Naar cloud-actieve overheidsorganisaties

executiveanalyse

Naar ‘cloud-actieve’ overheidsorganisaties

Mr. V.A. de Pous

Deze Executive Analyse bevat de onafhankelijke visie van de auteur en wordt aangeboden door PinkRoccade en verspreid door VNU Exhibitions Europe, organisator van de beurs Overheid & ICT

April 2012

NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES

EXECUTIVE ANALYSE

© 2012 V.A. de Pous, Amsterdam Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteur, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

© 2012 V.A. de Pous, Amsterdam

2


EXECUTIVE ANALYSE

Executive headlines •

Plaats- en tijdonafhankelijk handelen door mensen (leven, werken, zakendoen, besturen) en in toenemende mate tussen dingen (THE INTERNET OF THINGS) vormt de geconsolideerde megatrend in de samenleving van de 21ste eeuw, die wordt ontsloten en gefaciliteerd door cloud computing.

•

Cloud computing is geen (nieuwe) technologie maar betreft een leveringswijze van ICT als afroepbare en automatisch schaalbare dienst via Internet op basis van ketenautomatisering in datacenters; evolutionair ontstaan door virtualisatie, webgebaseerde gegevensverwerking en de generieke en laagdrempelige beschikbaarheid van breedband Internet.

•

Sinds september 2009 hervormt de federale Amerikaanse overheid in hoog tempo de eigen informatiehuishouding. Het moet anders, vooral efficiënter, doelmatiger en goedkoper. Centraal staat cloud computing. Het nieuwe beleid kan op brede steun rekenen, hoewel we ook kritiekpunten horen. Andere landen en regio’s zijn gaan volgen.

•

Op grond van de in ontwikkeling zijnde Europese Cloud Computing Strategie (aangekondigd in januari 2011) moet Europa ‘cloud-vriendelijk’ en ‘cloudactief’ worden. Cloud computing houdt de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt ook voor overheidsorganisaties.

•

Gebruikers van externe clouddiensten zijn bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit en bijvoorbeeld over lock-in situaties en juridische onzekerheden. De Europese Commissie wil nadrukkelijk zorgen en obstakels wegnemen.

•

Allereerst wordt het privacyrecht aangescherpt en uniform geharmoniseerd (wetsvoorstellen van januari 2012) en komt er een coherent ‘cloudvriendelijk’ juridisch raamwerk (aangekondigd januari 2012). Daarnaast gaat het om de oprichting van het European Cloud Partnership (aangekondigd januari 2012) tussen publieke en private sector om de positie van de overheid als inkoper van clouddiensten door middel van harmonisatie en integratie te versterken. Zelfs grensoverschrijdende PUBLIC PROCUREMENT behoort straks tot de mogelijkheden.

•

Niets doen is geen optie. Cloud computing betekent een onvermijdelijk ICTleveringsmodel. Overheidsorganisaties in ons land ontkomen niet aan beleidsontwikkeling voor clouddiensten. Daarbij behoren strategische doelstellingen te leiden en de diverse aspecten van een clouddienst op hun merites te worden beoordeeld. Van bestuurders vragen we voldoende perceptievermogen.


3


EXECUTIVE ANALYSE

Inhoud Executive headlines Voorwoord Inzicht, nuance en pragmatisme Voor- en nadelen Briefkaart uit Washington DC Ook Europa zegt volmondig ja Privacyregels voor cloudddiensten ‘Samen sterk’ pan-Europees inkoopbeleid De gesloten Rijkscloud Open overheidsinformatie is regel Aanknopingspunten juridisch raamwerk Vijftien analyses Conclusie Bijlage A: ICT-leveringsmodellen Bijlage B: Manieren van werken Colofon


4


EXECUTIVE ANALYSE

Voorwoord ‘ICT is tegenwoordig te belangrijk om aan techneuten over te laten’ is geen grappig gevonden oneliner voor Binnenhofbarbecue of raadsvergadering, maar een pragmatische constatering, die goed beschouwd al decennia geldt. Evenzeer vereist cloud computing — weliswaar geen technologie, maar een leveringswijze van ICT als dienst via Internet — de onverwijlde aandacht van het bestuur van overheidsorganisaties. Cloud computing betreft namelijk, in navolging van de explosieve adoptie door consument en ondernemer, een cruciale modus voor informatiehuishouding en dienstverlening van iedere overheidsorganisatie. Een die nooit meer wegwaait. Zonder clouddiensten geen succesvolle nieuwe manieren van werken, effectieve rampenbestrijding of doelgerichte en efficiënte dienstverlening aan de burger. Dit rapport is geschreven in het kader van Overheid & ICT, editie 2012, vanuit de notie dat het leveringsmodel inzicht van bestuurders verlangt. De inhoud is onafhankelijk tot stand gekomen en geeft niet noodzakelijkerwijs de visie van beursorganisator VNU Exhibitions Europe of sponsor PinkRoccade weer.

Amsterdam, 17 april 2012


Victor de Pous

5


EXECUTIVE ANALYSE

Inzicht, nuance en pragmatisme Recent besloot de gemeente Groningen niet over te stappen naar cloud computing.1 Onafhankelijk of de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis — waar Nederlandse staatsburgers2 in bepaalde omstandigheden, zonder de landgrens te passeren, mee te maken kunnen krijgen — voldoende grond voor afwijzing vormt, leidt een dergelijke casus gemakkelijk tot ongenuanceerde beeldvorming. Cloud computing kennen we namelijk in soorten en maten. Ze bestaat uit een matrix van ICT-diensten. Uiteindelijk kan zo ongeveer alles — technologie en informatievoorziening — als dienst op afroep, geautomatiseerd via Internet worden geleverd. We registreren expliciet diverse service- en toepassingsmodellen, nader te detailleren door de uiteenlopende categorieën van gegevens. Bovendien zijn er verschillende dienstverleners: de interne ICT-afdeling of (externe) CLOUD SERVICE PROVIDER. In theorie en praktijk zien we tevens allerhande mengvormen. Vooral bij uitbesteding kunnen relevante criteria zich aandienen voor de werkingssfeer van weten regelgeving van andere soevereine staten. Kadering Wat behelst cloud computing? Een informaticus tekent computers en softwarediensten en verbindt deze met Internet. Zo ontstond ‘de wolk’ als metafoor. De zoekmachines Lycos en Yahoo (1994) en de e-maildienst Hotmail (1996) waren de voorbeelden avant la lettre, maar een reserveringssysteem voor de luchtvaart maakte omstreeks 1960 al van een cloudmodel gebruik. Exemplarisch vandaag zijn Amazone Web Services (infrastructuur), Salesforce (bedrijfssoftware), kantoorpakketten Google docs en Microsoft Office365 en de immens populaire sociale netwerken FaceBook en YouTube.3 Om nog maar te zwijgen van de letterlijk ontelbare APPS4 voor smartphones en tablets. Cloud computing voltrekt zich grotendeels onzichtbaar. Toch toont zij zich aan eindgebruikers, en wel als webgebaseerde software en informatie, die niet op hun computer of binnen de organisatie vastgelegd is, maar op informatiesystemen in datacenters elders. De verwerking vindt gevirtualiseerd plaats, dat wil zeggen dat computerprogramma’s en informatie losgekoppeld zijn van de fysieke hardware en infrastructuur.5 Gegevensverwerking verandert hierdoor van karakter en wordt non-permanent en dynamisch; bijna ‘vloeibaar’. 1

http://www.kinggemeenten.nl/data/king-cases/king-informeert-groningen-over-cloud-computing. Hoewel de datum

ontbreekt, stamt de aankondiging waarschijnlijk van 25 januari jl. 2

En anderen wiens persoonsgegevens een Nederlandse overheidsorganisatie verwerkt.

3

Denk ook aan opslagdiensten, zoals Dropbox, iCloud (Apple) en Skydrive (Microsoft) en Internet-bankieren.

4

In de gemeentelijke sfeer worden

APPS

extern toegepast voor bijvoorbeeld meldingen (o.a. over zwerfafval

http://www.vng.nl/eCache/DEF/1/05/914.html) en intern voor de papierloze organisatie (vergaderen). 5

Volgens de algemeen aanvaarde omschrijving van het Amerikaanse National Institute of Standards and Technology

(NIST) betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerken opslagcapaciteiten (ICT-bronnen), die worden gedeeld (POOLING, MULTI-TENANT) en op afroep door middel van automatische zelfbediening geleverd. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf. Ze bestaat uit drie toepassingsmodellen, vier servicemodellen en vijf karakteristieken. Dat wordt wel de 3-4-5 definities genoemd.


