TOWARDS THE CLOUDS, TOGETHER

TOWARDS THE CLOUDS, TOGETHER Collaboration on cloud services in research & education

Andres Steijaert Nordic e-Infrastructure Conference 2013

[email protected]

End user push 2 BILLION PEOPLE ONLINE 30% OF WORLD POPULATION

IT USED TO BE SCARCE NOW AVAILABLE IN ABUNDANCE Consumerization & commoditization

multi-device multi-service

User dem Data gro Cost savi Reduce e

ands for

wth

ngs (econ

nergy co

IT device

omize)

nsumpti

on

s and ser

vices

Beyond the hype...

›Your personal ‘USB-cloud-drive in your pocket’ ?

H om e or g an iz at io ns respo n sib le : h av e le gal obl i gati on t o p ro t e ct d a ta ( P ersonally I de nt ifiable I nf o r m ati o n )

For users not ' shadow IT ' but real IT !

Cloud computing from a user perspective:

Consuming ready to use online services, provided by external providers, through a pay-per-use model. removal of entry barriers Users will choose the easiest path Not about ‘how’ it is produced but about ‘what’ is offered what do I need now

users are choosers

Traditional supply chain ; cd-rom distribution, on-premise hosting

New supply chain ; cloud distribution model

Cloud

+ fast de livery, rapid upon-premise Traditional supply chain ; cd-rom distribution, dates, elahosting stic, pay-per-u se - Data ou tside of y organiza our own tion, trus t and con trol

New supply chain ; cloud distribution model

support to clouds

Help to bring cloud services to research and education with the right conditions of use

We need open, cross-organizational, online collaboration (interoperability), through standards: technical and legal

Let users choose between multiple cloud vendors and cloud services - multi-vendor approach Services provided by commercial vendors Services from within community

RENs rs. N ( s k or eir use h t o t ce s ity to n u m m cloud he co t e p l g e a ill h man ns of ANT w hase and o i t i d n co urc ect, p ith the right cs like w pi rvices gst them to rtability, on po se; am ability, data er y. nterop and privac y ecurit

acro rated d g n e t a n i dem ivery ing l t e a i d t o e ic eg and n ge and serv terms and ts, ra broke ork contrac ENs will be R w (frame ns of use) N ossible tio best p es. e condi h t t ic o ge d serv u able t o l c from value

den e w S T in E N se U u S . o t s r ple ide v m i o r s p a oud ide l v C tity o r n g p e n i d o i t s (the es u ngs i c r i D e I v ts f r f n M e o u s A s o s, t e i W c n l S c o b o i t t a a o a n t f i u l s o i va m) nt an Box e o g g r c g n m . i o n r e x i 7 e k g o f 1 y of ad w.b ana y lin h d B w m a . T w e d s ( E r r l n he ox e. UN na c c B S re a i r o i , a v a t d r 3 e a s e e 1 t s e s N 0 cr gra he y2 d re e t e r t NRE n h a t g n a i y u ) n r f i n f y n b l s a sta M Fe au ede sful t y o s t a w B e d S e . c l c n i c d o i r has su torage serv education easier cont yte of store B S r er Cloud on for high nd allows fo ximately 9T Y i T o a t r I a p d r V p e e I fi a T fed pli nd C m i a s A s r y l e t S E C I is grea rly 5000 us V R E a e S n h T t D R wi U E O A ity. L J

I C E Activ s T E d u S o H T S t to Cl and E T r o p E R p D ME N NT Su he initiated ously A A É G d, evi the r R u r P o l o . f E C s s e r LEAD is the activity eleSaUdeRFnet-tamskafonracgeement atchteivSitUi RFconneexctts f eijaert ember of th nd vendor elopment o ch intercon t S s e . Andr , as m rokerage a on the dev rk whi etherlands t o e w n e F b R m r At SU cloud m manage dleware fra ions in the N e h t ra ed mid nisat a a ; direct ed as prog g e r r o u uct ing. ion k t t r t r u a s o c p a w u r f m he tion in d higher ed n cloud co a r o b a er o s an coll k r a o e d p n ts ve cloud is a frequen s Andre

Let users choose between multiple cloud vendors and cloud services - multi-vendor approach Services provided by commercial vendors Services from within community

13

UNIVERSITY OF WASHINGTON Multi vendor strategy Google and Microsoft Integrate via standards (SAML, Grouper) ‘A tale of two clouds’ Terry Gray

http://bit.ly/aYfbwb

UNIVERSITY OF WASHINGTON CLOUD STRATEGY SHAPED BY FOUR KEY IDEAS Our community is already using and benefiting from a wide variety of cloud-based services, and it would be counterproductive to oppose their use despite the institutional concerns that come with the cloud. The university's risk profile would improve over the status quo by establishing one or more preferred collaboration platforms, backed by contract terms that address institutional risks. We should use the cloud opportunity to encourage collaboration across all sectors of our community (faculty, staff, and students) rather than, say, just using cloud services to get out of the student e-mail business. We should partner with both Microsoft and Google in order to provide the best options to our very diverse population.

servi

ce spe

cifica

price

tions

secur

ity &

priva

cy

Legis lation (nati o 'inter nal, EU, U natio nal c SA louds ') data porta bility inter opera bility

Use the value and size of our combined community 50 million users !

Cloud&services&via&SURF,&&beschikbaar&gemaakt&in&2012& & 1.  2.  3.  4.  5.  6.  7.  8.  9.  10.  11.  12.  13.  14.  15.  16.  17.  18.  19.  20. 

