Naar cloud-actieve overheidsorganisaties

executiveanalyse Naar cloud-actieve overheidsorganisaties Mr. V.A. de Pous Deze Executive Analyse bevat de onafhankelijke visie van de auteur en wordt aangeboden door PinkRoccade en verspreid door VNU Exhibitions Europe, organisator van de beurs Overheid & ICT April 2012

2012 V.A. de Pous, Amsterdam Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteur, eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor gevolgen hiervan. 2012 V.A. de Pous, Amsterdam 2

Executive headlines Plaats- en tijdonafhankelijk handelen door mensen (leven, werken, zakendoen, besturen) en in toenemende mate tussen dingen (THE INTERNET OF THINGS) vormt de geconsolideerde megatrend in de samenleving van de 21 ste eeuw, die wordt ontsloten en gefaciliteerd door cloud computing. Cloud computing is geen (nieuwe) technologie maar betreft een leveringswijze van ICT als afroepbare en automatisch schaalbare dienst via Internet op basis van ketenautomatisering in datacenters; evolutionair ontstaan door virtualisatie, webgebaseerde gegevensverwerking en de generieke en laagdrempelige beschikbaarheid van breedband Internet. Sinds september 2009 hervormt de federale Amerikaanse overheid in hoog tempo de eigen informatiehuishouding. Het moet anders, vooral efficiënter, doelmatiger en goedkoper. Centraal staat cloud computing. Het nieuwe beleid kan op brede steun rekenen, hoewel we ook kritiekpunten horen. Andere landen en regio s zijn gaan volgen. Op grond van de in ontwikkeling zijnde Europese Cloud Computing Strategie (aangekondigd in januari 2011) moet Europa cloud-vriendelijk en cloudactief worden. Cloud computing houdt de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt ook voor overheidsorganisaties. Gebruikers van externe clouddiensten zijn bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit en bijvoorbeeld over lock-in situaties en juridische onzekerheden. De Europese Commissie wil nadrukkelijk zorgen en obstakels wegnemen. Allereerst wordt het privacyrecht aangescherpt en uniform geharmoniseerd (wetsvoorstellen van januari 2012) en komt er een coherent cloudvriendelijk juridisch raamwerk (aangekondigd januari 2012). Daarnaast gaat het om de oprichting van het European Cloud Partnership (aangekondigd januari 2012) tussen publieke en private sector om de positie van de overheid als inkoper van clouddiensten door middel van harmonisatie en integratie te versterken. Zelfs grensoverschrijdende PUBLIC PROCUREMENT behoort straks tot de mogelijkheden. Niets doen is geen optie. Cloud computing betekent een onvermijdelijk ICTleveringsmodel. Overheidsorganisaties in ons land ontkomen niet aan beleidsontwikkeling voor clouddiensten. Daarbij behoren strategische doelstellingen te leiden en de diverse aspecten van een clouddienst op hun merites te worden beoordeeld. Van bestuurders vragen we voldoende perceptievermogen. 2012 V.A. de Pous, Amsterdam 3

Inhoud Executive headlines Voorwoord Inzicht, nuance en pragmatisme Voor- en nadelen Briefkaart uit Washington DC Ook Europa zegt volmondig ja Privacyregels voor cloudddiensten Samen sterk pan-europees inkoopbeleid De gesloten Rijkscloud Open overheidsinformatie is regel Aanknopingspunten juridisch raamwerk Vijftien analyses Conclusie Bijlage A: ICT-leveringsmodellen Bijlage B: Manieren van werken Colofon 2012 V.A. de Pous, Amsterdam 4

Voorwoord ICT is tegenwoordig te belangrijk om aan techneuten over te laten is geen grappig gevonden oneliner voor Binnenhofbarbecue of raadsvergadering, maar een pragmatische constatering, die goed beschouwd al decennia geldt. Evenzeer vereist cloud computing weliswaar geen technologie, maar een leveringswijze van ICT als dienst via Internet de onverwijlde aandacht van het bestuur van overheidsorganisaties. Cloud computing betreft namelijk, in navolging van de explosieve adoptie door consument en ondernemer, een cruciale modus voor informatiehuishouding en dienstverlening van iedere overheidsorganisatie. Een die nooit meer wegwaait. Zonder clouddiensten geen succesvolle nieuwe manieren van werken, effectieve rampenbestrijding of doelgerichte en efficiënte dienstverlening aan de burger. Dit rapport is geschreven in het kader van Overheid & ICT, editie 2012, vanuit de notie dat het leveringsmodel inzicht van bestuurders verlangt. De inhoud is onafhankelijk tot stand gekomen en geeft niet noodzakelijkerwijs de visie van beursorganisator VNU Exhibitions Europe of sponsor PinkRoccade weer. Amsterdam, 17 april 2012 Victor de Pous 2012 V.A. de Pous, Amsterdam 5

