cloud computing in juridisch perspectief

Transcriptie

1 Trendanalyse cloud computing in juridisch perspectief Mr. V.A. de Pous Versie V.A. de Pous, Amsterdam Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden de auteur, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan.

2 Key issues Cloud computing betreft een nieuw leveringsmodel voor ICT. Software, rekenkracht en gegevensopslag worden als een automatisch schaalbare dienst op afroep geleverd en zijn door middel van virtualisatietechnieken losgekoppeld van de fysieke computerfaciliteiten in datacenters. Hierdoor krijgt de gegevensverwerking via Internet een gedistribueerd, vloeibaar en vaak grensoverschrijdend karakter, terwijl de gebruikersorganisatie bij uitbesteding zeggenschap en controle inlevert. Deze kenmerken kunnen met rechtsnormen wringen. Mede op deze grond werkt de communautaire wetgever aan nieuwe regels voor de verwerking van persoonsgegevens. Nog dit jaar wordt een concreet wetsvoorstel verwacht. Ook de huidige privacyregels raken alle bedrijven en overheidsorganisaties in hun bedrijfsvoering, omdat beiden klantgegevens en personeelsinformatie verwerken; on premises of in the cloud. Bij de inzet van cloud-computingdiensten moeten contractuele afspraken meer dan ooit taken en verantwoordelijkheden helder maken en ook nog eens de bijzondere risico s van het afnemen van digitale technologie als dienst beperken. Die betreffen vooral netwerk- en informatiebeveiliging, LEGAL COMPLIANCE en de continuïteit van de geleverde dienst, mede met het oog op het kunnen veranderen van CLOUD SERVICE PROVIDER. Besef goed dat de cloud-dienstenmatrix zowel feitelijk als voor wat betreft haar juridisch kader volop in ontwikkeling is. Een nieuw leveringsmodel Cloud computing oogt eenduidig en verassend simpel. Een techneut tekent enkele computers en softwarediensten en verbindt deze met Internet. Maar over de precieze invulling van the cloud als nieuw leveringsmodel voor ICT sluiten de rijen zich niet. Zoekmachines op Internet en de dienst Hotmail (1996) waren de eerste voorbeelden avant la lettre, in 1999 gevolgd door SalesForce.com en drie jaar later door Amazon Web Services. Exemplarisch voor cloud-computingdiensten zijn tegenwoordig ook de populaire sociale netwerken FaceBook en YouTube. Het gaat tenminste om op het web-gebaseerde software en informatie, die niet bij de gebruiker, maar op informatiesystemen in datacenters staan. De gegevenswerking vindt gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma s en de informatie los gekoppeld zijn van de fysieke hardware en infrastructuur. Volgens het gezaghebbende National Institute of Standards and Technology (NIST) in de Verenigde Staten betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten (computerbronnen), die worden gedeeld en op afroep door middel van automatische zelfbediening geleverd. Cloud computing betekent uiteindelijk ook: de industrialisatie van ICT, vergelijkbaar met de electricificatie van honderd jaar geleden. Stroom uit de muur, op basis van een bepaalde standaard, bij ons 50 hertz/220 volt V.A. de Pous, Amsterdam 2

