Category Archives: Compliance

GPL ook in de VS rechtsgeldig

6 augustus 2010

De open source gemeenschap heeft een belangrijke overwinning behaald. Een rechtbank in de VS heeft de GPL-licentie rechtsgeldig verklaard. De rechtszaak is aangespannen door de Software Freedom Conservancy tegen elektronicabedrijf Westinghouse Digital Electronics. Die heeft apparaten gedistribueerd met daarin de open source utility BusyBox. Daarbij werd niet aan de voorwaarden van de GPLv2 voldaan, zoals het meeleveren van de broncode wat die open source-licentie vereist. In feite is deze overwinning de open source software gemeenschap in de schoot geworpen. Westinghouse is namelijk in een failissementsprocedure verwikkeld, en heeft daarom niet gereageerd op het verzoek om mee te werken aan het vooronderzoek. Daarin kunnen de verschillende partijen in een juridisch conflict elkaar dwingen om bewijsmateriaal te overleggen. Door het achterwege blijven van argumenten van Westinghouse heeft de rechtbank nu de Software Freedom Conservancy in het gelijk gesteld. Het schuldig bevonden bedrijf is een schadevergoeding opgelegd van 90.000 dollar. Bovendien moet de distributie van de apparaten met BusyBox worden gestaakt.

Continue reading →

Officier van Justitie op stoel van rechter

30 juli 2010

Minister Hirsch Ballin van Justitie wil dat het Openbaar Ministerie strafbare content zonder tussenkomst van de rechter van internet laat verwijderen, onder andere door desnoods dwangsommen aan hostingpartijen op te leggen. Dat staat in een wetsvoorstel dat deze week is gepubliceerd. Officieren van justitie kunnen dit nu niet. Wel bestaat er sinds oktober 2008 een NTD-code (Gedragscode Notice-and-Takedown). In die code is vastgelegd welke verantwoordelijkheden bij welke partijen liggen bij online, strafbare content. Wie misbruik constateert of vermoedt, moet volgens de code eerst direct met de aanbieder in contact treden. Pas als deze niet traceerbaar is of geen antwoord geeft, krijgt de provider een 'takedown notice', een verzoek om de content te verwijderen. De hoster moet dit verzoek beoordelen. Wanneer deze de publicatie onrechtmatig of strafbaar acht, zal de hoster de content verwijderen. Mocht er sprake zijn van dwang, dan moet de rechter-commissaris zo’n 'takedown'-bevel eerst goedkeuren. Maar in het voorstel kan het OM die dwang zelf toepassen. En dat voornemen stuit op felle kritiek vanuit de hosting branche. Arnout Veenman, voorzitter van branchevereniging ISP Connect, vindt het 'alarmerend'. 'Dit is ernstig. Hiermee gaat de officier van Justitie op de stoel van de rechter zitten. En dit gaat ook als een molensteen om de nek van de hosting providers hangen'. Volgens Veenman is het wetsvoorstel bedoeld voor een 'paar rotte appels’. Dubieuze hosters, die bij 'notice en takedown'-verzoeken niet thuis geven. Veenman vindt het wel een goede zaak om malafide hosters aan te pakken.

Continue reading →

Vingerafdrukken Europees gedeeld

22 juli 2010

Vanaf eind 2011 worden vingerafdrukken, DNA-profielen en kentekeninformatie gedeeld met alle EU-lidstaten. Deze informatie is door criminaliteitsbestrijders dan automatisch opvraagbaar uit de verschillende databanken van de EU-landen. Mocht een buitenlandse instantie een crimineel in de kraag vatten, dan kunnen zijn DNA-profiel of vingerafdrukken, geautomatiseerd vergeleken worden met data uit verschillende landen. Is er een match tussen twee databases, dan kan verdere persoonsinformatie worden opgevraagd. Deze uitwisseling is vervat in Europese regelgheving, die in 2011 voor alle Europese lidstaten gaat gelden. De regeling is gebaseerd op het relatief onbekende verdrag van Prüm, dat integraal onderdeel is van het verdrag van Schengen. Schengen is in het leven geroepen om vrij verkeer van personen tussen aangesloten landen te bewerkstelligen. In 2008 is het verdrag van Prüm zonder stemming goedgekeurd door de Eerste Kamer. Sindsdien wisselt Nederland automatisch persoonlijke informatie uit met verschillende Europese landen. Er zijn op dit moment 10 Europese landen die onderling DNA-informatie uitwisselen, vijf landen wisselen vingerafdrukken uit en zeven landen doen hetzelfde met kentekeninformatie en chassisnummers. Nederland is een van de voorlopers op dit gebied.

Continue reading →

Brein verliest en wil individuele downloaders aanpakken

20 juli 2010

De rechtbank in Den Haag oordeelt dat de door Brein gestelde schending van auteursrechten niet per sé van toepassing is op alle Ziggo-klanten en dus is een algehele blokkade niet aan de orde. 'Een dergelijke, verstrekkende vordering is op grond naar voorlopig oordeel eenvoudigweg niet toewijsbaar', aldus de rechtbank in het vonnis. Dat 'voorlopige' aan dit oordeel komt voort uit het feit dat dit een kort geding betreft, door Brein aangespannen om met spoed Ziggo een blokkade opgelegd te krijgen. Wat dus is mislukt. Daarnaast loopt nog een bodemprocedure, waarvan de uitkomst niet gelijk hoeft te zijn aan nu die van het kort geding. Brein loopt nu wel een tegenslag op na een reeks juridische overwinningen. De stichting is op oorlogspad gegaan. Het wendt zich tot internetproviders om een blokkering effectief te krijgen. Kabelbedrijf Ziggo was als eerste – en totnogtoe enige – aan de beurt, maar weigerde medewerking. Daarna heeft XS4all zich bij Ziggo gevoegd in dit kort geding. Het steunt daarmee de kabelconcurrent tegen Brein. XS4all stelt dat de eis van Brein neerkomt op internetcensuur, 'die niet past in een democratische rechtsstaat' zoals Nederland. Bovendien is Brein volgens Xs4all aan het verkeerde adres aangezien de servers van The Pirate Bay niet bij Ziggo draaien.

Continue reading →

SCO-‘bewijs’ gepubliceerd

12 juli 2010

SCO-advocaat Kevin McBride (ook de broer van SCO-CEO Darl McBride) heeft delen van het bewijs van SCO tegen Linux online gezet. Dat deed hij vlak nadat SCO opnieuw in beroep ging. McBride zette de 'PDF's online op verzoek van een commentator op de website van zijn advocatenpraktijk annex blog. In totaal haalt McBride 46 voorbeelden aan van code die vanuit het door SCO gelicenceerde Unix zou zijn opgenomen in de Linux-broncode. Zoals verwacht gaan de vergelijkingen van de code vooral in op specifieke onderdelen. Componenten als LibElf (een implementatie van SVR4, een belangrijke Unix-OS uit 1988) en de STREAMS worden aangehaald als bewijs voor copy-paste van Unix naar Linux. Het is het eerste bewijs dat ook daadwerkelijk openbaar is gemaakt. Volgens McBride ligt nog veel meer aan bewijs voor de rechter, maar dat kan volgens hem niet worden geopenbaard vanwege rechterlijke bescherming. In de reacties op het stuk wordt het bewijs dat McBride heeft gepubliceerd sterk bekritiseerd. LibElf is beschikbaar onder de BSD-licentie en is dus gewoon een vrij component, terwijl STREAMS helemaal niet is geïmplementeerd in de Linuxkernel. Daarvoor, zo schrijft Slashdot-commenter Tom Hudson, is een add-on nodig (LiS), die op zichzelf niet eens STREAMS implementeert en alleen de protocollen vertaalt.

Continue reading →

Administratiekosten hinderen het IT-MKB

28 juni 2010

AME Research, specialist in financieel onderzoek naar ICT ondernemingen en marktsegmenten, heeft een nieuw rapport gepubliceerd over de noodzaak om administratiekosten van zelfstandige ondernemers en kleine bedrijven in de IT sterk te verlagen. Dat kan wanneer het nieuwe kabinet er serieus mee aan de slag gaat. Omstreeks 700.000 zelfstandigen en kleine ondernemingen geven intern en extern teveel geld uit aan administratiekosten. Het gaat om circa €10.000 per jaar waarvan circa €4000 extern wordt besteed aan software, infrastructuur, beheer, externe accountants en administrateurs. Deze administratiekosten nemen ondanks verdere automatisering niet af. Zij nemen toe door toenemende regelgeving en door meer uitbesteding van administratieve taken wanneer de kleine ondernemer een beter inzicht wil opbouwen in zijn financiële processen en daaruit management informatie wil halen.

