Organisaties moeten beveiliging als maatschappelijke plicht zien

Uiteenlopende wet- en regelgeving schrijft in Nederland beveiligingsmaatregelen voor de elektronische omgeving voor. Daar kan geen bestuurder in de private en publieke sector om heen. Bovendien zijn organisaties ook gebonden aan hun contractuele afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van de opgeslagen of verzonden bedrijfsinformatie. Maar netwerk- en informatiebeveiliging betreft bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw.

Dat blijkt uit de executive analyse Netwerk en informatiebeveiligingsrecht.

Netwerk- en informatiebeveiliging is tenminste een geconsolideerde wettelijke verplichting, samengesteld uit diverse Europese en nationale wet- en regelgeving. Deze conclusie herbergt het gevaar dat we de dwingendrechtelijk voorgeschreven maatregelen als een ongelukkig fait d’ accompli — een last — beschouwen; daarbij het beveiligingsbeleid tot louter een kostenpost marginaliserend en de achterliggende gronden met dichte ogen passerend. Wie verder kijkt, zal zien dat ook in deze context juridische normering en naleving aantrekkelijke voordelen bieden. Het recht creëert economische waarde, optimaliseert bedrijfsmiddelen en beheert bedrijfsrisico´s’.

Nader beschouwd betreft netwerk- en informatiebeveiliging bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de moderne samenleving. Denk aan de bescherming van de kritieke maatschappelijke infrastructuren, de bescherming van de fundamentele waarden en normen van het individu als burger, werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.

Bedrijfsinformatie bevat als regel persoonsgegevens, die hoofdzakelijk bestaan uit klantgegevens en personeelsinformatie. Op grond van deze analyse is de communautaire privacywetgeving van toepassing, die in Nederland primair is omgezet in de Wet bescherming persoonsgegevens. De wetgeving schrijft ‘passende technische en organisatorische maatregelen’ voor om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Algemeen gesproken moeten de beveiligingsmaatregelen een passend beschermingsniveau garanderen. Er is geen sprake van een one-size-fits-all oplossing. Speciaal voor persoonsgegevens wegen drie factoren mee: de risico’s die de verwerking en de aard van de te beschermen persoonsgegevens met zich meebrengen, de stand der techniek en de kosten om de beschermingsmaatregelen uit te voeren. Naar mate persoonsgegevens een gevoeliger karakter hebben, worden er zwaardere eisen aan de beveiliging gesteld.

De huidige wettelijke voorschriften voor netwerk- en informatiebeveiligingsmaatregelen zijn echter tot stand gekomen in een tijd waarin informatieverwerking vooral een statisch karaker had. Software als dienst (SaaS) en andere vormen van cloud computing maken ICT meer dynamisch en zelfs ‘vloeibaar’. Deze ontwikkeling zorgt er — samen met het grensoverschrijdende karakter van de informatieverwerking — voor dat naleving van wettelijke beveiligingsmaatregelen voor de elektronische omgeving complexer wordt. Contractuele afspraken moeten meer dan eens taken en verantwoordelijkheden helder maken en risico’s beperken.

Hierbij gaat het vooral om geheimhoudingsverklaringen in arbeidsovereenkomsten voor het eigen personeel, samenwerkingscontracten met ketenpartners en overeenkomsten van opdracht in de relatie met externe medewerkers en natuurlijk de (ICT-)dienstverleners.

> Netwerk- en informatiebeveiligingsrecht, executive analyse, Amsterdam, 2010.

> Zie voor een overzicht van onderzoeken:

http://technologierecht.blogspot.com

Geen wettelijk recht op het nieuwe werken

Overheidsorganisaties moeten in beginsel overgaan naar nieuwe manieren van werken, terwijl het bedrijfsleven de vrijheid heeft voor invoering te kiezen.

Nieuwe manieren van werken kunnen individu, arbeidsorganisatie en samenleving uitstekende diensten bewijzen, maar dat rechtvaardigt geen wettelijk recht op telethuiswerk voor werknemers. In geval van kenniswerk in loondienst is het aan de werkgever om te bepalen of het nieuwe werken wordt ingevoerd en dat moet zo blijven. De vrijheid om de arbeidsorganisatie in te richten, behoort bij de ondernemer te liggen. Voor de overheidssector is wel stevige druk op zijn plaats om het nieuwe werken uit oogpunt van doelmatigheid in voorkomende gevallen te implementeren.

Dat blijkt uit de trendanalyse Het nieuwe werken in juridisch perspectief.

De ´Week van Het Nieuwe Werken´, die van 8 t/m 15 november a.s. wordt gehouden, is een goed initiatief om de aandacht weer op nieuwe manieren van werken in de informatiemaatschappij te vestigen. De campagne richt zich met de slagzin ´Het Nieuwe Werken doe je zelf´ nadrukkelijk op werknemers, die blijkbaar ´bottum-up´ actie moeten initiëren.

Invoering van nieuwe manieren van werken is echter de uitsluitende bevoegdheid van de ondernemer. Die bepaalt de organisatorische inrichting en kiest naar eigen idee voor werkvormen en bedrijfsmodellen. Daarbij past geen wettelijk recht op telethuiswerk zoals Groenlinks eerder voorstelde.

Bovendien mogen we niet vergeten dat de invoering een ingrijpende en meestal onomkeerbare stap betekent, die de nodige zorgvuldigheid en expertise vereist. Wie denkt dat er economische voordelen zijn te behalen met twee werkplekken per medewerker, die een dag per week thuis mag werken, slaat de plank mis.

Het gaat om een bewuste, structurele bedrijfsstrategie en de veelal organisatiebrede implementatie, waarbij de vaste werkplekken op de zaak verdwijnen en het aantal vierkante meters tot de helft wordt teruggebracht. Ook zonder de overgang naar een andere manier van automatiseren, namelijk software als dienst en cloud computing, zetten nieuwe manieren van werken nauwelijks zoden aan de dijk.

Het huidige, multidisciplinaire wettelijk kader vormt algemeen gesproken geen belemmering voor de invoering van het nieuwe werken bij overheid en bedrijfsleven. Speciale wetgeving is dus niet nodig en op dit moment zelfs ongewenst, omdat zeker niet alle aspecten en gevolgen van de informatiemaatschappij voldoende uitgekristalliseerd zijn.

In plaats daarvan moet een organisatie zelf beleid ontwikkelen en formaliseren in de vorm van een gedragscode. Op grond van het arbeidsovereenkomstenrecht heeft de werkgever voldoende mogelijkheden tot het geven van aanwijzingen. De gedragsregels geven richting, bieden handvatten en scheppen helderheid in een omgeving waar werk en privé door elkaar gaan lopen.

Voor publieke sector geldt per definitie dat zij doelmatig behoort te werken. Bij het nakomen van deze maatschappelijke verplichting kan zij goed beschouwd niet langer om nieuwe manieren van werken heen. Deze conclusie vraagt volgens De Pous dringend om een actieplan ‘Overheid Open in Het Nieuwe Werken’, dat tijd- en plaatsonafhankelijk werk voor de ongeveer 1600 overheidsorganisaties die ons land telt, op grond van het ‘Comply or Explain and Commit’-principe min of meer verplicht stelt.

Een overheidsorganisatie moet dan in voorkomende gevallen uitleggen waarom zij hieraan geen gehoor geeft, op welke gronden dat gebeurt, en wanneer zij denkt het actieplan wel te kunnen uitvoeren.

> Mr. V.A. de Pous, Trendanalyse, Het nieuwe werken in juridisch perspectief, Amsterdam, 2010

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

ICT-Office vergeet rol intellectuele eigendom en kenniswerkers

Goed dat er nu duidelijke economische kerncijfers beschikbaar zijn, maar het onderzoek ´De softwaresector in Nederland´ gaat voorbij het aan fundament van ondernemerschap en innovatie in dit domein. Intellectuele eigendomsrechten, waaronder het auteursrecht, vormen de basis voor exploitatie, zelfs wanneer het om open source software gaat.

Bovendien mist de wens van brancheorganisatie ICT-Office om ´softwarebedrijven te laten uitgroeien tot de motor van de economie´ een plan om de schaarste aan ICT-professionals en andere kenniswerkers duurzaam aan te pakken. Dat blijkt uit de zojuist verschenen trendanalyse Softwarebusiness loopt op copyright.

De recente studie ´De softwaresector in Nederland´ van bureau Dialogic opent de ogen voor wat betreft de aard en omvang van deze bedrijfstak in Nederland. Zo wordt er terecht gewezen op de omstandigheid dat allerlei bedrijven buiten de traditionele softwaresector computerprogramma´s maken. Ook zorgt softwarecode voor vernieuwing in en buiten de sector.