3 Fundamenteel anders Het feit dat cloud computing zowel technologisch als bedrijfsmatig en organisatorisch fundamenteel iets anders is, wil niet automatisch zeggen dat we met afwijkende rechtsaspecten van doen hebben. Maar wie al denkend de Amerikaanse definitie in het vizier houdt, begrijpt al snel dat het juridische raamwerk voor cloud computing zich daadwerkelijk onderscheidt van dat voor het klassieke leveringsmodel voor gegevensverwerking. Dat geldt in het bijzonder wanneer we het over een uitbestedingsrelatie hebben, dus wanneer een gebruikersorganisatie een dienst van een CLOUD SERVICE PROVIDER afneemt. In deze omstandigheid heeft zij in de regel: geen controle over en kennis van de geleverde ICT-onderdelen en het virtuele informatiesysteem als geheel; geen controle over en kennis van de exacte locatie van de geleverde ICTonderdelen en het virtuele informatiesysteem; een sterke afhankelijkheidssituatie ten opzichte van de CLOUD SERVICE PROVIDER en de gebruikte technologie, mede omdat zowel de ICT-onderdelen als de bedrijfsinformatie in letterlijk in handen zijn van deze leverancier en zijn toeleveranciers. Zowel de diverse feitelijke als technologische aspecten van het leveringsmodel zorgen voor juridische veranderingen. Zo wordt er immers geen product, maar een dienst geleverd, ontvangt de gebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt en vraagt de licentieverlening van computerprogramma s bij virtualisatie om andere contractuele modellen, nu de een-op-een relatie met apparatuur en besturingssysteem niet langer bestaat. Waarom eigenlijk? Hoewel voorstanders als regel de positieve financiële en budgettaire aspecten benadrukken die door de technologische efficiencyverbetering ontstaan, faciliteert dit leveringsmodel tijd- en plaatsonafhankelijk handelen in optima forma. Denk aan werken, besturen, zakendoen en, natuurlijk, een brede reeks van activiteiten voor en in ons privéleven. Deze organisatorische efficiencyverbetering maakt samen met de ontsluiting van ongekende innovaties cloud computing buitengewoon aantrekkelijk en mijns inziens zelfs onvermijdelijk. Tegenstanders wijzen vooral op het ontstaan van sterke lock-in omstandigheden ten opzichte van leverancier en techniek. Bovendien wordt gevreesd voor inbreuken op de veiligheid en integriteit van de uitbestede informatiesystemen. Ook de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in haar Kwetsbaarheidsanalyse Spionage van 2010 op negatieve aspecten van cloud computing. Van uitzonderlijk groot belang voor onze informatiemaatschappij is dat we deze debatten op rationele gronden voeren en de technologie, de CLOUD SERVICE PROVIDERS en de dienstverlening zorgvuldig op de merites beoordelen. In het ICT-domein zagen we eerder onder meer in relatie tot open source software dat emotie en botsende meningen zelden tot waarheidsvinding of goede beslissingen of gedegen beleid leiden V.A. de Pous, Amsterdam 3

4 Vast staat in ieder geval dat net zo als de brede en laagdrempelige beschikbaarheid van Internet ondernemerschap tijdens de laatste vijftien jaar in veel bedrijfstakken op zijn kop zette cloud computing eveneens ingrijpende gevolgen zal hebben voor traditionele bedrijfsmodellen en allerhande gewoonten en gebruiken; nadrukkelijk ook buiten de ICT-sector. Anders gezegd: cloud computing gaat zich als een ontwrichtende technologie bij uitstek manifesteren. Grondrechten Volgens de Europese Commissie moeten essentiële rechten voor individuen (ook) in de digitale wereld worden gegarandeerd. Denk daarbij aan controle houden over de eigen informatie: toegang tot persoonlijke informatie krijgen en deze kunnen wijzigen en verwijderen. Dit noemen we wel INFORMATIONELE PRIVACY. Op grond van deze uitgangspunten formuleerde Brussel eind 2010 een strategie voor de bescherming van persoonsgegevens op alle beleidsgebieden, de wetshandhaving incluis. Tegelijkertijd wil het dagelijks bestuur van de Europese Unie formaliteiten voor het bedrijfsleven terugdringen en het vrije gegevensverkeer binnen de EU waarborgen. Dit jaar komt er een wetsvoorstel dat de Richtlijn privacybescherming uit 1995 volledig herziet. Daarin gaat het onder meer om het volgende. Versterking van de rechten van individuen. De hoofdregel gaat luiden dat het verzamelen en gebruiken van persoonsgegevens tot het noodzakelijke minimum moet worden beperkt. Mensen moeten duidelijk en transparant worden geïnformeerd over hoe, waarom, door wie en hoe lang hun gegevens worden verzameld en gebruikt. Mensen moeten bijvoorbeeld bij het gebruik van Internet uitdrukkelijk toestemming kunnen geven voor het verwerken van hun persoonsgegevens. Iedereen heeft het recht te worden vergeten wanneer gegevens niet langer nodig zijn of wanneer iemand zijn gegevens wil laten wissen. Verdere uitwerking van de interne marktdimensie door terugdringing van de administratieve lasten voor het bedrijfsleven en opstelling van gelijke voorwaarden voor iedereen. De huidige verschillen bij de uitvoering van de communautaire privacyregels (onderscheid in regelgeving) en onduidelijkheid over de vraag van welke lidstaat de regels gelden (welk nationaal recht is van toepassing?), zijn nadelig voor het grensoverschrijdende vrije verkeer van persoonsgegevens binnen de unie. Ze werken bovendien kostenverhogend. Zorgen voor goede bescherming bij doorgifte van gegevens naar buiten de EU. De procedures voor internationale gegevensdoorgifte worden verbeterd en gestroomlijnd. De EU gaat er voor zorgen, dat bij de samenwerking met derde landen persoonsgegevens even goed worden beschermd. Effectievere handhaving. De rol en de bevoegdheden van de toezichthouders op gegevensbescherming, zoals in Nederland het College Bescherming Persoonsgegevens, worden versterkt en verder geharmoniseerd V.A. de Pous, Amsterdam 4

5 Netwerk- en informatiebeveiliging Wie persoonsgegevens zegt, behoort als bestuurder tevens te zeggen: het nemen van maatregelen om dit type (bedrijfs) informatie te beschermen. Degene die verantwoordelijk is voor een gegevensverwerking moet namelijk passende technische en organisatorische maatregelen ten uitvoer leggen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Onder onrechtmatige vormen van verwerking vallen de aantasting van de gegevens, onbevoegde kennisneming, wijziging, of verstrekking daarvan. De beveiligingsverplichting strekt zich uit tot alle onderdelen van het proces van gegevensverwerking. Van aanmaken, opslag en gebruik tot archivering en vernietiging. Maatregelen De technische en organisatorische maatregelen vallen uiteen in twee categorieën: technische maatregelen betreffen de logische en fysieke maatregelen in en rondom de informatiesystemen, zoals toegangscontroles, vastlegging van gebruik en back-up; organisatorische maatregelen hebben betrekking op de inrichting van de organisatie en op de verwerking van de persoonsgegevens, zoals de toekenning en toedeling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen. Passend beschermingsniveau Algemeen gesproken moeten de netwerk- en informatiebeveiligingsmaatregelen volgens de wet een passend beschermingsniveau garanderen. Er daarbij is nadrukkelijk geen sprake van een one-size-fits-all oplossing. Speciaal voor persoonsgegevens wegen drie factoren mee: de risico s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, de stand der techniek en de kosten om de beschermingsmaatregelen uit te voeren. Naar mate persoonsgegevens een gevoeliger karakter hebben, worden er zwaardere eisen aan de beveiliging gesteld. De wettelijke beschermingsvoorschriften zijn echter tot stand gekomen in een tijd waarin informatieverwerking vooral een statisch karaker had. Software als dienst (SaaS) en andere vormen van cloud computing maken gegevensverwerking echter meer dynamisch. We kunnen niet of tenminste niet gemakkelijk aanwijzen waar precies welke gegevens worden verwerkt en zijn opgeslagen. Deze en andere ontwikkelingen zorgen er voor dat naleving van wettelijke beveiligingsmaatregelen voor de elektronische omgeving anders en complexer wordt. Daarnaast moeten contractuele afspraken taken en verantwoordelijkheden helder maken en risico s beperken. Concreet: CLOUD SERVICE PROVIDERS zullen meer dan nu het geval is, moeten verklaren en garanderen dat zij zich aan het wettelijke netwerk- en informatiebeveiligingsrecht houden V.A. de Pous, Amsterdam 5