Continue reading →

De cloud is interessant, maar wel complex. Juridisch dan.

24 juni 2010

Cloud computing wordt vrijwel zeker de belangrijkste motor van de informatiesamenleving in de 21ste eeuw, die onder meer nieuwe manieren van werken en zakendoen ontsluit. Daarmee kunnen gebruikersorganisaties in de private en publieke sector aantrekkelijke voordelen behalen, maar niet zonder aandacht voor het brede en uiteenlopende rechtskader. Het recht behoort de toepassingen van IT in redelijkheid te faciliteren en te borgen. Nieuwe wetgeving is echter op dit moment ongewenst, omdat we cloud-computingdiensten eerst verder moeten laten evolueren. Dat blijkt uit de zojuist verschenen trendanalyse Cloud computing in juridisch perspectief van bedrijfsjurist en industrieanalist Mr. Victor de Pous. Cloud computing betekent elastische schaalbaarheid van de verwerkings-, netwerk- en opslagcapaciteiten. De levering van deze IT-diensten geschiedt door middel van zelfbediening. De gegevenswerking vindt bovendien gevirtualiseerd plaats, dat wil zeggen dat de computerprogramma’s en de te verwerken informatie losgekoppeld zijn van de fysieke hardware en infrastructuur. Daarmee kunnen gebruikersorganisaties aantrekkelijke voordelen behalen. Zo verhoogt het uitbesteden van technologie — en het terug ontvangen als een managed service tegen een bepaald dienstenniveau — in de regel de kwaliteit en biedt dit de klant meer ruimte voor kerntaken. Bovendien wordt er voor het gebruik betaald en verdwijnen de investeringskosten.

Continue reading →

Gegevens in het buitenland plaatsen is niet zomaar in orde

21 juni 2010

Het is steeds gewoner om je applicatie-infrastructuur onder te brengen bij een ander. Bijvoorbeeld in de cloud. Maar je data staat dan elders, en dat brengt juridische vragen met zich mee. Clouds suggereren onafhankelijkheid van plaats, maar dat is zeker niet het geval. Forrester concludeerde dat in het rapport 'Infrastructure-As-A-Service (IaaS). Clouds Are Local And So Are Their Implications'. Gebruik van de cloud betekent niet dat de geografische locatie van gegevens niet meer uitmaakt. Meer dan ooit is de locatie van levensbelang. Iedere keer moeten bedrijven zich afvragen of ze de gegevens wel over mogen dragen aan een leverancier, die elders is gevestigd. Bovendien verschilt dat van land tot land. Mag je persoonsgegevens van klanten van de Nederlandse wetgever wel naar een database buiten de EU verplaatsen ? 'Ja, dat mag', zegt Leo van der Wees, onderzoeker aan de faculteit Rechtswetenschappen van de Universiteit van Tilburg. 'Het raamwerk van de Nederlandse wet, de Wet Bescherming Persoonsgegevens, wordt gevormd door de Europese privacyrichtlijn'. In die richtlijn staat aan welke regels Europese (en dus ook Nederlandse) persoonsgegevens zijn gebonden. 'Je moet daarbij de bedrijfsbenadering en consumentenbenadering van elkaar scheiden. Bedrijven hebben het relatief makkelijk, omdat ze vaak al met een leverancier en met advocaten erbij alles goed hebben geregeld. Individuen hebben die zekerheid niet'.

