SURF Juridisch Normenkader (Cloud)services

Wil je een contract aangaan met (cloud)leveranciers? In het SURF Juridisch Normenkader (Cloud)services vind je hiervoor de regels voor vertrouwelijkheid, privacy, eigendom en beschikbaarheid. Het bevat standaardbepalingen en een modelverwerkersovereenkomst die instellingen een stevige basis geven voor contracten met leveranciers.

Stoplicht op groen

Veelgestelde vragen Juridisch Normenkader (Cloud)services

Lees de antwoorden op de veelgestelde vragen over het Juridisch Normenkader (Cloud)services.

1. Wat is het SURF Juridisch Normenkader (Cloud)services hoger onderwijs?

Het SURF Juridisch Normenkader (Cloud)services hoger onderwijs geeft een overzicht van de best practice clausules voor overeenkomsten met leveranciers van clouddiensten. Het gaat om richtlijnen over vertrouwelijkheid, privacy, eigendom en beschikbaarheid van gegevens. Hoe belangrijker en gevoeliger de data, hoe hoger het risico en hoe strenger de maatregelen en dus ook de contractuele afspraken met een cloudleverancier moeten zijn.

2. Waarom is het Normenkader opgesteld?

Vertrouwelijkheid, privacy, eigendom en beschikbaarheid zijn belangrijke onderwerpen voor iedereen die diensten afneemt uit de cloud. Het hoger onderwijs zag al vroeg de voordelen van de cloud en liep als early adopter snel tegen diverse (privacy)problemen aan. Er was behoefte aan duidelijke richtlijnen om te gebruiken bij de overweging tot inzet van specifieke clouddiensten, en bij onderhandelingen met leveranciers van dergelijke clouddiensten.

3. Door wie is het Normenkader opgesteld?

Het Normenkader is opgesteld door een team van juristen van SURF, in samenwerking met externe juridische experts en juridische experts van de instellingen voor hoger onderwijs en onderzoek. Het normenkader bouwt voort op de kennis die SURF de laatste jaren heeft opgedaan, zoals te lezen in het rapport Clouddiensten in hoger onderwijs en onderzoek en de USA Patriot Act (pdf).

4. Hoe kan het Normenkader gebruikt worden?

Instellingen voor hoger onderwijs en onderzoek kunnen de clausules opnemen in hun eigen overeenkomsten met cloudleveranciers. Zij zijn zelf verantwoordelijk voor het maken van de risicoanalyse. Aan de hand van het normenkader kan worden getoetst hoe leveranciers met vertrouwelijke gegevens omgaan. Ook SURF gebruikt de clausules als uitgangspunt bij de overeenkomsten die het sluit bij onderhandelingen met leveranciers die clouddiensten gaan leveren aan meerdere onderwijsinstellingen.

5. Wat is er zo bijzonder aan deze richtlijnen?

Het is bijzonder dat een hele sector op deze manier een duidelijk statement maakt en bijdraagt aan de discussie rondom privacy bij de inzet van clouddiensten. Het juridisch normenkader cloudservices hoger onderwijs is een instrument om onduidelijkheid en onzekerheid weg te nemen bij zowel leveranciers als afnemers. Voor cloudleveranciers is het een kans om met de hoger onderwijs en onderzoeksector samen te werken en te laten zien hoe veilig en zorgvuldig met gegevens wordt omgegaan. Bij instellingen kan het normenkader zorgen rondom de inzet van clouddiensten wegnemen en grootschalig gebruik mogelijk maken.

6. Wat voor gevolgen heeft de implementatie van het Normenkader voor de bij SURF aangesloten onderwijs- en onderzoekinstellingen?

Het geeft instellingen de zekerheid dat de aangeboden clouddiensten voldoen aan de richtlijnen over vertrouwelijkheid, privacy, eigendom en beschikbaarheid van gegevens, zoals die in het juridisch normenkader cloudservices hoger onderwijs zijn opgenomen. Instellingen zullen bij hun eigen onderhandelingen met cloudleveranciers het normenkader in de besprekingen moeten inbrengen. Het is daarom belangrijk dat inkoopafdelingen en ict-afdelingen van de instellingen van dit normenkader kennis nemen. Jaarlijks zullen zij bij deze cloudleveranciers moeten toetsen of de geboden dienst(en) nog aan de afspraken voldoen.

