Met het consent-scherm informeert SURFconext gebruikers over de attributen die de dienst nodig heeft om te kunnen functioneren. Ook kun je dit scherm inzetten om de gebruiker expliciet om toestemming te vragen voor het vrijgeven van attributen. Lees hieronder welke mogelijkheden je als instelling hebt om het consent-scherm van SURFconext in te zetten en aan te passen.

Toestemming?

Volgens de Algemene Verordening Gegevensbescherming (AVG) mag je enkel persoonsgegevens verwerken als je hier een rechtmatige grondslag voor hebt. De AVG kent 6 verschillende wettelijke grondslagen voor het verwerken van persoonsgegevens. Eén daarvan is 'toestemming', of 'consent'. Dat houdt in dat de gebruiker/betrokkene expliciet toestemming geeft aan een organisatie om bepaalde persoonsgegevens te mogen verwerken. 'User consent' in SURFconext is functionaliteit waarmee elke gebruiker expliciet toestemming kan geven voor het doorgeven van persoonsgegevens aan een Service Provider. Om instellingen te helpen bij het voldoen aan de AVG biedt SURFconext deze 'user consent'-functionaliteit aan.

Het vragen om toestemming van de gebruiker valt onder de verantwoordelijkheid de verwerkingsverantwoordelijke, oftewel de instelling waar de gebruiker studeert/werkt. SURFconext biedt deze 'user consent'-functionaliteit aan om toestemming te kunnen vragen, maar er zijn ook andere manieren om dit te doen. Je kunt bijvoorbeeld voor jouw organisatie ook een generiek reglement opstellen dat ervoor zorgt dat de gebruiker niet per Service Provider toestemming hoeft te geven. De gebruiker zal dit reglement bijvoorbeeld kunnen ondertekenen bij inschrijving of bij indiensttreding bij jouw organisatie.

In veel gevallen zullen Service Providers waar instellingen gebruik van maken een andere grondslag kennen dan toestemming. Daarom kun je als instelling verschillende varianten van het consent-scherm kiezen, of het scherm zelfs helemaal uitschakelen voor een specifieke Service Provider. Hieronder leggen we de verschillende varianten verder uit.

Details van het consent-scherm

Het consent-scherm maakt een aantal belangrijke zaken duidelijk voor de gebruiker, zodat deze zich bewust is van wat er staat te gebeuren en nog de mogelijkheid heeft het inloggen af te breken. Het consent-scherm bevat de volgende onderdelen:

1. Een (beknopte) uitleg over SURFconext
2. Een link naar het privacybeleid van de dienst (indien door de Service Provider opgegeven)
3. De lijst met attributen (inclusief waardes) die de dienst nodig heeft
4. Een uitleg over wat de gebruiker kan doen als er fouten in deze lijst staan (bijv. een foutief e-mailadres)
5. (Optioneel) Een extra waarschuwing van de instelling met daarin een link naar bijv. de fair use policy van de instelling
6. Een link naar de SURFconext profielpagina met daarbij de melding hoeveel diensten de gebruiker reeds via SURFconext gebruikt
7. De mogelijkheid om het inloggen af te breken (en dus te voorkomen dat de attributen daadwerkelijk naar de Service Provider worden doorgestuurd)

Het consent-scherm wordt voor iedere dienst waar de gebruiker voor het eerst inlogt getoond en zal opnieuw worden getoond als er ofwel iets is veranderd aan de attributen die de dienst krijgt (bijv. voorheen kreeg de dienst het e-mailadres niet, nu wel), ofwel als er inhoudelijk aan de attributen iets is veranderd (bijv. de gebruiker heeft een andere rol binnen de instelling of de naam van de gebruiker is gewijzigd).

Als beheerder van een Identity Provider kun je per dienst die je hebt gekoppeld kiezen uit 3 mogelijkheden: (1) een informatiescherm, (2) toestemmingsscherm en (3) geen scherm.

Variant 1: Informatiescherm (standaard)

Dit scherm laat in het kader van transparantie alle bovenstaande informatie zien maar vraagt de gebruiker niet expliciet om toestemming. Dit scherm kan dus worden gebruikt voor de Service Providers waarbij de wettelijke grondslag voor het verwerken van gegevens niet toestemming is, of als toestemming al op een andere manier is geregeld.