Continue reading →

Het recht om vergeten te worden

17 juni 2010

De problemen die ontstaan door het hacken en lekken van databases kunnen opgelost worden door data geleidelijk te wissen. Deze ‘vervaging’ van informatie is technisch niet eens zo moeilijk. Dat stelt ingenieur Harold van Heerde, die is gepromoveerd op zijn proefschrift ‘Privacy: tijdig vervagen van gevoelige gegevens‘. Het is te vergelijken met voetafdrukken op een strand; na verloop van tijd zijn minder details terug te vinden. Voor gebruikersgegevens betekent dat dat eerst de meest specifieke data wordt gewist. ‘Eerst je adres, dan alleen je straat, de wijk, de stad en dan het land’, legt Van Heerde uit. Zo’n vervaging van gegevens kan identiteitsfraude tegengaan en reputatieschade beperken. Het belang van de gebruiker dient dan wel de overhand te krijgen bij het bewaren van gegevens. ‘Ik ga er daarbij vanuit dat oude data sowieso minder waard is dan nieuwe data. Bedrijven moeten alleen nog minder bang zijn om oude gegevens te wissen’. Veel data wordt bewaard met de gedachte dat het nog bruikbaar kan zijn, en dus wel waarde heeft. Van Heerde stelt dat bedrijven en organisaties een balans moeten zien te vinden tussen het waardeverlies van te wissen data versus de impact van dataverlies op de gebruiker. ‘Daar probeer ik met mijn proefschrift een aanzet toe te geven’.

Continue reading →

Het SCO-verhaal is eindelijk uit

11 juni 2010

Een rechter in de Verenigde Staten geeft SCO geen nieuwe kans om te bewijzen dat het bedrijf, en niet Novell, eigenaar is van Unix. Daarmee lijkt de zaak tegen IBM ook van de baan. In het voorjaar verloor SCO al de zaak tegen Novell, nadat een jury de claims van SCO afwees. Eerder had een rechter dat ook al gedaan. In een wanhoopspoging probeert het bedrijf de zaak alsnog te winnen, want zonder het bezit van de rechten op Unix is de zaak uit 2003 tegen IBM kansloos. SCO vroeg rechter Ted Stewart dus om de zaak tegen Novell over te mogen doen. De jury heeft volgens SCO namelijk de verkeerde beslissing genomen. Stewart gaat hier niet in mee. 'SCO argues that it is entitled to judgment as a matter of law because the 'verdict cannot be squared with the overwhelming evidence and the law.' The Court respectfully disagrees', zo schrijft Stewart in het vonnis. 'The jury found Novell's version of facts to be more persuasive. This conclusion is well supported by the evidence. There was substantial evidence that Novell made an intentional decision to retain ownership of the copyrights'. Bij de overdracht van Unix-bezittingen aan SCO zijn dus cruciale zaken niet meeverkocht, oordeelt hij.

Continue reading →

Bewaarplicht ook voor zoekmachines ?

7 juni 2010

Het Europees parlement staat op het punt een schriftelijke verklaring aan te nemen waarmee de bewaarplicht voor telecomgegevens wordt uitgebreid tot zoekmachines. Dat is verassend, nu de huidige bewaarplicht juist onder druk staat en mogelijk opgeheven gaat worden. Wat is hier eigenlijk aan de hand en wat kunnen we eraan doen ? We zijn hier gekomen door ofwel doelbewuste emotionele chantage en misleiding, ofwel simpele onnadenkendheid, maar waarschijnlijk door een combinatie van beide. Op http://www.smile29.eu/ wordt een zielig kijkend meisje getoond. In een heftige rode balk staat in grote verontrustende letters 'STOP SEXUAL HARASSMENT. STOP PAEDOPHILIA. STOP CHILD PORNOGRAPHY'. Natuurlijk zijn wij tegen kinderporno, dus klikken we door op onze taal, waarna de Nederlandse versie van 'schriftelijke verklaring 29' op het scherm verschijnt. Hier staat wat zo'n verklaring is. Hoofddoel van deze schriftelijke verklaring is om 'een Europees alarmsysteem (EAS) tegen pedofielen' op de agenda te zetten, zo blijkt uit het voorblad. Maar wie schetst onze verbazing als we verder lezen ? Op de tweede pagina onder nummer 2 wordt de Raad en de Commissie opgeroepen 'de toepassingssfeer van Richtlijn 2006/24/EG uit te breiden tot zoekmachines, zodat snel en doeltreffend kan worden opgetreden tegen kinderporno en seksueel geweld online'.