7. Welke meerwaarde heeft het Normenkader voor de eindgebruikers als studenten, onderzoekers en docenten?

Een belangrijke meerwaarde voor de eindgebruikers als studenten, onderzoekers en docenten is dat zij verzekerd zijn dat hun gegevens binnen deze diensten voldoen aan strenge voorwaarden met betrekking tot privacy en beveiliging. En dat de handhaving van deze voorwaarden ook periodiek door een onafhankelijke audit partij wordt getoetst.

8. Welke gevolgen heeft het Normenkader voor de ict-leveranciers die zaken (willen) doen met SURF inzake clouddiensten?

Het Normenkader vormt een verplicht onderdeel in de onderhandelingen met leveranciers van clouddiensten. Van deze leveranciers wordt verwacht dat ze aan deze richtlijnen voldoen. Mocht een cloudleverancier niet aan bepaalde voorwaarden kunnen voldoen, dan wordt van hem verwacht dat hij schriftelijk aan SURF verklaart waarom niet. Deze verklaringen spelen mee bij de bepaling of met deze leverancier een overeenkomst wordt aangegaan.

9. Wie is verantwoordelijk voor naleving van de normen vastgelegd in het Normenkader? En hoe is het toezicht op naleving geregeld?

Beide contractpartijen zijn verantwoordelijk voor de naleving van de afgesproken voorwaarden. Bij overeenkomsten vanuit SURF, vraagt SURF - indien het gaat om niet-openbare gegevens - regulier om een audit van de beveiligingsmaatregelen en de inrichting van de dienst conform het gevraagde in de overeenkomst. De bevindingen van de audit zullen worden vastgelegd in een zogenaamde  Third Party Mededeling - een onafhankelijke en onpartijdige beoordeling -  die door de leverancier aan SURF wordt verstrekt.  Op deze manier zijn instellingen er zeker van dat de bescherming van gegevens en de inrichting van dienst voldoet aan de normen. SURF beoordeelt de verklaringen en vraagt na verloop van de overeengekomen periode een nieuwe verklaring bij de leverancier. De onderwijsinstellingen die zelfstandig contracten met cloudleveranciers hebben gesloten, dienen zelf deze met regelmaat te (laten) toetsen op naleving van de afgesproken voorwaarden.

10. Voldoet het Normenkader aan de meest actuele nationale en Europese regelgeving?

Jazeker, maar het juridisch normenkader cloudservices hoger onderwijs moet actueel gehouden worden. Daarom heeft SURF een juridische commissie gevormd, die nationale en internationale ontwikkelingen volgt en waar nodig veranderingen aanbrengt in het bestaande normenkader. Zo is er nieuwe Europese wetgeving op komst op het gebied van privacy die zal leiden tot aanpassingen. Deze juridische commissie bestaat uit een juristen, privacyfunctionarissen en beveiligingsexperts van SURF en uit de doelgroep.

11. Hoe wordt het Normenkader up-to-date gehouden?

Er is een juridische commissie samengesteld, die de clausules aanpast bij wijzigingen in de (Europese) wet- en regelgeving. De commissie volgt de nationale en internationale ontwikkelingen rondom privacy en technologische ontwikkelingen binnen de clouddiensten.

12. Wat als een leverancier zich niet houdt aan de gemaakte afspraken?

Als een cloudleverancier zich niet houdt aan de gemaakte afspraken, dan zal deze leverancier hier op gepaste (juridische) wijze op worden aangesproken. Dit kan leiden tot stopzetting van de overeenkomst en/of in werking treden van de boeteclausule die in het juridisch normenkader cloudservices hoger onderwijs is opgenomen.

13. Wat als geen enkele cloudleverancier binnen een bepaalde productgroep kan voldoen aan het Normenkader?

De ict-markt is volop in ontwikkeling en het is denkbaar dat bepaalde productgroepen niet passen binnen de voorwaarden van het juridisch normenkader cloudservices hoger onderwijs. Indien de technologische ontwikkelingen binnen de clouddiensten het noodzakelijk maken, dan zal het normenkader daarop worden aangepast. Als binnen een bepaalde productgroep geen enkele cloudleverancier aan het normenkader kan voldoen, dan zal dit bij de overeenkomst van de leverancier nadrukkelijk worden vermeld. Zo kan iedere instelling voor zichzelf afwegen om wel of niet in deze overeenkomst te participeren.

