ICT-criminaliteit verschuift naar de cloud

2010 wordt niet het jaar van de mobiele virussen, omdat de technologie-omgeving (hardware en besturingssystemen) te heterogeen is, maar wel van malware dat inspeelt op het wereldkampioenschap voetbal door middel van de verkoop van valse tickets en junk e-mail. Algemeen moeten gebruikers wantrouwig zijn over elk bericht gerelateerd aan grote evenementen. Malware — samenvoeging van malicious software — is een verzamelbegrip voor softwarecode met verborgen, ongewenste functionaliteit, die gebruikers op een of andere wijze schade probeert te berokkenen.

Op sabotage van ICT-systemen staat in Nederland een jaar gevangenisstraf of een geldboete van EURO 16.750, aldus Artikel 161sexties van ons Wetboek van Strafrecht. Wanneer het vernieling van gegevens betreft, gaat het om twee jaar hechtenis, aldus Artikel 350a.

Cybercriminelen focussen zich tevens op social engineering-technologie om computers te infecteren. Deze zijn vooral gericht op search engines (BlackHat SEO) en sociale netwerken, evenals drive-by-download-infecties via webpagina’s. In het geval van sociale netwerken waren er al verschillende wormen en Trojans voor Twitter en Facebook. Malware-ontwikkelaars blijven zich in 2010 focussen op sociale netwerken om een grote hoeveelheid gebruikers te infecteren, verwacht Panda Security.
Verder heeft Windows 7 een grote impact op de ontwikkeling van malware.

Eén van de redenen hiervoor is de wijdverspreide acceptatie van dit besturingssysteem. Doordat vrijwel alle nieuwe computers uitgebracht worden met de 64-bit versie van dit besturingssysteem, passen criminelen hun malware aan de nieuwe omgeving aan. Het kan wellicht enige tijd duren, maar in de komende twee jaar verwacht Panda Security een grote verschuiving in de richting dit platform.

TrendMicro voegt daar nog aan toe dat Windows 7 minder veilig is dan Vista en ziet verder nieuwe bedreigingen ontstaan door toepassing van cloud computing en wijst daarbij tevens op virtualisatie. Beiden vergroten het speelveld voor cybercriminelen doordat het serverbeheer naar een externe locatie verschuift, zo blijkt uit het Future Threat Report 2010.

De diefstal van gegevens in november 2009 van de cloud-servers van Danger/Sidekick gaf volgens de beveiligingsspecialist al een voorproefje van de zwakke plekken van cloud computing. Trend Micro denkt dat criminelen de verbinding met de cloud gaan manipuleren of het datacenter en de cloud zelf aanvallen.

Trend Micro merkt verder op dat bedreigingen op Internet zich verplaatsen. Wereldwijde uitbraken van bedreigingen als Slammer en CodeRed zullen waarschijnlijk niet meer voorkomen. Zelfs het veelbesproken Conficker-incident in 2008-2009 betrof geen wereldwijde uitbraak in de zuivere betekenis van het woord. Het was eerder een nauwkeurig geregisseerde en uitgevoerde aanval. In de toekomst zullen lokale en zeer gerichte aanvallen in aantal en geavanceerdheid groeien. Verder worden domeinnamen worden steeds meer internationaal en dat creëert nieuwe misbruikmogelijkheden voor phising.

Trendanalyse China ICT Outsourcing 2010 verschenen

Outsourcing van ICT wordt al bijna veertig jaar beschouwd als een goede manier om kosten te besparen. Daar is nu een stevig argument bijgekomen: de structurele schaarste van ICT-beroepen in West-Europa.

Steeds meer gebruikerorganisaties en bijvoorbeeld softwareleveranciers kijken dan ook naar het uitbesteden van de ontwikkeling van computerprogramma’s en aanpalende diensten, zoals het testen van softwarecode. Bovendien gaat het om flexibiliteit van de eigen organisatie en schaalbaarheid van projecten.

Uitbesteding naar het buitenland betekent nadrukkelijk geen verlies aan Nederlandse arbeidsplaatsen, maar daarentegen noodzakelijke ondersteuning bij ondernemen en innoveren, en tegen lagere kosten. Dat is dus van groot belang voor de ontwikkeling van onze samenleving en economie.