6 Legal compliance In geval van zelf doen en bij uitbesteding moet de verwerking van bedrijfsinformatie door alle betrokken partijen in de automatiseringsketen, waaruit cloud-computingdiensten worden opgebouwd, te allen tijde op een rechtmatige wijze gebeuren. Zo luidt het centrale voorschrift. Dat wil primair zeggen in overeenstemming met wet- en regelgeving en secundair conform contractuele afspraken. Vooral de wettelijke voorschriften voor verwerking van persoonsgegevens springen hierbij in het oog, waaronder de organisatorische en technische beveiliging van het gehele verwerkingsproces. Ook mogen in Nederland persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EER) worden verwerkt. Deze jurisdictie ziet toe de 27 lidstaten van de EU plus IJsland, Noorwegen en Liechtenstein. De communautaire privacywetgeving, die bij ons onder meer is omgezet in de generieke Wet bescherming persoonsgegevens en in sectorale wetten en regels, kent verschillende sleutelbegrippen, waaronder de verantwoordelijke en de bewerker. Beiden dragen eigen wettelijke verantwoordelijkheden. In het kader van het verrichten van cloud-computingsdiensten door derden ligt het voor de hand de gebruikersorganisatie de eigenaar van de informatie als de verantwoordelijke aan te merken en beschouwen we de CLOUD SERVICE PROVIDER als bewerker. Maar pas op. Onlangs wezen de Europese privacytoezichthouders op de situatie dat er in toenemende mate scenario s te schetsen zijn, waarbij verantwoordelijken en bewerkers allebei een rol spelen en waarbij het lastig vast te stellen is wie welke verantwoordelijkheid heeft. Tegen deze achtergrond is er een opinie opgesteld, die nadere uitleg geeft over deze begrippen. Burgers moeten namelijk weten aan wie zij vragen kunnen stellen over de over hen opgeslagen persoonsgegevens en waar zij zo nodig hierover een klacht kunnen indienen. Vervolgens kennen we allerlei wettelijke bewaarverplichtingen voor bedrijfsinformatie, waar de belastingplichtige, die van een externe cloudcomputingdienst gebruikt maak, zelf voor verantwoordelijk is en blijft. Zo geldt op grond van het Burgerlijk Wetboek en de Algemene Wet inzake Rijksbelastingen (AWR) de algemene fiscale bewaarplicht van zeven jaar voor alle bedrijfsinformatie, die van belang is voor de belastingheffing. Daarnaast is de kwaliteit van de analoge en digitale informatietechniek belangrijk voor de administratie. Daarvoor hanteert de wetgever een open normstelling. Ten aanzien van het bewaren van gegevens van de administratieplichtige wordt verwacht dat hij die maatregelen neemt welke, gelet op de aard en de omvang van het bedrijf en de toegepaste administratieve techniek, redelijkerwijze van hem kunnen worden verlangd, teneinde te bevorderen dat de administratie in goede staat bewaard blijft, zodat de fiscus te allen tijde een controle kan uitvoeren. Bij de afname van cloudcomputingdiensten moeten contractuele afspraken dus de goede staat van de administratie die op ieder moment kan worden gecontroleerd borgen V.A. de Pous, Amsterdam 6

7 Continuïteit Cloud computing is een nieuwe leveringswijze van ICT. Het gaat om een keten van automatiseringsdiensten, ontwikkeld en samengesteld uit diverse elektronische bouwstenen van en door verschillende producenten en diensverleners. Op basis hiervan wordt uiteindelijk een ICT-dienst aan een gebruikersorganisatie geleverd. Dat kan een dienst zijn die de eigen automatiseringsafdeling (meestal on-premises) verzorgt, maar vaker zullen cloud-computingdiensten het karakter van een outsourcingsrelatie hebben. De ingekochte diensten kunnen openbaar (publiek toegankelijk en gestandaardiseerd), privaat (gesloten en doorgaans op maat) of hybride (een tussenvorm) van karakter zijn en bestaan uit de levering van software (SaaS), platformen (PaaS) en/of infrastructuur (IaaS). Er is dus sprake van een dienstenmatrix, die echter volop in ontwikkeling is. Uiteindelijk kan zo ongeveer alles kan als dienst worden aangeboden: testen, beheer, informatie, desktops en bijvoorbeeld opslag. Alleen kijkend naar de technologische efficiencyverbetering, zijn waarschijnlijk third-party cloud-computingdiensten het meest interessant. Betaling voor gebruik vervangt immers de eigen investeringen in ICT. Daarnaast worden er computerfaciliteiten gedeeld en dat geldt in feite ook voor de vaak schaarse en kostbare expertise van ICT-ers. Anders gezegd: gebruikersorganisaties kunnen optimaal profiteren economies of scale and skills. Daar staat tegenover dat juridisch bezien deze categorie in zoverre het meest uitdagend is, omdat door het uitbesteden per definitie taken en verantwoordelijkheden verschuiven en de afhankelijkheid van de gebruikersorganisatie ten opzichte van techniek en leverancier toeneemt. Interoperabiliteit vereist Het samengestelde karakter van ICT nieuwe stijl (techniek en leveranciers), maakt interoperabiliteit meer dan ooit in de zestigjarige geschiedenis noodzakelijk. Los daarvan, creëert interoperabiliteit, dankzij de beschikbaarheid van technische informatie, toegang tot markten. Interoperabiliteit zorgt dus eveneens voor handelsbevorderende en concurrentiestimulerende effecten. In het perspectief van de informatietechniek heeft interoperabiliteit betrekking op de situatie dat apparatuur, programmatuur en infrastructuur van dezelfde en juist verschillende producenten, dankzij de beschikbaarheid van informatie over technische interfaces, op elkaar zijn aan te sluiten en uitstekend samenwerken. Juridisch bezien beschikt iedere licentienemer op een computerprogramma over een wettelijk recht op wat je kunt noemen technische interoperabiliteit (tegenover organisatorische en/of semantische interoperabiliteit). Dat komt neer op een recht op REVERSE ENGINEERING decompilatie van de runcode in de omstandigheid dat een softwareproducent zijn gegevens omtrent een interface (de technische informatie) ten behoeve van de beoogde koppeling en interactie niet ter beschikking stelt. Dit wettelijk recht op het tot stand brengen van het vermogen om informatie uit te wisselen en om deze uitgewisselde 2011 V.A. de Pous, Amsterdam 7