Variant 2: Toestemmingsscherm

Als optie kan ook het toestemmingsscherm worden getoond, welke relevant is indien de wettelijke grondslag voor het verwerken van persoonsgegevens toestemming is. Dit scherm toont alle hierbovengenoemde informatie en vraagt expliciet toestemming aan de gebruiker voor gegevensoverdracht.

Variant 3: Geen scherm

Voor sommige, veelal interne, applicaties kan de beheerder van de Identity Provider het consent-scherm uitzetten. Dit betekent dat gebruikers voor die dienst in geen geval een informatie- of toestemmingsscherm te zien krijgen.

Het SURFconext team raadt aan om het uitzetten van het consent-scherm alleen in hele specifieke situaties te gebruiken (bijvoorbeeld alleen voor interne applicaties, indien gewenst). Het consent-scherm (zowel de informatie- als de toestemmingvariant) biedt namelijk niet alleen meer transparantie en uitleg maar ook de mogelijkheid om het single sign-on-proces tijdig te onderbreken. Door het weglaten van dit scherm kan het gebeuren dat gebruikers zonder dat zij het doorhebben (via single sign-on) inloggen op een dienst terwijl zij dat wellicht niet wensen.

Extra melding

Instellingen kunnen het consent-scherm uitbreiden met een extra melding. Deze optie is ontworpen met een bepaalde use case in het achterhoofd: via SURFconext zijn ook diensten te gebruiken waar de instelling geen directe (contract-) relatie mee heeft. Bijvoorbeeld diensten van andere onderwijs- en onderzoeksinstellingen, al dan niet uit het buitenland. Veel van deze diensten (bijvoorbeeld diensten uit eduGAIN met het label 'Research & Scholarship') zijn in principe vrij toegankelijk en gratis te gebruiken voor alle gebruikers van onderwijs- en onderzoeksinstellingen. Het betreft hier veelal dan ook niet een dienst die in het kader van de AVG als verwerker wordt gezien, maar als verantwoordelijke. M.a.w. de gebruiker gebruikt deze diensten op eigen initiatief, dat wordt niet per definitie vanuit de instelling bepaald.

Voor dit soort diensten kan de instelling deze extra melding inzetten. In deze extra melding kan duidelijk worden gemaakt dat de dienst waarop de gebruiker wenst in te loggen niet officieel door de instelling wordt aangeboden maar dat deze wel toegankelijk is gemaakt en dat de gebruiker bijvoorbeeld niet bij de helpdesk van de instelling kan aankloppen voor ondersteuning. Eventueel kan de gebruiker nog eens extra worden gewezen op afspraken omtrent het gebruik van online diensten die de instelling met de gebruiker heeft gemaakt.

Let op: gebruik deze melding spaarzaam zodat het gebruikers nog opvalt dat de melding er staat.

Het consent-scherm aanpassen

Via het tabblad 'Consent' op het SURFconext Dashboard kunnen beheerders van instellingen per gekoppelde dienst kiezen welke variant van het consent-scherm wordt getoond voor iedere gekoppelde dienst.

Toestemming intrekken?

SURFconext biedt momenteel geen mogelijkheid om toestemming, eenmaal gegeven, weer in te trekken. Dit komt doordat het intrekken van toestemming bij SURFconext slechts zou betekenen dat de gebruiker de eerstvolgende keer dat hij opnieuw wil inloggen bij de dienst, opnieuw om toestemming wordt gevraagd. Terwijl het intrekken van toestemming volgens de AVG moet betekenen dat de juridische grondslag 'toestemming' vanaf dat moment vervalt. Persoonsgegevens die de dienst (die via SURFconext benaderd wordt, b.v. een leeromgeving) onder deze grondslag heeft verzameld dienen daarmee ook verwijderd te worden.

SURFconext kan dit als federatief platform niet (technisch) bewerkstelligen. De mogelijkheid om toestemming weer in te trekken via SURFconext zou dan ook misleidend zijn.

Gebruikers die toestemming willen intrekken dienen rechtstreeks met de dienstleverancier (van b.v. de leeromgeving) contact op te nemen. Via de SURFconext Profiel-pagina kunnen gebruikers zien welke diensten zij via SURFconext afnemen, en welke contactgegevens van de dienstleverancier daarbij horen.