Op dit moment worden allerlei werkzaamheden met betrekking tot ICT uitbesteed richting Oost-Europa en, verder weg, naar India. China valt vaak nog buiten het blikveld. Toch maken de onwaarschijnlijk grote talent pool van ICT-ers, de kwaliteit van het onderwijs en de kwaliteit van ICT-dienstverlening China als bestemming voor outsourcing uitermate interessant.

Wel moet er in de volksrepubliek rekening worden gehouden met taal- en cultuuraspecten, terwijl tevens het rechtskader om aandacht vraagt. Ervaring opdoen door middel van offshoring van een overzichtelijk ICT-project, lijkt de aangewezen weg naar een succesvol en duurzaam partnership.

Bovendien is zelfs een bescheiden project vaak al lonend. De initiële kosten blijken bij de inzet van 4 FTE’s al goedgemaakt te zijn binnen een periode van een à twee maanden. Bij het huidige prijsniveau voor projectmanagement zijn ook deze kosten gedekt binnen gedekt binnen de korte terugverdientijd van twee tot drie maanden.

Daarbij is het verstandig uit te gaan van een aantal pragmatische huisregels. Eén daarvan luidt: doe aan zorgvuldige en juiste budgettering & forecasting. Maar het gaat niet alleen om inzicht in het gehele traject als zodanig, ook inzicht in elke individuele stap — van vooronderzoek tot en met afronding van het project — is van groot belang.

Een kostenvoordeel tot van 50% tot 60% is reëel en haalbaar.

Naast technische en managementaspecten van uitbesteding van ICT naar China, strekt ook de aandacht voor het rechtskader tot voordeel. Het recht creëert namelijk economische waarde, optimaliseert bedrijfsmiddelen en beheert bedrijfsrisico´s.

Internationale samenwerking onder de vlag van offshoring van ICT-diensten betreft niet alleen een verzameling van verschillende werkzaamheden — van softwareontwikkeling tot volledige business process outsourcing — maar tevens verschillende zakelijke verhoudingen, ieder op basis van een eigen rechtskader.

Samen met Pieter Tsao is CHINA ICT OUTSOURCING 2010 geschreven, voorzien van rekenvoorbeelden. Wie de trendanalyse gratis wil ontvangen, kan een berichtje sturen naar depous@planet.nl.

Niet spammen op sociale netwerken

De Onafhankelijke Post en Telecommunicatie Autoriteit OPTA heeft een privépersoon boetes van in totaal 12.000 euro opgelegd voor het versturen van ongewenste berichten aan consumenten via het sociaal netwerk Hyves. In deze berichten, zogenoemde krabbels, maakte de persoon reclame voor zijn website waar, deels tegen betaling, een maffiaspel gespeeld kan worden.

Het verzenden van elektronische berichten met commerciële doeleinden zonder toestemming van de ontvanger is in Nederland verboden op grond van de Telecommunicatiewet. Onderzoek wees uit dat de Hyves-misbruiker 3.213.568 ongevraagde krabbels heeft verstuurd vanuit automatisch aangemaakte Hyves-profielen.

Het is voor het eerst dat OPTA een boete geeft voor het versturen van spam via een sociale netwerksite. Voorzitter Chris Fonteijn kondigde al eerder aan dat OPTA zich ook gaat richten op nieuwe verschijningsvormen van spam. Hij roept gebruikers op óók over spam-berichten die via sociale netwerken zonder voorafgaande toestemming van de ontvanger worden verstuurd, een klacht in te dienen bij www.spamklacht.nl. Pas dan kan OPTA er tegen optreden.

Hyves heeft, na ontvangst van 1.300 klachten over deze ongevraagde krabbels, contact opgenomen met OPTA. Wegens het vermoeden van overtreding van het spamverbod heeft OPTA vervolgens een bezoek gebracht aan het woonadres van de privépersoon. Daar is bewijsmateriaal gevorderd. Op basis hiervan en uit de verklaringen van de privépersoon, bleek dat hij via een computerprogramma anonieme gebruikersprofielen aanmaakte.