Inzicht, nuance en pragmatisme Recent besloot de gemeente Groningen niet over te stappen naar cloud computing. 1 Onafhankelijk of de reikwijdte van buitenlandse wetgeving en buitenlandse overheidsbemoeienis waar Nederlandse staatsburgers 2 in bepaalde omstandigheden, zonder de landgrens te passeren, mee te maken kunnen krijgen voldoende grond voor afwijzing vormt, leidt een dergelijke casus gemakkelijk tot ongenuanceerde beeldvorming. Cloud computing kennen we namelijk in soorten en maten. Ze bestaat uit een matrix van ICT-diensten. Uiteindelijk kan zo ongeveer alles technologie en informatievoorziening als dienst op afroep, geautomatiseerd via Internet worden geleverd. We registreren expliciet diverse service- en toepassingsmodellen, nader te detailleren door de uiteenlopende categorieën van gegevens. Bovendien zijn er verschillende dienstverleners: de interne ICT-afdeling of (externe) CLOUD SERVICE PROVIDER. In theorie en praktijk zien we tevens allerhande mengvormen. Vooral bij uitbesteding kunnen relevante criteria zich aandienen voor de werkingssfeer van wet- en regelgeving van andere soevereine staten. Kadering Wat behelst cloud computing? Een informaticus tekent computers en softwarediensten en verbindt deze met Internet. Zo ontstond de wolk als metafoor. De zoekmachines Lycos en Yahoo (1994) en de e-maildienst Hotmail (1996) waren de voorbeelden avant la lettre, maar een reserveringssysteem voor de luchtvaart maakte omstreeks 1960 al van een cloudmodel gebruik. Exemplarisch vandaag zijn Amazone Web Services (infrastructuur), Salesforce (bedrijfssoftware), kantoorpakketten Google docs en Microsoft Office365 en de immens populaire sociale netwerken FaceBook en YouTube. 3 Om nog maar te zwijgen van de letterlijk ontelbare APPS 4 voor smartphones en tablets. Cloud computing voltrekt zich grotendeels onzichtbaar. Toch toont zij zich aan eindgebruikers, en wel als webgebaseerde software en informatie, die niet op hun computer of binnen de organisatie vastgelegd is, maar op informatiesystemen in datacenters elders. De verwerking vindt gevirtualiseerd plaats, dat wil zeggen dat computerprogramma s en informatie losgekoppeld zijn van de fysieke hardware en infrastructuur. 5 Gegevensverwerking verandert hierdoor van karakter en wordt non-permanent en dynamisch; bijna vloeibaar. 1 http://www.kinggemeenten.nl/data/king-cases/king-informeert-groningen-over-cloud-computing. Hoewel de datum ontbreekt, stamt de aankondiging waarschijnlijk van 25 januari jl. 2 En anderen wiens persoonsgegevens een Nederlandse overheidsorganisatie verwerkt. 3 Denk ook aan opslagdiensten, zoals Dropbox, icloud (Apple) en Skydrive (Microsoft) en Internet-bankieren. 4 In de gemeentelijke sfeer worden APPS extern toegepast voor bijvoorbeeld meldingen (o.a. over zwerfafval http://www.vng.nl/ecache/def/1/05/914.html) en intern voor de papierloze organisatie (vergaderen). 5 Volgens de algemeen aanvaarde omschrijving van het Amerikaanse National Institute of Standards and Technology (NIST) betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten (ICT-bronnen), die worden gedeeld (POOLING, MULTI-TENANT) en op afroep door middel van automatische zelfbediening geleverd. http://csrc.nist.gov/publications/nistpubs/800-145/sp800-145.pdf. Ze bestaat uit drie toepassingsmodellen, vier servicemodellen en vijf karakteristieken. Dat wordt wel de 3-4-5 definities genoemd. 2012 V.A. de Pous, Amsterdam 6

De veel besproken leveringswijze ontwikkelt zich evolutionair. Technologisch ligt het omslagpunt achter ons, omdat een aantal essentiële informatietechnieken, waaronder virtualisatie en breedband-internet, inmiddels algemeen en laagdrempelig beschikbaar zijn. Nader bepaald gaat het om een keten van automatiseringsdiensten, ontwikkeld en samengesteld uit diverse bouwstenen en door verschillende producenten en diensverleners. Op basis van een mix wordt uiteindelijk een clouddienst aan een organisatie en/of een individuele gebruiker geleverd. Dat kan, zoals gezegd, een dienst zijn die de eigen ICTafdeling verzorgt, maar cloud computing zal waarschijnlijk vaker een outsourcingsrelatie behelzen. Op CloudGov 2012 (Washington DC, 16 februari 2012) vroeg het Department of Homeland Security zich retorisch af: Zijn we in de datacenter business of hebben we ICT-functionaliteiten nodig? De cloudmatrix omvat PUBLIC (openbaar en gestandaardiseerd), PRIVATE (gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen en kent tevens de servicemodellen software (SaaS), platformen (PaaS) en infrastructuur (IaaS). Daarnaast gaat het om karakteristieken: afroepbare zelfbediening, toegang tot breedband Internet, delen van ICT-bronnen, snelle elasticiteit en een gemeten dienst. Voor- en nadelen Adoptie van cloud computing begon aan consumentenzijde en voltrekt zich in dit marktsegment op grote schaal. Zo telt Facebook meer dan 800 miljoen gebruikers. Daarnaast valt de adoptiesnelheid op. 6 Na het bedrijfsleven 7 is het nu de beurt aan overheidsorganisaties en gaan ook onderwijsinstellingen over. Cloud computing wekt zakelijk bezien de interesse vanwege efficiencyverbetering, vooral wanneer samendoen en uitbesteding de boventoon voeren. Betaling voor gebruik vervangt eigen investeringen ( capex wordt opex ), terwijl clouddiensten op afstand afroepbaar zijn. Niet alleen delen gebruikers ICT-bronnen, bij nader inzien ook de vaak schaarse en kostbare expertise van informatici. Ook overheidsorganisaties kunnen dus optimaal profiteren van de economies of scale and skills. Het model raakt bovenal de crux van de informatievoorziening. Information at your fingertips komt eindelijk volwaardig tot wasdom. En dat biedt ongekende mogelijkheden. Cloud computing ontsluit en faciliteert organisatorische en maatschappelijke veranderingen: van nieuwe manieren van werken bij publiekszaken of in de zorg tot en met de realisatie van SMART CITIES. 8 6 De opslagdienst icloud van Apple vergaarde in drie maanden een miljoen gebruikers. 7 Een actuele casus betreft de cloudtransitie van wereldwijd pizzamarktleider Domino s; naar eigen zeggen met veel voordeel. http://www.itworld.com/cloud-computing/251214/dominos-pizza-finishes-last-piece-cloud-computing-move 8 http://en.wikipedia.org/wiki/smart_city. A city can be defined as smart when investments in human and social capital and traditional (transport) and modern (ICT) communication infrastructure fuel sustainable economic 2012 V.A. de Pous, Amsterdam 7