EDUgroepen (online collaboration based on Microsoft Sharepoint) Google Apps & Google Drive (online collaboration) Liferay (portal software) Cisco WebEx (video conferencing / webconferencing) Evernote (personal note taking) SAP Streamwork (online collaboration) IBM Connections (online collaboration) Sharespace Sakai (online collaboration & learning) Microsoft Office 365 (online collaboration) Microsoft IT Academy (online training for Microsoft products) Viadesk (online collaboration) Topdesk (e-HRM and facility management) Omnicard (RFID services and ID cards) PedIT (social learning) Sunday Afternoon (online learning) Teachers channel (online knowledge platform for teachers) ItsLearning (online learning) GreenQloud (infrastructure as a service: rekenkracht, virtuele servers in de cloud) Sara Life Science Grid portal (research service) Inuits Mediasalsa (video streaming service)

Data classification

AMOUNT OF PERSONAL DATA

TYPE OF PROCESSING

PERSONALLY IDENTIFIABLE INFORMATION

SPECIAL DATA (article 16 Dutch Data Protection Authority)

FINANCIAL OR ECONOMIC DATA

Low amount

Low complexity

Risk class 0 (public)

Risk class 2 (high)

Risk class 2 (high)

High amount

High complexity

Risk class 1 (standard)

Risk class 3 (very high)

Risk class 3 (very high)

In which cases can you consume public cloud services? --- use the cloud When to produce restricted community cloud services --- be a cloud provider

Cloud, a sourcing decision TEMPLATE TO HELP WITH CLOUD SOURCING http://www.surf.nl/cloud

Checklist contractual agreements http://www.surfsites.nl/cloud/download/ChecklistContractueleAfspraken.pdf

1. Schriftelijke overeenkomst

CLOUD COMPUTING & PRIVACY CHECKLIST CONTRACTUELE AFSPRAKEN

VERPLICHT/ WENSELIJK

Verplicht

WBP

Art. 14

De onderwijsinstelling en de cloud provider zijn verplicht een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens.

2. Adequaat beveiligen

Verplicht

Art. 13 en 14

De cloud provider moet de persoonsgegevens adequaat beveiligen. De beveiligingsplicht ziet zowel op dataverlies als op onbevoegde toegang tot persoonsgegevens.

De onderwijsinstelling die een cloud dienst wil afnemen, zal daarvoor een contract moeten sluiten met de cloud

ALGEMENE TOELICHTING

3. Omschrijven beveiligingsmaatregelen.

Het is daarom van belang de contracten van providers goed te bestuderen en zo mogelijk te vergelijken.

Verplicht

Art. 13 en 14

Soms worden privacy bepalingen opgenomen in URL-terms of in online privacy policies, die eenzijdig kunnen worden gewijzigd door de cloud provider, zonder dat de onderwijsinstelling hiervan op de hoogte wordt gesteld. Risico hiervan is dat de cloud provider het contract zodanig aanpast dat de onderwijsinstelling niet langer voldoet aan de Wbp. De onderwijsinstelling moet de overeenkomst daarom kunnen beëindigen als zij het niet eens is met dergelijke wijzigingen. Het contract dient bij voorkeur te verwijzen naar Nederlands recht en de Nederlandse rechter.

4. Controleren beveiliging

De onderwijsinstelling moet zorgdragen dat de cloud provider de persoonsgegevens adequaat beveiligt.

De perceptie bestaat dat cloud computing onveilig is. Naast beveiligingsrisico’s kent cloud computing echter ook beveiligingsvoordelen. De onderwijsinstelling zal op basis van een risicoanalyse moeten beoordelen of de provider voldoende waarborgen biedt. Daarbij geldt: hoe hoger het risico, hoe hoger het vereiste beveiligingsniveau. Als de onderwijsinstelling bijvoorbeeld verzuimgegevens van leerlingen wil opslaan in de cloud, dan is een hoger beveiligingsniveau vereist dan wanneer het gaat om adresgegevens van medewerkers.

We shall maintain appropriate administrative, physical, and technical safeguards for protection of the security, confidentiality and integrity of your data.

De meeste cloud leveranciers hebben in hun contract een algemene verplichting opgenomen om de persoonsgegevens adequaat te beveiligen. Een dergelijke bepaling alleen is niet voldoende. De beveiligingsmaatregelen moeten ook worden omschreven (zie hierna sub 3).

5. Verwerken in opdracht

Bij beveiligingsmaatregelen kan worden gedacht aan firewalls, wachtwoorden, encryptie van gegevens en een omschrijving van beveiligingsbeleid.

Vanuit beveiligings- en concurrentieoogpunt zijn cloud providers vaak terughoudend in het verschaffen van informatie over hun beveiligingsmaatregelen. In de praktijk wordt vaak verwezen naar certificering van de diensten of worden de maatregelen in algemene bewoordingen omschreven. Of dit voldoende is zal afhangen van de risicoanalyse die de onderwijsinstelling moet maken. De onderwijsinstelling mag bijvoorbeeld eerder volstaan met een algemene omschrijving van beveiligingsmaatregelen in het geval van verwerking van adresgegevens van medewerkers, dan wanneer er verzuimgegevens van leerlingen worden verwerkt.

Supplier has implemented at least industry standard systems and procedures to ensure the security and confidentiality of customer data, protect against anticipated threats or hazards to the security or integrity of customer data, and protect against unauthorized access to or use of customer data.

In de voorbeeldbepaling zijn de beveiligingsmaatregelen in algemene bewoordingen omschreven. Afhankelijk van de uitkomst van de risicoanalyse zou dit voldoende kunnen zijn, bijvoorbeeld in geval van verwerking van adresgegevens van medewerkers.

De beveiligingsmaatregelen m.b.t. persoonsgegevens van de provider moeten worden omschreven in het cloudcontract.

