Naar cloud-actieve overheidsorganisaties

executiveanalyse

Naar ‘cloud-actieve’
overheidsorganisaties

Mr. V.A. de Pous

Deze Executive Analyse bevat de onafhankelijke visie van de auteur en wordt aangeboden
door PinkRoccade en verspreid door VNU Exhibitions Europe, organisator van de beurs
Overheid & ICT

April 2012

NAAR ‘CLOUD-ACTIEVE’ OVERHEIDSORGANISATIES EXECUTIVE ANALYSE

© 2012 V.A. de Pous, Amsterdam

Alle rechten voorbehouden. Niets uit deze uitgave mag zonder voorafgaande toestemming
van de auteur en uitgever worden verveelvoudigd of openbaar gemaakt worden. Hoewel aan
de totstandkoming van deze uitgave de uiterste zorg is besteed aanvaarden auteur,
eindredacteur en uitgever geen aansprakelijkheid voor eventuele fouten en
onvolkomenheden, noch voor gevolgen hiervan.

© 2012 V.A. de Pous, Amsterdam 2


Executive headlines
• Plaats- en tijdonafhankelijk handelen door mensen (leven, werken,
zakendoen, besturen) en in toenemende mate tussen dingen (THE INTERNET
OF THINGS) vormt de geconsolideerde megatrend in de samenleving van de
21ste eeuw, die wordt ontsloten en gefaciliteerd door cloud computing.

• Cloud computing is geen (nieuwe) technologie maar betreft een
leveringswijze van ICT als afroepbare en automatisch schaalbare dienst via
Internet op basis van ketenautomatisering in datacenters; evolutionair
ontstaan door virtualisatie, webgebaseerde gegevensverwerking en de
generieke en laagdrempelige beschikbaarheid van breedband Internet.

• Sinds september 2009 hervormt de federale Amerikaanse overheid in hoog
tempo de eigen informatiehuishouding. Het moet anders, vooral efficiënter,
doelmatiger en goedkoper. Centraal staat cloud computing. Het nieuwe
beleid kan op brede steun rekenen, hoewel we ook kritiekpunten horen.
Andere landen en regio’s zijn gaan volgen.

• Op grond van de in ontwikkeling zijnde Europese Cloud Computing Strategie
(aangekondigd in januari 2011) moet Europa ‘cloud-vriendelijk’ en ‘cloud-
actief’ worden. Cloud computing houdt de belofte in van schaalbare en
veilige diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen
lagere kosten. Dat geldt ook voor overheidsorganisaties.

• Gebruikers van externe clouddiensten zijn bezorgd over standaarden,
certificering, privacy, informatiebeveiliging, interoperabiliteit en bijvoorbeeld
over lock-in situaties en juridische onzekerheden. De Europese Commissie
wil nadrukkelijk zorgen en obstakels wegnemen.

• Allereerst wordt het privacyrecht aangescherpt en uniform geharmoniseerd
(wetsvoorstellen van januari 2012) en komt er een coherent ‘cloud-
vriendelijk’ juridisch raamwerk (aangekondigd januari 2012). Daarnaast
gaat het om de oprichting van het European Cloud Partnership
(aangekondigd januari 2012) tussen publieke en private sector om de
positie van de overheid als inkoper van clouddiensten door middel van
harmonisatie en integratie te versterken. Zelfs grensoverschrijdende PUBLIC
PROCUREMENT behoort straks tot de mogelijkheden.

• Niets doen is geen optie. Cloud computing betekent een onvermijdelijk ICT-
leveringsmodel. Overheidsorganisaties in ons land ontkomen niet aan
beleidsontwikkeling voor clouddiensten. Daarbij behoren strategische
doelstellingen te leiden en de diverse aspecten van een clouddienst op hun
merites te worden beoordeeld. Van bestuurders vragen we voldoende
perceptievermogen.



Inhoud

Executive headlines

Voorwoord

Inzicht, nuance en pragmatisme

Voor- en nadelen

Briefkaart uit Washington DC

Ook Europa zegt volmondig ja

Privacyregels voor cloudddiensten

‘Samen sterk’ pan-Europees inkoopbeleid

De gesloten Rijkscloud

Open overheidsinformatie is regel

Aanknopingspunten juridisch raamwerk

Vijftien analyses

Conclusie

Bijlage A: ICT-leveringsmodellen

Bijlage B: Manieren van werken

Colofon



Voorwoord
‘ICT is tegenwoordig te belangrijk om aan techneuten over te laten’ is geen
grappig gevonden oneliner voor Binnenhofbarbecue of raadsvergadering, maar
een pragmatische constatering, die goed beschouwd al decennia geldt.
Evenzeer vereist cloud computing — weliswaar geen technologie, maar een
leveringswijze van ICT als dienst via Internet — de onverwijlde aandacht van
het bestuur van overheidsorganisaties.

Cloud computing betreft namelijk, in navolging van de explosieve adoptie door
consument en ondernemer, een cruciale modus voor informatiehuishouding en
dienstverlening van iedere overheidsorganisatie. Een die nooit meer wegwaait.
Zonder clouddiensten geen succesvolle nieuwe manieren van werken, effectieve
rampenbestrijding of doelgerichte en efficiënte dienstverlening aan de burger.

Dit rapport is geschreven in het kader van Overheid & ICT, editie 2012, vanuit
de notie dat het leveringsmodel inzicht van bestuurders verlangt. De inhoud is
onafhankelijk tot stand gekomen en geeft niet noodzakelijkerwijs de visie van
beursorganisator VNU Exhibitions Europe of sponsor PinkRoccade weer.

Amsterdam, 17 april 2012 Victor de Pous



Inzicht, nuance en pragmatisme
Recent besloot de gemeente Groningen niet over te stappen naar cloud
computing.1 Onafhankelijk of de reikwijdte van buitenlandse wetgeving en
buitenlandse overheidsbemoeienis — waar Nederlandse staatsburgers2 in
bepaalde omstandigheden, zonder de landgrens te passeren, mee te maken
kunnen krijgen — voldoende grond voor afwijzing vormt, leidt een dergelijke
casus gemakkelijk tot ongenuanceerde beeldvorming. Cloud computing kennen
we namelijk in soorten en maten. Ze bestaat uit een matrix van ICT-diensten.
Uiteindelijk kan zo ongeveer alles — technologie en informatievoorziening — als
dienst op afroep, geautomatiseerd via Internet worden geleverd.

We registreren expliciet diverse service- en toepassingsmodellen, nader te
detailleren door de uiteenlopende categorieën van gegevens. Bovendien zijn er
verschillende dienstverleners: de interne ICT-afdeling of (externe) CLOUD SERVICE
PROVIDER. In theorie en praktijk zien we tevens allerhande mengvormen. Vooral
bij uitbesteding kunnen relevante criteria zich aandienen voor de werkingssfeer
van weten regelgeving van andere soevereine staten.

Kadering
Wat behelst cloud computing? Een informaticus tekent computers en
softwarediensten en verbindt deze met Internet. Zo ontstond ‘de wolk’ als
metafoor. De zoekmachines Lycos en Yahoo (1994) en de e-maildienst Hotmail
(1996) waren de voorbeelden avant la lettre, maar een reserveringssysteem
voor de luchtvaart maakte omstreeks 1960 al van een cloudmodel gebruik.
Exemplarisch vandaag zijn Amazone Web Services (infrastructuur), Salesforce
(bedrijfssoftware), kantoorpakketten Google docs en Microsoft Office365 en de
immens populaire sociale netwerken FaceBook en YouTube.3 Om nog maar te
zwijgen van de letterlijk ontelbare APPS4 voor smartphones en tablets.

Cloud computing voltrekt zich grotendeels onzichtbaar. Toch toont zij zich aan
eindgebruikers, en wel als webgebaseerde software en informatie, die niet op
hun computer of binnen de organisatie vastgelegd is, maar op informatie-
systemen in datacenters elders. De verwerking vindt gevirtualiseerd plaats, dat
wil zeggen dat computerprogramma’s en informatie losgekoppeld zijn van de
fysieke hardware en infrastructuur.5 Gegevensverwerking verandert hierdoor
van karakter en wordt non-permanent en dynamisch; bijna ‘vloeibaar’.

1
http://www.kinggemeenten.nl/data/king-cases/king-informeert-groningen-over-cloud-computing. Hoewel de datum
ontbreekt, stamt de aankondiging waarschijnlijk van 25 januari jl.
2
En anderen wiens persoonsgegevens een Nederlandse overheidsorganisatie verwerkt.
3
Denk ook aan opslagdiensten, zoals Dropbox, iCloud (Apple) en Skydrive (Microsoft) en Internet-bankieren.
4
In de gemeentelijke sfeer worden APPS extern toegepast voor bijvoorbeeld meldingen (o.a. over zwerfafval
http://www.vng.nl/eCache/DEF/1/05/914.html) en intern voor de papierloze organisatie (vergaderen).
5
Volgens de algemeen aanvaarde omschrijving van het Amerikaanse National Institute of Standards and Technology
(NIST) betreft cloud computing de elastische schaalbaarheid van de verwerkings-, netwerken opslagcapaciteiten
(ICT-bronnen), die worden gedeeld (POOLING, MULTI-TENANT) en op afroep door middel van automatische zelfbediening
geleverd. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf. Ze bestaat uit drie toepassingsmodellen,
vier servicemodellen en vijf karakteristieken. Dat wordt wel de 3-4-5 definities genoemd.