De studie gaat echter voorbij aan het feit dat intellectuele eigendomsrechten het fundament voor het economisch succes en het innovatievermogen van de softwaresector vormen. Deze rechten maken de exploitatie van softwarecode op grond van diverse bedrijfsmodellen en leveringswijzen mogelijk.

Het Leitmotiv in de softwaresector luidt Go your own way, entrepreneur, zowel in technische als bedrijfsmatige zin. Het eerste aspect is gestoeld op het rechtskader voor exploitatie; het tweede aspect zien we nadrukkelijk bevestigd door de uitkomsten van het onderzoek, onder meer in de actuele modus operandi met betrekking tot softwareontwikkeling en de wijze waarop computerprogramma’s vervolgens worden vermarkt.

Wie van ´scratch´ ontwikkelt, maakt in toenemende mate gebruik van reeds beschikbare softwarecode. Daarbij speelt open source software een belangrijke rol, nu er al meer dan 180 duizend open source-componenten beschikbaar zijn.

Uit de Verenigde Staten wisten we al dat nieuwe programmatuur vaak grotendeels samengesteld wordt uit open en niet-open source software, die vervolgens als ´closed source´ aan de markt wordt aangeboden. Dat zien we nu ook in Nederland bevestigd. Deze praktijk rechtvaardigt niet dat de overheid als inkoper open source software positief discrimineert.

Maar component-based programming vereist wel gedetailleerd juridisch beleid en naleving voor zowel inbound als outbound licensing. We moeten namelijk goed beseffen dat op softwarecode in beginsel altijd intellectuele eigendomsrechten rusten. Wanneer de code in licentie gegeven is, gelden de voorschriften van de gebruiksovereenkomst. Daaraan moeten contractspartijen, zoals creatieve programmeurs, zich houden.

Met de uitkomsten van het onderzoek wil brancheorganisatie ICT-Office softwarebedrijven graag laten uitgroeien tot ´de motor van de economie´. Geen slechte gedachte. Maar de bedrijfstak in brede zin moet dan kunnen putten uit een reservoir aan uiteenlopende ICT-professionals en andere kenniswerkers. Daaraan schort het in Nederland en West-Europa nadrukkelijk. Ook hieraan gaan de onderzoekers en opdrachtgever ICT-Office voorbij.

> Mr. V.A. de Pous, Trendanalyse, Softwarebusiness loopt op copyright, Amsterdam, 2010

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

VVD mede slachtoffer van eigen onprofessioneel handelen

Wie denkt dat door het huidige aanbod van duizenden standaardpakketten maatwerksoftware tot het verleden behoort — en dat hiermee ook de juridische geschillen zijn verdwenen die we van oudsher onder de noemer ‘mislukte automatisering’ rubriceren — heeft het mis.

Een aardig kijkje in keuken biedt de Rotterdamse rechter in het eindvonnis van 21 mei jl. in drie zaken. De hoofdzaak betreft Volkspartij voor Vrijheid en Democratie v. Perfect Direct Mail, Perfect Database Management en T-Systems Nederland.

De bundeling van rechtszaken en partijen creëert verwarring, maar kort gezegd gaat het hierom. De nu grootste partij van ons land wilde graag een nieuw ledensysteem en betaalde meer dan 300.000 euro voor advies, bouw en hosting.

De nieuwbouw werd echter niet c.q. niet tijdig opgeleverd. Daardoor ontstaat schade, maar de leverancier heeft zijn aansprakelijkheid voor directe schade contractueel beperkt en dat mag in dit geval, aldus de rechter. Terugbetaling van de aanbestedingssom hoeft niet; wel moet er nog een schadevergoeding worden vastgesteld. Veel kan dat echter niet zijn.

Lessons learned. Belangrijk is allereerst dat de VVD accepteerde dat de maatwerksoftware in eigendom bleef van de leverancier die het pakket bouwt en zij slechts een licentie (gebruiksrecht) verwerft. Die constructie doet ten principale geen recht aan de economische relatie. Wie als opdrachtgever het volle pond voor ontwikkeling van een computerprogramma betaald, heeft op morele gronden recht op het eigendom.

Echter de Auteurswet bepaalt dat eigendomsoverdracht uitsluitend schriftelijk kan plaatsvinden. Het adagium ‘wie betaalt, wordt eigenaar’, geldt in geval van software (en andere auteursrechtelijk beschermde producten) nooit van rechtswege. Dit moet expliciet in de softwareontwikkelingovereenkomst worden vastgelegd. Let daar dus op.

Partijen bij maatwerkontwikkeling kunnen desgewenst ook overeenkomen, dat beiden voor bijvoorbeeld 50 procent de bouwkosten financieren en dat bij licentieverlening aan de markt, de winst ook wordt gedeeld.

Interessant zijn tevens de andere clausules uit de contracten en algemene voorwaarden van de betrokken leveranciers, die de VDD blijkbaar klakkeloos accepteerde. Neem de garantie dat de programmatuur werkt.
‘Tenzij in de Overeenkomst uitdrukkelijk anders wordt verklaard, zijn alle andere door [de leverancier] gemaakte beschrijvingen van prestatienormen louter beschrijvingen en wordt door [de leverancier] geen expliciete of impliciete toezegging of garantie ter zake van prestatienormen of anderszins gegeven.’

Verder sluit de leverancier haar aansprakelijkheid voor indirecte schade uit en beperkt zij deze voor directe schade tot een maximum van 10 procent van de betaalde bedragen. De VVD vecht deze bepaling aan omdat een beroep hierop onredelijk bezwarend voor haar is.

Die mening deelt de rechter niet. De VVD besteedt haar ICT-werkzaamheden met behulp van een bureau van ongeveer 25 professionals uit. Door deze omstandigheid wordt de vereniging geen partij die even gespecialiseerd is als de leverancier, maar zorgt er wel voor dat de VVD als een voldoende professionele organisatie moet worden beschouwd.

Ook constateert de rechter dat de schade niet te wijten is aan opzet of bewuste roekeloosheid van de schuldenaar of van met de leiding van zijn bedrijf belaste personen. De exoneratie blijft dus overeind staan.

Wettelijke garantie voor softwarekwaliteit schudt markt flink op

De levering van standaardsoftware valt volgens een recent arrest het Amsterdamse Gerechtshof onder het kooprecht van het Burgerlijk Wetboek. Daarmee krijgen licentienemers voor het eerst een wettelijk recht op een stevige kwaliteitsnorm. Het afgeleverde computerprogramma moet namelijk ‘aan de overeenkomst beantwoorden’. Op welke wijze deze open conformiteitsnorm ingevuld gaat worden, hangt af van de opvattingen van rechters in het concrete geval.

Nieuwe jurisprudentie zal vrijwel zeker snel ontstaan, omdat de softwaresector duidelijkheid wil hebben over de nieuwe wettelijke verplichtingen. Dat blijkt uit de zojuist verschenen trendanalyse Garantierechten en softwarekwaliteit.

Juristen voeren al jaren discussie over de vraag af de koop van het gebruiksrecht op een computerprogramma tevens een koop in de zin van het Burgerlijk Wetboek is. De heersende leer beantwoordt de rechtsvraag hoofdzakelijk negatief, omdat de koopregeling immers bedoeld is voor fysieke producten, zoals een televisie of auto en niet voor zoiets ongrijpbaars als software. Dat is geen voor menselijke beheersing vatbaar stoffelijk object.

Het is geen onbeduidende rechtsvraag, omdat de wettelijke regels voor de koopovereenkomst, vastgelegd in titel 7.1 BW, nogal afwijken van de generieke regels voor onbenoemde overeenkomsten. Vooral in geval de koper een consument betreft, kan hij aanspraak maken op extra rechtsbescherming, waarvan het contract niet mag afwijken. Zo mag de koper ‘verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te twijfelen’. Verder is bij koop de verjaringtermijn niet vijf maar twee jaar, na eerst reclame over het product.

Het Amsterdamse hof bedacht een innovatieve, analoge redenering om software toch onder het koopregime te brengen. De rechter beschouwt de levering van een softwarepakket op basis van een langdurige licentie als de levering van een vermogensrecht. Volgens het Burgerlijk Wetboek zijn hierop de regels van de koopovereenkomst van toepassing. Verkopers, dus ook dealers, moeten nu garanderen dat het softwareproduct aan de overeenkomst beantwoordt.

De nieuwe kwaliteitsnorm heeft veel weg van door de softwaresector rigoureus afwezen ‘fitness for purpose’-beginsel. De werking van standaardsoftware moet tenminste voldoen aan de redelijke verwachtingen die een gebruiker heeft en de eigenschappen bezitten die voor een normaal gebruik daarvan nodig zijn. We noemen dat conformiteit.

