SURF Juridisch normenkader cloudservices Olga Scholcz Juridisch adviseur SURFmarket
SURF Normenkader Betreft contractuele bepalingen die worden opgenomen in de overeenkomst met de leverancier Kent een differentiatie in bepalingen afhankelijk van risico analyse Per bepaling is er een toelichting opgenomen die verwijst naar relevante regelgeving en de praktijk
SURF Normenkader Is opgesteld om te komen tot betrouwbare en veilige cloud dienstverlening en stelt normen op het gebied van: vertrouwelijkheid privacy Eigendom/zeggenschap Beschikbaarheid/ continuïteit
Belangrijke bepalingen Adequate beveiligingsmaatregelen Check op deze maatregelen en organisatie van aanbieder, dmv audit/tpm verklaring Omgang met opsporingsverzoeken Omgang met hulpleveranciers Internationale uitwisselingen met landen met een afdoende beschermingsniveau
Intenties een krachtige onderhandelingspositie te verwerven naar cloudleveranciers. (Google) Nodig hiervoor: draagvlak en commitment Privacy voor eindgebruiker en vertrouwelijkheid belangrijke onderwerpen voor SURF. Veel onderzoek en betrokkenheid bij dit onderwerp. Denk aan Zienswijze Cbp en rapport over Patriot Act. Normenkader brengt dit samen. Privacy en vertrouwelijkheid ook van belang voor instellingen. Denk aan reputatieschade, boetes etc.
Implementatie strategie Comply or explain Commissie met vertegenwoordigers HO en UMC’s (juristen, privacy-functionaris, security) Toetsing overeenkomsten cloudleveranciers en verdere ontwikkeling
vervolgstappen Inrichting juridische commissie Uitwerking audit en adequate beveiligingsmaatregelen Transparantie compliance van leveranciers (SURFdrive, Microsoft)
Verdere uitwerking Risicoklassen Doorgifte derden landen Continuïteit Exit procedure + voorlichting over het normenkader (extern)
Hoe tot stand gekomen? eerste opzet van Doorne advocaten besproken met juristen HO Uitwerking door externe jurist Wederom voorgelegd aan juristen HO Voorgelegd aan inkoopoverleg (HIP en UPI) Voorgelegd aan leveranciers (IBM, 2AT) Voorgelegd aan de stuurgroep informatiebeveiliging inclusief implementatie-strategie (besluit) Voorgelegd aan platform bestuur SURF (besluit) SURF benadert verenigingen voor commitment SURF trekt verzoek terug, zal ledenraad consulteren en instellingen apart benaderen.
Risicoanalyse Risicoklasse 0 (publiek niveau) Openbare persoonsgegevens (bijv. zakelijk emailadres op internet) Risicoklasse 1 (Basis niveau) Beperkt aantal persoonsgegevens dat betrekking heeft op de relatie tussen betrokkene en organisatie (bijv. de inschrijving van een student). Risicoklasse II (verhoogd risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld gegevens over de economische situatie van de betrokkene of een dyslexieverklaring. Risicoklasse III (Hoog risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld rapporten over de psychologische gesteldheid of medische gegevens in het kader van onderzoek.