8 informatie onderling te gebruiken is in het samengestelde kader van cloud computing ronduit essentieel. Zowel gebruikersorganisaties als CLOUD SERVICE PROVIDERS kunnen hiermee hun voordeel doen. Transparantie Het staat buiten kijf dat in de automatiseringsketen, waarbinnen cloudcomputingdiensten met behulp van diverse technologie door leveranciers en toeleveranciers worden opgebouwd, tevens de meeste technologische en bedrijfsmatige aspecten samenkomen. Deze omstandigheid werkt juridisch door. Zo zullen licentieovereenkomsten van producenten van allerhande bedrijfssoftware de CLOUD SERVICE PROVIDERS de bevoegdheid moeten geven om hun programmatuur ten behoeve van anderen te laten draaien. Even een stap terug. Aandacht vragen allereerst de juridische voorwaarden voor computerprogramma s in een virtuele omgeving. De software is dan losgekoppeld van een besturingssysteem en fysieke apparatuur. Dat vraagt, bezien door de bril van de gebruiker, om eenduidige en goed te budgettere en af te rekenen licentiemodellen, zonder dat bijvoorbeeld de kosten voor gebruik bij ongewijzigde bedrijfsprocessen stijgen. Belangrijk is verder de keuze voor het toepasselijke recht, die de rechtsverhouding tussen partijen normeert. Nederlandse gebruikersorganisaties willen graag op basis van het Nederlandse recht zakendoen en willen waarschijnlijk weten waar hun gegevens worden verwerkt. Zoals zojuist aangegeven, wie persoonsgegevens buiten de EER laat verwerken, hoeft toestemming van de overheid nodig. De dwingendrechtelijke wettelijke kaders voor digitale technologie en (bedrijfs)informatie, waarvan dus contractueel niet kan worden afgeweken, vormen de piketpalen voor het juridisch raamwerk van cloud computing, dat nader door overeenkomsten moet worden ingevuld. Als achtergrond geldt daarbij het continue karakter van de dienst. Evenwichtige afspraken moeten mede tot een in tijd duurzame rechtsverhouding leiden, nu cloudcomputingdiensten in beginsel immers duurovereenkomsten van opdracht betreffen. Dat vraagt om redelijkheid en billijkheid van twee kanten, maar dit juridische uitgangspunt mag niet ten koste gaan van de transparantie over wie, wat, waar en tenminste voor deel ook hoe. De gebruiker blijft immers altijd juridisch eindverantwoordelijke voor zijn bedrijfsinformatie; ook als die zich ergens in de wolken bevindt. Trends en analyses Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21 ste eeuw. Het betreft een nieuwe leveringswijze van ICT, die zich evolutionair ontwikkelt. Technologisch is het omslagpunt in zoverre bereikt, omdat een aantal essentiële informatietechnieken, waaronder virtualisatie en breedbandnetwerken, inmiddels algemeen en laagdrempelig beschikbaar zijn. Besef goed dat de 2011 V.A. de Pous, Amsterdam 8