De veel besproken leveringswijze ontwikkelt zich evolutionair. Technologisch ligt
het omslagpunt achter ons, omdat een aantal essentiële informatietechnieken,
waaronder virtualisatie en breedband-Internet, inmiddels algemeen en
laagdrempelig beschikbaar zijn. Nader bepaald gaat het om een keten van
automatiseringsdiensten, ontwikkeld en samengesteld uit diverse bouwstenen
en door verschillende producenten en diensverleners. Op basis van een mix
wordt uiteindelijk een clouddienst aan een organisatie en/of een individuele
gebruiker geleverd. Dat kan, zoals gezegd, een dienst zijn die de eigen ICT-
afdeling verzorgt, maar cloud computing zal waarschijnlijk vaker een
outsourcingsrelatie behelzen. Op CloudGov 2012 (Washington DC, 16 februari
2012) vroeg het Department of Homeland Security zich retorisch af: ‘Zijn we in
de datacenter business of hebben we ICT-functionaliteiten nodig?’

De cloudmatrix omvat PUBLIC (openbaar en gestandaardiseerd), PRIVATE
(gesloten en desgewenst op maat), COMMUNITY (gericht op een bepaalde
gemeenschap) en HYBRIDE (mengvorm public/private) toepassingsmodellen en
kent tevens de servicemodellen software (SaaS), platformen (PaaS) en
infrastructuur (IaaS). Daarnaast gaat het om karakteristieken: afroepbare
zelfbediening, toegang tot breedband Internet, delen van ICT-bronnen, snelle
elasticiteit en een gemeten dienst.

Voor- en nadelen
Adoptie van cloud computing begon aan consumentenzijde en voltrekt zich in
dit marktsegment op grote schaal. Zo telt Facebook meer dan 800 miljoen
gebruikers. Daarnaast valt de adoptiesnelheid op.6 Na het bedrijfsleven7 is het
nu de beurt aan overheidsorganisaties en gaan ook onderwijsinstellingen over.

Cloud computing wekt zakelijk bezien de interesse vanwege efficiency-
verbetering, vooral wanneer samendoen en uitbesteding de boventoon voeren.
Betaling voor gebruik vervangt eigen investeringen (‘capex’ wordt ‘opex’),
terwijl clouddiensten op afstand afroepbaar zijn. Niet alleen delen gebruikers
ICT-bronnen, bij nader inzien ook de vaak schaarse en kostbare expertise van
informatici. Ook overheidsorganisaties kunnen dus optimaal profiteren van de
‘economies of scale and skills’. Het model raakt bovenal de crux van de
informatievoorziening. ‘Information at your fingertips’ komt eindelijk —
volwaardig — tot wasdom. En dat biedt ongekende mogelijkheden.

Cloud computing ontsluit en faciliteert organisatorische en
maatschappelijke veranderingen: van nieuwe manieren van werken bij
8
publiekszaken of in de zorg tot en met de realisatie van SMART CITIES.

6
De opslagdienst iCloud van Apple vergaarde in drie maanden een miljoen gebruikers.
7
Een actuele casus betreft de cloudtransitie van wereldwijd pizzamarktleider Domino’s; naar eigen zeggen met veel
voordeel. http://www.itworld.com/cloud-computing/251214/dominos-pizza-finishes-last-piece-cloud-computing-move
8
http://en.wikipedia.org/wiki/Smart_city. ‘A city can be defined as ‘smart’ when investments in human and social
capital and traditional (transport) and modern (ICT) communication infrastructure fuel sustainable economic



Criticasters vormen een minderheid, maar ze roeren zich wel. Zo veegde FREE
SOFTWARE-bedenker Richard Stallman eerder de vloer aan met cloud computing.
Hij waarschuwde gebruikers dat webgebaseerde software, zoals Google’s Gmail,
een val is. ‘It's stupidity. It's worse than stupidity: it's a marketing hype
campaign’.9 Stallman voorziet een ongekend sterke vendor lock-in situatie. Ook
de Algemene Inlichtingen en Opsporingsdienst AIVD wijst in zijn
Kwetsbaarheidsanalyse Spionage op negatieve aspecten van cloud computing.
Echter vanuit een andere invalshoek: informatiebeveiliging.10 Geen vergezocht
argument, zoals blijkt uit de niet-aflatende berichtenstroom over digitale lekken
en dito inbraken bij allerhande organisaties.11

Van uitzonderlijk groot belang voor de voortgang van onze informatie-
maatschappij is dat we debatteren op rationele gronden en een
clouddienst zorgvuldig op zijn merites beoordelen.

In ieder geval laat de Europese Commissie er geen twijfel over bestaan dat zij
de zorgpunten ter zake, waaronder informatiebeveiliging, met wetgeving en
beleid nadrukkelijk wil wegnemen. En het Witte Huis kiest als een van de
‘ontzorgingsmiddelen’ voor overkoepelende certificering en laat CLOUD SERVICE
12
PROVIDERS, die aan de overheid willen leveren, onafhankelijk certificeren.

Ontwrichtend
Last but not least — en deze omstandigheid kunnen we zowel onder kans als
bedreiging scharen — manifesteert cloud computing, net zo als het WORLD WIDE
WEB van Internet twintig jaar geleden, zich langzaam maar zeker als een
ontwrichtend technologiecluster. In de ICT-sector en in andere bedrijfstakken.
Dat betekent dat de innovaties marktverdeling en bedrijfseconomie verstoren.
Neem de online-encyclopedie Wikipedia of de virtuele reisagent.13

Aanpalend rijst de vraag of cloud computing — vergelijk de discussies over
personal computing in de jaren tachtig — een ‘job killer’ is of juist
werkgelegenheid genereert. Marktonderzoeker IDC weet het antwoord. Uit
recent onderzoek volgt dat cloudbestedingen in de periode 2011 tot 2015 bijna
14 miljoen banen wereldwijd creëren; de helft daarvan ontstaan in China en
India.14 Niet alleen zijn dit grote landen, ook hebben deze markten nauwelijks
last van de wet op de remmende voorsprong. Ze starten hun te automatiseren
processen direct met cloud computing en slaan eerdere fases van elektronische
gegevensverwerking over.

development and a high quality of life, with a wise management of natural resources, through participatory
governance.’
9
The Gardian, 29 september 2008.
10
http://webwereld.nl/nieuws/65615/aivd-waarschuwt-voor-cloudspionage---update.html
11
Van DigiNotar’s gecompromitteerde veiligheidscertificaten tot en met de verouderde software van KPN.
12
Bestaande juridische normen en certificeringen blijven van kracht, zoals die op basis van de Federal Information
Security Management Act of 2002 (FISMA).
13
http://en.wikipedia.org/wiki/Disruptive_technology#Examples_of_disruptive_innovations
14
http://idgknowledgehub.com/2012/03/05/cloud-computing-to-create-14-million-new-jobs-by-2015/



Briefkaart uit Washington DC
De Amerikaanse regering maakt forse stappen en in hoog tempo. Ze formuleert
sinds september 2009, buitengemeen voortvarend, ingrijpend hervormings-
beleid voor haar eigen informatiehuishouding.15 Het moet anders; vooral
efficiënter, doelmatiger en goedkoper. Cloud computing vormt de kern en het
beleid kan nationaal op steun rekenen, hoewel er vraagtekens zijn. Het CLOUD
COMPUTING INITIATIVE (september 2009), ontwikkeld door de eerste CIO van het
Witte Huis, Vivek Kundra, bevat de eerste beginselen van nieuw beleid voor
federale overheidsautomatisering.16 In februari 2010 volgde CLOUD FIRST.

CLOUD FIRST het beoogt nadrukkelijk het adoptietempo te versnellen.
Federale overheidsorganisaties zijn onder andere verplicht eerst veilige
en betrouwbare opties voor cloud computing te evalueren alvorens
nieuwe investeringen te doen.

