Contract
1
2
3
4
5
contract
Wanneer een onderwijsinstelling een cloud dienst wil afnemen, zal daarvoor een contract moeten worden gesloten met de
6
cloud leverancier. Van belang is om te weten welke privacy afspraken verplicht en welke wenselijk zijn in het aangaan van een contract met een cloud leverancier. De checklist privacy afspraken is hierbij een handig hulpmiddel.
7
8
CLOUD COMPUTING & PRIVACY
Checklist privacy afspraken
toepassing van de checklist privacy afspraken
In een contract staan afspraken over het gebruik van de dienst en de voorwaarden (kosten, service levels, juridische voorwaarden, etc.) waaraan dit gebruik is gebonden. Het is belangrijk dat in het contract wordt verankerd dat de cloud leverancier persoonsgegevens verwerkt in overeenstemming met bepaalde verplichtingen uit de Wet bescher- ming persoonsgegevens (Wbp). Als niet aan
deze verplichtingen wordt voldaan, dan loopt de onderwijsinstelling het risico dat zij zelf in strijd handelt met de Wbp. Het is daarom van belang de contracten van leveranciers goed te bestude- ren en zo mogelijk te vergelijken. Daarbij kan
de checklist privacy afspraken een handig hulp- middel zijn.
De checklist bestaat uit een opsomming van 14 contactuele afspraken. Per afspraak wordt aange- geven of deze verplicht of wenselijk is, waar deze afspraak opgenomen is in de Wbp, er wordt een toelichting op de afspraak gegeven, hoe deze af- spraak uitpakt in de praktijk en tot slot volgt een voorbeeldbepaling zoals opgenomen kan worden in een contract en een toelichting daarop.
De checklist privacy afspraken is bedoeld om naast een contract van een cloud leverancier te leggen of om contracten van verschillende
leveranciers met elkaar te vergelijken. De check- list is geen juridisch advies. Voor een sluitend juridisch advies kan het beste contact worden opgenomen met een in IT-recht gespecialiseerd (advocaten)kantoor.
SURFnet Kennisnet InnoVatieprogramma
Cloud Computing
de checklist behandelt de volgende afspraken:
1. Schriftelijke overeenkomst De onderwijsinstelling en de cloud leverancier zijn verplicht een schriftelijke overeenkomst te sluiten met betrekking tot de bescherming van persoonsgegevens. | ||
2. Adequaat beveiligen De cloud leverancier moet de persoonsgegevens adequaat beveiligen. Het gaat hierbij zowel over beveili- ging tegen dataverlies als over bescherming van de toegang tot persoonlijke gegevens door onbevoegden. | ||
3. Omschrijven beveiligingsmaatregelen De beveiligingsmaatregelen m.b.t. persoonsgegevens van de leverancier moeten worden omschreven in het cloud contract. | ||
4. Controleren beveiliging De cloud leverancier moet de onderwijsinstelling in staat stellen om erop toe te zien of hij zijn verplich- ting tot adequate beveiliging nakomt. | ||
5. Verwerken in opdracht De cloud leverancier mag de persoonsgegevens van de onderwijsinstelling slechts in opdracht van de onderwijsinstelling verwerken. | ||
6. Geen toegang derden Zonder toestemming van de onderwijsinstelling mag de cloud leverancier derden geen toegang geven tot de persoonsgegevens. | ||
7. Groepsmaatschappijen en onderaannemers De cloud leverancier mag bij het verwerken van de persoonsgegevens alleen groepsmaatschappijen en onderaannemers inschakelen met wie hij een schriftelijke overeenkomst heeft gesloten waarin geheimhoudings- en beveiligingsverplichtingen zijn opgenomen. | ||
8. Persoonsgegevens niet langer bewaren dan noodzakelijk De cloud leverancier mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de cloud diensten aan de onderwijsinstelling te leveren. | ||
9. Data ook weer uit de cloud De cloud leverancier moet ervoor zorgen dat de onderwijsinstelling de persoonsgegevens bij het einde van de overeenkomst weer uit de cloud kan halen. De persoonsgegevens moeten daarna worden verwijderd uit de systemen van de leverancier. | ||
10. Verwerking alleen binnen Europese Unie of land met ‘passend beschermingsniveau’ De cloud leverancier mag de persoonsgegevens alleen verwerken in de Europese Unie of een land met ‘passend beschermingsniveau’. | ||
11. Informeren over beveiligingsincidenten De cloud leverancier moet de onderwijsinstelling onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan op de verwerking van persoonsgegevens. | ||
12. Verwerking in overeenstemming Wbp De cloud leverancier moet de persoonsgegevens verwerken in overeenstemming met de Wbp. | ||
13. Verplichtingen in geval van onderzoek autoriteiten Indien de cloud leverancier door een autoriteit wordt verzocht om persoonsgegevens van de onderwijsinstelling te verstrekken, dan moet hij (i) de onderwijsinstelling onmiddellijk informeren, (ii) de onderwijsinstelling in staat stellen om zijn rechten te verdedigen en (iii) alle medewerking verlenen om de toegang zo beperkt mogelijk te houden. | ||
14. Meewerken aan inzageverzoeken De cloud leverancier moet meewerken aan verzoeken van betrokkenen (bijv. studenten) om inzage en correctie van hun persoonsgegevens. |
Download de checklist hier: xxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxx.xx/xxxxxxxxx/xxxxxxxxxxxxxx/xxxxxxxxxxxxxxx
SURFnet Kennisnet InnoVatieprogramma
Cloud Computing