De profielen verzonden vervolgens automatisch krabbels naar willekeurige Hyves-gebruikers. In de geplaatste krabbel werd verwezen naar een ‘vriend’ uit het adresboek van het Hyvesprofiel van de ontvanger via de volgende melding: ‘Ik en spelen dit spel: infamousgangsters.com. Doe je ook mee? Dan kun je ons helpen? Alvast bedankt :D’.

Hiermee wekte hij de schijn dat een bekende het genoemde spel speelt, met het doel de ontvanger van de krabbel naar zijn website te lokken.

De privépersoon wordt verweten dat hij zonder voorafgaande toestemming van de ontvanger, zonder zijn werkelijke identiteit te vermelden en zonder een geldige afmeldmogelijkheid te bieden, elektronische berichten via Hyves aan consumenten heeft verstuurd. De privépersoon heeft een relatief korte periode (14 dagen) spam gestuurd en er geen aantoonbaar substantieel financieel voordeel mee behaald.

OPTA kan overigens alleen optreden tegen uit Nederland verstuurde spam en dat deed in het recente verleden. In de zomer van 2009 legde OPTA een privépersoon boetes op van in totaal EURO 250.000, voor het versturen van ongevraagde elektronische berichten aan consumenten.

Sinds mei 2004 is het verboden in Nederland om elektronische berichten met een commercieel, ideëel of charitatief doel te versturen aan CONSUMENTEN zonder toestemming van de ontvanger. Sinds oktober 2009 geldt deze regel ook voor spam aan BEDRIJVEN.

Rapport over nieuwe regels voor het nieuwe werken verschenen

Volgens sommigen ‘zindert’ Nederland op dit moment van het nieuwe werken. Dat kan waar zijn, maar de crux van nieuwe manieren van werken in de informatiemaatschappij is nog altijd dezelfde. Het gaat om de coördinatie en het management van tijd- en plaatsonafhankelijk werk, uit te voeren door kenniswerkers met toepassing van ICT.

Wanneer dat goed gebeurt, ontstaan er aantrekkelijke strategische voordelen op organisatieniveau, zoals productiviteitsverhoging, kostenverlaging en grotere wendbaarheid van de organisatie.

Werk is iets wat je doet, niet waar je naar toe gaat, of, werk is waar je bent, of nog anders, waar je wilt zijn. Dit IN AND OUT-OF-OFFICE WORKING vraagt om een bewuste, structurele ondernemingstrategie.

Het bestaande recht belemmert het nieuwe werken niet. Wel kleven er aan tijd- en plaatsonafhankelijk werken allerlei uiteenlopende en versnipperde juridische aspecten, waar niemand om heen kan. Legal compliance moet.

We hebben nieuwe beleidsregels nodig, die speciaal zijn toegespitst op het tijd- en plaatsonafhankelijk werken in het licht van de nieuwe bedrijfscultuur, waar uitwisseling van kennis en klantgerichtheid centraal staan en die wordt gefaciliteerd en gekenmerkt door de schier onbeperkte mogelijkheden van ICT met collaboration tools en Web 2.0-applicaties en de graduele vervaging van de grens tussen werk en privé.

De gedragsregels, in de vorm van een Gedragscode voor Het Nieuwe Werken, geven richting, bieden handvatten en scheppen helderheid over kernwaarden en normen.

Let op. De juridische status van de moderne kenniswerker is relevanter dan zijn feitelijke definitie. Voor werknemers, degenen die in loondienst werken, gelden andere wettelijke voorschriften dan voor zelfstandigen die door de decentrale organisatie worden ingeschakeld. Daar is de contractsvrijheid groter.

Een wettelijk recht, zoals we dat voor deeltijdarbeid kennen, is voor IN AND OUT-OF-OFFICE WORKING onwenselijk. Een bedrijf mag immers inefficiënt werken. De ondernemer die echter weigert zijn organisatie flexibeler en responsiever ten opzichte van snelle veranderingen in onvoorspelbare markten en samenleving te maken, gaat marktaandeel en uiteindelijk de slag verliezen. Smart organizations blijven over.