In februari 2010 stelde de Office of Management and Budget (agentschap en
rekenmeester, waar het nieuwe ambt van US Chief Information Officer is
ondergebracht) het FEDERAL DATA CENTER CONSOLIDATION INITIATIVE vast. FDCCI
adresseert kosten en energieverbruik van federale datacenters in het licht van
efficiencyverbetering, versterking van de beveiligingssituatie van de overheid in
het algemeen en het bevorderen van groene ICT door middel van consolidatie in
het bijzonder. Geen 2000 maar 1200 datacenters; een sluitingspercentage van
40%17. Kundra publiceerde in december 2010 een 25-puntenplan voor de
uitvoering van de modernisering van de federale informatievoorziening.18

President Obama
De Amerikaanse overheid geldt als de grootste ICT-gebruiker en inkoper ter
wereld.19 De regering ziet cloud computing als middel om fragmentatie van
informatiesystemen, slecht projectmanagement en het moderniseren van
verouderde systemen grondig aan te pakken. Onze kinderen gaan met meer
technologie naar school dan hun ouders doorgaans op het werk hebben, moet
president Obama hebben gezegd. Scherp gezien. Het uiteindelijke doel richt
zich op het verbeteren van productiviteit en prestaties van federale
overheidsorganisaties. Intern sluiten de rijen zich, zowel over cloud computing
als preferente leveringswijze van overheidsautomatisering, als over de
noodzaak van datacenterconsolidatie.

15
Zie ook V.A. de Pous, Cloud computing en het nieuwe Amerikaanse overheidsbeleid (EXECUTIVE UPDATE), 5 maart
2012, in opdracht van Forum en College Standaardisatie (Logius, onderdeel van het ministerie van BZK).
16
http://news.cnet.com/8301-13772_3-10353479-52.html.
17
Inmiddels zijn de doelstellingen verder aangescherpt. Niet 800 maar 962 datacenters moeten eind 2015 hun deuren
hebben gesloten. De consolidatie levert een geschatte besparing van 3 tot 5 miljard dollar op.
18
http://www.cio.gov/documents/25-point-implementation-plan-to-reform-federal%20it.pdf
19
Het gaat om 76 tot 80 miljard dollar per jaar ten behoeve van meer dan 10.000 verschillende informatiesystemen,
inclusief 19 miljard dollar voor ICT-infrastructuur.



Maar de CLOUD FIRST-strategie kreeg vorig jaar van federale ICT-managers kritiek
wegens korte tijdslijnen, onvoldoende financiering en conflicterende
mandaten.20 Modernisering van de 19 miljard per jaar kostende ICT-
infrastructuur is een speerpunt, maar er liggen daarnaast uiterst belangrijke
beveiligingsprioriteiten. Denk aan beveiliging van federale netwerken,
beveiliging van de kritische infrastructuur en beveiliging van persoonsgegevens.
Volgens de ICT-top van de agentschappen stuit realisatie deels op een gebrek
aan financiën, terwijl er bovendien onduidelijkheid bestaat wie ‘eigenaar’ is van
‘cyber security’. Kennelijk is er sprake van een vacuüm in leiderschap.
Ondertussen gaan uitwerking en uitvoering van beleid door.

Kundra’s opvolger Steven VanRoekel zette in november 2011 een vervolgstap
en introduceerde het FUTURE FIRST beleid; een in ontwikkeling zijnde set van
aanvullende uitgangspunten — zoals XML FIRST, WEB SERVICES FIRST en
VIRTUALIZATION FIRST — die bepalen op welke wijze de federale overheid haar ICT
inricht. Nieuw is tevens SHARED FIRST; een beleidsinitiatief dat federale
overheidsorganisaties inkoop, technologie en deskundigheid onderling wil laten
delen.21 Bovendien zag eind 2011 het FEDERAL RISK AND AUTHORIZATION MANAGEMENT
22
PROGRAM het licht. FedRAMP bevat een gestandaardiseerde benadering van
beveiliging en inkoop van cloud computing (diensten en producten) door middel
van een ‘do once, use many times’-raamwerk. Een onderdeel vormt de
certificering van diensten van CLOUD SERVICE PROVIDERS op basis van een stelsel
van openbare normen. FedRAMP bevindt zich nu in haar voorbereidingsfase; de
initiële, gefaseerde uitrol start in juni.

Ook Europa zegt volmondig ja
Op het WORLD ECONOMIC FORUM van 2011 maakte vice-premier en commissaris
Kroes (digitale agenda) bekend dat zij tot richtlijnen wil komen op het gebied
van standaardisering van cloudtoepassingen en met proefprojecten ervaringen
met cloud computing wil stimuleren.23 Volgens de bewindsvrouwe richt de
Europese Commissie zich in dit kader op drie aandachtsgebieden:

• het juridisch raamwerk voor gegevensbescherming door een volledige
herziening van het communautaire privacyrecht (de ontwerpen zijn in
januari openbaar geworden);

• technische en commerciële uitgangspunten, vooral in relatie tot netwerken
informatiebeveiliging;24

20
http://itknowledgeexchange.techtarget.com/cloud-computing/ex-fed-cio-vivek-kundra%E2%80%99s-cloud-first-
policy-trashed/
21
http://www.whitehouse.gov/sites/default/files/svr_parc_speech_final_0.pdf
22
http://www.gsa.gov/portal/category/102371
23
http://www.europa-
nu.nl/id/vimchoauiry2/nieuws/toespraak_eurocommissaris_kroes_digitale?ctx=vg09llfemfyf&start_tab0=120
24
http://www.enisa.europa.eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-
resilience-in-governmental-clouds



• technische standaarden, APPLICATION PROGRAMMING INTERFACES (API's),
bestandsformaten voor elektronische gegevens en verwante onderwerpen.

Twee jaar daarvoor viel de zienswijze van commissaris Redding (telecom-
municatie en digitale media tijdens de vorige Europese Commissie) op. Cloud
computing is ‘het medicijn’ voor onze economie met beperkte kredietfaciliteiten.
Haar geopolitieke visie richtte zich op stevige stimulering van de Europese
digitale economie, juist voor het MKB. ‘However, today these new services are
nearly all US-owned and US-based. Once again, the US has started to exploit a
business model before Europe has managed to do so. We cannot let this
continue.’ 25 Anders gezegd, help elkaar, koop Europese waar.

Op grond van de Europese Strategie moet Europa niet alleen ‘cloud-
vriendelijk’ maar tevens ‘cloud-actief’ worden. Volgens commissaris
Kroes houdt cloud computing de belofte in van schaalbare en veilige
diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere
kosten. Dat geldt voor bedrijf en overheidsorganisatie.

Klanten van externe clouddiensten zijn echter bezorgd over standaarden,
certificering, privacy, informatiebeveiliging, interoperabiliteit, lock-in situaties
en bijvoorbeeld juridische onzekerheden. De Europese Commissie wil
nadrukkelijk ontzorgen en obstakels wegnemen. Met de publicatie van twee
wetsvoorstellen, die de gedateerde privacywetgeving met het oog op Internet
en cloud computing ingrijpend herzien, is een eerste stap gezet. Vervolgens
wordt het inkoopbeleid geharmoniseerd en geïntegreerd om standaarden,
kwaliteitsnormen en lagere prijzen af te dwingen. Bovendien komt er een
‘cloud-friendly’ juridisch raamwerk voor het communautaire binnenland.

Privacyregels voor clouddiensten
Een legislatieve component van de Europese Cloud Computing Strategie ziet toe
op de langverwachte, uniforme harmonisering van de Europese privacyrichtlijn
uit 1995 (95/46/EC).26 De grondige hervorming van 25 januari jl. getuigt van
een duale aanpak. Allereerst wordt de rechtsbescherming van burgers in
verband met hun online privacy verbeterd. Ze krijgen meer controle en rechten;
ook ten aanzien van in de cloud verwerkte gegevens. Daarnaast draait het om
stimulering van de digitale economie door middel van lastenverlaging.

De achterliggende ratio is bekend. De wijze waarop gegevens worden
verzameld, geraadpleegd en gebruikt, is door technologische vooruitgang en
globalisering ingrijpend veranderd. Bovendien hebben de 27 EU-lidstaten de
privacyrichtlijn verschillend omgezet, wat tot verschillen in toepassing en
handhaving leidde. Herziening was uiteindelijk onvermijdelijk.

25
9 juli 2009. http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/09/336
26
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm



Volgens het EU-Handvest van de grondrechten heeft iedereen en in beginsel
overal recht op bescherming van zijn persoonsgegevens. De voorstellen zijn
‘een toekomstgerichte actualisering’. Naast een beleidsmededeling over de
doelstellingen van de Commissie, gaat het om twee wetsvoorstellen.27

Verordening
Allereerst de verordening tot vaststelling van het algemene EU-kader voor
gegevensbescherming; vanwege haar rechtstreekse werking het perfecte
harmonisatiemiddel. Zo ontstaat er één stel regels voor de bescherming van
persoonsgegevens, geldend in de gehele EU. De aanpak vergemakkelijkt onder
meer REGULATORY COMPLIANCE bij intracommunautaire gegevensverwerking.

