Amerikaanse federale overheid moet cloud computing overwegen

Eind vorig jaar was er groot nieuws in de Verenigde Staten, dat aan de aandacht van velen is ontsnapt. De centrale overheid heeft namelijk een forse stap gezet in de richting van het verplicht stellen van de toepassing van cloud computing als het preferente model voor de automatisering van de gegevensverwerking van de eigen diensten.

Federale overheidsorganisaties moeten namelijk gaan uitleggen waarom ze niet overstappen op web-based applicaties en gehoste infrastructuren. Noem het een ´explain policy´, die dit najaar ingaat. Wie hieraan geen gevolg geeft, wordt gekort op zijn budget voor ICT.

Het nieuwe beleid komt op een goed moment. We weten immers dat, bezien voor technologische bril, virtualisatie tegenwoordig een dominante plaats in het ICT-landschap neemt, waardoor tijd- en plaatsonafhankelijke gegevensverwerking op basis van cloud computing, de behoeften van de private en publieke sectoren uitstekend kunnen vervullen. Hierdoor verandert ICT van een ‘product’ in een geheel van diensten.

Het Witte Huis nam medio vorig jaar het voortouw en ontwikkelde beleid voor de federale agentschappen, die nu ICT als diensten van de General Service Administration afnemen. De GSA is wellicht het beste te omschrijven als een soort Rijksinkoopbureau.

Volgens de eerste cijfers uit Washington, DC worden er aanzienlijke en aantrekkelijke voordelen bereikt, zowel voor wat betreft de snelheid van upgraden van software (letterlijk in een dag) als de omvang van besparingen (1,7 miljard dollar).

Het ´leg uit´-beleid stamt uit de koker van het Office of Management and Budget Management (OMB). Deze Amerikaanse pendant van onze Rekenkamer beschouwt cloud computing als het middel om de 60 miljard dollar, die de federale overheid jaarlijks besteed aan informatie- en telecommunicatie, terug te dringen.

De nieuwe regeling van het OBM schrijft met ingang van het nieuwe fiscale jaar 2011 in oktober 2010 voor, dat federale instanties die geen gebruik maken van cloud computing of bij nieuwe ICT-projecten geen cloud computing meenemen, moeten uitleggen waarom dat het geval is. Dit bureau wil dus een gedegen onderbouwen zien.

Die verplichting wordt bij de start van het fiscale jaar 2013 zelfs aangescherpt met het voorschrift dat federale overheidsorganisaties, zoals de agentschappen, gedetailleerde informatie en road maps omtrent hun plannen voor de implementatie cloud computing-diensten overleggen. Zo niet dan kan er worden gekort op het budget, zelfs 100 procent.

Het zal niemand verbazen dat de verwerking van gegevens van Amerikaanse overheidsdiensten het land niet uit mogen gaan. Nederland ziet dat mogelijk anders. Zo maakte de Rijksuniversiteit Utrecht onlangs bekend dat zij ten behoeve van e-mailfunctionaliteiten voor haar studenten over gaat stappen op Google Gmail.

We zijn benieuwd of er onder meer afspraken zijn gemaakt ten aanzien van de plaats van de verwerking van de persoonsgegevens. Die mogen in beginsel immers de Europese Unie niet uit.

Niemand kan om het dwingende beveiligingsrecht heen

Vroeger zeiden we dat het geen kwaad kon ook eens naar de beveiliging van informatiesystemen te kijken. Nu zijn technische en organisatorische beveiligingsmaatregelen wettelijk voorgeschreven, minimaal wanneer het verwerking van persoonsgegevens betreft. En dat is vrijwel altijd het geval. Naast de Wet bescherming persoonsgegevens kennen we allerlei sectorale wetgeving en standaarden zoals ISO 27001 en de Code Informatiebeveiliging. Vluchten kan niet meer.

Je zal in deze tijd het beroep van information security manager uitoefenen. De interne organisatie is 24/7 verbonden met de grote buitenwereld, personeel werkt ´anytime, anyplace, anywere´ en nieuwe informatietechnieken in de vorm van SaaS, cloud computing en virtualisatie vieren hoogtij. Ondertussen wordt er op budgetten bezuinigd en willen we IT dichter tegen de zakelijke processen aanleggen. Bovendien heeft de directiekamer legal comliancy - het voldoen aan wet- en regelgeving en andere juridische voorschriften zoals contracten en arbeidsreglementen – scherp in het vizier.

Toch moet er worden beveiligd. De digitale wereld is immers net als de echte samenleving behoorlijk onveilig. Zelfs dusdanig dat de Telecommunicatiewet tegenwoordig ISP´s verplicht hun klanten over de bedreigingen van Internet te informeren. Alsof de autodealer moet waarschuwen ´s nachts geen spullen in de wagen te laten liggen en bij een rood verkeerslicht de portieren op slot te doen.

Hoe gespreid en plaatsonafhankelijk automatisering van de gegevensverwerking door personeelsbeleid (Het Nieuwe Werken) en informatietechniek wordt, de wettelijke eisen van technische en organisatorische beveiligingsmaatregelen voor het gehele verwerkingstraject van persoonsgegevens blijven onverkort gelden. Daar kan niemand om heen. Standaarden ondersteunen ICT-beveiligingsbeleid.

Zo specificeert de ISO-norm 27001 onder meer eisen voor het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van een gedocumenteerd Information Security Management System. ISO 27001 is van toepassing op alle typen organisaties, variërend van bedrijven tot en met overheden en non-profitorganisaties.

Relevant is tevens de Code Informatiebeveiliging; van oorsprong Engelse normen, ontwikkeld door de British Computer Society. Deze code stelt onverkort vast dat we het informatiebeveiligingsbeleid als een subset van het informatiebeleid moeten beschouwen. Verder bevat de code onder meer een toelichting op de beleidsmaatregelen, principes, normen en nalevingseisen.

En van het management wordt niet alleen verlangd dat zij de doelstellingen en principes van informatiebeveiliging ondersteunen, zij hebben ook eigen verantwoordelijkheden.

Door toepassing van virtualisatie heeft de information security manager tevens te maken met plaatsonafhankelijke back-office ICT: productie en storage. Welke bestanden draaien op welk moment in welk datacenter? Op welke locaties is de bedrijfsinformatie opgeslagen?

Wanneer eindgebruikers plaatsonafhankelijk werken moeten ze zorgvuldig omgaan met de bedrijfsinformatie. Niet alleen de verwerking in de cloud, ook de gegevens die op hun notebook, USB-sticks en smartphone mogen niet worden vergeten.

Het nieuwe spamrecht: Nederland is roomser dan de paus

Het kabinet wil graag de regeldruk van ondernemers met betere, heldere en snellere dienstverlening verminderen en pakt daarbij naar eigen zeggen strijdige regels aan, schrapt vergunningen en vermindert administratieve- en toezichtslasten. De ‘beleving’ van de ondernemer staat hierbij centraal. Voor de goede orde: regeldruk zijn de kosten, inspanningen en ergernissen voor bedrijven die worden veroorzaakt door de wet- en regelgeving, waar de ondernemer in zijn dagelijkse bedrijfsvoering mee te maken heeft.

Een loffelijk streven, maar laten we eens kijken naar de killer application tot-nu-toe van de informatiemaatschappij. Hoewel de eerste e-mail waarschijnlijk in 1967 werd verstuurd, beseften sommigen pas jaren later wat voor enorme commerciële kansen dit elektronische communicatiemiddel biedt.

De primeur ligt vrijwel zeker bij het Amerikaanse advocatenechtpaar Canter en Siegel uit Phoenix, Arizona. Beiden voerden destijds een vreemdelingenrechtspraktijk en zagen al snel de enorme potentie van cyberspace in. Zij mailden in april 1994 een commerciële boodschap naar 6000 newsgroups. Elektronische junkmail was de facto geboren en een deel van de ontvangers was boos. Zij stuurden heetgeblakerde post terug. Flames.

