Bestuurlijke samenvatting Juridisch Normenkader Cloudservices Hoger Onderwijs Het Normenkader biedt de HO-instellingen een stevige basis voor contracten met cloud-leveranciers. Bij het gebruik van cloud-leveranciers van ICT-diensten voor onderwijs, onderzoek en bedrijfsvoering van de instelling, worden (bedrijfs)gegevens voor opslag en verwerking ondergebracht binnen de ICT-infrastructuur van de leverancier. Dat vraagt waarborgen m.b.t. eigendom, vertrouwelijkheid en privacy van deze gegevens. Zeker als het persoonsgegevens betreft is het bestuur van de Instelling volgens (nationale en Europese) weten regelgeving aansprakelijk voor het respecteren van de privacy van de personen, ook als de gegevens worden bewerkt bij de cloud-leverancier. Verder vragen eigendom van gegevens en de vertrouwelijkheid ervan waarborgen om de belangen van de instellingen goed te verzekeren. De clausules uit het Normenkader bieden deze waarborgen. Eigendom van gegevens Het Normenkader regelt dat de zeggenschap over gegevens niét wordt overgedragen aan de cloudleverancier, maar dat de gegevens (intellectuele) eigendom blijven van de Instelling of van de gebruiker die verbonden is aan de instelling. Dit geldt bovendien voor gegevens die door derde gegevenseigenaren aan de Instelling in licentie ter beschikking zijn gesteld. Zodoende wordt de cloud-leverancier het recht ontzegd om naar eigen inzichten en voor eigen doeleinden bewerkingen uit te voeren op bijvoorbeeld rapporten van onderzoekers of papers van studenten, zonder toestemming van deze gegevenseigenaren of de Instelling. Vertrouwelijkheid van gegevens Het Normenkader regelt dat gegevens, waarvan de Instelling aangeeft dat ze vertrouwelijk zijn of waarvan de leverancier redelijkerwijs kan vermoeden dat ze vertrouwelijk zijn, geheim worden gehouden. Dat wil zeggen dat ze op geen enkele wijze intern of extern worden geopenbaard. Uitzonderingen hierop zijn situaties waarin openbaarheid hoort bij de uitvoering van het contract, of de leverancier daartoe wettelijk of naar rechtelijke uitspraak verplicht is, of de leverancier daartoe toestemming krijgt van de Instelling of dat het gegevens betreft die al op een andere manier met instemming of door nalatigheid van de Instelling elders openbaar zijn gemaakt. Het Normenkader kent een boetebeding bij overtreding. Verder werken de leverancier en de Instelling mee aan toezicht op de vertrouwelijkheid, waar dat nodig wordt geacht. Tot slot informeren de leverancier en de Instelling elkaar onmiddellijk bij een verstoring van de vertrouwelijkheid. Persoonsgegevens en privacy De Wet Bescherming Persoonsgegevens (WBP) stelt de Instelling verantwoordelijk voor het waarborgen van de privacy van de personen wiens gegevens het betreft. Belangrijk daarbij is dat persoonsgegevens door de Instelling worden geclassificeerd naar risiconiveau. In overeenstemming met de richtlijnen van het College Bescherming Persoonsgegevens (CBP), de toezichthouder op de uitvoering van de WBP, stelt het Normenkader toenemende eisen aan de leverancier, naar gelang een hoger risiconiveau van gegevens wordt vastgesteld. De niveaus variëren van publiek niveau (0), basis niveau (1), verhoogd risico (2) tot hoog risico (3). De clausules geven de Instelling de zekerheid dat de eigen wettelijke verantwoordelijkheid genomen is en verantwoord kan worden naar de toezichthouder. Ook rechten van de personen die het aangaat worden gewaarborgd. Verder regelen clausules dat de leverancier ook bij inschakeling van derdeleveranciers aan rechten en plichten blijft voldoen in het licht van de verantwoordelijkheid van de Instelling. Dit geldt ook als de leverancier of derde-leverancier zich buiten de Europese Economische Ruimte (EER) bevindt. Tot slot komt de te accepteren bewaartermijn voor de leverancier van de gegevens aan de orde. Beveiliging en beschikbaarheid gegevens Het Normenkader regelt dat de leverancier dié organisatorische en technische maatregelen neemt, naar de stand van de huidige technologie, die de gevraagde waarborgen en beveiliging bewerkstelligen, inclusief het onverwijld informeren van de Instelling als daar op enigerlei wijze inbreuk op is gedaan. Deze maatregelen zijn afhankelijk van de risicoclassificatie die de Instelling aan de betreffende gegevens verbindt. Bij verhoogde (2) of hoge (3) risicoclassificatie hoort een derde-partij-verklaring (TPM) waarin door een onafhankelijke en ter zake kundige derde partij wordt geconstateerd dat de leverancier daadwerkelijk de benodigde organisatorische en technische maatregelen uitvoert. Met een dergelijke verklaring kan de Instelling naar de toezichthouder toe verantwoorden dat zij haar verantwoordelijk adequaat neemt m.b.t. de waarborging van privacy. Het Normenkader stelt verder de leverancier verantwoordelijk voor de gewenste beschikbaarheid van de gegevens, inclusief de daarvoor benodigde backup-restore voorzieningen. Toegang bij beëindiging overeenkomst De belangen van de Instelling zijn mogelijk in gevaar als het contract beëindigd wordt, om welke reden dan ook. Het Normenkader regelt in dat licht de overdracht van gegevens door de leverancier en vernietiging ervan bij de leverancier. Gedragscode medewerkers-studenten De belangen van de Instelling zijn ook aan de orde als medewerkers of studenten van cloud-diensten gebruik maken buiten de Instelling om. Het is bekend dat dit op significante schaal gebeurt. Daarmee is de mogelijkheid reëel dat (bedrijfs)gegevens van de Instelling buiten overeenkomsten om in de cloud terecht komen. Om toch de belangen van de Instelling te waarborgen geeft het Normenkader het advies om in Gedragscodes van de Instelling voor medewerkers en studenten clausules op te nemen, die van hen vraagt te allen tijde eigendom, vertrouwelijkheid en privacy van relevante gegevens te respecteren. Comply-or-explain De bovengenoemde waarborgen voor eigendom, vertrouwelijkheid en privacy uit het Normenkader kunnen alleen in de volle omvang worden bewerkstelligd in de onderhandelingen met leveranciers als inkoopkracht wordt ingezet. Deze kracht is alleen mogelijk met een sector-breed (en daarbuiten) commitment met toepassing van het Normenkader. Daar staat tegenover dat in sommige omstandigheden bij de Instellingen de afhankelijkheid van een leverancier op het moment van onderhandelen zo groot kan zijn dat de Instelling de afweging maakt een overeenkomst af te sluiten dat op onderdelen niet de waarborgen van het Normenkader biedt. Vandaar dat bestuurders wordt voorgesteld het commitment met het toepassen van Normenkader bij het afsluiten van contracten aan te gaan volgens het ‘comply-or-explain’ principe. In de Oplegbrief van het Normenkader is het principe en commitment ermee verder uitgelegd. 9 september 2014
© Copyright 2024 ExpyDoc