In plaats van overbodige administratieve lasten verplicht de verordening de
verwerkers van persoonsgegevens (zoals CLOUD SERVICE PROVIDERS) meer
verantwoording en rekenschap af te leggen. Ernstige gegevenslekken moeten
binnen 24 uur aan de nationale toezichthouder28 worden gemeld. De boete bij
overtreding bedraagt maximaal 2% van de omzet.29

Verbetering rechtspositie burgers
Verder scherpt de vordering de bestaande rechten van betrokkenen aan, zoals
het recht op toestemming voor verwerking, die nadrukkelijk moet worden
gegeven, en het inzagerecht. Burgers krijgen gemakkelijker toegang tot hun
eigen gegevens; online en gratis. Ook introduceert de verordening geheel
nieuwe privacyrechten. Burgers kunnen hun persoonsgegevens gemakkelijker
van de ene dienstverstrekker naar de andere overdragen, mede ter vergroting
van de onderlinge concurrentie (recht op dataportabiliteit). Bovendien worden
mensen in staat gesteld hun privacyrisico’s op Internet beter te beheren, dat wil
zeggen hun gegevens te wissen als er geen gegronde redenen zijn om ze te
bewaren (recht om vergeten te worden).

Richtlijn
Daarnaast komt er een nieuwe richtlijn inzake de bescherming van
persoonsgegevens die worden verwerkt voor het voorkomen, opsporen,
onderzoeken of vervolgen van strafbare feiten en aanverwante gerechtelijke
activiteiten. De voorschriften zullen zowel op binnenlandse als
grensoverschrijdende gegevensoverdrachten van toepassing zijn. Een Europese
richtlijn vereist implementatie in het recht van de lidstaten, binnen twee jaar na
vaststelling. Naar verwachting treden verordening en richtlijn niet voor 2015 in
werking.

27
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
28
Bedrijven en organisaties (die grensoverschrijdend zakendoen) krijgen te maken met één nationale toezichthouder,
namelijk in de EU-lidstaat waar zij hun belangrijkste vestiging hebben. Deze nationale gegevensbeschermingsautoriteit
is tevens het aanspreekpunt voor burgers; ook als hun gegevens worden verwerkt door een buiten-de-EU-bedrijf.
29
Los hiervan heeft het ministerie van V&J eind 2011 een wetsvoorstel gepubliceerd waarin een regeling is opgenomen
voor een onverwijlde meldplicht voor datalekken, zowel aan betrokkenen als aan het College bescherming
persoonsgegevens (CBP). De beoogde administratiefrechtelijke boete op niet-naleving van deze meldplicht bedraagt
maximaal 200.000 euro. Het voorstel breidt de Wet bescherming persoonsgegevens uit en scherpt tevens aan. Tot 1
maart jl. kon er worden gereageerd. http://internetconsultatie.nl/camerabeelden. Het CBP heeft overigens aangegeven
mankracht te kort te komen om alle meldingen ter zake op te volgen.



‘Samen sterk’ pan-Europees inkoopbeleid
Een andere component van de Europese Cloud Computing Strategie ziet toe op
de overheid als klant, als afnemer van clouddiensten. De inkoop van ICT door
de publieke sector vormt grofweg 20% van de totale Europese markt, maar is
dusdanig gefragmenteerd, dat ze nauwelijks impact aan leverancierszijde heeft.
Daar moet en kan kennelijk verandering in komen door middel van
harmonisatie en integratie. Dit beleid leidt echter niet tot een Europese ‘super-
cloud’ of de geforceerde integratie van bestaande cloud-infrastructuren.

Volgens de Europese Commissie bepalen doelmatigheidsoverwegingen
op de markt de zakelijke modellen voor cloud computing en de
inrichting van cloud-aanbieders’ en publieke datacenters.

De Europese Commissie verwacht dat de cloudsector luistert en haar aanbod
aanpast en op deze manier voordelen creëert voor de adoptie van cloud
computing in allerlei sectoren. Denk aan meer standaarddiensten, nieuw
aanbod en lagere tarieven. ‘And it is a true win-win: the Cloud market will
grow, bringing opportunities for existing suppliers and new entrants. And Cloud
buyers, including the public sector, will buy more with less and become more
efficient.’ 30 Over hooggespannen verwachtingen gesproken.

Zelfs gezamenlijke overheidsinkoop in verschillende landen behoort straks tot
de mogelijkheden. De Europese Commissie kiest voor de uitvoering van het
nieuwe inkoopbeleid voor de figuur van een European Cloud Partnership tussen
overheid en CLOUD SERVICE PROVIDERS. Drie fasen zijn voorzien. Het begint met
standaarden, beveiliging en vrije mededinging. Lock-in situaties door cloud
computing wil Brussel nadrukkelijk voorkomen. De tweede fase ziet toe op het
opleveren van ‘common requirements’ en ‘proof of concept solutions’, terwijl er
in de laatste fase ‘reference implementations’ worden gebouwd.

De gesloten Rijkscloud
Ondanks dat zowel Nederland als de Europese Unie hun ogen al twintig jaar op
ICT en de informatiemaatschappij richten, noemen we de actuele aandacht voor
cloud computing uniek. Niet eerder in de geschiedenis van wetgeving en
overheidsbeleid is digitalisering een dergelijk centraal en cruciaal beleidsterrein
geworden. Ook de Tweede Kamer, die in mei 2010 de Motie Van der Burg
aannam, verwacht er veel van.31 Daarin verzoekt de kamer ‘de regering in
navolging van landen als Japan, het Verenigd Koninkrijk en de Verenigde Staten
een strategie voor de hele Nederlandse overheid te ontwikkelen voor «cloud
computing» en een «cloud First»-strategie, waarbij mogelijkheden voor de

30
http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/12/38
31
www.ictu.nl/archief/noiv.nl/files/.../motie_van_der_burg.pdf.pdf



inrichting van de overheidscloud duidelijk omschreven worden met de
bijbehorende voor- en nadelen.’ In de visie van minister Donner (BZK) is cloud
computing echter nog onvolwassen, ontbreekt het aan aanbod voor de
rijksoverheid en blijft privacy een zorgenkind. Dat was 20 april 2011.32

De hoge verwachtingen van politiek en spelers in de overheidsmarkt waren
mogelijk al getemperd door Jan Flippo, oud-hoofd automatisering van het
ministerie van Buitenlandse Zaken, overgestapt naar BZK. Op de conferentie
Overheid dichtbij? IT op afstand! (Breukelen, 4 februari 2011), zei Flippo
onomwonden dat, hoewel waarschijnlijk velen vinden dat de overheid te
langzaam handelt, het toch onvermijdelijk is dat er telkens kleine stappen
worden gezet. ‘We hebben niet veel haast met cloud computing.’33 Wel lichtte
hij zijn keuze voor de aanschaf van 6000 mailaccounts van Google toe.
‘Wanneer Den Haag onder water staat, kunnen medewerkers van BZ blijven
communiceren en informatie delen.’ Deze clouddienst is dus aangekocht als
‘Plan B’ en niet als een primaire voorziening voor het departement.

i-Strategie
De Informatiseringstrategie34 van 15 november 2011 ziet toe op verbetering
van de ICT van de rijksoverheid en omvat maatregelen om de digitale
voorzieningen te bundelen, te komen tot één ICT-beveiligingsfunctie en de
standaard ICT-werkplek rijksbreed in te voeren. De beheersing van grote ICT-
projecten wordt verder versterkt, er komt meer aandacht voor het vergroten
van ICT-kennis bij management en medewerkers en hergebruik gaat voor het
zelf ontwikkelen van nieuwe voorzieningen of systemen.35 Een samenhangende
rijksbrede informatie-infrastructuur, die tevens van cloud computing gebruik
maakt, moet een einde maken aan de verbrokkelde ICT-infrastructuur.

Het kabinet kiest vooralsnog voor een in eigen beheer in te richten
gesloten Rijkscloud, als een voorziening die via een eigen en beveiligd
netwerk generieke diensten levert binnen de Rijksoverheid.

Met marktpartijen is inmiddels een convenant36 afgesloten om de samenwerking
tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie
is nauw verbonden met het (uitvoerings)programma Compacte Rijksdienst, dat
de bedrijfsvoering van het Rijk goedkoper en efficiënter wil maken.37

32
https://zoek.officielebekendmakingen.nl/kst-26643-179.html
33
NEWSWARE 2011 (Jaargang 25), 2. Ter vergelijking: de federale Amerikaanse overheid heeft veel haast, maar zegt
tevens geen proeftuin te willen zijn voor clouddiensten.
34
http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/11/15/kamerbrief-
informatiseringstrategie-rijk.html
35
http://www.rijksoverheid.nl/ministeries/bzk/nieuws/2011/11/15/kabinet-lanceert-informatiseringstrategie-voor-het-
rijk.html
36
http://www.rijksoverheid.nl/documenten-en-publicaties/convenanten/2012/01/26/convenant-verbetering-
samenwerking-tussen-de-rijksoverheid-en-het-ict-bedrijfsleven.html
37
http://www.rijksoverheid.nl/documenten-en-publicaties/kamerstukken/2011/06/14/kamerbrief-toezegging-uit-
algemeen-overleg-programma-compacte-rijksdienst.html



Open overheidsinformatie is regel
Nog meer beleid voor de informatiemaatschappij en relevant voor overheid-
clouds. In september 2011 presenteerde de Europese Commissie haar plannen
voor twee portals voor de publieke toegang tot open data.38 Rond deze tijd —
voorjaar 2012 — verwacht commissaris Kroes een portal operationeel te
hebben, welke vrije toegang biedt tot alle eigen databronnen van de
Commissie. Daarnaast staat er voor 2013 een ‘bredere, pan-Europese’ portal op
de rol, waar uiteindelijk alle herbruikbare informatie van publieke organisaties
in de EU-lidstaten beschikbaar is. Dit portal betreft het resultaat van
doorontwikkeling en consolidatie van bestaande nationale en regionale data
portals, zoals in Nederland data.overheid.nl.39

Commissaris Kroes benadrukt het belang van open data als volgt. Het gaat om
‘waardevol ruw materiaal’ waarmee burger, wetenschap, economie en
democratie geholpen zijn. Zo kunnen burgers hun voordeel doen met betere
routeplanning op basis van geo- en OV-informatie van de overheid. Cruciaal zijn
— ook in dit kader — interoperabiliteit en standaardisatie.

