TOWARDS THE CLOUDS, TOGETHER

Transcriptie

1 TOWARDS THE CLOUDS, TOGETHER Collaboration on cloud services in research & education Andres Steijaert Nordic e-infrastructure Conference 2013

2 End user push 2 BILLION PEOPLE ONLINE 30% OF WORLD POPULATION IT USED TO BE SCARCE NOW AVAILABLE IN ABUNDANCE Consumerization & commoditization multi-device multi-service

3

4

5 User demands for IT devices and services Data growth Cost savings (economize) Reduce energy consumption

6 Beyond the hype... Your personal USB-cloud-drive in your pocket?

7 H om e or g an iz at io ns respo n sib le : h av e le gal obl i gati on t o p ro t e ct d a ta ( P ersonally I de nt ifiable I nf o r m ati o n ) For users not ' shadow IT ' but real IT!

8 Cloud computing from a user perspective: Consuming ready to use online services, provided by external providers, through a pay-per-use model. removal of entry barriers Users will choose the easiest path Not about how it is produced but about what is offered what do I need now users are choosers

9 Traditional supply chain ; cd-rom distribution, on-premise hosting New supply chain ; cloud distribution model

10 Cloud + fast delivery, rapid updates, elastic, Traditional supply chain ; cd-rom distribution, on-premise hosting pay-per-use - Data outside of your own organization, trust and control New supply chain ; cloud distribution model

11 support to clouds Help to bring cloud services to research and education with the right conditions of use

12 We need open, cross-organizational, online collaboration (interoperability), through standards: technical and legal

13

14 Let users choose between multiple cloud vendors and cloud services - multi-vendor approach - Services provided by commercial vendors Services from within community

15 rks (NRENs) es to their users. NT will help the community to ct, purchase and manage cloud vices with the right conditions of e; amongst them topics like teroperability, data portability, curity and privacy. m demand acros and negotiating integrated brokerage and service delivery (framework contracts, terms and conditions of use) NRENs will be able to get the best possible value from cloud services. Many NRENs are already offering valuable services using Cloud providers. SUNET in Sweden has successfully integrated Box ( into its offerings to provide a simple to use Cloud Storage service to staff and researchers. By linking Box to SWAMID (the identity federation for higher education in Sweden) the creation and management of accounts is greatly simplified and allows for easier control. By February 2013, SUNET had 17 organisations, with nearly 5000 users and approximately 9TByte of stored data using the service. MEET THE CLOUD SERVICES ACTIVITY LEADER - ANDRES STEIJAERT Andres Steijaert is the activity leaders for the GÉANT Support to Clouds Activity. At SURFnet, as member of the SURFnet-taskforce Cloud, he initiated and directed the cloud brokerage and vendor management activities. Previously he worked as program manager on the development of the SURFconext collaboration infrastructure; a middleware framework which interconnects cloud vendors and higher education organisations in the Netherlands. Andres is a frequent speaker on cloud computing. Let users choose between multiple cloud vendors and cloud services - multi-vendor approach - Services provided by commercial vendors Services from within community 13

16 UNIVERSITY OF WASHINGTON Multi vendor strategy Google and Microsoft Integrate via standards (SAML, Grouper) A tale of two clouds Terry Gray

17 UNIVERSITY OF WASHINGTON CLOUD STRATEGY SHAPED BY FOUR KEY IDEAS Our community is already using and benefiting from a wide variety of cloud-based services, and it would be counterproductive to oppose their use despite the institutional concerns that come with the cloud. The university's risk profile would improve over the status quo by establishing one or more preferred collaboration platforms, backed by contract terms that address institutional risks. We should use the cloud opportunity to encourage collaboration across all sectors of our community (faculty, staff, and students) rather than, say, just using cloud services to get out of the student business. We should partner with both Microsoft and Google in order to provide the best options to our very diverse population.

18 data portability interoperability service specifications price security & privacy Legislation (national, EU, USA 'international clouds') Use the value and size of our combined community 50 million users!

19 Cloud&services&via&SURF,&&beschikbaar&gemaakt&in&2012& & 1. EDUgroepen (online collaboration based on Microsoft Sharepoint) 2. Google Apps & Google Drive (online collaboration) 3. Liferay (portal software) 4. Cisco WebEx (video conferencing / webconferencing) 5. Evernote (personal note taking) 6. SAP Streamwork (online collaboration) 7. IBM Connections (online collaboration) 8. Sharespace Sakai (online collaboration & learning) 9. Microsoft Office 365 (online collaboration) 10. Microsoft IT Academy (online training for Microsoft products) 11. Viadesk (online collaboration) 12. Topdesk (e-hrm and facility management) 13. Omnicard (RFID services and ID cards) 14. PedIT (social learning) 15. Sunday Afternoon (online learning) 16. Teachers channel (online knowledge platform for teachers) 17. ItsLearning (online learning) 18. GreenQloud (infrastructure as a service: rekenkracht, virtuele servers in de cloud) 19. Sara Life Science Grid portal (research service) 20. Inuits Mediasalsa (video streaming service)

20

21 Data classification AMOUNT OF PERSONAL DATA TYPE OF PROCESSING PERSONALLY IDENTIFIABLE INFORMATION SPECIAL DATA (article 16 Dutch Data Protection Authority) FINANCIAL OR ECONOMIC DATA Low amount Low complexity Risk class 0 (public) Risk class 2 (high) Risk class 2 (high) High amount High complexity Risk class 1 (standard) Risk class 3 (very high) Risk class 3 (very high) In which cases can you consume public cloud services? --- use the cloud When to produce restricted community cloud services --- be a cloud provider

