SURF taskforce CloudJuridisch Normenkader Cloud Services HOSir Bakx
Activiteiten Taskforce Cloud    • Vendormanagement    • SURFconext    • Juridische en beveiligingszaken    • Ontwikkeling ...
Juridisch Normenkader Cloud Services HO    Doel:    • ‘Tien geboden’: een bestuurlijk gedragen      normenkader voor jurid...
Wat is er al? (www.surf.nl/cloud)     • Cloud Computing & Privacy (Checklist       privacy afspraken)     • Privacy & Secu...
Cloud best practices clausules     Focus op data bij cloud-leverancier:     • Privacy     • Vertrouwelijkheid     • Eigend...
Zienswijze CPB     • Verantwoordelijke is wettelijk aansprakelijk voor       doorgifte, opslag en bewerking van gegevens d...
Voorbeeld clausules     • Voor zover Leverancier in het kader van de uitvoering van deze       Overeenkomst voor Afnemer P...
Patriot Act     1.      De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t.             de opvraging door (a...
Patriot Act    4. Door categorisering door de HO-instelling naar vertrouwelijkheid of       privacy van de aan de orde zij...
Patriot Act    6. Belang van back-up en verwijdering gegevens bij einde contract /       faillissement / overname    7. Oo...
Voorbeeld clausules      •     Leverancier zal alle Gegevens die hem in het kader van de uitvoering            van deze Ov...
Voorbeeld clausules      • Indien Leverancier een verzoek van een Nederlandse of buitenlandse        opsporings-, strafvor...
Voorbeeld clausules      • Indien het Leverancier op basis van het aan hem gerichte        verzoek tot verstrekking van Ge...
Eigendom: voorbeeld clausules      • Alle (intellectuele) eigendomsrechten - daaronder begrepen enig        auteursrecht e...
Beschikbaar: voorbeeld clausules      • Het in de SLA aangegeven beschikbaarheidsniveau van de        Clouddienst (en daar...
Normenkader: Under construction      Eerste opzet: Van Doorne Advocaten      Consultatie van              Juridische desku...
Normenkader: Under construction      Vragen:      • Best practice clausules in de Van Doorne notitie ok?      • Voldoende ...
Normenkader: Under construction      Vragen (vervolg):      • Classificatie van de voorgelegde clausules naar ‘must-haves’...
Data classificatie      Bijvoorbeeld CBP:      •       Risicoklasse 0: publiek niveau              •      Vb: persoonsgege...
Classificatie cloud-services                                                                              2: verhoogd risi...
Vragen?SURF Taskforce Cloud     bakx@surf.nl
Upcoming SlideShare
Loading in …5
×

OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

600 views
504 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
600
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

  1. 1. SURF taskforce CloudJuridisch Normenkader Cloud Services HOSir Bakx
  2. 2. Activiteiten Taskforce Cloud • Vendormanagement • SURFconext • Juridische en beveiligingszaken • Ontwikkeling Sourcingstrategie HO-instelling • IAAS-pilots • Project Federatieve Community Cloud • Ontwikkeling Maturity scan sourcing • Opslag en ontsluiten researchdata • Toetsen en toetsgestuurd leren • Bestuursseminar 14 november over Cloud en DLWO • CloudTimes • Project Regie in de Cloud (k€600) • Gemeenschappelijke i-Strategie HO (19 november)1 Juridisch Normenkader Cloud Services HO
  3. 3. Juridisch Normenkader Cloud Services HO Doel: • ‘Tien geboden’: een bestuurlijk gedragen normenkader voor juridische clausules over gegevenbeheer in overeenkomsten / SLA’s met cloud-leveranciers • Must-have / Nice-to-have (MoSCoW) • Inkoopkracht (maturity) van HO-instelling en SURFmarket2 Juridisch Normenkader Cloud Services HO
  4. 4. Wat is er al? (www.surf.nl/cloud) • Cloud Computing & Privacy (Checklist privacy afspraken) • Privacy & Security in de Cloud (tools en technieken) • Zienswijze CBP Amerikaanse leverancier • Cloud diensten & USA Patriot Act • Nieuw: Cloud best practice clausules3 Juridisch Normenkader Cloud Services HO
  5. 5. Cloud best practices clausules Focus op data bij cloud-leverancier: • Privacy • Vertrouwelijkheid • Eigendom • Beschikbaarheid4 Juridisch Normenkader Cloud Services HO
