executiveanalyseNaar ‘cloud-actieve’overheidsorganisatiesMr. V.A. de PousDeze Executive Analyse bevat de onafhankelijke vi...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE© 2012 V.A. de Pous, AmsterdamA...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEExecutive headl...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEInhoudExecutive headlinesVoorwoordInzicht, nuance en pragmat...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEVoorwoord ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALY...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEBri...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE‘Samen sterk’ pan-...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEOpe...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYS...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYS...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEConclusie ...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANAL...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEBi...
NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE A...
of 25

Naar cloud-actieve overheidsorganisaties

Published on: Mar 3, 2016
Published in: Technology      
Source: www.slideshare.net


Transcripts - Naar cloud-actieve overheidsorganisaties

  • 1. executiveanalyseNaar ‘cloud-actieve’overheidsorganisatiesMr. V.A. de PousDeze Executive Analyse bevat de onafhankelijke visie van de auteur en wordt aangebodendoor PinkRoccade en verspreid door VNU Exhibitions Europe, organisator van de beursOverheid & ICTApril 2012
  • 2. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE© 2012 V.A. de Pous, AmsterdamAlle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemmingvan de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aande totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteur,eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten enonvolkomenheden, noch voor gevolgen hiervan.© 2012 V.A. de Pous, Amsterdam 2
  • 3. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEExecutive headlines • Plaats- en tijdonafhankelijk handelen door mensen (leven, werken, zakendoen, besturen) en in toenemende mate tussen dingen (THE INTERNET OF THINGS) vormt de geconsolideerde megatrend in de samenleving van de 21ste eeuw, die wordt ontsloten en gefaciliteerd door cloud computing. • Cloud computing is geen (nieuwe) technologie maar betreft een leveringswijze van ICT als afroepbare en automatisch schaalbare dienst via Internet op basis van ketenautomatisering in datacenters; evolutionair ontstaan door virtualisatie, webgebaseerde gegevensverwerking en de generieke en laagdrempelige beschikbaarheid van breedband Internet. • Sinds september 2009 hervormt de federale Amerikaanse overheid in hoog tempo de eigen informatiehuishouding. Het moet anders, vooral efficiënter, doelmatiger en goedkoper. Centraal staat cloud computing. Het nieuwe beleid kan op brede steun rekenen, hoewel we ook kritiekpunten horen. Andere landen en regio’s zijn gaan volgen. • Op grond van de in ontwikkeling zijnde Europese Cloud Computing Strategie (aangekondigd in januari 2011) moet Europa ‘cloud-vriendelijk’ en ‘cloud- actief’ worden. Cloud computing houdt de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt ook voor overheidsorganisaties. • Gebruikers van externe clouddiensten zijn bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit en bijvoorbeeld over lock-in situaties en juridische onzekerheden. De Europese Commissie wil nadrukkelijk zorgen en obstakels wegnemen. • Allereerst wordt het privacyrecht aangescherpt en uniform geharmoniseerd (wetsvoorstellen van januari 2012) en komt er een coherent ‘cloud- vriendelijk’ juridisch raamwerk (aangekondigd januari 2012). Daarnaast gaat het om de oprichting van het European Cloud Partnership (aangekondigd januari 2012) tussen publieke en private sector om de positie van de overheid als inkoper van clouddiensten door middel van harmonisatie en integratie te versterken. Zelfs grensoverschrijdende PUBLIC PROCUREMENT behoort straks tot de mogelijkheden. • Niets doen is geen optie. Cloud computing betekent een onvermijdelijk ICT- leveringsmodel. Overheidsorganisaties in ons land ontkomen niet aan beleidsontwikkeling voor clouddiensten. Daarbij behoren strategische doelstellingen te leiden en de diverse aspecten van een clouddienst op hun merites te worden beoordeeld. Van bestuurders vragen we voldoende perceptievermogen.© 2012 V.A. de Pous, Amsterdam 3
  • 4. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEInhoudExecutive headlinesVoorwoordInzicht, nuance en pragmatismeVoor- en nadelenBriefkaart uit Washington DCOok Europa zegt volmondig jaPrivacyregels voor cloudddiensten‘Samen sterk’ pan-Europees inkoopbeleidDe gesloten RijkscloudOpen overheidsinformatie is regelAanknopingspunten juridisch raamwerkVijftien analysesConclusieBijlage A: ICT-leveringsmodellenBijlage B: Manieren van werkenColofon© 2012 V.A. de Pous, Amsterdam 4
  • 5. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEVoorwoord ‘ICT is tegenwoordig te belangrijk om aan techneuten over te laten’ is geen grappig gevonden oneliner voor Binnenhofbarbecue of raadsvergadering, maar een pragmatische constatering, die goed beschouwd al decennia geldt. Evenzeer vereist cloud computing — weliswaar geen technologie, maar een leveringswijze van ICT als dienst via Internet — de onverwijlde aandacht van het bestuur van overheidsorganisaties. Cloud computing betreft namelijk, in navolging van de explosieve adoptie door consument en ondernemer, een cruciale modus voor informatiehuishouding en dienstverlening van iedere overheidsorganisatie. Een die nooit meer wegwaait. Zonder clouddiensten geen succesvolle nieuwe manieren van werken, effectieve rampenbestrijding of doelgerichte en efficiënte dienstverlening aan de burger. Dit rapport is geschreven in het kader van Overheid & ICT, editie 2012, vanuit de notie dat het leveringsmodel inzicht van bestuurders verlangt. De inhoud is onafhankelijk tot stand gekomen en geeft niet noodzakelijkerwijs de visie van beursorganisator VNU Exhibitions Europe of sponsor PinkRoccade weer. Amsterdam, 17 april 2012 Victor de Pous© 2012 V.A. de Pous, Amsterdam 5
  • 6. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEInzicht, nuance en pragmatisme Recent besloot de gemeente Groningen niet over te stappen naar cloud computing.1 Onafhankelijk of de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis — waar Nederlandse staatsburgers2 in bepaalde omstandigheden, zonder de landgrens te passeren, mee te maken kunnen krijgen — voldoende grond voor afwijzing vormt, leidt een dergelijke casus gemakkelijk tot ongenuanceerde beeldvorming. Cloud computing kennen we namelijk in soorten en maten. Ze bestaat uit een matrix van ICT-diensten. Uiteindelijk kan zo ongeveer alles — technologie en informatievoorziening — als dienst op afroep, geautomatiseerd via Internet worden geleverd. We registreren expliciet diverse service- en toepassingsmodellen, nader te detailleren door de uiteenlopende categorieën van gegevens. Bovendien zijn er verschillende dienstverleners: de interne ICT-afdeling of (externe) CLOUD SERVICE PROVIDER. In theorie en praktijk zien we tevens allerhande mengvormen. Vooral bij uitbesteding kunnen relevante criteria zich aandienen voor de werkingssfeer van wet- en regelgeving van andere soevereine staten. Kadering Wat behelst cloud computing? Een informaticus tekent computers en softwarediensten en verbindt deze met Internet. Zo ontstond ‘de wolk’ als metafoor. De zoekmachines Lycos en Yahoo (1994) en de e-maildienst Hotmail (1996) waren de voorbeelden avant la lettre, maar een reserveringssysteem voor de luchtvaart maakte omstreeks 1960 al van een cloudmodel gebruik. Exemplarisch vandaag zijn Amazone Web Services (infrastructuur), Salesforce (bedrijfssoftware), kantoorpakketten Google docs en Microsoft Office365 en de immens populaire sociale netwerken FaceBook en YouTube.3 Om nog maar te zwijgen van de letterlijk ontelbare APPS4 voor smartphones en tablets. Cloud computing voltrekt zich grotendeels onzichtbaar. Toch toont zij zich aan eindgebruikers, en wel als webgebaseerde software en informatie, die niet op hun computer of binnen de organisatie vastgelegd is, maar op informatie- systemen in datacenters elders. De verwerking vindt gevirtualiseerd plaats, dat wil zeggen dat computerprogramma’s en informatie losgekoppeld zijn van de fysieke hardware en infrastructuur.5 Gegevensverwerking verandert hierdoor van karakter en wordt non-permanent en dynamisch; bijna ‘vloeibaar’.1 http://www.kinggemeenten.nl/data/king-cases/king-informeert-groningen-over-cloud-computing. Hoewel de datumontbreekt, stamt de aankondiging waarschijnlijk van 25 januari jl.2 En anderen wiens persoonsgegevens een Nederlandse overheidsorganisatie verwerkt.3 Denk ook aan opslagdiensten, zoals Dropbox, iCloud (Apple) en Skydrive (Microsoft) en Internet-bankieren.4 In de gemeentelijke sfeer worden APPS extern toegepast voor bijvoorbeeld meldingen (o.a. over zwerfafvalhttp://www.vng.nl/eCache/DEF/1/05/914.html) en intern voor de papierloze organisatie (vergaderen).5 Volgens de algemeen aanvaarde omschrijving van het Amerikaanse National Institute of Standards and Technology(NIST) betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten(ICT-bronnen), die worden gedeeld (POOLING, MULTI-TENANT) en op afroep door middel van automatische zelfbedieninggeleverd. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf. Ze bestaat uit drie toepassingsmodellen,vier servicemodellen en vijf karakteristieken. Dat wordt wel de 3-4-5 definities genoemd.© 2012 V.A. de Pous, Amsterdam 6
  • 7. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE De veel besproken leveringswijze ontwikkelt zich evolutionair. Technologisch ligt het omslagpunt achter ons, omdat een aantal essentiële informatietechnieken, waaronder virtualisatie en breedband-Internet, inmiddels algemeen en laagdrempelig beschikbaar zijn. Nader bepaald gaat het om een keten van automatiseringsdiensten, ontwikkeld en samengesteld uit diverse bouwstenen en door verschillende producenten en diensverleners. Op basis van een mix wordt uiteindelijk een clouddienst aan een organisatie en/of een individuele gebruiker geleverd. Dat kan, zoals gezegd, een dienst zijn die de eigen ICT- afdeling verzorgt, maar cloud computing zal waarschijnlijk vaker een outsourcingsrelatie behelzen. Op CloudGov 2012 (Washington DC, 16 februari 2012) vroeg het Department of Homeland Security zich retorisch af: ‘Zijn we in de datacenter business of hebben we ICT-functionaliteiten nodig?’ De cloudmatrix omvat PUBLIC (openbaar en gestandaardiseerd), PRIVATE (gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen en kent tevens de servicemodellen software (SaaS), platformen (PaaS) en infrastructuur (IaaS). Daarnaast gaat het om karakteristieken: afroepbare zelfbediening, toegang tot breedband Internet, delen van ICT-bronnen, snelle elasticiteit en een gemeten dienst.Voor- en nadelen Adoptie van cloud computing begon aan consumentenzijde en voltrekt zich in dit marktsegment op grote schaal. Zo telt Facebook meer dan 800 miljoen gebruikers. Daarnaast valt de adoptiesnelheid op.6 Na het bedrijfsleven7 is het nu de beurt aan overheidsorganisaties en gaan ook onderwijsinstellingen over. Cloud computing wekt zakelijk bezien de interesse vanwege efficiency- verbetering, vooral wanneer samendoen en uitbesteding de boventoon voeren. Betaling voor gebruik vervangt eigen investeringen (‘capex’ wordt ‘opex’), terwijl clouddiensten op afstand afroepbaar zijn. Niet alleen delen gebruikers ICT-bronnen, bij nader inzien ook de vaak schaarse en kostbare expertise van informatici. Ook overheidsorganisaties kunnen dus optimaal profiteren van de ‘economies of scale and skills’. Het model raakt bovenal de crux van de informatievoorziening. ‘Information at your fingertips’ komt eindelijk — volwaardig — tot wasdom. En dat biedt ongekende mogelijkheden. Cloud computing ontsluit en faciliteert organisatorische en maatschappelijke veranderingen: van nieuwe manieren van werken bij 8 publiekszaken of in de zorg tot en met de realisatie van SMART CITIES.6 De opslagdienst iCloud van Apple vergaarde in drie maanden een miljoen gebruikers.7 Een actuele casus betreft de cloudtransitie van wereldwijd pizzamarktleider Domino’s; naar eigen zeggen met veelvoordeel. http://www.itworld.com/cloud-computing/251214/dominos-pizza-finishes-last-piece-cloud-computing-move8 http://en.wikipedia.org/wiki/Smart_city. ‘A city can be defined as ‘smart’ when investments in human and socialcapital and traditional (transport) and modern (ICT) communication infrastructure fuel sustainable economic© 2012 V.A. de Pous, Amsterdam 7
  • 8. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE Criticasters vormen een minderheid, maar ze roeren zich wel. Zo veegde FREE SOFTWARE-bedenker Richard Stallman eerder de vloer aan met cloud computing. Hij waarschuwde gebruikers dat webgebaseerde software, zoals Google’s Gmail, een val is. ‘Its stupidity. Its worse than stupidity: its a marketing hype campaign’.9 Stallman voorziet een ongekend sterke vendor lock-in situatie. Ook de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in zijn Kwetsbaarheidsanalyse Spionage op negatieve aspecten van cloud computing. Echter vanuit een andere invalshoek: informatiebeveiliging.10 Geen vergezocht argument, zoals blijkt uit de niet-aflatende berichtenstroom over digitale lekken en dito inbraken bij allerhande organisaties.11 Van uitzonderlijk groot belang voor de voortgang van onze informatie- maatschappij is dat we debatteren op rationele gronden en een clouddienst zorgvuldig op zijn merites beoordelen. In ieder geval laat de Europese Commissie er geen twijfel over bestaan dat zij de zorgpunten ter zake, waaronder informatiebeveiliging, met wetgeving en beleid nadrukkelijk wil wegnemen. En het Witte Huis kiest als een van de ‘ontzorgingsmiddelen’ voor overkoepelende certificering en laat CLOUD SERVICE 12 PROVIDERS, die aan de overheid willen leveren, onafhankelijk certificeren. Ontwrichtend Last but not least — en deze omstandigheid kunnen we zowel onder kans als bedreiging scharen — manifesteert cloud computing, net zo als het WORLD WIDE WEB van Internet twintig jaar geleden, zich langzaam maar zeker als een ontwrichtend technologiecluster. In de ICT-sector en in andere bedrijfstakken. Dat betekent dat de innovaties marktverdeling en bedrijfseconomie verstoren. Neem de online-encyclopedie Wikipedia of de virtuele reisagent.13 Aanpalend rijst de vraag of cloud computing — vergelijk de discussies over personal computing in de jaren tachtig — een ‘job killer’ is of juist werkgelegenheid genereert. Marktonderzoeker IDC weet het antwoord. Uit recent onderzoek volgt dat cloudbestedingen in de periode 2011 tot 2015 bijna 14 miljoen banen wereldwijd creëren; de helft daarvan ontstaan in China en India.14 Niet alleen zijn dit grote landen, ook hebben deze markten nauwelijks last van de wet op de remmende voorsprong. Ze starten hun te automatiseren processen direct met cloud computing en slaan eerdere fases van elektronische gegevensverwerking over.development and a high quality of life, with a wise management of natural resources, through participatorygovernance.’9 The Gardian, 29 september 2008.10 http://webwereld.nl/nieuws/65615/aivd-waarschuwt-voor-cloudspionage---update.html11 Van DigiNotar’s gecompromitteerde veiligheidscertificaten tot en met de verouderde software van KPN.12 Bestaande juridische normen en certificeringen blijven van kracht, zoals die op basis van de Federal InformationSecurity Management Act of 2002 (FISMA).13 http://en.wikipedia.org/wiki/Disruptive_technology#Examples_of_disruptive_innovations14 http://idgknowledgehub.com/2012/03/05/cloud-computing-to-create-14-million-new-jobs-by-2015/© 2012 V.A. de Pous, Amsterdam 8