22 Cloud, a sourcing decision TEMPLATE TO HELP WITH CLOUD SOURCING

23 Checklist contractual agreements English translation will follow CHECK AFSPRAAK VERPLICHT/ WENSELIJK WBP ALGEMENE TOELICHTING IN DE PRAKTIJK VOORBEELDBEPALING* TOELICHTING OP VOORBEELDBEPALING CHECK AFSPRAAK VERPLICHT/ WENSELIJK WBP ALGEMENE TOELICHTING IN DE PRAKTIJK VOORBEELDBEPALING* TOELICHTING OP VOORBEELDBEPALING CLOUD COMPUTING & PRIVACY CHECKLIST CONTRACTUELE AFSPRAKEN 1. Schriftelijke overeenkomst De onderwijsinstelling en de cloud provider zijn verplicht een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens. Verplicht Art. 14 De Wbp noemt degene die ten behoeve van de verantwoordelijke gegevens verwerkt een bewerker. Cloud providers zullen in de meeste gevallen als een bewerker aangemerkt kunnen worden. Art. 14 Wbp stelt eisen aan de vorm en inhoud van de afspraken die de onderwijsinstelling met de bewerker maakt. Partijen leggen hun afspraken doorgaans vast in het cloudcontract of een bijlage bij dit contract. Een afzonderlijke privacy overeenkomst is dus niet nodig. Het cloudcontract kan ook langs elektronische weg worden gesloten. Supplier may make commercially reasonable changes to the URL Terms from time to time. If Supplier makes a material change to the URL Terms, Supplier will inform Customer sending an to the Notification Address. Soms worden privacy bepalingen opgenomen in URL-terms of in online privacy policies, die eenzijdig kunnen worden gewijzigd door de cloud provider, zonder dat de onderwijsinstelling hiervan op de hoogte wordt gesteld. Risico hiervan is dat de cloud provider het contract zodanig aanpast dat de onderwijsinstelling niet langer voldoet aan de Wbp. De onderwijsinstelling moet de overeenkomst daarom kunnen beëindigen als zij het niet eens is met dergelijke wijzigingen. Het contract dient bij voorkeur te verwijzen naar Nederlands 4. C ontroleren beveiliging De cloud provider moet de onderwijsinstelling in staat stellen om erop toe te zien of hij zijn verplichting tot adequate beveiliging nakomt. Verplicht Art. 14 De onderwijsinstelling moet controleren of de cloud provider zijn beveiligingsverplichtingen nakomt. Veel cloud providers hebben er bezwaar tegen dat klanten de beveiliging op locatie van provider komen controleren (audit). Ook hier wordt vaak verwezen naar certificering of wordt de provider verplicht om periodiek een verklaring van een onafhankelijke derde te overleggen. Volgens het Cbp kan een dergelijke verklaring onder bepaalde voorwaarden een middel zijn om te controleren of de cloud provider aan zijn beveiligingsverplichtingen voldoet. Zie ook document Beveiliging van persoonsgegevens in de cloud. Deze voorbeeldbepaling staat niet in het cloudcontract, maar in de zogenaamde Frequently Asked Questions. Risico daarvan is dat de cloud provider de FAQ zodanig aanpast (zonder de onderwijsinstelling op de hoogte te stellen) dat de onderwijsinstelling niet langer voldoet aan de Wbp. De onderwijsinstelling moet de overeenkomst daarom kunnen beëindigen als zij dit te weten komt en het niet eens is met de wijzigingen van de FAQ. recht en de Nederlandse rechter. De onderwijsinstelling die een cloud dienst wil afnemen, zal daarvoor een contract moeten sluiten met de cloud provider. Het kan voordelen opleveren om met meerdere onderwijsinstellingen gezamenlijk een contract af te 2. Adequaat beveiligen De cloud provider moet de persoonsgegevens adequaat beveiligen. De beveiligingsplicht ziet zowel op dataverlies als op onbevoegde toegang tot persoonsgegevens. Verplicht Art. 13 en 14 De onderwijsinstelling moet zorgdragen dat de cloud provider de persoonsgegevens adequaat beveiligt. De perceptie bestaat dat cloud computing onveilig is. Naast beveiligingsrisico s kent cloud computing echter ook beveiligingsvoordelen. De onderwijsinstelling zal op basis van een risicoanalyse moeten beoordelen of de provider voldoende waarborgen biedt. Daarbij geldt: hoe hoger het risico, hoe hoger het vereiste beveiligingsniveau. Als de onderwijsinstelling bijvoorbeeld verzuimgegevens van leerlingen wil opslaan in de cloud, dan is een We shall maintain appropriate administrative, physical, and technical safeguards for protection of the security, confidentiality and integrity of your data. De meeste cloud leveranciers hebben in hun contract een algemene verplichting opgenomen om de persoonsgegevens adequaat te beveiligen. Een dergelijke bepaling alleen is niet voldoende. De beveiligingsmaatregelen moeten ook worden omschreven (zie hierna sub 3). 