sjonniev: De opslagdienst heeft uiteraard het recht om meteen na opzegging of niet verlengen de opslagruimte weer vrij te maken voor de volgende klant. Opslagruimte is in deze zin dus wel "tastbaar", het kan namelijk op.

Dat zou je dus kunnen vergelijken met de huur van een opslagruimte voor meubels. Daar wordt je ook geacht om de ruimte 'leeg' op te leveren bij beëindigen van het huurcontract. Sterker: daar zal de verhuurder zelfs kosten berekenen als de boel niet leeg is.

Ik heb dit een paar maand geleden aan de hand gehad bij het opheffen van een meubelopslag. Een deel heb ik er uit gehaald, de kringloop winkel heeft zijn deel eruit gehaald, weer een ander deel is naar de stort gegaan. De laatste grote stukken zijn door de opslag verhuurder afgevoerd tegen kosten. Wel is alles vóóraf besproken.

De oorspronkelijke vraag vermeld niet of hij zijn data wel terug had gekregen als hij alsnog zijn opslagkosten zou betalen tot het moment van ophalen van de data. Op zich vind ik het vreemd dat de klant niet eerst zijn data verplaatst heeft voordat hij zijn contract heeft opzegt. En als de verhuurder er ook vanuit gaat dat de achtergebleven data weg mag, kan ik me ook voorstellen dat hij extra betaald wil hebben om die data weer uit een backup te halen.

20-12-2013, 22:51 door Anoniem

Geldt dit ook voor hulpverleners die een electronisch patienten dossier (EPD) hebben ondergebracht bij een bedrijf dat ze fasciliteert en de opslag aanbiedt? Wat zijn de consquenties t.a.v. bewaarplicht (al dan niet digitaal) van dossiers? Wat zijn de rechten van een cliënt hier in? Etc. etc.

Graag uw zienswijze!

23-12-2013, 12:24 door Anoniem

Voor de belastingdienst moet je de data 7 jaar bewaren.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer