SlideShare a Scribd company logo

OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

SURF Events
SURF Events
Education
1 of 21
Download to read offline
SURF taskforce Cloud Juridisch Normenkader Cloud Services HO Sir Bakx
Activiteiten Taskforce Cloud • Vendormanagement • SURFconext • Juridische en beveiligingszaken • Ontwikkeling Sourcingstrategie HO-instelling • IAAS-pilots • Project Federatieve Community Cloud • Ontwikkeling Maturity scan sourcing • Opslag en ontsluiten researchdata • Toetsen en toetsgestuurd leren • Bestuursseminar 14 november over Cloud en DLWO • CloudTimes • Project Regie in de Cloud (k€600) • Gemeenschappelijke i-Strategie HO (19 november) 1 Juridisch Normenkader Cloud Services HO
Juridisch Normenkader Cloud Services HO Doel: • ‘Tien geboden’: een bestuurlijk gedragen normenkader voor juridische clausules over gegevenbeheer in overeenkomsten / SLA’s met cloud-leveranciers • Must-have / Nice-to-have (MoSCoW) • Inkoopkracht (maturity) van HO-instelling en SURFmarket 2 Juridisch Normenkader Cloud Services HO
Wat is er al? (www.surf.nl/cloud) • Cloud Computing & Privacy (Checklist privacy afspraken) • Privacy & Security in de Cloud (tools en technieken) • Zienswijze CBP Amerikaanse leverancier • Cloud diensten & USA Patriot Act • Nieuw: Cloud best practice clausules 3 Juridisch Normenkader Cloud Services HO
Cloud best practices clausules Focus op data bij cloud-leverancier: • Privacy • Vertrouwelijkheid • Eigendom • Beschikbaarheid 4 Juridisch Normenkader Cloud Services HO
Zienswijze CPB • Verantwoordelijke is wettelijk aansprakelijk voor doorgifte, opslag en bewerking van gegevens door bewerker • Zelfregulering bewerker (Save Harbor, e.d.) is onvoldoende waarborging • Verantwoordelijke dient voldoende technische en organisatorische maatregelen in een overeenkomst/SLA vast te leggen als beveiliging tegen verlies en onrechtmatige verwerking • Waar nodig ook geheimhouding, beschreven maatregelen en controle, ook in het geval van sub- leveranciers 5 Juridisch Normenkader Cloud Services HO
Voorbeeld clausules • Voor zover Leverancier in het kader van de uitvoering van deze Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is Afnemer aan te merken als verantwoordelijke en Leverancier als bewerker in de zin van de Wet bescherming persoonsgegevens. • Leverancier zal zijn volledige medewerking verlenen opdat Afnemer kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de Wet bescherming persoonsgegevens of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. • … 6 Juridisch Normenkader Cloud Services HO
Patriot Act 1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t. de opvraging door (alle) overheden van gegevens t.b.v. de nationale veiligheid en strafvervolging. "Cloud-data" worden als zodanig steeds belangrijker voor overheden. 2. De wet- en regelgeving van de VS biedt geen enkele bescherming van gegevens van of over niet-burgers en niet-ingezetenen van de VS buiten de VS, dus ook niet van of over Nederlanders. 3. Bedrijven die structurele activiteiten ontplooien binnen de VS vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn aan deze wet- en regelgeving. De gegevens die zij in beheer hebben zijn dus toegankelijk voor de overheid van de VS. N.B. ook via ‘bevriende’ overheidsdiensten. 7 Juridisch Normenkader Cloud Services HO
Patriot Act 4. Door categorisering door de HO-instelling naar vertrouwelijkheid of privacy van de aan de orde zijnde gegevens kan de instelling vaststellen of onderbrenging bij de cloud-leverancier mogelijk een te hoog risico is. Het is aan te bevelen de criteria voor deze beoordeling als HO-sector op te stellen. 5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen van privacy en vertrouwelijkheid naar Nederlandse en Europese maat. Daarbij is het aan te bevelen om als sector een uniform protocol op te stellen voor omgang met gegevensvordering door overheden. 8 Juridisch Normenkader Cloud Services HO
Patriot Act 6. Belang van back-up en verwijdering gegevens bij einde contract / faillissement / overname 7. Ook: techniek, voorlichting, gedragscode, … 8. Voortdurende verandering van relevante wet- en regelgeving rond mogelijke toegang door overheden tot gegevens. Een structurele beoordeling en weging daarvan is daarom sterk aan te bevelen. 9 Juridisch Normenkader Cloud Services HO
Voorbeeld clausules • Leverancier zal alle Gegevens die hem in het kader van de uitvoering van deze Overeenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder bekendmaken en/of aan derden verstrekken, behalve voor zover: a ) bekendmaking en/of verstrekking van die Gegevens in het kader van de uitvoering van deze Overeenkomst noodzakelijk is; b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot bekendmaking en/of verstrekking van die Gegevens of informatie verplicht; c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met voorafgaande schriftelijke toestemming van Afnemer; dan wel d ) het informatie betreft die al openbaar was op een andere wijze dan door het handelen of nalaten van Leverancier. 10 Juridisch Normenkader Cloud Services HO