Criticasters vormen een minderheid, maar ze roeren zich wel. Zo veegde FREE SOFTWARE-bedenker Richard Stallman eerder de vloer aan met cloud computing. Hij waarschuwde gebruikers dat webgebaseerde software, zoals Google s Gmail, een val is. It's stupidity. It's worse than stupidity: it's a marketing hype campaign. 9 Stallman voorziet een ongekend sterke vendor lock-in situatie. Ook de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in zijn Kwetsbaarheidsanalyse Spionage op negatieve aspecten van cloud computing. Echter vanuit een andere invalshoek: informatiebeveiliging. 10 Geen vergezocht argument, zoals blijkt uit de niet-aflatende berichtenstroom over digitale lekken en dito inbraken bij allerhande organisaties. 11 Van uitzonderlijk groot belang voor de voortgang van onze informatiemaatschappij is dat we debatteren op rationele gronden en een clouddienst zorgvuldig op zijn merites beoordelen. In ieder geval laat de Europese Commissie er geen twijfel over bestaan dat zij de zorgpunten ter zake, waaronder informatiebeveiliging, met wetgeving en beleid nadrukkelijk wil wegnemen. En het Witte Huis kiest als een van de ontzorgingsmiddelen voor overkoepelende certificering en laat CLOUD SERVICE PROVIDERS, die aan de overheid willen leveren, onafhankelijk certificeren. 12 Ontwrichtend Last but not least en deze omstandigheid kunnen we zowel onder kans als bedreiging scharen manifesteert cloud computing, net zo als het WORLD WIDE WEB van Internet twintig jaar geleden, zich langzaam maar zeker als een ontwrichtend technologiecluster. In de ICT-sector en in andere bedrijfstakken. Dat betekent dat de innovaties marktverdeling en bedrijfseconomie verstoren. Neem de online-encyclopedie Wikipedia of de virtuele reisagent. 13 Aanpalend rijst de vraag of cloud computing vergelijk de discussies over personal computing in de jaren tachtig een job killer is of juist werkgelegenheid genereert. Marktonderzoeker IDC weet het antwoord. Uit recent onderzoek volgt dat cloudbestedingen in de periode 2011 tot 2015 bijna 14 miljoen banen wereldwijd creëren; de helft daarvan ontstaan in China en India. 14 Niet alleen zijn dit grote landen, ook hebben deze markten nauwelijks last van de wet op de remmende voorsprong. Ze starten hun te automatiseren processen direct met cloud computing en slaan eerdere fases van elektronische gegevensverwerking over. development and a high quality of life, with a wise management of natural resources, through participatory governance. 9 The Gardian, 29 september 2008. 10 http://webwereld.nl/nieuws/65615/aivd-waarschuwt-voor-cloudspionage---update.html 11 Van DigiNotar s gecompromitteerde veiligheidscertificaten tot en met de verouderde software van KPN. 12 Bestaande juridische normen en certificeringen blijven van kracht, zoals die op basis van de Federal Information Security Management Act of 2002 (FISMA). 13 http://en.wikipedia.org/wiki/disruptive_technology#examples_of_disruptive_innovations 14 http://idgknowledgehub.com/2012/03/05/cloud-computing-to-create-14-million-new-jobs-by-2015/ 2012 V.A. de Pous, Amsterdam 8

Briefkaart uit Washington DC De Amerikaanse regering maakt forse stappen en in hoog tempo. Ze formuleert sinds september 2009, buitengemeen voortvarend, ingrijpend hervormingsbeleid voor haar eigen informatiehuishouding. 15 Het moet anders; vooral efficiënter, doelmatiger en goedkoper. Cloud computing vormt de kern en het beleid kan nationaal op steun rekenen, hoewel er vraagtekens zijn. Het CLOUD COMPUTING INITIATIVE (september 2009), ontwikkeld door de eerste CIO van het Witte Huis, Vivek Kundra, bevat de eerste beginselen van nieuw beleid voor federale overheidsautomatisering. 16 In februari 2010 volgde CLOUD FIRST. CLOUD FIRST het beoogt nadrukkelijk het adoptietempo te versnellen. Federale overheidsorganisaties zijn onder andere verplicht eerst veilige en betrouwbare opties voor cloud computing te evalueren alvorens nieuwe investeringen te doen. In februari 2010 stelde de Office of Management and Budget (agentschap en rekenmeester, waar het nieuwe ambt van US Chief Information Officer is ondergebracht) het FEDERAL DATA CENTER CONSOLIDATION INITIATIVE vast. FDCCI adresseert kosten en energieverbruik van federale datacenters in het licht van efficiencyverbetering, versterking van de beveiligingssituatie van de overheid in het algemeen en het bevorderen van groene ICT door middel van consolidatie in het bijzonder. Geen 2000 maar 1200 datacenters; een sluitingspercentage van 40% 17. Kundra publiceerde in december 2010 een 25-puntenplan voor de uitvoering van de modernisering van de federale informatievoorziening. 18 President Obama De Amerikaanse overheid geldt als de grootste ICT-gebruiker en inkoper ter wereld. 19 De regering ziet cloud computing als middel om fragmentatie van informatiesystemen, slecht projectmanagement en het moderniseren van verouderde systemen grondig aan te pakken. Onze kinderen gaan met meer technologie naar school dan hun ouders doorgaans op het werk hebben, moet president Obama hebben gezegd. Scherp gezien. Het uiteindelijke doel richt zich op het verbeteren van productiviteit en prestaties van federale overheidsorganisaties. Intern sluiten de rijen zich, zowel over cloud computing als preferente leveringswijze van overheidsautomatisering, als over de noodzaak van datacenterconsolidatie. 15 Zie ook V.A. de Pous, Cloud computing en het nieuwe Amerikaanse overheidsbeleid (EXECUTIVE UPDATE), 5 maart 2012, in opdracht van Forum en College Standaardisatie (Logius, onderdeel van het ministerie van BZK). 16 http://news.cnet.com/8301-13772_3-10353479-52.html. 17 Inmiddels zijn de doelstellingen verder aangescherpt. Niet 800 maar 962 datacenters moeten eind 2015 hun deuren hebben gesloten. De consolidatie levert een geschatte besparing van 3 tot 5 miljard dollar op. 18 http://www.cio.gov/documents/25-point-implementation-plan-to-reform-federal%20it.pdf 19 Het gaat om 76 tot 80 miljard dollar per jaar ten behoeve van meer dan 10.000 verschillende informatiesystemen, inclusief 19 miljard dollar voor ICT-infrastructuur. 2012 V.A. de Pous, Amsterdam 9