Continue reading →

Auteursrecht voorlopig niet te veranderen

28 mei 2010

In De Balie in Amsterdam kruisten politici, belangenorganisaties, wetenschappers en ervaringsdeskundigen de degens tijdens het Grote Downloaddebat. Auteursrechten zijn nog nog nooit zo'n belangrijk verkiezingsthema geweest. Een ding is duidelijk: het huidige systeem voldoet niet en moet op de schop. Maar het is onwaarschijnlijk dat op korte termijn veel zal veranderen. Bernt Hugenholtz, hoogleraar Informatierecht, gespecialiseerd in intellectueel eigendom, maakte duidelijk dat het er niet in zit. 'We zitten bijvoorbeeld vast aan internationale verdragen'. Hugenholtz wijst op de Berner Conventie uit 1886, waar we sinds 1912 aan gebonden zijn. Die waarborgt het reproductierecht en regelt een minimum termijn dat rechten blijven bestaan van vijftig jaar na de dood van de maker. 'We zitten vast aan het TRIPS verdrag van veel recentere datum van 1994, dat onderdeel uitmaakt van het Wereld Handelsverdrag'. Hierin omhelst ons land de Berner Conventie opnieuw en opzeggen zou ons op enorme sancties komen te staan. Het WIPO-verdrag uit 1996 regelt het auteursrecht op internet en daarnaast binden zeven Europese Richtlijnen de handelingsvrijheid behoorlijk. 'Wat kan dus niet? Het auteursrecht afschaffen', stelt Hugenholtz. Ook het legaliseren van downloaden en uploaden kan niet zomaar. Zoiets is alleen mogelijk als alle rechthebbenden toestemming geven.

Continue reading →

Waarom een vingerdrukkendatabase moet worden verboden

7 mei 2010

Na een grondige voorbereiding is deze week de dagvaarding van Stichting Privacy First gepresenteerd. Een aantal burgers is al aangehaakt. Ze hebben reden tot klagen. De wetgeving om een centrale database te maken, is in de Tweede Kamer 'niet voldragen' genoemd. Er zijn geen harde regels rond de beveiliging en dat is onacceptabel voor een al werkend systeem dat dergelijke privacy-gegevens bevat. De gemeenten zelf hebben al databases in gebruik, waar de informatie is opgeslagen. Het is onduidelijk of die gegevens straks gebruikt worden, vernietigd worden of als schaduwbestand blijven bestaan. Er wordt nog gewerkt aan het centrale systeem, waarin straks alles moet worden opgenomen. In maart 2007 was het College Bescherming Persoonsgegevens (CBP) in een advies vernietigend over de centrale opslag van vingerafdrukken van alle burgers. Al ziet het CBP niets in het bewaren van vingerafdrukken, het adviseert desondanks om in dat geval te werken met decentrale opslag. Dat betekent dat gemeenten die informatie bewaren en dat vanuit een centraal systeem naar die informatie wordt verwezen. Zo'n verwijsindex is volgens de rijksoverheid te ingewikkeld, zo wordt in de toelichting op de Paspoortwet opgemerkt. Vreemd, want het ministerie van VWS kan zo'n index blijkbaar wel bouwen voor het (al net zo omstreden) EPD.

Continue reading →

Leges voor WOB-verzoeken niet geoorloofd

4 mei 2010

Burgers en journalisten die de overheid vragen niet geopenbaarde documenten vrij te geven, kunnen daarvoor niet langer een rekening krijgen. Dat heeft de rechtbank in Den Haag geoordeeld in een zaak tegen de gemeente Kaag en Braassem. Journalist Brenno de Winter had de zaak aangespannen, omdat Kaag en Braassem hem leges wilde laten betalen voor het nemen van een beslissing op een WOB-verzoek. De uitspraak kan zowel journalisten als andere burgers, die informatie opvragen bij een gemeente, geld besparen. Een gemeente kan leges heffen voor diensten, waarbij een persoon of bedrijf zelf iets nodig heeft. Zoiets kan een bouwvergunning of een gewaarmerkt uittreksel uit het bevolkingsregister zijn. Wie de Wet openbaarheid van bestuur (Wob) inzet, maakt informatie voor iedereen toegankelijk en dat is in het algemeen belang, zo meent de Haagse rechter. Wie een Wob-verzoek indient, vraagt niet om een persoonlijke dienst, maar oefent een recht uit. Het resultaat is iets voor iedereen en daarom gaat het niet om een dienst. Geld rekenen voor iets anders dan kopieerkosten of het maken van een samenvatting is dan ook niet toegestaan.

