SURF taskforce Cloud
Juridisch Normenkader Cloud Services HO
Sir Bakx
Juridisch Normenkader Cloud Services HO 1
Activiteiten Taskforce Cloud
• Vendormanagement
• SURFconext
• Juridische en beveiligingszaken
• Ontwikkeling Sourcingstrategie HO-instelling
• IAAS-pilots
• Project Federatieve Community Cloud
• Ontwikkeling Maturity scan sourcing
• Opslag en ontsluiten researchdata
• Toetsen en toetsgestuurd leren
• Bestuursseminar 14 november over Cloud en
DLWO
• CloudTimes
• Project Regie in de Cloud (k€600)
• Gemeenschappelijke i-Strategie HO (19 november)
Juridisch Normenkader Cloud Services HO
Doel:
• ‘Tien geboden’: een bestuurlijk gedragen
normenkader voor juridische clausules over
gegevenbeheer in overeenkomsten / SLA’s
met cloud-leveranciers
• Must-have / Nice-to-have (MoSCoW)
• Inkoopkracht (maturity) van HO-instelling en
SURFmarket
Juridisch Normenkader Cloud Services HO 2
Wat is er al? (www.surf.nl/cloud)
• Cloud Computing & Privacy (Checklist
privacy afspraken)
• Privacy & Security in de Cloud (tools en
technieken)
• Zienswijze CBP Amerikaanse leverancier
• Cloud diensten & USA Patriot Act
• Nieuw: Cloud best practice clausules
Juridisch Normenkader Cloud Services HO 3
Cloud best practices clausules
Focus op data bij cloud-leverancier:
• Privacy
• Vertrouwelijkheid
• Eigendom
• Beschikbaarheid
Juridisch Normenkader Cloud Services HO 4
Zienswijze CPB
• Verantwoordelijke is wettelijk aansprakelijk voor doorgifte, opslag en bewerking van gegevens door bewerker
• Zelfregulering bewerker (Save Harbor, e.d.) is onvoldoende waarborging
• Verantwoordelijke dient voldoende technische en organisatorische maatregelen in een overeenkomst/SLA vast te leggen als beveiliging tegen verlies en onrechtmatige verwerking
• Waar nodig ook geheimhouding, beschreven maatregelen en controle, ook in het geval van sub-leveranciers
Juridisch Normenkader Cloud Services HO 5
Voorbeeld clausules
• Voor zover Leverancier in het kader van de uitvoering van deze
Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is
Afnemer aan te merken als verantwoordelijke en Leverancier als
bewerker in de zin van de Wet bescherming persoonsgegevens.
• Leverancier zal zijn volledige medewerking verlenen opdat
Afnemer kan voldoen aan zijn wettelijke verplichtingen in het
geval dat een Betrokkene zijn rechten uitoefent op grond van de
Wet bescherming persoonsgegevens of andere toepasselijke
regelgeving betreffende de verwerking van Persoonsgegevens.
• …
Juridisch Normenkader Cloud Services HO 6
Patriot Act
1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t. de opvraging door (alle) overheden van gegevens t.b.v. de nationale veiligheid en strafvervolging. "Cloud-data" worden als zodanig steeds belangrijker voor overheden.
2. De wet- en regelgeving van de VS biedt geen enkele bescherming van gegevens van of over niet-burgers en niet-ingezetenen van de VS buiten de VS, dus ook niet van of over Nederlanders.
3. Bedrijven die structurele activiteiten ontplooien binnen de VS vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn aan deze wet- en regelgeving. De gegevens die zij in beheer hebben zijn dus toegankelijk voor de overheid van de VS. N.B. ook via ‘bevriende’ overheidsdiensten.
Juridisch Normenkader Cloud Services HO 7
Patriot Act
Juridisch Normenkader Cloud Services HO 8
4. Door categorisering door de HO-instelling naar vertrouwelijkheid of
privacy van de aan de orde zijnde gegevens kan de instelling
vaststellen of onderbrenging bij de cloud-leverancier mogelijk een
te hoog risico is. Het is aan te bevelen de criteria voor deze
beoordeling als HO-sector op te stellen.
5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen
van privacy en vertrouwelijkheid naar Nederlandse en Europese
maat. Daarbij is het aan te bevelen om als sector een uniform
protocol op te stellen voor omgang met gegevensvordering door
overheden.
Patriot Act
Juridisch Normenkader Cloud Services HO 9
6. Belang van back-up en verwijdering gegevens bij einde contract /
faillissement / overname
7. Ook: techniek, voorlichting, gedragscode, …
8. Voortdurende verandering van relevante wet- en regelgeving rond
mogelijke toegang door overheden tot gegevens. Een structurele
beoordeling en weging daarvan is daarom sterk aan te bevelen.
Voorbeeld clausules
• Leverancier zal alle Gegevens die hem in het kader van de uitvoering
van deze Overeenkomst ter kennis of beschikking komen,
geheimhouden en op geen enkele wijze verder bekendmaken en/of
aan derden verstrekken, behalve voor zover:
a ) bekendmaking en/of verstrekking van die Gegevens in het kader
van de uitvoering van deze Overeenkomst noodzakelijk is;
b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot
bekendmaking en/of verstrekking van die Gegevens of informatie
verplicht;
c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met
voorafgaande schriftelijke toestemming van Afnemer; dan wel
d ) het informatie betreft die al openbaar was op een andere wijze dan
door het handelen of nalaten van Leverancier.
