Çizelge 7 olarak bilinen G-Cloud 14 çerçeve anlaşmasının veri koruma kısmı, potansiyel tedarikçiler tarafından kötü hazırlanmış ve saçma olarak tanımlanıyor.
Ve CCS, mevcut durumunda Çizelge 7'nin G-Cloud 14 kapsamındaki sözleşmelerin geçersiz ve hükümsüz ilan edilmesine yol açabileceği yönündeki endişelerin ortasında, içeriğini revize etmesi için acil çağrılarla karşı karşıya.
Computer Weekly'de, çerçeve belgelerinin 19 Şubat 2024'te kamuya açıklanmasından bu yana CCS'nin potansiyel tedarikçilerden G-Cloud 14 hakkında aldığı tüm açıklayıcı soruların kaydedildiği belgenin bir kopyası bulunmaktadır.
Öne çıkan soruların birçoğu, Çizelge 7'nin ne kadar hatalarla dolu ve okunması zor olduğuna dair endişeleri artırıyor; olası bir tedarikçi, belgenin mevcut haliyle “üzerinde mutabakata varılamayacağını, hatta gözden geçirilemeyeceğini” iddia ediyor.
“Kişisel verilere ilişkin şartların çeşitli hatalar içermesi nedeniyle yeniden yayınlayabilir misiniz? [and] Taslak hazırlama sorunları,” diye yazdı olası bir tedarikçi. “Güncelleme yapmaya çalıştığınız ancak işaretlemede bir şeylerin ters gittiği anlaşılan eksik ve tutarsız cümleleriniz ve/veya cümlecikleriniz var.”
Başka bir tedarikçi de Çizelge 7'nin “yanlış düzenlendiğini” ve gramer hatalarıyla dolu olduğunu söyledi.
Temsilci beyanı
Sorulara yanıt olarak bir CCS temsilcisi, kuruluşun “belgelerde gerekli değişiklikleri zamanı gelince yapacağını” belirtti.
Bu arada CCS'nin belgenin mevcut haliyle yayınlanmasına nasıl ve neden izin verdiğine dair sorular soruluyor.
Birleşik Krallık Kabine Ofisi'nin eski ICT başkanı Nicky Stewart, Çizelge 7'nin “aceleye getirilmiş bir işin tüm özelliklerini” taşıdığını söyledi ve Computer Weekly'ye, “tüm niyet ve amaçlar açısından devam eden bir çalışma olan” bir belgeyi görünce şaşırdığını söyledi. ” tedarikçilere bu şekilde yayınlandı.
“Önerilen yasal olarak bağlayıcı bir belge olarak, tedarikçilerin Çizelge kapsamındaki yükümlülüklerinin kapsamı hakkında bilinçli bir değerlendirme yapması imkansızdır; sorumlu bir tedarikçinin yapması gereken de budur” dedi.
“Aynı şekilde, çok sayıda hata ve referans sorunları göz önüne alındığında, alıcıların mevcut haliyle programa güvenme konusunda rahat olacaklarından şüpheliyim. Etkili sözleşmeler hem taslak hem de niyet açısından kesinlikle açık ve nettir. Program 7 ikisi de değil. CCS'nin Programı düzeltmesi ve mümkün olan en kısa sürede yeniden yayınlaması gerekiyor.”
BT güvenlik danışmanlığı Secon Solutions'ın kıdemli ortaklarından Owen Sayers, Stewart'ın görüşünü destekledi ve Çizelge 7'nin içeriğinin, kendisinin “böylesine yüksek profilli ve doğası gereği önemli bir devlet alımından” bekleyebileceği “standartların bir miktar altında kaldığını” söyledi.
Belgeleri birleştirme
Kamu sektörü BT tedarikçi topluluğundaki kaynaklar, Çizelge 7'nin içeriği ile Kamu Sektörü Sözleşmesinin veri koruma bölümleri arasındaki benzerlikleri tespit ederek, G-Cloud 14'teki hataların CCS'nin bu iki belgeyi birleştirmeye çalışmasının sonucu olabileceği yönünde spekülasyonlara yol açtı. birlikte – özellikle CCS'nin daha önce G-Cloud 14 ile içeriklerini kuruluşun çerçeve anlaşmaları hazırlarken kullandığı standart şablon olan PSC ile uyumlu hale getirmek için adımlar atıldığını belirttiği gibi
Örneğin 7 Mart'ta CCS, tedarikçi tepkisi sonrasında G-Cloud 14 katılımcılarının sahip olması gereken sigorta kapsamı miktarını revize ettiğini doğruladı.
Daha önce Computer Weekly tarafından bildirildiği üzere CCS, başlangıçta tedarikçilere, çerçevenin PSC ile uyumlu olmasını sağlamak için G-Cloud 14'e katılmak için sahip oldukları sigorta kapsamı miktarını 20 milyon £ artırmaları gerektiğini söylemişti.
Bu tedarikçi teorisi söz konusu olduğunda Sayers, “bu sürümün, hem önceki G-Cloud sürümlerinden hem de diğer hükümet çerçevelerinden gelen maddeleri taşıyan kes-yapıştır sorunlarından ciddi şekilde zarar gördüğü açıktır” dedi.
