Potentieel

De Commissie schat dat een regelgevende tussenkomst om in de Europese Unie een cloud-vriendelijke omgeving te scheppen in 2020 250 miljard EUR BBP zou genereren, terwijl bij het uitblijven van een regelgevende tussenkomst de markt voor cloud diensten in datzelfde jaar slechts 88 miljard EUR zou bedragen. Gecumuleerd tussen 2015 en 2020 betekent dit een bijkomende impact van 600 miljard EUR, wat zich zou vertalen in 2,5 miljoen bijkomende jobs.

Waarom een zetje? Pijnpunten van cloud computing

In het op 27 september gepubliceerde document zet de Commissie uiteen welke volgens haar de belangrijkste en meest dringende maatregelen zijn om het gebruik van cloud computing diensten in alle economische sectoren te stimuleren en te vergemakkelijken. Deze maatregelen willen het hoofd bieden aan de volgende pijnpunten:
Een eerst pijnpunt is de fragmentering van de digitale markt. Aanbieders en afnemers van cloud diensten wijzen voornamelijk op de verschillende tussen de nationale regelgevingen en de onzekerheden over het toepasselijk recht, digitale content en de locatie van gegevens.
Een tweede pijnpunt is het contractuele kader, waar met name de toegang tot gegevens, de portabiliteit (d.i. de overdraagbaarheid van gegevens), het beheer van wijzigingen (‘change control’) en de eigendom van gegevens de zorgenkinderen blijken te zijn. Concrete vragen die zich stellen zijn o.m. hoe het verlies van gegevens wordt vergoed, wat de gebruikersrechten zijn in geval van een upgrade die eenzijdig door de aanbieder wordt uitgevoerd, wie de eigenaar is van de gegevens die zich in de cloud bevinden, enz.
Een derde pijnpunt is de wirwar van standaarden. Dit aandachtspunt heeft niet enkel betrekking op de proliferatie van standaarden, maar ook op de onduidelijkheid te weten welke standaarden een voldoende interoperabiliteit toelaten om informatie over te kunnen dragen (‘portabiliteit’), of welke mechanismen worden geïmplementeerd om persoonlijke gegevens te beschermen, of nog het probleem van inbreuken op de integriteit van gegevens en de bescherming tegen cyberaanvallen.

Cloud Computing en de Digitale Agenda

De Commissie stelt zich tot doel om met een regelgevende tussenkomst de EU ‘cloud-vriendelijk’ te maken. De aanzet voor vele noodzakelijke maatregelen werd reeds genomen, onder meer in de digitale agenda voor Europa (COM (2010) 245 def.). De Commissie wijst in het bijzonder op het belang voor cloud computing van de maatregel in de volgende drie gebieden:

-    Toegang tot digitale content

De Commissie beoogt een vereenvoudiging van de vereffening en het beheer van auteursrechten en de grensoverschrijdende licentieverlening, en heeft in dit kader alle verschillende voorstellen geformuleerd. Zo, bijvoorbeeld, heeft de Commissie in juli 2012 een voorstel ingediend over het collectieve beheer van auteursrechten en naburige rechten en de multi-territoriale licentieverlening van rechten inzake muziekwerken voor online gebruik op de interne markt (COM (2012) 372 fin.). Een ander beleidsinitiatief betreft het voorstel van richtlijn inzake het hergebruik van overheidsinformatie (COM (2011) 877 def.). Het beleid dat in dit kader wordt ontwikkeld zal nieuwe cloud computing mogelijkheden bieden voor zowel aanbieders als consumenten van digitale content.

-    Vereenvoudiging van grensoverschrijdende online transacties

Omdat diensten inzake elektronische handel meer en meer vanuit de cloud worden aangeboden, ontwikkelt zich een ingewikkelder waardeketen die verschillende landen kan overspannen. Dit brengt op zijn beurt (juridische) vragen met zich mee, zoals bijvoorbeeld de vraag naar het toepasselijk recht en de toepassing van de notificatieprocedure voor vermeend illegale informatie die zich in de cloud bevindt. De Commissie kondigt aan deze vragen te beantwoorden in een voorstel over meldings- en actieprocedures. Dit neemt evenwel niet weg dat er ook al vandaag voor deze problematiek een juridisch kader bestaat.
De Commissie wijst ook op de noodzaak voor betrouwbare authentificatie bij het aanbieden van vele cloud diensten, zowel om het vertrouwen te verzekeren als om het gebruik van die diensten te stroomlijnen. Op dit vlak heeft de Commissie al een eerste stap gezet door op 4 juni 2012 een voorstel op tafel te leggen voor een verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties (COM (2012) 238 def.).
Tot slot vermeldt de Commissie ook dat in de komende maanden werk te zullen maken van een algemene strategie voor cyberveiligheid, dewelke ook het aanbieden van cloud diensten zal omvatten. Zo zal bijvoorbeeld worden verduidelijkt welke technische en organisatorische maatregelen moeten worden genomen om veiligheidsrisico’s in te dijken, evenals welke verplichtingen er bestaan om incidenten aan de bevoegde overheden te rapporteren.

