Big data en aansprakelijkheid

Big data ontstaan doordat vele gebruikers gegevens achterlaten bij een clouddienst. Geanonimiseerd kan de dienstverlener deze gegevens analyseren, bijvoorbeeld met een algoritme. Aan welke regels moet een clouddienst voldoen en is een clouddienst aansprakelijk voor de continuïteit van zijn dienstverlening?

1. INLEIDING

Begin februari 2013 ontvingen de klanten van de Engelse cloudprovider 2e2 een alarmerende brief. De klanten, waaron­der Vodafone en Citigroup, werden gesommeerd om binnen 24 uur te bevestigen dat zij tot £40.000 per week extra zou­den betalen gedurende 16 weken, omdat anders de continu­ïteit van de diensten niet kon worden gegarandeerd. De brief was afkomstig van 2e2 zelf, dat haar financiën niet op orde had en op omvallen stond. De brief vermeldde ook dat als het eerste bedrag niet binnen één week werd betaald, “we will be unable to continue to provide services to you.” In totaal was volgens 2e2 £960.000 nodig om te kunnen overleven.

Dit waargebeurde voorbeeld illustreert hoe gevaarlijk het kan zijn voor een onderneming om haar gegevens door een derde te laten bewerken. Dit soort voorbeelden roept de vraag op hoe dataverwerking wettelijk is geregeld en welke waarborgen de wet biedt.

2. BIG DATA

Doordat de hoeveelheid gegevens op aarde exponentieel toeneemt en meer en meer in de cloud wordt opgeslagen, wordt de vraag steeds urgenter. Waar in 2012 wereldwijd 1,2 ZB aan data was opgeslagen, is de verwachting dat dat in 2020 meer dan 35 ZB is. Een ZB (Zettabite) is gelijk aan 1.000.000.000.000 gigabites, of te wel ongeveer 3,4 maal de omvang van alle menselijke kennis in 2007. De enorme datahoeveelheden die tegenwoordig worden verwerkt worden aangeduid met de term big data.

In dit artikel ga ik in op de aansprakelijkheid voor het ver­werken van big data. Ik zal stil staan bij aansprakelijkheid voor het houden van gegevens en aansprakelijkheid voor het gebruik van gegevens.

3. WETTELIJKE ZORGPLICHTEN VOOR HET HOUDEN VAN BIG DATA

De discussies over big data gaan op dit moment vooral over de vertrouwelijkheid van gegevens. Dat roept vragen op over de zorgplichten van de houder van data. In Nederland bestaat geen algemene wettelijke regeling voor informatiebeveiliging. Aanknoping zal dus moeten worden gevonden bij andere wettelijke regels.

De overeenkomst waarbij de ene partij gegevens voor de andere partij houdt en/of verwerkt, zal in de regel kwali­ficeren als een overeenkomst van opdracht. De opdracht­overeenkomst is een van de bijzondere overeenkomsten uit boek 7 BW. Dit brengt met zich mee dat de dienstverlener die big data onder zich houdt ingevolge art. 7:401 BW bij zijn werkzaamheden de zorg van een goed opdrachtnemer in acht moet nemen. Dit sluit aan bij de in de jurisprudentie ontwikkelde maatstaf voor IT-dienstverleners: de werkzaam­heden van de IT-dienstverlener dienen te voldoen aan de mate van zorgvuldigheid die van een redelijk handelend en bekwaam IT-dienstverlener geëist mag worden(zie onder meer HR 11 april 1986, Computerrecht 1986-3, p. 174 (RBC/ Brinkers)).(1) De rechtspraak over de concrete toepassing van deze norm is zeer casuïstisch. Zo is in een zaak uitgemaakt dat van een IT-dienstverlener verwacht mag worden dat hij beoordeelt of de randvoorwaarden aanwezig zijn om aan de eisen van de klant te voldoen. Ook is al eens geoordeeld dat van IT-dienstverlener verwacht mag worden dat deze de klant schriftelijk waarschuwt als deze een onverantwoord risico neemt.