Vice versa kunnen werknemers juridisch niet gedwongen worden werk en privé te vermengen. Hoewel vrijwilligheid en consensus dus naar twee kanten sleutelbegrippen zijn, zullen kenniswerkers niet vaak bezwaar aantekenen. Of een werknemer voor het nieuwe werken in aanmerking komt, is echter een eenzijdig te nemen besluit van de werkgever.

Voor de publieke sector geldt echter per definitie dat zij doelmatig behoort te werken. Bij het nakomen van deze maatschappelijke verplichting kan zij niet om nieuwe manieren van werken heen. Deze conclusie vraagt om een actieplan ‘Nederland Open in Het Nieuwe Werken’, dat tijd- en plaatsonafhankelijk werken voor de ongeveer 1600 overheidsorganisaties volgens het ‘Comply or Explain and Commit’-principe verplicht stelt.

Het rapport IN AND OUT-OF-OFFICE WORKING; JURIDISCHE ASPECTEN VAN HET NIEUWE WERKEN VOOR WERKGEVERS wordt aangeboden via de webwinkel www.automatiseringgids/rapporten.

Let op licenties voor computerprogramma’s

Stand alone computers zijn al jaren uit. Maar wie computersystemen koppelt moet onder meer op de gebruiksrechten voor software denken. In beginsel vraagt namelijk iedere gebruiker om een eigen licentie. Wanneer in strijd met de licentievoorwaarden van de leverancier wordt geautomatiseerd, is al gauw sprake van softwarepiraterij.

Iedereen behoort te weten dat de koper van computersoftware doorgaans geen juridisch eigenaar op de programmatuur wordt. Dat geldt vrijwel zonder uitzondering bij de ‘koop’ van systeemsoftware, tools, zoals computertalen, en standaardapplicaties. Deze software wordt aan de klant tegen een bepaalde vergoeding in licentie gegeven. En het geestelijk en juridisch eigendom blijft bij de rechthebbende leverancier. Licentie is een begrip dat van oorsprong uit het Latijn stamt: licentia. Dat betekent onder meer verlof. Door middel van een licentie krijgt de licentienemer toestemming om iets te gebruiken, wat hij daarvoor niet mocht.

Op een computerprogramma rust namelijk auteursrecht, aldus de rechter en sinds 1993 ook de wet, en soms ook nog octrooien en merken.

Het auteursrecht komt aan de maker toe of wanneer softwarecode in het kader van een arbeidsovereenkomst is ontwikkeld, aan de werkgever. Die heeft het uitsluitende recht er als heer en meeste over te beschikken. Om in auteursrechtelijke termen te spreken: zijn werk te openbaren en te verveelvoudigen.

Verreweg de meeste software wordt door de softwareproducent in licentie gegeven, op basis van een gebruiksovereenkomst. Wie een licentie op een computerprogramma heeft, mag de software uitsluitend conform de regels van de licentieovereenkomst gebruiken. Dat geldt nadrukkelijk ook voor open source software, ondanks de omstandigheid dat voor het gebruiksrecht nooit betaald hoeft te worden.

So far, so good. Aandacht voor het administratieve beheer van computerprogramma’s die bij een gebruikersorganisatie draaien, biedt twee aantrekkelijke voordelen. Dat beheer noemen we software asset management.

Allereerst gaat het om het voorkomen van juridische aansprakelijkheid (en mogelijk reputatieschade van de organisisatie) wanneer er in strijd met licentievoorwaarden wordt gewerkt. Software asset management is geen overbodige luxe, alleen al omdat nieuwe ontwikkelingen, zoals Software-as-a-Service (SaaS) en cloud computing, virtualisatie en open source software, aan de orde van de dag zijn en voor ingewikkelde omstandigheden zorgen.

Los daarvan, kan er dankzij software asset management vaak op licentiekosten worden bespaard door het effectief benutten van de reeds aangeschafte software.
Het beschikken over accurate — actuele en volledige — informatie over ALLE software is dus essentieel voor een goede bedrijfsvoering.

Uit een recent onderzoek onder 1000 gebruikersorganisaties blijkt echter dat bijna 90% van de bedrijven en instellingen niet beschikt over beleid op het gebied van licentiebeheer of over volledige informatie van hun software assets en licentierechten. Dat is vragen om problemen.