Voorbeeld clausules • Indien Leverancier een verzoek van een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier uitsluitend aan een dergelijk verzoek zijn medewerking verlenen, indien hij daartoe wettelijk verplicht is (daaronder begrepen een verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter waarborging van de bescherming van de Gegevens zal Leverancier alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan strikt noodzakelijk om aan het verzoek te voldoen. Indien de mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot verstrekking van Gegevens of een eventueel verbod om derden over het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen kosten) ten volle benutten. 11 Juridisch Normenkader Cloud Services HO
Voorbeeld clausules • Indien het Leverancier op basis van het aan hem gerichte verzoek tot verstrekking van Gegevens niet is toegestaan om derden, waaronder Afnemer, in te lichten over het ontvangen verzoek tot en de eventuele opvolgende verstrekking aan een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend in het kader van het betreffende verzoek de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens voor de verstrekking van de betreffende Gegevens. Zodra dit Leverancier is toegestaan, zal hij Afnemer inlichten over ontvangen verzoeken en eventuele opvolgende verstrekkingen van Gegevens. • … 12 Juridisch Normenkader Cloud Services HO
Eigendom: voorbeeld clausules • Alle (intellectuele) eigendomsrechten - daaronder begrepen enig auteursrecht en databankenrecht - op (het bestand c.q. de bestanden van) de Gegevens blijven te allen tijde berusten bij Afnemer, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s). Leverancier krijgt een licentie om de Gegevens te verwerken voor zover nodig voor de uitvoering van de Overeenkomst. • Leverancier heeft geen zelfstandige zeggenschap over de Gegevens die door hem worden verwerkt. De zeggenschap over de Gegevens berust bij Afnemer en/of de betreffende Gebruiker. • … 13 Juridisch Normenkader Cloud Services HO
Beschikbaar: voorbeeld clausules • Het in de SLA aangegeven beschikbaarheidsniveau van de Clouddienst (en daarmee van de Gegevens) zal per kalendermaand worden gemeten op de wijze zoals in Bijlage X is aangegeven. • Indien Leverancier een derde inschakelt voor de verlening van de Clouddienst, ontheft dit Leverancier niet van zijn verplichtingen zoals hierboven omschreven met betrekking tot de verwerking van de Gegevens. Leverancier zal ervoor zorgdragen dat de betreffende derde eveneens handelt in overeenstemming met de bovenstaande bepalingen met betrekking tot de verwerking van Gegevens. • … 14 Juridisch Normenkader Cloud Services HO
Normenkader: Under construction Eerste opzet: Van Doorne Advocaten Consultatie van Juridische deskundigen / betrokkenen SURF Juridische adviseurs universiteiten en hogescholen SURF Ibo CIO Beraad, CvDUR, COMIT, … Vendors … Tenslotte: Commitment besturen HO 15 Juridisch Normenkader Cloud Services HO
Normenkader: Under construction Vragen: • Best practice clausules in de Van Doorne notitie ok? • Voldoende aanknopingspunten voor de cruciale risico-analyse door de instelling op basis van data-classificatie naar vereiste privacy, vertrouwelijkheid, eigendom en beschikbaarheid? • Technische randvoorwaarden voor de clausules, zoals controlesysteem van beschikbaarheid, inzet van encryptie, standaarden voor identity- en access-management, enzovoort? • ‘Instructies’ door de instelling aan de cloud-leverancier, zoals vereist voor de verantwoordelijkheid van de instelling in het licht van privacy en vertrouwelijkheid? 16 Juridisch Normenkader Cloud Services HO
Normenkader: Under construction Vragen (vervolg): • Classificatie van de voorgelegde clausules naar ‘must-haves’ in de overeenkomst, die het HO daarmee als voorwaarden stelt wil een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’, die door het HO uitdrukkelijk als wenselijk aanmerkt in de overeenkomsten? • Hoe kan het vervolgbeheer van het Juridische Normenkader worden ingericht en aangestuurd (governance) opdat deze steeds up-to-date naar zich wijzigende omstandigheden kan worden voorgesteld en vastgesteld? 16 Juridisch Normenkader Cloud Services HO
Data classificatie Bijvoorbeeld CBP: • Risicoklasse 0: publiek niveau • Vb: persoonsgegevens op internetsite • geen specifieke maatregelen • Risicoklasse 1: basis niveau • Vb: arbeids- of studie-relatie • maatregel: zorgvuldige, gedocumenteerde verwerking • Risicoklasse 2: verhoogd risico • Vb: persoonlijke situatie • maatregel: vertrouwelijke toegang in contract • Risicoklasse 3: hoog risico • Vb: belangen betrokken ernstig geschaad • maatregel: verzekerde controle 17 Juridisch Normenkader Cloud Services HO
Classificatie cloud-services 2: verhoogd risico 0: publiek niveau 1: basis niveau 3: hoog risico "Sourcable unit", Vb ELO SIS Digitaal toets systeem Ac. Repository Corporate website HRM Communicatie platform IAM Data storage - backup 17 Juridisch Normenkader Cloud Services HO
Vragen? SURF Taskforce Cloud bakx@surf.nl