Juridisch Normenkader Cloud Services HO 10
Voorbeeld clausules
• Indien Leverancier een verzoek van een Nederlandse of buitenlandse
opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt
om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt
tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier
uitsluitend aan een dergelijk verzoek zijn medewerking verlenen,
indien hij daartoe wettelijk verplicht is (daaronder begrepen een
verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter
waarborging van de bescherming van de Gegevens zal Leverancier
alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan
strikt noodzakelijk om aan het verzoek te voldoen. Indien de
mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot
verstrekking van Gegevens of een eventueel verbod om derden over
het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen
kosten) ten volle benutten.
Juridisch Normenkader Cloud Services HO 11
Voorbeeld clausules
• Indien het Leverancier op basis van het aan hem gerichte
verzoek tot verstrekking van Gegevens niet is toegestaan om
derden, waaronder Afnemer, in te lichten over het ontvangen
verzoek tot en de eventuele opvolgende verstrekking aan een
Nederlandse of buitenlandse opsporings-, strafvorderings- of
nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend
in het kader van het betreffende verzoek de
verantwoordelijke in de zin van de Wet bescherming
persoonsgegevens voor de verstrekking van de betreffende
Gegevens. Zodra dit Leverancier is toegestaan, zal hij
Afnemer inlichten over ontvangen verzoeken en eventuele
opvolgende verstrekkingen van Gegevens.
• …
Juridisch Normenkader Cloud Services HO 12
Eigendom: voorbeeld clausules
• Alle (intellectuele) eigendomsrechten - daaronder begrepen enig
auteursrecht en databankenrecht - op (het bestand c.q. de
bestanden van) de Gegevens blijven te allen tijde berusten bij
Afnemer, de betreffende Gebruiker, dan wel hun
respectievelijke licentiegever(s). Leverancier krijgt een
licentie om de Gegevens te verwerken voor zover nodig voor de
uitvoering van de Overeenkomst.
• Leverancier heeft geen zelfstandige zeggenschap over de
Gegevens die door hem worden verwerkt. De zeggenschap
over de Gegevens berust bij Afnemer en/of de betreffende
Gebruiker.
• …
Juridisch Normenkader Cloud Services HO 13
Beschikbaar: voorbeeld clausules
• Het in de SLA aangegeven beschikbaarheidsniveau van de
Clouddienst (en daarmee van de Gegevens) zal per
kalendermaand worden gemeten op de wijze zoals in Bijlage X
is aangegeven.
• Indien Leverancier een derde inschakelt voor de verlening van
de Clouddienst, ontheft dit Leverancier niet van zijn
verplichtingen zoals hierboven omschreven met betrekking tot
de verwerking van de Gegevens. Leverancier zal ervoor
zorgdragen dat de betreffende derde eveneens handelt in
overeenstemming met de bovenstaande bepalingen met
betrekking tot de verwerking van Gegevens.
• …
Juridisch Normenkader Cloud Services HO 14
Normenkader: Under construction
Eerste opzet: Van Doorne Advocaten
Consultatie van
Juridische deskundigen / betrokkenen SURF
Juridische adviseurs universiteiten en hogescholen
SURF Ibo
CIO Beraad, CvDUR, COMIT, …
Vendors
…
Tenslotte: Commitment besturen HO
Juridisch Normenkader Cloud Services HO 15
Normenkader: Under construction
Vragen:
• Best practice clausules in de Van Doorne notitie ok?
• Voldoende aanknopingspunten voor de cruciale risico-analyse
door de instelling op basis van data-classificatie naar vereiste
privacy, vertrouwelijkheid, eigendom en beschikbaarheid?
• Technische randvoorwaarden voor de clausules, zoals
controlesysteem van beschikbaarheid, inzet van encryptie,
standaarden voor identity- en access-management, enzovoort?
• ‘Instructies’ door de instelling aan de cloud-leverancier, zoals
vereist voor de verantwoordelijkheid van de instelling in het licht
van privacy en vertrouwelijkheid?
Juridisch Normenkader Cloud Services HO 16
Normenkader: Under construction
Vragen (vervolg):
• Classificatie van de voorgelegde clausules naar ‘must-haves’ in
de overeenkomst, die het HO daarmee als voorwaarden stelt wil
een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’,
die door het HO uitdrukkelijk als wenselijk aanmerkt in de
overeenkomsten?
• Hoe kan het vervolgbeheer van het Juridische Normenkader
worden ingericht en aangestuurd (governance) opdat deze
steeds up-to-date naar zich wijzigende omstandigheden kan
worden voorgesteld en vastgesteld?
Juridisch Normenkader Cloud Services HO 16
Data classificatie
Bijvoorbeeld CBP:
• Risicoklasse 0: publiek niveau • Vb: persoonsgegevens op internetsite
• geen specifieke maatregelen
• Risicoklasse 1: basis niveau • Vb: arbeids- of studie-relatie
• maatregel: zorgvuldige, gedocumenteerde verwerking
• Risicoklasse 2: verhoogd risico • Vb: persoonlijke situatie
• maatregel: vertrouwelijke toegang in contract
• Risicoklasse 3: hoog risico • Vb: belangen betrokken ernstig geschaad
• maatregel: verzekerde controle
Juridisch Normenkader Cloud Services HO 17
Classificatie cloud-services
Juridisch Normenkader Cloud Services HO 17
"Sourcable unit", Vb
0
: p
ub
liek n
ive
au
1
: b
asis
niv
ea
u
2
: ve
rho
ogd
ris
ico
3
: h
oo
g r
isic
o
ELO
SIS
Digitaal toets systeem
Ac. Repository
Corporate website
HRM
Communicatie platform
IAM
Data storage - backup
Vragen?
SURF Taskforce Cloud [email protected]
Top Related