يُعرف الجزء المتعلق بحماية البيانات في اتفاقية G-Cloud 14 الإطارية، المعروف باسم الجدول 7، من قبل الموردين المحتملين بأنه تمت صياغته بشكل سيئ وغير منطقي.
وتواجه CCS الآن دعوات عاجلة لمراجعة محتوياتها، وسط مخاوف من أن الجدول 7 – في حالته الحالية – قد يؤدي إلى إعلان العقود التي تم إلغاؤها بموجب G-Cloud 14 لاغية وباطلة.
لدى Computer Weekly نسخة من المستند الذي يسجل جميع الأسئلة التوضيحية التي تلقتها CCS من الموردين المحتملين حول G-Cloud 14 منذ نشر الوثائق الإطارية في 19 فبراير 2024.
تثير العديد من الأسئلة المميزة مخاوف بشأن مدى امتلاء الجدول 7 بالأخطاء وصعوبة قراءته، حيث ادعى أحد الموردين المحتملين أن الوثيقة “لا يمكن الاتفاق عليها أو حتى مراجعتها” في شكلها الحالي.
“هل يمكنك إعادة إصدار الشروط المتعلقة بالبيانات الشخصية نظرًا لوجود أخطاء مختلفة [and] كتب أحد الموردين المحتملين: “صياغة القضايا”. “لديك جمل و/أو عبارات غير كاملة وغير متماسكة حيث يبدو أنك حاولت إجراء تحديثات، ولكن يبدو أن هناك خطأ ما في الترميز.”
كما انتقد مورد آخر الجدول 7 لأنه “تم وضعه بشكل غير صحيح” ومليء بالأخطاء النحوية.
بيان ممثل
ردًا على الأسئلة، ذكر ممثل CCS أن المنظمة “ستقوم بإجراء أي تعديلات ضرورية على الوثائق في الوقت المناسب”.
في هذه الأثناء، يتم طرح أسئلة حول كيف ولماذا سمحت CCS بنشر الوثيقة في حالتها الحالية.
قالت نيكي ستيوارت، الرئيس السابق لتكنولوجيا المعلومات والاتصالات في مكتب مجلس الوزراء في المملكة المتحدة، إن الجدول 7 يحتوي على “جميع السمات المميزة للعمل المتسرع”، وأخبرت مجلة “كمبيوتر ويكلي” عن دهشتها عندما رأت مستندًا “هو عمل قيد التنفيذ بكل المقاصد والأغراض”. “تم إصدارها للموردين بهذه الطريقة.
وقالت: “كوثيقة مقترحة ملزمة قانونًا، من المستحيل على الموردين إجراء تقييم مستنير لمدى التزاماتهم بموجب الجدول، وهو ما يجب أن يفعله أي مورد مسؤول”.
“وبالمثل، أشك في أن المشترين سيكونون مرتاحين للاعتماد على الجدول الزمني في شكله الحالي، نظرا للعدد الكبير من الأخطاء والمشكلات المرجعية داخله. العقود الفعالة واضحة تمامًا ولا لبس فيها من حيث الصياغة والنية. الجدول 7 ليس كذلك. تحتاج CCS إلى تصحيح الجدول وإعادة إصداره في أسرع وقت ممكن.
أيد أوين سايرز، وهو شريك كبير في شركة Secon Solutions الاستشارية لأمن تكنولوجيا المعلومات، وجهة نظر ستيوارت، وقال إن محتويات الجدول 7 “تقع إلى حد ما تحت المستوى” الذي يتوقعه “لمثل هذه المشتريات الحكومية رفيعة المستوى والمهمة بشكل جوهري”.
ربط المستندات
أشارت مصادر في مجتمع موردي تكنولوجيا المعلومات في القطاع العام إلى أوجه التشابه في محتويات الجدول 7 وأجزاء حماية البيانات في عقد القطاع العام، مما أثار تكهنات بأن الأخطاء في G-Cloud 14 يمكن أن تكون نتيجة لمحاولة CCS ربط هاتين الوثيقتين معًا – خاصة كما فعلت شركة CCS ذكرنا سابقًا أنه تم اتخاذ الخطوات باستخدام G-Cloud 14 لمواءمة محتوياتها مع PSC، وهو النموذج القياسي الذي تستخدمه المنظمة عند صياغة الاتفاقيات الإطارية
في 7 مارسعلى سبيل المثال، أكدت شركة CCS أنها قامت بمراجعة مبلغ التغطية التأمينية التي يحتاجها المشاركون في G-Cloud 14 في أعقاب رد فعل عنيف من المورد.
كما ذكرت شركة Computer Weekly سابقًا، أخبرت CCS الموردين في البداية أنهم سيحتاجون إلى زيادة مبلغ التغطية التأمينية لديهم للمشاركة في G-Cloud 14 بمقدار 20 مليون جنيه إسترليني لضمان توافق الإطار مع PSC.
وفيما يتعلق بنظرية الموردين هذه، قال سايرز: “من الواضح أن هذا الإصدار يعاني بشدة من مشكلات القص واللصق التي تحمل بنودًا من إصدارات G-Cloud السابقة والأطر الحكومية الأخرى”.