Recommended

Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
Whitepaper privacy in de cloud
Whitepaper privacy in de cloudWhitepaper privacy in de cloud
Whitepaper privacy in de cloudRolf Kuijpers
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
GDPR
GDPRGDPR
GDPROut Of Use
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
The state of SEO & GDPR
The state of SEO & GDPRThe state of SEO & GDPR
The state of SEO & GDPRChris Schalenborgh
 

Recommended

Complianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceComplianceforum - Antitrust Compliance
Complianceforum - Antitrust ComplianceAKD
 
Whitepaper privacy in de cloud
Whitepaper privacy in de cloudWhitepaper privacy in de cloud
Whitepaper privacy in de cloudRolf Kuijpers
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosSLBdiensten
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceAKD
 
GDPR
GDPRGDPR
GDPROut Of Use
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015Bart Van Den Brande
 
The state of SEO & GDPR
The state of SEO & GDPRThe state of SEO & GDPR
The state of SEO & GDPRChris Schalenborgh
 
Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? SNKN-CloudComputing
 
Sirius legal
Sirius legalSirius legal
Sirius legalWebshopVakbeurs
 
Gdpr
GdprGdpr
GdprOut Of Use
 
KVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van BusselKVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van BusselKVANdagen
 
Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015ICT Valley
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Handreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrHandreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrKING
 
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Sectie Intellectueel Eigendom en IT-recht van Dirkzwager advocaten & notarissen
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezichtB-Mature
 
Fot 2011 powerpoint
Fot 2011 powerpointFot 2011 powerpoint
Fot 2011 powerpointBart Van Den Brande
 
AFAS & Helder onderwijs
AFAS & Helder onderwijsAFAS & Helder onderwijs
AFAS & Helder onderwijsAFAS Software
 