5. Verwerken in opdracht De cloud provider mag de persoonsgegevens van de onderwijsinstelling slechts in opdracht van de onderwijsinstelling verwerken. Verplicht Art. 12 en 14 De cloud provider mag de persoonsgegevens van de onderwijsinstelling alleen verwerken voor zover dat noodzakelijk is om de clouddiensten aan de onderwijsinstelling te leveren. De cloud provider mag de persoonsgegevens niet voor eigen doeleinden gebruiken, zoals het rechtstreeks benaderen van studenten voor direct marketingdoeleinden. In de praktijk zal het niet vaak voorkomen dat een cloud provider zich het recht voorbehoudt om persoonsgegevens van gebruikers van de clouddienst (bijv. studenten) voor eigen doeleinden te gebruiken. Provider shall process the personal data on the instructions of Customer and in accordance with the provisions of the Agreement. Op grond van deze bepaling mag de provider persoonsgegevens verwerken voor zover dat is bepaald in de overeenkomst. Het is daarom belangrijk de overeenkomst en eventuele bijlagen te controleren op mogelijk doeleinden voor verwerking. sluiten met een cloud provider. In het contract staan afspraken over het gebruik van de dienst en de voorwaarden (kosten, service levels, juridische voorwaarden, etc.) waaraan dit gebruik is gebonden. hoger beveiligingsniveau vereist dan wanneer het gaat om adresgegevens van medewerkers. Het is belangrijk dat in het contract wordt verankerd dat de cloud provider persoonsgegevens verwerkt in overeenstemming met bepaalde verplichtingen uit de Wet bescherming persoonsgegevens (Wbp). Als niet aan deze verplichtingen wordt voldaan, dan loopt de onderwijsinstelling het risico dat zij zelf in strijd handelt met de Wbp. Het is daarom van belang de contracten van providers goed te bestuderen en zo mogelijk te vergelijken. 3. Omschrijven beveiligingsmaatregelen. De beveiligingsmaatregelen Verplicht Art. 13 en 14 Bij beveiligingsmaatregelen kan worden gedacht aan firewalls, wachtwoorden, encryptie van gegevens en een omschrijving van beveiligingsbeleid. Vanuit beveiligings- en concurrentieoogpunt zijn cloud providers vaak terughoudend in het verschaffen van informatie over hun beveiligingsmaatregelen. In de praktijk wordt vaak verwezen naar certifice- Supplier has implemented at least industry standard systems and procedures to ensure the security and confidentiality of customer data, protect against anticipated threats or hazards to the security or inte- In de voorbeeldbepaling zijn de beveiligingsmaatregelen in algemene bewoordingen omschreven. Afhankelijk van de uitkomst van de risicoanalyse zou dit voldoende kunnen zijn, bijvoorbeeld in geval 6. G een toegang derden Zonder toestemming van Verplicht Art. 8, 9, 12, 13 en 14 De cloud provider (en degenen die onder zijn gezag handelen, zoals bijvoorbeeld personeel), is in beginsel verplicht om persoonsgegevens In de meeste cloudcontracten is een geheimhoudingsverplichting voor de provider opgenomen waarin dit aspect is geregeld. Each party will: (a) protect the other party s Confidential Information with the same standard of care it uses to protect its own Confi- In deze geheimhoudsbepaling is opgenomen dat de cloud provider "Confidential Information" (waaronder ook persoonsgegevens m.b.t. persoonsgegevens van ring van de diensten of worden de grity of customer data, and protect van verwerking van adresgegevens de onderwijsinstelling mag geheim te houden. Er zijn uitzon- dential Information; and (b) not worden verstaan) niet aan derden In de checklist Contractuele afspraken wordt aangegeven welke privacy afspraken verplicht en welke wenselijk de provider moeten worden omschreven in het cloud- maatregelen in algemene bewoordingen omschreven. Of dit vol- against unauthorized access to or use of customer data. van medewerkers. de cloud provider derden geen toegang geven tot de deringen, bijvoorbeeld rechtmatige inzageverzoeken van bevoegde disclose the Confidential Information, except to Affiliates who need mag verstrekken, tenzij het gaat om groepsmaatschappijen van zijn in het aangaan van een contract met een cloud provider. Deze checklist is bedoeld om naast een contract van een cloud provider te leggen of om contracten van verschillende providers met elkaar te vergelijken. De checklist contract. doende is zal afhangen van de risicoanalyse die de onderwijsinstelling moet maken. De onderwijsinstelling persoonsgegevens. autoriteiten. to know it and who have agreed in writing to keep it confidential. de cloud provider met wie hij een schriftelijke overeenkomst heeft gesloten waarin een geheimhou- is geen juridisch advies. Voor een sluitend juridisch advies kunt u het beste contact opnemen met een in IT-recht gespecialiseerd (advocaten)kantoor. mag bijvoorbeeld eerder volstaan met een algemene omschrijving van beveiligingsmaatregelen in het geval dingsverplichting is opgenomen. Dit laatste is onder voorwaarden toegestaan, zie hierna sub 7. van verwerking van adresgegevens van medewerkers, dan wanneer er verzuimgegevens van leerlingen worden verwerkt. AFSPRAAK VERPLICHT/ WENSELIJK WBP ALGEMENE TOELICHTING IN DE PRAKTIJK VOORBEELDBEPALING* TOELICHTING OP VOORBEELDBEPALING CHECK AFSPRAAK VERPLICHT/ WENSELIJK WBP ALGEMENE TOELICHTING IN DE PRAKTIJK VOORBEELDBEPALING* TOELICHTING OP VOORBEELDBEPALING CHECK AFSPRAAK VERPLICHT/ WENSELIJK WBP ALGEMENE TOELICHTING IN DE PRAKTIJK VOORBEELDBEPALING* TOELICHTING OP VOORBEELDBEPALING 7. G roepsmaatschappijen en onderaannemers. De cloud provider mag bij het verwerken van de persoonsgegevens alleen groepsmaatschappijen en onderaannemers inschakelen met wie hij een schriftelijke overeenkomst heeft gesloten waarin (i) geheimhoudings- en beveiligingsverplichtingen zijn opgenomen en (ii) de groepsmaatschappijen en onderaannemers zich verplichten om alleen in Verplicht Art. 12, 13 en 14 Groepsmaatschappijen en onderaannemers zijn, net als de cloud provider, bewerkers in de zin van de Wbp en voor hen gelden in