Nieuwe Europese wetgeving voor cookies op komst

De Europese Unie wil paal en perk stellen aan het gebruik van cookies door middel van nieuw beleid, vastgelegd in een Richtlijn. Websites moeten in de toekomst voor de plaatsing van deze kleine databestandjes op de computer van een gebruiker, nadrukkelijk vooraf toestemming vragen.

Opt-in, noemen we dat en in telecommunicatieperspectief zagen we deze verplichte modus operandi eerder in werking treden voor het versturen van spam in de consumentenmarkt (een breed Europeesrechterlijk voorschrift) en sinds dit jaar eveneens in de business-to-business markt (een puur Nederlandsrechtelijk voorschrift).

Goed beschouwd is het allemaal de schuld van Lou Montulli. Hij was het die als Amerikaanse college drop-out voor zijn eerste werkgever, de Internet start-up Netscape, in 1994 de zogenoemde cookie technology ontwikkelde. Handig voor bedrijven op het World Wide Web van Internet om surfers te kunnen individualiseren, dacht deze self-learned programmeur van 23 jaar oud. Bovendien registeren cookies ook wat een surfer op bezochte Websites heeft gedaan. Ook handig.

Netscape gebruikte de technologie ogenblikkelijk in de eerste versie haar browser Navigator en daarmee werden de elektronische koekjes een defacto standaard op Internet. Wereldwijd.

De commerciële mogelijkheden van cookies zag ook de Amerikaanse entrepreneur Kevin O'Conner. Hij richtte 1996 het advertentiebedrijf DoubleClick op. Met regelmaat lag online-bedrijf onder vuur. Privacyvoorvechters nagelden DoubleClick aan de schandpaal, omdat het een scheve schaats zou rijden door allerlei — lees: te veel — gebruiksinformatie te verzamelen.

DoubleClick zij destijds in ‘non-sensitive marketing information’ te handelen, maar ging daarbij verder dan het verzamelen van een tracking record van gebruikers door toepassing van cookies. DoubleClick koppelde namelijk web-informatie van bij naam en toenaam bekende gebruikers met de gegevens uit de traditionele marketingdatabanken. Het surf en -koopgedrag online werd dus gematched met het offline-koopgedrag. The best of both worlds.

Ook Google doet in advertenties en ziet praktische toepassingen in het zamelen van informatie van Internet-gebruikers. Zij nam DoubleClick in maart 2008 over, voor het bedrag van 3,1 miljard dollar. Eurocommissaris Kroes (mededinging) keurde de overname goed.

Nu gaat Europa de veelgebruikte cookie-technologie, uit oogpunt de bescherming van de persoonlijke levenssfeer van de burger, juridisch verder beschermen. We kennen al de Europese Richtlijn privacybescherming, in Nederland omgezet in de Wet bescherming persoonsgegevens. Centraal staat de verwerking van persoonsgegevens en dat is een ruim begrip. Vrijwel iedere handeling van een persoonsgegeven valt er onder.

Één van de voorschriften luidt: informeer de burger, en dus de klant, wanneer er wat met zijn persoonsgegevens wordt gedaan. Alleen al om deze reden doet iedere aanbieder van diensten in de informatiemaatschappij er goed aan een privacyverklaring op zijn website te zetten en de gebruiker te informeren over bijvoorbeeld de inzet van de cookie-technologie.

Samenwerking en interoperabiliteit noodzakelijk

Het heeft 50 jaar geduurd voordat we algemeen door hadden dat de aansluitbaarheid van digitale producten van groot belang is voor onze samenleving. Bezien door een economische bril creëert interoperabiliteit namelijk toegang tot markten, dankzij de beschikbaarheid van technische informatie. Interoperabiliteit heeft dus minimaal handelsbevorderende en concurrentiestimulerende effecten.

Interoperabiliteit wordt door de Europese Commissie gezien als essentiële voorwaarde voor allerlei diensten in het domein elektronische overheid en Den Haag zit ook op deze lijn. Het gaat echter om een onderwerp dat in verschillende contexten wordt gebruikt en bovendien in dezelfde samenhang verschillende omschrijvingen en definities kent. Dat werkt soms een Babylonische spraakverwarring in de hand.

