...
Via SURFconext en andere onderwijs- en onderzoeksfederaties van landen waar SURFnet SURF mee samenwerkt (via eduGAIN), zijn in totaal meer dan 2200 diensten beschikbaar om te koppelen. Om het overzicht te behouden zijn diensten daarom geklassificeerd geclassificeerd in zogeheten entity categories op basis van gedeelde eigenschappen. Er zijn veel verschillende entity categories, waarvan de meest relevante op deze pagina verder worden toegelicht. 2 Twee daarvan zijn voor het aspect betrouwbaarheid van belang en die behandelen we daarom hier: Research & Scholarship (R&S), een categorie diensten voor het ondersteunen van wetenschap en onderzoek, en Code of Conduct, een categorie diensten die expliciet verklaart te voldoen aan de AVG.
...
Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn, is een tweede entity category in het leven geroepen. Deze heet de GÉANT REFEDS Data Protection Code of Conduct (CoCo), en bevat alleen Service Providers die expliciet hebben verklaard te voldoen aan de (strenge) eisen uit de Europese wet- en regelgeving rond gegevensbescherming. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Bijvoorbeeld: een (wetenschappelijke) wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.
...
Het uitgangspunt van R&S en CoCo is dat de Service Provider die de persoonsgegevens ontvangt geen verwerker is die de persoonsgegevens verwerkt in expliciete opdracht van de instelling, maar verantwoordelijke. Een verwerkersovereenkomst is dus niet nodig voor diensten die vallen onder de entity categories category's R&S en CoCo. Uitzonderingen zijn in specifieke gevallen natuurlijk mogelijk: in dat geval gaan de afspraken die de instelling met de dienst maakt altijd voor.
...