Een decennium later hebben veel landen in de westerse wereld zogenaamde anti-spam wetgeving ingevoerd, waarbij voor de lidstaten van de Europese Unie, zoals Nederland, het communautaire recht leidend is. In concreto gaat het om de Richtlijn betreffende de privacy en elektronische communicatie, die is opgenomen in onze Telecommunicatiewet van 2004.

Maar de Telecommunicatiewet werd vorig jaar opnieuw aangescherpt. Zo kennen we een nieuw, algeheel spamverbod in, dat is uitgebreid tot en met de zakelijke markt. Vooraf toestemming vragen voor het versturen van ongevraagde elektronische communicatie, luidt de hoofdregel, tenzij er sprake is van een bestaande relatie.

‘Regels worden niet 'zomaar' gesnoeid. Regels en wetten garanderen veiligheid en kwaliteit en gaan oneerlijke concurrentie tegen. Maar ondernemers mogen niet gebukt gaan onder onnodige of onduidelijke regels’, aldus Economische Zaken. Het uitgangspunt daarbij luidt dat de wensen en/of behoeften om de regelgeving te verminderen ‘altijd afgewogen tegen het publieke belang dat met de regel gediend is’.

Hoe verhoudt zich dit uitgangspunt bij de nieuwe wettelijke voorschriften, zoals een maatschappijbreed spamverbod. Voor de consumentenmarkt kan je desgewenst nog redeneren dat de privacy van de burger, in de oorspronkelijke zin van het recht om met rust gelaten te worden, prevaleert boven het individuele bedrijfsbelang om zaken te doen. Dus bel of mail maar niet, tenzij de burger dat wil.

Het Nederlandse privacyrecht richt zich echter uitsluitend tot natuurlijke personen en kent geen pendant voor rechtspersonen (naamloze en besloten vennootschappen, verenigingen en stichtingen). Daar kan het bij het B2B-spamverbod dus niet om gaan. Waarom dan wel?

De eerste NEWSWARE uit 1987 is anno 2010 nog verrassend actueel

In maart 1987 verscheen het eerste nummer van de eerste en waarschijnlijk nog altijd enige juridische nieuwsbrief over computers en de informatiemaatschappij in Nederland. Onderwerpen die destijds aan bod kwamen, spelen ook een rol aan het begin van de 21ste eeuw een rol.

Zo vroeg Dr. J. Holvast zich af — op het overigens besloten seminar Openness and protection of privacy in the information society, georganiseerd door Zweedse Ambassade en het Centraal Bureau voor de Statistiek — wat privacywetgeving voor zin heeft als politieke druk in de richting van identificatie- en legitimatieplicht de bescherming van de persoonlijke levenssfeer weer afbreekt? Holvast was toen voorzitter van de Stichting Waakzaamheid Persoonsregistraties.

In het kader van de bescherming van privacy gold Zweden als modelstaat. Op het seminar werd echter gesignaleerd dat de toestand daar minder rooskleurig is dan zij lijkt. Vooral de grote registratiewoede van de overheid en het bedrijfsleven enerzijds en de snelle ontwikkelingen in de techniek anderzijds, bedreigen de privacy van het individu. Internationaal nam men dezelfde tendensen waar.

Daarnaast werd gewezen op het schemergebied van verzameling en gebruik van gegevens voor wetenschappelijk onderzoek en statistiek. Door middel van wat de Duitsers noemen Rasterfahndung kunnen geanonimiseerde gegevens tot personen worden herleid. Het CBS lichtte deze techniek toe. Met drie variabelen (leeftijd, inkomen en functie) kan 7% van de personen in een bepaald bestand tot hun naam worden herleid. Met 19 variabelen loopt het resultaat op tot meer dan 90%.