  6. 6. Zienswijze CPB • Verantwoordelijke is wettelijk aansprakelijk voor doorgifte, opslag en bewerking van gegevens door bewerker • Zelfregulering bewerker (Save Harbor, e.d.) is onvoldoende waarborging • Verantwoordelijke dient voldoende technische en organisatorische maatregelen in een overeenkomst/SLA vast te leggen als beveiliging tegen verlies en onrechtmatige verwerking • Waar nodig ook geheimhouding, beschreven maatregelen en controle, ook in het geval van sub- leveranciers5 Juridisch Normenkader Cloud Services HO
  7. 7. Voorbeeld clausules • Voor zover Leverancier in het kader van de uitvoering van deze Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is Afnemer aan te merken als verantwoordelijke en Leverancier als bewerker in de zin van de Wet bescherming persoonsgegevens. • Leverancier zal zijn volledige medewerking verlenen opdat Afnemer kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de Wet bescherming persoonsgegevens of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. • …6 Juridisch Normenkader Cloud Services HO
  8. 8. Patriot Act 1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t. de opvraging door (alle) overheden van gegevens t.b.v. de nationale veiligheid en strafvervolging. "Cloud-data" worden als zodanig steeds belangrijker voor overheden. 2. De wet- en regelgeving van de VS biedt geen enkele bescherming van gegevens van of over niet-burgers en niet-ingezetenen van de VS buiten de VS, dus ook niet van of over Nederlanders. 3. Bedrijven die structurele activiteiten ontplooien binnen de VS vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn aan deze wet- en regelgeving. De gegevens die zij in beheer hebben zijn dus toegankelijk voor de overheid van de VS. N.B. ook via ‘bevriende’ overheidsdiensten.7 Juridisch Normenkader Cloud Services HO
  9. 9. Patriot Act 4. Door categorisering door de HO-instelling naar vertrouwelijkheid of privacy van de aan de orde zijnde gegevens kan de instelling vaststellen of onderbrenging bij de cloud-leverancier mogelijk een te hoog risico is. Het is aan te bevelen de criteria voor deze beoordeling als HO-sector op te stellen. 5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen van privacy en vertrouwelijkheid naar Nederlandse en Europese maat. Daarbij is het aan te bevelen om als sector een uniform protocol op te stellen voor omgang met gegevensvordering door overheden.8 Juridisch Normenkader Cloud Services HO
  10. 10. Patriot Act 6. Belang van back-up en verwijdering gegevens bij einde contract / faillissement / overname 7. Ook: techniek, voorlichting, gedragscode, … 8. Voortdurende verandering van relevante wet- en regelgeving rond mogelijke toegang door overheden tot gegevens. Een structurele beoordeling en weging daarvan is daarom sterk aan te bevelen.9 Juridisch Normenkader Cloud Services HO
  11. 11. Voorbeeld clausules • Leverancier zal alle Gegevens die hem in het kader van de uitvoering van deze Overeenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder bekendmaken en/of aan derden verstrekken, behalve voor zover: a ) bekendmaking en/of verstrekking van die Gegevens in het kader van de uitvoering van deze Overeenkomst noodzakelijk is; b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot bekendmaking en/of verstrekking van die Gegevens of informatie verplicht; c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met voorafgaande schriftelijke toestemming van Afnemer; dan wel d ) het informatie betreft die al openbaar was op een andere wijze dan door het handelen of nalaten van Leverancier.10 Juridisch Normenkader Cloud Services HO
  12. 12. Voorbeeld clausules • Indien Leverancier een verzoek van een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier uitsluitend aan een dergelijk verzoek zijn medewerking verlenen, indien hij daartoe wettelijk verplicht is (daaronder begrepen een verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter waarborging van de bescherming van de Gegevens zal Leverancier alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan strikt noodzakelijk om aan het verzoek te voldoen. Indien de mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot verstrekking van Gegevens of een eventueel verbod om derden over het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen kosten) ten volle benutten.11 Juridisch Normenkader Cloud Services HO
