OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

SURF taskforce Cloud

Juridisch Normenkader Cloud Services HO

Sir Bakx

Juridisch Normenkader Cloud Services HO 1

Activiteiten Taskforce Cloud

• Vendormanagement

• SURFconext

• Juridische en beveiligingszaken

• Ontwikkeling Sourcingstrategie HO-instelling

• IAAS-pilots

• Project Federatieve Community Cloud

• Ontwikkeling Maturity scan sourcing

• Opslag en ontsluiten researchdata

• Toetsen en toetsgestuurd leren

• Bestuursseminar 14 november over Cloud en

DLWO

• CloudTimes

• Project Regie in de Cloud (k€600)

• Gemeenschappelijke i-Strategie HO (19 november)

Juridisch Normenkader Cloud Services HO

Doel:

• ‘Tien geboden’: een bestuurlijk gedragen

normenkader voor juridische clausules over

gegevenbeheer in overeenkomsten / SLA’s

met cloud-leveranciers

• Must-have / Nice-to-have (MoSCoW)

• Inkoopkracht (maturity) van HO-instelling en

SURFmarket


Wat is er al? (www.surf.nl/cloud)

• Cloud Computing & Privacy (Checklist

privacy afspraken)

• Privacy & Security in de Cloud (tools en

technieken)

• Zienswijze CBP Amerikaanse leverancier

• Cloud diensten & USA Patriot Act

• Nieuw: Cloud best practice clausules


Cloud best practices clausules

Focus op data bij cloud-leverancier:

• Privacy

• Vertrouwelijkheid

• Eigendom

• Beschikbaarheid


Zienswijze CPB

• Verantwoordelijke is wettelijk aansprakelijk voor doorgifte, opslag en bewerking van gegevens door bewerker

• Zelfregulering bewerker (Save Harbor, e.d.) is onvoldoende waarborging

• Verantwoordelijke dient voldoende technische en organisatorische maatregelen in een overeenkomst/SLA vast te leggen als beveiliging tegen verlies en onrechtmatige verwerking

• Waar nodig ook geheimhouding, beschreven maatregelen en controle, ook in het geval van sub-leveranciers


Voorbeeld clausules

• Voor zover Leverancier in het kader van de uitvoering van deze

Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is

Afnemer aan te merken als verantwoordelijke en Leverancier als

bewerker in de zin van de Wet bescherming persoonsgegevens.

• Leverancier zal zijn volledige medewerking verlenen opdat

Afnemer kan voldoen aan zijn wettelijke verplichtingen in het

geval dat een Betrokkene zijn rechten uitoefent op grond van de

Wet bescherming persoonsgegevens of andere toepasselijke

regelgeving betreffende de verwerking van Persoonsgegevens.

• …


Patriot Act

1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t. de opvraging door (alle) overheden van gegevens t.b.v. de nationale veiligheid en strafvervolging. "Cloud-data" worden als zodanig steeds belangrijker voor overheden.

2. De wet- en regelgeving van de VS biedt geen enkele bescherming van gegevens van of over niet-burgers en niet-ingezetenen van de VS buiten de VS, dus ook niet van of over Nederlanders.

3. Bedrijven die structurele activiteiten ontplooien binnen de VS vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn aan deze wet- en regelgeving. De gegevens die zij in beheer hebben zijn dus toegankelijk voor de overheid van de VS. N.B. ook via ‘bevriende’ overheidsdiensten.


Patriot Act


4. Door categorisering door de HO-instelling naar vertrouwelijkheid of

privacy van de aan de orde zijnde gegevens kan de instelling

vaststellen of onderbrenging bij de cloud-leverancier mogelijk een

te hoog risico is. Het is aan te bevelen de criteria voor deze

beoordeling als HO-sector op te stellen.

5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen

van privacy en vertrouwelijkheid naar Nederlandse en Europese

maat. Daarbij is het aan te bevelen om als sector een uniform

protocol op te stellen voor omgang met gegevensvordering door

overheden.

Patriot Act


6. Belang van back-up en verwijdering gegevens bij einde contract /

faillissement / overname

7. Ook: techniek, voorlichting, gedragscode, …

8. Voortdurende verandering van relevante wet- en regelgeving rond

mogelijke toegang door overheden tot gegevens. Een structurele

beoordeling en weging daarvan is daarom sterk aan te bevelen.

Voorbeeld clausules

• Leverancier zal alle Gegevens die hem in het kader van de uitvoering

van deze Overeenkomst ter kennis of beschikking komen,

geheimhouden en op geen enkele wijze verder bekendmaken en/of

aan derden verstrekken, behalve voor zover:

a ) bekendmaking en/of verstrekking van die Gegevens in het kader

van de uitvoering van deze Overeenkomst noodzakelijk is;

b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot

bekendmaking en/of verstrekking van die Gegevens of informatie

verplicht;

c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met

voorafgaande schriftelijke toestemming van Afnemer; dan wel

d ) het informatie betreft die al openbaar was op een andere wijze dan

door het handelen of nalaten van Leverancier.