Boas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscodeBoas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscodeDutch Power
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Robbert Hoendervanger ✓
 
Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6Anouk Ferwerda
 
Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23SURF Events
 
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22SURF Events
 

More Related Content

Similar to OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? SNKN-CloudComputing
 
KVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van BusselKVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van BusselKVANdagen
 
Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015ICT Valley
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Handreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrHandreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrKING
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezichtB-Mature
 
AFAS & Helder onderwijs
AFAS & Helder onderwijsAFAS & Helder onderwijs
AFAS & Helder onderwijsAFAS Software
 
Boas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscodeBoas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscodeDutch Power
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidAKD
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenMedia Perspectives
 
Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6Anouk Ferwerda
 

Similar to OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx (20)

Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst? Privacy en cloud computing: wat moet er in de overeenkomst?
Privacy en cloud computing: wat moet er in de overeenkomst?
 
Sirius legal
Sirius legalSirius legal
Sirius legal
 
Gdpr
GdprGdpr
Gdpr
 
KVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van BusselKVAN11 - Cloud Computing - Geert-Jan van Bussel
KVAN11 - Cloud Computing - Geert-Jan van Bussel
 
Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015Presentatie Nederland ICT 11 februari 2015
Presentatie Nederland ICT 11 februari 2015
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
Handreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lrHandreiking cloud overheden_taskforce_lr
Handreiking cloud overheden_taskforce_lr
 
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07 Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
Privacyseminar Dirkzwager advocaten & notarissen N.V. 11 04 07
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Privacy versus cameratoezicht
Privacy versus cameratoezichtPrivacy versus cameratoezicht
Privacy versus cameratoezicht
 
Fot 2011 powerpoint
Fot 2011 powerpointFot 2011 powerpoint
Fot 2011 powerpoint
 
AFAS & Helder onderwijs
AFAS & Helder onderwijsAFAS & Helder onderwijs
AFAS & Helder onderwijs
 
Boas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscodeBoas bierings privacy, security, juridische zaken en de gedragscode
Boas bierings privacy, security, juridische zaken en de gedragscode
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en Overheid
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6Brunel_Whitepaper_Appsprivacywetgeving_V6
Brunel_Whitepaper_Appsprivacywetgeving_V6
 

More from SURF Events

Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23SURF Events
 
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22SURF Events
 
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...SURF Events
 
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...SURF Events
 
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...SURF Events
 
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...SURF Events
 
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22SURF Events
 
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...SURF Events
 
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...SURF Events
 
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...SURF Events
 
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...SURF Events
 
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...SURF Events
 
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...SURF Events
 
The impact of technology on society - how to become a responsible designer of...
The impact of technology on society - how to become a responsible designer of...The impact of technology on society - how to become a responsible designer of...
The impact of technology on society - how to become a responsible designer of...SURF Events
 
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...SURF Events
 
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...SURF Events
 
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...SURF Events
 
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...SURF Events
 
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...SURF Events
 
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...SURF Events
 

More from SURF Events (20)

Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23Biking on the edge - Jerome Mies - SRD23
Biking on the edge - Jerome Mies - SRD23
 
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
Onderwijsinnovatie Management CardGame - Ysbrand Hoetjes - OWD22
 
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...
Hoe door een multidisciplinaire aanpak de ondersteuning van het leren en werk...
 
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...
Gebruikers aan het woord, effectief doorontwikkelen - Jeffrey Braak & Larissa...
 
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...
Hoe geven de HU en Fontys vorm aan studentgestuurd onderwijs met hulp van een...
 
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...
Blended education en de organisatie van onderwijs - Judith Vennix& Ralf Hille...
 
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22
Kickstart de blend- modellen en benaderingen - Barend Last (UM) - OWD22
 
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...
Erasmus without paper - een mijlpaal in de ondersteuning van studentmobilitei...
 
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...
Accelereren op leven lang ontwikkelen met (micro)credentials, badges en actio...
 
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...
Green Award; trigger voor het verduurzamen van ict onderwijs - Claudia Tempel...
 