beginsel dezelfde verplichtingen als voor de cloud provider. De meeste cloud providers zullen alleen groepsmaatschappijen en onderaannemers inschakelen die vergelijkbare geheimhoudings- en beveiligingsverplichtingen accepteren. Veel cloudcontracten bevatten een bepaling waarin dit aspect is geregeld. Supplier only shares personal information with other companies or individuals outside of supplier s organisation in the following limited circumstances: [ ] We provide such information to our subsidiaries, affiliated companies or other trusted businesses or persons for the purpose of processing personal information on our behalf. We require that these parties agree to process such information based on our instructions and in compliance with this Privacy Policy and any other appropriate confidentiality and security measures. Veel cloud providers maken gebruik van buitenlandse groepsmaatschappijen en onderaannemers. Daarvoor gelden aanvullende regels, zie sub Verwerking alleen binnen Europese Unie of land met 'passend beschermingsniveau' De cloud provider mag de persoonsgegevens alleen verwerken in de Europese Unie of een land met 'passend beschermingsniveau'. Wenselijk Art. 76 Alle landen van de Europese Unie hebben een hoog niveau van privacybescherming. Daarnaast heeft de Europese Commissie een aantal landen aangewezen die een passend beschermingsniveau bieden (de zogenaamde witte lijst ). Er gelden geen bijzondere regels voor verwerking van persoonsgegevens in deze landen. Is de cloud provider (of een van zijn datacenters) in een ander land gevestigd, dan gelden aanvullende, veelal complexe regels. Lokalisatie of regionalisatie is een relatief eenvoudige oplossing voor een complex probleem onder de Wbp. Steeds meer providers komen klanten hierin tegemoet, omdat andere oplossingen vaak onvoldoende toereikend zijn. Supplier and its U.S. subsidiaries are participants in the Safe Harbor program developed by the U.S. Department of Commerce and the European Union. These US group companies have certified that they adhere to the Safe Harbor Privacy Principles agreed upon by the U.S. and the E.U. The Safe Harbor certification for Supplier and its U.S. subsidiaries can be viewed on the U.S. Department of Commerce s Safe Harbor Web site. Amerikaanse cloud providers die Safe Harbor gecertifieerd zijn worden geacht passende waarborgen te bieden (witte lijst). Een certificaat alleen is niet voldoende. De onderwijsinstelling moet controleren of de cloud leverancier daadwerkelijk passende waarborgen biedt. Zie ook de Factsheet Internationale regelgeving en het informatiedocument over de zienswijze van het College Bescherming Persoonsgegevens met de titel Doorgifte van persoonsgegevens in de cloud. 13. Verplichtingen in geval van onderzoek autoriteiten Indien de cloud provider door een autoriteit wordt verzocht om persoonsgegevens van de onderwijsinstelling te verstrekken, dan moet hij (i) de onderwijsinstelling onmiddellijk informeren, (ii) de onderwijsinstelling in staat stellen om zijn rechten te verdedigen en (iii) alle medewerking verlenen om de toegang zo beperkt mogelijk Wenselijk Bij cloud computing worden persoonsgegevens niet meer op locatie van de onderwijsinstelling verwerkt. De onderwijsinstelling zal daarom door de cloud provider geïnformeerd moeten worden over eventuele verzoeken van autoriteiten wil de onderwijsinstelling daar adequaat op kunnen reageren. Cloud providers kunnen hier bezwaar tegen hebben omdat het extra inspanning van ze vraagt die geen onderdeel is van hun standaard dienstverlening. Each party may disclose the other party s Confidential Information when required by law, or a binding legal request from a supervisory authority, but only after it, if legally permissible: (a) uses commercially reasonable efforts to notify the other party; and (b) gives the other party the chance to challenge the disclosure. Deze bepaling verplicht de cloud provider om zich in te spannen de onderwijsinstelling tijdig te informeren over een inzageverzoek van een overheidsinstantie. Het is de provider soms wettelijk verboden om de onderwijsinstelling te informeren. Dat kan bijvoorbeeld het geval zijn bij strafrechtelijke onderzoeken en de US Patriot Act. opdracht van de onderwijs- te houden. instelling persoonsgegevens te verwerken. De leverancier moet de onderwijsinstelling verder op de hoogte houden over de inschakeling van (nieuwe) hulpleveranciers zodat de onderwijsinstelling kan toezien op de naleving van zijn afspraken met leverancier. 