Maar de CLOUD FIRST-strategie kreeg vorig jaar van federale ICT-managers kritiek wegens korte tijdslijnen, onvoldoende financiering en conflicterende mandaten. 20 Modernisering van de 19 miljard per jaar kostende ICTinfrastructuur is een speerpunt, maar er liggen daarnaast uiterst belangrijke beveiligingsprioriteiten. Denk aan beveiliging van federale netwerken, beveiliging van de kritische infrastructuur en beveiliging van persoonsgegevens. Volgens de ICT-top van de agentschappen stuit realisatie deels op een gebrek aan financiën, terwijl er bovendien onduidelijkheid bestaat wie eigenaar is van cyber security. Kennelijk is er sprake van een vacuüm in leiderschap. Ondertussen gaan uitwerking en uitvoering van beleid door. Kundra s opvolger Steven VanRoekel zette in november 2011 een vervolgstap en introduceerde het FUTURE FIRST beleid; een in ontwikkeling zijnde set van aanvullende uitgangspunten zoals XML FIRST, WEB SERVICES FIRST en VIRTUALIZATION FIRST die bepalen op welke wijze de federale overheid haar ICT inricht. Nieuw is tevens SHARED FIRST; een beleidsinitiatief dat federale overheidsorganisaties inkoop, technologie en deskundigheid onderling wil laten delen. 21 Bovendien zag eind 2011 het FEDERAL RISK AND AUTHORIZATION MANAGEMENT PROGRAM het licht. 22 FedRAMP bevat een gestandaardiseerde benadering van beveiliging en inkoop van cloud computing (diensten en producten) door middel van een do once, use many times -raamwerk. Een onderdeel vormt de certificering van diensten van CLOUD SERVICE PROVIDERS op basis van een stelsel van openbare normen. FedRAMP bevindt zich nu in haar voorbereidingsfase; de initiële, gefaseerde uitrol start in juni. Ook Europa zegt volmondig ja Op het WORLD ECONOMIC FORUM van 2011 maakte vice-premier en commissaris Kroes (digitale agenda) bekend dat zij tot richtlijnen wil komen op het gebied van standaardisering van cloudtoepassingen en met proefprojecten ervaringen met cloud computing wil stimuleren. 23 Volgens de bewindsvrouwe richt de Europese Commissie zich in dit kader op drie aandachtsgebieden: het juridisch raamwerk voor gegevensbescherming door een volledige herziening van het communautaire privacyrecht (de ontwerpen zijn in januari openbaar geworden); technische en commerciële uitgangspunten, vooral in relatie tot netwerk- en informatiebeveiliging; 24 20 http://itknowledgeexchange.techtarget.com/cloud-computing/ex-fed-cio-vivek-kundra%e2%80%99s-cloud-firstpolicy-trashed/ 21 http://www.whitehouse.gov/sites/default/files/svr_parc_speech_final_0.pdf 22 http://www.gsa.gov/portal/category/102371 23 http://www.europanu.nl/id/vimchoauiry2/nieuws/toespraak_eurocommissaris_kroes_digitale?ctx=vg09llfemfyf&start_tab0=120 24 http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-andresilience-in-governmental-clouds 2012 V.A. de Pous, Amsterdam 10

technische standaarden, APPLICATION PROGRAMMING INTERFACES (API's), bestandsformaten voor elektronische gegevens en verwante onderwerpen. Twee jaar daarvoor viel de zienswijze van commissaris Redding (telecommunicatie en digitale media tijdens de vorige Europese Commissie) op. Cloud computing is het medicijn voor onze economie met beperkte kredietfaciliteiten. Haar geopolitieke visie richtte zich op stevige stimulering van de Europese digitale economie, juist voor het MKB. However, today these new services are nearly all US-owned and US-based. Once again, the US has started to exploit a business model before Europe has managed to do so. We cannot let this continue. 25 Anders gezegd, help elkaar, koop Europese waar. Op grond van de Europese Strategie moet Europa niet alleen cloudvriendelijk maar tevens cloud-actief worden. Volgens commissaris Kroes houdt cloud computing de belofte in van schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten. Dat geldt voor bedrijf en overheidsorganisatie. Klanten van externe clouddiensten zijn echter bezorgd over standaarden, certificering, privacy, informatiebeveiliging, interoperabiliteit, lock-in situaties en bijvoorbeeld juridische onzekerheden. De Europese Commissie wil nadrukkelijk ontzorgen en obstakels wegnemen. Met de publicatie van twee wetsvoorstellen, die de gedateerde privacywetgeving met het oog op Internet en cloud computing ingrijpend herzien, is een eerste stap gezet. Vervolgens wordt het inkoopbeleid geharmoniseerd en geïntegreerd om standaarden, kwaliteitsnormen en lagere prijzen af te dwingen. Bovendien komt er een cloud-friendly juridisch raamwerk voor het communautaire binnenland. Privacyregels voor clouddiensten Een legislatieve component van de Europese Cloud Computing Strategie ziet toe op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn uit 1995 (95/46/EC). 26 De grondige hervorming van 25 januari jl. getuigt van een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten; ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om stimulering van de digitale economie door middel van lastenverlaging. De achterliggende ratio is bekend. De wijze waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en globalisering ingrijpend veranderd. Bovendien hebben de 27 EU-lidstaten de privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en handhaving leidde. Herziening was uiteindelijk onvermijdelijk. 25 9 juli 2009. http://europa.eu/rapid/pressreleasesaction.do?reference=speech/09/336 26 http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm 2012 V.A. de Pous, Amsterdam 11

Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn een toekomstgerichte actualisering. Naast een beleidsmededeling over de doelstellingen van de Commissie, gaat het om twee wetsvoorstellen. 27 Verordening Allereerst de verordening tot vaststelling van het algemene EU-kader voor gegevensbescherming; vanwege haar rechtstreekse werking het perfecte harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder meer REGULATORY COMPLIANCE bij intracommunautaire gegevensverwerking. In plaats van overbodige administratieve lasten verplicht de verordening de verwerkers van persoonsgegevens (zoals CLOUD SERVICE PROVIDERS) meer verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten binnen 24 uur aan de nationale toezichthouder 28 worden gemeld. De boete bij overtreding bedraagt maximaal 2% van de omzet. 29 Verbetering rechtspositie burgers Verder scherpt de vordering de bestaande rechten van betrokkenen aan, zoals het recht op toestemming voor verwerking, die nadrukkelijk moet worden gegeven, en het inzagerecht. Burgers krijgen gemakkelijker toegang tot hun eigen gegevens; online en gratis. Ook introduceert de verordening geheel nieuwe privacyrechten. Burgers kunnen hun persoonsgegevens gemakkelijker van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting van de onderlinge concurrentie (recht op dataportabiliteit). Bovendien worden mensen in staat gesteld hun privacyrisico s op Internet beter te beheren, dat wil zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te bewaren (recht om vergeten te worden). Richtlijn Daarnaast komt er een nieuwe richtlijn inzake de bescherming van persoonsgegevens die worden verwerkt voor het voorkomen, opsporen, onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke activiteiten. De voorschriften zullen zowel op binnenlandse als grensoverschrijdende gegevensoverdrachten van toepassing zijn. Een Europese richtlijn vereist implementatie in het recht van de lidstaten, binnen twee jaar na vaststelling. Naar verwachting treden verordening en richtlijn niet voor 2015 in werking. 27 http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm 28 Bedrijven en organisaties (die grensoverschrijdend zakendoen) krijgen te maken met één nationale toezichthouder, namelijk in de EU-lidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteit is tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een buiten-de-eu-bedrijf. 29 Los hiervan heeft het ministerie van V&J eind 2011 een wetsvoorstel gepubliceerd waarin een regeling is opgenomen voor een onverwijlde meldplicht voor datalekken, zowel aan betrokkenen als aan het College bescherming persoonsgegevens (CBP). De beoogde administratiefrechtelijke boete op niet-naleving van deze meldplicht bedraagt maximaal 200.000 euro. Het voorstel breidt de Wet bescherming persoonsgegevens uit en scherpt tevens aan. Tot 1 maart jl. kon er worden gereageerd. http://internetconsultatie.nl/camerabeelden. Het CBP heeft overigens aangegeven mankracht te kort te komen om alle meldingen ter zake op te volgen. 2012 V.A. de Pous, Amsterdam 12