-    Vertrouwen in digitale diensten verhogen

Uit de door de Commissie gevoerde consultatie komt naar voor dat één van de grootste pijnpunten de bescherming van gegevens is. Vandaag zijn 27 verschillende nationale regelgevingskaders van toepassing op het aanbieden van cloud diensten binnen de EU. Een dergelijke regelgevende context bemoeilijkt vanzelfsprekend om op kostefficiënte wijze cloud diensten in de EU aan te bieden. Deze problemen worden aangepakt in het op 25 januari 2012 gepubliceerde voorstel voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (COM (2012) 11 def.). Met dit voorstel zou één regelgevingskader in alle 27 EU lidstaten rechtstreeks en op uniforme wijze vragen inzake bescherming van gegevens regelen, ook wanneer het cloud diensten betreft. Dit zou uiteraard een goede zaak zijn voor zowel ondernemingen als burgers. Ondernemingen zouden niet langer moeten nagaan of de aangeboden cloud diensten in overeenstemming zijn met 27 verschillende rechtsstelsels, wat een grote administratieve en compliance ontlasting teweeg zou brengen. Burgers zouden genieten van een hoge bescherming van hun gegevens en hun een grotere controle over hun gegevens geven.

Specifieke acties

Naast de in het kader van de digitale agenda reeds genomen regelgevende initiatieven, kondigt de Commissie drie specifieke actiepunten aan om ervoor te zorgen dat de EU meer ‘cloud-actief’ wordt. De specifieke aandachtspunten beogen voornamelijk een klimaat van zekerheid en vertrouwen te ontwikkelen.

-    Eerste actiepunt: duidelijkheid scheppen in de wirwar van standaarden

De Commissie wil het gebruik van cloud diensten stimuleren door een algemener gebruik van standaarden, de certifiëring van cloud diensten die aan deze standaarden voldoen en de bekrachtiging van de certifiëring door regelgevende instanties. De Commissie wijst erop dat vandaag de dag vendors erbij zijn gebaat om zo dominant mogelijk te zijn en hun klanten in te sluiten (‘lock in’) door gestandaardiseerde, industriewijde benaderingen te verhinderen.  De cloud kan dan zo evolueren dat er geen interoperabiliteit, gegevensportabiliteit of reversibiliteit mogelijk is.
De Commissie kondigt verschillende concrete stappen aan. Zo zal de European Telecommunications Standards Institute (ETSI) worden opgedragen om in samenspraak met alle belanghebbenden tegen 2013 gedetailleerde standaarden uit te werken over o.m. veiligheid, interoperabiliteit, gegevensportabiliteit en reversibiliteit.

-    Tweede actiepunt: veilige en eerlijke voorwaarden voor cloud computing overeenkomsten

De Commissie stelt vast dat afnemers van cloud diensten onvoldoende specifieke en evenwichtige overeenkomsten met cloud providers kunnen afsluiten. Het ingewikkelde en onzekere juridische kader voor cloud diensten brengt met zich mee dat vaak ingewikkelde overeenkomsten of dienstverleningsovereenkomsten (service level agreements of SLA’s), met een uitgebreide exoneratieclausule, worden afgesloten, vaak zonder dat de afnemer de overeenkomsten kan onderhandelen. Zelfs grote ondernemingen krijgen weinig ruimte om deze overeenkomsten te onderhandelen, en de afgesloten overeenkomsten bepalen dikwijls niet wie verantwoordelijk is voor de integriteit van de gegevens, of de vertrouwelijkheid en de continuïteit ervan.
Voor professionele afnemers van cloud diensten zal de Commissie standaard SLA’s voorbereiden. Voor particulieren wijst de Commissie op het reeds gepubliceerde voorstel van verordening voor een gemeenschappelijk Europees kooprecht (COM (2011) 635 def.), hetwelk ook de levering van digitale inhoud regelt. Bepaalde cloud computing aspecten zouden daarmee alvast afgedekt zijn. Voor andere contractuele aspecten (zoals o.m. behoud van gegevens na de beëindiging van de overeenkomst, integriteit van gegevens, locatie en transfer van gegevens, aansprakelijkheid, eigendom van gegevens, onderaanneming enz.), zal de Commissie werk maken van standaardclausules die deze punten regelen.

-    Derde actiepunt: European Cloud Partnership

Volgens de Commissie heeft de publieke sector een belangrijke rol te spelen in het vormen van de markt voor cloud computing diensten. De publieke sector, als grootste afnemer van IT diensten, kan strenge voorwaarden stellen aan performantie, veiligheid, interoperabiliteit en gegevensportabiliteit, en naleving met technische vereisten. Verschillende lidstaten hebben nationale projecten gestart (Andromede in Frankrijk, G-Cloud in het Verenigd Koninkrijk en Trusted Cloud in Duitsland).
De fragmentering van de publieke sector brengt evenwel met zich mee dat de vereisten die de publieke sector aan cloud diensten stelt weinig impact hebben en niet leiden tot een betere dienstverlening. De Commissie wil daarom de publieke sector vereisten samenbrengen, met het oog op een verhoogde efficiëntie. Gemeenschappelijke sectorale vereisten zouden volgens de Commissie ook de kosten kunnen drukken en de interoperabiliteit mogelijk maken. Ook de privésector zou zijn voordeel kunnen halen uit meer kwalitatieve diensten, een verhoogde concurrentie, snelle standaardisering en een betere interoperabiliteit.
Daarom richt de Commissie dit jaar een European Cloud Partnership (ECP) op. De ECP is een  paraplu-organisatie voor vergelijkbare initiatieven genomen door de lidstaten, met het oog op het uitwerken van gemeenschappelijke aanbestedingsvoorwaarden.

Pieter Paepe
Advocaat - Astrea
ppa@astrealaw.be