SURF Juridisch normenkader cloudservices The ICT marketplace by SURF for Dutch Higher Education & Research Olga Scholcz Juridisch Adviseur
Relationships & Transactions in SURFmarket Agreements SURFmarket Repor4ng and payments Agreement for Intermediary Services ICT Vendor Accession Declara6on & Subscrip6on to SURF procurement services Ins4tu4on Appendix to Agreement: License Agreement 2
Inhoud 3 voorbeelden uit de dagelijkse praktijk waarin we het HO Normenkader in onderhandelingen met leveranciers tegenkomen : 1) Leverancier wil werken met aparte EULA End User License Agreement 2) Auditverplichting & TPM verklaring Third Party Memorandum 3) Privacyrechtelijke bepalingen 3
EULA EULA ( End User License Agreement ofwel eindgebruikersvoorwaarden ) Wat houdt het in? Voorwaarden rechtstreeks tussen leverancier en eindgebruiker. Eindgebruiker moet hier expliciet mee akkoord gaan; Wat komen we daarin tegen? soms bepalingen die haaks staan op HOnormenkader en door ons gemaakte afspraken in bemiddelingsovereenkomst; Afwijkingen op het HO-normenkader (en BO) liggen vaak op gebied dataeigendom, privacybepalingen, gebruik (persoons-)gegevens. Wat doen we? Checken, waar mogelijk in lijn brengen met HO normenkader en bepalingen BO, soms verwijderen. Wat als eindgebruiker onverhoopt akkoord gaat met EULA? 4
AUDIT & TPM Auditverplichting, wettelijke basis in art. 14 lid 1 WBP: Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen. De verantwoordelijke ziet toe op de naleving van die maatregelen. Auditverplichting is opgenomen in art. 8 HO Normenkader. 5
AUDIT & TPM Het HO Normenkader verplicht leveranciers de bevindingen van een auditor op te laten nemen in een TPM-verklaring en, na een verzoek ter zake, aan Instelling ter beschikking te stellen. TPM ( Third Party Memorandum ) = verklaring van een onafhankelijke derde deskundige over de kwaliteit van beveiliging van een ICT-dienst (vb. ISAE 3402, ISO 27001). 6
AUDIT & TPM Wat komen we in praktijk tegen? vragen van vendoren als wat is dit?, waar toetsen jullie op?, het is duur, we kunnen niet beloven dat we het gaan doen. Wat doen we? Uitleggen achtergrond van de vraag (voortkomend uit privacywetgeving, HO normenkader; dit is wat Instellingen willen,) en vragen op welke manieren ze hun kwaliteit nu (laten) toetsen? Suggesties geven om stappen te zetten in toetsing van de kwaliteit; Invulling van de leverancier wordt gecheckt door SURF Security Officer; Inzicht geven aan Instelling in standpunt van de Leverancier en de gevolgen hiervan ( comply or explain principe ) 7
Privacyrechtelijke bepalingen Privacyrecht: wetgeving die toeziet op een zorgvuldige verwerking van- en omgang met persoonsgegevens (alle tot personen herleidbare gegevens). Belangrijke privacyrechtelijke bepalingen uit het HO Normenkader zijn: verwerking van persoonsgegevens moet door leverancier en al zijn evt. hulpleveranciers in beginsel plaatsvinden binnen de EER en/of landen met passend beschermingsniveau (Safe Harbor, indien aantoonbaar nageleefd); Verbod verwerken persoonsgegevens voor reclamedoeleinden; Handelswijze in geval van verzoek om inzage (persoons-)gegevens door opsporingsautoriteiten. Reactie(s) leveranciers: privacyrechtelijke bepalingen (te) omvangrijk, onbekende materie. Wat doen we? Uitleggen, onderzoeken, mogelijke oplossingen bespreken. Comply or explain in uitzonderlijke gevallen. 8
Thank you for your attention! Any Questions? 9
Olga.Scholcz@surfmarket.nl @surfmarketnl www.linkedin.com/company/surfmarket W www.surfmarket.nl +31 88 126 97 00 [Office management] Creative Commons Attribution license: http://creativecommons.org/licenses/by/3.0/