  • 9. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEBriefkaart uit Washington DC De Amerikaanse regering maakt forse stappen en in hoog tempo. Ze formuleert sinds september 2009, buitengemeen voortvarend, ingrijpend hervormings- beleid voor haar eigen informatiehuishouding.15 Het moet anders; vooral efficiënter, doelmatiger en goedkoper. Cloud computing vormt de kern en het beleid kan nationaal op steun rekenen, hoewel er vraagtekens zijn. Het CLOUD COMPUTING INITIATIVE (september 2009), ontwikkeld door de eerste CIO van het Witte Huis, Vivek Kundra, bevat de eerste beginselen van nieuw beleid voor federale overheidsautomatisering.16 In februari 2010 volgde CLOUD FIRST. CLOUD FIRST het beoogt nadrukkelijk het adoptietempo te versnellen. Federale overheidsorganisaties zijn onder andere verplicht eerst veilige en betrouwbare opties voor cloud computing te evalueren alvorens nieuwe investeringen te doen. In februari 2010 stelde de Office of Management and Budget (agentschap en rekenmeester, waar het nieuwe ambt van US Chief Information Officer is ondergebracht) het FEDERAL DATA CENTER CONSOLIDATION INITIATIVE vast. FDCCI adresseert kosten en energieverbruik van federale datacenters in het licht van efficiencyverbetering, versterking van de beveiligingssituatie van de overheid in het algemeen en het bevorderen van groene ICT door middel van consolidatie in het bijzonder. Geen 2000 maar 1200 datacenters; een sluitingspercentage van 40%17. Kundra publiceerde in december 2010 een 25-puntenplan voor de uitvoering van de modernisering van de federale informatievoorziening.18 President Obama De Amerikaanse overheid geldt als de grootste ICT-gebruiker en inkoper ter wereld.19 De regering ziet cloud computing als middel om fragmentatie van informatiesystemen, slecht projectmanagement en het moderniseren van verouderde systemen grondig aan te pakken. Onze kinderen gaan met meer technologie naar school dan hun ouders doorgaans op het werk hebben, moet president Obama hebben gezegd. Scherp gezien. Het uiteindelijke doel richt zich op het verbeteren van productiviteit en prestaties van federale overheidsorganisaties. Intern sluiten de rijen zich, zowel over cloud computing als preferente leveringswijze van overheidsautomatisering, als over de noodzaak van datacenterconsolidatie.15 Zie ook V.A. de Pous, Cloud computing en het nieuwe Amerikaanse overheidsbeleid (EXECUTIVE UPDATE), 5 maart2012, in opdracht van Forum en College Standaardisatie (Logius, onderdeel van het ministerie van BZK).16 http://news.cnet.com/8301-13772_3-10353479-52.html.17 Inmiddels zijn de doelstellingen verder aangescherpt. Niet 800 maar 962 datacenters moeten eind 2015 hun deurenhebben gesloten. De consolidatie levert een geschatte besparing van 3 tot 5 miljard dollar op.18 http://www.cio.gov/documents/25-point-implementation-plan-to-reform-federal%20it.pdf19 Het gaat om 76 tot 80 miljard dollar per jaar ten behoeve van meer dan 10.000 verschillende informatiesystemen,inclusief 19 miljard dollar voor ICT-infrastructuur.© 2012 V.A. de Pous, Amsterdam 9
  • 10. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE Maar de CLOUD FIRST-strategie kreeg vorig jaar van federale ICT-managers kritiek wegens korte tijdslijnen, onvoldoende financiering en conflicterende mandaten.20 Modernisering van de 19 miljard per jaar kostende ICT- infrastructuur is een speerpunt, maar er liggen daarnaast uiterst belangrijke beveiligingsprioriteiten. Denk aan beveiliging van federale netwerken, beveiliging van de kritische infrastructuur en beveiliging van persoonsgegevens. Volgens de ICT-top van de agentschappen stuit realisatie deels op een gebrek aan financiën, terwijl er bovendien onduidelijkheid bestaat wie ‘eigenaar’ is van ‘cyber security’. Kennelijk is er sprake van een vacuüm in leiderschap. Ondertussen gaan uitwerking en uitvoering van beleid door. Kundra’s opvolger Steven VanRoekel zette in november 2011 een vervolgstap en introduceerde het FUTURE FIRST beleid; een in ontwikkeling zijnde set van aanvullende uitgangspunten — zoals XML FIRST, WEB SERVICES FIRST en VIRTUALIZATION FIRST — die bepalen op welke wijze de federale overheid haar ICT inricht. Nieuw is tevens SHARED FIRST; een beleidsinitiatief dat federale overheidsorganisaties inkoop, technologie en deskundigheid onderling wil laten delen.21 Bovendien zag eind 2011 het FEDERAL RISK AND AUTHORIZATION MANAGEMENT 22 PROGRAM het licht. FedRAMP bevat een gestandaardiseerde benadering van beveiliging en inkoop van cloud computing (diensten en producten) door middel van een ‘do once, use many times’-raamwerk. Een onderdeel vormt de certificering van diensten van CLOUD SERVICE PROVIDERS op basis van een stelsel van openbare normen. FedRAMP bevindt zich nu in haar voorbereidingsfase; de initiële, gefaseerde uitrol start in juni.Ook Europa zegt volmondig ja Op het WORLD ECONOMIC FORUM van 2011 maakte vice-premier en commissaris Kroes (digitale agenda) bekend dat zij tot richtlijnen wil komen op het gebied van standaardisering van cloudtoepassingen en met proefprojecten ervaringen met cloud computing wil stimuleren.23 Volgens de bewindsvrouwe richt de Europese Commissie zich in dit kader op drie aandachtsgebieden: • het juridisch raamwerk voor gegevensbescherming door een volledige herziening van het communautaire privacyrecht (de ontwerpen zijn in januari openbaar geworden); • technische en commerciële uitgangspunten, vooral in relatie tot netwerk- en informatiebeveiliging;2420 http://itknowledgeexchange.techtarget.com/cloud-computing/ex-fed-cio-vivek-kundra%E2%80%99s-cloud-first-policy-trashed/21 http://www.whitehouse.gov/sites/default/files/svr_parc_speech_final_0.pdf22 http://www.gsa.gov/portal/category/10237123 http://www.europa-nu.nl/id/vimchoauiry2/nieuws/toespraak_eurocommissaris_kroes_digitale?ctx=vg09llfemfyf&start_tab0=12024 http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds© 2012 V.A. de Pous, Amsterdam 10
  • 11. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE • technische standaarden, APPLICATION PROGRAMMING INTERFACES (APIs), bestandsformaten voor elektronische gegevens en verwante onderwerpen. Twee jaar daarvoor viel de zienswijze van commissaris Redding (telecom- municatie en digitale media tijdens de vorige Europese Commissie) op. Cloud computing is ‘het medicijn’ voor onze economie met beperkte kredietfaciliteiten. Haar geopolitieke visie richtte zich op stevige stimulering van de Europese digitale economie, juist voor het MKB. ‘However, today these new services are nearly all US-owned and US-based. Once again, the US has started to exploit a business model before Europe has managed to do so. We cannot let this continue.’ 25 Anders gezegd, help elkaar, koop Europese waar. Op grond van de Europese Strategie moet Europa niet alleen ‘cloud- vriendelijk’ maar tevens ‘cloud-actief’ worden. Volgens commissaris Kroes houdt cloud computing de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt voor bedrijf en overheidsorganisatie. Klanten van externe clouddiensten zijn echter bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit, lock-in situaties en bijvoorbeeld juridische onzekerheden. De Europese Commissie wil nadrukkelijk ontzorgen en obstakels wegnemen. Met de publicatie van twee wetsvoorstellen, die de gedateerde privacywetgeving met het oog op Internet en cloud computing ingrijpend herzien, is een eerste stap gezet. Vervolgens wordt het inkoopbeleid geharmoniseerd en geïntegreerd om standaarden, kwaliteitsnormen en lagere prijzen af te dwingen. Bovendien komt er een ‘cloud-friendly’ juridisch raamwerk voor het communautaire binnenland.Privacyregels voor clouddiensten Een legislatieve component van de Europese Cloud Computing Strategie ziet toe op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn uit 1995 (95/46/EC).26 De grondige hervorming van 25 januari jl. getuigt van een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten; ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om stimulering van de digitale economie door middel van lastenverlaging. De achterliggende ratio is bekend. De wijze waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en globalisering ingrijpend veranderd. Bovendien hebben de 27 EU-lidstaten de privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en handhaving leidde. Herziening was uiteindelijk onvermijdelijk.25 9 juli 2009. http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/09/33626 http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm© 2012 V.A. de Pous, Amsterdam 11