Hoe de nieuwe kwaliteitsnorm zich verhoudt tot de levering van maatwerksoftware, open source software en Software-as-a-Sevice en cloud computing-diensten is nog onduidelijk.

Tenslotte is ook belangrijk dat op grond van vaste jurisprudentie van de Hoge Raad geldt de regel dat een licentienemer schade, ontstaan door fouten in de standaardsoftware, kan verhalen op de dealer die het pakket leverde. Anders gezegd: softwaredealers zijn in de rechtsverhouding met hun klanten in eerste instantie zelf aansprakelijk voor de fouten in de programmatuur. Deze regel geldt tevens voor open source software.

> Mr. V.A. de Pous, Trendanalyse, Garantierechten en softwarekwaliteit, Amsterdam, 2010

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

Cloud computing is aantrekkelijk, maar juridisch complex

Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21ste eeuw, die onder meer nieuwe manieren van werken en zakendoen ontsluit. Daarmee kunnen gebruikersorganisaties in de private en publieke sector aantrekkelijke voordelen behalen, maar niet zonder aandacht voor het brede en uiteenlopende rechtskader.

Het recht behoort de toepassingen van ICT in redelijkheid te faciliteren en te borgen. Nieuwe wetgeving is echter op dit moment ongewenst, omdat we cloud-computingdiensten eerst verder moeten laten evolueren. Dat blijkt uit de zojuist verschenen trendanalyse Cloud computing in juridisch perspectief.

Cloud computing betekent elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten. De levering van deze ICT-diensten geschiedt door middel van zelfbediening. De gegevenswerking vindt bovendien gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma’s en de te verwerken informatie losgekoppeld zijn van de fysieke hardware en infrastructuur.

Daarmee kunnen gebruikersorganisaties aantrekkelijke voordelen behalen. Zo verhoogt het uitbesteden van technologie — en het terug ontvangen als een managed service tegen een bepaald dienstenniveau — in de regel de kwaliteit en biedt dit de klant meer ruimte voor kerntaken. Bovendien wordt er voor het gebruik betaald en verdwijnen de investeringskosten.

Een en ander maakt cloud computing ten principale een nieuwe leveringswijze van ICT. Elektronische netwerken koppelen geografisch verspreide datacenters en samen vormen zij in wisselende samenstelling één virtuele computerfabriek. Dat model maakt technologie- en informatiemanagement echter ook complex.

Waar en wanneer wordt welke bedrijfsinformatie met welke software verwerkt? Welke partijen vervullen bij het verwerkingsproces een rol? Op welke locaties vindt, al dan niet tijdelijk, gegevensopslag plaats? In welke formats? Wie is waarvoor verantwoordelijk en aansprakelijk? Transparantie, waarborgen en zekerheden zijn dus onvermijdelijk.

Het rechtskader van cloud computing bestaat uit zowel wetgeving als contracten, waarop vooral privacywetgeving haar stempel drukt. Dit communautaire recht schrijft ten behoeve van het gehele verwerkingstraject allerlei organisatorische en technische beveiligingsmaatregelen voor. Bovendien mogen persoonsgegevens zonder toestemming van het ministerie van Justitie niet buiten de Europese Economische Ruimte (EER) worden verwerkt.

Toch zal bij cloud computing nog vaker sprake zijn van grensoverschrijdende gegevensverwerking. Daarmee krijgen de rechtsverhoudingen internationale dimensies en raken zij verschillende jurisdicties, zowel privaatrechtelijk als bijvoorbeeld strafrechtelijk. Welk recht is op de rechtsverhouding van toepassing en welke rechter is in geval van welk type conflict bevoegd hierover te oordelen?

Cloud computing is een ‘disruptive technology’ bij uitstek. Voor de jonge sector geldt waarschijnlijk het onvermijdelijke ‘get big, get niche, or get out’. Veel nieuwe spelers zullen de komende tijd de markt voor cloud-computingdiensten gaan betreden en zich mogelijk snel weer terugtrekken. Dat vormt voor gebruikersorganisaties een verhoogd risico en legt nog meer de nadruk op adequate continuïteitsmaatregelen.

> Mr. V.A. de Pous, Trendanalyse, Cloud computing in juridisch perspectief, Amsterdam, 2010

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

Rapport verschenen over zakendoen met de overheid voor leveranciers

De ondernemers- en innovatievrijheid in de ICT-sector wordt in Nederland beperkt. Een entrepreneur, die zaken wil doen met de rijksoverheid, mede-overheden of semi-publieke instellingen zoals scholen en ziekenhuizen, ziet zich al jaren geconfronteerd met allerlei juridische regels, die de contractsvrijheid beperken. Maar in toenemende mate scherpen politiek en openbaar bestuur de voorschriften voor de inkoop van ICT beleidsmatig verder aan. Toch liggen er commerciële kansen.

Dat blijkt uit het rapport ZAKENDOEN MET DE OVERHEID; PUBLIC PROCUREMENT VOOR ICT-LEVERANCIERS, dat zojuist is verschenen. Alleen al het communautaire aanbestedingsrecht is dusdanig complex, dat zij tot forse interpretatieconflicten leidt, die steeds vaker voor de rechter komen. En kleine ondernemers en start-ups in de informatie- en communicatietechnologiesector vallen doorgaans buiten de boot.

Vervolgens hebben overheidsleveranciers te maken met inkoopvoorwaarden — algemene en ICT-voorwaarden — van departementen, provincies en bijvoorbeeld gemeenten. Maar de sector hanteert ook eigen licentie- en verkoopvoorwaarden. Dit leidt tot een battle of the forms.

Nieuw is dat leveranciers worden geconfronteerd met aanvullende voorschriften voor de inkoop van elektronische systemen en netwerken door overheidsorganisaties. De meer gedetailleerde kaders van het public procurement-beleid hebben hun beslag niet in formele wetgeving gekregen, maar in politieke beleidstukken en besluiten zoals moties, plannen en programma’s. Hierbij gaat het in het bijzonder om het Actieplan Nederland Open in Verbinding (NOiV), waarin open standaarden en open source software centraal staan.

Verder is er met ingang januari 2010 een duurzaamheidscomponent aan overheidsinkoop verbonden. Het beleidsprogramma Duurzaam Inkopen stimuleert overheden om milieu- en sociale aspecten mee te nemen bij de inkoop van producten en diensten. De regering, die primair vorm wil geven aan het inkoopbeleid ten behoeve van de informatiehuishouding van overheidsorganisaties, doet bewust aan marktinterventie en voert beleid voor de ICT-sector en de samenleving.

Een en ander laat onverlet dat er marktkansen liggen voor de wereldwijde ICT-sector, die zaken wil doen met een Nederlandse overheidsorganisatie. Daarbij is kennis van het public procurement-beleid van groot belang. Overheidsorganisaties zijn tegenwoordig verplicht volgens het ‘comply-or-explain’-principe te handelen bij ICT-opdrachten (inkoop en aanbestedingen) voor het toepassen van open standaarden bij nieuwbouw, verbouw of contractverlenging. Dit principe biedt leveranciers de mogelijkheid om aan te geven, waarom zij in het concrete geval niet aan een open standaard kunnen voldoen.

Voor de inkoop van computerprogramma’s door een overheidsorganisatie geldt tegenwoordig het uitgangspunt dat bij ‘gelijke geschiktheid’ open source software de voorkeur verdient, aldus het Actieplan Nederland Open in Verbinding. Ook hier zien we kansen, want dit criterium is breed en kent uiteenlopende aspecten.

Naast de meer traditionele, technische aspecten van een computerprogramma (functionaliteiten, compatibiliteit met andere software, kwaliteit van de code, beschikbaarheid documentatie) moeten ook economische en bijvoorbeeld juridische aspecten, waaronder waarborg- en zekerheidsaspecten, van de software meegewogen worden bij vergelijking.

> Mr. V.A. de Pous, Zakendoen met de overheid; Public procurement voor ICT-leveranciers, Amsterdam, 2010, 25 pagina’s.

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

Oracle daagde Philips en externe licentiemanager ten onrechte

Een bijzonder vonnis, gewezen in een uniek conflict. Een softwareproducent is blijkbaar zo wantrouwend en ontstemd over – de kwaliteit van – de softwarelicentieadministratie bij haar klant en de informatieverstrekking hierover, dat de producent beslag laat laten op bestanden en administraties van de klant en van de externe licentieadviseur, die kennelijk namens de klant onderzoeken naar het gebruik van software verrichtte.