Daar staat tegenover dat een eensluidende kadering — ook met betrekking tot digitale technologie — ongewenst is, omdat een one-size-fits-all benadering in de praktijk weinig zinvol is. In het perspectief van ICT heeft interoperabiliteit weliswaar betrekking op de situatie dat apparatuur, programmatuur en infrastructuur van verschillende producenten, dankzij de beschikbaarheid van informatie over technische interfaces, op elkaar zijn aan te sluiten en uitstekend samenwerken.

Maar in het specifieke geval van TELECOMMUNICATIE gaat interoperabiliteit (bedoeld als interconnectie) om de toegang tot communicatienetwerken van dominante marktpartijen, terwijl in geval van COMPUTERPROGRAMMA’S interoperabiliteit (bedoeld als compatibiliteit) wordt gekaderd als het vermogen om informatie uit te wisselen en om deze uitgewisselde informatie onderling te gebruiken.
En dat is precies de reden dat niemand geen eigen invulling aan het begrip ICT-interoperabiliteit mag geven. Wetgevers zijn ons voor geweest.

Zo constateren we in het kader van telecommunicatie dat het opheffen van het monopolie op telecommunicatie door de communautaire wetgever werd afgedwongen met behulp van de zogenoemde Open Network Provisions. Deze regels zorgen ervoor dat netwerk- en dienstenaanbieders en hun klanten toegang krijgen tot het netwerk en de diensten van de oude staatsmonopolisten, zoals in Nederland KPN.

In relatie tot softwarecode heeft iedere licentienemer op een computerprogramma een wettelijk recht op aansluiten. Het betreft een gecodificeerd recht met betrekking tot technische voorwaarden om een onafhankelijk vervaardigd computerprogramma te verbinden met andere computerprogramma's; ook c.q. juist als de producent van die andere software dat niet wil en niet meewerkt. Iedere concurrent van welke marktpartij dan ook (dominant of niet), kan sinds 1993 van dit recht op interoperabiliteit gebruik maken. En dat geldt eveneens voor andere licentienemers op de software, zoals gebruikersorganisaties.

Algemeen bezien blijkt dat het rechtskader van interoperabiliteit een complexe mix omvat van contractenrecht, intellectueel eigendomsrecht en mededingingsrecht, zowel wettelijk als jurisprudentieel. Het gaat enerzijds om een balans tussen innovatiebescherming van ontwikkelaars en anderzijds het stimuleren dat derden hiervan gebruik maken en mogelijk zelf ook innoveren. Geen eenvoudige materie met eensluidende antwoorden.

Open source software blijft verwarren

Gisteren organiseerde het programmabureau, dat verantwoordelijk is voor het Actieplan Nederland Open in Verbinding (NOiV), een sneak preview. Op basis van een onder Rijks- en medeoverheden gehouden enquête werden als voorbeschouwing op de publicatie van de officiële monitor, enkele cijfers gepresenteerd. Conclusie: er is duidelijk vooruitgang geboekt ten aanzien het gebruik van open standaarden en open source software conform de regels van het actieplan.

Opvallend was dat staatsecretaris Heemskerk (EZ) — geestelijk vader van het actieplan — tegelijkertijd aangaf juist geen duidelijke trend te zien. Hij sprak van een glas dat half vol of half leeg is.

Open source software blijft verwarren en voor verdeelde meningen zorgen. Enerzijds is dat niet opmerkelijk, omdat alles wat je zegt over open source software, waar kan zijn, maar zelden algemeen geldt. Dat maakt discussiëren ronduit lastig. Anderzijds valt de aandacht voor leveringsmodellen voor softwarecode en de daarmee gepaarde emoties juist wel op. Moeten we het niet eerder over de kwaliteit van de programmatuur, open data formats, de roadmap van het product en bijvoorbeeld evenwichtige juridische leveringsvoorwaarden hebben?

Hoe het ook zij, kijk eens naar veelgehoorde misverstanden.