Open data wordt gezien als een grondstof voor innovatie vanwege het
beoogde gratis hergebruik. De beschikbaarstelling van overheidsdata
verlaagt de investeringsdrempel voor nieuwe producten en diensten.

Deze openheid levert daarnaast waarschijnlijk een bijdrage aan een meer
transparante overheid, omdat burgers desgewenst meer inzicht kunnen krijgen
in de gegevens waarop beleid is gebaseerd. Maar de omstandigheid dat data en
datasets ‘vrij herbruikbaar’ zijn, betekent niet dat deze per definitie rechtenvrij
zijn. Omgekeerd claimen open-data of open-contentlicenties nadrukkelijk geen
rechten die er niet zijn, maar verklaren goed beschouwd dat wanneer er wel
intellectuele eigendomsrechten zijn, de licentiegever er afstand van doet. Ook
relevant: de vrije gebruiksrechten worden geleverd met een zo ver als juridisch
toelaatbare uitsluiting van aansprakelijkheid. Vergelijk open source software, de
uiteenlopende licenties en de beklijvende misvattingen.40

Een Nederlands voorbeeld van open data. Eind vorig jaar maakte minister
Schultz (Infrastructuur en Milieu) bekend dat uiterlijk 1 januari 2015 alle
gegevens van haar departement volgens het principe ‘open, tenzij’ vrij
beschikbaar komen.41 Het gaat onder meer om data over water, weer en
wegen. De Basisregistratie Topografie van het Kadaster is inmiddels vrij
beschikbaar gesteld.
38
http://data.overheid.nl/nieuws/kroes-stimuleert-gebruik-open-data. Goed beschouwd heeft de Europese Commissie
drie aan elkaar gerelateerde voorstellen gedaan, te weten voor wijziging van de Richtlijn hergebruik van
Overheidsinformatie, een mededeling Open Gegevens en een besluit hergebruik eigen Commissiedocumenten.
39
http://www.rijksoverheid.nl/regering/het-kabinet/bewindspersonen/piet-hein-
donner/nieuws/2011/09/15/nederlandse-overheid-stelt-data-beschikbaar-voor-her-gebruik.html
40
‘V.A. de Pous, Open Source Computing and Public Sector Policy, Amsterdam, 2011.
41
http://www.rijksoverheid.nl/nieuws/2011/10/04/innovatie-estafette-2011-baaierd-aan-innovatieve-initiatieven.html



Aanknopingspunten juridisch raamwerk
Dat cloud computing zowel technologisch als bedrijfsmatig fundamenteel anders
is, wil niet op voorhand zeggen dat de rechtsaspecten afwijken. Maar wie de
Amerikaanse 3-4-5-definitie42 in het vizier houdt, verwondert zich waarschijnlijk
niet dat haar juridisch raamwerk zich onderscheidt van dat voor het gangbare
(CLIENT/SERVER) model voor automatische gegevensverwerking.

Cloud computing heeft deels moeite met bestaande rechtsnormen, die
niet alleen van oudsher geografisch zijn bepaald43, maar tevens zijn
vastgesteld toen informatieverwerking statisch was. We konden
letterlijk aanwijzen waar data zich bevond.44

Voorts vallen er in het leveringsmodel allerlei technische en andere aspecten
samen, met als consequentie dat uiteenlopende horizontale (geldend voor alle
organisaties), verticale (aanvullend gericht op een bepaalde sector) en speciale
ICT-gerelateerde rechtsnormen (mede) op cloud computing van toepassing zijn.
Dat leidt vrijwel zeker tot juridische samenloop.45 Ondertussen noteren we
ontwikkelingen. Zo zorgt de praktijk voor voorschrijdend inzicht en ontstaan er
BEST PRACTICES. Ook staat, zoals hierboven aangegeven, een ingrijpende
aanscherping en harmonisatie van privacyregels op de rol. Verder krijgen we
meer ‘cloud-vriendelijke’ Europese wetgeving en nieuw inkoopbeleid voor de
publieke sector. Daarnaast ontstaan er certificeringinitiatieven.46

Aanknopingspunten
Toch moeten we de rechtsaspecten van cloud computing niet moeilijker maken
dan ze zijn en goed naar de kenmerken van een clouddienst in het concrete
geval kijken. Een aantal aanknopingspunten geeft houvast en richting voor
juridische analyse en beleidsontwikkeling, omdat hieruit essentiële onderdelen
van het rechtskader volgen. Neem de casus dat een departement of gemeente
‘open data’ met het oog op hergebruik aan burger en ondernemer wil
aanbieden. Hiervoor komt al snel een (PUBLIC) clouddienst in zicht vanwege zijn
praktische karakteristieken: webgebaseerd, open, dus voor iedereen op afstand
afroepbaar via Internet, elastisch schaalbaar. Zelfbediening pur sang.

42
Zie noot 5.
43
Vooral bij grensoverschrijdende verwerking krijgen we mede met buitenlandse wetgeving te maken. Bovendien
kunnen in Nederland verwerkte gegevens eveneens (mede) voorwerp zijn van buitenlands recht.
44
Virtualisatietechnieken maken gegevensverwerking dynamisch, zelfs ‘vloeibaar’. Datacenters in telkens wisselende
samenstelling kunnen zelfs een virtuele ‘computerfabriek’ vormen.
45
Samenloop is een probleem van rechtsvinding, waarbij de vraag zich aandient naar voorrang van of de beste keuze
tussen de toepasbare regels of regelstelsels. Denk aan een mix van mededingingsrecht, intellectuele eigendomsrecht,
en/of contractenrecht. Of privacyrecht en vrijheid van meningsuiting. Et cetera.
46
De belastingdienst is initiator van het keurmerk Zeker Online! (http://www.zeker-online.nl/). Het initiatief beoogt
twee doelen. Aanbieders van online-boekhoudprogramma’s (gaan) voldoen aan de wettelijke regels, terwijl het MKB
wordt gestimuleerd zelf te administreren in plaats van een schoenendoosboekhouding te voeren.



Zorgen over ongewenste gevolgen van de reikwijdte van buitenlandse
wetgeving — zoals de U.S. Patriot Act — ontbreken bij open data, omdat
het niet om vertrouwelijke informatie of persoonsgegevens gaat.

Zelfdoen of uitbesteding?
Als juridische rode draad bij cloud computing, loopt telkens de vraag of er
sprake is van een uitbestedingsrelatie. Wanneer een (overheids)organisatie een
dienst afneemt van een externe CLOUD SERVICE PROVIDER, verliest zij in beginsel
controle en zeggenschap over de verwerking van haar informatie, tenzij
andersluidende afspraken worden gemaakt.47 Bovendien ontstaat er een sterke
afhankelijkheidssituatie ten opzichte van leverancier en de gebruikte
technologie, mede omdat vooral bij softwarediensten technologie en data in
handen zijn van deze leverancier (en toeleveranciers). Minimaal betekent
uitbesteding een verschuiving van technische verantwoordelijkheden aan de
operationele kant. Bij uitbesteding dienen kwesties over feitelijke en juridische
verantwoordelijkheid, transparantie, toezicht en continuïteit zich aan en is
bijvoorbeeld een goede exit-regeling gewenst.