Dergelijke onderzoeken zijn doorgaans zeer waardevol, omdat ze mede antwoord geven op de interne vraag ‘beschikken we over voldoende licenties?’ en tevens ‘maken we gebruik van de juiste, op onze situatie het beste toegesneden licentieprogramma’s?’ Geen overbodige luxe, omdat licentieprogramma’s per leverancier, per softwareproduct en zelfs per type gegevensverwerking (productie/batch) en leveringsmodel (intern/cloud computing) ingrijpend kunnen verschillen. Vaak ontbeert de klant overzicht en een objectieve mening hierover, mede omdat licentie-informatie weinig transparant is.

In dit specifieke geval vermoedt de producent illegaal gebruik. Maar wie A zegt – het leggen van revindicatoir beslag in een civiele procedure tot afgifte van zaken en leveringen van goederen, dus voordat er vonnis is gewezen – moet ook B doen, namelijk het dagvaarden van degene op wiens spullen beslag is gelegd. En dus daagde Oracle Nederland Philips (BV’s en de NV) en adviseur voor de Amsterdamse rechter.

Vanwege de omstandigheid dat Philips en zijn externe licentie-expert weigerden licentie-informatie aan Oracle te verstrekken, vordert Oracle inzage in de stukken. Ook wil de Amerikaanse producent van bedrijfssoftware een accountant op kosten van gedaagden onderzoek te laten doen naar achterstallige licentiepenningen.

Waarschijnlijkheid zal er aan de kennelijk hoogoplopen ruzie en verstoorde relatie van alles en nog wat aan vooraf zijn gegaan. Juridisch is echter belangrijk, waar de strijd ten principale om gaat.

Is Oracle maar wat aan het vissen of heeft zij een gerechtvaardigd belang bij de afgifte van de gevraagde stukken? In het laatste geval moeten de stukken wel in voldoende mate bepaald zijn, terwijl er ook nog eens een rechtsverhouding aanwezig moet zijn tussen de stukken en de eiser.

Maar de wet kent een ook een uitzonderingsgrond: inzage op grond van gewichtige redenen worden geweigerd en wanneer redelijkerwijs aan genomen kan worden dat een behoorlijke rechtsbedeling ook zonder vertrekking van de gevraagde informatie is gewaarborgd.

Volgens de rechtbank Amsterdam houdt Oracle weldegelijk een ‘fishing expediton’, al was het alleen omdat de softwareproducent niet in staat is aan te geven om welke stukken het gaat. In de dagvaardig wordt weliswaar verwezen naar de processen-verbaal van de beslaglegging, maar dat betreft ‘copieën van de administratieve bescheiden’, ‘2 harddiscs met identieke gecopieerde data-informatie’, ‘twee CD-roms’ en meer. Veel te vaag. Bovendien deelt de rechter de mening van Philips dat ook zonder vertrekking van de gevraagde informatie een behoorlijke rechtsbedeling is gewaarborgd.

Los hiervan, de ‘Oracle Software Investment Guide’ geeft aan dat de hoogte van de gebruiksvergoeding is gekoppeld aan een ‘automated proces’. Wat is dat eigenlijk? Interpretatieverschillen liggen voor de hand. Wordt vervolgd.

McAFee aansprakelijk voor fouten in anti-virussoftware ?

Een foute update van de anti-virussoftware van McAfee zorgde in binnen- en buitenland voor grote problemen, met vrijwel zeker een enorme schade als gevolg, omdat in beginsel honderdduizenden computersystemen down gingen en meestal handmatig moesten worden hersteld. Naar thans blijkt, was de producent vergeten de recente update op het nog veel gebruikte besturingssysteem Windows XP te testen, alvorens de nieuwe code te distribueren. McAfee heeft ondertussen haar excuus aan gebruikers aangeboden.

Opvallend is dat de concurrenten van McAfee — Kaspersky, Microsoft, Symantec, Trend Micro, AVG — zich nauwelijks roeren. Zij beseffen waarschijnlijk dat dit type fouten ook hen kan overkomen. Een schoon bestand wordt door een virusscanners ten onrechte als besmet aangezien en vervolgens verwijderd. Wanneer dit een belangrijk Windows-bestand is, kan de gebruiker zijn systeem niet meer gebruiken.

Hoe zit de zaak juridisch naar Nederlands recht in elkaar? Houdt het licentiecontract, waarin doorgaans alle aansprakelijkheid voor fouten in de code en de gevolgen ervan voor de gebruiker worden uitgesloten, voor de rechter stand? Heeft procederen bij fouten, dus in geval van wanprestatie, überhaupt zin?

Zeker, maar dan moet de leverancier er wel een potje van hebben gemaakt (en daar lijkt het in de McAfee-zaak op).

De hoofdregel luidt weinig verrassend dat iedereen verantwoordelijk is voor zijn handelen en dus op de gevolgen ervan kan worden aangesproken. Maar softwareproducenten en ICT-diensverleners mogen op grond van ons recht hun juridische aansprakelijkheid contractueel beperken of uitsluiten en doen dat in de praktijk ook. Dat is juridisch toelaatbaar. Deze exoneratieclausules zijn echter niet zaligmakend, want iedere contractspartij blijft naar Nederlands recht aansprakelijkheid voor schade ontstaan door grove schuld of opzet.

Dat merkte bijvoorbeeld Cap Gemini. Het Amsterdamse hof oordeelde namelijk eind 2001 in de zaak Liebeswerk Kirche in Not/Ostpriesterhilfe versus Cap Gemini Benelux, dat de automatiseerder haar klant meer dan twee miljoen gulden schadevergoeding wegens wanprestatie moest betalen, plus wettelijke rente.

Vanzelfsprekend had Cap zijn aansprakelijkheid conform de toepasselijke Cosso-voorwaarden beperkt, maar de rechter verwierp een beroep op de exoneratie, omdat een dergelijk verweer gebaseerd op grond van de goede trouw in dit geval onaanvaardbaar was.

Buitengewoon belangrijk zijn de omstandigheden waarom Cap dit niet mocht doen. Zo wees de rechter allereerst op de wijze van totstandkoming van de voorwaarden (geen inspraak c.q. onderhandelingen) en het daarin vervatte exoneratiebeding, de verhouding tussen partijen en in het bijzonder de afhankelijkheid van de gebruiker van de deskundigheid van CAP, het belang dat de gebruiker bij de overeengekomen prestatie had en de ernst van de tekortkoming (grove fouten).

Business intelligence is vooral een bedrijfsgeheim

Wie business intelligence zegt, zegt het ontsluiten van bedrijfs- en marktinformatie. Dat vraagt naast accuraatheid vooral om geheimhouding. Het vertrouwelijke karakter staat van de analytische gegevens centraal. Feitelijk en juridisch. Managers doen er goed strategische en operationeel beleid te ontwikkelen en zorgvuldige afspraken met het personeel te maken.

Natuurlijk zijn er generieke juridische aandachtpunten die aandacht van de gebruikersorganisatie vagen. Onder welke licentievoorwaarden wordt het BI-pakket geleverd? Hoe zit het met de reikwijdte van het gebruiksrecht en wat is de aansprakelijkheid van producent? Wordt er gedurende een redelijke termijn voldoende onderhoud gegarandeerd? Ligt de boncode bij een onafhankelijke escrow-agent? Voor pakketten die op grond van open source software-constructies worden aangeboden, gelden nog andere juridische aandachtpunten.

De meer specifieke rechtsaspecten van BI hebben alles te maken met het complexe rechtskader van informatie. Immers BI betekent het analysen van bedrijfsgegevens en marktinformatie om er zakelijk voordeel mee te behalen, ook ten opzichte van de concurrentie. Daarom staat het vertrouwelijke karakter van de vergaarde informatie centraal. In feite genereert business intelligence sotware commerciële know-how, een begrip te plaatsen tegenover de klassieke, meer technisch-georiënteerde bedrijfsinformatie (het recept van Coca Cola en bijvoorbeeld de broncode van een computerprogramma).

Dat vraagt om strategisch en operationeel beleid. Zo moeten werknemers door middel van arbeidsovereenkomst of toepasselijk arbeidsreglement bedrijfsinformatie allereerst geheim houden, aldus luidt goed beschouwd de crux van het versnipperde knowhow-recht. Daarvan is sprake omdat we te maken hebben met een mix van arbeidsrecht, contractenrecht, intellectuele eigendom, mededingingsecht en strafrecht.

Juridische bescherming van kennis vraagt dus om een creatieve, geconsolideerde benadering, daarbij gebruikmakend van alle beschikbare rechtsgebieden. Maar laten we de feitelijke kant van de zaak niet vergeten. Bewustwording bij het personeel is key. Ook c.q. juist bij nieuwkomers en tegen het licht van jobhopping. Met vetrekkende werknemers moet een exit-gesprek worden gehouden. Heeft werknemer thuis informatie van de zaak, bijvoorbeeld op zijn notebook?