- Proprietary software code vs. open source code. Hoewel standaard ´proprietary code´ tegenover ´open source code´wordt geplaatst, rusten ook op de gratis softwarecomponenten en computerprogramma´s altijd auteursrechten, vaak octrooien en soms nog merken. Er is dus te allen tijde sprake van juridisch eigendom, nader bepaald intellectueel eigendom. Deze rechten kunnen bij veel individuele programmeurs of bedrijven liggen of bijvoorbeeld bij een organisatie, zoals een stichting of bedrijf. De kans op inbreuk op deze rechten — samen met het ontbreken van contractuele vrijwaring — geldt als een zwaard van Damocles. Bovendien wordt ALLE open source software op basis van licenties (juridische gebruiksvoorwaarden) aangeboden.

- Free and Open Source Software. Pas op. Tegenwoordig veegt de markt free Software and Open Source Software vaak als FOSS op een hoop. Toch blijven het twee verschillende categorieën en het miskennen van het onderscheid kan verstrekkende gevolgen voor leveranciers en gebruikersorganisaties teweeg brengen. Dat heeft alles te maken met het strikte en virale karakter van free software-licenties en de mogelijkheid om bij meer liberale open source software-licenties de gewijzigde softwarecode uit de vrije-beschikbaarheidssfeer te halen. Bijvoorbeeld om er niet-open source software van te maken en deze tegen betaling aan te bieden.

- Commercial software vs. open source software. De woordkeus voor commerciële computerprogramma´s doet vermoeden dat open source software niet op commerciële basis wordt ontwikkeld en/of aangeboden. In de praktijk zien we juist dat open source software hoe langer hoe meer zuiver commerciële handel en dienstverlening betreft. Ook overheidsleveranciers willen er gewoon geld mee verdienen.

Juridische turbulentie bij cloud computing

Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21ste eeuw, die nieuwe manieren van leven, werken, zakendoen en besturen ontsluit. Infrastructuur, platformen en applicaties veranderen in een continue dienst, zowel publiek (openbaar) als privaat (gesloten), waardoor uiteindelijk een ‘network of clouds’ ontstaat.

Met de wijziging van ICT als product in een of meerdere diensten, verandert het business model van de industrie, het prijsmodel, het juridische model en het technologiemodel. Client/server wordt on-demand web-based computing.

Daarmee kunnen gebruikersorganisaties aantrekkelijke voordelen behalen. Zo verhoogt het uitbesteden van de technologie — en het terug ontvangen als een managed service tegen een bepaald dienstenniveau — in de regel de kwaliteit en biedt de klant meer ruimte voor de kerntaken. Bovendien zijn de diensten uitstekend schaalbaar en worden tegen een lagere vergoeding aangeboden in vergelijking met de TCO, die voor interne automatisering geldt.

Bij toepassing van dit op Internet gebaseerde systeemarchitectuurmodel komen in beginsel echter alle actuele technologische en bedrijfsmatige ontwikkelingen van de ICT-sector samen. Denk aan software-as-a-Service, service-oriented architecture, virtualisatie, multi-core processors, open source software, standaarden, interoperabiliteit, dynamic storage, beveiliging, privacy, vaste en draadloze breedbandinfrastructuur en milieuaspecten.

Gekoppelde, geografisch verspreide datacenters, soms zelfs in verschillende landen en op verschillende continenten, vormen in wisselende samenstelling één virtuele computerfabriek, die 24/7 en plaatsonafhankelijk draait.

Dat maakt technologie- en informatiemanagement ronduit complex. Waar en wanneer wordt welke bedrijfsinformatie met welke computerprogramma’s eigenlijk verwerkt? Op welke locaties vindt, al dan niet tijdelijk, dataopslag plaats?

Het meest ingewikkelde kader doet zich voor bij THIRD-PARTY CLOUD COMPUTING, dus in de omstandigheid wanneer een gebruikersorganisatie diensten afneemt van een externe cloud service provider. Deze nieuwe outsouringsverhouding brengt bijzondere gevolgen te weeg. Zo heeft de gebruikersorganisatie geen controle over en kennis van de geleverde ICT-onderdelen en het virtuele informatiesysteem.