8. P ersoonsgegevens niet langer bewaren dan noodzakelijk. Verplicht Art. 10 De onderwijsinstelling moet er als verantwoordelijke voor zorgdragen dat de cloud provider persoonsgegevens niet langer bewaart dan De cloud provider hanteert doorgaans een standaardbewaartermijn als onderdeel van zijn standaarddienstverlening waarin is geregeld We will retain your information for as long as your account is active or as needed to provide you services. If you wish to cancel your account or Deze bepaling laat de cloud provider te veel ruimte om de gegevens na beëindiging te bewaren. Beter zou zijn om een absoluut recht 11. I nformeren over beveiligingsincidenten De cloud provider moet de onderwijsinstelling onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens. Wenselijk In geval van een beveiligingsincident (bijv. een datalek) zal de onderwijsinstelling willen kunnen beoordelen wat de gevolgen daarvan zijn en welke maatregelen kunnen worden getroffen om deze gevolgen te beperken (bijv. informeren van studenten). Cloud providers zullen hier niet snel mee akkoord gaan, omdat ze niet graag naar buiten treden met beveiligingsincidenten. Supplier shall promptly notify customer if it detects or reasonably suspects any incident in which the security, confidentiality or integrity of any customer data has been breached. Het is aan te bevelen om ook afspraken te maken over de inhoud van de waarschuwing. Bijvoorbeeld door de provider te verplichten informatie te verschaffen over de omvang van het datalek en welke maatregelen zijn en zullen worden getroffen om de gevolgen van het datalek te beperken. 14. M eewerken aan inzageverzoeken De cloud provider moet meewerken aan verzoeken van betrokkenen (bijv. studenten) om inzage en correctie van hun persoonsgegevens. Wenselijk Art. 35 en 36 Wbp De betrokkenen hebben recht op inzage en correctie van hun persoonsgegevens. Bij sommige typen cloud diensten zal de onderwijsinstelling de medewerking van de cloud provider nodig hebben om aan verzoeken om inzage of correctie te voldoen. Gedacht kan worden aan diensten waarbij een onderwijsinstelling zelf geen toegang heeft tot de persoonsgegevens van leerlingen. Supplier shall promptly assist customer to (i) provide customer or the data subject access to the customer personal data, (ii) remove, block or correct the customer personal data, or (iii) demonstrate that the customer personal data that was incorrect has been removed, blocked or corrected. De onderwijsinstelling is verplicht om binnen vier weken te reageren op inzageverzoeken. Het is aan te bevelen om deze tijdslijnen ook op te leggen aan de provider. De cloud provider mag noodzakelijk. dat de gegevens na beëindiging van de overeenkomst worden request that we no longer use your information to provide you services, op verwijdering van de data op te nemen in het contract. * Dit zijn willekeurige voorbeelden van veel voorkomende bepalingen uit Engelstalige cloud contracten. de persoonsgegevens niet vernietigd. you may delete your account. We langer bewaren dan noodza- may retain and use your information kelijk om de clouddiensten as necessary to comply with our aan de onderwijsinstelling te legal obligations, resolve disputes, leveren. 9. D ata ook weer uit de cloud. De cloud provider moet ervoor zorgen dat de onderwijsinstelling de persoonsgegevens bij het einde van de overeenkomst weer uit de cloud kan halen. De Verplicht Art. 10 Bij het einde van de overeenkomst zal de onderwijsinstelling de persoonsgegevens zelf weer willen beheren of willen onderbrengen bij een andere cloud provider. Veel cloud providers geven hun klanten de mogelijkheid om hun gegevens (na beëindiging van de overeenkomst) uit de cloud te halen. Er zijn verschillende initiatieven in ontwikkeling die dit proces voor klanten proberen te vereenvoudigen. Zie bijvoorbeeld www. dataliberation.org. and enforce our agreements. Upon termination of the Agreement Supplier will retain the Customer Data for 28 days. After this period Supplier may permanently delete the Customer Data without prior notice. In that event Supplier can no longer provide a copy of the Customer Data to Customer. Deze bepaling laat ongeregeld of de provider medewerking moet verlenen aan de onderwijsinstelling. Het verdient aanbeveling hier nadere afspraken over te maken. Ook is het zinvol om afspraken te maken over het bestandsformaat waarin de onderwijsinstelling de gegevens ontvangt. 12. Verwerking in overeenstemming Wbp De cloud provider moet de persoonsgegevens verwerken in overeenstemming met de Wbp. Wenselijk De Nederlandse cloud provider is zelfstandig verplicht zich aan de Wbp te houden. Echter, de onderwijsinstelling is vaak (mede-) aansprakelijk voor schendingen van de Wbp door de cloud provider. Indien naleving van de Wbp als een contractuele verplichting is opgenomen, kan de onderwijsinstelling het cloudcontract makkelijker beëindigen of schadevergoeding vorderen. Aangezien de Nederlandse cloud provider ook zelfstandig verplicht is om zich aan de Wbp te houden, heeft deze hier doorgaans geen bezwaar tegen. Customer shall be the data controller and Supplier shall be the data processor that processes personal data on behalf of Customer. Customer warrants that it will process its personal data in accordance with the Dutch Act on the Protection of Personal Data. Hoewel deze bepaling duidelijk maakt dat de cloud provider slechts een bewerker is in de zin van de Wbp, verklaart de provider niet expliciet dat hij de persoonsgegevens zal verwerken in overeenstemming met de Wbp. Op basis van de uitspraak van het CBP aangaande de zienswijze Cloud diensten geleverd door leveranciers in de VS is de checklist aangepast, conform deze zienswijze. De aanpassing van de checklist is opdracht gedaan van SURFnet in samenwerking met Project Moore Advocaten. Voor deze checklist geldt een CC-BY licentie. persoonsgegevens moeten daarna worden verwijderd uit de systemen van de provider.

