Europa moet haar digitale wetgeving moderniseren en harmoniseren, want alleen dan kan cloud computing echt van de grond komen. Dat zei Microsoft's topjurist Brad Smith dinsdag tijdens een bijeenkomst voor overheidsambtenaren in Brussel. 'De wereld heeft een veilige en open cloud nodig. Overheden kunnen een sleutelrol spelen om die realiteit te bereiken', zei Smith.
Volgens de topjurist van Microsoft zijn er vier uitdagingen die overheden moeten addresseren.
Smith riep de overheidsambtenaren op met wetgeving te komen die consumenten van cloud providers beschermt. 'Waarom Microsoft Brussel om regelgeving vraagt? De reden daarvoor is pragmatisch. Voldoen aan één EU-richtlijn is veel gemakkelijker dan 27 verschillende wetten gehoorzamen.'
Wetgeving moet geharmoniseerd
Daarnaast is volgens Microsofts topjurist van belang om de Europese digitale wetgeving te moderniseren en harmoniseren. Smith: 'De data protection directive is na vijftien jaar verouderd. Die Europese richtlijn is niet geschreven voor een wereld waarin data continu van plaats verandert. Voor de data retention directive geldt hetzelfde. Die houdt geen rekening met een situatie waarin een Italiaanse gebruiker data opslaat in een Iers datacentrum dat wordt beheerd vanuit Amerika. Het is voor een bedrijf niet mogelijk met de wetgeving uit al die landen tegelijk rekening te houden. Die situatie kan de overgang naar breed gebruik van de cloud vertragen.'
Volgens Smith zijn er verschillende mogelijkheden om dit soort 'Catch-22-achtige situaties' te voorkomen: ofwel EU-leden kunnen besluiten een even lange bewaarperiode overeen te komen, of bijvoorbeeld afspreken dat de wetgeving geldt van het land waarin de server staat.
Wetshandhavers missen kennis
Smith hield daarnaast een pleidooi voor betere samenwerking tussen overheidsorganisaties die zich bezighouden met wetshandhaving op het internet, onder meer om aanvallers op datacenters beter te kunnen opsporen. Die organisaties moeten volgens de jurist bovendien investeren in nieuwe technologie. 'Data kent geen grenzen. Het is daardoor niet eenvoudig om de identiteit van aanvallers te achterhalen.'
Tot slot vraagt Smith Europa om witte plekken in het frequentiespectrum te identificeren, omdat de cloud voldoende en betrouwbare breedbandverbindingen nodig heeft, waaronder draadloze.
“Die houdt geen rekening met een situatie waarin een Italiaanse gebruiker data opslaat in een Iers datacentrum dat wordt beheerd vanuit Amerika.”
De gemiddelde tiener met een n-tal social network profielen zal wakker van liggen van meer primaire angsten en verlangens, dan waar zijn pagina met contacten wordt bewaard; Maar een serieuze gebruiker (bedrijf, overheid) wil ontzettend graag weten waar, bij wie ter wereld zijn data en communicatie worden beheerd en voor wie die beschikbaar is. Die laat zich niet afschepen met kletsverhalen over de Cloud.
Onderdeel van wetgeving zal dan ook moeten zijn dat de klant wordt voorgelicht over de kwaliteit (rating, ranking) van de (veiligheids)garanties (audits) die hij krijgt en vooral over de plaatsen, waar zijn data wel en niet bewaard en beheerd worden.
Het laat zich gemakkelijk raden dat de klanten het niet fijn vinden als kostbare en gevoelige data, waarvoor ze verantwoordelijk blijven, voor een paar miezerige centen winst eventjes verhuist naar landen waar aansprakelijkheid, veiligheid, privacy en mensenrechten laag op de agenda staan. Al helemaal niet, als die klant betaalt voor een dienst op Europees / USA niveau. ’t zou toch vervelend zijn als als na een aardbeving, tsunami of volksopstand hier of daar die data onverwachts toch van de aardbodem verdwenen blijkt, of ergens in een achterbuurt ver weg opduikt in handen van ongure types.
Serieuze Datacenters en Hosting bedrijven kunnen zich dan des te beter onderscheiden. Wetgeving is dus prima, zolang die eerlijke informatievoorziening aan klanten afdwingt: Rating (checklist), Ranking (top 100), Auditing (beproeving en controle).
‘Waarom Microsoft Brussel om regelgeving vraagt? De reden daarvoor is pragmatisch. ==> O ja?
Laten we nu eens eerlijk met elkaar praten. Alles wat MS doet heeft er wat mij betreft een luchtje van de eigen unieke positie te willen beschermen en uit te buiten.