6


EXECUTIVE ANALYSE

De veel besproken leveringswijze ontwikkelt zich evolutionair. Technologisch ligt het omslagpunt achter ons, omdat een aantal essentiële informatietechnieken, waaronder virtualisatie en breedband-Internet, inmiddels algemeen en laagdrempelig beschikbaar zijn. Nader bepaald gaat het om een keten van automatiseringsdiensten, ontwikkeld en samengesteld uit diverse bouwstenen en door verschillende producenten en diensverleners. Op basis van een mix wordt uiteindelijk een clouddienst aan een organisatie en/of een individuele gebruiker geleverd. Dat kan, zoals gezegd, een dienst zijn die de eigen ICTafdeling verzorgt, maar cloud computing zal waarschijnlijk vaker een outsourcingsrelatie behelzen. Op CloudGov 2012 (Washington DC, 16 februari 2012) vroeg het Department of Homeland Security zich retorisch af: ‘Zijn we in de datacenter business of hebben we ICT-functionaliteiten nodig?’ De cloudmatrix omvat PUBLIC (openbaar en gestandaardiseerd), PRIVATE (gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen en kent tevens de servicemodellen software (SaaS), platformen (PaaS) en infrastructuur (IaaS). Daarnaast gaat het om karakteristieken: afroepbare zelfbediening, toegang tot breedband Internet, delen van ICT-bronnen, snelle elasticiteit en een gemeten dienst.

Voor- en nadelen Adoptie van cloud computing begon aan consumentenzijde en voltrekt zich in dit marktsegment op grote schaal. Zo telt Facebook meer dan 800 miljoen gebruikers. Daarnaast valt de adoptiesnelheid op.6 Na het bedrijfsleven7 is het nu de beurt aan overheidsorganisaties en gaan ook onderwijsinstellingen over. Cloud computing wekt zakelijk bezien de interesse vanwege efficiencyverbetering, vooral wanneer samendoen en uitbesteding de boventoon voeren. Betaling voor gebruik vervangt eigen investeringen (‘capex’ wordt ‘opex’), terwijl clouddiensten op afstand afroepbaar zijn. Niet alleen delen gebruikers ICT-bronnen, bij nader inzien ook de vaak schaarse en kostbare expertise van informatici. Ook overheidsorganisaties kunnen dus optimaal profiteren van de ‘economies of scale and skills’. Het model raakt bovenal de crux van de informatievoorziening. ‘Information at your fingertips’ komt eindelijk — volwaardig — tot wasdom. En dat biedt ongekende mogelijkheden.

Cloud computing ontsluit en faciliteert organisatorische en maatschappelijke veranderingen: van nieuwe manieren van werken bij publiekszaken of in de zorg tot en met de realisatie van

SMART CITIES.

8

6

De opslagdienst iCloud van Apple vergaarde in drie maanden een miljoen gebruikers.

7

Een actuele casus betreft de cloudtransitie van wereldwijd pizzamarktleider Domino’s; naar eigen zeggen met veel

voordeel. http://www.itworld.com/cloud-computing/251214/dominos-pizza-finishes-last-piece-cloud-computing-move 8

http://en.wikipedia.org/wiki/Smart_city. ‘A city can be defined as ‘smart’ when investments in human and social

capital and traditional (transport) and modern (ICT) communication infrastructure fuel sustainable economic


7


EXECUTIVE ANALYSE

Criticasters vormen een minderheid, maar ze roeren zich wel. Zo veegde FREE SOFTWARE-bedenker Richard Stallman eerder de vloer aan met cloud computing. Hij waarschuwde gebruikers dat webgebaseerde software, zoals Google’s Gmail, een val is. ‘It's stupidity. It's worse than stupidity: it's a marketing hype campaign’.9 Stallman voorziet een ongekend sterke vendor lock-in situatie. Ook de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in zijn Kwetsbaarheidsanalyse Spionage op negatieve aspecten van cloud computing. Echter vanuit een andere invalshoek: informatiebeveiliging.10 Geen vergezocht argument, zoals blijkt uit de niet-aflatende berichtenstroom over digitale lekken en dito inbraken bij allerhande organisaties.11

Van uitzonderlijk groot belang voor de voortgang van onze informatiemaatschappij is dat we debatteren op rationele gronden en een clouddienst zorgvuldig op zijn merites beoordelen. In ieder geval laat de Europese Commissie er geen twijfel over bestaan dat zij de zorgpunten ter zake, waaronder informatiebeveiliging, met wetgeving en beleid nadrukkelijk wil wegnemen. En het Witte Huis kiest als een van de ‘ontzorgingsmiddelen’ voor overkoepelende certificering en laat CLOUD SERVICE 12 PROVIDERS, die aan de overheid willen leveren, onafhankelijk certificeren. Ontwrichtend Last but not least — en deze omstandigheid kunnen we zowel onder kans als bedreiging scharen — manifesteert cloud computing, net zo als het WORLD WIDE WEB van Internet twintig jaar geleden, zich langzaam maar zeker als een ontwrichtend technologiecluster. In de ICT-sector en in andere bedrijfstakken. Dat betekent dat de innovaties marktverdeling en bedrijfseconomie verstoren. Neem de online-encyclopedie Wikipedia of de virtuele reisagent.13 Aanpalend rijst de vraag of cloud computing — vergelijk de discussies over personal computing in de jaren tachtig — een ‘job killer’ is of juist werkgelegenheid genereert. Marktonderzoeker IDC weet het antwoord. Uit recent onderzoek volgt dat cloudbestedingen in de periode 2011 tot 2015 bijna 14 miljoen banen wereldwijd creëren; de helft daarvan ontstaan in China en India.14 Niet alleen zijn dit grote landen, ook hebben deze markten nauwelijks last van de wet op de remmende voorsprong. Ze starten hun te automatiseren processen direct met cloud computing en slaan eerdere fases van elektronische gegevensverwerking over. development and a high quality of life, with a wise management of natural resources, through participatory governance.’ 9

The Gardian, 29 september 2008.

10

http://webwereld.nl/nieuws/65615/aivd-waarschuwt-voor-cloudspionage---update.html

11

Van DigiNotar’s gecompromitteerde veiligheidscertificaten tot en met de verouderde software van KPN.

12

Bestaande juridische normen en certificeringen blijven van kracht, zoals die op basis van de Federal Information

Security Management Act of 2002 (FISMA). 13

http://en.wikipedia.org/wiki/Disruptive_technology#Examples_of_disruptive_innovations

14

http://idgknowledgehub.com/2012/03/05/cloud-computing-to-create-14-million-new-jobs-by-2015/


8


EXECUTIVE ANALYSE

Briefkaart uit Washington DC De Amerikaanse regering maakt forse stappen en in hoog tempo. Ze formuleert sinds september 2009, buitengemeen voortvarend, ingrijpend hervormingsbeleid voor haar eigen informatiehuishouding.15 Het moet anders; vooral efficiënter, doelmatiger en goedkoper. Cloud computing vormt de kern en het beleid kan nationaal op steun rekenen, hoewel er vraagtekens zijn. Het CLOUD COMPUTING INITIATIVE (september 2009), ontwikkeld door de eerste CIO van het Witte Huis, Vivek Kundra, bevat de eerste beginselen van nieuw beleid voor federale overheidsautomatisering.16 In februari 2010 volgde CLOUD FIRST.

CLOUD FIRST

het beoogt nadrukkelijk het adoptietempo te versnellen.

