2. Activiteiten Taskforce Cloud
• Vendormanagement
• SURFconext
• Juridische en beveiligingszaken
• Ontwikkeling Sourcingstrategie HO-instelling
• IAAS-pilots
• Project Federatieve Community Cloud
• Ontwikkeling Maturity scan sourcing
• Opslag en ontsluiten researchdata
• Toetsen en toetsgestuurd leren
• Bestuursseminar 14 november over Cloud en
DLWO
• CloudTimes
• Project Regie in de Cloud (k€600)
• Gemeenschappelijke i-Strategie HO (19 november)
1 Juridisch Normenkader Cloud Services HO
3. Juridisch Normenkader Cloud Services HO
Doel:
• ‘Tien geboden’: een bestuurlijk gedragen
normenkader voor juridische clausules over
gegevenbeheer in overeenkomsten / SLA’s
met cloud-leveranciers
• Must-have / Nice-to-have (MoSCoW)
• Inkoopkracht (maturity) van HO-instelling en
SURFmarket
2 Juridisch Normenkader Cloud Services HO
4. Wat is er al? (www.surf.nl/cloud)
• Cloud Computing & Privacy (Checklist
privacy afspraken)
• Privacy & Security in de Cloud (tools en
technieken)
• Zienswijze CBP Amerikaanse leverancier
• Cloud diensten & USA Patriot Act
• Nieuw: Cloud best practice clausules
3 Juridisch Normenkader Cloud Services HO
5. Cloud best practices clausules
Focus op data bij cloud-leverancier:
• Privacy
• Vertrouwelijkheid
• Eigendom
• Beschikbaarheid
4 Juridisch Normenkader Cloud Services HO
6. Zienswijze CPB
• Verantwoordelijke is wettelijk aansprakelijk voor
doorgifte, opslag en bewerking van gegevens door
bewerker
• Zelfregulering bewerker (Save Harbor, e.d.) is
onvoldoende waarborging
• Verantwoordelijke dient voldoende technische en
organisatorische maatregelen in een overeenkomst/SLA
vast te leggen als beveiliging tegen verlies en
onrechtmatige verwerking
• Waar nodig ook geheimhouding, beschreven
maatregelen en controle, ook in het geval van sub-
leveranciers
5 Juridisch Normenkader Cloud Services HO
7. Voorbeeld clausules
• Voor zover Leverancier in het kader van de uitvoering van deze
Overeenkomst voor Afnemer Persoonsgegevens verwerkt, is
Afnemer aan te merken als verantwoordelijke en Leverancier als
bewerker in de zin van de Wet bescherming persoonsgegevens.
• Leverancier zal zijn volledige medewerking verlenen opdat
Afnemer kan voldoen aan zijn wettelijke verplichtingen in het
geval dat een Betrokkene zijn rechten uitoefent op grond van de
Wet bescherming persoonsgegevens of andere toepasselijke
regelgeving betreffende de verwerking van Persoonsgegevens.
• …
6 Juridisch Normenkader Cloud Services HO
8. Patriot Act
1. De Patriot Act staat symbool voor alle wet- en regelgeving m.b.t.
de opvraging door (alle) overheden van gegevens t.b.v. de
nationale veiligheid en strafvervolging. "Cloud-data" worden als
zodanig steeds belangrijker voor overheden.
2. De wet- en regelgeving van de VS biedt geen enkele bescherming
van gegevens van of over niet-burgers en niet-ingezetenen van de
VS buiten de VS, dus ook niet van of over Nederlanders.
3. Bedrijven die structurele activiteiten ontplooien binnen de VS
vallen onder de jurisdictie van de VS, waardoor ze gebonden zijn
aan deze wet- en regelgeving. De gegevens die zij in beheer
hebben zijn dus toegankelijk voor de overheid van de VS. N.B.
ook via ‘bevriende’ overheidsdiensten.