Samen sterk pan-europees inkoopbeleid Een andere component van de Europese Cloud Computing Strategie ziet toe op de overheid als klant, als afnemer van clouddiensten. De inkoop van ICT door de publieke sector vormt grofweg 20% van de totale Europese markt, maar is dusdanig gefragmenteerd, dat ze nauwelijks impact aan leverancierszijde heeft. Daar moet en kan kennelijk verandering in komen door middel van harmonisatie en integratie. Dit beleid leidt echter niet tot een Europese supercloud of de geforceerde integratie van bestaande cloud-infrastructuren. Volgens de Europese Commissie bepalen doelmatigheidsoverwegingen op de markt de zakelijke modellen voor cloud computing en de inrichting van cloud-aanbieders en publieke datacenters. De Europese Commissie verwacht dat de cloudsector luistert en haar aanbod aanpast en op deze manier voordelen creëert voor de adoptie van cloud computing in allerlei sectoren. Denk aan meer standaarddiensten, nieuw aanbod en lagere tarieven. And it is a true win-win: the Cloud market will grow, bringing opportunities for existing suppliers and new entrants. And Cloud buyers, including the public sector, will buy more with less and become more efficient. 30 Over hooggespannen verwachtingen gesproken. Zelfs gezamenlijke overheidsinkoop in verschillende landen behoort straks tot de mogelijkheden. De Europese Commissie kiest voor de uitvoering van het nieuwe inkoopbeleid voor de figuur van een European Cloud Partnership tussen overheid en CLOUD SERVICE PROVIDERS. Drie fasen zijn voorzien. Het begint met standaarden, beveiliging en vrije mededinging. Lock-in situaties door cloud computing wil Brussel nadrukkelijk voorkomen. De tweede fase ziet toe op het opleveren van common requirements en proof of concept solutions, terwijl er in de laatste fase reference implementations worden gebouwd. De gesloten Rijkscloud Ondanks dat zowel Nederland als de Europese Unie hun ogen al twintig jaar op ICT en de informatiemaatschappij richten, noemen we de actuele aandacht voor cloud computing uniek. Niet eerder in de geschiedenis van wetgeving en overheidsbeleid is digitalisering een dergelijk centraal en cruciaal beleidsterrein geworden. Ook de Tweede Kamer, die in mei 2010 de Motie Van der Burg aannam, verwacht er veel van. 31 Daarin verzoekt de kamer de regering in navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten een strategie voor de hele Nederlandse overheid te ontwikkelen voor «cloud computing» en een «cloud First»-strategie, waarbij mogelijkheden voor de 30 http://europa.eu/rapid/pressreleasesaction.do?reference=speech/12/38 31 www.ictu.nl/archief/noiv.nl/files/.../motie_van_der_burg.pdf.pdf 2012 V.A. de Pous, Amsterdam 13

inrichting van de overheidscloud duidelijk omschreven worden met de bijbehorende voor- en nadelen. In de visie van minister Donner (BZK) is cloud computing echter nog onvolwassen, ontbreekt het aan aanbod voor de rijksoverheid en blijft privacy een zorgenkind. Dat was 20 april 2011. 32 De hoge verwachtingen van politiek en spelers in de overheidsmarkt waren mogelijk al getemperd door Jan Flippo, oud-hoofd automatisering van het ministerie van Buitenlandse Zaken, overgestapt naar BZK. Op de conferentie Overheid dichtbij? IT op afstand! (Breukelen, 4 februari 2011), zei Flippo onomwonden dat, hoewel waarschijnlijk velen vinden dat de overheid te langzaam handelt, het toch onvermijdelijk is dat er telkens kleine stappen worden gezet. We hebben niet veel haast met cloud computing. 33 Wel lichtte hij zijn keuze voor de aanschaf van 6000 mailaccounts van Google toe. Wanneer Den Haag onder water staat, kunnen medewerkers van BZ blijven communiceren en informatie delen. Deze clouddienst is dus aangekocht als Plan B en niet als een primaire voorziening voor het departement. i-strategie De Informatiseringstrategie 34 van 15 november 2011 ziet toe op verbetering van de ICT van de rijksoverheid en omvat maatregelen om de digitale voorzieningen te bundelen, te komen tot één ICT-beveiligingsfunctie en de standaard ICT-werkplek rijksbreed in te voeren. De beheersing van grote ICTprojecten wordt verder versterkt, er komt meer aandacht voor het vergroten van ICT-kennis bij management en medewerkers en hergebruik gaat voor het zelf ontwikkelen van nieuwe voorzieningen of systemen. 35 Een samenhangende rijksbrede informatie-infrastructuur, die tevens van cloud computing gebruik maakt, moet een einde maken aan de verbrokkelde ICT-infrastructuur. Het kabinet kiest vooralsnog voor een in eigen beheer in te richten gesloten Rijkscloud, als een voorziening die via een eigen en beveiligd netwerk generieke diensten levert binnen de Rijksoverheid. Met marktpartijen is inmiddels een convenant 36 afgesloten om de samenwerking tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie is nauw verbonden met het (uitvoerings)programma Compacte Rijksdienst, dat de bedrijfsvoering van het Rijk goedkoper en efficiënter wil maken. 37 32 https://zoek.officielebekendmakingen.nl/kst-26643-179.html 33 NEWSWARE 2011 (Jaargang 25), 2. Ter vergelijking: de federale Amerikaanse overheid heeft veel haast, maar zegt tevens geen proeftuin te willen zijn voor clouddiensten. 34 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbriefinformatiseringstrategie-rijk.html 35 http://www.rijksoverheid.nl/ministeries/bzk/nieuws/2011/11/15/kabinet-lanceert-informatiseringstrategie-voor-hetrijk.html 36 http://www.rijksoverheid.nl/documenten-en-publicaties/convenanten/2012/01/26/convenant-verbeteringsamenwerking-tussen-de-rijksoverheid-en-het-ict-bedrijfsleven.html 37 http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/06/14/kamerbrief-toezegging-uitalgemeen-overleg-programma-compacte-rijksdienst.html 2012 V.A. de Pous, Amsterdam 14