De inhoud van de zorgplicht voor de dataverwerking zal dan ook primair worden bepaald door het contract. Voor de uitleg van het contract zijn de precieze omstandigheden van belang, evenals de marktgebruiken. Afhankelijk van de tekst van het contract, de aard van de gegevens en de rol en expertise van partijen zal er in meer of mindere mate sprake kunnen zijn van een beveiligingsplicht. Er is echter nog geen jurispruden­tie die hier nadere invulling aan geeft. Het is te verwachten dat op een dienstverlener die ‘slechts’ opslagruimte beschik­baar stelt, lagere (beveiligings)eisen worden gesteld dan aan een gespecialiseerde dienstverlener die hoogwaardige diensten aanbiedt. In het eerste geval is de dienstverlener niet veel meer dan de verhuurder van een digitale garagebox.

De huurder van een garagebox krijgt de sleutel en moet maar zien wat hij met zijn garagebox doet. Misschien stalt hij er zijn klassieke auto, overtollig meubilair of oude jaargangen van Weg en Wagen. Veelal zal de verhuurder geen bemoeienis hebben met de inhoud van de garagebox. Van beveiliging mag je dan ook niet zoveel verwachten. Maar als de dienstverlener diensten aanbiedt gericht op waardevolle data, dan kunnen wel zwaardere eisen worden gesteld. Vergelijk bijvoorbeeld de overeenkomst waarbij een bank waardepapieren in bewaring neemt. Dan mag een goede beveiliging worden verwacht.

In veel gevallen zullen de gegevens ook betrekking hebben op personen en is de Wet bescherming persoonsgegevens (“Wbp”) van belang. De Wbp eist dat persoonsgegevens adequaat worden beveiligd conform de gangbare stand van techniek. Ingevolge de Wbp dient het contract met de dienst­verlener te voorzien in deze beveiligingsplicht. De toezicht­houder, het College bescherming persoonsgegevens, heeft richtsnoeren doen uitgaan voor de beveiliging van gegevens. Die richtsnoeren schrijven echter geen concrete beveiligings­maatregelen voor. De richtsnoeren zijn eerder een procesbe­schrijving om tot een goed beveiligingsbeleid te komen. Kort gezegd volgt uit de richtsnoeren dat een risico-analyse dient plaats te vinden en maatregelen moeten worden genomen conform marktgebruik, waarvoor ISO-normen input kunnen geven. Zo is voor informatiebeveiliging ISO 27001 toonaangevend.

Een contractuele beveiligingsplicht biedt natuurlijk een belangrijke waarborg, maar kan uiteraard nooit garanderen dat de data niet worden ingezien of bewerkt door derden. Zeker als er met de data geld kan worden verdiend, kan de data hackers aantrekken. Uiteindelijk zal iedere beveiliging omzeild kunnen worden. Maar niet alleen hackers vormen een bedreiging. Als de zaak Snowden ons iets heeft geleerd, is het dat ook nationale overheden actief data doorzoeken, al dan niet met medewerking van de betrokken dienstverleners. Ondernemingen die het risico op spionage door een buiten­landse overheid willen verkleinen, bepalen daarom soms dat de data niet in bepaalde landen mag worden opgeslagen.

Alhoewel de meeste aandacht in het publieke debat uitgaat naar beveiliging, zal de beschikbaarheid van gegevens door­gaans van groter belang zijn voor de klant. Zeker als de klant afhankelijk is van de beschikbaarheid van zijn gegevens, kan op de dienstverlener een vergaande verplichting rusten om de gegevens ook daadwerkelijk beschikbaar te houden. De zaak Oilily/Saasplaza illustreert dit.(2) De bedrijfsinformatie van Oilily draaide bij cloudprovider Saasplaza.