Federale overheidsorganisaties zijn onder andere verplicht eerst veilige en betrouwbare opties voor cloud computing te evalueren alvorens nieuwe investeringen te doen. In februari 2010 stelde de Office of Management and Budget (agentschap en rekenmeester, waar het nieuwe ambt van US Chief Information Officer is ondergebracht) het FEDERAL DATA CENTER CONSOLIDATION INITIATIVE vast. FDCCI adresseert kosten en energieverbruik van federale datacenters in het licht van efficiencyverbetering, versterking van de beveiligingssituatie van de overheid in het algemeen en het bevorderen van groene ICT door middel van consolidatie in het bijzonder. Geen 2000 maar 1200 datacenters; een sluitingspercentage van 40%17. Kundra publiceerde in december 2010 een 25-puntenplan voor de uitvoering van de modernisering van de federale informatievoorziening.18 President Obama De Amerikaanse overheid geldt als de grootste ICT-gebruiker en inkoper ter wereld.19 De regering ziet cloud computing als middel om fragmentatie van informatiesystemen, slecht projectmanagement en het moderniseren van verouderde systemen grondig aan te pakken. Onze kinderen gaan met meer technologie naar school dan hun ouders doorgaans op het werk hebben, moet president Obama hebben gezegd. Scherp gezien. Het uiteindelijke doel richt zich op het verbeteren van productiviteit en prestaties van federale overheidsorganisaties. Intern sluiten de rijen zich, zowel over cloud computing als preferente leveringswijze van overheidsautomatisering, als over de noodzaak van datacenterconsolidatie.

15

Zie ook V.A. de Pous, Cloud computing en het nieuwe Amerikaanse overheidsbeleid (EXECUTIVE UPDATE), 5 maart

2012, in opdracht van Forum en College Standaardisatie (Logius, onderdeel van het ministerie van BZK). 16

http://news.cnet.com/8301-13772_3-10353479-52.html.

17

Inmiddels zijn de doelstellingen verder aangescherpt. Niet 800 maar 962 datacenters moeten eind 2015 hun deuren

hebben gesloten. De consolidatie levert een geschatte besparing van 3 tot 5 miljard dollar op. 18

http://www.cio.gov/documents/25-point-implementation-plan-to-reform-federal%20it.pdf

19

Het gaat om 76 tot 80 miljard dollar per jaar ten behoeve van meer dan 10.000 verschillende informatiesystemen,

inclusief 19 miljard dollar voor ICT-infrastructuur.


9


EXECUTIVE ANALYSE

Maar de CLOUD FIRST-strategie kreeg vorig jaar van federale ICT-managers kritiek wegens korte tijdslijnen, onvoldoende financiering en conflicterende mandaten.20 Modernisering van de 19 miljard per jaar kostende ICTinfrastructuur is een speerpunt, maar er liggen daarnaast uiterst belangrijke beveiligingsprioriteiten. Denk aan beveiliging van federale netwerken, beveiliging van de kritische infrastructuur en beveiliging van persoonsgegevens. Volgens de ICT-top van de agentschappen stuit realisatie deels op een gebrek aan financiën, terwijl er bovendien onduidelijkheid bestaat wie ‘eigenaar’ is van ‘cyber security’. Kennelijk is er sprake van een vacuüm in leiderschap. Ondertussen gaan uitwerking en uitvoering van beleid door. Kundra’s opvolger Steven VanRoekel zette in november 2011 een vervolgstap en introduceerde het FUTURE FIRST beleid; een in ontwikkeling zijnde set van aanvullende uitgangspunten — zoals XML FIRST, WEB SERVICES FIRST en VIRTUALIZATION FIRST — die bepalen op welke wijze de federale overheid haar ICT inricht. Nieuw is tevens SHARED FIRST; een beleidsinitiatief dat federale overheidsorganisaties inkoop, technologie en deskundigheid onderling wil laten delen.21 Bovendien zag eind 2011 het FEDERAL RISK AND AUTHORIZATION MANAGEMENT 22 PROGRAM het licht. FedRAMP bevat een gestandaardiseerde benadering van beveiliging en inkoop van cloud computing (diensten en producten) door middel van een ‘do once, use many times’-raamwerk. Een onderdeel vormt de certificering van diensten van CLOUD SERVICE PROVIDERS op basis van een stelsel van openbare normen. FedRAMP bevindt zich nu in haar voorbereidingsfase; de initiële, gefaseerde uitrol start in juni.

Ook Europa zegt volmondig ja Op het WORLD ECONOMIC FORUM van 2011 maakte vice-premier en commissaris Kroes (digitale agenda) bekend dat zij tot richtlijnen wil komen op het gebied van standaardisering van cloudtoepassingen en met proefprojecten ervaringen met cloud computing wil stimuleren.23 Volgens de bewindsvrouwe richt de Europese Commissie zich in dit kader op drie aandachtsgebieden:

20

•

het juridisch raamwerk voor gegevensbescherming door een volledige herziening van het communautaire privacyrecht (de ontwerpen zijn in januari openbaar geworden);

•

technische en commerciële uitgangspunten, vooral in relatie tot netwerken informatiebeveiliging;24

http://itknowledgeexchange.techtarget.com/cloud-computing/ex-fed-cio-vivek-kundra%E2%80%99s-cloud-first-

policy-trashed/ 21

http://www.whitehouse.gov/sites/default/files/svr_parc_speech_final_0.pdf

22

http://www.gsa.gov/portal/category/102371

23

http://www.europa-

nu.nl/id/vimchoauiry2/nieuws/toespraak_eurocommissaris_kroes_digitale?ctx=vg09llfemfyf&start_tab0=120 24

http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-

resilience-in-governmental-clouds


10


•

EXECUTIVE ANALYSE

technische standaarden, APPLICATION PROGRAMMING INTERFACES (API's), bestandsformaten voor elektronische gegevens en verwante onderwerpen.

Twee jaar daarvoor viel de zienswijze van commissaris Redding (telecommunicatie en digitale media tijdens de vorige Europese Commissie) op. Cloud computing is ‘het medicijn’ voor onze economie met beperkte kredietfaciliteiten. Haar geopolitieke visie richtte zich op stevige stimulering van de Europese digitale economie, juist voor het MKB. ‘However, today these new services are nearly all US-owned and US-based. Once again, the US has started to exploit a business model before Europe has managed to do so. We cannot let this continue.’ 25 Anders gezegd, help elkaar, koop Europese waar.

Op grond van de Europese Strategie moet Europa niet alleen ‘cloudvriendelijk’ maar tevens ‘cloud-actief’ worden. Volgens commissaris Kroes houdt cloud computing de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt voor bedrijf en overheidsorganisatie. Klanten van externe clouddiensten zijn echter bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit, lock-in situaties en bijvoorbeeld juridische onzekerheden. De Europese Commissie wil nadrukkelijk ontzorgen en obstakels wegnemen. Met de publicatie van twee wetsvoorstellen, die de gedateerde privacywetgeving met het oog op Internet en cloud computing ingrijpend herzien, is een eerste stap gezet. Vervolgens wordt het inkoopbeleid geharmoniseerd en geïntegreerd om standaarden, kwaliteitsnormen en lagere prijzen af te dwingen. Bovendien komt er een ‘cloud-friendly’ juridisch raamwerk voor het communautaire binnenland.

Privacyregels voor clouddiensten Een legislatieve component van de Europese Cloud Computing Strategie ziet toe op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn uit 1995 (95/46/EC).26 De grondige hervorming van 25 januari jl. getuigt van een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten; ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om stimulering van de digitale economie door middel van lastenverlaging. De achterliggende ratio is bekend. De wijze waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en globalisering ingrijpend veranderd. Bovendien hebben de 27 EU-lidstaten de privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en handhaving leidde. Herziening was uiteindelijk onvermijdelijk. 25

9 juli 2009. http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/09/336

26

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm


11


EXECUTIVE ANALYSE

Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn ‘een toekomstgerichte actualisering’. Naast een beleidsmededeling over de doelstellingen van de Commissie, gaat het om twee wetsvoorstellen.27 Verordening Allereerst de verordening tot vaststelling van het algemene EU-kader voor gegevensbescherming; vanwege haar rechtstreekse werking het perfecte harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder meer REGULATORY COMPLIANCE bij intracommunautaire gegevensverwerking. In plaats van overbodige administratieve lasten verplicht de verordening de verwerkers van persoonsgegevens (zoals CLOUD SERVICE PROVIDERS) meer verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten binnen 24 uur aan de nationale toezichthouder28 worden gemeld. De boete bij overtreding bedraagt maximaal 2% van de omzet.29 Verbetering rechtspositie burgers Verder scherpt de vordering de bestaande rechten van betrokkenen aan, zoals het recht op toestemming voor verwerking, die nadrukkelijk moet worden gegeven, en het inzagerecht. Burgers krijgen gemakkelijker toegang tot hun eigen gegevens; online en gratis. Ook introduceert de verordening geheel nieuwe privacyrechten. Burgers kunnen hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting van de onderlinge concurrentie (recht op dataportabiliteit). Bovendien worden mensen in staat gesteld hun privacyrisico’s op Internet beter te beheren, dat wil zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren (recht om vergeten te worden). Richtlijn Daarnaast komt er een nieuwe richtlijn inzake de bescherming van persoonsgegevens die worden verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke activiteiten. De voorschriften zullen zowel op binnenlandse als grensoverschrijdende gegevensoverdrachten van toepassing zijn. Een Europese richtlijn vereist implementatie in het recht van de lidstaten, binnen twee jaar na vaststelling. Naar verwachting treden verordening en richtlijn niet voor 2015 in werking. 27

