.

Trust framework

SURFconext kent een zogenaamd 'trust framework':

• Alle op SURFconext aangesloten Identity Providers ondertekenen een overeenkomst met SURF waarmee zij dit trust framework onderschrijven. 
• Een Service Provider behoort tot dit 'trust framework' als hij een standaardset van afspraken onderschrijft die waarborgen bieden voor de privacy en de integriteit van de gegevens van de gebruiker.

Hieronder leggen we uit wat voor (standaard) afspraken SURF met Service Providers maakt.

Afspraken die SURF met aanbieders maakt over het gebruik van SURFconext

Essentieel voor een federatie als SURFconext is het maken van onderlinge afspraken, zodat de deelnemers elkaar kunnen vertrouwen, en dat aanbieders er b.v. vanuit kunnen gaan dat het echt om gebruikers uit de onderwijs- en/of onderzoekswereld gaat. SURF staat op verschillende manieren dienstaanbieders toe in SURFconext:

1. Het overgrote deel van de dienstaanbieders zijn (commerciële) aanbieders die rechtstreeks aansluiten op SURFconext. Daarmee worden in principe afspraken vastgelegd in een SURFconext-aansluitovereenkomst (AO).
2. Op SURFconext aangesloten instellingen mogen ook zelf diensten aanbieden aan andere op de federatie aangesloten partijen. De afspraken daarover liggen vast in de "Bijlage SURFconext" (bijlage IX) bij de Gebruiksovereenkomst SURF.
3. Dienstaanbieders uit andere federaties waar SURF afspraken mee heeft gemaakt zijn ook beschikbaar binnen SURFconext via interfederatie.
   
   1. eduGAIN: eduGAIN verbindt wereldwijd onderwijs- en onderzoeksfederaties met elkaar. SURF is tezamen met meer dan 70 andere federaties lid van eduGAIN en maakt afspraken over het uitwisselen van informatie over Identity en Service Providers met alle andere leden. We maken binnen eduGAIN het volgende onderscheid:
      1. Als de dienst door een commerciële aanbieder wordt aangeboden, behandelen we dienst als een aanbieder die rechtstreeks op SURFconext aansluit (en zullen we dus vragen of de leverancier een AO tekent)
      2. Overige diensten worden aangeboden door leden uit de (internationale) onderwijs- en onderzoekscommunity; de afspraken die elke federatie met deze partijen maakt voldoen; SURF maakt geen additionele afspraken.
      3. Sommige diensten ondersteunen entity categories: de REFEDS R&S entity category (R&S) en de GÉANT Data protection Code of Conduct (DPCoCo). Een R&S-dienst is een dienst specifiek gericht op onderzoek en samenwerking en kent een vaste (maximale) set attributen. Met DPCoCo geeft een Service Provider expliciet aan te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). We laten in het SURFconext IdP Dashboard zien tot welke categorie(ën) een dienst behoort. Op verzoek van een instelling kan SURFconext een dienst die zowel R&S als DPCoCo heeft, automatisch koppelen. Zie Vertrouwde diensten voor onderzoekers automatisch koppelen.
   2. Met CLARIN/CLARIAH is er een aparte overeenkomst, waarin ook is afgesproken dat een instelling die 1 dienst afneemt, alle op CLARIN/CLARIAH gekoppelde diensten gekoppeld krijgt.
   3. Een klein aantal diensten die op de Kennisnet-federatie is aangesloten, is ook beschikbaar voor instellingen die op SURFconext zijn aangesloten. SURF heeft voor die partijen geen aanvullende afspraken over gebruik van SURFconext.

In tabelvorm:

Afspraken die SURF met instellingen maakt over het gebruik van SURFconext

Als je als instelling SURFconext wilt gebruiken, moet je een overeenkomst (voor de meeste instellingen is dat "Bijlage IX" bij de SURF gebruiksovereenkomst) ondertekenen. Hierin staan een aantal afspraken. Zo weet je wat

SURF van jouw instelling verwacht en wat je van

SURF kunt verwachten. Een volledig overzicht van de afspraken vind je in

Bijlage IX.

Verplichtingen SURF

Voor SURF gelden onder andere de volgende verplichtingen:

• SURF

• zorgt ervoor dat de organisatie SURFconext kan gebruiken.