Product of dienst?
Verschillende feitelijke aspecten van het leveringsmodel hebben juridische
implicaties. Zo wordt er bij de inzet van cloud computing geen product, maar
een dienst geleverd en ontvangt de eindgebruiker doorgaans geen fysiek
exemplaar van de software die hij op afstand gebruikt. Om op dat laatste
kenmerk juridisch in te gaan: hierdoor verliest de licentienemer zijn wettelijk
recht op foutherstel, zoals vastgelegd in de Europese richtlijn
softwarebescherming (2009/24/EC).48 Daarnaast vraagt de licentieverlening
van computerprogramma’s in de cloud om aangepaste contractsmodellen. De
één-op-één relatie met apparatuur en besturingssysteem als gevolg van
virtualisatie bestaat immers niet meer.49 Verder hebben we te maken met de
omstandigheid dat een CLOUD SERVICE PROVIDER in voorkomende gevallen
softwaretechnologie van derden doorlevert als dienst aan zijn klant. Deze
bevoegdheid moet wel verleend zijn door de producent van de software.50

Technologie of gegevens?
Elektronische technologie ziet toe op de notoire bits en bytes, uiteindelijk zelfs
op enen en nullen. Maar er is weldegelijk onderscheid. Gaat het om een
computerprogramma of om gegevens? Die vraag speelt niet alleen in
technologisch perspectief een centrale rol; het rechtskader brengt scherp

47
Bijvoorbeeld over de locatie. Zo kan de gegevensverwerking ‘in de cloud’ uitsluitend binnen Nederlands grondgebied
plaatsvinden of uitsluitend binnen de Europese Unie.
48
Zie ook artikel 45j Auteurswet: copieren van ‘een exemplaar’ door de licentienemer mag, voor onder meer
foutherstel door de licentienemer. Bij cloud computing is echter sprake van immateriële openbaarmaking van een
computerprogramma.
49
Dat geldt in het algemeen. Onafhankelijk van cloud computing zijn andersluidende licentievoorwaarden voor
software gewenst bij de toepassing van virtualisatietechnieken.
50
Bovendien kunnen CLOUD SERVICE PROVIDERS software en andere clouddiensten, van henzelf en anderen, gaan
bundelen. Daarin ligt ook toegevoegde waarde: de ‘one-stop-shop’.



onderscheid aan tussen softwarecode en informatie in digitale vorm. Met deze
scheidslijn hebben aanbieders en afnemers van clouddiensten te maken. Zo
gelden er legislatief bezien beschermingsregels voor software, die primair ten
goede komen aan de producent, met uitzondering van enkele basisrechten voor
softwaregebruikers (licentienemers), zoals het recht op het maken van een
reservekopie. Voor (digitale) informatie geldt een geheel ander juridisch kader.

Welke gegevens?
Een andere belangrijke piketpaal vormt het onderscheid tussen
persoonsgegevens — van, in dit kader, in hoofdzaak burgers of personeel — en
andere informatie die de overheid onder zich heeft. Van raadsverslagen,
begrotingen en geo-informatie tot en met cultureel erfgoed in de diverse
stadsarchieven. De aard van de gegevens is (mede) bepalend voor het
toepasselijke beleids- en rechtskader, hetgeen vervolgens invloed kan hebben
op de keuze voor een bepaald ICT-leveringsmodel. Migratie van open data naar
een publieke cloudomgeving, te verzorgen door een externe CLOUD SERVICE
PROVIDER, stuit doorgaans niet op juridische problemen. Bovendien bestaat altijd
de optie dat een overheidsorganisatie persoonsgegevens versleutelt (encryptie),
zodat deze door derden niet herleidbaar zijn tot een natuurlijk persoon.

Grensoverschrijdende verwerking?
Op grond van het recht mogen persoonsgegevens niet zonder toestemming van
het ministerie van Justitie buiten de Europese Economische Ruimte (EU plus
IJsland, Noorwegen en Liechtenstein) worden verwerkt. Maar ook het
communautaire binnenland vraagt om extra aandacht, vanwege verschillen bij
de uitvoering van de privacyregels. Naar aanleiding hiervan gaan in Duitsland
stemmen op om ‘Cloud Computing Made in Germany’ als unique selling point
voor mededinging in te zetten, gegrond op het strikte karakter van de Duitse
privacywetgeving. Dat betreft deels een achterhoedegevecht,51 maar het staat
een Nederlandse overheidsorganisatie vrij om met een CLOUD SERVICE PROVIDER
geografische afspraken te maken. In het algemeen rijzen er bij internationale
dataverwerking vragen over het toepasselijke recht en de bevoegde rechter.

Vijftien analyses
1. Cloud computing kent allerlei verschijningsvormen, ieder met deels unieke
kenmerken en daaraan gekoppelde rechtsaspecten, voordelen en nadelen.
Deze diversiteit vereist inzicht en nuancering. Tevens is belangrijk dat zowel
algemene pro en contra-debatten als discussies in het concrete geval52 op
rationele gronden plaatsvinden. Alleen dan liggen beleidsontwikkeling en
individuele beslissingen pragmatisch in het verschiet.

2. Niets doen is nadrukkelijk geen optie. Zelfs de overheidsorganisatie die
uitsluitend op kostenbesparing of ‘green IT’ scherpstelt, ontkomt niet aan

51
De Europese Unie gaat het privacyrecht immers dwingendrechtelijk uniform harmoniseren. Nationale deviatie, zoals
thans het geval is, behoort straks tot het verleden. ‘Cloud Computing Made in Europa’ blijft wel een optie.
52
Over de vraag waarvoor en onder welke voorwaarden een overheidsorganisatie een clouddienst kan inzetten.



cloud computing. Politiek en openbaar bestuur behoren vanzelfsprekend
verder te kijken. Technologisch vertaalt dit vertrekpunt zich — in lijn met de
visie van de Algemene Rekenkamer — in de omstandigheid dat strategische
overheidsdoelen de inzet van ICT behoren te bepalen.53

3. Digitale technologie speelt bij de talloze veranderingsprocessen een
sleutelrol. Dankzij cloud computing ontstaan er telkens organisatorische
(nieuwe manieren van leven, werken, zakendoen, besturen) en
maatschappelijke veranderingen (op weg naar een ‘betere’ samenleving).54

4. Hoewel de volledige overgang naar clouddiensten mogelijk is, zal de
automatiseringspraktijk bij overheidsorganisaties vrijwel zeker een
gemengde leveringsomgeving laten zien. De noodzaak om staatsgeheimen
per se in de cloud te willen verwerken, ontbreekt. Een gemengde portfolio
bestaat uit zowel ‘klassieke’ als cloud computing; zowel door de interne
organisatie als door derden te leveren. Of wellicht door geheel nieuwe,
innovatieve vormen van public/private partnerships, waarin IT OUTSOURCING
opschuift naar of onderdeel uitmaakt van BUSINESS PROCESS OUTSOURCING.

5. Het vigerende, oorspronkelijk in 2003 geïnitieerde, Europese beleid bepaalt
dat overheidsinformatie tegenwoordig zo breed mogelijk voor burger en
ondernemer toegankelijk (transparante overheid) en beschikbaar
(hergebruik voor economische ontwikkeling) behoort te zijn. Deze ‘open
data, tenzij’-regel betekent een forse stimulans voor (uitbesteding van)
overheidclouds.

6. In het bijzonder van clouddiensten als vorm van uitbesteding wordt veel
verwacht. In de woorden van de Europese Commissie: schaalbare en veilige
diensten ten behoeve van meer efficiëntie en flexibiliteit, tegen lagere
kosten zonder grote investeringen vooraf.55 Bovendien wijzen we naast het
voordeel van ‘economies of scale and skills’, op nog een onderbelicht
pluspunt, ditmaal juridisch van aard. Cloud computing betekent het einde
van softwarepiraterij aan gebruikerszijde.56

7. Voor ICT-leveranciers heeft het model ook aantrekkelijke kanten. Een
regelmatige inkomstenstroom, een nauwe band met de klant en,
desgewenst, ‘grenzeloos’ ondernemen. De omzet wordt behalve met ICT-
bronnen (software, rekenkracht, opslag, archivering, et cetera) gerealiseerd

53
‘Besluiten over software alleen te benaderen van het oogmerk kosten te beperken, is een te beperkt perspectief.’
http://www.rekenkamer.nl/Nieuws/Persberichten/2011/03/Besparingen_Rijk_met_opensourcesoftware_beperkt_mogel
ijk
54
Vorig jaar heb ik een warm pleidooi gehouden voor een ‘nationale informatiemaatschappij’. In het kort, de wetgever
doet er goed aan bij organisatie en inrichting van de informatiemaatschappij op aspecten van algemene zorg voor het
welzijn van haar burgers in verband met digitalisering te letten in het licht van de kernwaarden van de mens in zijn
sociale context en aspecten van nationale identiteit. Het centrale ijkpunt wordt vervolgens ‘fitting the information
society to its people and national identity’. Burgers moeten namelijk niet alleen kunnen vertrouwen op, maar ook
vertrouwd zijn met en zich thuis voelen in de moderne samenleving. Een en ander zeggen we tevens tegen
beleidsmakers zeggen. V.A. de Pous, Recht voor een nationale informatiesamenleving, Amsterdam, 2011.
55
Zie noot 30.
56
Onder voorwaarde dat CLOUD SERVICE PROVIDERS hun juridische zaken op orde hebben.



door middel van de continue levering ervan; een heuse toegevoegde
waardedienst.