In de omstandigheid dat het knowhow-recht geen soelaas meer biedt, kan het gebruik van beschermde informatie door derden mogelijk worden tegengegaan door een beroep te doen op het intellectuele eigendomsrecht, het auteursrecht in het bijzonder. Ook kunnen concurrenten op grond van het mededingingsrecht worden aangesproken wanneer ze met bedrijfsinformatie van een ander aan de haal gaan. Verder speelt tevens technische interoperabiliteit tussen de verschillende databases een uiterst belangrijke rol.

En last but not least, vrijwel zeker houdt BI-software nog te weinig rekening met de impact van nieuwe wetgeving op het zakendoen bij de analyses van bedrijfs- en marktinformatie. Neem als voorbeeld de aanscherping van de Telecommunicatiewet. Met ingang van 1 oktober 2009 mogen commerciële e-mailings in de zakelijke markt zonder voorafgaande toestemming van de ontvanger niet meer worden verstuurd.

Juridisch kader voor distributie digitale producten complex

Wie als producent kiest voor het indirecte model heeft zijn wederverkopers hard nodig. Voor zakendoen op basis van een franchiseformule doen eveneens beide partijen samen aan economische waardecreatie. En goed beschouwd geldt dat ook bij exclusieve afspraken, zoals exclusieve distributieovereenkomsten.

Maar let op, exclusieve relaties kunnen de competitie in een bepaald marktsegment beperken, misschien wel verhinderen of zelfs vervalsen. We betreden dan het complexe mededingingsrechtelijke domein en hierover hebben zowel Brussel als Den Haag regels opgesteld.

De juridische positie van distributeur en reseller is door het recente wapengekletter tussen het Russische Kaspersky Lab en haar exclusieve franchisenemer in de Benelux nadrukkelijk onder de aandacht van het kanaal gebracht. Kaspersky Lab heeft namelijk de samenwerking met deze franchiseorganisatie naar eigen zeggen op grond van wanprestatie (‘stelselmatige schendingen’) verbroken.

Sinds 1 januari jl. heeft Kaspersky Lab Benelux B.V. geen toegang meer tot de licenties van het moederbedrijf en kan dus niet meer leveren. Een dergelijk eenzijdige besluit raakt in beginsel het gehele ecosysteem van wederverkopers in de regio, maar er zijn uitzonderingen die de dans ontspringen. Denk aan bedrijven die de programmatuur OEM voorgeïnstalleerd op appliances wederverkopen.

Inmiddels ligt er een vonnis. Kaspersky Lab Benelux mag tot 1 augustus a.s. de Russische software blijven verkopen, aldus besliste de kort geding-rechter. Dat betekent dat Kaspersky tot die datum licenties aan het Nederlandse bedrijf moet leveren. Geeft zij niet of onvolledig gehoor aan het rechterlijk bevel, dan kan een dwangsom van 50 duizend euro worden geëxecuteerd. Interessant is de motivering van het vonnis. Zomaar opzeggen, dus zonder een redelijke opzegtermijn, mag juridisch niet.

Bij de uitvoering van een overeenkomst (contract) zijn namelijk partijen gehouden aan de goede trouw. Dit juridisch beginsel kan zowel een op de overeenkomst aanvullende als beperkende werking hebben. Zo kan een langlopend of steeds verlengd contract, wanneer er geen afspraken over de opzegging zijn gemaakt, niet zomaar ineens door een partij worden beëindigd. Bovendien speelt in Nederland mee dat de rechter verder kijkt dan de lettertjes in het contract; hij vraagt zich onder meer af: wat beoogden partijen tijdens het aangaan van de afspraken eigenlijk te bereiken?

Een en ander sterkt waarschijnlijk de rechtspositie van Kaspersky Lab Benelux, want er loopt ook een bodemprocedure tussen partijen. Volgens de franchiseorganisatie lopen de afspraken namelijk door tot 2012, terwijl de Russen van mening zijn dat de overeenkomst eind vorig jaar op juiste gronden is beëindigd.

Over de exclusiviteit kruisen partijen eveneens de degens. De Nederlandse franchisenemer claimt dat zij het exclusieve recht op verkoop van Kaspersky-software in de Benelux heeft en weigert afdracht van de licentiegelden, omdat de Russen zelf aan klanten in de Benelux-regio zouden hebben geleverd. De rechter besloot tot het opleggen van een bankgarantie voor de franchisenemer van 2,9 miljoen euro.

Openbaarheid stemcomputersoftware: auteursrecht wint van informatievrijheid

Drie jaar geleden wees de Amsterdamse rechter in kort geding een belangrijk vonnis in de zaak die het Bureau voor verkiezingsuitslagen B.V. had aangespannen tegen de Stichting Wij vertrouwen stemcomputers en haar bestuurders. Volgens de rechtbank handelde stichting in strijd met de auteursrechten van de maker door de software en de handleiding op Internet te zetten en die te laten downloaden.

Een dergelijke integrale openbaarmaking is geen proportioneel middel voor de door de Stichting gewenste transparantie. De stichting werd veroordeeld om de software en de handleiding van haar website te verwijderen.

De ruzie ging over de programmatuur in de stemmachines, genaamd Integraal stem systeem (ISS), waarmee bij verkiezingen de zetelverdeling kan worden berekend en de uitslag in detail aan de kiezers worden kenbaar gemaakt. De programmatuur wordt in Nederland vooral gebruikt voor de Nedap-stemcomputer.

Op 4 oktober 2006 publiceerde de Stichting een rapport over de (on)betrouwbaarheid van de AIVD, dat heeft geresulteerd in een rapport van 27 oktober 2006. In dat rapport wordt geconcludeerd dat de Sdu NewVote stemcomputer op bepaalde punten niet (geheel) betrouwbaar is. En dat de Nedap/[eiseres] stemcomputers ‘beter bestand’ blijken te zijn ‘tegen aanvallen via elektromagnetische effecten, zij het met enkele eenvoudige modificaties’. Sindsdien worden de Sdu stemcomputers niet meer gebruikt.

Via de website van de Stichting kon iedereen de ISS-programmatuur, meer specifiek de programmatuur voor de gemeenteraadsverkiezingen van 2006, en de handleiding voor het gebruik van deze software, downloaden. De Stichting had deze gegevens zonder toestemming van de eigenaar van de software op haar website geplaatst.

Als meest principiële verweer voerde de Stichting aan dat het mogelijke auteursrecht van de maker in dit geval moet wijken voor het recht op vrijheid van meningsuiting (informatievrijheid) van de Stichting. De Stichting heeft daartoe betoogd dat het algemeen belang vereist dat verkiezingen transparant en controleerbaar zijn en dat eiseres door het geheim houden van zijn programmatuur hieraan in de weg staat. Door de software te publiceren wil de Stichting haar constatering dat deze fouten bevat ondersteunen en geloofwaardig maken. Ook wil zij hiermee derden in staat stellen aanvullend onderzoek te doen.

Immers, het in artikel 10 EVRM neergelegde recht op vrijheid van meningsuiting kan in bij de wet voorziene gevallen worden beperkt ter bescherming van de rechten van anderen, mits die beperkingen in een democratische samenleving noodzakelijk zijn. In beginsel is het auteursrecht zo’n toegelaten beperking.

Maar volgens de rechter snijdt dit verweer in deze casus geen hout. Integrale openbaarmaking van de volledige ISS-programmatuur, met de mogelijkheid van downloaden, kan echter, mede gelet op de belangen van eiseres, niet worden beschouwd als een proportioneel middel voor het verwezenlijken van de gewenste transparantie.

Ook zonder deze algehele openbaarmaking moet de Stichting in staat zijn haar bevindingen over de software geloofwaardig te maken, terwijl niet valt in te zien welke willekeurige derden nader onderzoek zouden moeten doen.

Overzicht jurispudentie bedreiging via e-mail politicus Wilders

Misbruik van Internet en e-mail komt in allerlei vormen voor; ook als bedreiging van individuen, waaronder politici. Zo veroordeelde de Zutphense politierechter 5 december jl. een 32-jarige man tot een geldboete van EURO 750 voor het bedreigen van Tweede Kamerlid Wilders. De officier van justitie eiste eerder een werkstraf van 60 uur, waarvan de helft voorwaardelijk.

De politierechter heeft een boete opgelegd omdat de man niet eerder met justitie voor dit soort zaken in aanraking is gekomen. De boete is echter hoger dan anders, omdat de man Wilders bedreigde wegens diens werk als politicus.