• SURF onderhoudt een overzicht van standaarden (en versies) die SURFconext ondersteunt en die organisaties kunnen gebruiken.
• SURF verwerkt de persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens en houdt zich aan de afspraken die zijn opgenomen in de Verwerkersovereenkomst. Hierin is o.a. het volgende geregeld:
• SURF mag persoonsgegevens alleen gebruiken voor de uitvoering van de overeenkomst.
• SURF verleent geen toegang tot de persoonsgegevens van de gebruiker aan derden zonder toestemming van de organisatie.
• SURF verwerkt de persoonsgegevens zelf alleen binnen de Europese Unie of een land met een passend beschermingsniveau.
• SURF draagt zorg voor een betrouwbare en adequate beveiliging en zal als daar aanleiding voor is, de beveiligingsprocessen laten auditen door een erkend auditor.
• SURF bewaart de persoonsgegevens niet langer dan noodzakelijk. 37 maanden na laatste inlog worden alle persoonsgegevens van een gebruiker uit alle systemen verwijderd. Voor logging geldt een bewaartermijn van 6 maanden.

Verplichtingen instellingen

Als je SURFconext wilt gebruiken, heb je ook een aantal verplichtingen

:

• De Instelling draagt er zorg voor dat alleen gebruikers, dit zijn natuurlijke personen, gebruik kunnen maken van de SURFconext-dienst.
• De Instelling houdt de binnen SURFconext benodigde authenticatiegegevens en attributen volledig en actueel en draagt er zorg voor dat de Gebruiker bij eerste opname van de gegevens geïdentificeerd is.
• Instellingen bieden hun Gebruikers een helpdesk voor SURFconext gerelateerde vragen. Deze helpdesk kan op zijn beurt weer het SURFconext supportkanaal raadplegen.
• De Instelling moet

• een reglement voor gebruikers opstellen.

• De Instelling moet persoonsgegevens behandelen volgens de Privacy Policy van SURFconext. Dit is een uitwerking van de Wet bescherming persoonsgegevens, toegespitst op de verwerking van persoonsgegevens binnen SURFconext, en bevat de volgende onderwerpen:
• doel van de gegevensverwerking
• aard van de vastgelegde gegevens
• wie toegang krijgt tot de gegevens
• transparantie voor de gebruiker
• beveiliging van de gegevens

• De Instelling draagt zorg voor een adequate configuratie en beveiliging van de systemen en netwerkcomponenten die worden ingezet voor identiteits- en toegangsbeheer voor gebruikers.

• Als SURF het aanbeveelt, moet de Instelling binnen een redelijke termijn nieuwe SURFconext-standaarden en protocollen installeren en upgraden voor de SURFconext-onderdelen die je gebruikt.

Communicatie SURF en Instellingen

Belangrijke afspraken tussen SURF en instellingen wat betreft onderlinge communicatie zijn:

• Als SURFconext niet naar behoren functioneert, geeft de organisatie dat zo snel mogelijk door aan SURF. SURF krijgt de details van de klacht.
• SURF informeert de SURFconext contactpersonen over technische aanpassingen en upgrades van de SURFconext-dienst en coördineert de nodige acties om de dienst veilig en operationeel te houden.
• SURF

• zal de organisatie onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact hiervan op de verwerking van de persoonsgegevens.
• SURF meldt (mogelijke) datalekken binnen 24 uur.
• Als een organisatie niet handelt volgens het contract en/of als SURF schade ondervindt van een situatie die aan de organisatie te verwijten is, heeft SURF het recht het gebruik van de SURFconext-dienst (gedeeltelijk) op te schorten.

Als

SURF van een autoriteit het verzoek krijgt om persoonsgegevens te verstrekken, zal

SURF de organisatie hierover informeren en de organisatie in staat stellen om haar rechten te verdedigen.

SURF zal de toegang zo beperkt mogelijk houden.

Meer informatie

• In het SURFconext dashboard is per dienst, voor zover aangeleverd door de dienstleverancier, AVG/GDPR informatie te vinden

• Een model verwerkersovereenkomst, die een instelling als basis kan gebruiken voor zo'n overeenkomst tussen de instelling en een leverancier, vindt u op de pagina over het SURF Juridisch Normenkader.

• De Verwerkersovereenkomst zoals die geldt tussen instellingen en SURF