In die tijd was er tevens belangrijk juridisch wapengekletter in de VS. Het bouwbedrijf James A. Cummings, dat in 1986 met veel tam-tam softwareleverancier Lotus Development (tegenwoordig onderdeel van IBM) aansprakelijk had gesteld, zette de juridische procedure tegen de softwareleverancier stop. De schade zou zijn ontstaan door fouten in Lotus' geïntegreerde programmapakket Symphony. Lotus meldde dat zij geen betaling, in welke vorm dan ook, aan Cummings heeft gedaan.

Cummings sprak de softwareleverancier aan op grond van het feit dat een bepaalde optelsom niet zou zijn uitgevoerd, waardoor het bouwbedrijf 250.000 dollar te laag op een bouwproject ingeschreef. De fout betreft volgens de bouwer het spreadsheetprogramma zelf, terwijl Lotus betoogde dat het hier om een gebruikersfout ging.

Cummings heeft er blijkbaar geen rekening mee gehouden, dat wanneer men een nieuwe regel aan het rekenprogramma van Symphony toevoegt, alles een regel naar beneden verspringt. En dat geldt ook voor de toegepaste rekenformules en de wijdte van het werkblad.

Inmiddels is het 2010 en volgende week verschijnt het eerste nummer van jaargang 24. Wie dit nummer van NEWSWARE wil ontvangen, kan een e-mail sturen naar depous@planet.nl.

Een leidende rol voor de Plug-and-Play Agreements

De ICT-industrie is hard op weg een heuse dienstverleningssector te worden en biedt steeds vaker schaalbare, end-to-end solutions aan. Desgewenst ook op afstand, via SaaS en cloud computing. Echter de interessante keuze voor ‘geen dozen maar diensten’ van de gebruiker betekent vooral ‘geen woorden maar daden’ voor de leverancier.

Toch blijven woorden belangrijk, zowel om de gewenste diensten te omschrijven en met realiteitszin de behorende niveaus vast te stellen, als een en ander juridisch te borgen in heldere en evenwichtige contractuele afspraken.

Hoewel service level agreements in het kader van informatie- en communicatietechnologie op dit moment volop in de belangstelling staan; nieuw zijn ze niet. Niveaus voor onderhoud en ondersteuning kennen we in veel economische sectoren en dat geldt goed beschouwd ook voor serviceniveaus voor dienstverlening ten aanzien van beheer en exploitatie van allerlei zaken; van een wagenpark tot gebouwen of bijvoorbeeld catering.

In het perspectief van de 50 jaar oude geschiedenis van de automatische gegevensverwerking deed de service level agreement haar intrede bij het afnemen diensten in het kader van facilities management. Dat was in eerste instantie een sellers market. Zo gingen deze contracten doorgaans uit van een inspanningsverplichting, werden dalende prijzen voor hardware en software niet doorberekend en waren de afspraken te star om aan flexibele behoeften van de klant tegemoet te komen.

Interessant is overigens de constatering dat naar redelijke waarschijnlijkheid bedrijven die van outsourcingsdienstverleners in het ICT-domein gebruik gingen maken, plotseling dienst en vooral dienstenniveau moeten gaan bepalen, omdat de eigen automatiseringsafdeling deze niet had. Hoe kan je dan kosten vergelijken?

Bij service level agreements speelt de beschikbaarheid van een dienst een uiterst belangrijke, zo niet allesbepalende, rol. Bijvoorbeeld ten aanzien van een netwerk waarvan de exploitatie en beheer alsook de support en maintenance is uitbesteed. Wie 99,9 procent beschikbaarheid wenst, neemt dus genoegen met tijdsduur van in totaal 9 uur en 30 minuten voor de niet-beschikbaarheid per jaar.

De verleiding is voor gebruikersorganisaties, die overgaan naar SaaS- of cloud computing-relatie, groot om hogere eisen te stellen dan voor een goede bedrijfsvoering en -continuïteit noodzakelijkheid is. Motiveer dus de normen op een reële wijze, want de 24-uurseconomie verlangt zeker niet van iedere onderneming dat ieder afzonderlijk bedrijfsmiddel 24x7x365 up-and-running is. Of toch?