7 Juridisch Normenkader Cloud Services HO
9. Patriot Act
4. Door categorisering door de HO-instelling naar vertrouwelijkheid of
privacy van de aan de orde zijnde gegevens kan de instelling
vaststellen of onderbrenging bij de cloud-leverancier mogelijk een
te hoog risico is. Het is aan te bevelen de criteria voor deze
beoordeling als HO-sector op te stellen.
5. Een daartoe ingerichte nationale- of sector-cloud biedt waarborgen
van privacy en vertrouwelijkheid naar Nederlandse en Europese
maat. Daarbij is het aan te bevelen om als sector een uniform
protocol op te stellen voor omgang met gegevensvordering door
overheden.
8 Juridisch Normenkader Cloud Services HO
10. Patriot Act
6. Belang van back-up en verwijdering gegevens bij einde contract /
faillissement / overname
7. Ook: techniek, voorlichting, gedragscode, …
8. Voortdurende verandering van relevante wet- en regelgeving rond
mogelijke toegang door overheden tot gegevens. Een structurele
beoordeling en weging daarvan is daarom sterk aan te bevelen.
9 Juridisch Normenkader Cloud Services HO
11. Voorbeeld clausules
• Leverancier zal alle Gegevens die hem in het kader van de uitvoering
van deze Overeenkomst ter kennis of beschikking komen,
geheimhouden en op geen enkele wijze verder bekendmaken en/of
aan derden verstrekken, behalve voor zover:
a ) bekendmaking en/of verstrekking van die Gegevens in het kader
van de uitvoering van deze Overeenkomst noodzakelijk is;
b ) enig wettelijk voorschrift of rechterlijke uitspraak hem tot
bekendmaking en/of verstrekking van die Gegevens of informatie
verplicht;
c ) bekendmaking en/of verstrekking van die Gegevens geschiedt met
voorafgaande schriftelijke toestemming van Afnemer; dan wel
d ) het informatie betreft die al openbaar was op een andere wijze dan
door het handelen of nalaten van Leverancier.
10 Juridisch Normenkader Cloud Services HO
12. Voorbeeld clausules
• Indien Leverancier een verzoek van een Nederlandse of buitenlandse
opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt
om (inzage in) Gegevens te verschaffen, waaronder maar niet beperkt
tot een verzoek op grond van de USA PATRIOT Act, zal Leverancier
uitsluitend aan een dergelijk verzoek zijn medewerking verlenen,
indien hij daartoe wettelijk verplicht is (daaronder begrepen een
verplichting voortvloeiende uit buitenlandse wet- of regelgeving). Ter
waarborging van de bescherming van de Gegevens zal Leverancier
alsdan ervoor zorgdragen dat hij niet meer Gegevens verstrekt dan
strikt noodzakelijk om aan het verzoek te voldoen. Indien de
mogelijkheid bestaat om in rechte op te komen tegen het verzoek tot
verstrekking van Gegevens of een eventueel verbod om derden over
het verzoek te informeren, zal Leverancier deze mogelijkheid (op eigen
kosten) ten volle benutten.
11 Juridisch Normenkader Cloud Services HO
13. Voorbeeld clausules
• Indien het Leverancier op basis van het aan hem gerichte
verzoek tot verstrekking van Gegevens niet is toegestaan om
derden, waaronder Afnemer, in te lichten over het ontvangen
verzoek tot en de eventuele opvolgende verstrekking aan een
Nederlandse of buitenlandse opsporings-, strafvorderings- of
nationale veiligheidsinstantie, dan wordt Leverancier uitsluitend
in het kader van het betreffende verzoek de
verantwoordelijke in de zin van de Wet bescherming
persoonsgegevens voor de verstrekking van de betreffende
Gegevens. Zodra dit Leverancier is toegestaan, zal hij
Afnemer inlichten over ontvangen verzoeken en eventuele
opvolgende verstrekkingen van Gegevens.
• …
12 Juridisch Normenkader Cloud Services HO
14. Eigendom: voorbeeld clausules
• Alle (intellectuele) eigendomsrechten - daaronder begrepen enig
auteursrecht en databankenrecht - op (het bestand c.q. de
bestanden van) de Gegevens blijven te allen tijde berusten bij
Afnemer, de betreffende Gebruiker, dan wel hun
respectievelijke licentiegever(s). Leverancier krijgt een
licentie om de Gegevens te verwerken voor zover nodig voor de
uitvoering van de Overeenkomst.