14. Hoe werkt het Normenkader praktisch gezien? Is het een kompas, meetlint of checkmechanisme?

Het Normenkader is een meetlint, waarlangs de clouddienst van de leverancier wordt gelegd. Het is aan SURF of de instelling om te bepalen of de gemeten ‘lengte’ voldoende is. Mocht de clouddienst niet de volledige lengte halen, dan worden de tekortkomingen schriftelijk vastgelegd in de bemiddelingsovereenkomst, en de schriftelijke toelichting van de cloudleverancier wordt tevens vermeld op Mijn SURFmarket. Zo kan de instelling voor zichzelf afwegen om wel of niet in deze overeenkomst te participeren.

15. Hoe kan het Normenkader bij de leveranciers worden afgedwongen?

De basis hiervoor is het commitment van SURF en de instellingen om het Normenkader vanuit een gezamenlijke inkoopkracht af te dwingen in de contracten met de cloudleveranciers. Het commitment met het principe ‘comply-or-explain’ is inmiddels uitgesproken in de Stuurgroep Informatiebeveiliging, het CIO-beraad, de CvDUR en de Comit en daarmee door het ict-management van de instellingen. Vooral in gezamenlijkheid heeft de sector de kracht om sterk genoeg te staan in de onderhandelingen met de leveranciers.

16. Hoe kunnen instellingen omgaan met medewerkers en studenten die buiten de contracten van de instelling om van clouddiensten gebruikmaken, waarbij ze voor de instelling belangrijke gegevens inzetten?

SURF adviseert de instellingen voor hoger onderwijs en onderzoek om in de Gedragscode voor medewerkers en studenten clausules op te nemen waarin geregeld is dat zij vertrouwelijkheid, privacy en eigendom van deze gegevens moeten respecteren. SCIPR, het landelijk overleg van informatiebeveiligers in het hoger onderwijs, geeft daartoe suggesties.

17. Voldoen de clouddiensten die SURF zelf aanbiedt aan de gestelde normen?

Het Normenkader is ontwikkeld ten behoeve van de afname van diensten van cloudleveranciers. SURF zal het Normenkader uiteraard ook gaan toepassen op haar eigen clouddiensten. Momenteel is de persoonlijke cloudopslagdienst SURFdrive de enige clouddienst die SURF aanbiedt. Voor SURFdrive geldt dat de opslagdienst voldoet aan de normen ten aanzien van privacy en beveiliging, maar dat het nog niet is beoordeeld door middel van een onafhankelijke audit. Deze toetsing zal spoedig plaatsvinden. Daarnaast wil SURF voor haar andere (niet cloud) diensten waarbij privacy en vertrouwelijkheid een rol spelen ook graag voldoen aan het normenkader. Wellicht zijn dan niet alle aspecten van het cloud normenkader relevant. Daar waar het gaat om specifieke cloud aspecten zullen we dan buiten beschouwing laten. Er is tijd nodig om alle diensten van SURF aan het normenkader te laten voldoen, omdat de richtlijnen kunnen leiden tot aanpassingen in de opzet van de dienstverlening en in de afspraken die SURF gemaakt heeft met derde partijen die betrokken zijn bij de dienstverlening.

18.  Zal het Normenkader worden aangepast, nadat het Europees Hof van Justitie Safe Harbor, het privacyverdrag tussen de Verenigde Staten en Europa, ongeldig heeft verklaard in oktober 2015?

Het Europese Hof van Justitie heeft Safe Harbor, het privacyverdrag tussen de Verenigde Staten en Europa, ongeldig verklaard. Hierdoor kunnen Amerikaanse bedrijven niet langer op grond van Safe Harbor garanderen dat gegevens voldoende beschermd zijn. Dit heeft consequenties voor SURF en de SURF-leden. Als eerste is gestart met de overeenkomsten met cloudaanbieders uit de VS en multinationals. Ook het juridisch normenkader cloudservices hoger onderwijs van SURF wordt aangepast naar aanleiding van de uitspraak. Het gaat dan specifiek om de norm omtrent internationaal dataverkeer.

19.  Hoe verhoudt het Normenkader zich tot de modelverwerkersovereenkomst?

De kern van het juridisch normenkader bestaat uit contractbepalingen. De SURF-modelverwerkersovereenkomst dient als voorbeeld bij het maken van afspraken met leveranciers (in de rol van bewerker). De verwerkersovereenkomst sluit dus aan op het normenkader en biedt meer praktische waarde. In de modelverwerkersovereenkomst is rekening gehouden met de meldplicht datalekken en de recente uitspraak van het hof met betrekking tot Safe Harbor. Ook is er vooruitlopend op de Europese verordening een uitgebreide bijlage toegevoegd waarin de bewerking van persoonsgegevens nader wordt gespecificeerd.

Meer informatie of vragen?