De man stuurde op 6 maart 2008 via de website van de PVV een e-mail naar Tweede Kamerlid Wilders. In die e-mail schreef hij: ‘ik gun je de dood als ik je ooit tegenkom verneuk verkracht vermoord ik je vuile hond’. Na aangifte door Wilders heeft de politie het IP-adres van de man achterhaald. Zijn woning is doorzocht en een laptop is in beslaggenomen. Uiteindelijk heeft de man bekend de e-mail aan Wilders te hebben verstuurd. Hij was boos op de politicus, maar wilde naar zijn zeggen wilde Wilders niet echt wat aandoen.

Eerder werd een andere verdachte op 8 augustus 2008 door de politierechter Zwolle-Lelystad vrijgesproken in een soortgelijke zaak. Hier oordeelde de rechter er geen sprake was van een bedreiging met een misdrijf tegen het leven gericht of om zware mishandeling. De man verscheen voor de politierechter wegens het versturen van een bedreigende e-mail gericht aan Geert Wilders, met onder mee de tekst: ‘Vuile Geertje, je tijd is gekomen, wie het laatst lacht, lacht het best’.

Volgens de politierechter zijn de woorden ‘je tijd is gekomen’ echter voor meerdere uitleg vatbaar, waardoor het in dit geval niet zonder meer doodsbedreigingen zijn. De islamitische verdachte had in de e-mail ook laten weten dat Wilders zou worden besneden. Besnijdenis wordt voor iemand die dat niet wil gezien als mishandeling, maar niet als zware mishandeling.

Op 16 februari 2009 veroordeelden de kinderrechter en politierechter van de rechtbank Den Haag drie minderjarigen en een meerderjarige die per e-mail de politicus hebben bedreigd, tot werkstraffen. De drie jongens werden allemaal veroordeeld tot een werkstraf van 50 uur, waarvan 20 uur voorwaardelijk, met een proeftijd van 2 jaar. Zij waren 12 en 13 jaar oud toen ze de bedreigingen verstuurden. Het ging volgens de kinderrechter om serieuze bedreigingen. Wilders heeft zich bedreigd gevoeld en kon niet weten dat de bedreigingen van jonge jongens afkomstig waren.

De impact van dergelijke bedreigingen op Wilders, is enorm, aldus de rechter. Omdat de jongens alle drie hebben meegedaan aan het versturen van de bedreigingen kregen zij alle drie dezelfde straf.

Een 31-jarige man, die Wilders eveneens per e-mail heeft bedreigd, werd door de politierechter veroordeeld tot een werkstraf van 180 uur, waarvan 80 uur voorwaardelijk, met een proeftijd van 2 jaar. Ook in dit geval ging het volgens de rechter om ernstige bedreigingen.

Cloud computing helpt overheidsorganisaties fors te besparen

Alle 1600 overheidsorganisaties in ons land zijn in de ban van de 35 miljard euro die de regering wil bezuinigen. Met gemeenteraadsverkiezingen, en nu ook landelijke verkiezingen voor de deur, debatteren politieke partijen over verhoging van (lokale) belastingen of het snijden in het budget voor cultuur. Maar politici en openbaar bestuurders doen er goed aan tevens de informatie- en telecommunicatietechnologie op de korrel te nemen, zowel voor wat betreft de interne back-office als de extern-gerichte elektronische overheidsdiensten, aldus pleit EuroCloud Nederland.

Zoals eerder aangegeven, betreft cloud computing een automatiseringsmodel, waarbij de technologie niet langer als product maar als dienst, op afstand over vaste en draadloze netwerken, via Internet wordt aangeboden. Hotmail en zoekmachines zoals Altavista en Google behoren tot de oudste voorbeelden. De informatieverwerking wordt gedaan in datacenters, die vaak aan elkaar gekoppeld zijn. ICT — in de zin van rekenkracht — krijgt daarmee het karakter van een nutsvoorziening, te vergelijken met stroom uit het stopcontact. Noem het ‘vloeibare’ technologie. In het bedrijfsleven stomen onder meer financiële applicaties en andere bedrijfstoepassingen in hoog tempo op als dienst. Daarmee kan ook de overheid voordelen behalen.

Kiezen voor web-based toepassingssoftware en gehoste infrastructuren betekent delen van digitale hulpmiddelen en voortdurend gebruik maken van de nieuwste technologie, tegen lagere kosten. Maar de voordelen reiken nadrukkelijk verder. Cloud computing faciliteert tijd- en plaatsonafhankelijk werken in optima forma.

Wie slim is en doelmatig wil werken zet dus het nieuwe werken in als een bewuste, horizontale bedrijfsstrategie, op grond waarvan de arbeidsproductiviteit stijgt, bedrijfskosten verlagen en de wendbaarheid van de organisatie toeneemt. Ook het nationale Innovatieplatform signaleerde vorig jaar de voordelen die ‘smart organisations’ kunnen behalen, in het bijzonder wanneer technologische innovaties worden gekoppeld aan het vernieuwen van bedrijfsprocessen.

Het nieuwe werken zorgt bovendien voor een betere balans tussen werk en privé van werknemers en stimuleert persoonlijke ontwikkeling. Daarnaast wegen de milieuaspecten mee, ook in het kader van maatschappelijk verantwoord ondernemen, dat de overheid tegenwoordig haar toeleveranciers voorschrijft. Dankzij de beschikbaarheid van breedband-Internet en het model van cloud computing kunnen overheidsorganisaties eindelijk flink vooruit. Werk wordt — voor kenniswerkers — iets wat je doet, niet waar je perse naar toegaat.

Dat ook nieuwe manieren van werken kostenbesparingen kunnen realiseren, blijkt uit de praktijk. Zo becijferde een Nederlandse vestiging van een Amerikaans hightechbedrijf twee jaar geleden dat de gemiddelde kantoorwerkplek in ons land 8.100 euro per jaar kost, tegenover 2.800 euro per jaar voor een werkplek in het kantoor van dit bedrijf.

Voor de huisvestingskosten van een medewerker (de thuiswerkplek) betaalt het Amerikaanse bedrijf 1.400 euro per jaar. In concreto levert invoering van flexibele, op activiteiten gebaseerde werkplekken op de zaak (met aanzienlijk minder werkplekken dan werknemers), samen met deeltijd telethuiswerk, de arbeidsorganisatie dus een directe besparing op van 3.900 euro jaar per medewerker.

Cloud computing en het nieuwe werken zijn partners in het verlagen van bedrijfskosten.

Amerikaanse federale overheid moet cloud computing overwegen

Eind vorig jaar was er groot nieuws in de Verenigde Staten, dat aan de aandacht van velen is ontsnapt. De centrale overheid heeft namelijk een forse stap gezet in de richting van het verplicht stellen van de toepassing van cloud computing als het preferente model voor de automatisering van de gegevensverwerking van de eigen diensten.

Federale overheidsorganisaties moeten namelijk gaan uitleggen waarom ze niet overstappen op web-based applicaties en gehoste infrastructuren. Noem het een ´explain policy´, die dit najaar ingaat. Wie hieraan geen gevolg geeft, wordt gekort op zijn budget voor ICT.

Het nieuwe beleid komt op een goed moment. We weten immers dat, bezien voor technologische bril, virtualisatie tegenwoordig een dominante plaats in het ICT-landschap neemt, waardoor tijd- en plaatsonafhankelijke gegevensverwerking op basis van cloud computing, de behoeften van de private en publieke sectoren uitstekend kunnen vervullen. Hierdoor verandert ICT van een ‘product’ in een geheel van diensten.

Het Witte Huis nam medio vorig jaar het voortouw en ontwikkelde beleid voor de federale agentschappen, die nu ICT als diensten van de General Service Administration afnemen. De GSA is wellicht het beste te omschrijven als een soort Rijksinkoopbureau.

Volgens de eerste cijfers uit Washington, DC worden er aanzienlijke en aantrekkelijke voordelen bereikt, zowel voor wat betreft de snelheid van upgraden van software (letterlijk in een dag) als de omvang van besparingen (1,7 miljard dollar).

Het ´leg uit´-beleid stamt uit de koker van het Office of Management and Budget Management (OMB). Deze Amerikaanse pendant van onze Rekenkamer beschouwt cloud computing als het middel om de 60 miljard dollar, die de federale overheid jaarlijks besteed aan informatie- en telecommunicatie, terug te dringen.

De nieuwe regeling van het OBM schrijft met ingang van het nieuwe fiscale jaar 2011 in oktober 2010 voor, dat federale instanties die geen gebruik maken van cloud computing of bij nieuwe ICT-projecten geen cloud computing meenemen, moeten uitleggen waarom dat het geval is. Dit bureau wil dus een gedegen onderbouwen zien.