In de checklist Contractuele afspraken wordt aangegeven welke privacy afspraken verplicht en welke wenselijk zijn in het aangaan van een contract met een cloud provider. Deze checklist is bedoeld om naast een contract van een cloud provider te leggen of om contracten van verschillende providers met elkaar te vergelijken. De checklist is geen juridisch advies. Voor een sluitend juridisch advies kunt u het beste contact opnemen met een in IT-recht

7. Groepsmaatschappijen en onderaannemers.

VERPLICHT/ WENSELIJK Verplicht

WBP

Art. 12, 13 en 14

De cloud provider mag bij het verwerken van de persoonsgegevens alleen groepsmaatschappijen en onderaannemers inschakelen met wie hij een schriftelijke overeenkomst heeft gesloten waarin (i) geheimhoudings- en beveiligingsverplichtingen zijn opgenomen en (ii) de groepsmaatschappijen en onderaannemers zich verplichten om alleen in opdracht van de onderwijsinstelling persoonsgegevens te verwerken. De leverancier moet de onderwijsinstelling verder op de hoogte houden over de inschakeling van (nieuwe) hulpleveranciers zodat de onderwijsinstelling kan toezien op de naleving van zijn afspraken met leverancier.

8. Persoonsgegevens niet langer bewaren dan noodzakelijk.

ALGEMENE TOELICHTING

IN DE PRAKTIJK

Groepsmaatschappijen en onderaannemers zijn, net als de cloud provider, bewerkers in de zin van de Wbp en voor hen gelden in beginsel dezelfde verplichtingen als voor de cloud provider.

De meeste cloud providers zullen alleen groepsmaatschappijen en onderaannemers inschakelen die vergelijkbare geheimhoudings- en beveiligingsverplichtingen accepteren. Veel cloudcontracten bevatten een bepaling waarin dit aspect is geregeld.

De cloud provider moet ervoor zorgen dat de onderwijsinstelling de persoonsgegevens bij het einde van de overeenkomst weer uit de cloud kan halen. De persoonsgegevens moeten daarna worden verwijderd uit de systemen van de provider.

TOELICHTING OP VOORBEELDBEPALING Veel cloud providers maken gebruik van buitenlandse groepsmaatschappijen en onderaannemers. Daarvoor gelden aanvullende regels, zie sub 10.

AFSPRAAK

10. Verwerking alleen binnen Europese Unie of land met 'passend beschermingsniveau'

Verplicht

Art. 10

Verplicht

Art. 10

VERPLICHT/ WENSELIJK Wenselijk

De cloud provider mag de persoonsgegevens alleen verwerken in de Europese Unie of een land met 'passend beschermingsniveau'.

11. Informeren over beveiligingsincidenten

De onderwijsinstelling moet er als verantwoordelijke voor zorgdragen dat de cloud provider persoonsgegevens niet langer bewaart dan noodzakelijk.

De cloud provider hanteert doorgaans een standaardbewaartermijn als onderdeel van zijn standaarddienstverlening waarin is geregeld dat de gegevens na beëindiging van de overeenkomst worden vernietigd.

We will retain your information for as long as your account is active or as needed to provide you services. If you wish to cancel your account or request that we no longer use your information to provide you services, you may delete your account. We may retain and use your information as necessary to comply with our legal obligations, resolve disputes, and enforce our agreements.

Deze bepaling laat de cloud provider te veel ruimte om de gegevens na beëindiging te bewaren. Beter zou zijn om een absoluut recht op verwijdering van de data op te nemen in het contract.

Bij het einde van de overeenkomst zal de onderwijsinstelling de persoonsgegevens zelf weer willen beheren of willen onderbrengen bij een andere cloud provider.

Veel cloud providers geven hun klanten de mogelijkheid om hun gegevens (na beëindiging van de overeenkomst) uit de cloud te halen. Er zijn verschillende initiatieven in ontwikkeling die dit proces voor klanten proberen te vereenvoudigen. Zie bijvoorbeeld www. dataliberation.org.

Upon termination of the Agreement Supplier will retain the Customer Data for 28 days. After this period Supplier may permanently delete the Customer Data without prior notice. In that event Supplier can no longer provide a copy of the Customer Data to Customer.

Deze bepaling laat ongeregeld of de provider medewerking moet verlenen aan de onderwijsinstelling. Het verdient aanbeveling hier nadere afspraken over te maken. Ook is het zinvol om afspraken te maken over het bestandsformaat waarin de onderwijsinstelling de gegevens ontvangt.

De cloud provider mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de clouddiensten aan de onderwijsinstelling te leveren.

9. Data ook weer uit de cloud.

VOORBEELDBEPALING*

Supplier only shares personal information with other companies or individuals outside of supplier’s organisation in the following limited circumstances: […] We provide such information to our subsidiaries, affiliated companies or other trusted businesses or persons for the purpose of processing personal information on our behalf. We require that these parties agree to process such information based on our instructions and in compliance with this Privacy Policy and any other appropriate confidentiality and security measures.

CHECK

gespecialiseerd (advocaten)kantoor.

AFSPRAAK

Wenselijk

De cloud provider moet de onderwijsinstelling onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens.

WBP

Art. 76

AFSPRAAK

Supplier may make commercially reasonable changes to the URL Terms from time to time. If Supplier makes a material change to the URL Terms, Supplier will inform Customer sending an email to the Notification Email Address.

(kosten, service levels, juridische voorwaarden, etc.) waaraan dit gebruik is gebonden.

verplichtingen wordt voldaan, dan loopt de onderwijsinstelling het risico dat zij zelf in strijd handelt met de Wbp.