وأضاف أن المشكلات المتعلقة بالجدول 7 تتجاوز كونه مليئًا بالأخطاء ويصعب قراءته، ولكنها قد تؤدي أيضًا إلى قيام بعض مشتري وموردي تكنولوجيا المعلومات في القطاع العام بانتهاك القانون عن غير قصد عند معالجة البيانات الشخصية.
وذلك لأن الجدول 7 لا يحتوي على أي إشارات إلى قانون حماية البيانات (DPA) لعام 2018، الجزء 3، والذي يحتوي على متطلبات صارمة تملي كيفية قيام قوات الشرطة وكيانات إنفاذ القانون في المملكة المتحدة بمعالجة البيانات الشخصية لأغراض إنفاذ القانون.
وتابع سايرز: “إن إغفال الجزء الثالث من ملحق حماية البيانات يعد أمرًا خطيرًا للغاية، نظرًا لأن أي عقود يتم إبرامها دون تضمين بنود المادة 59 المنصوص عليها قانونًا لن توفر أساسًا قانونيًا لمعالجة البيانات الشخصية الخاصة بإنفاذ القانون”.
“على الرغم من أن خطر اتخاذ إجراء تنفيذي من قبل مكتب مفوض المعلومات (ICO) قد يكون منخفضًا، إلا أن الخطر الحقيقي يتمثل في تحدي العقد الممنوح من قبل المورد الذي يمكنه تقديم خدمة قانونية، أو مطالبات الجمهور الذين تمت معالجة بياناتهم بشكل غير قانوني وهو ما يسمح به القانون.”
قد يؤدي إهمال تضمين هذه البنود أيضًا إلى جعل G-Cloud 14 مشكلة بالنسبة لهيئات إنفاذ القانون للمشاركة فيها.
وفقًا لبيانات مبيعات G-Cloud، نشرته شركة Advice Cloud لاستشارات المشتريات في القطاع العام، يعد قطاع خدمات الطوارئ خامس أكبر مشتري للخدمات عبر الإطار، بإجمالي إنفاق حتى الآن قدره 399.81 مليون جنيه إسترليني من خلال G-Cloud.
وبتقسيم البيانات بشكل أكبر، باستخدام بيانات مبيعات CCS Digital Marketplace، فإن تسعة من أكبر 10 مستخدمين لـ G-Cloud في قطاع خدمات الطوارئ هم كيانات إنفاذ القانون، بما في ذلك أمثال شرطة العاصمة، وشرطة تيمز فالي، ومانشستر الكبرى الشرطة والخدمة الرقمية للشرطة.
وحذر سايرز من أن “عدم تضمين البنود الرئيسية التي يفرضها قانون حماية البيانات في المملكة المتحدة ينفي إلى حد كبير قيمة إطار العمل لقطاع إنفاذ القانون، حيث أن أي عقد يمنحونه بموجبه يمكن اعتباره باطلا”. “لذلك ستحتاج قوات الشرطة والهيئات المماثلة الأخرى إلى اتخاذ قرار بشأن ما إذا كانت ستستمر في استخدام G-Cloud، أو تنتهك DPA 2018، أو تنفذ عمليات الشراء الخاصة بها خارج الإطار باستخدام المصطلحات القانونية الصحيحة، الأمر الذي من شأنه أن يؤدي إلى بعض النفقات العامة الكبيرة.”
وقال سايرز إنه ليس من غير المعتاد أيضًا أن تتجاهل عقود CCS تضمين إشارات إلى DPA 2018 الجزء 3، على الرغم من كونه التشريع البريطاني المعمول به على قطاع إنفاذ القانون بأكمله منذ ما يقرب من ست سنوات.
صدفة، تحقيق مسبق للكمبيوتر الأسبوعي، الذي نُشر في ديسمبر 2020، كشف أن قوات الشرطة في جميع أنحاء المملكة المتحدة كانت تعالج بشكل غير قانوني بيانات ملايين الأشخاص على Microsoft 365 لأن طرح التكنولوجيا على المستوى الوطني لم يلبي متطلبات DPA 2018 الجزء 3.
“نحن بحاجة في مرحلة ما إلى إدراك ومعالجة حقيقة أن أي وحدة تحكم في إنفاذ القانون تعتمد على هذه البنود لشراء واستخدام الخدمات من G-Cloud أو Cloud Compute 2 أو أي إطار عمل آخر سوف تنتهك القانون إذا قامت بمعالجة البيانات الشخصية بموجب هذه العقود. قال سايرز: “لأغراض إنفاذ القانون”. “وكذلك الأمر بالنسبة للموردين الذين يعملون كمعالجين.”
وضعت مجلة Computer Weekly جميع الادعاءات المقدمة حول التعجيل بالجدول 7 ومليئه بالأخطاء إلى CCS، إلى جانب المخاوف بشأن عدم وجود إشارات فيه إلى DPA 2018 الجزء 3، وتلقت البيان التالي ردًا على ذلك: “G-Cloud 14 هو الشراء المباشر. يجب على الموردين تقديم الأسئلة المتعلقة بالمشتريات مباشرة من خلال عملية التوضيح الرسمية، حيث ستتم مراجعتها ومعالجتها بشكل مناسب.