Belangrijk uit juridisch oogpunt is de keuze voor een resultaatsverplichting. Het verschil tussen een zogenoemde inspannings- en een resultaatsverplichting ligt namelijk hierin dat in geval van een inspanningsverplichting de dienstverlener zich ‘slechts’ verplicht tot het doen van zijn uiterste best. Neem als klassiek voorbeeld de arts of jurist. Garanties op het beter maken van de patiënt of het winnen van een rechtszaak worden in beginsel niet gegeven.
Willen we dat met ICT?

Elektronisch bewijs is toelaatbaar in een juridische procedure

Dat elektronische post als bewijsmiddel kan worden gebruikt, werd waarschijnlijk voor het eerst in 1985 in de Verenigde Staten maatschappijbreed duidelijk. Interne e-mailcorrespondentie van het Witte Huis dook ineens op in de geruchtmakende Iran-Contras strafzaak tegen kolonel North.

Wat bleek? De CIA ontdekte back-upbestanden van e-mailverkeer op basis waarvan het bewijs werd geleverd dat de Verenigde Staten betrokken waren bij omstreden acties in het buitenland.

Deze zaak vormde voor het Amerikaanse bedrijfsleven de directe aanleiding voorzorgsmaatregelen te nemen om aansprakelijkheid te voorkomen. Destijds adviseerden juristen de elektronische berichten na het lezen domweg te vernietigen en vooral geen back-ups te maken. Want, is het immers niet zo dat e-mails vaak informeel bedoeld zijn? En dat kan de organisatie schaden wanneer een digitaal kattebelletje of woede-uitbarsting uit de hoed van de tegenpartij op een terechtzitting wordt getoverd en verder als bewijsmiddel dient.

De hoofdregel van het Nederlandse civiele bewijsrecht luidt dat het bewijs op alle mogelijke wijzen geleverd mag worden, wanneer de wet geen ander bewijsmiddel voorschrijft. Denk in het laatste geval bijvoorbeeld aan een notariële akte. Volgens ons privaatrecht is dus elektronische informatie toelaatbaar als bewijsmiddel en dat geldt dus ook voor instant messaging met MSN of Skype via de desktop, notebook en PDA of Short Messaging Service via de mobiele telefoon. Let er dus op wat je communiceert.

Tenminste zo belangrijker is het antwoord op de vraag welke bewijskracht de rechter aan een bewijsmiddel toekent. Daarin is hij in beginsel namelijk vrij. De vrije bewijswaardering van de rechter betekent dat hij een bewijs onvoldoende of bijvoorbeeld volledig kan beoordelen. Ook is het mogelijk om gebruik te maken van het instrument bewijsovereenkomst. Contractspartijen spreken dan af dat welk middel als bewijs geldt.

Iedere procespartij levert bewijs. Zo moet bijvoorbeeld de eiser bewijzen datgene wat tot staving van zijn recht dient. Dat kan vanzelfsprekend een papieren kopie van e-mailbericht zijn, evenals een afschrift van de vastlegging van een chatsessie tussen, bijvoorbeeld een ICT-leverancier en gebruiker over een bug in de programmatuur.

Maar naarmate een rechter meer overtuigd is van de betrouwbaarheid van het gebruikte informatiesysteem - authenticiteit en de integriteit – zal hij er meer bewijskracht aan toekennen. Procedures, controles, certificering en beveiliging spelen in dit kader een belangrijke rol.

In de praktijk zal een procespartij die stelt dat een chat-sessie onjuiste gegevens bevat of is vervalst, dit de rechter dienen te bewijzen. Wie stelt, bewijst, luidt namelijk de hoofdregel van de bewijslastverdeling. Maar op grond van de redelijkheid en billijkheid kan de rechter tot een andere bewijslastverdeling komen, bijvoorbeeld wanneer een consument niet in staat is tegen het informatiesysteem van zijn bank een bewijsmiddel te overleggen.