Die verplichting wordt bij de start van het fiscale jaar 2013 zelfs aangescherpt met het voorschrift dat federale overheidsorganisaties, zoals de agentschappen, gedetailleerde informatie en road maps omtrent hun plannen voor de implementatie cloud computing-diensten overleggen. Zo niet dan kan er worden gekort op het budget, zelfs 100 procent.

Het zal niemand verbazen dat de verwerking van gegevens van Amerikaanse overheidsdiensten het land niet uit mogen gaan. Nederland ziet dat mogelijk anders. Zo maakte de Rijksuniversiteit Utrecht onlangs bekend dat zij ten behoeve van e-mailfunctionaliteiten voor haar studenten over gaat stappen op Google Gmail.

We zijn benieuwd of er onder meer afspraken zijn gemaakt ten aanzien van de plaats van de verwerking van de persoonsgegevens. Die mogen in beginsel immers de Europese Unie niet uit.

Niemand kan om het dwingende beveiligingsrecht heen

Vroeger zeiden we dat het geen kwaad kon ook eens naar de beveiliging van informatiesystemen te kijken. Nu zijn technische en organisatorische beveiligingsmaatregelen wettelijk voorgeschreven, minimaal wanneer het verwerking van persoonsgegevens betreft. En dat is vrijwel altijd het geval. Naast de Wet bescherming persoonsgegevens kennen we allerlei sectorale wetgeving en standaarden zoals ISO 27001 en de Code Informatiebeveiliging. Vluchten kan niet meer.

Je zal in deze tijd het beroep van information security manager uitoefenen. De interne organisatie is 24/7 verbonden met de grote buitenwereld, personeel werkt ´anytime, anyplace, anywere´ en nieuwe informatietechnieken in de vorm van SaaS, cloud computing en virtualisatie vieren hoogtij. Ondertussen wordt er op budgetten bezuinigd en willen we IT dichter tegen de zakelijke processen aanleggen. Bovendien heeft de directiekamer legal comliancy - het voldoen aan wet- en regelgeving en andere juridische voorschriften zoals contracten en arbeidsreglementen – scherp in het vizier.

Toch moet er worden beveiligd. De digitale wereld is immers net als de echte samenleving behoorlijk onveilig. Zelfs dusdanig dat de Telecommunicatiewet tegenwoordig ISP´s verplicht hun klanten over de bedreigingen van Internet te informeren. Alsof de autodealer moet waarschuwen ´s nachts geen spullen in de wagen te laten liggen en bij een rood verkeerslicht de portieren op slot te doen.

Hoe gespreid en plaatsonafhankelijk automatisering van de gegevensverwerking door personeelsbeleid (Het Nieuwe Werken) en informatietechniek wordt, de wettelijke eisen van technische en organisatorische beveiligingsmaatregelen voor het gehele verwerkingstraject van persoonsgegevens blijven onverkort gelden. Daar kan niemand om heen. Standaarden ondersteunen ICT-beveiligingsbeleid.

Zo specificeert de ISO-norm 27001 onder meer eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System. ISO 27001 is van toepassing op alle typen organisaties, variërend van bedrijven tot en met overheden en non-profitorganisaties.

Relevant is tevens de Code Informatiebeveiliging; van oorsprong Engelse normen, ontwikkeld door de British Computer Society. Deze code stelt onverkort vast dat we het informatiebeveiligingsbeleid als een subset van het informatiebeleid moeten beschouwen. Verder bevat de code onder meer een toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen.

En van het management wordt niet alleen verlangd dat zij de doelstellingen en principes van informatiebeveiliging ondersteunen, zij hebben ook eigen verantwoordelijkheden.

Door toepassing van virtualisatie heeft de information security manager tevens te maken met plaatsonafhankelijke back-office ICT: productie en storage. Welke bestanden draaien op welk moment in welk datacenter? Op welke locaties is de bedrijfsinformatie opgeslagen?

Wanneer eindgebruikers plaatsonafhankelijk werken moeten ze zorgvuldig omgaan met de bedrijfsinformatie. Niet alleen de verwerking in de cloud, ook de gegevens die op hun notebook, USB-sticks en smartphone mogen niet worden vergeten.

Het nieuwe spamrecht: Nederland is roomser dan de paus

Het kabinet wil graag de regeldruk van ondernemers met betere, heldere en snellere dienstverlening verminderen en pakt daarbij naar eigen zeggen strijdige regels aan, schrapt vergunningen en vermindert administratieve- en toezichtslasten. De ‘beleving’ van de ondernemer staat hierbij centraal. Voor de goede orde: regeldruk zijn de kosten, inspanningen en ergernissen voor bedrijven die worden veroorzaakt door de wet- en regelgeving, waar de ondernemer in zijn dagelijkse bedrijfsvoering mee te maken heeft.

Een loffelijk streven, maar laten we eens kijken naar de killer application tot-nu-toe van de informatiemaatschappij. Hoewel de eerste e-mail waarschijnlijk in 1967 werd verstuurd, beseften sommigen pas jaren later wat voor enorme commerciële kansen dit elektronische communicatiemiddel biedt.

De primeur ligt vrijwel zeker bij het Amerikaanse advocatenechtpaar Canter en Siegel uit Phoenix, Arizona. Beiden voerden destijds een vreemdelingenrechtspraktijk en zagen al snel de enorme potentie van cyberspace in. Zij mailden in april 1994 een commerciële boodschap naar 6000 newsgroups. Elektronische junkmail was de facto geboren en een deel van de ontvangers was boos. Zij stuurden heetgeblakerde post terug. Flames.

Een decennium later hebben veel landen in de westerse wereld zogenaamde anti-spam wetgeving ingevoerd, waarbij voor de lidstaten van de Europese Unie, zoals Nederland, het communautaire recht leidend is. In concreto gaat het om de Richtlijn betreffende de privacy en elektronische communicatie, die is opgenomen in onze Telecommunicatiewet van 2004.

Maar de Telecommunicatiewet werd vorig jaar opnieuw aangescherpt. Zo kennen we een nieuw, algeheel spamverbod in, dat is uitgebreid tot en met de zakelijke markt. Vooraf toestemming vragen voor het versturen van ongevraagde elektronische communicatie, luidt de hoofdregel, tenzij er sprake is van een bestaande relatie.

‘Regels worden niet 'zomaar' gesnoeid. Regels en wetten garanderen veiligheid en kwaliteit en gaan oneerlijke concurrentie tegen. Maar ondernemers mogen niet gebukt gaan onder onnodige of onduidelijke regels’, aldus Economische Zaken. Het uitgangspunt daarbij luidt dat de wensen en/of behoeften om de regelgeving te verminderen ‘altijd afgewogen tegen het publieke belang dat met de regel gediend is’.

Hoe verhoudt zich dit uitgangspunt bij de nieuwe wettelijke voorschriften, zoals een maatschappijbreed spamverbod. Voor de consumentenmarkt kan je desgewenst nog redeneren dat de privacy van de burger, in de oorspronkelijke zin van het recht om met rust gelaten te worden, prevaleert boven het individuele bedrijfsbelang om zaken te doen. Dus bel of mail maar niet, tenzij de burger dat wil.

Het Nederlandse privacyrecht richt zich echter uitsluitend tot natuurlijke personen en kent geen pendant voor rechtspersonen (naamloze en besloten vennootschappen, verenigingen en stichtingen). Daar kan het bij het B2B-spamverbod dus niet om gaan. Waarom dan wel?

De eerste NEWSWARE uit 1987 is anno 2010 nog verrassend actueel

In maart 1987 verscheen het eerste nummer van de eerste en waarschijnlijk nog altijd enige juridische nieuwsbrief over computers en de informatiemaatschappij in Nederland. Onderwerpen die destijds aan bod kwamen, spelen ook een rol aan het begin van de 21ste eeuw een rol.

Zo vroeg Dr. J. Holvast zich af — op het overigens besloten seminar Openness and protection of privacy in the information society, georganiseerd door Zweedse Ambassade en het Centraal Bureau voor de Statistiek — wat privacywetgeving voor zin heeft als politieke druk in de richting van identificatie- en legitimatieplicht de bescherming van de persoonlijke levenssfeer weer afbreekt? Holvast was toen voorzitter van de Stichting Waakzaamheid Persoonsregistraties.

In het kader van de bescherming van privacy gold Zweden als modelstaat. Op het seminar werd echter gesignaleerd dat de toestand daar minder rooskleurig is dan zij lijkt. Vooral de grote registratiewoede van de overheid en het bedrijfsleven enerzijds en de snelle ontwikkelingen in de techniek anderzijds, bedreigen de privacy van het individu. Internationaal nam men dezelfde tendensen waar.