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

28

Bedrijven en organisaties (die grensoverschrijdend zakendoen) krijgen te maken met één nationale toezichthouder,

namelijk in de EU-lidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteit is tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een buiten-de-EU-bedrijf. 29

Los hiervan heeft het ministerie van V&J eind 2011 een wetsvoorstel gepubliceerd waarin een regeling is opgenomen

voor een onverwijlde meldplicht voor datalekken, zowel aan betrokkenen als aan het College bescherming persoonsgegevens (CBP). De beoogde administratiefrechtelijke boete op niet-naleving van deze meldplicht bedraagt maximaal 200.000 euro. Het voorstel breidt de Wet bescherming persoonsgegevens uit en scherpt tevens aan. Tot 1 maart jl. kon er worden gereageerd. http://internetconsultatie.nl/camerabeelden. Het CBP heeft overigens aangegeven mankracht te kort te komen om alle meldingen ter zake op te volgen.


12


EXECUTIVE ANALYSE

‘Samen sterk’ pan-Europees inkoopbeleid Een andere component van de Europese Cloud Computing Strategie ziet toe op de overheid als klant, als afnemer van clouddiensten. De inkoop van ICT door de publieke sector vormt grofweg 20% van de totale Europese markt, maar is dusdanig gefragmenteerd, dat ze nauwelijks impact aan leverancierszijde heeft. Daar moet en kan kennelijk verandering in komen door middel van harmonisatie en integratie. Dit beleid leidt echter niet tot een Europese ‘supercloud’ of de geforceerde integratie van bestaande cloud-infrastructuren.

Volgens de Europese Commissie bepalen doelmatigheidsoverwegingen op de markt de zakelijke modellen voor cloud computing en de inrichting van cloud-aanbieders’ en publieke datacenters. De Europese Commissie verwacht dat de cloudsector luistert en haar aanbod aanpast en op deze manier voordelen creëert voor de adoptie van cloud computing in allerlei sectoren. Denk aan meer standaarddiensten, nieuw aanbod en lagere tarieven. ‘And it is a true win-win: the Cloud market will grow, bringing opportunities for existing suppliers and new entrants. And Cloud buyers, including the public sector, will buy more with less and become more efficient.’ 30 Over hooggespannen verwachtingen gesproken. Zelfs gezamenlijke overheidsinkoop in verschillende landen behoort straks tot de mogelijkheden. De Europese Commissie kiest voor de uitvoering van het nieuwe inkoopbeleid voor de figuur van een European Cloud Partnership tussen overheid en CLOUD SERVICE PROVIDERS. Drie fasen zijn voorzien. Het begint met standaarden, beveiliging en vrije mededinging. Lock-in situaties door cloud computing wil Brussel nadrukkelijk voorkomen. De tweede fase ziet toe op het opleveren van ‘common requirements’ en ‘proof of concept solutions’, terwijl er in de laatste fase ‘reference implementations’ worden gebouwd.

De gesloten Rijkscloud Ondanks dat zowel Nederland als de Europese Unie hun ogen al twintig jaar op ICT en de informatiemaatschappij richten, noemen we de actuele aandacht voor cloud computing uniek. Niet eerder in de geschiedenis van wetgeving en overheidsbeleid is digitalisering een dergelijk centraal en cruciaal beleidsterrein geworden. Ook de Tweede Kamer, die in mei 2010 de Motie Van der Burg aannam, verwacht er veel van.31 Daarin verzoekt de kamer ‘de regering in navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten een strategie voor de hele Nederlandse overheid te ontwikkelen voor «cloud computing» en een «cloud First»-strategie, waarbij mogelijkheden voor de

30

http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/38

31

www.ictu.nl/archief/noiv.nl/files/.../motie_van_der_burg.pdf.pdf


13


EXECUTIVE ANALYSE

inrichting van de overheidscloud duidelijk omschreven worden met de bijbehorende voor- en nadelen.’ In de visie van minister Donner (BZK) is cloud computing echter nog onvolwassen, ontbreekt het aan aanbod voor de rijksoverheid en blijft privacy een zorgenkind. Dat was 20 april 2011.32 De hoge verwachtingen van politiek en spelers in de overheidsmarkt waren mogelijk al getemperd door Jan Flippo, oud-hoofd automatisering van het ministerie van Buitenlandse Zaken, overgestapt naar BZK. Op de conferentie Overheid dichtbij? IT op afstand! (Breukelen, 4 februari 2011), zei Flippo onomwonden dat, hoewel waarschijnlijk velen vinden dat de overheid te langzaam handelt, het toch onvermijdelijk is dat er telkens kleine stappen worden gezet. ‘We hebben niet veel haast met cloud computing.’33 Wel lichtte hij zijn keuze voor de aanschaf van 6000 mailaccounts van Google toe. ‘Wanneer Den Haag onder water staat, kunnen medewerkers van BZ blijven communiceren en informatie delen.’ Deze clouddienst is dus aangekocht als ‘Plan B’ en niet als een primaire voorziening voor het departement. i-Strategie De Informatiseringstrategie34 van 15 november 2011 ziet toe op verbetering van de ICT van de rijksoverheid en omvat maatregelen om de digitale voorzieningen te bundelen, te komen tot één ICT-beveiligingsfunctie en de standaard ICT-werkplek rijksbreed in te voeren. De beheersing van grote ICTprojecten wordt verder versterkt, er komt meer aandacht voor het vergroten van ICT-kennis bij management en medewerkers en hergebruik gaat voor het zelf ontwikkelen van nieuwe voorzieningen of systemen.35 Een samenhangende rijksbrede informatie-infrastructuur, die tevens van cloud computing gebruik maakt, moet een einde maken aan de verbrokkelde ICT-infrastructuur.

Het kabinet kiest vooralsnog voor een in eigen beheer in te richten gesloten Rijkscloud, als een voorziening die via een eigen en beveiligd netwerk generieke diensten levert binnen de Rijksoverheid. Met marktpartijen is inmiddels een convenant36 afgesloten om de samenwerking tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie is nauw verbonden met het (uitvoerings)programma Compacte Rijksdienst, dat de bedrijfsvoering van het Rijk goedkoper en efficiënter wil maken.37 32

https://zoek.officielebekendmakingen.nl/kst-26643-179.html

33

NEWSWARE 2011 (Jaargang 25), 2. Ter vergelijking: de federale Amerikaanse overheid heeft veel haast, maar zegt

tevens geen proeftuin te willen zijn voor clouddiensten. 34

http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbrief-

informatiseringstrategie-rijk.html 35

http://www.rijksoverheid.nl/ministeries/bzk/nieuws/2011/11/15/kabinet-lanceert-informatiseringstrategie-voor-het-

rijk.html 36

http://www.rijksoverheid.nl/documenten-en-publicaties/convenanten/2012/01/26/convenant-verbetering-

samenwerking-tussen-de-rijksoverheid-en-het-ict-bedrijfsleven.html 37

http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/06/14/kamerbrief-toezegging-uit-

algemeen-overleg-programma-compacte-rijksdienst.html


14


EXECUTIVE ANALYSE

Open overheidsinformatie is regel Nog meer beleid voor de informatiemaatschappij en relevant voor overheidclouds. In september 2011 presenteerde de Europese Commissie haar plannen voor twee portals voor de publieke toegang tot open data.38 Rond deze tijd — voorjaar 2012 — verwacht commissaris Kroes een portal operationeel te hebben, welke vrije toegang biedt tot alle eigen databronnen van de Commissie. Daarnaast staat er voor 2013 een ‘bredere, pan-Europese’ portal op de rol, waar uiteindelijk alle herbruikbare informatie van publieke organisaties in de EU-lidstaten beschikbaar is. Dit portal betreft het resultaat van doorontwikkeling en consolidatie van bestaande nationale en regionale data portals, zoals in Nederland data.overheid.nl.39 Commissaris Kroes benadrukt het belang van open data als volgt. Het gaat om ‘waardevol ruw materiaal’ waarmee burger, wetenschap, economie en democratie geholpen zijn. Zo kunnen burgers hun voordeel doen met betere routeplanning op basis van geo- en OV-informatie van de overheid. Cruciaal zijn — ook in dit kader — interoperabiliteit en standaardisatie.

