...
De entity categories Research & Scholarship (R&S) en Code of Conduct brengen uitkomst. Valt een dienst in beide categorieën dan krijgt hij het stempel "Betrouwbaar" van SURFconext. En kun jij hem als instelling ook vertrouwen, en automatisch beschikbaar stellen aan je gebruikers. Wat houden deze entity categories in en wat zeggen ze over de betrouwbaarheid van een dienst?
Table of Contents |
---|
Wat zijn entity categories?
Via SURFconext en andere onderwijs- en onderzoeksfederaties van landen waar SURFnet SURF mee samenwerkt (via eduGAIN), zijn in totaal meer dan 2200 diensten beschikbaar om te koppelen. Om het overzicht te behouden zijn diensten daarom geklassificeerd geclassificeerd in zogeheten entity categories op basis van gedeelde eigenschappen. Er zijn in totaal veel verschillende entity categories, waarvan de meest relevante op deze pagina verder worden toegelicht. 2 Twee daarvan zijn voor het aspect betrouwbaarheid van belang en die behandelen we daarom hier: Research & Scholarship (R&S), een categorie diensten voor het ondersteunen van wetenschap en onderzoek, en Code of Conduct, een categorie diensten die expliciet verklaart te voldoen aan de AVG.
Research & Scholarship
Gedeelde kenmerken
...
- Het doel van de dienst is het ondersteunen van wetenschap en onderzoek
- De dienst gebruikt een vaste, gelimiteerde set attributen voor authenticatie en autorisatie
- Een Service Provider krijgt zo'n label niet zo maar: Het label R&S is afgegeven door de federatie waar de dienst oorspronkelijk vandaan komt controleert of de Service Provider in aanmerking komt
Diensten sneller en makkelijker beschikbaar maken
...
Door als instelling deze categorie te ondersteunen worden alle diensten binnen R&S automatisch beschikbaar gesteld aan (evt alleen een deel van) de gebruikers van jouw instelling.
Vaste, beperkte set attributen
R&S is ontworpen met dataminimalisatie in het achterhoofd: welke attributen zijn noodzakelijk voor wetenschappelijke samenwerking? Gebleken is dat dat niet meer dan de volgende attributen zijn:bevat alleen attributen waarmee wetenschappelijke samenwerking mogelijk wordt gemaakt. Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een (combinatie van) deze attributen. Minder mag natuurlijk altijd, maar indien een dienst meer attributen vereist, dan zal de dienst dat afzonderlijk met alle instellingen moeten afspreken. Automatisch koppelen werkt in dat geval niet.
De volgende attributen mogen door een R&S-dienst worden gebruikt:
- Een (technische) Een identifier van de gebruiker (
eduPersonPrincipalName
en eventueel - voldoende als deze gegarandeerd niet opnieuw wordt toegewezen aan andere gebruikers; anders óókeduPersonTargetedID
) - Een herkenbare naam van de gebruiker (
displayName
en/ofgivenName
+sn
) - Een e-mail adres van de gebruiker (
mail
) - (Optioneel) De rol van de gebruiker binnen de instelling (
eduPersonScopedAffiliation
)
Voor meer informatie achtergrondinformatie over deze attributen, zie Attributen in SURFconext .Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een (combinatie van) deze attributen. Minder mag natuurlijk altijd, maar meer zeker niet: als een dienst alleen kan functioneren met meer attributen dan deze, dan kan de dienst geen onderdeel worden van R&S.(NL).
Code of Conduct
Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn, is een tweede entity category in het leven geroepen. Deze heet de GÉANT REFEDS Data Protection Code of Conduct (CoCo), en bevat alleen Service Providers die expliciet hebben aangegeven verklaard te voldoen aan de (strenge) eisen uit de Europese wet- en regelgeving rond gegevensbescherming. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Bijvoorbeeld: een (wetenschappelijke) wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.
...
Het uitgangspunt van R&S en CoCo is dat de Service Provider die de persoonsgegevens ontvangt geen verwerker is die de persoonsgegevens verwerkt in expliciete opdracht van de instelling, maar verantwoordelijke. Een verwerkersovereenkomst is dus niet nodig voor diensten die vallen onder de entity categories category's R&S en CoCo. Uitzonderingen zijn in specifieke gevallen natuurlijk mogelijk: in dat geval gaan de afspraken die de instelling met de dienst maakt altijd voor.
Voor alle diensten die onder R&S vallen geldt gerechtvaardigd belang als grondslag voor het verwerken van persoonsgegevens voor de authenticatie en autorisatie van de gebruiker. Met andere woorden, door R&S te gebruiken is het uitwisselen van persoonsgegevens een minimale set attributen die nodig zijn is voor het mogelijk maken van federatieve authenticatie en autorisatie ten behoeve van diensten voor wetenschap en onderzoek gegrond. REFEDS heeft als eigenaar van deze entity category uitgebreid de juridische aspecten van R&S getoetst. Een volledige beschrijving hiervan is te vinden op de Wiki van REFEDS (Engels).
Panel | ||
---|---|---|
| ||
Panel | ||
---|---|---|
| ||
Expand | ||
| ||
Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A Service Provider A |
|
Diensten die voldoen aan CoCo en/of R&S
Op het SURFconext IdP dashboard is te zien welke diensten aangesloten zijn op SURFconext. Daar is, via een filtermogelijkheid links op de pagina, te filteren op diensten die verklaren te voldoen aan de CoCo, of aan R&S. (Beide vinkjes aanzetten geeft de vereniging van beide verzamelingen, niet de doorsnede.)
Meedoen?
Diensten die in beide categorieën vallen worden als "Betrouwbaar" beschouwd. Deze diensten kun je via SURFconext automatisch koppelen aan je Identity Provider, zodat de beheerlast een stuk lager wordt en daarmee ook het leven van bepaalde gebruikers. Gebruikers hoeven dan namelijk niet meer een losse aanvraag te doen voor een dienst; zij kunnen gewoon direct inloggen (uiteraard na het geven van consent!).
Heeft jouw instelling gebruikers die hier mogelijk van kunnen profiteren? Vraag het automatisch koppelen voor jouw Identity Provider aan via support@surfconext.nlvia SURFconext Dashboard of support@surfconext.nl. In het SURFconext IdP dashboard ga je naar Mijn Instelling en klik je op Wijzigingsverzoek:
Vervolgens vink je "Koppel met SP's die aan CoCo en R&S voldoen" aan:
Nadat de wijziging actief is in SURFconext, zullen alle diensten die voldoen aan R&S en CoCo automatisch gekoppeld worden en kunnen de medewerkers van je instelling er met hun instellingsaccount op inloggen!
Indien gewenst kan het administrative contact dat wij van je Identity Provider geregistreerd hebben een e-mail ontvangen elke keer dat er nieuwe R&S/CoCo-diensten automatisch gekoppeld worden.