Continue reading →

Vingerafdruk-protestbrief mag niet geweigerd worden

26 april 2010

De bewustwording rondom onze privacy blijft groeien. Mensen gaan steeds meer vragen stellen. Het beleid dat de overheid voert is niet vanzelfsprekend. Zie deze artikelen in Metro en De Pers. De politiek wordt zo nu en dan wakker; de SP en de VVD stelden kritische vragen over de opslag van vingerafdrukken. Er volgen ook steeds meer mensen die weigeren hun vingerafdrukken af te geven of zelfs een procedure starten. De Nederlandse regering kan en wil niet garanderen dat het verzamelen van privé-gegevens later niemand in problemen brengt. Daarbij: er wordt niet altijd zorgvuldig omgesprongen met vingerafdrukken en de gemeente geeft geen enkele garantie, ook niet over de veiligheid van de opslag. Aan de veiligheid van die centrale opslag wordt ernstig getwijfeld. Uiteraard beweren bewindspersonen het tegendeel, maar het 'track record' van de overheid is niet het je-van-het. Dat de database bij een commercieel bdrijf is gestald, is uiteraard te gek voor woorden, hoe goed de overeenkomste ook zijn dictgetimmerd. Stichting Privacy First heeft een modelbrief opgesteld, die an de gemeente een ondertekening vraagt waarbij ze garanderen dat ze zorgvuldig met de vingerafdrukken om zal gaan. Gemeenten weigeren echter de brief te accepteren.

Continue reading →

SCO: eindelijk geen eigenaar van Unix

31 maart 2010

Novell is door een jury in het gelijk gesteld in een lang slepende rechtszaak over Unix die was aangespannen door softwarebedrijf SCO. De jury bij de rechtbank in de staat Utah bepaalde dinsdag dat Novell de auteursrechten heeft op Unix. De behandeling van de zaak voor de U.S. District Court in Utah heeft 3 weken geduurd. Volgens Novell-topman Ron Hovsepian is de uitspraak van de 12 leden tellende jury goed nieuws voor Novell, voor Linux en voor de open-source community. Groklaw denkt er eveneens zo over. Aanhangers van open source hebben de acties van SCO altijd gezien als een aanval op de vrije ontwikkeling en distributie van software en op Linux in het bijzonder. Hoewel de Linux-gemeenschap het pact tussen Novell en Microsoft moeilijk kan verkroppen, is er altijd waardering geweest voor de vasthoudendheid, waarmee Novell het geschil met SCO heeft uitgevochten. In een blog op de website van Novell krijgt het bedrijf veel lof toegezwaaid. Wij hebben hier al eerder over deze zaak geschreven.

Continue reading →

Duitse Constitutionele Hof verklaart bewaren telecomgegevens ongrondwettig

2 maart 2010

In een baanbrekende uitspraak heeft het Duitse Constitutionele Hof de Duitse bewaarplichtwet in strijd met de Duitse grondwet verklaard. Alle tot nu toe verplicht bewaarde telecomgegevens moeten worden vernietigd, en de wet zal helemaal opnieuw geschreven moeten worden. De uitspraak en de recente verklaringen van Eurocommissaris Viviane Reding (Justitie), die de EU bewaarplichtrichtlijn opnieuw ter discussie wil stellen, zijn goed nieuws voor digitale burgerrechten en gooien het Europese en Nederlandse debat over de bewaarplicht volledig open. De Duitse bewaarplichtwet is een omzetting van richtlijn 2006/24/EG, die alle Europese lidstaten opdraagt telecomaanbieders te verplichten alle verkeers- en locatiegegevens te bewaren gedurende een bepaalde periode. De Duitse wet is volgens het Duits Constitutionele Hof in strijd met artikel 10 van de Duitse grondwet, waarin het telecommunicatiegeheim is vastgelegd, en daarom nietig verklaard. De rechtszaak zelf is ook baanbrekend, omdat hij door 34.000 bezorgde Duitsers is gevoerd.