Open data wordt gezien als een grondstof voor innovatie vanwege het beoogde gratis hergebruik. De beschikbaarstelling van overheidsdata verlaagt de investeringsdrempel voor nieuwe producten en diensten. Deze openheid levert daarnaast waarschijnlijk een bijdrage aan een meer transparante overheid, omdat burgers desgewenst meer inzicht kunnen krijgen in de gegevens waarop beleid is gebaseerd. Maar de omstandigheid dat data en datasets ‘vrij herbruikbaar’ zijn, betekent niet dat deze per definitie rechtenvrij zijn. Omgekeerd claimen open-data of open-contentlicenties nadrukkelijk geen rechten die er niet zijn, maar verklaren goed beschouwd dat wanneer er wel intellectuele eigendomsrechten zijn, de licentiegever er afstand van doet. Ook relevant: de vrije gebruiksrechten worden geleverd met een zo ver als juridisch toelaatbare uitsluiting van aansprakelijkheid. Vergelijk open source software, de uiteenlopende licenties en de beklijvende misvattingen.40 Een Nederlands voorbeeld van open data. Eind vorig jaar maakte minister Schultz (Infrastructuur en Milieu) bekend dat uiterlijk 1 januari 2015 alle gegevens van haar departement volgens het principe ‘open, tenzij’ vrij beschikbaar komen.41 Het gaat onder meer om data over water, weer en wegen. De Basisregistratie Topografie van het Kadaster is inmiddels vrij beschikbaar gesteld. 38

http://data.overheid.nl/nieuws/kroes-stimuleert-gebruik-open-data. Goed beschouwd heeft de Europese Commissie

drie aan elkaar gerelateerde voorstellen gedaan, te weten voor wijziging van de Richtlijn hergebruik van Overheidsinformatie, een mededeling Open Gegevens en een besluit hergebruik eigen Commissiedocumenten. 39

http://www.rijksoverheid.nl/regering/het-kabinet/bewindspersonen/piet-hein-

donner/nieuws/2011/09/15/nederlandse-overheid-stelt-data-beschikbaar-voor-her-gebruik.html 40

‘V.A. de Pous, Open Source Computing and Public Sector Policy, Amsterdam, 2011.

41

http://www.rijksoverheid.nl/nieuws/2011/10/04/innovatie-estafette-2011-baaierd-aan-innovatieve-initiatieven.html


15


EXECUTIVE ANALYSE

Aanknopingspunten juridisch raamwerk Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de Amerikaanse 3-4-5-definitie42 in het vizier houdt, verwondert zich waarschijnlijk niet dat haar juridisch raamwerk zich onderscheidt van dat voor het gangbare (CLIENT/SERVER) model voor automatische gegevensverwerking.

Cloud computing heeft deels moeite met bestaande rechtsnormen, die niet alleen van oudsher geografisch zijn bepaald43, maar tevens zijn vastgesteld toen informatieverwerking statisch was. We konden letterlijk aanwijzen waar data zich bevond.44 Voorts vallen er in het leveringsmodel allerlei technische en andere aspecten samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn. Dat leidt vrijwel zeker tot juridische samenloop.45 Ondertussen noteren we ontwikkelingen. Zo zorgt de praktijk voor voorschrijdend inzicht en ontstaan er BEST PRACTICES. Ook staat, zoals hierboven aangegeven, een ingrijpende aanscherping en harmonisatie van privacyregels op de rol. Verder krijgen we meer ‘cloud-vriendelijke’ Europese wetgeving en nieuw inkoopbeleid voor de publieke sector. Daarnaast ontstaan er certificeringinitiatieven.46 Aanknopingspunten Toch moeten we de rechtsaspecten van cloud computing niet moeilijker maken dan ze zijn en goed naar de kenmerken van een clouddienst in het concrete geval kijken. Een aantal aanknopingspunten geeft houvast en richting voor juridische analyse en beleidsontwikkeling, omdat hieruit essentiële onderdelen van het rechtskader volgen. Neem de casus dat een departement of gemeente ‘open data’ met het oog op hergebruik aan burger en ondernemer wil aanbieden. Hiervoor komt al snel een (PUBLIC) clouddienst in zicht vanwege zijn praktische karakteristieken: webgebaseerd, open, dus voor iedereen op afstand afroepbaar via Internet, elastisch schaalbaar. Zelfbediening pur sang.

42

Zie noot 5.

43

Vooral bij grensoverschrijdende verwerking krijgen we mede met buitenlandse wetgeving te maken. Bovendien

kunnen in Nederland verwerkte gegevens eveneens (mede) voorwerp zijn van buitenlands recht. 44

Virtualisatietechnieken maken gegevensverwerking dynamisch, zelfs ‘vloeibaar’. Datacenters in telkens wisselende

samenstelling kunnen zelfs een virtuele ‘computerfabriek’ vormen. 45

Samenloop is een probleem van rechtsvinding, waarbij de vraag zich aandient naar voorrang van of de beste keuze

tussen de toepasbare regels of regelstelsels. Denk aan een mix van mededingingsrecht, intellectuele eigendomsrecht, en/of contractenrecht. Of privacyrecht en vrijheid van meningsuiting. Et cetera. 46

De belastingdienst is initiator van het keurmerk Zeker Online! (http://www.zeker-online.nl/). Het initiatief beoogt

twee doelen. Aanbieders van online-boekhoudprogramma’s (gaan) voldoen aan de wettelijke regels, terwijl het MKB wordt gestimuleerd zelf te administreren in plaats van een schoenendoosboekhouding te voeren.


16


EXECUTIVE ANALYSE

Zorgen over ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving — zoals de U.S. Patriot Act — ontbreken bij open data, omdat het niet om vertrouwelijke informatie of persoonsgegevens gaat. Zelfdoen of uitbesteding? Als juridische rode draad bij cloud computing, loopt telkens de vraag of er sprake is van een uitbestedingsrelatie. Wanneer een (overheids)organisatie een dienst afneemt van een externe CLOUD SERVICE PROVIDER, verliest zij in beginsel controle en zeggenschap over de verwerking van haar informatie, tenzij andersluidende afspraken worden gemaakt.47 Bovendien ontstaat er een sterke afhankelijkheidssituatie ten opzichte van leverancier en de gebruikte technologie, mede omdat vooral bij softwarediensten technologie en data in handen zijn van deze leverancier (en toeleveranciers). Minimaal betekent uitbesteding een verschuiving van technische verantwoordelijkheden aan de operationele kant. Bij uitbesteding dienen kwesties over feitelijke en juridische verantwoordelijkheid, transparantie, toezicht en continuïteit zich aan en is bijvoorbeeld een goede exit-regeling gewenst. Product of dienst? Verschillende feitelijke aspecten van het leveringsmodel hebben juridische implicaties. Zo wordt er bij de inzet van cloud computing geen product, maar een dienst geleverd en ontvangt de eindgebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt. Om op dat laatste kenmerk juridisch in te gaan: hierdoor verliest de licentienemer zijn wettelijk recht op foutherstel, zoals vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC).48 Daarnaast vraagt de licentieverlening van computerprogramma’s in de cloud om aangepaste contractsmodellen. De één-op-één relatie met apparatuur en besturingssysteem als gevolg van virtualisatie bestaat immers niet meer.49 Verder hebben we te maken met de omstandigheid dat een CLOUD SERVICE PROVIDER in voorkomende gevallen softwaretechnologie van derden doorlevert als dienst aan zijn klant. Deze bevoegdheid moet wel verleend zijn door de producent van de software.50 Technologie of gegevens? Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs op enen en nullen. Maar er is weldegelijk onderscheid. Gaat het om een computerprogramma of om gegevens? Die vraag speelt niet alleen in technologisch perspectief een centrale rol; het rechtskader brengt scherp 47

Bijvoorbeeld over de locatie. Zo kan de gegevensverwerking ‘in de cloud’ uitsluitend binnen Nederlands grondgebied

plaatsvinden of uitsluitend binnen de Europese Unie. 48

Zie ook artikel 45j Auteurswet: copieren van ‘een exemplaar’ door de licentienemer mag, voor onder meer

foutherstel door de licentienemer. Bij cloud computing is echter sprake van immateriële openbaarmaking van een computerprogramma. 49

Dat geldt in het algemeen. Onafhankelijk van cloud computing zijn andersluidende licentievoorwaarden voor

software gewenst bij de toepassing van virtualisatietechnieken. 50

Bovendien kunnen

CLOUD SERVICE PROVIDERS

software en andere clouddiensten, van henzelf en anderen, gaan

bundelen. Daarin ligt ook toegevoegde waarde: de ‘one-stop-shop’.