Dat is hier ook zo. Men heeft zelf een Cloud product en wil graag dat mensen daar gebruik van gaan maken. Door de (wild)groei van aanbieders valt er voor MS dadelijk niets meer aan te verdienen. Dit terwijl het 1 van de strategische peilers is om de dalende licentie inkomsten voor Office te compenseren.
Ik begrijp niet dat men hier bij Computabel dit zo maar kritiekloos overneemt. Dit is geen nieuws maar op zijn minst propaganda voor MS.
Ik ken helemaal niemand die durft te bouwen op een wolk. Of een wolkenveld. U wel? We weten over wolken nog zo heel veel niet. Wat we wel weten is dat ze zich verplaatsen – soms zelfs voorbij razen. En dat ze bij tijd en wijle lekken (dat noemen we regen). Op basis van welke ‘open’ op elkaar inwerkende mechanismen dat precies plaatsvindt…? Tja, zolang weermensen zich daar nog dagelijks hun geleerde hoofden over breken… gaat zo’n “cloud” – volgens heel natuurlijke principes – domweg nooit vliegen.
Zou de Nederlandse overheid ‘haar’ data laten opslaan in India en het beheer erover willen laten uitvoeren door Amerikanen? Welnee. Zelfs wie behoorlijk blind is, ziet dat je zoiets niet doet. Ondenkbaar. ‘Gelukkig’ gaat er nog van alles mis – met de OV-chip kaart bijvoorbeeld. Wie doen (meervoud) er wanneer en met welk doel eigenlijk wat met wie jouw reisgegevens? En dan zitten ze nog niet eens in een “cloud”! Men spreekt zelfs over “de cloud”. Brrr.
Ondertussen moet er natuurlijk wel degelijk een hoop gebeuren. Het goede nieuws is dat er al veel is gebeurd. Dat is na te lezen op dotindividual.com. In een notedop heet het: “persoonsinformatie is persoonlijk eigendom” (iDNA manifest). Vanuit dat nieuwe en trefzeker harmoniserende basisprincipe kun je robuust en duurzaam gaan opbouwen. Lees meer over het werk dat al is gedaan op http://www.dotindividual.com/iDNAManifest.html.
Europeese regulatie heeft al helemaal geen zin bij dit soort oplossingen buiten de territoriale wateren:
http://tweakers.net/nieuws/55552/google-werkt-aan-datacentra-in-zee.html
Brad Smith geeft 4 elementen aan die Europa moet regelen met betrekking tot Cloud Computing:
1. Wetgeving die dient ter bescherming van de burger
2. De harmonisatie van landelijke wetgeving ten opzichte van elkaar.
3. Samenwerking tussen overheden voor de wetshandhaving op het Internet
4. Het invullen van de witte plekken in het frequentiespectrum om mobiele toegang tot informatie (in de cloud) te verbeteren.
Over elk van deze 4 onderwerpen kun je meerdere boeken volschrijven. De kernvraag is of Brad dit terecht aan de orde stelt en of er nog andere belangrijke juridische aspecten geregeld moeten worden.
Over punt 4 kunnen we in dit kader kort zijn – dit lijkt mij meer een telecom/markt kwestie dan een legal discussiepunt op dit moment.
De eerste 3 punten zijn zeer valide en worden momenteel binnen mijn bedrijf en vele anderen besproken. Opleiding van betrokken ambtenaren, para-legal personeel en juristen is zeer noodzakelijk.
Atos Origin heeft in haar onderhandelingen met verschillende (cloud-)leveranciers steeds weer opnieuw de ervaring dat de IT-ers goed weten waar het om gaat, maar dat de juridische aspecten zeer lastig te vangen zijn binnen bestaande opvattingen en jurisprudentie.
Er is veel technisch onderzoek naar Cloud Computing en de wijze waarop informatie en applicaties in de cloud zich gedragen. Over de implicaties van vertrouwelijkheid, eigenaarschap en aansprakelijkheid is nog heel weinig gedefinieerd.
Het is jammer dat Brad een belangrijk aspect niet scherper heeft benoemd – identiteit en privacy zijn kernbegrippen die in normale IT al lastig en complex implementeerbaar zijn, laat staan dat we de cloud betrekken in deze discussie. Op dit vlak bestaan vele meningen en commerciele initiatieven – het zou goed zijn als Europa hier een uniform wettelijk kader en duidelijkheid naar haar burgers zou creëren.
Paul Albada Jelgersma
Atos Origin
“Data kent geen grenzen”…
Moet je nou echt per se gymnasium hebben gehad om te weten dat “data” (= gegevens) het latijnse meervoud van “datum” (= gegeven) is ???
…een typerend symptoom van een ICT-wereld die uitblinkt in het construeren van een eigen werkelijkheid die afwijkt van de feitelijkheid…
@allen
Mooi gesproken. We zijn goed bezig. De wolk wordt al mooi roze.