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...
De Le-Do-Loop- een nieuwe methode om hoogcognitieve leerdoelen te bereiken - ...
 
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...
Een open boek ontwikkelen- het proces - Loes van Hove & Martijn Ouwehand (TU/...
 
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...
Betekenisvol leren in de digitalisering van het onderwijs - Michiel de Jong (...
 
The impact of technology on society - how to become a responsible designer of...
The impact of technology on society - how to become a responsible designer of...The impact of technology on society - how to become a responsible designer of...
The impact of technology on society - how to become a responsible designer of...
 
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...
Uncovering technologies #2- Cloud, Edge & XR - Tim Kok, David Salek, Esther v...
 
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...
Trainen met impact in onderwijslogistiek - Iwan Brouns & Lisanne van Brouwers...
 
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...
From Emergency Remote Teaching to Post Covid Teaching & Learning - Chris Rouw...
 
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...
Digitale en open leermaterialen in NL- samenwerking centraal - Lieke Rensink ...
 
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...
Kan jij wat. Over de groei en reflectie tool voor de onderwijskundig ict prof...
 
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...
Hybride onderwijsvormen - Michel Jansen (SURF), Jet Bierman & Natasa Brouwer ...
 

OWD2012 - 5 - Een juridisch normenkader voor cloudservices in het hoger onderwijs - Sir Bakx