17


EXECUTIVE ANALYSE

onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze scheidslijn hebben aanbieders en afnemers van clouddiensten te maken. Zo gelden er legislatief bezien beschermingsregels voor software, die primair ten goede komen aan de producent, met uitzondering van enkele basisrechten voor softwaregebruikers (licentienemers), zoals het recht op het maken van een reservekopie. Voor (digitale) informatie geldt een geheel ander juridisch kader. Welke gegevens? Een andere belangrijke piketpaal vormt het onderscheid tussen persoonsgegevens — van, in dit kader, in hoofdzaak burgers of personeel — en andere informatie die de overheid onder zich heeft. Van raadsverslagen, begrotingen en geo-informatie tot en met cultureel erfgoed in de diverse stadsarchieven. De aard van de gegevens is (mede) bepalend voor het toepasselijke beleids- en rechtskader, hetgeen vervolgens invloed kan hebben op de keuze voor een bepaald ICT-leveringsmodel. Migratie van open data naar een publieke cloudomgeving, te verzorgen door een externe CLOUD SERVICE PROVIDER, stuit doorgaans niet op juridische problemen. Bovendien bestaat altijd de optie dat een overheidsorganisatie persoonsgegevens versleutelt (encryptie), zodat deze door derden niet herleidbaar zijn tot een natuurlijk persoon. Grensoverschrijdende verwerking? Op grond van het recht mogen persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EU plus IJsland, Noorwegen en Liechtenstein) worden verwerkt. Maar ook het communautaire binnenland vraagt om extra aandacht, vanwege verschillen bij de uitvoering van de privacyregels. Naar aanleiding hiervan gaan in Duitsland stemmen op om ‘Cloud Computing Made in Germany’ als unique selling point voor mededinging in te zetten, gegrond op het strikte karakter van de Duitse privacywetgeving. Dat betreft deels een achterhoedegevecht,51 maar het staat een Nederlandse overheidsorganisatie vrij om met een CLOUD SERVICE PROVIDER geografische afspraken te maken. In het algemeen rijzen er bij internationale dataverwerking vragen over het toepasselijke recht en de bevoegde rechter.

Vijftien analyses 1. Cloud computing kent allerlei verschijningsvormen, ieder met deels unieke kenmerken en daaraan gekoppelde rechtsaspecten, voordelen en nadelen. Deze diversiteit vereist inzicht en nuancering. Tevens is belangrijk dat zowel algemene pro en contra-debatten als discussies in het concrete geval52 op rationele gronden plaatsvinden. Alleen dan liggen beleidsontwikkeling en individuele beslissingen pragmatisch in het verschiet. 2. Niets doen is nadrukkelijk geen optie. Zelfs de overheidsorganisatie die uitsluitend op kostenbesparing of ‘green IT’ scherpstelt, ontkomt niet aan 51

De Europese Unie gaat het privacyrecht immers dwingendrechtelijk uniform harmoniseren. Nationale deviatie, zoals

thans het geval is, behoort straks tot het verleden. ‘Cloud Computing Made in Europa’ blijft wel een optie. 52

Over de vraag waarvoor en onder welke voorwaarden een overheidsorganisatie een clouddienst kan inzetten.


18


EXECUTIVE ANALYSE

cloud computing. Politiek en openbaar bestuur behoren vanzelfsprekend verder te kijken. Technologisch vertaalt dit vertrekpunt zich — in lijn met de visie van de Algemene Rekenkamer — in de omstandigheid dat strategische overheidsdoelen de inzet van ICT behoren te bepalen.53 3. Digitale technologie speelt bij de talloze veranderingsprocessen een sleutelrol. Dankzij cloud computing ontstaan er telkens organisatorische (nieuwe manieren van leven, werken, zakendoen, besturen) en maatschappelijke veranderingen (op weg naar een ‘betere’ samenleving).54 4. Hoewel de volledige overgang naar clouddiensten mogelijk is, zal de automatiseringspraktijk bij overheidsorganisaties vrijwel zeker een gemengde leveringsomgeving laten zien. De noodzaak om staatsgeheimen per se in de cloud te willen verwerken, ontbreekt. Een gemengde portfolio bestaat uit zowel ‘klassieke’ als cloud computing; zowel door de interne organisatie als door derden te leveren. Of wellicht door geheel nieuwe, innovatieve vormen van public/private partnerships, waarin IT OUTSOURCING opschuift naar of onderdeel uitmaakt van BUSINESS PROCESS OUTSOURCING. 5. Het vigerende, oorspronkelijk in 2003 geïnitieerde, Europese beleid bepaalt dat overheidsinformatie tegenwoordig zo breed mogelijk voor burger en ondernemer toegankelijk (transparante overheid) en beschikbaar (hergebruik voor economische ontwikkeling) behoort te zijn. Deze ‘open data, tenzij’-regel betekent een forse stimulans voor (uitbesteding van) overheidclouds. 6. In het bijzonder van clouddiensten als vorm van uitbesteding wordt veel verwacht. In de woorden van de Europese Commissie: schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten zonder grote investeringen vooraf.55 Bovendien wijzen we naast het voordeel van ‘economies of scale and skills’, op nog een onderbelicht pluspunt, ditmaal juridisch van aard. Cloud computing betekent het einde van softwarepiraterij aan gebruikerszijde.56 7. Voor ICT-leveranciers heeft het model ook aantrekkelijke kanten. Een regelmatige inkomstenstroom, een nauwe band met de klant en, desgewenst, ‘grenzeloos’ ondernemen. De omzet wordt behalve met ICTbronnen (software, rekenkracht, opslag, archivering, et cetera) gerealiseerd

53

‘Besluiten over software alleen te benaderen van het oogmerk kosten te beperken, is een te beperkt perspectief.’

http://www.rekenkamer.nl/Nieuws/Persberichten/2011/03/Besparingen_Rijk_met_opensourcesoftware_beperkt_mogel ijk 54

Vorig jaar heb ik een warm pleidooi gehouden voor een ‘nationale informatiemaatschappij’. In het kort, de wetgever

doet er goed aan bij organisatie en inrichting van de informatiemaatschappij op aspecten van algemene zorg voor het welzijn van haar burgers in verband met digitalisering te letten in het licht van de kernwaarden van de mens in zijn sociale context en aspecten van nationale identiteit. Het centrale ijkpunt wordt vervolgens ‘fitting the information society to its people and national identity’. Burgers moeten namelijk niet alleen kunnen vertrouwen op, maar ook vertrouwd zijn met en zich thuis voelen in de moderne samenleving. Een en ander zeggen we tevens tegen beleidsmakers zeggen. V.A. de Pous, Recht voor een nationale informatiesamenleving, Amsterdam, 2011. 55

Zie noot 30.

56

Onder voorwaarde dat

CLOUD SERVICE PROVIDERS


hun juridische zaken op orde hebben.

