Transcript Juridisch n

SURF Juridisch normenkader
cloudservices
The ICT marketplace by SURF for Dutch Higher Education & Research
Olga Scholcz
Juridisch Adviseur
Relationships & Transactions in
SURFmarket Agreements
Repor4ng and payments SURFmarket Agreement for Intermediary Services ICT Vendor Accession Declara6on & Subscrip6on to SURF procurement services
Appendix to Agreement: License Agreement
Ins4tu4on 2
Inhoud
3 voorbeelden uit de dagelijkse praktijk waarin we
het HO Normenkader in onderhandelingen met
leveranciers ‘tegenkomen’:
1)  Leverancier wil werken met aparte EULA “End
User License Agreement”
2)  Auditverplichting & TPM verklaring “Third Party
Memorandum”
3)  Privacyrechtelijke bepalingen
3
EULA
• 
EULA (“End User License Agreement” ofwel ‘eindgebruikersvoorwaarden’)
• 
Wat houdt het in? Voorwaarden rechtstreeks tussen leverancier en
eindgebruiker. Eindgebruiker moet hier expliciet mee akkoord gaan;
Wat komen we daarin tegen? soms bepalingen die haaks staan op HOnormenkader en door ons gemaakte afspraken in bemiddelingsovereenkomst;
Afwijkingen op het HO-normenkader (en BO) liggen vaak op gebied dataeigendom, privacybepalingen, gebruik (persoons-)gegevens.
Wat doen we? Checken, waar mogelijk in lijn brengen met HO normenkader
en bepalingen BO, soms verwijderen.
Wat als eindgebruiker onverhoopt akkoord gaat met EULA?
• 
• 
• 
• 
4
AUDIT & TPM
Auditverplichting, wettelijke basis in art. 14 lid 1 WBP:
“Indien de verantwoordelijke persoonsgegevens te zijnen
behoeve laat verwerken door een bewerker, draagt hij zorg
dat deze voldoende waarborgen biedt ten aanzien van de
technische en organisatorische beveiligingsmaatregelen
met betrekking tot de te verrichten verwerkingen. De
verantwoordelijke ziet toe op de naleving van die
maatregelen.”
Auditverplichting is opgenomen in art. 8 HO Normenkader.
5
AUDIT & TPM
Het HO Normenkader verplicht leveranciers de
bevindingen van een auditor op te laten nemen in
een TPM-verklaring en, na een verzoek ter zake,
aan Instelling ter beschikking te stellen.
TPM (“Third Party Memorandum”) = verklaring van
een onafhankelijke derde deskundige over de
kwaliteit van beveiliging van een ICT-dienst (vb.
ISAE 3402, ISO 27001).
6
AUDIT & TPM
Wat komen we in praktijk tegen? vragen van vendoren als “wat is
dit?”, “waar toetsen jullie op?”, “het is duur”, “we kunnen niet
beloven dat we het gaan doen”.
Wat doen we?
–  Uitleggen achtergrond van de vraag (voortkomend uit
privacywetgeving, HO normenkader; dit is wat Instellingen
willen,) en vragen op welke manieren ze hun kwaliteit nu
(laten) toetsen?
–  Suggesties geven om stappen te zetten in toetsing van de
kwaliteit;
–  Invulling van de leverancier wordt gecheckt door SURF
Security Officer;
–  Inzicht geven aan Instelling in standpunt van de Leverancier
en de gevolgen hiervan (‘comply or explain principe’)
7
Privacyrechtelijke bepalingen
• 
Privacyrecht: wetgeving die toeziet op een zorgvuldige verwerking van- en
omgang met persoonsgegevens (alle tot personen herleidbare gegevens).
Belangrijke privacyrechtelijke bepalingen uit het HO Normenkader zijn:
• 
verwerking van persoonsgegevens moet door leverancier en al zijn evt.
hulpleveranciers in beginsel plaatsvinden binnen de EER en/of landen met
passend beschermingsniveau (Safe Harbor, indien aantoonbaar nageleefd);
Verbod verwerken persoonsgegevens voor reclamedoeleinden;
Handelswijze in geval van verzoek om inzage (persoons-)gegevens door
opsporingsautoriteiten.
• 
• 
• 
Reactie(s) leveranciers: privacyrechtelijke bepalingen (te) omvangrijk,
onbekende materie.
• 
Wat doen we? Uitleggen, onderzoeken, mogelijke oplossingen bespreken.
Comply or explain in uitzonderlijke gevallen.
8
Thank you for your attention!
Any Questions?
9
[email protected]
@surfmarketnl
www.linkedin.com/company/surfmarket
W
www.surfmarket.nl
+31 88 – 126 97 00 [Office management]
Creative Commons “Attribution” license:
http://creativecommons.org/licenses/by/3.0/