  • 1. SURF taskforce Cloud Juridisch Normenkader Cloud Services HO Sir Bakx
  • 2. Activiteiten Taskforce Cloud • Vendormanagement • SURFconext • Juridische en beveiligingszaken • Ontwikkeling Sourcingstrategie HO-instelling • IAAS-pilots • Project Federatieve Community Cloud • Ontwikkeling Maturity scan sourcing • Opslag en ontsluiten researchdata • Toetsen en toetsgestuurd leren • Bestuursseminar 14 november over Cloud en DLWO • CloudTimes • Project Regie in de Cloud (k€600) • Gemeenschappelijke i-Strategie HO (19 november) 1 Juridisch Normenkader Cloud Services HO
  • 3. Juridisch Normenkader Cloud Services HO Doel: • ‘Tien geboden’: een bestuurlijk gedragen normenkader voor juridische clausules over gegevenbeheer in overeenkomsten / SLA’s met cloud-leveranciers • Must-have / Nice-to-have (MoSCoW) • Inkoopkracht (maturity) van HO-instelling en SURFmarket 2 Juridisch Normenkader Cloud Services HO
  • 4. Wat is er al? (www.surf.nl/cloud) • Cloud Computing & Privacy (Checklist privacy afspraken) • Privacy & Security in de Cloud (tools en technieken) • Zienswijze CBP Amerikaanse leverancier • Cloud diensten & USA Patriot Act • Nieuw: Cloud best practice clausules 3 Juridisch Normenkader Cloud Services HO
  • 5. Cloud best practices clausules Focus op data bij cloud-leverancier: • Privacy • Vertrouwelijkheid • Eigendom • Beschikbaarheid 4 Juridisch Normenkader Cloud Services HO
  • 6. Zienswijze CPB • Verantwoordelijke is wettelijk aansprakelijk voor doorgifte, opslag en bewerking van gegevens door bewerker • Zelfregulering bewerker (Save Harbor, e.d.) is onvoldoende waarborging • Verantwoordelijke dient voldoende technische en organisatorische maatregelen in een overeenkomst/SLA vast te leggen als beveiliging tegen verlies en onrechtmatige verwerking • Waar nodig ook geheimhouding, beschreven maatregelen en controle, ook in het geval van sub- leveranciers 5 Juridisch Normenkader Cloud Services HO
  • 7. Voorbeeld clausules • Voor zover Leverancier in het kader van de uitvoering van deze Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is Afnemer aan te merken als verantwoordelijke en Leverancier als bewerker in de zin van de Wet bescherming persoonsgegevens. • Leverancier zal zijn volledige medewerking verlenen opdat Afnemer kan voldoen aan zijn wettelijke verplichtingen in het geval dat een Betrokkene zijn rechten uitoefent op grond van de Wet bescherming persoonsgegevens of andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens. • … 6 Juridisch Normenkader Cloud Services HO
  • 8. Patriot Act 1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t. de opvraging door (alle) overheden van gegevens t.b.v. de nationale veiligheid en strafvervolging. "Cloud-data" worden als zodanig steeds belangrijker voor overheden. 2. De wet- en regelgeving van de VS biedt geen enkele bescherming van gegevens van of over niet-burgers en niet-ingezetenen van de VS buiten de VS, dus ook niet van of over Nederlanders. 3. Bedrijven die structurele activiteiten ontplooien binnen de VS vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn aan deze wet- en regelgeving. De gegevens die zij in beheer hebben zijn dus toegankelijk voor de overheid van de VS. N.B. ook via ‘bevriende’ overheidsdiensten. 7 Juridisch Normenkader Cloud Services HO
  • 9. Patriot Act 4. Door categorisering door de HO-instelling naar vertrouwelijkheid of privacy van de aan de orde zijnde gegevens kan de instelling vaststellen of onderbrenging bij de cloud-leverancier mogelijk een te hoog risico is. Het is aan te bevelen de criteria voor deze beoordeling als HO-sector op te stellen. 5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen van privacy en vertrouwelijkheid naar Nederlandse en Europese maat. Daarbij is het aan te bevelen om als sector een uniform protocol op te stellen voor omgang met gegevensvordering door overheden. 8 Juridisch Normenkader Cloud Services HO
  • 10. Patriot Act 6. Belang van back-up en verwijdering gegevens bij einde contract / faillissement / overname 7. Ook: techniek, voorlichting, gedragscode, … 8. Voortdurende verandering van relevante wet- en regelgeving rond mogelijke toegang door overheden tot gegevens. Een structurele beoordeling en weging daarvan is daarom sterk aan te bevelen. 9 Juridisch Normenkader Cloud Services HO
  • 11. Voorbeeld clausules • Leverancier zal alle Gegevens die hem in het kader van de uitvoering van deze Overeenkomst ter kennis of beschikking komen, geheimhouden en op geen enkele wijze verder bekendmaken en/of aan derden verstrekken, behalve voor zover: a ) bekendmaking en/of verstrekking van die Gegevens in het kader van de uitvoering van deze Overeenkomst noodzakelijk is; b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot bekendmaking en/of verstrekking van die Gegevens of informatie verplicht; c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met voorafgaande schriftelijke toestemming van Afnemer; dan wel d ) het informatie betreft die al openbaar was op een andere wijze dan door het handelen of nalaten van Leverancier. 10 Juridisch Normenkader Cloud Services HO