9 cloud-dienstenmatrix zowel feitelijk als voor wat betreft haar juridisch kader volop in ontwikkeling is. Belangrijk is verder dat zowel meer algemene pro en contra-debatten als discussies in het concrete geval over de vraag wanneer en waarvoor cloud computing past, op rationele gronden worden gevoerd. Ook in het ICTdomein bijvoorbeeld in relatie tot open source software blijkt immers dat emotie en botsende meningen zelden tot waarheidsvinding of goed beleid leiden. Met de komst van cloud-dienstenmatrix verandert ICT niet alleen van een verzameling producten in allerlei diensten van continue levering, ook neemt de afhankelijkheid van gebruikersorganisaties ten opzichte van leveranciers en technologie toe. Dat legt nog meer de nadruk op de vraag wie waarvoor verantwoordelijk en aansprakelijkheid is. Contracten moeten helderheid bieden. Bovendien vereist de afhankelijkheid ten opzichte van leveranciers en technologie andere en vooral andersoortige continuïteitsmaatregelen. De gebruikersorganisatie wil om uiteenlopende redenen de mogelijkheid hebben snel over te stappen naar een andere CLOUD SERVICE PROVIDER, of in sommige situaties, wellicht de cloud-compuntingdienst zelf te verzorgen. Technische standaarden met inbegrip van de specificaties voor gegevensindeling (DATA FORMATS) met een meer open karakter helpen daarbij, net zo als een contractuele overdrachtsregeling en afspraken over SaaS-escrow (depot van bedrijfsinformatie en technologie bij een onafhankelijke derde) goede diensten kunnen bewijzen. LEGAL COMPLIANCE krijgt in het kader van cloud computing andere dimensies, onder meer vanwege het achterliggende technologisch concept (dynamische verwerking, door derden), het aspect van ketenautomatisering (meerdere dienstverleners) en het vloeibare en mogelijke grensoverschrijdende karakter van de informatieverwerking. Daarbij gaat het om het voldoen aan wet- en regelgeving (REGULATORY COMPLIANCE) en aan andere juridische voorschriften (CONTRACTUAL COMPLIANCE) V.A. de Pous, Amsterdam 9

10 Colofon Cloud computing in juridisch perspectief is geschreven door mr. V.A. de Pous, zelfstandig bedrijfsjurist en industry analyst te Amsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatiemaatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: J.A. Gerritse. Selectieve bibliografie boeken, rapporten en white papers Mission statement Computerrecht, Amsterdam, 1982 Het recht van overheidsautomatisering, Stichting het Expertise Centrum, Den Haag, 1995 Open source software en politiek, Amsterdam, 2004 (ook beschikbaar in het Engels, Japans en Mandarijn) BPO Escrow; Continuïteit bij uitbesteding van bedrijfsprocessen, Amsterdam, 2006 Open technologie 1.0, Amsterdam, 2006 Data Storage Recht; Wat managers en ICT-professionals behoren te weten, Amsterdam, 2007, 2008, 2009 Recht op ICT-interoperabiliteit, GBO.Overheid, Den Haag, 2008 In and out-of-office working; Juridisch aspecten van het nieuwe werken voor werkgevers, Amsterdam, 2009 Open source software 2010, Amsterdam, 2010 Zakendoen met de overheid; Public procurement voor ICTleveranciers, Amsterdam, 2010 Outlook ICT-recht 2011, Amsterdam, 2011 During its first 50 years computer law referred to a loose collection of diverse legal aspects of electronic processing and communication of data. A more advanced and structured approach to computer law for the 21st century focuses on legal frameworks for the demanddriven availability of robust, secure and interoperable digital technology: products, services and infrastructure. Computer law today must provide solid, well-balanced legal constructions for living, working, and doing business in a secure and sustainable information society. Julianapark, Anton Constandsestraat 16 Postbus 51005, 1007 EA Amsterdam Voice: Fax: depous@planet.nl Blog: Fonds: Versie 1.0 (20MAR2011) 2011 V.A. de Pous, Amsterdam 10