TOELICHTING OP VOORBEELDBEPALING

Partijen leggen hun afspraken doorgaans vast in het cloudcontract of een bijlage bij dit contract. Een afzonderlijke privacy overeenkomst is dus niet nodig. Het cloudcontract kan ook langs elektronische weg worden gesloten.

sluiten met een cloud provider. In het contract staan afspraken over het gebruik van de dienst en de voorwaarden

eenstemming met bepaalde verplichtingen uit de Wet bescherming persoonsgegevens (Wbp). Als niet aan deze

VOORBEELDBEPALING*

De Wbp noemt degene die ten behoeve van de verantwoordelijke gegevens verwerkt een bewerker. Cloud providers zullen in de meeste gevallen als een bewerker aangemerkt kunnen worden. Art. 14 Wbp stelt eisen aan de vorm en inhoud van de afspraken die de onderwijsinstelling met de bewerker maakt.

provider. Het kan voordelen opleveren om met meerdere onderwijsinstellingen gezamenlijk een contract af te

Het is belangrijk dat in het contract wordt verankerd dat de cloud provider persoonsgegevens verwerkt in over-

IN DE PRAKTIJK

CHECK

AFSPRAAK

ALGEMENE TOELICHTING

IN DE PRAKTIJK

Alle landen van de Europese Unie hebben een hoog niveau van privacybescherming. Daarnaast heeft de Europese Commissie een aantal landen aangewezen die een passend beschermingsniveau bieden (de zogenaamde ‘witte lijst’). Er gelden geen bijzondere regels voor verwerking van persoonsgegevens in deze landen. Is de cloud provider (of een van zijn datacenters) in een ander land gevestigd, dan gelden aanvullende, veelal complexe regels.

Lokalisatie of regionalisatie is een relatief eenvoudige oplossing voor een complex probleem onder de Wbp. Steeds meer providers komen klanten hierin tegemoet, omdat andere oplossingen vaak onvoldoende toereikend zijn.

Supplier and its U.S. subsidiaries are participants in the Safe Harbor program developed by the U.S. Department of Commerce and the European Union. These US group companies have certified that they adhere to the Safe Harbor Privacy Principles agreed upon by the U.S. and the E.U. The Safe Harbor certification for Supplier and its U.S. subsidiaries can be viewed on the U.S. Department of Commerce’s Safe Harbor Web site.

VOORBEELDBEPALING*

In geval van een beveiligingsincident (bijv. een datalek) zal de onderwijsinstelling willen kunnen beoordelen wat de gevolgen daarvan zijn en welke maatregelen kunnen worden getroffen om deze gevolgen te beperken (bijv. informeren van studenten).

Cloud providers zullen hier niet snel mee akkoord gaan, omdat ze niet graag naar buiten treden met beveiligingsincidenten.

Supplier shall promptly notify customer if it detects or reasonably suspects any incident in which the security, confidentiality or integrity of any customer data has been breached.

TOELICHTING OP VOORBEELDBEPALING Amerikaanse cloud providers die Safe Harbor gecertifieerd zijn worden geacht passende waarborgen te bieden (witte lijst). Een certificaat alleen is niet voldoende. De onderwijsinstelling moet controleren of de cloud leverancier daadwerkelijk passende waarborgen biedt. Zie ook de Factsheet Internationale regelgeving en het informatiedocument over de zienswijze van het College Bescherming Persoonsgegevens met de titel ‘Doorgifte van persoonsgegevens in de cloud’.

Het is aan te bevelen om ook afspraken te maken over de inhoud van de waarschuwing. Bijvoorbeeld door de provider te verplichten informatie te verschaffen over de omvang van het datalek en welke maatregelen zijn en zullen worden getroffen om de gevolgen van het datalek te beperken.

VERPLICHT/

IN DE PRAKTIJK

Art. 14

De onderwijsinstelling moet controleren of de cloud provider zijn beveiligingsverplichtingen nakomt.

Veel cloud providers hebben er bezwaar tegen dat klanten de beveiliging op locatie van provider komen controleren (audit). Ook hier wordt vaak verwezen naar certificering of wordt de provider verplicht om periodiek een verklaring van een onafhankelijke derde te overleggen. Volgens het Cbp kan een dergelijke verklaring onder bepaalde voorwaarden een middel zijn om te controleren of de cloud provider aan zijn beveiligingsverplichtingen voldoet. Zie ook document Beveiliging van persoonsgegevens in de cloud.

Verplicht

Art. 12 en 14

De cloud provider mag de persoonsgegevens van de onderwijsinstelling alleen verwerken voor zover dat noodzakelijk is om de clouddiensten aan de onderwijsinstelling te leveren. De cloud provider mag de persoonsgegevens niet voor eigen doeleinden gebruiken, zoals het rechtstreeks benaderen van studenten voor direct marketingdoeleinden.

In de praktijk zal het niet vaak voorkomen dat een cloud provider zich het recht voorbehoudt om persoonsgegevens van gebruikers van de clouddienst (bijv. studenten) voor eigen doeleinden te gebruiken.

Provider shall process the personal data on the instructions of Customer and in accordance with the provisions of the Agreement.

Op grond van deze bepaling mag de provider persoonsgegevens verwerken voor zover dat is bepaald in de overeenkomst. Het is daarom belangrijk de overeenkomst en eventuele bijlagen te controleren op mogelijk doeleinden voor verwerking.

Verplicht

Art. 8, 9, 12, 13 en 14

De cloud provider (en degenen die onder zijn gezag handelen, zoals bijvoorbeeld personeel), is in beginsel verplicht om persoonsgegevens geheim te houden. Er zijn uitzonderingen, bijvoorbeeld rechtmatige inzageverzoeken van bevoegde autoriteiten.

In de meeste cloudcontracten is een geheimhoudingsverplichting voor de provider opgenomen waarin dit aspect is geregeld.

Each party will: (a) protect the other party’s Confidential Information with the same standard of care it uses to protect its own Confidential Information; and (b) not disclose the Confidential Information, except to Affiliates who need to know it and who have agreed in writing to keep it confidential.

In deze geheimhoudsbepaling is opgenomen dat de cloud provider "Confidential Information" (waaronder ook persoonsgegevens worden verstaan) niet aan derden mag verstrekken, tenzij het gaat om groepsmaatschappijen van de cloud provider met wie hij een schriftelijke overeenkomst heeft gesloten waarin een geheimhoudingsverplichting is opgenomen. Dit laatste is onder voorwaarden toegestaan, zie hierna sub 7.

WENSELIJK

WBP

De cloud provider mag de persoonsgegevens van de onderwijsinstelling slechts in opdracht van de onderwijsinstelling verwerken.

6. Geen toegang derden Zonder toestemming van de onderwijsinstelling mag de cloud provider derden geen toegang geven tot de persoonsgegevens.

AFSPRAAK

13. Verplichtingen in geval van onderzoek autoriteiten

VERPLICHT/ WENSELIJK

WBP

Wenselijk

Indien de cloud provider door een autoriteit wordt verzocht om persoonsgegevens van de onderwijsinstelling te verstrekken, dan moet hij (i) de onderwijsinstelling onmiddellijk informeren, (ii) de onderwijsinstelling in staat stellen om zijn rechten te verdedigen en (iii) alle medewerking verlenen om de toegang zo beperkt mogelijk te houden.

14. Meewerken aan inzageverzoeken De cloud provider moet meewerken aan verzoeken van betrokkenen (bijv. studenten) om inzage en correctie van hun persoonsgegevens.

Wenselijk

Art. 35 en 36 Wbp

ALGEMENE TOELICHTING

IN DE PRAKTIJK

VOORBEELDBEPALING*

TOELICHTING OP

ALGEMENE TOELICHTING

Verplicht

De cloud provider moet de onderwijsinstelling in staat stellen om erop toe te zien of hij zijn verplichting tot adequate beveiliging nakomt.

CHECK

CHECK

English translation will follow

VOORBEELDBEPALING Deze voorbeeldbepaling staat niet in het cloudcontract, maar in de zogenaamde Frequently Asked Questions. Risico daarvan is dat de cloud provider de FAQ zodanig aanpast (zonder de onderwijsinstelling op de hoogte te stellen) dat de onderwijsinstelling niet langer voldoet aan de Wbp. De onderwijsinstelling moet de overeenkomst daarom kunnen beëindigen als zij dit te weten komt en het niet eens is met de wijzigingen van de FAQ.

VOORBEELDBEPALING*

TOELICHTING OP VOORBEELDBEPALING

Bij cloud computing worden persoonsgegevens niet meer op locatie van de onderwijsinstelling verwerkt. De onderwijsinstelling zal daarom door de cloud provider geïnformeerd moeten worden over eventuele verzoeken van autoriteiten wil de onderwijsinstelling daar adequaat op kunnen reageren.

Cloud providers kunnen hier bezwaar tegen hebben omdat het extra inspanning van ze vraagt die geen onderdeel is van hun standaard dienstverlening.

Each party may disclose the other party’s Confidential Information when required by law, or a binding legal request from a supervisory authority, but only after it, if legally permissible: (a) uses commercially reasonable efforts to notify the other party; and (b) gives the other party the chance to challenge the disclosure.

Deze bepaling verplicht de cloud provider om zich in te spannen de onderwijsinstelling tijdig te informeren over een inzageverzoek van een overheidsinstantie. Het is de provider soms wettelijk verboden om de onderwijsinstelling te informeren. Dat kan bijvoorbeeld het geval zijn bij strafrechtelijke onderzoeken en de US Patriot Act.

De betrokkenen hebben recht op inzage en correctie van hun persoonsgegevens.

Bij sommige typen cloud diensten zal de onderwijsinstelling de medewerking van de cloud provider nodig hebben om aan verzoeken om inzage of correctie te voldoen. Gedacht kan worden aan diensten waarbij een onderwijsinstelling zelf geen toegang heeft tot de persoonsgegevens van leerlingen.

Supplier shall promptly assist customer to (i) provide customer or the data subject access to the customer personal data, (ii) remove, block or correct the customer personal data, or (iii) demonstrate that the customer personal data that was incorrect has been removed, blocked or corrected.

De onderwijsinstelling is verplicht om binnen vier weken te reageren op inzageverzoeken. Het is aan te bevelen om deze tijdslijnen ook op te leggen aan de provider.

* Dit zijn willekeurige voorbeelden van veel voorkomende bepalingen uit Engelstalige cloud contracten.

12. Verwerking in overeenstemming Wbp De cloud provider moet de persoonsgegevens verwerken in overeenstemming met de Wbp.

Wenselijk

De Nederlandse cloud provider is zelfstandig verplicht zich aan de Wbp te houden. Echter, de onderwijsinstelling is vaak (mede-) aansprakelijk voor schendingen van de Wbp door de cloud provider. Indien naleving van de Wbp als een contractuele verplichting is opgenomen, kan de onderwijsinstelling het cloudcontract makkelijker beëindigen of schadevergoeding vorderen.

Aangezien de Nederlandse cloud provider ook zelfstandig verplicht is om zich aan de Wbp te houden, heeft deze hier doorgaans geen bezwaar tegen.

Customer shall be the data controller and Supplier shall be the data processor that processes personal data on behalf of Customer. Customer warrants that it will process its personal data in accordance with the Dutch Act on the Protection of Personal Data.

Hoewel deze bepaling duidelijk maakt dat de cloud provider slechts een bewerker is in de zin van de Wbp, verklaart de provider niet expliciet dat hij de persoonsgegevens zal verwerken in overeenstemming met de Wbp.

Op basis van de uitspraak van het CBP aangaande de zienswijze “Cloud diensten geleverd door leveranciers in de VS” is de checklist aangepast, conform deze zienswijze. De aanpassing van de checklist is opdracht gedaan van SURFnet in samenwerking met Project Moore Advocaten. Voor deze checklist geldt een CC-BY licentie.

Provide added value by means of a collaboration infrastructure, which interconnects cloud services and users

Institute U

Cloud service A

Institute V

Cloud service B

Institute W

Cloud service C

NREN AAI Institute X

Internal service A

Institute Y

Internal service B

Institute Z

Internal service C

Checklist technical aspects http://www.surfsites.nl/cloud/download/ChecklistMethodenenTechnieken.pdf English translation will follow See also

CLOUD COMPUTING PRIVACY & SECURITY CHECKLIST METHODEN EN TECHNIEKEN

SPECIFIEKE KENMERKEN

METHODE OF TECHNIEK

OPMERKING

STANDAARDEN / VOORBEELDEN

VAN METHODE/TECHNIEK

Authenticatie Om in te kunnen loggen bij de cloud dienst, verwijst de cloud dienst via SURFconext door naar de onderwijsinstelling. Hierdoor wordt de gebruiker op een veilige manier geauthentiseerd met de inlognaam en het wachtwoord dat verstrekt is door de onderwijsinstelling zelf. Deze gegevens komen op deze wijze niet in handen van de cloud provider.

SAML is de algemeen geaccepteerde standaard en wordt gebruikt binnen SURFconext. De cloud provider moet SAML ondersteunen. OpenID Connect is een nieuwe opkomende standaard die door een aantal bedrijven (waaronder Google en Microsoft) ontwikkeld wordt, mogelijk dat deze standaard op termijn populairder wordt dan SAML. Voorlopig moet SAML geëist worden.

Als een cloud provider niet is aangesloten bij SURFconext en dit ook niet wil, kan er ook rechtstreeks federatief gekoppeld worden met de onderwijsinstelling. Voor de gebruikerservaring en veiligheid maakt dit weinig uit, het is wel meer werk voor de ICT-afdeling.

[NIET DOEN] De cloud provider maakt direct gebruik van de gebruikersdirectory van de onderwijsinstelling om username/wachtwoord te valideren.

Vanuit beveiligingsoogpunt is dit niet goed! Technisch werkt dit wel, en kan de gebruikersdirectory van een een onderwijsinstelling gebruikers authenticeren met hun instellingsaccount. Maar de cloud provider komt op deze wijze in het bezit van de inloggegegvens (username en wachtwoord) van de gebruikers, wat grote risico's met zich meebrengt.

LDAP (Lightweight Directory Access Protocol, in Microsoft omgevingen meestal Active Directory) is de standaard voor gebruikersdirectories.

Naast dat de cloud provider toegang krijgt tot username en wachtwoord van gebruiker, zijn er meer risico's. Onder andere moet de directory via het internet benaderbaar zijn, dus er moet een 'gaatje' in de firewall zijn. Sommige cloud leveranciers stellen eisen aan het formaat van het opgeslagen wachtwoord (geen salt, bijvoorbeeld) wat helemaal af te raden is.

[OPTIONEEL] De cloud provider maakt het mogelijk om veiligere authenticatie te doen met een extra authenticatiemiddel.

Gebruikersnaam/wachtwoord wordt aangevuld met bijvoorbeeld SMS one-time-password of een onetime-password-token als dit volgens de onderwijsinstelling nodig is voor de specifieke cloud dienst.

SMS-diensten, One-Time-Password (OTP) tokens en Smart Phone apps (bv. tiqr, Google Authenticator) zijn te gebruiken voor meerdere service providers. OATH (Open Authentication) is een standaard voor OTP tokens.

Of extra authenticatie nodig is voor een cloud dienst is afhankelijk van de privacy- en frauderisico's die verbonden zijn aan gebruik van de cloud dienst.

De cloud provider biedt een flexibele oplossing voor autorisatie.

De rechten die een gebruiker in de cloud dienst heeft, moeten door de onderwijsinstelling ingesteld kunnen worden, zodat deze rechten in lijn zijn met het beleid van de instelling.

Role Based Access Control (RBAC) is een autorisatiemodel, waarin de rechten van een gebruiker in de cloud dienst aan de rol van de gebruiker in de instelling gekoppeld worden.

Alternatieve autorisatiemodellen die meer attributen (van de gebruiker, van de omgeving, …) worden aangeduid met de term Attribute Based Access Control (ABAC).

[OPTIONEEL] De cloud provider biedt een gestandaardiseerd koppelvlak voor autorisatie.

De policies die bepalen welke gebruiker wat mag bij de cloud dienst, kunnen bij de onderwijsinstelling staan, waardoor het makkelijker is hier overzicht en controle op te houden. De cloud dienst raadpleegt dan bij autorisatiebeslissingen de zogenaamde policy engine van de instelling.

XACML, de eXtensible Access Control Markup Language, geldt als de standaard voor centralisatie van autorisatie.

Centralisatie van autorisatie op basis van XACML is op dit moment nog niet mainstream en niet ingevoerd bij onderwijsinstellingen.

[OPTIONEEL] De cloud dienst biedt een federatief koppelvlak aan voor uitwisseling van rollen en rechten.

De autorisatiepolicies staan bij de cloud provider, en bepalen wie er toegang heeft op basis van attributen die de rol of rechten van een gebruiker weergeven. Actuele invulling van deze rollen en rechten kan via hetzelfde federatieve koppelvlak doorgegeven worden als waarmee authenticatie gebeurt.

Zie bij federatief inloggen: SAML, OpenId Connect.

De namen van relevante attributen en de betekenis moeten door de cloud provider vastgelegd zijn of ingesteld kunnen worden.

Jocelyn Manderveld, Joost van Dijk – SURFnet

over security en privacy. Met deze checklist kunnen onderwijsinstellingen bepalen of leveranciers van cloud diensten de benodigde bescherming van gegevens en privacy ook bieden. De checklist is gebaseerd op het rapport “Privacy & security in de cloud – een verkenning van tools en technieken” uit 2012. De methoden en

SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK

STANDAARDEN / VOORBEELDEN

OPMERKING

De verbinding met de cloud dienst is te allen tijde versleuteld.