Oilily kwam in zwaar weer en raakte in surseance. Op dat moment had zij een betalingsachterstand bij Saasplaza van circa € 250.000. Saasplaza kondigde aan haar dienstverle­ning op te zullen schorten. Volgens Oilily was haar volledige logistieke systeem echter afhankelijk van de door Saasplaza gehoste en beheerde systemen. Zonder deze systemen zou ieder zijn zicht kwijtraken op voorraden, verkopen en bevoor­rading. Ofwel, staken van de dienstverlening zou de nekslag zijn voor het bedrijf. Om deze redenen zou Saasplaza volgens Oilily niet zomaar haar dienstverlening mogen staken. Oilily stapte daarom naar de voorzieningenrechter om dit te voor­komen. De rechter gaf Oilily gelijk, zonder echter duidelijk te maken op basis van welk juridische theorie dit is gebaseerd:

“Vooralsnog is dan ook aannemelijk dat de door SaaSplaza aan de Oilily Groep geleverde diensten zo wezenlijk zijn voor de bedrijfsvoering [...] dat SaaSplaza in de gegeven omstandigheden niet zonder meer tot onmiddellijke opschorting van haar verplichtingen kan overgaan. Aan Oilily dient daarom in beginsel een redelijke termijn te worden gegund om zich voor te bereiden op beëindiging van de contractuele relatie met SaaSplaza.”

De belangen van Saasplaza werden niet uit het oog verloren. Oilily diende namelijk een voorschot te betalen voor de te verlenen diensten en de verplichting tot het voorzetten van dienstverlening werd in tijd beperkt. De uitspraak laat zien dat op een dienstverlener een verregaande plicht tot beschikbaar­stelling kan rusten, zelfs bij een forse betalingsachterstand.

In verband met beschikbaarheid komt ook de vraag op in welke mate de dienstverlener moet voorzien in back-ups en uitwijkmogelijkheden in geval van calamiteiten. Dienstverleners stellen zich in de praktijk doorgaans op het standpunt dat dit soort continuïteitsmaatregelen additionele dienstverlening is, die separaat overeen dient te worden gekomen en betaald. Dienstverleners stellen zich dus op het stand­punt dat continuïteitsmaatregelen primair vanuit de klant moeten worden geïnitieerd. Een uitspraak van de rechtbank Amsterdam bevestigt dit uitgangspunt. (3) Het ging om een con­sument die haar laptop wilde laten repareren. Na de reparatie bleken al haar gegevens kwijt te zijn was er nog slechts een leeg besturingssysteem op de laptop aanwezig. In de toepas­selijke algemene voorwaarden stond dat de consument een back-up moet maken. Volgens de rechtbank had de consu­ment dat moeten doen en er bedacht op kunnen en moeten zijn dat gegevens en instellingen verloren zouden kunnen gaan bij de reparatie. De schadeclaim werd afgewezen.

Een onderneming die haar gegevens elders onderbrengt doet er dus goed aan om beschikbaarheid en continuïteit te onder­vangen in het contract en maatregelen te treffen die de kans op schade verkleinen.

4. AANSPRAKELIJKHEID VOOR GEBRUIK VAN BIG DATA

Aansprakelijkheidsrisico’s van een geheel andere orde spelen bij de analyse van big data. Big data zorgen ervoor dat gegevens op een geheel andere wijze worden geanalyseerd. Dat laat zich illustreren met de volgende voorbeelden. Meer en meer mensen luisteren online muziek. Spotify is een bekende aanbieder. Als je inlogt doet Spotify suggesties voor muziek. Berichten als “Je hebt geluisterd naar “Met de vlam in de pijp”, dan vind je dit misschien ook mooi”. Of: “Andere gebruikers in Amsterdam luisterden naar de 4e van Mahler, wil jij dat ook eens luisteren”. Die aanbevelingen komen geheel geautomatiseerd tot stand. Spotify slaat zoveel data op, dat zij aardig kan voorspellen wat gebruikers leuk zullen vinden. Een ander al langer bestaand voorbeeld is Amazon, de bekende online boekenwinkel. Bij Amazon krijg je tips naar aanleiding van eerdere aankopen. Amazon had daarvoor vroeger een redactie van literatuurwetenschappers in dienst. Inmiddels is die redactie ontslagen en worden de tips door de computer berekend. Op basis van aankopen van alle klanten berekent de computer van Amazon welk ander boek er het beste bij dit aankoopgedrag past. Gebleken is dat de tips van de computer beter gewaardeerd worden en een beter voorspellend karakter hebben dan de tips van de literaire redactie.