Continue reading →

Bedrijven worstelen met governance, compliance en risk management

26 februari 2010

Bedrijven worstelen wereldwijd met de integrale aanpak van governance, risk en compliance. De ondernemingen hikken niet alleen aan tegen de hoge kosten van een betere afstemming van risicomanagement, wet- en regelgeving, verantwoordelijkheden, en de noodzakelijke organisatorische wijzigingen, maar een meerderheid van de bedrijven is er bovendien niet van overtuigd dat meer integratie leidt tot een betere bedrijfsprestatie. Dit blijkt uit internationaal onderzoek van KPMG onder ruim 500 bestuurders van ondernemingen. Als ondernemingen aandacht besteden aan een betere afstemming, gebeurt dat men name onder druk van de regelgevers. Twee op de drie onderzochte ondernemingen geven aan dat regelgevers een groeiende belangstelling laten zien naar de wijze waarop de bedrijven omgaan met governance, risk en compliance. ‘Iedere onderneming heeft te maken met risico's, verantwoordelijkheden en wet- en regelgeving', zegt Peter Paul Brouwers, partner bij KPMG. ‘Ze hangen niet alleen nauw met elkaar samen, maar bepalen veelal ook het succes van de onderneming. Een betere afstemming en daadwerkelijke integratie in de bedrijfsprocessen leidt dan ook tot een betere bedrijfsvoering. Het beheersen van gedragscodes, wet- en regelgeving en goed risicomanagement blijkt voor veel bedrijven echter steeds lastiger'.

Continue reading →

Blunderend, onrechtmatig en ongewenst

16 februari 2010

Op zoek naar getuigen van de rellen in Culemborg, blundert het Arnhemse Openbaar Ministerie. Ze wilde gewoon contact leggen met ‘getuigen’ van de rellen in Culemborg. Die hoopte het OM te vinden via de site van de lokale Culemborgse Courant. Molukkers en Marokkanen reageerden heftig onder artikelen over de rellen op de site. ‘Daar zaten wel wat interessante reacties tussen’, zegt het OM. En toen ging het mis… Het wilde van de Courant álle verkeersgegevens van de site tussen 1 en 4 januari, zodat het van iedere indiener de persoonlijke gegevens te zien zou krijgen. Het OM heeft de wettelijke bevoegdheid om zulke gegevens te vorderen, ‘als dat voor het onderzoek nodig is’, zegt Bart Schermer, een jurist gespecialiseerd in privacy. In de wet staat echter dat politie of OM alleen internetgegevens van een beperkt aantal personen mogen opvragen, van mensen waar ze specifiek ‘iets mee willen’ (verdachten of getuigen). De gegevens van duizenden bezoekers opvragen is niet toegestaan volgens de wet. ‘Deze vordering is daarom nogal ondoordacht van het OM’, zegt Schermer. ‘Of misschien was het gewoon luiheid. Het opvragen van deze gegevens is een grote inbreuk op de privacy. Daarom is deze wet met veel extra regels omgeven’. Dat de Culemborger Courant en de provider weigeren internetgegevens door te geven, is volgens Schermer redelijk bijzonder. ‘De meeste organisaties spelen vrij makkelijk gegevens door aan politie of justitie’.

Continue reading →

Compliance en Ampersand

2 februari 2010

Hoewel methodes om compliance in IT-stystemen te ondersteunen niet klaar zijn voor de praktijk, denkt Henriëtte Sangers dat dit niet heel lang meer zal duren. Sangers is projectmanager credit risk management bij ING Lease Holding. Volgens haar zou het veel tijd en geld kunnen besparen. 'Het zal nog wel even duren, maar uiteindelijk is dit voor veel bedrijven de toekomst. Als bedrijf mis je kansen op de markt als je dit niet doet. Het is de enige manier om aantoonbaar te voldoen aan allerlei eisen en tegelijk flexibel te blijven'. Het onderzoek van Sangers wees uit dat de Ampersand-methode bruikbaar is om compliance in IT-systemen te ondersteunen. Aangezien compliance-projecten vaak een groot deel van het budget opslokken, hebben organisaties hier veel belang bij. De Ampersand-methode, ontwikkeld door hoogleraar Informatica Stef Joosten van de Open Universiteit, gebruikt relatiealgebra om bedrijfsregels vast te leggen en specificaties in IT-systemen te genereren, waarvan kan worden bewezen dat ze voldoen aan de gebruikte bedrijfsregels. Als deze bedrijfsregels garanderen dat een organisatie op een bepaald gebied voldoet aan de voor haar geldende regelgeving dan kan de Ampersand-methode aantonen dat het IT-systeem dat met behulp van deze regels is gegenereerd, compliant is. Het is een zeer interessante methode, maar de organisatorische kant van compliance om de methode heen wordt nog teveel genegeerd.

Continue reading →