8. De voordelen aan gebruikerzijde nemen de huidige bezorgdheid over
informatiebeveiliging en juridische onzekerheden niet zonder meer weg.
Maar er zijn wel middelen beschikbaar — dataclassificatie, bestaande
standaarden en certificeringen, OPEN DATA FORMATS, wettelijke kaders en
concrete rechten (op bijvoorbeeld interoperabiliteit), continuïteitsregelingen,
het onderhandelen over juridische voorwaarden in cloudcontracten — die de
positie van gebruikersorganisaties kunnen versterken en risico’s beheersbaar
maken. Ondertussen wordt er flink gewerkt aan verbetering en vernieuwing.
In buiten- en binnenland.

9. Standaarden vormen regelmatig aanleiding tot beleidsdiscussie. Het
uitgangspunt in de praktijk luidt dat de talloze bestaande ICT-standaarden,
daaronder tevens verstaan normen, hun plaats mede in cloud computing
vinden. Zowel de Amerikaanse federale regering57 als de Europese
Commissie58 voert een pragmatisch standaardenbeleid op basis van RAND.
Nederland wijkt met haar beleid hiervan in zoverre af, dat overheids-
organisaties verplicht zijn bepaalde open standaarden toe passen, tenzij er
een gerede grond is om — tijdelijk — voor anderen te kiezen.59

10. Over interoperabiliteit wordt weliswaar veelvuldig gesproken, maar het
wettelijk recht interoperabiliteit, vastgelegd in de Europese richtlijn
softwarebescherming (2009/24/EC) en onze Auteurswet, is mogelijk niet bij
iedere bestuurder of ICT-manager bekend. Op grond hiervan heeft iedere
licentienemer op een computerprogramma het recht deze code te ontleden.
Het proces van ‘reverse engineering’ door middel van decompilatie ontsluit
de verborgen specificaties van de interfaces van het programma, zodat er
andere software op kan worden aangesloten.

11. Informatiebeveiliging vormt een belangrijk zorgpunt. Er is echter in zoverre
geen sprake van een technisch vacuüm of gebrek aan normstelling als
zodanig, omdat de praktijk een reeks van breed gedragen, door
internationale organisaties vastgestelde normen kent. NEN-ISO/IEC 27000 is
hiervan een voorbeeld.60 Deze en andere standaarden blijven onverkort van
kracht bij de inzet van cloud computing. Dat laat overigens de vraag naar
overkoepelde normering voor de gehele leveringsketen onverlet.

12. Overheidsorganisaties kunnen met betrekking tot randvoorwaarden voor de
inkoop van externe clouddiensten aansluiting zoeken bij het wettelijk
raamwerk, dat voor de financiële sector is geformaliseerd in geval van

57
http://www.whitehouse.gov/omb/circulars_a119/. Onder ‘voluntary consensus standards’ verstaat de overheid in dit
kader: ‘standards developed or adopted by voluntary consensus standards bodies, both domestic and international.
These standards include provisions requiring that owners of relevant intellectual property have agreed to make that
intellectual property available on a non-discriminatory, royalty-free or reasonable royalty basis to all interested
parties.’ Dit model wordt RAND genoemd.
58
http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf
59
https://lijsten.forumstandaardisatie.nl/lijsten/open-
standaarden?lijst=Pas%20toe%20of%20leg%20uit&status%5B%5D=Opgenomen&pagetitle=pastoeof
60
https://lijsten.forumstandaardisatie.nl/open-standaard/nen-isoiec-27001



uitbesteding door financiële instellingen die onder overheidstoezicht van De
Nederlandsche Bank en de Autoriteit Financiële Markten vallen.61
Uitbesteding mag niet tot afbreuk op toezicht leiden.

13. Informatiehuishouding als geconsolideerd proces hoort nadrukkelijk thuis in
de bestuurstop van iedere organisatie. We zijn op weg naar iets wat
sommigen met het oog op informatiebeveiliging62 recent ‘CORPORATE
63
INFORMATION RESPONSIBILITY’ hebben genoemd. Bij nader inzien behoren we
deze verantwoordelijkheid uit te breiden tot alle aspecten van de
informatiehuishouding, inclusief bijvoorbeeld archivering en ontsluiting.

14. ‘Bring your own device’ (BYOD) — de omstandigheid dat bestuurders en
werknemers hun eigen notebook, tablet en/of smartphone meenemen naar
het werk en vooral gebruiken voor hun werk — draait beleidsmatig niet om
de hardware, maar om de vraag wat men er mee mag doen.64 Dat vereist
naast aandacht voor de informatietechniek om HUMAN RESOURCE- en
informatiebeleid65 per overheidsorganisatie66, vastgelegd in aanvullende
regels voor bestuurder en personeel, inclusief desgewenst externe
kenniswerkers.

15. Goed beschouwd vormt ‘cloudrecht’ uiteindelijk het belangrijkste juridische
raamwerk voor de omvangrijke en brede verzameling rechtsaspecten van
elektronische verwerking en communicatie van gegevens. Een van de
bijzondere aandachtspunten vormt de internationale jurisdictie van
soevereine staten bij uitbestede gegevensverwerking door Nederlandse
overheidsorganisaties (de US Patriot Act-discussie). Ongewenste gevolgen
van de reikwijdte van buitenlandse wetgeving en buitenlandse
overheidsbemoeienis moeten we in perspectief plaatsen. Dat betekent onder
meer aandacht voor de aard van de te verwerken overheidsinformatie. We
behoren in dit kader te beseffen dat waarschijnlijk meerdere landen over
verregaande formeel-wettelijke onderzoeksbevoegdheden buiten het
grondgebied van hun eigen staat beschikken67, maar ook dat
terrorismebestrijding noodzakelijk is.

61
Hierbij gaat het om Wet en Besluit op het financieel toezicht, Besluit gedragstoezicht financiële ondernemingen en
diverse regelingen van de toezichthouders DNB en AFM.
62
Zie ook V.A. de Pous, Netwerk- en informatiebeveiligingsrecht, Amsterdam, 2010. ‘Nader beschouwd betreft
netwerken informatiebeveiliging bovenal een maatschappelijke verplichting, die een belangrijke, zelfs essentiële
bouwsteen vormt van Maatschappelijk Verantwoord Ondernemen in de 21ste eeuw. Bescherming van de kritieke
maatschappelijke infrastructuren, bescherming van de fundamentele waarden en normen van het individu als burger,
werknemer, consument en patiënt en de bescherming van de continuïteit van de organisatie.’
63
PWC en Iron Mountain. Zie http://blogs.ironmountain.co.uk/tag/corporate-information-responsibility/
64
BYOD lijdt vrijwel onvermijdelijk tot ‘use your own app’ (bijvoorbeeld chat-programma’s en Facebook voor
communicatie) en ‘use your own storage’ (zoals Dropbox, iCloud of Skydrive voor externe gegevensopslag).
65
Zie bijlage B over de verschillen in manieren van werken sinds de opkomst van elektronische computers.
66
Iedere overheidsorganisatie kan binnen grenzen haar waarden vaststellen bepalen. Wat voor organisatie wil zij zijn?
Op welke manier wenst zij met personeel en buitenwereld — burgers, ondernemers, business- en ketenpartners, de
samenleving — om te gaan? Vervolgens komt de vraag aanbod wat werknemer (en externe kenniswerker) in relatie tot
elektronische technologie en plaatsen tijdonafhankelijk werk mogen doen.
67
Bovendien is Nederland partij bij internationale verdragen en op grond hiervan worden internationale
rechtshulpverzoeken gedaan.



Conclusie
De informatiemaatschappij komt na grosso modo zestig jaar commerciële
elektronische verwerking en communicatie van gegevens op stoom. Zonder ICT
staat de samenleving stil; zonder cloud computing komen we niet verder. Ook
een Nederlandse overheidsorganisatie kan niet anders dan ‘cloud-actief’ te
worden. Dat vraagt om beleid, waarbij strategische doelstellingen behoren te
leiden. Van uitzonderlijk groot belang voor de voortgang van onze
informatiemaatschappij is, dat we debatteren op rationele gronden en iedere
clouddienst zorgvuldig op zijn merites beoordelen. Het recht vervult bij cloud
computing een dubbelrol en acteert enerzijds als kaderscheppend voorschrift —
dwingendrechtelijke weten regelgeving — en anderzijds als contractueel
instrument om ICT en informatievoorziening ‘nieuwe stijl’ in goede banen te
leiden.



