Cloud computing is aantrekkelijk, maar juridisch complex

Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21ste eeuw, die onder meer nieuwe manieren van werken en zakendoen ontsluit. Daarmee kunnen gebruikersorganisaties in de private en publieke sector aantrekkelijke voordelen behalen, maar niet zonder aandacht voor het brede en uiteenlopende rechtskader.

Het recht behoort de toepassingen van ICT in redelijkheid te faciliteren en te borgen. Nieuwe wetgeving is echter op dit moment ongewenst, omdat we cloud-computingdiensten eerst verder moeten laten evolueren. Dat blijkt uit de zojuist verschenen trendanalyse Cloud computing in juridisch perspectief.

Cloud computing betekent elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten. De levering van deze ICT-diensten geschiedt door middel van zelfbediening. De gegevenswerking vindt bovendien gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma’s en de te verwerken informatie losgekoppeld zijn van de fysieke hardware en infrastructuur.

Daarmee kunnen gebruikersorganisaties aantrekkelijke voordelen behalen. Zo verhoogt het uitbesteden van technologie — en het terug ontvangen als een managed service tegen een bepaald dienstenniveau — in de regel de kwaliteit en biedt dit de klant meer ruimte voor kerntaken. Bovendien wordt er voor het gebruik betaald en verdwijnen de investeringskosten.

Een en ander maakt cloud computing ten principale een nieuwe leveringswijze van ICT. Elektronische netwerken koppelen geografisch verspreide datacenters en samen vormen zij in wisselende samenstelling één virtuele computerfabriek. Dat model maakt technologie- en informatiemanagement echter ook complex.

Waar en wanneer wordt welke bedrijfsinformatie met welke software verwerkt? Welke partijen vervullen bij het verwerkingsproces een rol? Op welke locaties vindt, al dan niet tijdelijk, gegevensopslag plaats? In welke formats? Wie is waarvoor verantwoordelijk en aansprakelijk? Transparantie, waarborgen en zekerheden zijn dus onvermijdelijk.

Het rechtskader van cloud computing bestaat uit zowel wetgeving als contracten, waarop vooral privacywetgeving haar stempel drukt. Dit communautaire recht schrijft ten behoeve van het gehele verwerkingstraject allerlei organisatorische en technische beveiligingsmaatregelen voor. Bovendien mogen persoonsgegevens zonder toestemming van het ministerie van Justitie niet buiten de Europese Economische Ruimte (EER) worden verwerkt.

Toch zal bij cloud computing nog vaker sprake zijn van grensoverschrijdende gegevensverwerking. Daarmee krijgen de rechtsverhoudingen internationale dimensies en raken zij verschillende jurisdicties, zowel privaatrechtelijk als bijvoorbeeld strafrechtelijk. Welk recht is op de rechtsverhouding van toepassing en welke rechter is in geval van welk type conflict bevoegd hierover te oordelen?

Cloud computing is een ‘disruptive technology’ bij uitstek. Voor de jonge sector geldt waarschijnlijk het onvermijdelijke ‘get big, get niche, or get out’. Veel nieuwe spelers zullen de komende tijd de markt voor cloud-computingdiensten gaan betreden en zich mogelijk snel weer terugtrekken. Dat vormt voor gebruikersorganisaties een verhoogd risico en legt nog meer de nadruk op adequate continuïteitsmaatregelen.

> Mr. V.A. de Pous, Trendanalyse, Cloud computing in juridisch perspectief, Amsterdam, 2010

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com

Rapport verschenen over zakendoen met de overheid voor leveranciers

De ondernemers- en innovatievrijheid in de ICT-sector wordt in Nederland beperkt. Een entrepreneur, die zaken wil doen met de rijksoverheid, mede-overheden of semi-publieke instellingen zoals scholen en ziekenhuizen, ziet zich al jaren geconfronteerd met allerlei juridische regels, die de contractsvrijheid beperken. Maar in toenemende mate scherpen politiek en openbaar bestuur de voorschriften voor de inkoop van ICT beleidsmatig verder aan. Toch liggen er commerciële kansen.

Dat blijkt uit het rapport ZAKENDOEN MET DE OVERHEID; PUBLIC PROCUREMENT VOOR ICT-LEVERANCIERS, dat zojuist is verschenen. Alleen al het communautaire aanbestedingsrecht is dusdanig complex, dat zij tot forse interpretatieconflicten leidt, die steeds vaker voor de rechter komen. En kleine ondernemers en start-ups in de informatie- en communicatietechnologiesector vallen doorgaans buiten de boot.

Vervolgens hebben overheidsleveranciers te maken met inkoopvoorwaarden — algemene en ICT-voorwaarden — van departementen, provincies en bijvoorbeeld gemeenten. Maar de sector hanteert ook eigen licentie- en verkoopvoorwaarden. Dit leidt tot een battle of the forms.

Nieuw is dat leveranciers worden geconfronteerd met aanvullende voorschriften voor de inkoop van elektronische systemen en netwerken door overheidsorganisaties. De meer gedetailleerde kaders van het public procurement-beleid hebben hun beslag niet in formele wetgeving gekregen, maar in politieke beleidstukken en besluiten zoals moties, plannen en programma’s. Hierbij gaat het in het bijzonder om het Actieplan Nederland Open in Verbinding (NOiV), waarin open standaarden en open source software centraal staan.

Verder is er met ingang januari 2010 een duurzaamheidscomponent aan overheidsinkoop verbonden. Het beleidsprogramma Duurzaam Inkopen stimuleert overheden om milieu- en sociale aspecten mee te nemen bij de inkoop van producten en diensten. De regering, die primair vorm wil geven aan het inkoopbeleid ten behoeve van de informatiehuishouding van overheidsorganisaties, doet bewust aan marktinterventie en voert beleid voor de ICT-sector en de samenleving.

Een en ander laat onverlet dat er marktkansen liggen voor de wereldwijde ICT-sector, die zaken wil doen met een Nederlandse overheidsorganisatie. Daarbij is kennis van het public procurement-beleid van groot belang. Overheidsorganisaties zijn tegenwoordig verplicht volgens het ‘comply-or-explain’-principe te handelen bij ICT-opdrachten (inkoop en aanbestedingen) voor het toepassen van open standaarden bij nieuwbouw, verbouw of contractverlenging. Dit principe biedt leveranciers de mogelijkheid om aan te geven, waarom zij in het concrete geval niet aan een open standaard kunnen voldoen.

Voor de inkoop van computerprogramma’s door een overheidsorganisatie geldt tegenwoordig het uitgangspunt dat bij ‘gelijke geschiktheid’ open source software de voorkeur verdient, aldus het Actieplan Nederland Open in Verbinding. Ook hier zien we kansen, want dit criterium is breed en kent uiteenlopende aspecten.

Naast de meer traditionele, technische aspecten van een computerprogramma (functionaliteiten, compatibiliteit met andere software, kwaliteit van de code, beschikbaarheid documentatie) moeten ook economische en bijvoorbeeld juridische aspecten, waaronder waarborg- en zekerheidsaspecten, van de software meegewogen worden bij vergelijking.

> Mr. V.A. de Pous, Zakendoen met de overheid; Public procurement voor ICT-leveranciers, Amsterdam, 2010, 25 pagina’s.

> Zie voor een overzicht van onderzoeken: http://technologierecht.blogspot.com