  • 12. Voorbeeld clausules • Indien Leverancier een verzoek van een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier uitsluitend aan een dergelijk verzoek zijn medewerking verlenen, indien hij daartoe wettelijk verplicht is (daaronder begrepen een verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter waarborging van de bescherming van de Gegevens zal Leverancier alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan strikt noodzakelijk om aan het verzoek te voldoen. Indien de mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot verstrekking van Gegevens of een eventueel verbod om derden over het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen kosten) ten volle benutten. 11 Juridisch Normenkader Cloud Services HO
  • 13. Voorbeeld clausules • Indien het Leverancier op basis van het aan hem gerichte verzoek tot verstrekking van Gegevens niet is toegestaan om derden, waaronder Afnemer, in te lichten over het ontvangen verzoek tot en de eventuele opvolgende verstrekking aan een Nederlandse of buitenlandse opsporings-, strafvorderings- of nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend in het kader van het betreffende verzoek de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens voor de verstrekking van de betreffende Gegevens. Zodra dit Leverancier is toegestaan, zal hij Afnemer inlichten over ontvangen verzoeken en eventuele opvolgende verstrekkingen van Gegevens. • … 12 Juridisch Normenkader Cloud Services HO
  • 14. Eigendom: voorbeeld clausules • Alle (intellectuele) eigendomsrechten - daaronder begrepen enig auteursrecht en databankenrecht - op (het bestand c.q. de bestanden van) de Gegevens blijven te allen tijde berusten bij Afnemer, de betreffende Gebruiker, dan wel hun respectievelijke licentiegever(s). Leverancier krijgt een licentie om de Gegevens te verwerken voor zover nodig voor de uitvoering van de Overeenkomst. • Leverancier heeft geen zelfstandige zeggenschap over de Gegevens die door hem worden verwerkt. De zeggenschap over de Gegevens berust bij Afnemer en/of de betreffende Gebruiker. • … 13 Juridisch Normenkader Cloud Services HO
  • 15. Beschikbaar: voorbeeld clausules • Het in de SLA aangegeven beschikbaarheidsniveau van de Clouddienst (en daarmee van de Gegevens) zal per kalendermaand worden gemeten op de wijze zoals in Bijlage X is aangegeven. • Indien Leverancier een derde inschakelt voor de verlening van de Clouddienst, ontheft dit Leverancier niet van zijn verplichtingen zoals hierboven omschreven met betrekking tot de verwerking van de Gegevens. Leverancier zal ervoor zorgdragen dat de betreffende derde eveneens handelt in overeenstemming met de bovenstaande bepalingen met betrekking tot de verwerking van Gegevens. • … 14 Juridisch Normenkader Cloud Services HO
  • 16. Normenkader: Under construction Eerste opzet: Van Doorne Advocaten Consultatie van Juridische deskundigen / betrokkenen SURF Juridische adviseurs universiteiten en hogescholen SURF Ibo CIO Beraad, CvDUR, COMIT, … Vendors … Tenslotte: Commitment besturen HO 15 Juridisch Normenkader Cloud Services HO
  • 17. Normenkader: Under construction Vragen: • Best practice clausules in de Van Doorne notitie ok? • Voldoende aanknopingspunten voor de cruciale risico-analyse door de instelling op basis van data-classificatie naar vereiste privacy, vertrouwelijkheid, eigendom en beschikbaarheid? • Technische randvoorwaarden voor de clausules, zoals controlesysteem van beschikbaarheid, inzet van encryptie, standaarden voor identity- en access-management, enzovoort? • ‘Instructies’ door de instelling aan de cloud-leverancier, zoals vereist voor de verantwoordelijkheid van de instelling in het licht van privacy en vertrouwelijkheid? 16 Juridisch Normenkader Cloud Services HO
  • 18. Normenkader: Under construction Vragen (vervolg): • Classificatie van de voorgelegde clausules naar ‘must-haves’ in de overeenkomst, die het HO daarmee als voorwaarden stelt wil een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’, die door het HO uitdrukkelijk als wenselijk aanmerkt in de overeenkomsten? • Hoe kan het vervolgbeheer van het Juridische Normenkader worden ingericht en aangestuurd (governance) opdat deze steeds up-to-date naar zich wijzigende omstandigheden kan worden voorgesteld en vastgesteld? 16 Juridisch Normenkader Cloud Services HO
  • 19. Data classificatie Bijvoorbeeld CBP: • Risicoklasse 0: publiek niveau • Vb: persoonsgegevens op internetsite • geen specifieke maatregelen • Risicoklasse 1: basis niveau • Vb: arbeids- of studie-relatie • maatregel: zorgvuldige, gedocumenteerde verwerking • Risicoklasse 2: verhoogd risico • Vb: persoonlijke situatie • maatregel: vertrouwelijke toegang in contract • Risicoklasse 3: hoog risico • Vb: belangen betrokken ernstig geschaad • maatregel: verzekerde controle 17 Juridisch Normenkader Cloud Services HO
  • 20. Classificatie cloud-services 2: verhoogd risico 0: publiek niveau 1: basis niveau 3: hoog risico "Sourcable unit", Vb ELO SIS Digitaal toets systeem Ac. Repository Corporate website HRM Communicatie platform IAM Data storage - backup 17 Juridisch Normenkader Cloud Services HO