19


EXECUTIVE ANALYSE

door middel van de continue levering ervan; een heuse toegevoegde waardedienst. 8. De voordelen aan gebruikerzijde nemen de huidige bezorgdheid over informatiebeveiliging en juridische onzekerheden niet zonder meer weg. Maar er zijn wel middelen beschikbaar — dataclassificatie, bestaande standaarden en certificeringen, OPEN DATA FORMATS, wettelijke kaders en concrete rechten (op bijvoorbeeld interoperabiliteit), continuïteitsregelingen, het onderhandelen over juridische voorwaarden in cloudcontracten — die de positie van gebruikersorganisaties kunnen versterken en risico’s beheersbaar maken. Ondertussen wordt er flink gewerkt aan verbetering en vernieuwing. In buiten- en binnenland. 9. Standaarden vormen regelmatig aanleiding tot beleidsdiscussie. Het uitgangspunt in de praktijk luidt dat de talloze bestaande ICT-standaarden, daaronder tevens verstaan normen, hun plaats mede in cloud computing vinden. Zowel de Amerikaanse federale regering57 als de Europese Commissie58 voert een pragmatisch standaardenbeleid op basis van RAND. Nederland wijkt met haar beleid hiervan in zoverre af, dat overheidsorganisaties verplicht zijn bepaalde open standaarden toe passen, tenzij er een gerede grond is om — tijdelijk — voor anderen te kiezen.59 10. Over interoperabiliteit wordt weliswaar veelvuldig gesproken, maar het wettelijk recht interoperabiliteit, vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC) en onze Auteurswet, is mogelijk niet bij iedere bestuurder of ICT-manager bekend. Op grond hiervan heeft iedere licentienemer op een computerprogramma het recht deze code te ontleden. Het proces van ‘reverse engineering’ door middel van decompilatie ontsluit de verborgen specificaties van de interfaces van het programma, zodat er andere software op kan worden aangesloten. 11. Informatiebeveiliging vormt een belangrijk zorgpunt. Er is echter in zoverre geen sprake van een technisch vacuüm of gebrek aan normstelling als zodanig, omdat de praktijk een reeks van breed gedragen, door internationale organisaties vastgestelde normen kent. NEN-ISO/IEC 27000 is hiervan een voorbeeld.60 Deze en andere standaarden blijven onverkort van kracht bij de inzet van cloud computing. Dat laat overigens de vraag naar overkoepelde normering voor de gehele leveringsketen onverlet. 12. Overheidsorganisaties kunnen met betrekking tot randvoorwaarden voor de inkoop van externe clouddiensten aansluiting zoeken bij het wettelijk raamwerk, dat voor de financiële sector is geformaliseerd in geval van 57

http://www.whitehouse.gov/omb/circulars_a119/. Onder ‘voluntary consensus standards’ verstaat de overheid in dit

kader: ‘standards developed or adopted by voluntary consensus standards bodies, both domestic and international. These standards include provisions requiring that owners of relevant intellectual property have agreed to make that intellectual property available on a non-discriminatory, royalty-free or reasonable royalty basis to all interested parties.’ Dit model wordt RAND genoemd. 58

http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf

59

https://lijsten.forumstandaardisatie.nl/lijsten/open-

standaarden?lijst=Pas%20toe%20of%20leg%20uit&status%5B%5D=Opgenomen&pagetitle=pastoeof 60

https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001


20


EXECUTIVE ANALYSE

uitbesteding door financiële instellingen die onder overheidstoezicht van De Nederlandsche Bank en de Autoriteit Financiële Markten vallen.61 Uitbesteding mag niet tot afbreuk op toezicht leiden. 13. Informatiehuishouding als geconsolideerd proces hoort nadrukkelijk thuis in de bestuurstop van iedere organisatie. We zijn op weg naar iets wat sommigen met het oog op informatiebeveiliging62 recent ‘CORPORATE 63 INFORMATION RESPONSIBILITY’ hebben genoemd. Bij nader inzien behoren we deze verantwoordelijkheid uit te breiden tot alle aspecten van de informatiehuishouding, inclusief bijvoorbeeld archivering en ontsluiting. 14. ‘Bring your own device’ (BYOD) — de omstandigheid dat bestuurders en werknemers hun eigen notebook, tablet en/of smartphone meenemen naar het werk en vooral gebruiken voor hun werk — draait beleidsmatig niet om de hardware, maar om de vraag wat men er mee mag doen.64 Dat vereist naast aandacht voor de informatietechniek om HUMAN RESOURCE- en informatiebeleid65 per overheidsorganisatie66, vastgelegd in aanvullende regels voor bestuurder en personeel, inclusief desgewenst externe kenniswerkers. 15. Goed beschouwd vormt ‘cloudrecht’ uiteindelijk het belangrijkste juridische raamwerk voor de omvangrijke en brede verzameling rechtsaspecten van elektronische verwerking en communicatie van gegevens. Een van de bijzondere aandachtspunten vormt de internationale jurisdictie van soevereine staten bij uitbestede gegevensverwerking door Nederlandse overheidsorganisaties (de US Patriot Act-discussie). Ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis moeten we in perspectief plaatsen. Dat betekent onder meer aandacht voor de aard van de te verwerken overheidsinformatie. We behoren in dit kader te beseffen dat waarschijnlijk meerdere landen over verregaande formeel-wettelijke onderzoeksbevoegdheden buiten het grondgebied van hun eigen staat beschikken67, maar ook dat terrorismebestrijding noodzakelijk is. 61

Hierbij gaat het om Wet en Besluit op het financieel toezicht, Besluit gedragstoezicht financiële ondernemingen en

diverse regelingen van de toezichthouders DNB en AFM. 62

Zie ook V.A. de Pous, Netwerk- en informatiebeveiligingsrecht, Amsterdam, 2010. ‘Nader beschouwd betreft

netwerken informatiebeveiliging bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw. Bescherming van de kritieke maatschappelijke infrastructuren, bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.’ 63

PWC en Iron Mountain. Zie http://blogs.ironmountain.co.uk/tag/corporate-information-responsibility/

64

BYOD lijdt vrijwel onvermijdelijk tot ‘use your own app’ (bijvoorbeeld chat-programma’s en Facebook voor

communicatie) en ‘use your own storage’ (zoals Dropbox, iCloud of Skydrive voor externe gegevensopslag). 65

Zie bijlage B over de verschillen in manieren van werken sinds de opkomst van elektronische computers.

66

Iedere overheidsorganisatie kan binnen grenzen haar waarden vaststellen bepalen. Wat voor organisatie wil zij zijn?

Op welke manier wenst zij met personeel en buitenwereld — burgers, ondernemers, business- en ketenpartners, de samenleving — om te gaan? Vervolgens komt de vraag aanbod wat werknemer (en externe kenniswerker) in relatie tot elektronische technologie en plaatsen tijdonafhankelijk werk mogen doen. 67

Bovendien is Nederland partij bij internationale verdragen en op grond hiervan worden internationale

rechtshulpverzoeken gedaan.


21


EXECUTIVE ANALYSE

Conclusie De informatiemaatschappij komt na grosso modo zestig jaar commerciële elektronische verwerking en communicatie van gegevens op stoom. Zonder ICT staat de samenleving stil; zonder cloud computing komen we niet verder. Ook een Nederlandse overheidsorganisatie kan niet anders dan ‘cloud-actief’ te worden. Dat vraagt om beleid, waarbij strategische doelstellingen behoren te leiden. Van uitzonderlijk groot belang voor de voortgang van onze informatiemaatschappij is, dat we debatteren op rationele gronden en iedere clouddienst zorgvuldig op zijn merites beoordelen. Het recht vervult bij cloud computing een dubbelrol en acteert enerzijds als kaderscheppend voorschrift — dwingendrechtelijke weten regelgeving — en anderzijds als contractueel instrument om ICT en informatievoorziening ‘nieuwe stijl’ in goede banen te leiden.


22


EXECUTIVE ANALYSE

Bijlage A: ICT-leveringsmodellen Time-sharing computing

Client/server computing

Cloud computing

sinds jaren zestig

sinds jaren tachtig

in de 21ste eeuw

Plaats- en tijdonafhankelijke toegang

Plaatsgebonden toegang voor

voor eindgebruikers (op afstand via

eindgebruikers (op de zaak via

telefoonhuurlijn en werkstation);

en

gedeelde ICT-bronnen

tijdens kantooruren); ongedeelde

breedband-Internet en web-

ICT-bronnen

verbonden hardware), gedeelde ICT-

WIDE AREA NETWORK

Dynamische plaatsen tijdLOCAL

en PC, meestal

onafhankelijke toegang voor eindgebruikers (op afstand via

bronnen Mainframe staat in off premise

Server en netwerk staan op de

Servers staan in off premise

datacenter van service provider

locatie van gebruikersorganisatie (on

datacenter en verschillende

premise)

datacenters van diverse service providers kunnen een tijdelijke, wisselende virtuele computerfabriek vormen

Uitbesteding

Meestal geen uitbesteding

Meestal uitbesteding, maar hoeft niet (bij grotere organisaties)