24 Provide added value by means of a collaboration infrastructure, which interconnects cloud services and users

25 Institute U Cloud service A Institute V Cloud service B Institute W Institute X NREN AAI Cloud service C Internal service A Institute Y Internal service B Institute Z Internal service C

26 Checklist technical aspects English translation will follow See also CHECK METHODE OF TECHNIEK SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK STANDAARDEN / VOORBEELDEN OPMERKING CHECK METHODE OF TECHNIEK SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK STANDAARDEN / VOORBEELDEN OPMERKING CLOUD COMPUTING PRIVACY & SECURITY CHECKLIST METHODEN EN TECHNIEKEN Martijn Oostdijk, Maarten Wegdam Novay Jocelyn Manderveld, Joost van Dijk SURFnet Authenticatie De cloud provider maakt federatief inloggen met het instellingsaccount mogelijk. [NIET DOEN] De cloud provider maakt direct gebruik van de gebruikersdirectory van de onderwijsinstelling om username/wachtwoord te valideren. [OPTIONEEL] De cloud provider maakt het mogelijk om veiligere authenticatie te doen met een extra authenticatiemiddel. Om in te kunnen loggen bij de cloud dienst, verwijst de cloud dienst via SURFconext door naar de onderwijsinstelling. Hierdoor wordt de gebruiker op een veilige manier geauthentiseerd met de inlognaam en het wachtwoord dat verstrekt is door de onderwijsinstelling zelf. Deze gegevens komen op deze wijze niet in handen van de cloud provider. Vanuit beveiligingsoogpunt is dit niet goed! Technisch werkt dit wel, en kan de gebruikersdirectory van een een onderwijsinstelling gebruikers authenticeren met hun instellingsaccount. Maar de cloud provider komt op deze wijze in het bezit van de inloggegegvens (username en wachtwoord) van de gebruikers, wat grote risico's met zich meebrengt. Gebruikersnaam/wachtwoord wordt aangevuld met bijvoorbeeld SMS one-time-password of een onetime-password-token als dit volgens de onderwijsinstelling nodig is voor de specifieke cloud dienst. SAML is de algemeen geaccepteerde standaard en wordt gebruikt binnen SURFconext. De cloud provider moet SAML ondersteunen. OpenID Connect is een nieuwe opkomende standaard die door een aantal bedrijven (waaronder Google en Microsoft) ontwikkeld wordt, mogelijk dat deze standaard op termijn populairder wordt dan SAML. Voorlopig moet SAML geëist worden. LDAP (Lightweight Directory Access Protocol, in Microsoft omgevingen meestal Active Directory) is de standaard voor gebruikersdirectories. SMS-diensten, One-Time-Password (OTP) tokens en Smart Phone apps (bv. tiqr, Google Authenticator) zijn te gebruiken voor meerdere service providers. OATH (Open Authentication) is een standaard voor OTP tokens. Als een cloud provider niet is aangesloten bij SURFconext en dit ook niet wil, kan er ook rechtstreeks federatief gekoppeld worden met de onderwijsinstelling. Voor de gebruikerservaring en veiligheid maakt dit weinig uit, het is wel meer werk voor de ICT-afdeling. Naast dat de cloud provider toegang krijgt tot username en wachtwoord van gebruiker, zijn er meer risico's. Onder andere moet de directory via het internet benaderbaar zijn, dus er moet een 'gaatje' in de firewall zijn. Sommige cloud leveranciers stellen eisen aan het formaat van het opgeslagen wachtwoord (geen salt, bijvoorbeeld) wat helemaal af te raden is. Of extra authenticatie nodig is voor een cloud dienst is afhankelijk van de privacy- en frauderisico's die verbonden zijn aan gebruik van de cloud dienst. Encryptie De verbinding met de cloud dienst is te allen tijde versleuteld. De gegevens worden versleuteld opgeslagen. Maar de onderwijsinstelling blijft verantwoordelijk voor sleutelbeheer. [OF:] Als de cloud provider zelf verantwoordelijk is voor sleutelbeheer: Er vindt wel functiescheiding tussensleutelbeheer en (gebruikers)gegevensbeheer plaats bij de cloud provider. De verbinding van de onderwijsinstelling naar de cloud dienst (typisch via een browser naar een Webportal, mogelijk ook via een machine-2-machine koppeling) is end-to-end versleuteld. De sleutels waarmee de gegevens versleuteld zijn, zijn in beheer van de onderwijsinstelling. De data staat bij de clouddienst, maar is versleuteld, waardoor werknemers van de clouddienst deze niet kunnen lezen. Dit is extra veilig. Werknemers bij de clouddienst met toegang tot sleutels kunnen niet bij data van gebruikers, en vice versa: werknemers die wel bij de versleutelde data kunnen hebben juist geen toegang tot sleutels. Een verbinding over HTTPS (TLS, SSL), in browsers aangegeven met een dicht slotje en/of een groene URL balk. TrueCrypt is een software applicatie die gebruikt kan worden om te versleutelen, waarbij de onderwijsinstelling de sleutel bij zich kan houden. Afhankelijk van de toepassing kan het voldoende zijn om alleen de communicatie met betrekking tot authenticatie en autorisatie te versleutelen, bijvoorbeeld bij een site om wetenschappelijke literatuur te raadplegen. Dit is slechts voor een beperkte set van cloud diensten mogelijk: zodra de cloud dienst bewerkingen uit moet voeren, heeft deze toegang tot de onversleutelde data en dus de sleutels nodig. Het bewerken van gegevens zonder de data eerste te ontsleutelen, is onderwerp van wetenschappelijk onderzoek (zie homomorfe versleuteling in het rapport). Door dit te doen heeft een kwaadwillende individuele werknemers van een cloud provider geen toegang tot de onversleutelde data. Autorisatie