  • 12. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn ‘een toekomstgerichte actualisering’. Naast een beleidsmededeling over de doelstellingen van de Commissie, gaat het om twee wetsvoorstellen.27 Verordening Allereerst de verordening tot vaststelling van het algemene EU-kader voor gegevensbescherming; vanwege haar rechtstreekse werking het perfecte harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder meer REGULATORY COMPLIANCE bij intracommunautaire gegevensverwerking. In plaats van overbodige administratieve lasten verplicht de verordening de verwerkers van persoonsgegevens (zoals CLOUD SERVICE PROVIDERS) meer verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten binnen 24 uur aan de nationale toezichthouder28 worden gemeld. De boete bij overtreding bedraagt maximaal 2% van de omzet.29 Verbetering rechtspositie burgers Verder scherpt de vordering de bestaande rechten van betrokkenen aan, zoals het recht op toestemming voor verwerking, die nadrukkelijk moet worden gegeven, en het inzagerecht. Burgers krijgen gemakkelijker toegang tot hun eigen gegevens; online en gratis. Ook introduceert de verordening geheel nieuwe privacyrechten. Burgers kunnen hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting van de onderlinge concurrentie (recht op dataportabiliteit). Bovendien worden mensen in staat gesteld hun privacyrisico’s op Internet beter te beheren, dat wil zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren (recht om vergeten te worden). Richtlijn Daarnaast komt er een nieuwe richtlijn inzake de bescherming van persoonsgegevens die worden verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke activiteiten. De voorschriften zullen zowel op binnenlandse als grensoverschrijdende gegevensoverdrachten van toepassing zijn. Een Europese richtlijn vereist implementatie in het recht van de lidstaten, binnen twee jaar na vaststelling. Naar verwachting treden verordening en richtlijn niet voor 2015 in werking.27 http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm28 Bedrijven en organisaties (die grensoverschrijdend zakendoen) krijgen te maken met één nationale toezichthouder,namelijk in de EU-lidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteitis tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een buiten-de-EU-bedrijf.29 Los hiervan heeft het ministerie van V&J eind 2011 een wetsvoorstel gepubliceerd waarin een regeling is opgenomenvoor een onverwijlde meldplicht voor datalekken, zowel aan betrokkenen als aan het College beschermingpersoonsgegevens (CBP). De beoogde administratiefrechtelijke boete op niet-naleving van deze meldplicht bedraagtmaximaal 200.000 euro. Het voorstel breidt de Wet bescherming persoonsgegevens uit en scherpt tevens aan. Tot 1maart jl. kon er worden gereageerd. http://internetconsultatie.nl/camerabeelden. Het CBP heeft overigens aangegevenmankracht te kort te komen om alle meldingen ter zake op te volgen.© 2012 V.A. de Pous, Amsterdam 12
  • 13. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE‘Samen sterk’ pan-Europees inkoopbeleid Een andere component van de Europese Cloud Computing Strategie ziet toe op de overheid als klant, als afnemer van clouddiensten. De inkoop van ICT door de publieke sector vormt grofweg 20% van de totale Europese markt, maar is dusdanig gefragmenteerd, dat ze nauwelijks impact aan leverancierszijde heeft. Daar moet en kan kennelijk verandering in komen door middel van harmonisatie en integratie. Dit beleid leidt echter niet tot een Europese ‘super- cloud’ of de geforceerde integratie van bestaande cloud-infrastructuren. Volgens de Europese Commissie bepalen doelmatigheidsoverwegingen op de markt de zakelijke modellen voor cloud computing en de inrichting van cloud-aanbieders’ en publieke datacenters. De Europese Commissie verwacht dat de cloudsector luistert en haar aanbod aanpast en op deze manier voordelen creëert voor de adoptie van cloud computing in allerlei sectoren. Denk aan meer standaarddiensten, nieuw aanbod en lagere tarieven. ‘And it is a true win-win: the Cloud market will grow, bringing opportunities for existing suppliers and new entrants. And Cloud buyers, including the public sector, will buy more with less and become more efficient.’ 30 Over hooggespannen verwachtingen gesproken. Zelfs gezamenlijke overheidsinkoop in verschillende landen behoort straks tot de mogelijkheden. De Europese Commissie kiest voor de uitvoering van het nieuwe inkoopbeleid voor de figuur van een European Cloud Partnership tussen overheid en CLOUD SERVICE PROVIDERS. Drie fasen zijn voorzien. Het begint met standaarden, beveiliging en vrije mededinging. Lock-in situaties door cloud computing wil Brussel nadrukkelijk voorkomen. De tweede fase ziet toe op het opleveren van ‘common requirements’ en ‘proof of concept solutions’, terwijl er in de laatste fase ‘reference implementations’ worden gebouwd.De gesloten Rijkscloud Ondanks dat zowel Nederland als de Europese Unie hun ogen al twintig jaar op ICT en de informatiemaatschappij richten, noemen we de actuele aandacht voor cloud computing uniek. Niet eerder in de geschiedenis van wetgeving en overheidsbeleid is digitalisering een dergelijk centraal en cruciaal beleidsterrein geworden. Ook de Tweede Kamer, die in mei 2010 de Motie Van der Burg aannam, verwacht er veel van.31 Daarin verzoekt de kamer ‘de regering in navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten een strategie voor de hele Nederlandse overheid te ontwikkelen voor «cloud computing» en een «cloud First»-strategie, waarbij mogelijkheden voor de30 http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/3831 www.ictu.nl/archief/noiv.nl/files/.../motie_van_der_burg.pdf.pdf© 2012 V.A. de Pous, Amsterdam 13
  • 14. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE inrichting van de overheidscloud duidelijk omschreven worden met de bijbehorende voor- en nadelen.’ In de visie van minister Donner (BZK) is cloud computing echter nog onvolwassen, ontbreekt het aan aanbod voor de rijksoverheid en blijft privacy een zorgenkind. Dat was 20 april 2011.32 De hoge verwachtingen van politiek en spelers in de overheidsmarkt waren mogelijk al getemperd door Jan Flippo, oud-hoofd automatisering van het ministerie van Buitenlandse Zaken, overgestapt naar BZK. Op de conferentie Overheid dichtbij? IT op afstand! (Breukelen, 4 februari 2011), zei Flippo onomwonden dat, hoewel waarschijnlijk velen vinden dat de overheid te langzaam handelt, het toch onvermijdelijk is dat er telkens kleine stappen worden gezet. ‘We hebben niet veel haast met cloud computing.’33 Wel lichtte hij zijn keuze voor de aanschaf van 6000 mailaccounts van Google toe. ‘Wanneer Den Haag onder water staat, kunnen medewerkers van BZ blijven communiceren en informatie delen.’ Deze clouddienst is dus aangekocht als ‘Plan B’ en niet als een primaire voorziening voor het departement. i-Strategie De Informatiseringstrategie34 van 15 november 2011 ziet toe op verbetering van de ICT van de rijksoverheid en omvat maatregelen om de digitale voorzieningen te bundelen, te komen tot één ICT-beveiligingsfunctie en de standaard ICT-werkplek rijksbreed in te voeren. De beheersing van grote ICT- projecten wordt verder versterkt, er komt meer aandacht voor het vergroten van ICT-kennis bij management en medewerkers en hergebruik gaat voor het zelf ontwikkelen van nieuwe voorzieningen of systemen.35 Een samenhangende rijksbrede informatie-infrastructuur, die tevens van cloud computing gebruik maakt, moet een einde maken aan de verbrokkelde ICT-infrastructuur. Het kabinet kiest vooralsnog voor een in eigen beheer in te richten gesloten Rijkscloud, als een voorziening die via een eigen en beveiligd netwerk generieke diensten levert binnen de Rijksoverheid. Met marktpartijen is inmiddels een convenant36 afgesloten om de samenwerking tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie is nauw verbonden met het (uitvoerings)programma Compacte Rijksdienst, dat de bedrijfsvoering van het Rijk goedkoper en efficiënter wil maken.3732 https://zoek.officielebekendmakingen.nl/kst-26643-179.html33 NEWSWARE 2011 (Jaargang 25), 2. Ter vergelijking: de federale Amerikaanse overheid heeft veel haast, maar zegttevens geen proeftuin te willen zijn voor clouddiensten.34 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbrief-informatiseringstrategie-rijk.html35 http://www.rijksoverheid.nl/ministeries/bzk/nieuws/2011/11/15/kabinet-lanceert-informatiseringstrategie-voor-het-rijk.html36 http://www.rijksoverheid.nl/documenten-en-publicaties/convenanten/2012/01/26/convenant-verbetering-samenwerking-tussen-de-rijksoverheid-en-het-ict-bedrijfsleven.html37 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/06/14/kamerbrief-toezegging-uit-algemeen-overleg-programma-compacte-rijksdienst.html© 2012 V.A. de Pous, Amsterdam 14