Wat opvalt aan de Spotify- en Amazon-voorbeelden is dat voor hen de verbanden tussen gegevens belangrijker zijn dan de reden daarachter. Enkel het feit dat de koper van het Handboek Vervoersrecht ook altijd de laatste Dan Brown koopt is belangrijk. De achterliggende reden, ‘het waarom’, is niet relevant. Hetgeen zich praktisch heeft bewezen is leidend, niet een niet-bewezen theorie. Big data maakt het door de enorme hoeveelheden data mogelijk om verbanden te leggen die anders niet snel gezien zouden zijn.

De voorbeelden van Spotify en Amazon zijn natuurlijk vrij onschuldig, wezenlijke schade zal niet ontstaan door ver­keerde tips. Maar wat te denken als bijvoorbeeld artsen op basis van analyse van big data voor een bepaalde behan­delwijze kiezen, zonder dat ze de achterliggende reden voor de gevonden behandelwijze begrijpen. Zijn zij aansprakelijk als de behandelwijze toch verkeerd blijkt? Of andersom, zijn artsen aansprakelijk als zij op basis van een analyse van big data een andere behandelwijze hadden moeten overwegen, maar dat hebben nagelaten?

De vraag is dus of nu er meer data zijn, we ook geacht moeten worden meer te (kunnen) weten. En hoe meer we moeten weten, hoe eerder we een fout zullen maken en hoe eerder we aansprakelijk zijn. De toekomstige jurisprudentie zal het leren.

5. TOT SLOT

We worden steeds afhankelijker van gegevens. In de praktijk zullen de verplichtingen van de houder van big data primair voortvloeien uit het contract. Een klant doet er goed aan om beveiliging, beschikbaarheid en continuïteit goed te adres­seren. Daarnaast doet een klant er goed aan om praktische maatregelen te treffen om verstoring van zijn bedrijfsproces door het wegvallen of weglekken van data zo veel mogelijk te voorkomen. Bijvoorbeeld kan een klant ervoor zorgen dat hij zelf altijd een kopie heeft van de gegevens of kan hij zijn gegevens onderbrengen bij verschillende dienstverleners. Ook kan een klant besluiten bepaalde vertrouwelijke gegevens niet naar buiten te brengen of om bepaalde landen te mijden.

Hoe is het afgelopen met de klanten van 2e2? Na ontvangst van de dreigbrief overwogen klanten allereerst om in kort geding continuering van de dienstverlening af te dwingen, een kostbare en onzekere weg. Uiteindelijk bleken er echter vol­doende klanten bereid om het benodigde geld op te hoesten en zo tijd te kopen om hun data weg te halen. En zo gaat het vaak in IT: de belangen zijn zo groot dat procederen te weinig zicht biedt op een acceptabele oplossing. De meeste geschil­len worden praktisch opgelost, al dan niet na een financiële knieval.

VOETNOTEN
  1. Zie onder meer HR 11 april 1986, Computerrecht 1986-3, p. 174 (RBC/Brinkers)

  2. Rb Amsterdam, 9 april 2009, zaaknr 424295 / KG ZA 09-718 (LJN BJ5559), ITenRecht.nl IT 44.

  3. Rb Amsterdam 27 februari 2013, zaaknr 1381154 \ HA EXPL 12-29.

                             
       





      h1, h2, h3, h4, h5 { font-weight: bold !important; } h1, h2, h3 { font-size: 18px !important; } h4, h5 { font-size: 16px !important; } Print Friendly and PDF
      Big data en aansprakelijkheid
      Polo G. van der Putt (IT-advocaat bij Vondst Advocaten te Amsterdam) 28 februari 2014


      Deel deze post
      ArchiEF

      Concept-verordening voor elektronische vrachtinformatie: de eFTI-verordening
      Weg en Wagen 88 | Oktober 2019 | Jaargang 33