• Leverancier heeft geen zelfstandige zeggenschap over de
Gegevens die door hem worden verwerkt. De zeggenschap
over de Gegevens berust bij Afnemer en/of de betreffende
Gebruiker.
• …
13 Juridisch Normenkader Cloud Services HO
15. Beschikbaar: voorbeeld clausules
• Het in de SLA aangegeven beschikbaarheidsniveau van de
Clouddienst (en daarmee van de Gegevens) zal per
kalendermaand worden gemeten op de wijze zoals in Bijlage X
is aangegeven.
• Indien Leverancier een derde inschakelt voor de verlening van
de Clouddienst, ontheft dit Leverancier niet van zijn
verplichtingen zoals hierboven omschreven met betrekking tot
de verwerking van de Gegevens. Leverancier zal ervoor
zorgdragen dat de betreffende derde eveneens handelt in
overeenstemming met de bovenstaande bepalingen met
betrekking tot de verwerking van Gegevens.
• …
14 Juridisch Normenkader Cloud Services HO
16. Normenkader: Under construction
Eerste opzet: Van Doorne Advocaten
Consultatie van
Juridische deskundigen / betrokkenen SURF
Juridische adviseurs universiteiten en hogescholen
SURF Ibo
CIO Beraad, CvDUR, COMIT, …
Vendors
…
Tenslotte: Commitment besturen HO
15 Juridisch Normenkader Cloud Services HO
17. Normenkader: Under construction
Vragen:
• Best practice clausules in de Van Doorne notitie ok?
• Voldoende aanknopingspunten voor de cruciale risico-analyse
door de instelling op basis van data-classificatie naar vereiste
privacy, vertrouwelijkheid, eigendom en beschikbaarheid?
• Technische randvoorwaarden voor de clausules, zoals
controlesysteem van beschikbaarheid, inzet van encryptie,
standaarden voor identity- en access-management, enzovoort?
• ‘Instructies’ door de instelling aan de cloud-leverancier, zoals
vereist voor de verantwoordelijkheid van de instelling in het licht
van privacy en vertrouwelijkheid?
16 Juridisch Normenkader Cloud Services HO
18. Normenkader: Under construction
Vragen (vervolg):
• Classificatie van de voorgelegde clausules naar ‘must-haves’ in
de overeenkomst, die het HO daarmee als voorwaarden stelt wil
een overeenkomst tot stand kunnen komen, en ‘nice-to-haves’,
die door het HO uitdrukkelijk als wenselijk aanmerkt in de
overeenkomsten?
• Hoe kan het vervolgbeheer van het Juridische Normenkader
worden ingericht en aangestuurd (governance) opdat deze
steeds up-to-date naar zich wijzigende omstandigheden kan
worden voorgesteld en vastgesteld?
16 Juridisch Normenkader Cloud Services HO
19. Data classificatie
Bijvoorbeeld CBP:
• Risicoklasse 0: publiek niveau
• Vb: persoonsgegevens op internetsite
• geen specifieke maatregelen
• Risicoklasse 1: basis niveau
• Vb: arbeids- of studie-relatie
• maatregel: zorgvuldige, gedocumenteerde verwerking
• Risicoklasse 2: verhoogd risico
• Vb: persoonlijke situatie
• maatregel: vertrouwelijke toegang in contract
• Risicoklasse 3: hoog risico
• Vb: belangen betrokken ernstig geschaad
• maatregel: verzekerde controle
17 Juridisch Normenkader Cloud Services HO
20. Classificatie cloud-services
2: verhoogd risico
0: publiek niveau
1: basis niveau
3: hoog risico
"Sourcable unit", Vb
ELO
SIS
Digitaal toets systeem
Ac. Repository
Corporate website
HRM
Communicatie platform
IAM
Data storage - backup
17 Juridisch Normenkader Cloud Services HO