ANALYSE: Datacenter in lastig juridisch vaarwater

Wie heilig in datacenters nieuwe stijl gelooft, is Sun Microsystems. Volgens CEO Jonathan Schwartz verandert informatietechnologie anno 2009 in een geheel van allerlei diensten die op basis van cloud computing worden geleverd. Infrastructuur, platforms en applicaties als een dienst, zowel publiek als privaat. Langs deze weg ontstaat er een heus ‘network of clouds’, zo stelde hij onlangs op een conferentie in San Francisco. Een interessante gedachte, maar ga dat maar eens juridisch regelen. Koppelingen tussen datacenters all over the planet en het gebruik van virtualisatietechnieken voor software, gegevensverwerking en -opslag maken governance en legal compliance tot een crime. Schwartz, tegenwoordig nogal opmerkelijk in trendy pak en das getooid, verwezenlijkt de nachtmerrie van iedere bestuurder. ‘Ik weet niet waar het datacenter is.’ Waar draaien dan de computerprogramma´s? Waar en wanneer wordt welke bedrijfsinformatie verwerkt? Op welke locaties vindt, al dan niet tijdelijk, dataopslag plaats?Het voldoen aan de licentievoorwaarden van computerprogramma´s in het state-of-the-artdatacenter baart Schwartz geen zorgen. In zijn visie draait de elektronische productiefabriek volledig op open-sourcesoftware, nader bepaald de open source stack van Sun Microsystems, met OpenSolaris, de database MySQL, JBoss-middleware en andere producten. Maar daarmee gaat hij voorbij aan de praktijk. Zelfs zijn collega bestuursvoorzitter Ron Hovespian van Novell – een ICT-onderneming die eveneens ziel en zaligheid aan de duurzaamheid van het open-sourcebedrijfsmodel heeft opgehangen - ziet de toekomst toch wat pragmatischer. Windows en Linux zullen naast elkaar blijven bestaan en ook c.q. juist binnen een datacenter. Vandaar dat interoperabiliteit zo belangrijk is, aldus Hovespian. Een terechte constatering.Maar dat betekent tevens dat de licentievoorwaarden van niet-open-sourcesoftware een blijvende rol spelen bij virtualisatie, software-als-dienst en bijvoorbeeld de multicorechips in de jongste servers. Hebben alle softwareleveranciers inmiddels hun licentieprogramma´s met het oog op de nieuwe businessmodellen en informatietechnieken op orde? Waarschijnlijk niet. Bovendien mogen we legal compliance – het voldoen aan wet en regelgeving – in relatie tot de in datacenters verwerkte en opslagen bedrijfsinformatie niet vergeten. Datacenters zijn juridisch beschouwd bewerkers in de zin van de Wet bescherming persoonsgegevens, wanneer ze in opdracht van anderen persoonsgegevens verwerken. Vertrouwelijkheid en beveiliging zijn dus key.In dit kader is de Data Breach Notification Law interessant. Zo moeten bedrijven die persoonsgegevens van de inwoners van de staat Californië verwerken hen sinds 1 juli 2003 in geval van diefstal van niet-versleutelde informatie hierover informeren. Zover zijn we op grond van het communautaire recht nog niet. Maar als je niet weet waar je gegevens zijn, hoe weet je dan of ze ‘gestolen’ zijn? In geval van het virtuele datacenter lopen we ook nog tegen de juridische regel aan dat in Nederland en andere lidstaten persoonsgegevens in beginsel niet buiten de Europese Unie mogen worden verwerkt.Last but not least hebben we te maken met milieu en datacenters. De belangrijkste afspraak die het ministerie van Economische Zaken en ICT~Office vorig jaar hebben gemaakt, is het streven van de sector om het energieverbruik met 30 procent te verminderen over de periode 2005-2020. De overheid geeft zelf het goede voorbeeld. Zo is de dataopslag van EZ inmiddels ondergebracht in groene, energiezuinige CyberCenters van KPN. Ook dat vormt onderdeel van legal compliancy.