Per 25 mei 2018 is Algemene verordening gegevensbescherming (AVG) van toepassing. Dit betekent dat vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. In deze speciale editie van SURFconext Nieuws besteden we extra aandacht aan deze wijziging, en de impact op de SURFconext dienstverlening en aangesloten instellingen en diensten.

Je ontvangt deze nieuwsbrief omdat je SURFconext-verantwoordelijke of -beheerder bent, of lid bent van de SURFconext-alertlijst.

In dit nummer:

  1. Webinar: De AVG en SURFconext
  2. SURFconext AVG-ready
  3. Geen probleem als mijn onderzoeker inlogt via zijn Facebook-account?
  4. AVG, SURFsecureID en Hogeschool Windesheim
  5. Welke attributen worden er met diensten gedeeld?
  6. AVG-info van aangesloten diensten
  7. Off topic: dank voor een geslaagde 1-april grap!

Webinar: De AVG en SURFconext

Welke vragen heb jij over de AVG en SURFconext? Stuur ze in via onze wiki en zet 22 mei in je agenda. Van 12.30 tot 13.00 uur gaan wij deze vragen beantwoorden tijdens het webinar ‘De AVG en SURFconext’. We vertellen in elk geval wat SURFconext doet om te voldoen aan de AVG en wat jouw instelling daar zelf nog voor moet regelen.

Lees verder voor meer informatie en een link naar de webinar.

SURFconext AVG-ready

SURFconext wordt geleverd vanuit het team Trust & Identity van SURFnet. Binnen dit team is de aandacht voor beveiliging en privacy erg hoog. Veel zaken waren altijd al goed geregeld, maar in het afgelopen jaar is de dienst langs de AVG-meetlat van SURF gelegd. Het SURFconext-team is trots dat we daarbij voldoen aan de eisen die aan ons gesteld worden. Heb je specifieke vragen rondom de AVG in relatie tot de dienst SURFconext, laat dit dan weten via support@surfconext.nl.

Geen probleem als mijn onderzoeker inlogt via zijn Facebook-account?

Werkt je instelling mee aan (internationaal) onderzoek? Je zou verwachten dat de instelling de onderzoeker faciliteert zodat de onderzoeker zijn werk kan doen. Maar onderzoekers van veel instellingen blijken met persoonlijke social accounts in te loggen op onderzoeksdiensten, of zijn kostbare weken of maanden bezig om toegang te krijgen tot onderzoeksdiensten. Dat is zonde. Help ons: hoe kunnen we onderzoekers sneller, makkelijker en veiliger toegang geven? Deel op ons forum jullie ervaring met onderzoekers en onderzoeksdiensten met ons. Productmanager Raoul Teeuwen heeft alvast een voorzet gedaan om de discussie op gang te brengen.

AVG, SURFsecureID en Hogeschool Windesheim

Een van de onderdelen van de AVG gaat over het beveiligen van persoonsgegevens. Een instelling moet passende technische en organisatorische maatregelen treffen om datalekken te voorkomen. Allereerst moeten de privacyrisico’s van een gegevensverwerking in kaart gebracht worden om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Vooral voor het verwerken van grote hoeveelheden persoonsgegevens of bijzondere persoonsgegevens zijn extra maatregelen noodzakelijk. Een veel gebruikte maatregel is extra beveiligde en betrouwbare toegang. Met SURFsecureID kan een instelling de login tot zijn diensten extra beveiligen met een 2e factor. Daarbij zorgt SURFsecureID ervoor dat de identiteit van de gebruiker en de gekozen 2e factor eerst gecontroleerd zijn voordat deze gebruikt kan worden. Hiermee bereiken we met SURFsecureID ook een hoog betrouwbaarheidsniveau.

Hogeschool Windesheim heeft onlangs SURFsecureID grootschalig ingezet voor de verzuimregistratie (VerzuimXpert) en het studievolgsysteem Educator. Windesheim gebruikt hiervoor de SURFsecureID ADFS plugin waarmee eenvoudig diensten die aan ADFS gekoppeld zijn extra beveiligd kunnen worden. Lees hoe Windesheim SURFsecureID ingevoerd heeft en van plan is nog meer applicaties aan te sluiten in de Best Practice “Windesheim gebruikt SURFsecureID voor Sterke Authenticatie bij ADFS”.

Meer informatie over SURFsecureID

Welke attributen worden er met diensten gedeeld?

In het SURFconext dashboard is te zien welke attributen door een dienst worden gevraagd. In het startscherm van het dashboard is nu ook aan de export-functionaliteit toegevoegd welke attributen voor elke dienst worden gevraagd. In de SURFconext wiki lees je daar meer over.

Minimal disclosure pricipe

Bij het aansluiten van een Service Provider op SURFconext, adviseren we de leverancier om alleen de attributen te vragen die strikt noodzakelijk zijn om de dienst te gebruiken (minimal disclosure principe) en we gaan hierover in discussie indien nodig. In de attributen best practice geven we de leverancier handvatten om dit te bereiken.

AVG-info van aangesloten diensten

Sinds medio 2017 vraagt SURFnet aan iedere leverancier die aansluit op SURFconext enkele vragen te beantwoorden die belangrijk zijn voor de privacy (naar aanleiding van de AVG). Inmiddels is er van een groot aantal diensten informatie beschikbaar. De antwoorden bieden je als instelling snel inzicht in hoe de dienstleverancier omgaat met privacy en security.

Van leveranciers waar we die gegevens van hebben, vind je de antwoorden op onze wiki. Op termijn tonen we deze informatie in het Dashboard van SURFconext.

Off topic: dank voor een geslaagde 1-aprilgrap!

Het heeft niets met de AVG te maken. Toch wilden we in deze editie van SURFconext Nieuws terugkomen op de 1-april grap van vorige maand.

Hartelijk dank aan iedereen (10 instellingen!) die een fantastisch ASCII logo heeft toegestuurd. Het SURFconext Team, en ook de rest van de organisatie heeft ervan genoten. Wij hopen hetzelfde voor de inzenders en de paashazen.

 

Het SURFconext Team vindt het belangrijk dat je als SURFconext-contactpersoon op de hoogte bent van de laatste stand van zaken rondom SURFconext. Wil je deze nieuwsbrief niet meer ontvangen, laat dit dan weten via support@surfconext.nl.
Archief van SURFconext Nieuws

  • No labels