Verder ontstaat er een sterke afhankelijkheidssituatie ten opzichte van de cloud service provider, omdat zowel de ICT-onderdelen als de bedrijfsinformatie in beginsel exclusief — letterlijk — in handen van de externe cloud service provider zijn. Bovendien hebben gebruikers een sterke afhankelijkheidssituatie ten opzichte van de aanbieders van draadloos en vast breedband-Internet.

Digitale bedrijfstechnologie blijft een complexe multi-vendor/multi-product-omgeving. Vandaar dat interoperabiliteit zo belangrijk is. Maar dat betekent ook dat al de licenties een rol spelen bij virtualisatie, software-als-dienst en multi-core processors.

Wie servers gaat virtualiseren wil niet meer gebruikskosten voor software betalen. Belangrijk is tevens de vraag naar aansprakelijkheid voor fouten en gebreken in softwarecode. Bij ICT als geheel van clouddiensten (infrastructuur, platform en software) is dat vaak onduidelijk.

Wie is waarvoor aansprakelijkheid? Cloud service provider, data center operator, softwareproducent? Dat vraagt om transparantie en natuurlijk waarborgen en zekerheden.

Het ICT-recht is volwassen geworden

Wat ooit begon als een hoeveelheid bijzondere clausules en contracten voor electronic data processing is uitgegroeid tot een omvangrijke en complexe Codex Informatica, die juridische kaders biedt voor digitale technologie en de samenleving. Aandacht van het management voor het rechtskader van ICT creëert economische waarde, optimaliseert bedrijfsmiddelen en beheert bedrijfsrisico´s. Niet te versmaden voordelen. Dat geldt zowel voor gebruikersorganisaties als leveranciers.

ICT en recht zijn tegenwoordig op verschillende wijzen zeer nauw met elkaar verbonden. Onder de normstelling van een breed wetgevingspakket vallen zowel ontwikkeling als toepassing van digitale technologie en content: chips, computerprogramma´s, databanken, e-mail, websites en bijvoorbeeld elektronisch zakendoen. Een deel van de actuele wetgeving grijpt direct in op business processen en de inrichting van informatiesystemen. En: naleving van wettelijke voorschriften kan in toenemende mate uitsluitend met behulp van ICT gerealiseerd worden.

De nauwe relatie tussen technologie en recht heeft tot gevolg dat geen enkele manager bij de sector of gebruikersorganisaties om het juridisch kader van levering en gebruik van elektronische verwerking en communicatie van gegevens heen kan. Tevens wordt iedere ICT-professional met de rechtsaspecten van zijn werk geconfronteerd en zelfs de meeste werknemers komen in aanraking met de rechtsregels die tegenwoordig voor ICT gelden. Net als de technologie, is ook het ICT-recht omvangrijker en complexer geworden.

Om een uiterst actueel onderwerp te noemen: zelden getuigt hardcore technology coding van eveneens hardcore legal coding zoals free and open source software dat doet.

Wie professioneel werkt, neemt kennis van actuele wet- en regelgeving, vergeet het contractuele kader niet, stelt vervolgens compliance-programma´s, interne business rules en gedragscodes op en doet zaken op basis van gedegen juridische voorwaarden. Corporate governance duidt op een goede bestuurlijke inrichting van een onderneming en de uitvoering van goed ondernemerschap, waaronder begrepen integer en transparant handelen, alsook goed toezicht hierop en het afleggen van verantwoording over het uitgeoefende toezicht.

Daarbij lijkt aandacht voor het rechtskader van ICT soms tegen wil plaats te vinden, maar wie hier wat anders tegen aan kijkt, ontdekt dat het recht aantrekkelijke voordelen biedt. Het recht:

- creëert economische waarde;
- optimaliseert bedrijfsmiddelen;
- en beheert risico´s.

Juridische aspecten van ICT betreffen meer dan eens need-to-know informatie. Het recht is er niet voor juristen, maar richt zich primair op die groepen waarvoor de juridische normering bedoeld is. Rechtsposities moeten worden veiliggesteld en het zakendoen gefaciliteerd. Dat geldt ook bij actuele ontwikkelingen in het domein digitale technologie en de informatiemaatschappij, cloud computing, het nieuwe werken, open source software, data storage en bijvoorbeeld Green IT.