SURF Juridisch normenkader cloudservices

Slides:



Advertisements
Verwante presentaties
Aan de slag met Cloud Computing
Advertisements

mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
Prof. dr. Harry Martens voorzitter Raad Hoger Onderwijs
Netwerk informatie managers bijeenkomst, 13 februari 2014.
Informatiebeveiliging
Commissie Wijkgericht werken
Testdata Management Ketentest
“HDN en de zorgplicht in de keten”
Het opzetten van een kwaliteitssysteem
Accreditatierichtlijn beveiliging van bestanden
Workshop AO binnen de bestaande structuur
De Richtlijn « Diensten » 2006/123/EG en de sociale zekerheid Geneviève Pietquin FOD Sociale Zekerheid.
Doelstelling 2 Amsterdam Groot Oost
Peter Schwartz The art of the long view stappenplan
Hoofdstuk 7 Procesmanagement.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Stichting Urgentiebepaling
Netwerkdag 15 april Implementatie Handhaving in de VR 2 Workshop Implementatie Handhaving in de VR Robert Luinge 15 april 2009.
Waarom nieuwe privacy richtlijnen?
Outsourcing en concentratietoezicht Mr. W. Knibbeler.
MSF FysiotherapeutenDeventerSalland i.o. 13 september 2010.
EOR en Vakbond Discussieaanzet FNV Europa conferentie, Sjef Stoop, FNV Formaat.
Edukoppeling certificering
Informatiemanagement
Een zorgsysteem voor betere arbeidsomstandigheden
Privacy en beveiliging
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Wetgeving digitale overheid (GDI)
Informatiebeveiliging in het onderwijs. Doel 1.Informeren over de rol van Edustandaard ten aanzien van informatiebeveiliging 2.Doorspreken over de rol.
Certificeringsschema
Informatiebeveiliging in het onderwijs. Doel Bespreken van…. Wat moet de rol van Edustandaard zijn ten aanzien van informatiebeveiliging binnen het onderwijs?
Scoring in het licht van de WBP Serge van Nuijs DMSA,
Persoonsgegevens en de Wbp
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
In het hoger onderwijs Identity Management. partner in IGI Group Peter Jurg.
Decentralisaties en gegevensverwerking. Even voorstellen Henk Wolsink Teamleider Algemeen Juridische Zaken gemeente Hengelo Adhoc werkgroep privacy provinciebreed.
De compliance officer: Blijver en bijter Jaap Koelewijn 16 november 2006.
1 Project energiebesparing bij bedrijven “special” gemeentelijke gebouwen / kantoren Piet Wildschut 21 april 2016.
Biologisch Archeologisch Platform Certificering specialistisch onderzoek.
Het Virtueel Kantoor Een eerste toelichting op het Virtueel Kantoor voor pgo-organisaties.
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
Elektronische Zorgoverdracht Is XDW een mogelijke oplossing? 22 mei – Jan Feenstra.
AMS O / 1 CDD onder de Wwft Vereniging van Compliance Officers Amsterdam, 22 januari 2008 Kleis Broekhuizen Joost Italianer.
Accountantscontrole Beoordeling registratiesystemen 18 juni 2009 Utrecht 1 Stedendag verantwoording GSBIII
Wachtwoord veranderen Data lekken Privacyreglement Beveiliging Toestemming Privacy Je wordt gebeld … Moeilijk doen Bewerkersovereenkomst Privé.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
Privacy Sociaal Domein. Voorstel  Vaststellen kadernotitie gegevensdeling & Privacy.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.
Datacenter versus Cloud
Aanbesteden ICT outhousing en outsourcing
Financiële rechtmatigheid
Privacy… ook voor jou? Informatiebeveiliging en privacy in het mbo
mr. dr. Harm Borgers 14 november 2016
Oprichting van de BIZ Krabbepolder/Zeehavengebied (Zuid)
Het verwijzingsrepertorium Implementatie van het project "Hubs-Metahub" 1.
Format Presentatie CISO aan gemeentebestuur
Risicoanalyse … waarom?
ZIVVER introductie implementatieaanpak
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Governance model PGS nieuwe stijl
Privacy en Leerplicht/RMC
Snelheid, overzicht en transparantie
Risicoanalyse … waarom?
Privacy Wat moet je weten van de nieuwe privacyverordening
COmmissie REgelgeving ONderzoek
Privacy en bescherming persoonsgegevens 2018
Risicoanalyse … waarom?
Transcript van de presentatie:

SURF Juridisch normenkader cloudservices Olga Scholcz Juridisch adviseur SURFmarket

SURF Normenkader Betreft contractuele bepalingen die worden opgenomen in de overeenkomst met de leverancier Kent een differentiatie in bepalingen afhankelijk van risico analyse Per bepaling is er een toelichting opgenomen die verwijst naar relevante regelgeving en de praktijk

SURF Normenkader Is opgesteld om te komen tot betrouwbare en veilige cloud dienstverlening en stelt normen op het gebied van: vertrouwelijkheid privacy Eigendom/zeggenschap Beschikbaarheid/ continuïteit

Belangrijke bepalingen Adequate beveiligingsmaatregelen Check op deze maatregelen en organisatie van aanbieder, dmv audit/tpm verklaring Omgang met opsporingsverzoeken Omgang met hulpleveranciers Internationale uitwisselingen met landen met een afdoende beschermingsniveau

Intenties een krachtige onderhandelingspositie te verwerven naar cloudleveranciers. (Google) Nodig hiervoor: draagvlak en commitment Privacy voor eindgebruiker en vertrouwelijkheid belangrijke onderwerpen voor SURF. Veel onderzoek en betrokkenheid bij dit onderwerp. Denk aan Zienswijze Cbp en rapport over Patriot Act. Normenkader brengt dit samen. Privacy en vertrouwelijkheid ook van belang voor instellingen. Denk aan reputatieschade, boetes etc.

Implementatie strategie Comply or explain Commissie met vertegenwoordigers HO en UMC’s (juristen, privacy-functionaris, security) Toetsing overeenkomsten cloudleveranciers en verdere ontwikkeling

vervolgstappen Inrichting juridische commissie Uitwerking audit en adequate beveiligingsmaatregelen Transparantie compliance van leveranciers (SURFdrive, Microsoft)

Verdere uitwerking Risicoklassen Doorgifte derden landen Continuïteit Exit procedure + voorlichting over het normenkader (extern)

Hoe tot stand gekomen? eerste opzet van Doorne advocaten besproken met juristen HO Uitwerking door externe jurist Wederom voorgelegd aan juristen HO Voorgelegd aan inkoopoverleg (HIP en UPI) Voorgelegd aan leveranciers (IBM, 2AT) Voorgelegd aan de stuurgroep informatiebeveiliging inclusief implementatie-strategie (besluit) Voorgelegd aan platform bestuur SURF (besluit) SURF benadert verenigingen voor commitment SURF trekt verzoek terug, zal ledenraad consulteren en instellingen apart benaderen.

Risicoanalyse Risicoklasse 0 (publiek niveau) Openbare persoonsgegevens (bijv. zakelijk emailadres op internet) Risicoklasse 1 (Basis niveau) Beperkt aantal persoonsgegevens dat betrekking heeft op de relatie tussen betrokkene en organisatie (bijv. de inschrijving van een student). Risicoklasse II (verhoogd risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld gegevens over de economische situatie van de betrokkene of een dyslexieverklaring. Risicoklasse III (Hoog risico) Hieronder vallen bijzondere persoonsgegevens en bijvoorbeeld rapporten over de psychologische gesteldheid of medische gegevens in het kader van onderzoek.