Bijlage A: ICT-leveringsmodellen

Time-sharing computing Client/server computing Cloud computing
sinds jaren zestig sinds jaren tachtig in de 21ste eeuw

Plaats- en tijdonafhankelijke toegang Plaatsgebonden toegang voor Dynamische plaatsen tijd-
voor eindgebruikers (op afstand via eindgebruikers (op de zaak via LOCAL onafhankelijke toegang voor
telefoonhuurlijn en werkstation); en WIDE AREA NETWORK en PC, meestal eindgebruikers (op afstand via
gedeelde ICT-bronnen tijdens kantooruren); ongedeelde breedband-Internet en web-
ICT-bronnen verbonden hardware), gedeelde ICT-
bronnen

Mainframe staat in off premise Server en netwerk staan op de Servers staan in off premise
datacenter van service provider locatie van gebruikersorganisatie (on datacenter en verschillende
premise) datacenters van diverse service
providers kunnen een tijdelijke,
wisselende virtuele computerfabriek
vormen

Uitbesteding Meestal geen uitbesteding Meestal uitbesteding, maar hoeft niet
(bij grotere organisaties)

Gebruikersorganisatie heeft controle Gebruikersorganisatie heeft controle Gebruikersorganisatie heeft bij
over - en kennis van exacte locatie over - en kennis van exacte locatie uitbesteding geen controle over - en
van - de ICT-bronnen van - de ICT-bronnen kennis van exacte locatie van - de
geleverde ICT-bronnen, tenzij
contractactueel anders bepaald

Service provider host en managed Interne ICT-afdeling host en Hosted and managed services door
managed en via CLOUD SERVICE PROVIDER

Technologiemanagement ligt bij Technologie- en informatie- Technologiemanagement ligt bij
service provider; informatie- management liggen bij CLOUD SERVICE PROVIDER en informatie-
management ligt bij gebruikers- gebruikersorganisatie management ligt bij de CLOUD SERVICE
organisatie PROVIDER en gebruikersorganisatie

Meestal geen virtualisatie, statische Meestal geen virtualisatie, statische Virtualisatie by default, dynamische
gegevensverwerking gegevensverwerking gegevensverwerking

Schaalbaarheid van ICT-bronnen Schaalbaarheid en elasticiteit van Vrijwel automatische en elastische
door tussenkomst mensen ICT-bronnen door tussenkomst schaalbaarheid van ICT-bronnen
mensen

Doorgaans mono software-omgeving Hybride/mixed software-omgeving Hybride/mixed software-omgeving
(van oudsher alleen niet-open source (open source en niet-open source (open source en niet-open source
software) software) is een optie software) by default

Beperkte omvang computerrecht en Opkomst van bijzondere wetgeving Omvangrijk rechtskader voor digitale
vrijwel uitsluitend in de vorm van voor digitale technologie en technologie en informatiemaat-
contracten tussen leverancier en rechtspraak, nieuwe typen van schappij in de vorm van weten
klant contracten regelgeving, beleid, rechtspraak en
uiteenlopende contracten



Bijlage B: Manieren van werken

Traditioneel werken Telewerken Het nieuwe werken

Plaats- en tijdafhankelijke Plaats- en tijdonafhankelijke Organisatiebrede plaatsen
organisatiecultuur organisatiecultuur op basis van tijdonafhankelijke organisatiecultuur
individuele privileges waarin kennisdeling en
klantgerichtheid centraal staan

Vaste, reguliere arbeidstijden (9-5) Combinatie van vaste en flexibele Flexibele arbeidstijden, ruimere
arbeidstijden openingstijden van kantoor,
bedrijfsnetwerk is 24/7 open

Centraal: uitsluitend op kantoor Centraal/decentraal: op kantoor en Volledig decentraal: in and out-of-
thuis (of in telecenter) office (inclusief de derde werkplek)

Toegewezen, vaste werkplek op de Meestal twee toegewezen, vaste Flexibele (unasigned & activity-
zaak (een werkplek per werknemer) werkplekken (op de zaak en based) werkplekken op kantoor;
additionele werkplek thuis of in minder werkplekken dan
telecenter) werknemers (optimalisering
bezettingsgraad/hoteling)

Doorgaans alleen eigen personeel Opkomst van tijdelijke krachten Mix van interne en externe
kenniswerkers

Traditionele werkomgeving en Traditionele werkomgeving en Open, activity-based werk-omgeving
standaard kantoorindeling standaard kantoorindeling en en indeling kantoor, op maat
standaard werkplek thuis of in ontwikkeld voor de organisatie,
telecenter derde werkplekken everywhere

Sturing werknemer op basis van Sturing werknemer op basis van Sturing werknemer op basis van
aanwezigheid aanwezigheid en output resultaat (output) en/of contributie
(outcome) en (vooral) zelfsturing

Werkgever heeft directe supervisie Werkgever heeft indirecte supervisie Werkgever heeft primair een
faciliterende en ondersteunde functie

Werknemer heeft beperkte Werknemer heeft meer Werknemer heeft grote, eigen
verantwoordelijk voor de organisatie verantwoordelijk voor het verantwoordelijkheid voor het
zijn werk organiseren van zijn werk (waar en organiseren van zijn werk op basis
wanneer) van quided autonomy

Strikte scheiding tussen werk en Minder strikte scheiding tussen werk Scheiding tussen werk en privé
privé en privé vervaagt uiteindelijk grotendeels

Standaard ICT-gebruik, op vaste Standaard ICT-gebruik, ook op Interactief, real-time, plaatsen
werkplekken en tijdens reguliere afstand van kantoor, hoofdzakelijk tijdonafhankelijk ICT-gebruik
arbeidstijden tijdens reguliere arbeidstijden (everywhere, everytime)

Mainframe computing en later Client/server computing en Internet Cloud computing en Internet (Web)
client/server computing 1.0 (e-mail, surfing en e-commerce) 2.0 via vast en draadloos breedband
via vaste-lijn inbelverbinding Internet

Beperkte omvang ICT-recht voor Toename ICT-recht voor werkgever Omvangrijk cluster ICT-recht voor
werkgever (en nauwelijks voor en werknemer werkgever en werknemer (ook als
werknemer) burger)



Colofon
Naar ‘cloud-actieve’ overheidsorganisaties is geschreven door Mr. V.A. de Pous, zelfstandig bedrijfsjurist en industrieanalist te
Amsterdam. De auteur houdt zich sinds 1983 bezig met de rechtsaspecten van digitale technologie en de informatie-
maatschappij en geeft sinds 1987 de nieuwsbrief NEWSWARE uit. Eindredactie: J.A. Gerritse.

Selectieve bibliografie

Computerrecht, Amsterdam, 1982 Praktijkvisies op het nieuwe werken (redactie met Drs.
J.M.M. van der Wielen), Baarn, 2010
Het recht van overheidsautomatisering, Stichting het
Expertise Centrum, Den Haag, 1995 Het nieuwe werken in juridisch perspectief, tweede druk,
Amsterdam, 2011
Het recht op stroomlijning basisregistraties; Juridisch
kader authentieke registraties, ICTU, Den Haag, 2002 Praktijkvisies op cloud computing (redactie), Stichting
EuroCloud Nederland, Haarlem, 2011
Open source software en politiek / Open Source
Software and Politics / 策政とアエウトフソスーソンプーオ Recht voor een nationale informatiesamenleving,
/ 策政及件软源开 , Amsterdam, 2004 Amsterdam, 2011 (ook opgenomen in de bundel
Interoperabel Nederland (redactie Peters Waters, Nico
Recht op ICT-interoperabiliteit, GBO.Overheid, Den
Westpalm van Hoorn, Pieter Wisse, Forum
Haag, 2008
Standaardisatie, Den Haag, 2011)
Data Storage Recht; Wat managers en ICT-professionals
Open Source Computing and Public Sector Policy,
behoren te weten, Amsterdam, derde druk, 2009
Amsterdam, 2011 (ook opgenomen in de bundel
In and out-of-office working; Juridische aspecten van Interoperabel Nederland (redactie Peters Waters, Nico
het nieuwe werken voor werkgevers, Amsterdam, 2009 Westpalm van Hoorn, Pieter Wisse, Forum
Standaardisatie, Den Haag, 2011)
Zakendoen met de overheid; Public procurement voor
ICT-leveranciers, Amsterdam, 2010 FAQ Cloud computing juridisch, Amsterdam, 2012

Softwarebusiness loopt op copyright, Amsterdam, 2010 Cloud computing en het nieuwe Amerikaanse
overheidsbeleid (voor Forum en College
Softwarekwaliteit en garantierechten, Amsterdam, 2010
Standaardisatie), Amsterdam, 2012

Julianapark, Anton Constandsestraat 16, Postbus 51005, 1007 EA Amsterdam
Telefoon: 020-665.57.38, Fax: 020-665.58.18, E-mail: depous@planet.nl, Blog: http://depous.blogspot.com/
Fonds: http://technologierecht.blogspot.com/

Leitmotiv History Advancement Information society
Addressing the legal During its first 50 years A more advanced and Computer law today must
aspects of digital computer law referred to a structured approach to provide solid, well-balanced
technology strategically loose collection of diverse computer law in the 21st legal constructions for living,
creates economic value, legal aspects of electronic century focuses on legal working, and doing business
reduces risks and optimizes processing and frameworks for the in a sustainable information
assets. communication of data. demand-driven availability society, fitting to its people
of robust, secure and and national identity.
interoperable digital
products and services.


Naar cloud-actieve overheidsorganisaties

Recomendados

Recomendados

Más contenido relacionado

Similar a Naar cloud-actieve overheidsorganisaties

Similar a Naar cloud-actieve overheidsorganisaties (20)

Naar cloud-actieve overheidsorganisaties