Open overheidsinformatie is regel Nog meer beleid voor de informatiemaatschappij en relevant voor overheidclouds. In september 2011 presenteerde de Europese Commissie haar plannen voor twee portals voor de publieke toegang tot open data. 38 Rond deze tijd voorjaar 2012 verwacht commissaris Kroes een portal operationeel te hebben, welke vrije toegang biedt tot alle eigen databronnen van de Commissie. Daarnaast staat er voor 2013 een bredere, pan-europese portal op de rol, waar uiteindelijk alle herbruikbare informatie van publieke organisaties in de EU-lidstaten beschikbaar is. Dit portal betreft het resultaat van doorontwikkeling en consolidatie van bestaande nationale en regionale data portals, zoals in Nederland data.overheid.nl. 39 Commissaris Kroes benadrukt het belang van open data als volgt. Het gaat om waardevol ruw materiaal waarmee burger, wetenschap, economie en democratie geholpen zijn. Zo kunnen burgers hun voordeel doen met betere routeplanning op basis van geo- en OV-informatie van de overheid. Cruciaal zijn ook in dit kader interoperabiliteit en standaardisatie. Open data wordt gezien als een grondstof voor innovatie vanwege het beoogde gratis hergebruik. De beschikbaarstelling van overheidsdata verlaagt de investeringsdrempel voor nieuwe producten en diensten. Deze openheid levert daarnaast waarschijnlijk een bijdrage aan een meer transparante overheid, omdat burgers desgewenst meer inzicht kunnen krijgen in de gegevens waarop beleid is gebaseerd. Maar de omstandigheid dat data en datasets vrij herbruikbaar zijn, betekent niet dat deze per definitie rechtenvrij zijn. Omgekeerd claimen open-data of open-contentlicenties nadrukkelijk geen rechten die er niet zijn, maar verklaren goed beschouwd dat wanneer er wel intellectuele eigendomsrechten zijn, de licentiegever er afstand van doet. Ook relevant: de vrije gebruiksrechten worden geleverd met een zo ver als juridisch toelaatbare uitsluiting van aansprakelijkheid. Vergelijk open source software, de uiteenlopende licenties en de beklijvende misvattingen. 40 Een Nederlands voorbeeld van open data. Eind vorig jaar maakte minister Schultz (Infrastructuur en Milieu) bekend dat uiterlijk 1 januari 2015 alle gegevens van haar departement volgens het principe open, tenzij vrij beschikbaar komen. 41 Het gaat onder meer om data over water, weer en wegen. De Basisregistratie Topografie van het Kadaster is inmiddels vrij beschikbaar gesteld. 38 http://data.overheid.nl/nieuws/kroes-stimuleert-gebruik-open-data. Goed beschouwd heeft de Europese Commissie drie aan elkaar gerelateerde voorstellen gedaan, te weten voor wijziging van de Richtlijn hergebruik van Overheidsinformatie, een mededeling Open Gegevens en een besluit hergebruik eigen Commissiedocumenten. 39 http://www.rijksoverheid.nl/regering/het-kabinet/bewindspersonen/piet-heindonner/nieuws/2011/09/15/nederlandse-overheid-stelt-data-beschikbaar-voor-her-gebruik.html 40 V.A. de Pous, Open Source Computing and Public Sector Policy, Amsterdam, 2011. 41 http://www.rijksoverheid.nl/nieuws/2011/10/04/innovatie-estafette-2011-baaierd-aan-innovatieve-initiatieven.html 2012 V.A. de Pous, Amsterdam 15

Aanknopingspunten juridisch raamwerk Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de Amerikaanse 3-4-5-definitie 42 in het vizier houdt, verwondert zich waarschijnlijk niet dat haar juridisch raamwerk zich onderscheidt van dat voor het gangbare (CLIENT/SERVER) model voor automatische gegevensverwerking. Cloud computing heeft deels moeite met bestaande rechtsnormen, die niet alleen van oudsher geografisch zijn bepaald 43, maar tevens zijn vastgesteld toen informatieverwerking statisch was. We konden letterlijk aanwijzen waar data zich bevond. 44 Voorts vallen er in het leveringsmodel allerlei technische en andere aspecten samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn. Dat leidt vrijwel zeker tot juridische samenloop. 45 Ondertussen noteren we ontwikkelingen. Zo zorgt de praktijk voor voorschrijdend inzicht en ontstaan er BEST PRACTICES. Ook staat, zoals hierboven aangegeven, een ingrijpende aanscherping en harmonisatie van privacyregels op de rol. Verder krijgen we meer cloud-vriendelijke Europese wetgeving en nieuw inkoopbeleid voor de publieke sector. Daarnaast ontstaan er certificeringinitiatieven. 46 Aanknopingspunten Toch moeten we de rechtsaspecten van cloud computing niet moeilijker maken dan ze zijn en goed naar de kenmerken van een clouddienst in het concrete geval kijken. Een aantal aanknopingspunten geeft houvast en richting voor juridische analyse en beleidsontwikkeling, omdat hieruit essentiële onderdelen van het rechtskader volgen. Neem de casus dat een departement of gemeente open data met het oog op hergebruik aan burger en ondernemer wil aanbieden. Hiervoor komt al snel een (PUBLIC) clouddienst in zicht vanwege zijn praktische karakteristieken: webgebaseerd, open, dus voor iedereen op afstand afroepbaar via Internet, elastisch schaalbaar. Zelfbediening pur sang. 42 Zie noot 5. 43 Vooral bij grensoverschrijdende verwerking krijgen we mede met buitenlandse wetgeving te maken. Bovendien kunnen in Nederland verwerkte gegevens eveneens (mede) voorwerp zijn van buitenlands recht. 44 Virtualisatietechnieken maken gegevensverwerking dynamisch, zelfs vloeibaar. Datacenters in telkens wisselende samenstelling kunnen zelfs een virtuele computerfabriek vormen. 45 Samenloop is een probleem van rechtsvinding, waarbij de vraag zich aandient naar voorrang van of de beste keuze tussen de toepasbare regels of regelstelsels. Denk aan een mix van mededingingsrecht, intellectuele eigendomsrecht, en/of contractenrecht. Of privacyrecht en vrijheid van meningsuiting. Et cetera. 46 De belastingdienst is initiator van het keurmerk Zeker Online! (http://www.zeker-online.nl/). Het initiatief beoogt twee doelen. Aanbieders van online-boekhoudprogramma s (gaan) voldoen aan de wettelijke regels, terwijl het MKB wordt gestimuleerd zelf te administreren in plaats van een schoenendoosboekhouding te voeren. 2012 V.A. de Pous, Amsterdam 16