  • 15. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEOpen overheidsinformatie is regel Nog meer beleid voor de informatiemaatschappij en relevant voor overheid- clouds. In september 2011 presenteerde de Europese Commissie haar plannen voor twee portals voor de publieke toegang tot open data.38 Rond deze tijd — voorjaar 2012 — verwacht commissaris Kroes een portal operationeel te hebben, welke vrije toegang biedt tot alle eigen databronnen van de Commissie. Daarnaast staat er voor 2013 een ‘bredere, pan-Europese’ portal op de rol, waar uiteindelijk alle herbruikbare informatie van publieke organisaties in de EU-lidstaten beschikbaar is. Dit portal betreft het resultaat van doorontwikkeling en consolidatie van bestaande nationale en regionale data portals, zoals in Nederland data.overheid.nl.39 Commissaris Kroes benadrukt het belang van open data als volgt. Het gaat om ‘waardevol ruw materiaal’ waarmee burger, wetenschap, economie en democratie geholpen zijn. Zo kunnen burgers hun voordeel doen met betere routeplanning op basis van geo- en OV-informatie van de overheid. Cruciaal zijn — ook in dit kader — interoperabiliteit en standaardisatie. Open data wordt gezien als een grondstof voor innovatie vanwege het beoogde gratis hergebruik. De beschikbaarstelling van overheidsdata verlaagt de investeringsdrempel voor nieuwe producten en diensten. Deze openheid levert daarnaast waarschijnlijk een bijdrage aan een meer transparante overheid, omdat burgers desgewenst meer inzicht kunnen krijgen in de gegevens waarop beleid is gebaseerd. Maar de omstandigheid dat data en datasets ‘vrij herbruikbaar’ zijn, betekent niet dat deze per definitie rechtenvrij zijn. Omgekeerd claimen open-data of open-contentlicenties nadrukkelijk geen rechten die er niet zijn, maar verklaren goed beschouwd dat wanneer er wel intellectuele eigendomsrechten zijn, de licentiegever er afstand van doet. Ook relevant: de vrije gebruiksrechten worden geleverd met een zo ver als juridisch toelaatbare uitsluiting van aansprakelijkheid. Vergelijk open source software, de uiteenlopende licenties en de beklijvende misvattingen.40 Een Nederlands voorbeeld van open data. Eind vorig jaar maakte minister Schultz (Infrastructuur en Milieu) bekend dat uiterlijk 1 januari 2015 alle gegevens van haar departement volgens het principe ‘open, tenzij’ vrij beschikbaar komen.41 Het gaat onder meer om data over water, weer en wegen. De Basisregistratie Topografie van het Kadaster is inmiddels vrij beschikbaar gesteld.38 http://data.overheid.nl/nieuws/kroes-stimuleert-gebruik-open-data. Goed beschouwd heeft de Europese Commissiedrie aan elkaar gerelateerde voorstellen gedaan, te weten voor wijziging van de Richtlijn hergebruik vanOverheidsinformatie, een mededeling Open Gegevens en een besluit hergebruik eigen Commissiedocumenten.39 http://www.rijksoverheid.nl/regering/het-kabinet/bewindspersonen/piet-hein-donner/nieuws/2011/09/15/nederlandse-overheid-stelt-data-beschikbaar-voor-her-gebruik.html40 ‘V.A. de Pous, Open Source Computing and Public Sector Policy, Amsterdam, 2011.41 http://www.rijksoverheid.nl/nieuws/2011/10/04/innovatie-estafette-2011-baaierd-aan-innovatieve-initiatieven.html© 2012 V.A. de Pous, Amsterdam 15
  • 16. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEAanknopingspunten juridisch raamwerk Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de Amerikaanse 3-4-5-definitie42 in het vizier houdt, verwondert zich waarschijnlijk niet dat haar juridisch raamwerk zich onderscheidt van dat voor het gangbare (CLIENT/SERVER) model voor automatische gegevensverwerking. Cloud computing heeft deels moeite met bestaande rechtsnormen, die niet alleen van oudsher geografisch zijn bepaald43, maar tevens zijn vastgesteld toen informatieverwerking statisch was. We konden letterlijk aanwijzen waar data zich bevond.44 Voorts vallen er in het leveringsmodel allerlei technische en andere aspecten samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn. Dat leidt vrijwel zeker tot juridische samenloop.45 Ondertussen noteren we ontwikkelingen. Zo zorgt de praktijk voor voorschrijdend inzicht en ontstaan er BEST PRACTICES. Ook staat, zoals hierboven aangegeven, een ingrijpende aanscherping en harmonisatie van privacyregels op de rol. Verder krijgen we meer ‘cloud-vriendelijke’ Europese wetgeving en nieuw inkoopbeleid voor de publieke sector. Daarnaast ontstaan er certificeringinitiatieven.46 Aanknopingspunten Toch moeten we de rechtsaspecten van cloud computing niet moeilijker maken dan ze zijn en goed naar de kenmerken van een clouddienst in het concrete geval kijken. Een aantal aanknopingspunten geeft houvast en richting voor juridische analyse en beleidsontwikkeling, omdat hieruit essentiële onderdelen van het rechtskader volgen. Neem de casus dat een departement of gemeente ‘open data’ met het oog op hergebruik aan burger en ondernemer wil aanbieden. Hiervoor komt al snel een (PUBLIC) clouddienst in zicht vanwege zijn praktische karakteristieken: webgebaseerd, open, dus voor iedereen op afstand afroepbaar via Internet, elastisch schaalbaar. Zelfbediening pur sang.42 Zie noot 5.43 Vooral bij grensoverschrijdende verwerking krijgen we mede met buitenlandse wetgeving te maken. Bovendienkunnen in Nederland verwerkte gegevens eveneens (mede) voorwerp zijn van buitenlands recht.44 Virtualisatietechnieken maken gegevensverwerking dynamisch, zelfs ‘vloeibaar’. Datacenters in telkens wisselendesamenstelling kunnen zelfs een virtuele ‘computerfabriek’ vormen.45 Samenloop is een probleem van rechtsvinding, waarbij de vraag zich aandient naar voorrang van of de beste keuzetussen de toepasbare regels of regelstelsels. Denk aan een mix van mededingingsrecht, intellectuele eigendomsrecht,en/of contractenrecht. Of privacyrecht en vrijheid van meningsuiting. Et cetera.46 De belastingdienst is initiator van het keurmerk Zeker Online! (http://www.zeker-online.nl/). Het initiatief beoogttwee doelen. Aanbieders van online-boekhoudprogramma’s (gaan) voldoen aan de wettelijke regels, terwijl het MKBwordt gestimuleerd zelf te administreren in plaats van een schoenendoosboekhouding te voeren.© 2012 V.A. de Pous, Amsterdam 16
  • 17. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE Zorgen over ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving — zoals de U.S. Patriot Act — ontbreken bij open data, omdat het niet om vertrouwelijke informatie of persoonsgegevens gaat. Zelfdoen of uitbesteding? Als juridische rode draad bij cloud computing, loopt telkens de vraag of er sprake is van een uitbestedingsrelatie. Wanneer een (overheids)organisatie een dienst afneemt van een externe CLOUD SERVICE PROVIDER, verliest zij in beginsel controle en zeggenschap over de verwerking van haar informatie, tenzij andersluidende afspraken worden gemaakt.47 Bovendien ontstaat er een sterke afhankelijkheidssituatie ten opzichte van leverancier en de gebruikte technologie, mede omdat vooral bij softwarediensten technologie en data in handen zijn van deze leverancier (en toeleveranciers). Minimaal betekent uitbesteding een verschuiving van technische verantwoordelijkheden aan de operationele kant. Bij uitbesteding dienen kwesties over feitelijke en juridische verantwoordelijkheid, transparantie, toezicht en continuïteit zich aan en is bijvoorbeeld een goede exit-regeling gewenst. Product of dienst? Verschillende feitelijke aspecten van het leveringsmodel hebben juridische implicaties. Zo wordt er bij de inzet van cloud computing geen product, maar een dienst geleverd en ontvangt de eindgebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt. Om op dat laatste kenmerk juridisch in te gaan: hierdoor verliest de licentienemer zijn wettelijk recht op foutherstel, zoals vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC).48 Daarnaast vraagt de licentieverlening van computerprogramma’s in de cloud om aangepaste contractsmodellen. De één-op-één relatie met apparatuur en besturingssysteem als gevolg van virtualisatie bestaat immers niet meer.49 Verder hebben we te maken met de omstandigheid dat een CLOUD SERVICE PROVIDER in voorkomende gevallen softwaretechnologie van derden doorlevert als dienst aan zijn klant. Deze bevoegdheid moet wel verleend zijn door de producent van de software.50 Technologie of gegevens? Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs op enen en nullen. Maar er is weldegelijk onderscheid. Gaat het om een computerprogramma of om gegevens? Die vraag speelt niet alleen in technologisch perspectief een centrale rol; het rechtskader brengt scherp47 Bijvoorbeeld over de locatie. Zo kan de gegevensverwerking ‘in de cloud’ uitsluitend binnen Nederlands grondgebiedplaatsvinden of uitsluitend binnen de Europese Unie.48 Zie ook artikel 45j Auteurswet: copieren van ‘een exemplaar’ door de licentienemer mag, voor onder meerfoutherstel door de licentienemer. Bij cloud computing is echter sprake van immateriële openbaarmaking van eencomputerprogramma.49 Dat geldt in het algemeen. Onafhankelijk van cloud computing zijn andersluidende licentievoorwaarden voorsoftware gewenst bij de toepassing van virtualisatietechnieken.50 Bovendien kunnen CLOUD SERVICE PROVIDERS software en andere clouddiensten, van henzelf en anderen, gaanbundelen. Daarin ligt ook toegevoegde waarde: de ‘one-stop-shop’.© 2012 V.A. de Pous, Amsterdam 17
  • 18. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze scheidslijn hebben aanbieders en afnemers van clouddiensten te maken. Zo gelden er legislatief bezien beschermingsregels voor software, die primair ten goede komen aan de producent, met uitzondering van enkele basisrechten voor softwaregebruikers (licentienemers), zoals het recht op het maken van een reservekopie. Voor (digitale) informatie geldt een geheel ander juridisch kader. Welke gegevens? Een andere belangrijke piketpaal vormt het onderscheid tussen persoonsgegevens — van, in dit kader, in hoofdzaak burgers of personeel — en andere informatie die de overheid onder zich heeft. Van raadsverslagen, begrotingen en geo-informatie tot en met cultureel erfgoed in de diverse stadsarchieven. De aard van de gegevens is (mede) bepalend voor het toepasselijke beleids- en rechtskader, hetgeen vervolgens invloed kan hebben op de keuze voor een bepaald ICT-leveringsmodel. Migratie van open data naar een publieke cloudomgeving, te verzorgen door een externe CLOUD SERVICE PROVIDER, stuit doorgaans niet op juridische problemen. Bovendien bestaat altijd de optie dat een overheidsorganisatie persoonsgegevens versleutelt (encryptie), zodat deze door derden niet herleidbaar zijn tot een natuurlijk persoon. Grensoverschrijdende verwerking? Op grond van het recht mogen persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EU plus IJsland, Noorwegen en Liechtenstein) worden verwerkt. Maar ook het communautaire binnenland vraagt om extra aandacht, vanwege verschillen bij de uitvoering van de privacyregels. Naar aanleiding hiervan gaan in Duitsland stemmen op om ‘Cloud Computing Made in Germany’ als unique selling point voor mededinging in te zetten, gegrond op het strikte karakter van de Duitse privacywetgeving. Dat betreft deels een achterhoedegevecht,51 maar het staat een Nederlandse overheidsorganisatie vrij om met een CLOUD SERVICE PROVIDER geografische afspraken te maken. In het algemeen rijzen er bij internationale dataverwerking vragen over het toepasselijke recht en de bevoegde rechter.Vijftien analyses 1. Cloud computing kent allerlei verschijningsvormen, ieder met deels unieke kenmerken en daaraan gekoppelde rechtsaspecten, voordelen en nadelen. Deze diversiteit vereist inzicht en nuancering. Tevens is belangrijk dat zowel algemene pro en contra-debatten als discussies in het concrete geval52 op rationele gronden plaatsvinden. Alleen dan liggen beleidsontwikkeling en individuele beslissingen pragmatisch in het verschiet. 2. Niets doen is nadrukkelijk geen optie. Zelfs de overheidsorganisatie die uitsluitend op kostenbesparing of ‘green IT’ scherpstelt, ontkomt niet aan51 De Europese Unie gaat het privacyrecht immers dwingendrechtelijk uniform harmoniseren. Nationale deviatie, zoalsthans het geval is, behoort straks tot het verleden. ‘Cloud Computing Made in Europa’ blijft wel een optie.52 Over de vraag waarvoor en onder welke voorwaarden een overheidsorganisatie een clouddienst kan inzetten.© 2012 V.A. de Pous, Amsterdam 18
  • 19. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE cloud computing. Politiek en openbaar bestuur behoren vanzelfsprekend verder te kijken. Technologisch vertaalt dit vertrekpunt zich — in lijn met de visie van de Algemene Rekenkamer — in de omstandigheid dat strategische overheidsdoelen de inzet van ICT behoren te bepalen.53 3. Digitale technologie speelt bij de talloze veranderingsprocessen een sleutelrol. Dankzij cloud computing ontstaan er telkens organisatorische (nieuwe manieren van leven, werken, zakendoen, besturen) en maatschappelijke veranderingen (op weg naar een ‘betere’ samenleving).54 4. Hoewel de volledige overgang naar clouddiensten mogelijk is, zal de automatiseringspraktijk bij overheidsorganisaties vrijwel zeker een gemengde leveringsomgeving laten zien. De noodzaak om staatsgeheimen per se in de cloud te willen verwerken, ontbreekt. Een gemengde portfolio bestaat uit zowel ‘klassieke’ als cloud computing; zowel door de interne organisatie als door derden te leveren. Of wellicht door geheel nieuwe, innovatieve vormen van public/private partnerships, waarin IT OUTSOURCING opschuift naar of onderdeel uitmaakt van BUSINESS PROCESS OUTSOURCING. 5. Het vigerende, oorspronkelijk in 2003 geïnitieerde, Europese beleid bepaalt dat overheidsinformatie tegenwoordig zo breed mogelijk voor burger en ondernemer toegankelijk (transparante overheid) en beschikbaar (hergebruik voor economische ontwikkeling) behoort te zijn. Deze ‘open data, tenzij’-regel betekent een forse stimulans voor (uitbesteding van) overheidclouds. 6. In het bijzonder van clouddiensten als vorm van uitbesteding wordt veel verwacht. In de woorden van de Europese Commissie: schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten zonder grote investeringen vooraf.55 Bovendien wijzen we naast het voordeel van ‘economies of scale and skills’, op nog een onderbelicht pluspunt, ditmaal juridisch van aard. Cloud computing betekent het einde van softwarepiraterij aan gebruikerszijde.56 7. Voor ICT-leveranciers heeft het model ook aantrekkelijke kanten. Een regelmatige inkomstenstroom, een nauwe band met de klant en, desgewenst, ‘grenzeloos’ ondernemen. De omzet wordt behalve met ICT- bronnen (software, rekenkracht, opslag, archivering, et cetera) gerealiseerd53 ‘Besluiten over software alleen te benaderen van het oogmerk kosten te beperken, is een te beperkt perspectief.’http://www.rekenkamer.nl/Nieuws/Persberichten/2011/03/Besparingen_Rijk_met_opensourcesoftware_beperkt_mogelijk54 Vorig jaar heb ik een warm pleidooi gehouden voor een ‘nationale informatiemaatschappij’. In het kort, de wetgeverdoet er goed aan bij organisatie en inrichting van de informatiemaatschappij op aspecten van algemene zorg voor hetwelzijn van haar burgers in verband met digitalisering te letten in het licht van de kernwaarden van de mens in zijnsociale context en aspecten van nationale identiteit. Het centrale ijkpunt wordt vervolgens ‘fitting the informationsociety to its people and national identity’. Burgers moeten namelijk niet alleen kunnen vertrouwen op, maar ookvertrouwd zijn met en zich thuis voelen in de moderne samenleving. Een en ander zeggen we tevens tegenbeleidsmakers zeggen. V.A. de Pous, Recht voor een nationale informatiesamenleving, Amsterdam, 2011.55 Zie noot 30.56 Onder voorwaarde dat CLOUD SERVICE PROVIDERS hun juridische zaken op orde hebben.© 2012 V.A. de Pous, Amsterdam 19