  13. 13. Voorbeeld clausules • Indien het Leverancier op basis van het aan hem gerichte verzoek tot verstrekking van Gegevens niet is toegestaan om derden, waaronder Afnemer, in te lichten over het ontvangen verzoek tot en de eventuele opvolgende verstrekking aan een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend in het kader van het betreffende verzoek de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens voor de verstrekking van de betreffende Gegevens. Zodra dit Leverancier is toegestaan, zal hij Afnemer inlichten over ontvangen verzoeken en eventuele opvolgende verstrekkingen van Gegevens. • …12 Juridisch Normenkader Cloud Services HO
  14. 14. Eigendom: voorbeeld clausules • Alle (intellectuele) eigendomsrechten - daaronder begrepen enig auteursrecht en databankenrecht - op (het bestand c.q. de bestanden van) de Gegevens blijven te allen tijde berusten bij Afnemer, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s). Leverancier krijgt een licentie om de Gegevens te verwerken voor zover nodig voor de uitvoering van de Overeenkomst. • Leverancier heeft geen zelfstandige zeggenschap over de Gegevens die door hem worden verwerkt. De zeggenschap over de Gegevens berust bij Afnemer en/of de betreffende Gebruiker. • …13 Juridisch Normenkader Cloud Services HO
  15. 15. Beschikbaar: voorbeeld clausules • Het in de SLA aangegeven beschikbaarheidsniveau van de Clouddienst (en daarmee van de Gegevens) zal per kalendermaand worden gemeten op de wijze zoals in Bijlage X is aangegeven. • Indien Leverancier een derde inschakelt voor de verlening van de Clouddienst, ontheft dit Leverancier niet van zijn verplichtingen zoals hierboven omschreven met betrekking tot de verwerking van de Gegevens. Leverancier zal ervoor zorgdragen dat de betreffende derde eveneens handelt in overeenstemming met de bovenstaande bepalingen met betrekking tot de verwerking van Gegevens. • …14 Juridisch Normenkader Cloud Services HO
  16. 16. Normenkader: Under construction Eerste opzet: Van Doorne Advocaten Consultatie van Juridische deskundigen / betrokkenen SURF Juridische adviseurs universiteiten en hogescholen SURF Ibo CIO Beraad, CvDUR, COMIT, … Vendors … Tenslotte: Commitment besturen HO15 Juridisch Normenkader Cloud Services HO
  17. 17. Normenkader: Under construction Vragen: • Best practice clausules in de Van Doorne notitie ok? • Voldoende aanknopingspunten voor de cruciale risico-analyse door de instelling op basis van data-classificatie naar vereiste privacy, vertrouwelijkheid, eigendom en beschikbaarheid? • Technische randvoorwaarden voor de clausules, zoals controlesysteem van beschikbaarheid, inzet van encryptie, standaarden voor identity- en access-management, enzovoort? • ‘Instructies’ door de instelling aan de cloud-leverancier, zoals vereist voor de verantwoordelijkheid van de instelling in het licht van privacy en vertrouwelijkheid?16 Juridisch Normenkader Cloud Services HO
  18. 18. Normenkader: Under construction Vragen (vervolg): • Classificatie van de voorgelegde clausules naar ‘must-haves’ in de overeenkomst, die het HO daarmee als voorwaarden stelt wil een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’, die door het HO uitdrukkelijk als wenselijk aanmerkt in de overeenkomsten? • Hoe kan het vervolgbeheer van het Juridische Normenkader worden ingericht en aangestuurd (governance) opdat deze steeds up-to-date naar zich wijzigende omstandigheden kan worden voorgesteld en vastgesteld?16 Juridisch Normenkader Cloud Services HO
  19. 19. Data classificatie Bijvoorbeeld CBP: • Risicoklasse 0: publiek niveau • Vb: persoonsgegevens op internetsite • geen specifieke maatregelen • Risicoklasse 1: basis niveau • Vb: arbeids- of studie-relatie • maatregel: zorgvuldige, gedocumenteerde verwerking • Risicoklasse 2: verhoogd risico • Vb: persoonlijke situatie • maatregel: vertrouwelijke toegang in contract • Risicoklasse 3: hoog risico • Vb: belangen betrokken ernstig geschaad • maatregel: verzekerde controle17 Juridisch Normenkader Cloud Services HO
  20. 20. Classificatie cloud-services 2: verhoogd risico 0: publiek niveau 1: basis niveau 3: hoog risico "Sourcable unit", Vb ELO SIS Digitaal toets systeem Ac. Repository Corporate website HRM Communicatie platform IAM Data storage - backup17 Juridisch Normenkader Cloud Services HO
  21. 21. Vragen?SURF Taskforce Cloud bakx@surf.nl

×