Bununla birlikte, Çizelge 7'deki sorunların hatalarla dolu ve okunması zor olmanın ötesine geçtiğini, ancak aynı zamanda bazı kamu sektörü BT alıcılarının ve tedarikçilerinin kişisel verileri işlerken farkında olmadan yasayı ihlal etmelerine de yol açabileceğini ekledi.
Bunun nedeni, Çizelge 7'de, Birleşik Krallık'taki polis kuvvetlerinin ve kolluk kuvvetlerinin kişisel verileri kolluk kuvvetleri amacıyla nasıl işlemesi gerektiğini belirleyen katı gereklilikleri içeren Veri Koruma Yasası (DPA) 2018 Bölüm 3'e hiçbir atıf içermemesidir.
Sayers şöyle devam etti: “DPA Bölüm 3'ün ihmal edilmesi çok ciddi bir durumdur, çünkü yasal olarak zorunlu olan Bölüm 59 hükümleri dahil edilmeden yapılan herhangi bir sözleşme, kolluk kuvvetlerinin kişisel verilerinin işlenmesi için yasal bir temel oluşturmayacaktır.”
“Bilgi Komiseri Ofisi (ICO) tarafından yaptırım eylemi riski düşük olsa da, gerçek risk, yasal hizmet sağlayabilecek bir tedarikçinin verdiği bir sözleşmeye itiraz edilmesi veya verileri yasa dışı olarak işlenen halktan gelen hak talepleridir. Kanunun izin vereceği şekilde.”
Bu hükümlerin dahil edilmemesi, kolluk kuvvetlerinin katılımı açısından G-Cloud 14'ü sorunlu hale getirebilir.
Kamu sektörü satın alma danışmanlığı şirketi Advice Cloud tarafından yayınlanan G-Cloud satış verilerine göre, acil durum hizmetleri sektörü, bugüne kadar G-Cloud aracılığıyla yapılan toplam 399,81 milyon £ harcamayla çerçeve aracılığıyla beşinci en büyük hizmet alıcısı oldu.
CCS Digital Marketplace satış verilerini kullanarak verileri daha ayrıntılı bir şekilde analiz edersek, acil durum hizmetleri sektöründe G-Cloud'un en büyük 10 kullanıcısından dokuzu Metropolitan Police, Thames Valley Police, Greater Manchester gibi emniyet teşkilatlarından oluşuyor. Polis ve Polis Dijital Hizmeti.
Sayers, “Birleşik Krallık Veri Koruma yasasının zorunlu kıldığı temel hükümlerin dahil edilmemesi, Kanun Uygulama sektörü için çerçevenin değerini büyük ölçüde boşa çıkarır, çünkü bu çerçeve kapsamında imzaladıkları herhangi bir sözleşme geçersiz sayılabilir” diye uyardı. “Bu nedenle polis güçleri ve diğer benzer kurumların, G-Cloud'u kullanmaya devam edip DPA 2018'i ihlal edip etmeyeceklerine veya alımlarını çerçeve dışında doğru yasal şartları kullanarak gerçekleştirip gerçekleştirmeyeceklerine karar vermesi gerekecek, bu da bazı önemli masraflara yol açacaktır.”
Sayers, yaklaşık altı yıldır kolluk kuvvetleri sektörünün tamamı için geçerli Birleşik Krallık mevzuatı olmasına rağmen, CCS sözleşmelerinin DPA 2018 Bölüm 3'e atıfta bulunmayı ihmal etmesinin alışılmadık bir durum olmadığını söyledi.
Bu arada, Aralık 2020'de yayınlanan daha önceki bir Computer Weekly araştırması, teknolojinin ulusal çapta kullanıma sunulmasının DPA 2018 Bölüm 3'ün gerekliliklerini karşılamaması nedeniyle Birleşik Krallık genelindeki polis güçlerinin Microsoft 365'teki milyonlarca kişinin verilerini yasa dışı bir şekilde işlediğini ortaya çıkardı.
“G-Cloud, Cloud Compute 2 veya başka herhangi bir çerçeveden hizmet satın almak ve kullanmak için bu maddelere dayanan herhangi bir kolluk kuvveti denetleyicisinin, bu sözleşmeler kapsamında kişisel verileri işlemesi durumunda yasayı ihlal edeceği gerçeğini bir noktada kabul etmemiz ve ele almamız gerekiyor. kolluk kuvvetleri amacıyla,” dedi Sayers. “İşleyici olarak hareket eden tedarikçiler de aynısını yapacak.”
Computer Weekly, Çizelge 7'nin aceleye getirilip hatalarla doldurulduğu yönündeki tüm iddiaları, DPA 2018 Bölüm 3'e yapılan atıfların eksikliğine ilişkin kaygılarla birlikte CCS'ye sundu ve yanıt olarak şu açıklamayı aldı: “G-Cloud 14 canlı bir satın almadır. Tedarikçiler, satın almayla ilgili sorularını doğrudan resmi açıklama süreci aracılığıyla göndermelidir; bu sorular incelenecek ve uygun şekilde ele alınacaktır.”