  • 20. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE door middel van de continue levering ervan; een heuse toegevoegde waardedienst. 8. De voordelen aan gebruikerzijde nemen de huidige bezorgdheid over informatiebeveiliging en juridische onzekerheden niet zonder meer weg. Maar er zijn wel middelen beschikbaar — dataclassificatie, bestaande standaarden en certificeringen, OPEN DATA FORMATS, wettelijke kaders en concrete rechten (op bijvoorbeeld interoperabiliteit), continuïteitsregelingen, het onderhandelen over juridische voorwaarden in cloudcontracten — die de positie van gebruikersorganisaties kunnen versterken en risico’s beheersbaar maken. Ondertussen wordt er flink gewerkt aan verbetering en vernieuwing. In buiten- en binnenland. 9. Standaarden vormen regelmatig aanleiding tot beleidsdiscussie. Het uitgangspunt in de praktijk luidt dat de talloze bestaande ICT-standaarden, daaronder tevens verstaan normen, hun plaats mede in cloud computing vinden. Zowel de Amerikaanse federale regering57 als de Europese Commissie58 voert een pragmatisch standaardenbeleid op basis van RAND. Nederland wijkt met haar beleid hiervan in zoverre af, dat overheids- organisaties verplicht zijn bepaalde open standaarden toe passen, tenzij er een gerede grond is om — tijdelijk — voor anderen te kiezen.59 10. Over interoperabiliteit wordt weliswaar veelvuldig gesproken, maar het wettelijk recht interoperabiliteit, vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC) en onze Auteurswet, is mogelijk niet bij iedere bestuurder of ICT-manager bekend. Op grond hiervan heeft iedere licentienemer op een computerprogramma het recht deze code te ontleden. Het proces van ‘reverse engineering’ door middel van decompilatie ontsluit de verborgen specificaties van de interfaces van het programma, zodat er andere software op kan worden aangesloten. 11. Informatiebeveiliging vormt een belangrijk zorgpunt. Er is echter in zoverre geen sprake van een technisch vacuüm of gebrek aan normstelling als zodanig, omdat de praktijk een reeks van breed gedragen, door internationale organisaties vastgestelde normen kent. NEN-ISO/IEC 27000 is hiervan een voorbeeld.60 Deze en andere standaarden blijven onverkort van kracht bij de inzet van cloud computing. Dat laat overigens de vraag naar overkoepelde normering voor de gehele leveringsketen onverlet. 12. Overheidsorganisaties kunnen met betrekking tot randvoorwaarden voor de inkoop van externe clouddiensten aansluiting zoeken bij het wettelijk raamwerk, dat voor de financiële sector is geformaliseerd in geval van57 http://www.whitehouse.gov/omb/circulars_a119/. Onder ‘voluntary consensus standards’ verstaat de overheid in ditkader: ‘standards developed or adopted by voluntary consensus standards bodies, both domestic and international.These standards include provisions requiring that owners of relevant intellectual property have agreed to make thatintellectual property available on a non-discriminatory, royalty-free or reasonable royalty basis to all interestedparties.’ Dit model wordt RAND genoemd.58 http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf59 https://lijsten.forumstandaardisatie.nl/lijsten/open-standaarden?lijst=Pas%20toe%20of%20leg%20uit&status%5B%5D=Opgenomen&pagetitle=pastoeof60 https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001© 2012 V.A. de Pous, Amsterdam 20
  • 21. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE uitbesteding door financiële instellingen die onder overheidstoezicht van De Nederlandsche Bank en de Autoriteit Financiële Markten vallen.61 Uitbesteding mag niet tot afbreuk op toezicht leiden. 13. Informatiehuishouding als geconsolideerd proces hoort nadrukkelijk thuis in de bestuurstop van iedere organisatie. We zijn op weg naar iets wat sommigen met het oog op informatiebeveiliging62 recent ‘CORPORATE 63 INFORMATION RESPONSIBILITY’ hebben genoemd. Bij nader inzien behoren we deze verantwoordelijkheid uit te breiden tot alle aspecten van de informatiehuishouding, inclusief bijvoorbeeld archivering en ontsluiting. 14. ‘Bring your own device’ (BYOD) — de omstandigheid dat bestuurders en werknemers hun eigen notebook, tablet en/of smartphone meenemen naar het werk en vooral gebruiken voor hun werk — draait beleidsmatig niet om de hardware, maar om de vraag wat men er mee mag doen.64 Dat vereist naast aandacht voor de informatietechniek om HUMAN RESOURCE- en informatiebeleid65 per overheidsorganisatie66, vastgelegd in aanvullende regels voor bestuurder en personeel, inclusief desgewenst externe kenniswerkers. 15. Goed beschouwd vormt ‘cloudrecht’ uiteindelijk het belangrijkste juridische raamwerk voor de omvangrijke en brede verzameling rechtsaspecten van elektronische verwerking en communicatie van gegevens. Een van de bijzondere aandachtspunten vormt de internationale jurisdictie van soevereine staten bij uitbestede gegevensverwerking door Nederlandse overheidsorganisaties (de US Patriot Act-discussie). Ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis moeten we in perspectief plaatsen. Dat betekent onder meer aandacht voor de aard van de te verwerken overheidsinformatie. We behoren in dit kader te beseffen dat waarschijnlijk meerdere landen over verregaande formeel-wettelijke onderzoeksbevoegdheden buiten het grondgebied van hun eigen staat beschikken67, maar ook dat terrorismebestrijding noodzakelijk is.61 Hierbij gaat het om Wet en Besluit op het financieel toezicht, Besluit gedragstoezicht financiële ondernemingen endiverse regelingen van de toezichthouders DNB en AFM.62 Zie ook V.A. de Pous, Netwerk- en informatiebeveiligingsrecht, Amsterdam, 2010. ‘Nader beschouwd betreftnetwerk- en informatiebeveiliging bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiëlebouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw. Bescherming van de kritiekemaatschappelijke infrastructuren, bescherming van de fundamentele waarden en normen van het individu als burger,werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.’63 PWC en Iron Mountain. Zie http://blogs.ironmountain.co.uk/tag/corporate-information-responsibility/64 BYOD lijdt vrijwel onvermijdelijk tot ‘use your own app’ (bijvoorbeeld chat-programma’s en Facebook voorcommunicatie) en ‘use your own storage’ (zoals Dropbox, iCloud of Skydrive voor externe gegevensopslag).65 Zie bijlage B over de verschillen in manieren van werken sinds de opkomst van elektronische computers.66 Iedere overheidsorganisatie kan binnen grenzen haar waarden vaststellen bepalen. Wat voor organisatie wil zij zijn?Op welke manier wenst zij met personeel en buitenwereld — burgers, ondernemers, business- en ketenpartners, desamenleving — om te gaan? Vervolgens komt de vraag aanbod wat werknemer (en externe kenniswerker) in relatie totelektronische technologie en plaats- en tijdonafhankelijk werk mogen doen.67 Bovendien is Nederland partij bij internationale verdragen en op grond hiervan worden internationalerechtshulpverzoeken gedaan.© 2012 V.A. de Pous, Amsterdam 21
  • 22. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEConclusie De informatiemaatschappij komt na grosso modo zestig jaar commerciële elektronische verwerking en communicatie van gegevens op stoom. Zonder ICT staat de samenleving stil; zonder cloud computing komen we niet verder. Ook een Nederlandse overheidsorganisatie kan niet anders dan ‘cloud-actief’ te worden. Dat vraagt om beleid, waarbij strategische doelstellingen behoren te leiden. Van uitzonderlijk groot belang voor de voortgang van onze informatiemaatschappij is, dat we debatteren op rationele gronden en iedere clouddienst zorgvuldig op zijn merites beoordelen. Het recht vervult bij cloud computing een dubbelrol en acteert enerzijds als kaderscheppend voorschrift — dwingendrechtelijke wet- en regelgeving — en anderzijds als contractueel instrument om ICT en informatievoorziening ‘nieuwe stijl’ in goede banen te leiden.© 2012 V.A. de Pous, Amsterdam 22
