Margreet Schriemer, Hogeschool van Amsterdam Gertrud Lemmens, Hogeschool van Utrecht 11 mei 2012.
Privacy in de praktijk bij Hogeschool Utrecht
Click here to load reader
-
Upload
snkn-cloudcomputing -
Category
Technology
-
view
556 -
download
2
description
Transcript of Privacy in de praktijk bij Hogeschool Utrecht
Privacy in de cloud-praktijk
Martin RomijnPrivacy & Security Officertevens functionaris voor de gegevensbescherming
2Seminar Cloud Computing SURF 16 juni 2011
Thema’s
n Cloud computingn Scopebepalingn Praktische invullingn Bewerkersovereenkomst in de Wbpn Controlemogelijkhedenn Safe Harbor certificering
3Seminar Cloud Computing SURF 16 juni 2011
Cloud Computing
n “Een manier om computerkracht te leveren waarbij schaalbare en flexibele ICT-capaciteiten als een dienst beschikbaar worden gesteld aan verscheidene externe klanten op basis van internettechnologie” (Gartner)
n Leveringsmodellen: IaaS, PaaS, SaaSn Afname: individueel/collectief, private/public
Scopebepaling
Alleen vanuit rol toezichthouder naleving Wbp: (functionaris voor de gegevensbescherming)
t.o.v. de eisen in SURF rapport par. 3.2:n Beschikbaarheidn Integriteit (volledigheid, juistheid, tijdigheid)n Vertrouwelijkheidn Onweerlegbaarheidn Bedienbaarheid
(http://www.surfnet.nl/Documents/Cloud%20Security%20v1.0.pdf)
4Seminar Cloud Computing SURF 16 juni 2011
Praktische invulling Wbp
n Dienstverlening vindt plaats op basis van een formeel contract
n Er wordt een bewerkersovereenkomst afgesloten (Wbp verplichting indien uitbesteed aan derde)
n Verantwoordelijkheden zijn duidelijk belegd: wie informeert wie bij storingen, wie lost welke storingen op, wie bewaakt het SLA
n Er is voldoende zekerheid over de kwaliteit van beveiliging door de leverancier
n De gegevens worden opgeslagen binnen de Europese Unie
5Seminar Cloud Computing SURF 16 juni 2011
Bewerkersovereenkomst
n De bewerker is “degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.”
n Een overeenkomst (ook contract en convenant) is een afspraak tussen minimaal twee natuurlijke personen of rechtspersonen (de partijen) over wat ze met elkaar of voor elkaar zullen gaan doen (de te leveren prestatie) of laten.
6Seminar Cloud Computing SURF 16 juni 2011
Inhoud overeenkomst
1. Ingangsdatum en duur
2. Opdracht met heel concreet het doel
3. Naleving wet- en regelgeving
4. Geheimhoudingsplicht
5. Beveiligingsmaatregelen
6. Controlerecht (zelf doen of laten controleren)
7. Inschakeling derden
8. Wijziging overeenkomst
9. Toepasselijk recht: Nederlands recht
7Seminar Cloud Computing SURF 16 juni 2011
5. Passend beveiligingsniveau
“De bewerker zal passende technische en organisatorische maatregelen nemen om de persoonsgegevens welke worden verwerkt ten dienste van de verantwoordelijke te beveiligen tegen verlies of tegen enige onrechtmatige vorm van verwerking.”
Verdeeld in:n Technische maatregelenn Organisatorische maatregelen
8Seminar Cloud Computing SURF 16 juni 2011
9Seminar Cloud Computing SURF 16 juni 2011
Controlemogelijkheden
n Paragraaf 4.3 SURF checklist (http://www.surfnet.nl/Documents/Cloud%20Security%20v1.0.pdf)n ISO/IEC 27001 en SAS 706n ISAE3402 n PCI-eisen (betaalkaartindustrie VS) op
http://www.pcicomplianceguide.org/pci-basics.php
n Zelf controleren of vertrouwen op verklaringen
Safe Harbor certificaat
Bedrijven met Safe Harbor certificaat op witte lijst van Europese Unie.
Risico’s:n Veel opvraagmogelijkheden op basis van de
USA PATRIOT-act (Providing Appropriate Tools Required to Intercept and Obstruct Terrorism)
n Fraude door ontbreken van controle en toezicht op gebruik
10Seminar Cloud Computing SURF 16 juni 2011