De verbinding van de onderwijsinstelling naar de cloud dienst (typisch via een browser naar een Webportal, mogelijk ook via een machine-2-machine koppeling) is end-to-end versleuteld.

Een verbinding over HTTPS (TLS, SSL), in browsers aangegeven met een dicht slotje en/of een groene URL balk.

Afhankelijk van de toepassing kan het voldoende zijn om alleen de communicatie met betrekking tot authenticatie en autorisatie te versleutelen, bijvoorbeeld bij een site om wetenschappelijke literatuur te raadplegen.

De gegevens worden versleuteld opgeslagen. Maar de onderwijsinstelling blijft verantwoordelijk voor sleutelbeheer.

De sleutels waarmee de gegevens versleuteld zijn, zijn in beheer van de onderwijsinstelling. De data staat bij de clouddienst, maar is versleuteld, waardoor werknemers van de clouddienst deze niet kunnen lezen. Dit is extra veilig.

TrueCrypt is een software applicatie die gebruikt kan worden om te versleutelen, waarbij de onderwijsinstelling de sleutel bij zich kan houden.

Dit is slechts voor een beperkte set van cloud diensten mogelijk: zodra de cloud dienst bewerkingen uit moet voeren, heeft deze toegang tot de onversleutelde data en dus de sleutels nodig. Het bewerken van gegevens zonder de data eerste te ontsleutelen, is onderwerp van wetenschappelijk onderzoek (zie homomorfe versleuteling in het rapport).

[OF:] Als de cloud provider zelf verantwoordelijk is voor sleutelbeheer: Er vindt wel functiescheiding tussensleutelbeheer en (gebruikers)gegevensbeheer plaats bij de cloud provider.

Werknemers bij de clouddienst met toegang tot sleutels kunnen niet bij data van gebruikers, en vice versa: werknemers die wel bij de versleutelde data kunnen hebben juist geen toegang tot sleutels.

Door dit te doen heeft een kwaadwillende individuele werknemers van een cloud provider geen toegang tot de onversleutelde data.

Gebruikersbeheer

Autorisatie

Onderwijsinstellingen die een cloud dienst willen afnemen, moeten afspraken maken met de cloud provider

METHODE OF TECHNIEK

Encryptie

De cloud provider maakt federatief inloggen met het instellingsaccount mogelijk.

Martijn Oostdijk, Maarten Wegdam – Novay

CHECK

CHECK

http://www.surfnet.nl/en/Thema/coin/Pages/default.aspx

[NIET DOEN] De dienst koppelt direct met de directory (AD/LDAP) van de onderwijsinstelling om up-to-date gegevens over gebruikers op te halen.

De gebruikersdirectory van de onderwijsinstelling is de autoritieve bron van gebruikersgegevens, zoals naam, emailadres en afdeling. Hier rechtstreeks mee koppelen brengt veiligheids risico's met zich mee.

LDAP (Lightweight Directory Access Protocol, in Microsoft omgevingen meestal Active Directory) is de standaard voor gebruikersdirectories.

De cloud provider biedt een synchronisatie tool aan die toegang heeft tot de directory van de instelling en updates naar de cloud provider stuurt.

Hier ontstaat een indirecte koppeling die veiliger is. De directory van de onderwijsinstelling hoeft niet meer naar buiten toe open te staan.

Een voorbeeld is GADS (Google Apps Directory Sync).

De cloud dienst biedt een provisioning koppelvlak.

Gebruikersgegevens kunnen worden doorgegeven aan de cloud provider door middel van een veilige en hiervoor bedoelde standaard.

SPML (Service Provisioning Markup Language) is een standaard hiervoor die nooit populair is geworden. SCIM (System for Cross-domain Identity Management) lijkt een veelbelovende opvolger te zijn.

technieken die in dit rapport genoemd worden, komen terug in de items van deze checklist. Methoden en technieken die in de toekomst gebruikt kunnen worden, zijn wel opgenomen, maar hierbij is aangegeven

METHODE OF TECHNIEK

SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK

STANDAARDEN / VOORBEELDEN

OPMERKING

CHECK

CHECK

dat ze optioneel zijn.

SPECIFIEKE KENMERKEN

METHODE OF TECHNIEK

OPMERKING

STANDAARDEN / VOORBEELDEN

VAN METHODE/TECHNIEK

Audit (/security) standaarden

Personal (storage) clouds De cloud dienst biedt de mogelijkheid om gegevens op te halen (te importeren) bij andere diensten.

Gegevens die bij een andere cloud provider zijn opgeslagen, kunnen (met instemming van de gebruiker) geïmporteerd worden door de cloud provider.

OAuth: De gebruiker machtigt de cloud provider om namens de gebruiker gegevens op te halen bij een andere cloud provider.

Er ontstaan hierdoor twee kopieën van de gegevens bij de twee verschillende cloud providers.

[OPTIONEEL] De cloud dienst biedt een koppelvlak voor het bewerken van extern opgeslagen data.

De cloud dienst slaat de data die bewerkt wordt niet zelf op, maar laat de data bij een externe databron.

Dit kan doordat de dienst geïmplementeerd is als app die in een extern gehost trusted platform draait (zoals bij Qiy) of zelfs bij de gebruiker in de browser (zoals bij Unhosted.org).

Cloud providers staan dit momenteel niet toe. Er vindt wel een SURFnet/SARA pilot plaats met unhosted.org.

De cloud provider staat toe dat alle relevante data op verzoek als archief gedownload kan worden.

Dit kan gaan om data van één specifieke gebruiker, maar ook om alle data die van een onderwijsinstelling opgeslagen is. Bijvoorbeeld als er een contract met een andere cloud provider is afgesloten. De instelling moet een duidelijk beeld hebben wat relevante data per gebruiker is. Een databestand kan in de loop der jaren gigantisch groeien. De instelling moet de capaciteit hebben om die data (tijdelijk) op te slaan.

Zie Google's data liberation front.

Een archief met alle data is mogelijk niet direct te importeren bij een nieuwe cloud provider. Beleid moet zoveel mogelijk zijn: "data in", "data out" (i.e. hetzelfde formaat).

De cloud provider staat exporteren van data toe naar een andere cloud provider.

De cloud provider biedt een data-API aan die, met instemming van de gebruiker, door andere cloud providers gebruikt kan worden om data te exporteren.

Oauth (2.0) is de de-facto standaard voor het op een veilige manier beschikbaar stellen van een dataAPI.

De via Oauth ontsloten data-API zelf is daarmee nog niet gestandaardiseerd.

De cloud provider verwijdert alle gegevens op verzoek van de onderwijsinstelling (bijvoorbeeld bij beëindigen van contract) en kan dit ook garanderen.

Bij het beëindigen van het contract is het duidelijk dat er geen doelbinding meer is voor het opslaan van gebruikersdata. Deze data moet dus verwijderd worden.

De software waarmee de cloud dienst is geïmplementeerd, is volgens relevante standaarden beveiligd en van voldoende kwaliteit.

De beveiligingsmaatregelen bij de cloud provider zijn volgens een systematiek ingevoerd.

Er zijn technische en organisatorische richtlijnen opgesteld door onder andere het Nationaal Cybersecurity Centre en OWASP die zich richten op veilige web-applicaties. Ook relevant zijn richtlijnen die focussen op kwaliteit van code in het algemeen (en dus de kans op exploiteerbare fouten verminderen).

NCSC richtlijn (ICT-Beveiligingsrichtlijnen voor webapplicaties), OWASP Top 10 (2010).

OWASP

NCSC

De cloud provider heeft technische en organisatorische maatregelen op een systematische manier doorgevoerd, zodat deze geaudit kunnen worden.

De ISO 27001 standaard definieert hoe een Information Security Management System (ISMS) geïmplementeerd moet worden. Een auditor beoordeelt of een ISMS bij een cloud provider volgens deze standaard ingevoerd.

Salesforce.com, Google apps for business, Microsoft Azure, Amazon AWS zijn allemaal ISO 27001 gecertificeerd. Let wel op dat de scope van het ISMS alle relevante systemen en services omvat.

ISO 27001 bij NEN

Exit-strategie In het land waar de cloud provider de dienst host geldt privacywetgeving op basis van richtlijn 95/46/EG.

De databeschermingrichtlijn 95/46/EG bindt de verwerker en alle deel-bewerkers van persoonlijke data aan regels ter bescherming van de privacy.

Richtlijn 95/46/EG is in de Europese Unie ingevoerd. In Nederland als de Wet Bescherming Persoonsgegevens (WBP).

De Europese Commissie bereidt een nieuwe richtlijn voor waarvan begin 2012 een draft versie verschenen is: 2012/010 (COD).

Bovenstaande maatregelen zijn door een, daartoe bevoegde, derde partij gecontroleerd.

Een cloud provider kan niet alleen naar eigen zeggen, maar door onafhankelijk deskundige het bewijs overleggen (third party mededeling, TPM) dat privacy maatregelen zijn ingevoerd.

ISAE 3402 (en SSAE 16, dit is de Amerikaans uitwerking van ISAE 3402) zijn standaarden voor het opstellen van een TPM.

De derde partij heeft gecontroleerd dat de beschreven maatregelen daadwerkelijk zijn ingevoerd door de cloud provider. Dat de beschreven maatregelen van voldoende niveau zijn moet nog steeds gecontroleerd worden door de instelling.

[ALS DAN TOCH] Als bewust gekozen wordt voor een cloud provider in de VS (of provider die veel zaken doet met VS), dan: (1) moet deze zich aan de 'Safe Harbor Principles' houden, en (2) moeten de getroffen maatregelen bij de cloud provider bevestigd zijn in een third party mededeling (zie boven), en (3) moet de onderwijsinstelling controleren dat de getroffen maatregelen, zoals genoemd in de TPM afdoende zijn.

Een cloud provider en eventuele deelbewerkers uit de VS houden zich aantoonbaar aan de Safe Harbor Principles, waarbij een TPM nodig is die 95/46/EG gelijk waardig is.

ISAE 34092

Bij het verwijderen van gegevens (zoals hierboven) wordt door de cloud provider gegarandeerd dat de betreffende gegevens uit de back-ups worden verwijderd.

Dit kan een restore onmogelijk maken. Ook geldt dat sommige loggegevens niet zomaar weggegooid mogen worden.

Safe Harbor Principles, inclusief FAQ vraag en antwoorden.

Safe Harbor beginselen Quote: Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse clouddienstverlener zich heeft verplicht tot naleving van de zogeheten Safe Harbor Principles (Veilige Haven Beginselen). De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een ‘passend beschermingsniveau’. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese inclusief Nederlandse privacywetgeving. Voor naleving van de wet blijft de Nederlandse afnemer van clouddiensten verantwoordelijk, aldus het CBP.

Zie zienswijze van CBP naar aanleiding van vragen van SURFmarket.

Zienswijze

Ook autorisaties kunnen op deze manier doorgegeven worden aan de cloud provider.

CLOUD SERVICES

Empower users to consume the online services they want and need: users are choosers Disrupt the traditional software distribution model and supply chain; Require collaboration between research and education organisations, to prevent 'cloud fragmentation' and provide interoperability and security.

Connect the clouds

Towards the clouds, together

Andres Steijaert [email protected]

http://www.geant.net/Services/Cloud-Services/ http://www.surf/nl/cloud

@steijaert

Thank you! Connect | Communicate | Collaborate

www.geant.net www.twitter.com/GEANTnews | www.facebook.com/GEANTnetwork | www.youtube.com/GEANTtv

Connect | Communicate | Collaborate

29