Gebruikersbeheer De cloud provider biedt een flexibele oplossing voor autorisatie. De rechten die een gebruiker in de cloud dienst heeft, moeten door de onderwijsinstelling ingesteld kunnen worden, zodat deze rechten in lijn zijn met het beleid van de instelling. Role Based Access Control (RBAC) is een autorisatiemodel, waarin de rechten van een gebruiker in de cloud dienst aan de rol van de gebruiker in de instelling gekoppeld worden. Alternatieve autorisatiemodellen die meer attributen (van de gebruiker, van de omgeving, ) worden aangeduid met de term Attribute Based Access Control (ABAC). [NIET DOEN] De dienst koppelt direct met de directory (AD/LDAP) van de onderwijsinstelling om up-to-date gegevens over gebruikers op te halen. De gebruikersdirectory van de onderwijsinstelling is de autoritieve bron van gebruikersgegevens, zoals naam, adres en afdeling. Hier rechtstreeks mee koppelen brengt veiligheids risico's met zich mee. LDAP (Lightweight Directory Access Protocol, in Microsoft omgevingen meestal Active Directory) is de standaard voor gebruikersdirectories. Onderwijsinstellingen die een cloud dienst willen afnemen, moeten afspraken maken met de cloud provider over security en privacy. Met deze checklist kunnen onderwijsinstellingen bepalen of leveranciers van cloud diensten de benodigde bescherming van gegevens en privacy ook bieden. De checklist is gebaseerd op het rapport Privacy & security in de cloud een verkenning van tools en technieken uit De methoden en [OPTIONEEL] De cloud provider biedt een gestandaardiseerd koppelvlak voor autorisatie. De policies die bepalen welke gebruiker wat mag bij de cloud dienst, kunnen bij de onderwijsinstelling staan, waardoor het makkelijker is hier overzicht en controle op te houden. De cloud dienst raadpleegt dan bij autorisatiebeslissingen de zogenaamde policy engine van de instelling. XACML, de extensible Access Control Markup Language, geldt als de standaard voor centralisatie van autorisatie. Centralisatie van autorisatie op basis van XACML is op dit moment nog niet mainstream en niet ingevoerd bij onderwijsinstellingen. De cloud provider biedt een synchronisatie tool aan die toegang heeft tot de directory van de instelling en updates naar de cloud provider stuurt. Hier ontstaat een indirecte koppeling die veiliger is. De directory van de onderwijsinstelling hoeft niet meer naar buiten toe open te staan. Een voorbeeld is GADS (Google Apps Directory Sync). technieken die in dit rapport genoemd worden, komen terug in de items van deze checklist. Methoden en technieken die in de toekomst gebruikt kunnen worden, zijn wel opgenomen, maar hierbij is aangegeven dat ze optioneel zijn. [OPTIONEEL] De cloud dienst biedt een federatief koppelvlak aan voor uitwisseling van rollen en rechten. De autorisatiepolicies staan bij de cloud provider, en bepalen wie er toegang heeft op basis van attributen die de rol of rechten van een gebruiker weergeven. Actuele invulling van deze rollen en rechten kan via hetzelfde federatieve koppelvlak doorgegeven worden als waarmee authenticatie gebeurt. Zie bij federatief inloggen: SAML, OpenId Connect. De namen van relevante attributen en de betekenis moeten door de cloud provider vastgelegd zijn of ingesteld kunnen worden. De cloud dienst biedt een provisioning koppelvlak. Gebruikersgegevens kunnen worden doorgegeven aan de cloud provider door middel van een veilige en hiervoor bedoelde standaard. SPML (Service Provisioning Markup Language) is een standaard hiervoor die nooit populair is geworden. SCIM (System for Cross-domain Identity Management) lijkt een veelbelovende opvolger te zijn. Ook autorisaties kunnen op deze manier doorgegeven worden aan de cloud provider. CHECK METHODE OF TECHNIEK SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK STANDAARDEN / VOORBEELDEN OPMERKING CHECK METHODE OF TECHNIEK SPECIFIEKE KENMERKEN VAN METHODE/TECHNIEK STANDAARDEN / VOORBEELDEN OPMERKING Personal (storage) clouds Audit (/security) standaarden De cloud dienst biedt de mogelijkheid om gegevens op te halen (te importeren) bij andere diensten. Gegevens die bij een andere cloud provider zijn opgeslagen, kunnen (met instemming van de gebruiker) geïmporteerd worden door de cloud provider. OAuth: De gebruiker machtigt de cloud provider om namens de gebruiker gegevens op te halen bij een andere cloud provider. Er ontstaan hierdoor twee kopieën van de gegevens bij de twee verschillende cloud providers. De software waarmee de cloud dienst is geïmplementeerd, is volgens relevante standaarden beveiligd en van voldoende kwaliteit. Er zijn technische en organisatorische richtlijnen opgesteld door onder andere het Nationaal Cybersecurity Centre en OWASP die zich richten op veilige web-applicaties. Ook relevant zijn richtlijnen die focussen op kwaliteit van code in het algemeen (en dus de kans op exploiteerbare fouten verminderen). NCSC richtlijn (ICT-Beveiligingsrichtlijnen voor webapplicaties), OWASP Top 10 (2010). [OPTIONEEL] De cloud dienst biedt een koppelvlak voor het bewerken van extern opgeslagen data. De cloud dienst slaat de data die bewerkt wordt niet zelf op, maar laat de data bij een externe databron. Dit kan doordat de dienst geïmplementeerd is als app die in een extern gehost trusted platform draait (zoals bij Qiy) of zelfs bij de gebruiker in de browser (zoals bij Unhosted.org). Cloud providers staan dit momenteel niet toe. Er vindt wel een