SURF leden kunnen zich aanmelden via het Aanmeldingsproces

In MijnSURF onder de dienst SURFcumulus vind je alle relevante contracten, aanbestedingsstukken en verwerkersovereenkomsten.

Geen toegang tot MijnSURF? Neem contact op via surfcumulus@surf.nl

Artikel 2.4:

• Is er een mogelijkheid om actief op de hoogte te worden gebracht (bijvoorbeeld via e-mail) in het geval van wijzigingen in sub-verwerkers of moeten wij daarvoor zelf de voorwaarden op het Surfdashboard monitoren?

Dit monitort SURF niet omdat wij geen inzicht hebben in welke specifieke diensten en support instellingen afnemen en daarmee de sub-verwerkers die daarbij betrokken zijn. Dat geldt in ieder geval voor de (Amerikaanse) hyperscalers. In het geval dat Cloudlevranciers wijzigingen in de voorwaarden doorgeven aan SURF dan zal SURF dat ook delen met de instellingen die gebruik maken van die leverancier. Voor Nederlandse partijen als Vancis hebben wij hier wel zicht op omdat Vancis de SURF Sub-Verwerkersovereenkomst gebruikt waarin dit bijgehouden wordt.

• Heeft ons instituut de mogelijkheid om de overeenkomst op te zeggen als er zwaarwegende bezwaren zijn tegen de voorgenomen wijziging in sub-verwerkers?

Ja, elke instelling kan op elk moment stoppen met diensten afgenomen binnen SURFcumulus. De SURFcumulus overeenkomst zelf heeft een opzegtermijn van 1 maand. Het is aan instellingen zelf om ervoor te zorgen dat alle afgenomen diensten voor dat moment gestopt en verwijderd zijn uit hun omgeving.

Artikel 3.1:

• Het is ons niet helemaal duidelijk hoe deze bepaling werkt. Volgens ons staat er, bedoeld of onbedoeld, dat als er iets misgaat en er schade optreedt, en het is de schuld van Microsoft, dan stellen wij SURF aansprakelijk, en dan stellen zij Microsoft weer aansprakelijk, en dan geeft SURF de schadevergoeding 1 op 1 aan ons door. Maar als de schadevergoeding van Microsoft aan SURF €1.000.000 bedraagt, geeft SURF nog steeds maar €100.000 door aan ons?

Dit kan niet voorkomen. Omdat de aansprakelijkheid sowieso is beperkt tot € 100.000, kan er dus maximaal een claim van € 100.000 ingediend worden bij SURF en deze zal SURF uiteraard proberen te verhalen bij de sub-verwerker. Afhankelijk van hetgeen de sub-verwerker uitkeert van die claim, krijgt de verantwoordelijke een gelijkwaardige vergoeding. Reden hiervoor is dat SURF meerdere klanten bedient onder één call off contract met de sub-verwerker. Als er dus iets fout gaat bij een sub-verwerker, kan SURF bijvoorbeeld wel van 20 klanten claims krijgen van ieder € 100.000,- Opgeteld zal SURF dus een miljoenenclaim moeten neerleggen bij de sub-verwerker. Deze bepaling is daarom afgestemd op het risico dat SURF nog wil lopen in het kader van deze dienst.   

Artikel 28.4

• we missen iets in de trant van "In navolging van artikel 28.4 AVG moet de subverwerker minimaal dezelfde waarborgen bieden als de verwerker. Dat wordt ondervangen door... "

Het addendum zorgt ervoor dat de afspraken tussen de leverancier (subverwerker) en SURF (verwerker) ook worden overeengekomen tussen SURF en de afnemer (de verantwoordelijke). Het resultaat is een keten van afspraken die op elkaar aansluit zoals bedoeld in artikel 28 lid 4 van de AVG.

Marketplace items van bijvoorbeeld Microsoft Azure of Amazon Web Services kunnen via SURFcumulus afgenomen worden en worden dan ook via SURFcumulus gefactureerd.  Het gebruik valt echter wel buiten de OCRE-aanbesteding. Daarnaast sluit je bij het activeren een aparte overeenkomst af, want het zijn uiteindelijk producten van derden. Er zal dus door de afnemers bekeken moeten worden of de kosten onder de aanbestedingssgrens blijven

Zie hieronder bijvoorbeeld het contractoverzicht van Microsoft Azure Marketplace

Zie hier voor meer informatie: Cloud Security

Aanmaken van een billingaccount onder een departement.

Wanneer er een nieuw functioneel account moeten worden toegevoegd aan een departement om nieuwe subscripties te kunnen maken, dan dienen de volgende stappen te worden doorlopen.

In principe is het aanmaken van accounts aan de instellingen om dit te doen, de reden hiervoor is dat wanneer er een account is, dan kunnen hierop kosten worden gemaakt. Het al dan niet mogen maken van kosten is niet aan ons om te bepalen wie dat mag.

Ga naar portal.azure.com en log in met een enterprise admin account. Ga naar “Costmanagement + billing” en klik in het linker menu op “Departments” zoek vervolgens op bijvoorbeeld “Surf”

Als je het departement hebt gevonden, klik dan op de naam en klik vervolgens in het linker menu op “Accounts”. De lijst met accounts verschijnt nu, je kunt nog even controleren of er al een account met het emailadres bestaat.

Klik op “Add”

Vul de “Account name” in, dit kan aan de naamgeving van de instelling kunnen voldoen, anders een zoveel mogelijk beschrijvende naam opgeven.

Vul vervolgens twee keer het email adres van de accountowner in, hier wordt emailadres genoemd, maar het is feitelijk de UPN van de persoon of van het functioneel account.

Je kunt hier een costcenter invullen, dit is het kostcenter waarop split-billing kan worden toegepast door Bechtle. Wanneer er geen costcenter wordt ingevuld, dan worden kosten in de standaard factuur opgenomen.

Als alles is ingevuld, klik dan op “Add”, het account wordt nu aangemaakt. Je zult zien dat het account in een “Pending” staat terecht komt en dat er bij de kosten “Unauthorised” staat. Dit komt omdat het account eerst moet worden geactiveerd door de gebruiker.

De gebruiker van het account moet met het nieuwe functionele account inloggen in de Azure portal en vervolgens naar  “Costmanagement + billing” pagina gaan. Daar moet de gebruiker klikken op “Billing scopes” hier staat het account wat net is aangemaakt. In het linker menu staat een item “Activate account”. Hierop moet worden geklikt en onderstaande scherm verschijnt.

Hierop staan een aantal opmerking met betrekking tot andere subscripties van de gebruiker. Wanneer er subscripties buiten het Enterprise Agreement op naam van deze gebruiker staan worden deze subscripties geconverteerd naar EA subscripties. Dit is in sommige gevallen precies de bedoeling, maar er zijn subscripties waar je een maandelijks tegoed ontvangt en deze maandelijkse tegoeden zullen dan verdwijnen!

Wanneer je door wilt gaan, dan zet je het vinkje bij “Yes, I wish to continue” en klik je vervolgens op “Activate this account”.

Hierna wordt er een proces gestart om het account te activeren, hier gaat enige tijd overheen. In de portal zal na verloop van tijd “Pending” worden omgezet in “Activated” en zal er 0.00 aan kosten staan in plaats van “Unauthorised”. Als dit het geval is, dan kunnen er nieuwe subscripties worden gemaakt.