Gebruikersorganisatie heeft controle

Gebruikersorganisatie heeft controle

Gebruikersorganisatie heeft bij

over - en kennis van exacte locatie

over - en kennis van exacte locatie

uitbesteding geen controle over - en

van - de ICT-bronnen

van - de ICT-bronnen

kennis van exacte locatie van - de geleverde ICT-bronnen, tenzij contractactueel anders bepaald

Service provider host en managed

Interne ICT-afdeling host en

Hosted and managed services door

managed

en via

Technologiemanagement ligt bij

Technologie- en informatie-

Technologiemanagement ligt bij

service provider; informatie-

management liggen bij

CLOUD SERVICE PROVIDER

management ligt bij gebruikers-

gebruikersorganisatie

management ligt bij de CLOUD SERVICE

organisatie

CLOUD SERVICE PROVIDER

PROVIDER

en informatie-

en gebruikersorganisatie

Meestal geen virtualisatie, statische

Meestal geen virtualisatie, statische

Virtualisatie by default, dynamische

gegevensverwerking

gegevensverwerking

gegevensverwerking

Schaalbaarheid van ICT-bronnen

Schaalbaarheid en elasticiteit van

Vrijwel automatische en elastische

door tussenkomst mensen

ICT-bronnen door tussenkomst

schaalbaarheid van ICT-bronnen

mensen Doorgaans mono software-omgeving

Hybride/mixed software-omgeving

Hybride/mixed software-omgeving

(van oudsher alleen niet-open source

(open source en niet-open source

(open source en niet-open source

software)

software) is een optie

software) by default

Beperkte omvang computerrecht en

Opkomst van bijzondere wetgeving

Omvangrijk rechtskader voor digitale

vrijwel uitsluitend in de vorm van

voor digitale technologie en

technologie en informatiemaat-

contracten tussen leverancier en

rechtspraak, nieuwe typen van

schappij in de vorm van weten

klant

contracten

regelgeving, beleid, rechtspraak en uiteenlopende contracten


23


EXECUTIVE ANALYSE

Bijlage B: Manieren van werken Traditioneel werken

Telewerken

Het nieuwe werken

Plaats- en tijdafhankelijke

Plaats- en tijdonafhankelijke

Organisatiebrede plaatsen

organisatiecultuur

organisatiecultuur op basis van

tijdonafhankelijke organisatiecultuur

individuele privileges

waarin kennisdeling en klantgerichtheid centraal staan

Vaste, reguliere arbeidstijden (9-5)

Combinatie van vaste en flexibele

Flexibele arbeidstijden, ruimere

arbeidstijden

openingstijden van kantoor, bedrijfsnetwerk is 24/7 open

Centraal: uitsluitend op kantoor

Centraal/decentraal: op kantoor en

Volledig decentraal: in and out-of-

thuis (of in telecenter)

office (inclusief de derde werkplek)

Toegewezen, vaste werkplek op de

Meestal twee toegewezen, vaste

Flexibele (unasigned & activity-

zaak (een werkplek per werknemer)

werkplekken (op de zaak en

based) werkplekken op kantoor;

additionele werkplek thuis of in

minder werkplekken dan

telecenter)

werknemers (optimalisering bezettingsgraad/hoteling)

Doorgaans alleen eigen personeel

Opkomst van tijdelijke krachten

Mix van interne en externe kenniswerkers

Traditionele werkomgeving en

Traditionele werkomgeving en

Open, activity-based werk-omgeving

standaard kantoorindeling

standaard kantoorindeling en

en indeling kantoor, op maat

standaard werkplek thuis of in

ontwikkeld voor de organisatie,

telecenter

derde werkplekken everywhere

Sturing werknemer op basis van



aanwezigheid

aanwezigheid en output

resultaat (output) en/of contributie (outcome) en (vooral) zelfsturing

Werkgever heeft directe supervisie

Werkgever heeft indirecte supervisie

Werkgever heeft primair een faciliterende en ondersteunde functie

Werknemer heeft beperkte

Werknemer heeft meer

Werknemer heeft grote, eigen

verantwoordelijk voor de organisatie

verantwoordelijk voor het

verantwoordelijkheid voor het

zijn werk

organiseren van zijn werk (waar en

organiseren van zijn werk op basis

wanneer)

van quided autonomy

Strikte scheiding tussen werk en

Minder strikte scheiding tussen werk

Scheiding tussen werk en privé

privé

en privé

vervaagt uiteindelijk grotendeels

Standaard ICT-gebruik, op vaste

Standaard ICT-gebruik, ook op

Interactief, real-time, plaatsen

werkplekken en tijdens reguliere

afstand van kantoor, hoofdzakelijk

tijdonafhankelijk ICT-gebruik

arbeidstijden

tijdens reguliere arbeidstijden

(everywhere, everytime)

Mainframe computing en later

Client/server computing en Internet

Cloud computing en Internet (Web)

client/server computing

1.0 (e-mail, surfing en e-commerce)

2.0 via vast en draadloos breedband

via vaste-lijn inbelverbinding

Internet

Beperkte omvang ICT-recht voor

Toename ICT-recht voor werkgever

Omvangrijk cluster ICT-recht voor

werkgever (en nauwelijks voor

en werknemer

werkgever en werknemer (ook als

werknemer)


burger)

24


EXECUTIVE ANALYSE

Colofon Naar ‘cloud-actieve’ overheidsorganisaties is geschreven door Mr. V.A. de Pous, zelfstandig bedrijfsjurist en industrieanalist te Amsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatiemaatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: J.A. Gerritse.

Selectieve bibliografie Computerrecht, Amsterdam, 1982 Het recht van overheidsautomatisering, Stichting het Expertise Centrum, Den Haag, 1995 Het recht op stroomlijning basisregistraties; Juridisch kader authentieke registraties, ICTU, Den Haag, 2002 Open source software en politiek / Open Source

オープンソースソフトウエアと政策开源软件及政策, Amsterdam, 2004

Praktijkvisies op het nieuwe werken (redactie met Drs. J.M.M. van der Wielen), Baarn, 2010 Het nieuwe werken in juridisch perspectief, tweede druk, Amsterdam, 2011 Praktijkvisies op cloud computing (redactie), Stichting EuroCloud Nederland, Haarlem, 2011

Software and Politics /

Recht voor een nationale informatiesamenleving,

/

Amsterdam, 2011 (ook opgenomen in de bundel

Recht op ICT-interoperabiliteit, GBO.Overheid, Den Haag, 2008

Interoperabel Nederland (redactie Peters Waters, Nico Westpalm van Hoorn, Pieter Wisse, Forum Standaardisatie, Den Haag, 2011)

Data Storage Recht; Wat managers en ICT-professionals behoren te weten, Amsterdam, derde druk, 2009

Open Source Computing and Public Sector Policy, Amsterdam, 2011 (ook opgenomen in de bundel

In and out-of-office working; Juridische aspecten van

Interoperabel Nederland (redactie Peters Waters, Nico

het nieuwe werken voor werkgevers, Amsterdam, 2009

Westpalm van Hoorn, Pieter Wisse, Forum

Zakendoen met de overheid; Public procurement voor

Standaardisatie, Den Haag, 2011)

ICT-leveranciers, Amsterdam, 2010

FAQ Cloud computing juridisch, Amsterdam, 2012

Softwarebusiness loopt op copyright, Amsterdam, 2010

Cloud computing en het nieuwe Amerikaanse

Softwarekwaliteit en garantierechten, Amsterdam, 2010

overheidsbeleid (voor Forum en College Standaardisatie), Amsterdam, 2012

Julianapark, Anton Constandsestraat 16, Postbus 51005, 1007 EA Amsterdam Telefoon: 020-665.57.38, Fax: 020-665.58.18, E-mail: [email protected], Blog: http://depous.blogspot.com/ Fonds: http://technologierecht.blogspot.com/

Leitmotiv

History

Advancement

Information society

Addressing the legal

During its first 50 years

A more advanced and

Computer law today must

aspects of digital

computer law referred to a

structured approach to

provide solid, well-balanced

technology strategically

loose collection of diverse

computer law in the 21st

legal constructions for living,

creates economic value,

legal aspects of electronic

century focuses on legal

working, and doing business

reduces risks and optimizes

processing and

frameworks for the

in a sustainable information

assets.

communication of data.

demand-driven availability

society, fitting to its people

of robust, secure and

and national identity.

interoperable digital products and services.


25

Naar cloud-actieve overheidsorganisaties

Recommend Documents