Voorbeeld clausules

• Indien Leverancier een verzoek van een Nederlandse of buitenlandse

opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt

om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt

tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier

uitsluitend aan een dergelijk verzoek zijn medewerking verlenen,

indien hij daartoe wettelijk verplicht is (daaronder begrepen een

verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter

waarborging van de bescherming van de Gegevens zal Leverancier

alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan

strikt noodzakelijk om aan het verzoek te voldoen. Indien de

mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot

verstrekking van Gegevens of een eventueel verbod om derden over

het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen

kosten) ten volle benutten.


Voorbeeld clausules

• Indien het Leverancier op basis van het aan hem gerichte

verzoek tot verstrekking van Gegevens niet is toegestaan om

derden, waaronder Afnemer, in te lichten over het ontvangen

verzoek tot en de eventuele opvolgende verstrekking aan een

Nederlandse of buitenlandse opsporings-, strafvorderings- of

nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend

in het kader van het betreffende verzoek de

verantwoordelijke in de zin van de Wet bescherming

persoonsgegevens voor de verstrekking van de betreffende

Gegevens. Zodra dit Leverancier is toegestaan, zal hij

Afnemer inlichten over ontvangen verzoeken en eventuele

opvolgende verstrekkingen van Gegevens.

• …


Eigendom: voorbeeld clausules

• Alle (intellectuele) eigendomsrechten - daaronder begrepen enig

auteursrecht en databankenrecht - op (het bestand c.q. de

bestanden van) de Gegevens blijven te allen tijde berusten bij

Afnemer, de betreffende Gebruiker, dan wel hun

respectievelijke licentiegever(s). Leverancier krijgt een

licentie om de Gegevens te verwerken voor zover nodig voor de

uitvoering van de Overeenkomst.

• Leverancier heeft geen zelfstandige zeggenschap over de

Gegevens die door hem worden verwerkt. De zeggenschap

over de Gegevens berust bij Afnemer en/of de betreffende

Gebruiker.

• …


Beschikbaar: voorbeeld clausules

• Het in de SLA aangegeven beschikbaarheidsniveau van de

Clouddienst (en daarmee van de Gegevens) zal per

kalendermaand worden gemeten op de wijze zoals in Bijlage X

is aangegeven.

• Indien Leverancier een derde inschakelt voor de verlening van

de Clouddienst, ontheft dit Leverancier niet van zijn

verplichtingen zoals hierboven omschreven met betrekking tot

de verwerking van de Gegevens. Leverancier zal ervoor

zorgdragen dat de betreffende derde eveneens handelt in

overeenstemming met de bovenstaande bepalingen met

betrekking tot de verwerking van Gegevens.

• …


Normenkader: Under construction

Eerste opzet: Van Doorne Advocaten

Consultatie van

Juridische deskundigen / betrokkenen SURF

Juridische adviseurs universiteiten en hogescholen

SURF Ibo

CIO Beraad, CvDUR, COMIT, …

Vendors

…

Tenslotte: Commitment besturen HO



Vragen:

• Best practice clausules in de Van Doorne notitie ok?

• Voldoende aanknopingspunten voor de cruciale risico-analyse

door de instelling op basis van data-classificatie naar vereiste

privacy, vertrouwelijkheid, eigendom en beschikbaarheid?

• Technische randvoorwaarden voor de clausules, zoals

controlesysteem van beschikbaarheid, inzet van encryptie,

standaarden voor identity- en access-management, enzovoort?

• ‘Instructies’ door de instelling aan de cloud-leverancier, zoals

vereist voor de verantwoordelijkheid van de instelling in het licht

van privacy en vertrouwelijkheid?



Vragen (vervolg):

• Classificatie van de voorgelegde clausules naar ‘must-haves’ in

de overeenkomst, die het HO daarmee als voorwaarden stelt wil

een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’,

die door het HO uitdrukkelijk als wenselijk aanmerkt in de

overeenkomsten?

• Hoe kan het vervolgbeheer van het Juridische Normenkader

worden ingericht en aangestuurd (governance) opdat deze

steeds up-to-date naar zich wijzigende omstandigheden kan

worden voorgesteld en vastgesteld?


Data classificatie

Bijvoorbeeld CBP:

• Risicoklasse 0: publiek niveau • Vb: persoonsgegevens op internetsite

• geen specifieke maatregelen

• Risicoklasse 1: basis niveau • Vb: arbeids- of studie-relatie

• maatregel: zorgvuldige, gedocumenteerde verwerking

• Risicoklasse 2: verhoogd risico • Vb: persoonlijke situatie

• maatregel: vertrouwelijke toegang in contract

• Risicoklasse 3: hoog risico • Vb: belangen betrokken ernstig geschaad

• maatregel: verzekerde controle


Classificatie cloud-services


"Sourcable unit", Vb

0

: p

ub

liek n

ive

au

1

: b

asis

niv

ea

u

2

: ve

rho

ogd

ris

ico

3

: h

oo

g r

isic

o

ELO

SIS

Digitaal toets systeem

Ac. Repository

Corporate website

HRM

Communicatie platform

IAM

Data storage - backup

Vragen?

SURF Taskforce Cloud [email protected]

OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

Education

Transcript of OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx