SURF Juridisch normenkader cloudservices WHAT’S NEXT @ SURFCONEXT
Olga Scholcz Juridisch Adviseur 24 november 2015
Anand Sheombar Contractmanager
SURF Normenkader
• Betreft contractuele bepalingen die worden opgenomen in de overeenkomst met de leverancier • Kent een differentiatie in bepalingen afhankelijk van risico analyse • Per bepaling is er een toelichting opgenomen die verwijst naar relevante regelgeving en de praktijk/classificatie van gegevens
SURF Normenkader Is opgesteld om te komen tot betrouwbare en veilige clouddienstverlening en stelt normen op het gebied van: • • • •
Vertrouwelijkheid Privacy Eigendom/zeggenschap Beschikbaarheid/continuïteit
Intenties • een krachtige onderhandelingspositie naar cloud-leveranciers (Google). Nodig: draagvlak en commitment • Privacy voor eindgebruiker en vertrouwelijkheid belangrijke onderwerpen voor SURF. Veel onderzoek en betrokkenheid bij dit onderwerp. Zienswijze Cbp en rapport over Patriot Act. Normenkader brengt dit samen. • Privacy en vertrouwelijkheid ook van belang voor instellingen. Denk ook aan reputatieschade, boetes
Hoe tot stand gekomen • • • • • • •
eerste opzet van Doorne advocaten besproken met juristen HO Uitwerking door externe jurist Wederom voorgelegd aan juristen HO Voorgelegd aan inkoopoverleg (HIP en UPI) Voorgelegd aan leveranciers (IBM, 2AT) Voorgelegd aan de stuurgroep informatiebeveiliging inclusief implementatie-strategie (besluit) • Voorgelegd aan platform bestuur SURF: vastgesteld inclusief implementatie strategie
Belangrijke bepalingen • Adequate beveiligingsmaatregelen - Hebben we verder uitgewerkt • Check op deze maatregelen en organisatie van aanbieder, d.m.v. audit/ tpm verklaring - hebben we verder uitgewerkt • Omgang met opsporingsverzoeken • Omgang met hulpleveranciers • Internationale uitwisselingen met landen met een afdoende beschermingsniveau
Aandachtspunten SURFconext & contract met leveranciers • Federated single sign on is qua informatie- en databescherming te prefereren boven rechtstreekse verbinding • Rechtstreekse afspraken tussen Service Provider en Instelling • SLA (weakest link) • Hierna EULA, TPM en Privacyrecht
EULA EULA Wat houdt het in: Eindgebruikersvoorwaarden; medewerker/student moet expliciet akkoord gaan. Wat komen we tegen: Soms afwijkende afspraken in de EULA die haaks staan op afspraken in de bemiddelingsovereenkomst en licentieovereenkomst. Wat doen we? • Check op die afwijkingen, vb. Data-eigendom, voldoen aan privacy wetgeving, geen gebruik voor reclame- en marketingdoeleinden, toepasselijk recht (NL of toch USA?). • In lijn brengen met HO normenkader en bepalingen van de licentieovereenkomst en 8 bemiddelingsovereenkomst.
TPM Wat houdt het in: Third Party Memorandum. Een verklaring die afgegeven wordt door een onafhankelijk auditpartij over de kwaliteit van een ICT-dienst (vb. ISAE 3402, ISO 27001) verleend aan de Instelling. Wat komen we tegen: “Wat is dat?”, “Waar toetsen jullie op?”, “Het is duur”. “We kunnen niet beloven dat we het gaan doen” zeggen vendoren. Wat doen we? • In gesprek gaan en vragen op welke manieren ze hun kwaliteit laten toetsen en leggen we achtergrond van de vraag uit (voortkomend uit HO normenkader; dit is wat instellingen willen, en aankomende privacy verordening, waarschijnlijk in 2016). • Suggesties geven om stappen te zetten in toetsing van de kwaliteit. • Invulling van de vendor wordt gecheckt door SURF security officer. • Inzicht geven aan Instelling in standpunt van de Vendor en gevolgen 9 hiervan. Comply or Explain principe.
Privacyrecht Wat houdt het in: wetgeving die toeziet op zorgvuldig verwerken van en omgaan met persoonsgegevens. • Persoonsgegevens zijn meer dan een naam of een e-mail adres; het betreft alle op persoon herleidbare gegevens. (incl. metadata). • Belangrijk daarbij is dat verwerking van persoonsgegevens binnen EER of landen met passend beschermingsniveau plaatsvindt.
Wat komen we tegen? Vendoren vinden de bepalingen omvangrijk. Het is onbekende materie. Wat doen we: uitleggen en begrip kweken. Achterhalen waar persoonsgevens verwerkt worden (lokatie servers). 10