SURFnet/SARA pilot plaats met unhosted.org. De beveiligingsmaatregelen bij de cloud provider zijn volgens een systematiek ingevoerd. OWASP De cloud provider heeft technische en organisatorische maatregelen op een systematische manier doorgevoerd, zodat deze geaudit kunnen worden. NCSC De ISO standaard definieert hoe een Information Security Management System (ISMS) geïmplementeerd moet worden. Een auditor beoordeelt of een ISMS bij een cloud provider volgens deze standaard ingevoerd. Salesforce.com, Google apps for business, Microsoft Azure, Amazon AWS zijn allemaal ISO gecertificeerd. Let wel op dat de scope van het ISMS alle relevante systemen en services omvat. Exit-strategie ISO bij NEN De cloud provider staat toe dat alle relevante data op verzoek als archief gedownload kan worden. De cloud provider staat exporteren van data toe naar een andere cloud provider. Dit kan gaan om data van één specifieke gebruiker, maar ook om alle data die van een onderwijsinstelling opgeslagen is. Bijvoorbeeld als er een contract met een andere cloud provider is afgesloten. De instelling moet een duidelijk beeld hebben wat relevante data per gebruiker is. Een databestand kan in de loop der jaren gigantisch groeien. De instelling moet de capaciteit hebben om die data (tijdelijk) op te slaan. De cloud provider biedt een data-api aan die, met instemming van de gebruiker, door andere cloud providers gebruikt kan worden om data te exporteren. Zie Google's data liberation front. Oauth (2.0) is de de-facto standaard voor het op een veilige manier beschikbaar stellen van een data- API. Een archief met alle data is mogelijk niet direct te importeren bij een nieuwe cloud provider. Beleid moet zoveel mogelijk zijn: "data in", "data out" (i.e. hetzelfde formaat). De via Oauth ontsloten data-api zelf is daarmee nog niet gestandaardiseerd. In het land waar de cloud provider de dienst host geldt privacywetgeving op basis van richtlijn 95/46/EG. Bovenstaande maatregelen zijn door een, daartoe bevoegde, derde partij gecontroleerd. De databeschermingrichtlijn 95/46/EG bindt de verwerker en alle deel-bewerkers van persoonlijke data aan regels ter bescherming van de privacy. Een cloud provider kan niet alleen naar eigen zeggen, maar door onafhankelijk deskundige het bewijs overleggen (third party mededeling, TPM) dat privacy maatregelen zijn ingevoerd. Richtlijn 95/46/EG is in de Europese Unie ingevoerd. In Nederland als de Wet Bescherming Persoonsgegevens (WBP). ISAE 3402 (en SSAE 16, dit is de Amerikaans uitwerking van ISAE 3402) zijn standaarden voor het opstellen van een TPM. De Europese Commissie bereidt een nieuwe richtlijn voor waarvan begin 2012 een draft versie verschenen is: 2012/010 (COD). De derde partij heeft gecontroleerd dat de beschreven maatregelen daadwerkelijk zijn ingevoerd door de cloud provider. Dat de beschreven maatregelen van voldoende niveau zijn moet nog steeds gecontroleerd worden door de instelling. ISAE De cloud provider verwijdert alle gegevens op verzoek van de onderwijsinstelling (bijvoorbeeld bij beëindigen van contract) en kan dit ook garanderen. Bij het beëindigen van het contract is het duidelijk dat er geen doelbinding meer is voor het opslaan van gebruikersdata. Deze data moet dus verwijderd worden. [ALS DAN TOCH] Als bewust gekozen wordt voor een cloud provider in de VS (of provider die veel zaken doet met VS), dan: (1) moet deze zich aan de 'Safe Harbor Principles' houden, en (2) moeten de getroffen maatregelen bij de cloud provider bevestigd zijn in een third party mededeling (zie boven), en (3) moet de onderwijsinstelling controleren dat de getroffen maatregelen, zoals genoemd in de TPM afdoende zijn. Een cloud provider en eventuele deelbewerkers uit de VS houden zich aantoonbaar aan de Safe Harbor Principles, waarbij een TPM nodig is die 95/46/EG gelijk waardig is. Safe Harbor Principles, inclusief FAQ vraag en antwoorden. Zie zienswijze van CBP naar aanleiding van vragen van SURFmarket. Bij het verwijderen van gegevens (zoals hierboven) wordt door de cloud provider gegarandeerd dat de betreffende gegevens uit de back-ups worden verwijderd. Dit kan een restore onmogelijk maken. Ook geldt dat sommige loggegevens niet zomaar weggegooid mogen worden. Safe Harbor beginselen Quote: Doorgifte van persoonsgegevens naar de VS is mogelijk als de betreffende Amerikaanse clouddienstverlener zich heeft verplicht tot naleving van de zogeheten Safe Harbor Principles (Veilige Haven Beginselen). De Europese Commissie heeft namelijk bepaald dat in dat geval sprake is van een passend beschermingsniveau. Het CBP benadrukt in zijn zienswijze dat hierdoor doorgifte weliswaar mogelijk is, maar dat dit echter niet garandeert dat de daadwerkelijke verwerking van persoonsgegevens in de VS ook voldoet aan alle eisen van Europese inclusief Nederlandse privacywetgeving. Voor naleving van de wet blijft de Nederlandse afnemer van clouddiensten verantwoordelijk, aldus het CBP. Zienswijze

27 CLOUD SERVICES Empower users to consume the online services they want and need: users are choosers Disrupt the traditional software distribution model and supply chain; Require collaboration between research and education organisations, to prevent 'cloud fragmentation' and provide interoperability and security. Connect the clouds

28 Towards the clouds, together

29 Andres Thank you! Connect Communicate Collaborate Connect Communicate Collaborate 29