Zorgen over ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving zoals de U.S. Patriot Act ontbreken bij open data, omdat het niet om vertrouwelijke informatie of persoonsgegevens gaat. Zelfdoen of uitbesteding? Als juridische rode draad bij cloud computing, loopt telkens de vraag of er sprake is van een uitbestedingsrelatie. Wanneer een (overheids)organisatie een dienst afneemt van een externe CLOUD SERVICE PROVIDER, verliest zij in beginsel controle en zeggenschap over de verwerking van haar informatie, tenzij andersluidende afspraken worden gemaakt. 47 Bovendien ontstaat er een sterke afhankelijkheidssituatie ten opzichte van leverancier en de gebruikte technologie, mede omdat vooral bij softwarediensten technologie en data in handen zijn van deze leverancier (en toeleveranciers). Minimaal betekent uitbesteding een verschuiving van technische verantwoordelijkheden aan de operationele kant. Bij uitbesteding dienen kwesties over feitelijke en juridische verantwoordelijkheid, transparantie, toezicht en continuïteit zich aan en is bijvoorbeeld een goede exit-regeling gewenst. Product of dienst? Verschillende feitelijke aspecten van het leveringsmodel hebben juridische implicaties. Zo wordt er bij de inzet van cloud computing geen product, maar een dienst geleverd en ontvangt de eindgebruiker doorgaans geen fysiek exemplaar van de software die hij op afstand gebruikt. Om op dat laatste kenmerk juridisch in te gaan: hierdoor verliest de licentienemer zijn wettelijk recht op foutherstel, zoals vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC). 48 Daarnaast vraagt de licentieverlening van computerprogramma s in de cloud om aangepaste contractsmodellen. De één-op-één relatie met apparatuur en besturingssysteem als gevolg van virtualisatie bestaat immers niet meer. 49 Verder hebben we te maken met de omstandigheid dat een CLOUD SERVICE PROVIDER in voorkomende gevallen softwaretechnologie van derden doorlevert als dienst aan zijn klant. Deze bevoegdheid moet wel verleend zijn door de producent van de software. 50 Technologie of gegevens? Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs op enen en nullen. Maar er is weldegelijk onderscheid. Gaat het om een computerprogramma of om gegevens? Die vraag speelt niet alleen in technologisch perspectief een centrale rol; het rechtskader brengt scherp 47 Bijvoorbeeld over de locatie. Zo kan de gegevensverwerking in de cloud uitsluitend binnen Nederlands grondgebied plaatsvinden of uitsluitend binnen de Europese Unie. 48 Zie ook artikel 45j Auteurswet: copieren van een exemplaar door de licentienemer mag, voor onder meer foutherstel door de licentienemer. Bij cloud computing is echter sprake van immateriële openbaarmaking van een computerprogramma. 49 Dat geldt in het algemeen. Onafhankelijk van cloud computing zijn andersluidende licentievoorwaarden voor software gewenst bij de toepassing van virtualisatietechnieken. 50 Bovendien kunnen CLOUD SERVICE PROVIDERS software en andere clouddiensten, van henzelf en anderen, gaan bundelen. Daarin ligt ook toegevoegde waarde: de one-stop-shop. 2012 V.A. de Pous, Amsterdam 17

onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze scheidslijn hebben aanbieders en afnemers van clouddiensten te maken. Zo gelden er legislatief bezien beschermingsregels voor software, die primair ten goede komen aan de producent, met uitzondering van enkele basisrechten voor softwaregebruikers (licentienemers), zoals het recht op het maken van een reservekopie. Voor (digitale) informatie geldt een geheel ander juridisch kader. Welke gegevens? Een andere belangrijke piketpaal vormt het onderscheid tussen persoonsgegevens van, in dit kader, in hoofdzaak burgers of personeel en andere informatie die de overheid onder zich heeft. Van raadsverslagen, begrotingen en geo-informatie tot en met cultureel erfgoed in de diverse stadsarchieven. De aard van de gegevens is (mede) bepalend voor het toepasselijke beleids- en rechtskader, hetgeen vervolgens invloed kan hebben op de keuze voor een bepaald ICT-leveringsmodel. Migratie van open data naar een publieke cloudomgeving, te verzorgen door een externe CLOUD SERVICE PROVIDER, stuit doorgaans niet op juridische problemen. Bovendien bestaat altijd de optie dat een overheidsorganisatie persoonsgegevens versleutelt (encryptie), zodat deze door derden niet herleidbaar zijn tot een natuurlijk persoon. Grensoverschrijdende verwerking? Op grond van het recht mogen persoonsgegevens niet zonder toestemming van het ministerie van Justitie buiten de Europese Economische Ruimte (EU plus IJsland, Noorwegen en Liechtenstein) worden verwerkt. Maar ook het communautaire binnenland vraagt om extra aandacht, vanwege verschillen bij de uitvoering van de privacyregels. Naar aanleiding hiervan gaan in Duitsland stemmen op om Cloud Computing Made in Germany als unique selling point voor mededinging in te zetten, gegrond op het strikte karakter van de Duitse privacywetgeving. Dat betreft deels een achterhoedegevecht, 51 maar het staat een Nederlandse overheidsorganisatie vrij om met een CLOUD SERVICE PROVIDER geografische afspraken te maken. In het algemeen rijzen er bij internationale dataverwerking vragen over het toepasselijke recht en de bevoegde rechter. Vijftien analyses 1. Cloud computing kent allerlei verschijningsvormen, ieder met deels unieke kenmerken en daaraan gekoppelde rechtsaspecten, voordelen en nadelen. Deze diversiteit vereist inzicht en nuancering. Tevens is belangrijk dat zowel algemene pro en contra-debatten als discussies in het concrete geval 52 op rationele gronden plaatsvinden. Alleen dan liggen beleidsontwikkeling en individuele beslissingen pragmatisch in het verschiet. 2. Niets doen is nadrukkelijk geen optie. Zelfs de overheidsorganisatie die uitsluitend op kostenbesparing of green IT scherpstelt, ontkomt niet aan 51 De Europese Unie gaat het privacyrecht immers dwingendrechtelijk uniform harmoniseren. Nationale deviatie, zoals thans het geval is, behoort straks tot het verleden. Cloud Computing Made in Europa blijft wel een optie. 52 Over de vraag waarvoor en onder welke voorwaarden een overheidsorganisatie een clouddienst kan inzetten. 2012 V.A. de Pous, Amsterdam 18

