SURF Normenkader HO Geert Eenink Teammanager Software & Cloud
SURF Normenkader Is opgesteld om te komen tot betrouwbare en veilige cloud dienstverlening en stelt normen op het gebied van: vertrouwelijkheid privacy eigendom beschikbaarheid 2
Intentie Draagvlak en commitment. Draagvlak is cruciaal om naar cloud-leveranciers toe een krachtige onderhandelingspositie te verwerven. Privacy en vertrouwelijkheid van belang voor SURF. Veel onderzoek en betrokkenheid bij dit onderwerp. Denk aan Zienswijze Cbp en rapport over Patriot Act. Normenkader brengt dit samen. Externe juridische expertise en juristen uit het HO ingezet om tot best-practice clausules te komen. 3
SURF Normenkader Betreft contractuele bepalingen die worden opgenomen in de overeenkomst met de leverancier. Kent een differentiatie in bepalingen afhankelijk van risico analyse. Per bepaling is er een toelichting opgenomen die verwijst naar relevante regelgeving en de praktijk. 4
Risicoanalyse Risicoklasse 0 (publiek niveau) Openbare persoonsgegevens (bijv. zakelijk emailadres op internet) Risicoklasse 1 (Basis niveau) Beperkt aantal persoonsgegevens dat betrekking heeft op de relatie tussen betrokkene en organisatie (bijv. de inschrijving van een student). Risicoklasse II (verhoogd risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld gegevens over de economische situatie van de betrokkene of een dyslexieverklaring. Risicoklasse III (Hoog risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld rapporten over de psychologische gesteldheid of medische gegevens in het kader van onderzoek. 5
Uitgangspunten 1 - 2 HO-normenkader is geen Chinese muur. HO-normenkader is een uiting van het serieuze belang dat het hoger onderwijs stelt in privacy en security van gegevens die in de cloud worden opgeslagen. Als cloudaanbieders onderdelen van het stuk niet kunnen waarmaken, dan zien we dit als een serieus probleem. We willen dan ook argumenten waarom zij dat niet kunnen. Comply or Explain. 6
Uitgangspunten 3 - 4 HO-normenkader is een afgeleide van de wettelijke verplichtingen, die instellingen hebben als zijnde beheerder van vertrouwelijke gegevens. HO-normenkader is een levend document. We zorgen ervoor dat de ontwikkelingen in de wet en regelgeving maar ook de input van aanbieders in de volgende versies worden verwerkt. 7
Vervolg versie. in vervolg versie ook eisen nieuwe wetgeving meenemen (bijv. meldplicht datalekken) onderscheid maken in soort clouddienst. infrastructurele clouddiensten (Iaas) anders benaderen dan bijv. applicatiediensten (Saas) audit-verplichting, differentiatie inbrengen om nieuwe innovatieve aanbieders of diensten met kleine omzet of gratis niet af te schrikken. dataportabiliteit nader invullen. Norm is nu algemeen. 8
Op de hoogte blijven http://www.surf.nl/ kennis-en innovatie/kennisbank/2013/juridisch- normenkader-cloud-services-hoger- onderwijs.html 9