24 juni 2010
Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21ste eeuw, die onder meer nieuwe manieren van werken en zakendoen ontsluit. Daarmee kunnen gebruikersorganisaties in de private en publieke sector aantrekkelijke voordelen behalen, maar niet zonder aandacht voor het brede en uiteenlopende rechtskader. Het recht behoort de toepassingen van IT in redelijkheid te faciliteren en te borgen. Nieuwe wetgeving is echter op dit moment ongewenst, omdat we cloud-computingdiensten eerst verder moeten laten evolueren. Dat blijkt uit de zojuist verschenen trendanalyse Cloud computing in juridisch perspectief van bedrijfsjurist en industrieanalist Mr. Victor de Pous. Cloud computing betekent elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten. De levering van deze IT-diensten geschiedt door middel van zelfbediening. De gegevenswerking vindt bovendien gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma’s en de te verwerken informatie losgekoppeld zijn van de fysieke hardware en infrastructuur. Daarmee kunnen gebruikersorganisaties aantrekkelijke voordelen behalen. Zo verhoogt het uitbesteden van technologie — en het terug ontvangen als een managed service tegen een bepaald dienstenniveau — in de regel de kwaliteit en biedt dit de klant meer ruimte voor kerntaken. Bovendien wordt er voor het gebruik betaald en verdwijnen de investeringskosten.
‘Een en ander maakt cloud computing ten principale een nieuwe leveringswijze van ICT’, zegt De Pous. Elektronische netwerken koppelen geografisch verspreide datacenters en samen vormen zij in wisselende samenstelling één virtuele computerfabriek. Dat model maakt technologie- en informatiemanagement echter ook complex. Waar en wanneer wordt welke bedrijfsinformatie met welke software verwerkt? Welke partijen vervullen bij het verwerkingsproces een rol? Op welke locaties vindt, al dan niet tijdelijk, gegevensopslag plaats? In welke formats? Wie is waarvoor verantwoordelijk en aansprakelijk? Transparantie, waarborgen en zekerheden zijn dus onvermijdelijk. Het rechtskader van cloud computing bestaat uit zowel wetgeving als contracten, waarop vooral privacywetgeving haar stempel drukt. Dit communautaire recht schrijft ten behoeve van het gehele verwerkingstraject allerlei organisatorische en technische beveiligingsmaatregelen voor. Bovendien mogen persoonsgegevens zonder toestemming van het ministerie van Justitie niet buiten de Europese Economische Ruimte (EER) worden verwerkt. Toch zal bij cloud computing nog vaker sprake zijn van grensoverschrijdende gegevensverwerking. Daarmee krijgen de rechtsverhoudingen internationale dimensies en raken zij verschillende jurisdicties, zowel privaatrechtelijk als bijvoorbeeld strafrechtelijk. Welk recht is op de rechtsverhouding van toepassing en welke rechter is in geval van welk type conflict bevoegd hierover te oordelen ? ‘Zoals de brede en laagdrempelige beschikbaarheid van Internet de laatste 15 jaar ondernemerschap in veel sectoren op zijn kop zette, zo zal cloud computing eveneens ingrijpende gevolgen hebben voor traditionele bedrijfsmodellen, gewoonten en gebruiken voor ICT’, aldus De Pous. ‘Cloud computing is een ‘disruptive technology’ bij uitstek.’ Voor de jonge sector geldt waarschijnlijk het onvermijdelijke ‘get big, get niche, or get out’. Veel nieuwe spelers zullen de komende tijd de markt voor cloud-computingdiensten gaan betreden en zich mogelijk snel weer terugtrekken. Dat vormt voor gebruikersorganisaties een verhoogd risico en legt nog meer de nadruk op adequate continuïteitsmaatregelen. ‘Sommige leveranciers in dit domein, waaronder Microsoft, pleiten onverkort voor nieuwe wetgeving voor cloud computing. Dat lijkt me prematuur’, vindt De Pous. ‘Hoewel de politiek al jaren speciale wetgeving als ‘enabling factor’ inzet voor het ontstaan en de verdere ontwikkeling van de informatiemaatschappij, is het ronduit verstandig cloud computing eerst verder te laten evolueren, alvorens op dit moment met nieuwe wetgeving te komen’.