cloud computing. Politiek en openbaar bestuur behoren vanzelfsprekend verder te kijken. Technologisch vertaalt dit vertrekpunt zich in lijn met de visie van de Algemene Rekenkamer in de omstandigheid dat strategische overheidsdoelen de inzet van ICT behoren te bepalen. 53 3. Digitale technologie speelt bij de talloze veranderingsprocessen een sleutelrol. Dankzij cloud computing ontstaan er telkens organisatorische (nieuwe manieren van leven, werken, zakendoen, besturen) en maatschappelijke veranderingen (op weg naar een betere samenleving). 54 4. Hoewel de volledige overgang naar clouddiensten mogelijk is, zal de automatiseringspraktijk bij overheidsorganisaties vrijwel zeker een gemengde leveringsomgeving laten zien. De noodzaak om staatsgeheimen per se in de cloud te willen verwerken, ontbreekt. Een gemengde portfolio bestaat uit zowel klassieke als cloud computing; zowel door de interne organisatie als door derden te leveren. Of wellicht door geheel nieuwe, innovatieve vormen van public/private partnerships, waarin IT OUTSOURCING opschuift naar of onderdeel uitmaakt van BUSINESS PROCESS OUTSOURCING. 5. Het vigerende, oorspronkelijk in 2003 geïnitieerde, Europese beleid bepaalt dat overheidsinformatie tegenwoordig zo breed mogelijk voor burger en ondernemer toegankelijk (transparante overheid) en beschikbaar (hergebruik voor economische ontwikkeling) behoort te zijn. Deze open data, tenzij -regel betekent een forse stimulans voor (uitbesteding van) overheidclouds. 6. In het bijzonder van clouddiensten als vorm van uitbesteding wordt veel verwacht. In de woorden van de Europese Commissie: schaalbare en veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere kosten zonder grote investeringen vooraf. 55 Bovendien wijzen we naast het voordeel van economies of scale and skills, op nog een onderbelicht pluspunt, ditmaal juridisch van aard. Cloud computing betekent het einde van softwarepiraterij aan gebruikerszijde. 56 7. Voor ICT-leveranciers heeft het model ook aantrekkelijke kanten. Een regelmatige inkomstenstroom, een nauwe band met de klant en, desgewenst, grenzeloos ondernemen. De omzet wordt behalve met ICTbronnen (software, rekenkracht, opslag, archivering, et cetera) gerealiseerd 53 Besluiten over software alleen te benaderen van het oogmerk kosten te beperken, is een te beperkt perspectief. http://www.rekenkamer.nl/nieuws/persberichten/2011/03/besparingen_rijk_met_opensourcesoftware_beperkt_mogel ijk 54 Vorig jaar heb ik een warm pleidooi gehouden voor een nationale informatiemaatschappij. In het kort, de wetgever doet er goed aan bij organisatie en inrichting van de informatiemaatschappij op aspecten van algemene zorg voor het welzijn van haar burgers in verband met digitalisering te letten in het licht van de kernwaarden van de mens in zijn sociale context en aspecten van nationale identiteit. Het centrale ijkpunt wordt vervolgens fitting the information society to its people and national identity. Burgers moeten namelijk niet alleen kunnen vertrouwen op, maar ook vertrouwd zijn met en zich thuis voelen in de moderne samenleving. Een en ander zeggen we tevens tegen beleidsmakers zeggen. V.A. de Pous, Recht voor een nationale informatiesamenleving, Amsterdam, 2011. 55 Zie noot 30. 56 Onder voorwaarde dat CLOUD SERVICE PROVIDERS hun juridische zaken op orde hebben. 2012 V.A. de Pous, Amsterdam 19

door middel van de continue levering ervan; een heuse toegevoegde waardedienst. 8. De voordelen aan gebruikerzijde nemen de huidige bezorgdheid over informatiebeveiliging en juridische onzekerheden niet zonder meer weg. Maar er zijn wel middelen beschikbaar dataclassificatie, bestaande standaarden en certificeringen, OPEN DATA FORMATS, wettelijke kaders en concrete rechten (op bijvoorbeeld interoperabiliteit), continuïteitsregelingen, het onderhandelen over juridische voorwaarden in cloudcontracten die de positie van gebruikersorganisaties kunnen versterken en risico s beheersbaar maken. Ondertussen wordt er flink gewerkt aan verbetering en vernieuwing. In buiten- en binnenland. 9. Standaarden vormen regelmatig aanleiding tot beleidsdiscussie. Het uitgangspunt in de praktijk luidt dat de talloze bestaande ICT-standaarden, daaronder tevens verstaan normen, hun plaats mede in cloud computing vinden. Zowel de Amerikaanse federale regering 57 als de Europese Commissie 58 voert een pragmatisch standaardenbeleid op basis van RAND. Nederland wijkt met haar beleid hiervan in zoverre af, dat overheidsorganisaties verplicht zijn bepaalde open standaarden toe passen, tenzij er een gerede grond is om tijdelijk voor anderen te kiezen. 59 10. Over interoperabiliteit wordt weliswaar veelvuldig gesproken, maar het wettelijk recht interoperabiliteit, vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC) en onze Auteurswet, is mogelijk niet bij iedere bestuurder of ICT-manager bekend. Op grond hiervan heeft iedere licentienemer op een computerprogramma het recht deze code te ontleden. Het proces van reverse engineering door middel van decompilatie ontsluit de verborgen specificaties van de interfaces van het programma, zodat er andere software op kan worden aangesloten. 11. Informatiebeveiliging vormt een belangrijk zorgpunt. Er is echter in zoverre geen sprake van een technisch vacuüm of gebrek aan normstelling als zodanig, omdat de praktijk een reeks van breed gedragen, door internationale organisaties vastgestelde normen kent. NEN-ISO/IEC 27000 is hiervan een voorbeeld. 60 Deze en andere standaarden blijven onverkort van kracht bij de inzet van cloud computing. Dat laat overigens de vraag naar overkoepelde normering voor de gehele leveringsketen onverlet. 12. Overheidsorganisaties kunnen met betrekking tot randvoorwaarden voor de inkoop van externe clouddiensten aansluiting zoeken bij het wettelijk raamwerk, dat voor de financiële sector is geformaliseerd in geval van 57 http://www.whitehouse.gov/omb/circulars_a119/. Onder voluntary consensus standards verstaat de overheid in dit kader: standards developed or adopted by voluntary consensus standards bodies, both domestic and international. These standards include provisions requiring that owners of relevant intellectual property have agreed to make that intellectual property available on a non-discriminatory, royalty-free or reasonable royalty basis to all interested parties. Dit model wordt RAND genoemd. 58 http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf 59 https://lijsten.forumstandaardisatie.nl/lijsten/openstandaarden?lijst=pas%20toe%20of%20leg%20uit&status%5b%5d=opgenomen&pagetitle=pastoeof 60 https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001 2012 V.A. de Pous, Amsterdam 20