Daarnaast werd gewezen op het schemergebied van verzameling en gebruik van gegevens voor wetenschappelijk onderzoek en statistiek. Door middel van wat de Duitsers noemen Rasterfahndung kunnen geanonimiseerde gegevens tot personen worden herleid. Het CBS lichtte deze techniek toe. Met drie variabelen (leeftijd, inkomen en functie) kan 7% van de personen in een bepaald bestand tot hun naam worden herleid. Met 19 variabelen loopt het resultaat op tot meer dan 90%.

In die tijd was er tevens belangrijk juridisch wapengekletter in de VS. Het bouwbedrijf James A. Cummings, dat in 1986 met veel tam-tam softwareleverancier Lotus Development (tegenwoordig onderdeel van IBM) aansprakelijk had gesteld, zette de juridische procedure tegen de softwareleverancier stop. De schade zou zijn ontstaan door fouten in Lotus' geïntegreerde programmapakket Symphony. Lotus meldde dat zij geen betaling, in welke vorm dan ook, aan Cummings heeft gedaan.

Cummings sprak de softwareleverancier aan op grond van het feit dat een bepaalde optelsom niet zou zijn uitgevoerd, waardoor het bouwbedrijf 250.000 dollar te laag op een bouwproject ingeschreef. De fout betreft volgens de bouwer het spreadsheetprogramma zelf, terwijl Lotus betoogde dat het hier om een gebruikersfout ging.

Cummings heeft er blijkbaar geen rekening mee gehouden, dat wanneer men een nieuwe regel aan het rekenprogramma van Symphony toevoegt, alles een regel naar beneden verspringt. En dat geldt ook voor de toegepaste rekenformules en de wijdte van het werkblad.

Inmiddels is het 2010 en volgende week verschijnt het eerste nummer van jaargang 24. Wie dit nummer van NEWSWARE wil ontvangen, kan een e-mail sturen naar depous@planet.nl.

Een leidende rol voor de Plug-and-Play Agreements

De ICT-industrie is hard op weg een heuse dienstverleningssector te worden en biedt steeds vaker schaalbare, end-to-end solutions aan. Desgewenst ook op afstand, via SaaS en cloud computing. Echter de interessante keuze voor ‘geen dozen maar diensten’ van de gebruiker betekent vooral ‘geen woorden maar daden’ voor de leverancier.

Toch blijven woorden belangrijk, zowel om de gewenste diensten te omschrijven en met realiteitszin de behorende niveaus vast te stellen, als een en ander juridisch te borgen in heldere en evenwichtige contractuele afspraken.

Hoewel service level agreements in het kader van informatie- en communicatietechnologie op dit moment volop in de belangstelling staan; nieuw zijn ze niet. Niveaus voor onderhoud en ondersteuning kennen we in veel economische sectoren en dat geldt goed beschouwd ook voor serviceniveaus voor dienstverlening ten aanzien van beheer en exploitatie van allerlei zaken; van een wagenpark tot gebouwen of bijvoorbeeld catering.

In het perspectief van de 50 jaar oude geschiedenis van de automatische gegevensverwerking deed de service level agreement haar intrede bij het afnemen diensten in het kader van facilities management. Dat was in eerste instantie een sellers market. Zo gingen deze contracten doorgaans uit van een inspanningsverplichting, werden dalende prijzen voor hardware en software niet doorberekend en waren de afspraken te star om aan flexibele behoeften van de klant tegemoet te komen.

Interessant is overigens de constatering dat naar redelijke waarschijnlijkheid bedrijven die van outsourcingsdienstverleners in het ICT-domein gebruik gingen maken, plotseling dienst en vooral dienstenniveau moeten gaan bepalen, omdat de eigen automatiseringsafdeling deze niet had. Hoe kan je dan kosten vergelijken?

Bij service level agreements speelt de beschikbaarheid van een dienst een uiterst belangrijke, zo niet allesbepalende, rol. Bijvoorbeeld ten aanzien van een netwerk waarvan de exploitatie en beheer alsook de support en maintenance is uitbesteed. Wie 99,9 procent beschikbaarheid wenst, neemt dus genoegen met tijdsduur van in totaal 9 uur en 30 minuten voor de niet-beschikbaarheid per jaar.

De verleiding is voor gebruikersorganisaties, die overgaan naar SaaS- of cloud computing-relatie, groot om hogere eisen te stellen dan voor een goede bedrijfsvoering en -continuïteit noodzakelijkheid is. Motiveer dus de normen op een reële wijze, want de 24-uurseconomie verlangt zeker niet van iedere onderneming dat ieder afzonderlijk bedrijfsmiddel 24x7x365 up-and-running is. Of toch?

Belangrijk uit juridisch oogpunt is de keuze voor een resultaatsverplichting. Het verschil tussen een zogenoemde inspannings- en een resultaatsverplichting ligt namelijk hierin dat in geval van een inspanningsverplichting de dienstverlener zich ‘slechts’ verplicht tot het doen van zijn uiterste best. Neem als klassiek voorbeeld de arts of jurist. Garanties op het beter maken van de patiënt of het winnen van een rechtszaak worden in beginsel niet gegeven.
Willen we dat met ICT?

Elektronisch bewijs is toelaatbaar in een juridische procedure

Dat elektronische post als bewijsmiddel kan worden gebruikt, werd waarschijnlijk voor het eerst in 1985 in de Verenigde Staten maatschappijbreed duidelijk. Interne e-mailcorrespondentie van het Witte Huis dook ineens op in de geruchtmakende Iran-Contras strafzaak tegen kolonel North.

Wat bleek? De CIA ontdekte back-upbestanden van e-mailverkeer op basis waarvan het bewijs werd geleverd dat de Verenigde Staten betrokken waren bij omstreden acties in het buitenland.

Deze zaak vormde voor het Amerikaanse bedrijfsleven de directe aanleiding voorzorgsmaatregelen te nemen om aansprakelijkheid te voorkomen. Destijds adviseerden juristen de elektronische berichten na het lezen domweg te vernietigen en vooral geen back-ups te maken. Want, is het immers niet zo dat e-mails vaak informeel bedoeld zijn? En dat kan de organisatie schaden wanneer een digitaal kattebelletje of woede-uitbarsting uit de hoed van de tegenpartij op een terechtzitting wordt getoverd en verder als bewijsmiddel dient.

De hoofdregel van het Nederlandse civiele bewijsrecht luidt dat het bewijs op alle mogelijke wijzen geleverd mag worden, wanneer de wet geen ander bewijsmiddel voorschrijft. Denk in het laatste geval bijvoorbeeld aan een notariële akte. Volgens ons privaatrecht is dus elektronische informatie toelaatbaar als bewijsmiddel en dat geldt dus ook voor instant messaging met MSN of Skype via de desktop, notebook en PDA of Short Messaging Service via de mobiele telefoon. Let er dus op wat je communiceert.

Tenminste zo belangrijker is het antwoord op de vraag welke bewijskracht de rechter aan een bewijsmiddel toekent. Daarin is hij in beginsel namelijk vrij. De vrije bewijswaardering van de rechter betekent dat hij een bewijs onvoldoende of bijvoorbeeld volledig kan beoordelen. Ook is het mogelijk om gebruik te maken van het instrument bewijsovereenkomst. Contractspartijen spreken dan af dat welk middel als bewijs geldt.

Iedere procespartij levert bewijs. Zo moet bijvoorbeeld de eiser bewijzen datgene wat tot staving van zijn recht dient. Dat kan vanzelfsprekend een papieren kopie van e-mailbericht zijn, evenals een afschrift van de vastlegging van een chatsessie tussen, bijvoorbeeld een ICT-leverancier en gebruiker over een bug in de programmatuur.

Maar naarmate een rechter meer overtuigd is van de betrouwbaarheid van het gebruikte informatiesysteem - authenticiteit en de integriteit – zal hij er meer bewijskracht aan toekennen. Procedures, controles, certificering en beveiliging spelen in dit kader een belangrijke rol.

In de praktijk zal een procespartij die stelt dat een chat-sessie onjuiste gegevens bevat of is vervalst, dit de rechter dienen te bewijzen. Wie stelt, bewijst, luidt namelijk de hoofdregel van de bewijslastverdeling. Maar op grond van de redelijkheid en billijkheid kan de rechter tot een andere bewijslastverdeling komen, bijvoorbeeld wanneer een consument niet in staat is tegen het informatiesysteem van zijn bank een bewijsmiddel te overleggen.