  • 23. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEBijlage A: ICT-leveringsmodellenTime-sharing computing Client/server computing Cloud computingsinds jaren zestig sinds jaren tachtig in de 21ste eeuwPlaats- en tijdonafhankelijke toegang Plaatsgebonden toegang voor Dynamische plaats- en tijd-voor eindgebruikers (op afstand via eindgebruikers (op de zaak via LOCAL onafhankelijke toegang voortelefoonhuurlijn en werkstation); en WIDE AREA NETWORK en PC, meestal eindgebruikers (op afstand viagedeelde ICT-bronnen tijdens kantooruren); ongedeelde breedband-Internet en web- ICT-bronnen verbonden hardware), gedeelde ICT- bronnenMainframe staat in off premise Server en netwerk staan op de Servers staan in off premisedatacenter van service provider locatie van gebruikersorganisatie (on datacenter en verschillende premise) datacenters van diverse service providers kunnen een tijdelijke, wisselende virtuele computerfabriek vormenUitbesteding Meestal geen uitbesteding Meestal uitbesteding, maar hoeft niet (bij grotere organisaties)Gebruikersorganisatie heeft controle Gebruikersorganisatie heeft controle Gebruikersorganisatie heeft bijover - en kennis van exacte locatie over - en kennis van exacte locatie uitbesteding geen controle over - envan - de ICT-bronnen van - de ICT-bronnen kennis van exacte locatie van - de geleverde ICT-bronnen, tenzij contractactueel anders bepaaldService provider host en managed Interne ICT-afdeling host en Hosted and managed services door managed en via CLOUD SERVICE PROVIDERTechnologiemanagement ligt bij Technologie- en informatie- Technologiemanagement ligt bijservice provider; informatie- management liggen bij CLOUD SERVICE PROVIDER en informatie-management ligt bij gebruikers- gebruikersorganisatie management ligt bij de CLOUD SERVICEorganisatie PROVIDER en gebruikersorganisatieMeestal geen virtualisatie, statische Meestal geen virtualisatie, statische Virtualisatie by default, dynamischegegevensverwerking gegevensverwerking gegevensverwerkingSchaalbaarheid van ICT-bronnen Schaalbaarheid en elasticiteit van Vrijwel automatische en elastischedoor tussenkomst mensen ICT-bronnen door tussenkomst schaalbaarheid van ICT-bronnen mensenDoorgaans mono software-omgeving Hybride/mixed software-omgeving Hybride/mixed software-omgeving(van oudsher alleen niet-open source (open source en niet-open source (open source en niet-open sourcesoftware) software) is een optie software) by defaultBeperkte omvang computerrecht en Opkomst van bijzondere wetgeving Omvangrijk rechtskader voor digitalevrijwel uitsluitend in de vorm van voor digitale technologie en technologie en informatiemaat-contracten tussen leverancier en rechtspraak, nieuwe typen van schappij in de vorm van wet- enklant contracten regelgeving, beleid, rechtspraak en uiteenlopende contracten© 2012 V.A. de Pous, Amsterdam 23
  • 24. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEBijlage B: Manieren van werkenTraditioneel werken Telewerken Het nieuwe werkenPlaats- en tijdafhankelijke Plaats- en tijdonafhankelijke Organisatiebrede plaats- enorganisatiecultuur organisatiecultuur op basis van tijdonafhankelijke organisatiecultuur individuele privileges waarin kennisdeling en klantgerichtheid centraal staanVaste, reguliere arbeidstijden (9-5) Combinatie van vaste en flexibele Flexibele arbeidstijden, ruimere arbeidstijden openingstijden van kantoor, bedrijfsnetwerk is 24/7 openCentraal: uitsluitend op kantoor Centraal/decentraal: op kantoor en Volledig decentraal: in and out-of- thuis (of in telecenter) office (inclusief de derde werkplek)Toegewezen, vaste werkplek op de Meestal twee toegewezen, vaste Flexibele (unasigned & activity-zaak (een werkplek per werknemer) werkplekken (op de zaak en based) werkplekken op kantoor; additionele werkplek thuis of in minder werkplekken dan telecenter) werknemers (optimalisering bezettingsgraad/hoteling)Doorgaans alleen eigen personeel Opkomst van tijdelijke krachten Mix van interne en externe kenniswerkersTraditionele werkomgeving en Traditionele werkomgeving en Open, activity-based werk-omgevingstandaard kantoorindeling standaard kantoorindeling en en indeling kantoor, op maat standaard werkplek thuis of in ontwikkeld voor de organisatie, telecenter derde werkplekken everywhereSturing werknemer op basis van Sturing werknemer op basis van Sturing werknemer op basis vanaanwezigheid aanwezigheid en output resultaat (output) en/of contributie (outcome) en (vooral) zelfsturingWerkgever heeft directe supervisie Werkgever heeft indirecte supervisie Werkgever heeft primair een faciliterende en ondersteunde functieWerknemer heeft beperkte Werknemer heeft meer Werknemer heeft grote, eigenverantwoordelijk voor de organisatie verantwoordelijk voor het verantwoordelijkheid voor hetzijn werk organiseren van zijn werk (waar en organiseren van zijn werk op basis wanneer) van quided autonomyStrikte scheiding tussen werk en Minder strikte scheiding tussen werk Scheiding tussen werk en privéprivé en privé vervaagt uiteindelijk grotendeelsStandaard ICT-gebruik, op vaste Standaard ICT-gebruik, ook op Interactief, real-time, plaats- enwerkplekken en tijdens reguliere afstand van kantoor, hoofdzakelijk tijdonafhankelijk ICT-gebruikarbeidstijden tijdens reguliere arbeidstijden (everywhere, everytime)Mainframe computing en later Client/server computing en Internet Cloud computing en Internet (Web)client/server computing 1.0 (e-mail, surfing en e-commerce) 2.0 via vast en draadloos breedband via vaste-lijn inbelverbinding InternetBeperkte omvang ICT-recht voor Toename ICT-recht voor werkgever Omvangrijk cluster ICT-recht voorwerkgever (en nauwelijks voor en werknemer werkgever en werknemer (ook alswerknemer) burger)© 2012 V.A. de Pous, Amsterdam 24
  • 25. NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSEColofonNaar ‘cloud-actieve’ overheidsorganisaties is geschreven door Mr. V.A. de Pous, zelfstandig bedrijfsjurist en industrieanalist teAmsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatie-maatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: J.A. Gerritse.Selectieve bibliografieComputerrecht, Amsterdam, 1982 Praktijkvisies op het nieuwe werken (redactie met Drs. J.M.M. van der Wielen), Baarn, 2010Het recht van overheidsautomatisering, Stichting hetExpertise Centrum, Den Haag, 1995 Het nieuwe werken in juridisch perspectief, tweede druk, Amsterdam, 2011Het recht op stroomlijning basisregistraties; Juridischkader authentieke registraties, ICTU, Den Haag, 2002 Praktijkvisies op cloud computing (redactie), Stichting EuroCloud Nederland, Haarlem, 2011Open source software en politiek / Open SourceSoftware and Politics / 策政と アエウ トフソス ー ソンプーオ Recht voor een nationale informatiesamenleving,/ 策政 及件软 源开 , Amsterdam, 2004 Amsterdam, 2011 (ook opgenomen in de bundel Interoperabel Nederland (redactie Peters Waters, NicoRecht op ICT-interoperabiliteit, GBO.Overheid, Den Westpalm van Hoorn, Pieter Wisse, ForumHaag, 2008 Standaardisatie, Den Haag, 2011)Data Storage Recht; Wat managers en ICT-professionals Open Source Computing and Public Sector Policy,behoren te weten, Amsterdam, derde druk, 2009 Amsterdam, 2011 (ook opgenomen in de bundelIn and out-of-office working; Juridische aspecten van Interoperabel Nederland (redactie Peters Waters, Nicohet nieuwe werken voor werkgevers, Amsterdam, 2009 Westpalm van Hoorn, Pieter Wisse, Forum Standaardisatie, Den Haag, 2011)Zakendoen met de overheid; Public procurement voorICT-leveranciers, Amsterdam, 2010 FAQ Cloud computing juridisch, Amsterdam, 2012Softwarebusiness loopt op copyright, Amsterdam, 2010 Cloud computing en het nieuwe Amerikaanse overheidsbeleid (voor Forum en CollegeSoftwarekwaliteit en garantierechten, Amsterdam, 2010 Standaardisatie), Amsterdam, 2012Julianapark, Anton Constandsestraat 16, Postbus 51005, 1007 EA AmsterdamTelefoon: 020-665.57.38, Fax: 020-665.58.18, E-mail: depous@planet.nl, Blog: http://depous.blogspot.com/Fonds: http://technologierecht.blogspot.com/Leitmotiv History Advancement Information societyAddressing the legal During its first 50 years A more advanced and Computer law today mustaspects of digital computer law referred to a structured approach to provide solid, well-balancedtechnology strategically loose collection of diverse computer law in the 21st legal constructions for living,creates economic value, legal aspects of electronic century focuses on legal working, and doing businessreduces risks and optimizes processing and frameworks for the in a sustainable informationassets. communication of data. demand-driven availability society, fitting to its people of robust, secure and and national identity. interoperable digital products and services.© 2012 V.A. de Pous, Amsterdam 25

Related Documents