Wettelijke kadersHet verwerken van persoonsgegevens wordt binnen Europa gereguleerd door de Algemene verordening gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor de handhaving daarvan. Een van de zaken die volgens de AVG geregeld moet worden is een grondslag voor het mogen verwerken van persoonsgegevens. Deze grondslag wordt ten allen tijde bepaald door de verwerkingsverantwoordelijke, oftewel iedere organisatie die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Binnen de context van SURFconext zijn de aangesloten instellingen verwerkingsverantwoordelijke. Een verwerkingsverantwoordelijke mag het daadwerkelijke verwerken van persoonsgegevens ook uitbesteden aan een andere organisatie. Die andere organisatie krijgt dan de rol verwerker. Binnen de context van SURFconext is SURF ten behoeve van SURFconext verwerker. Dit wordt vastgelegd in afspraken en overeenkomsten tussen SURF en de aangesloten instellingen. Daarnaast verwerkt ook de service provider (bepaalde) persoonsgegevens. Soms zal dit zijn vanuit de rol verwerker, in andere gevallen is het ook denkbaar dat een service provider de rol verwerkingsverantwoordelijke heeft. Het is aan de verwerkingsverantwoordelijke (de instelling dus) om (evt. samen met de service provider) te bepalen welke rol dat precies is. Een service provider zal binnen de context van SURFconext nooit een verwerker van SURF zijn, noch een subverwerker. Info |
---|
In mei 2018 hielden we een webinar over SURFconext en de AVG dat je kunt terugkijken op YouTube . |
Wat biedt SURFconext?SURF gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie. TransparantieEindgebruikersIedere keer als een gebruiker voor het eerst inlogt op een dienst via SURFconext, of als er iets is veranderd aan de persoonsgegevens (attributen) sinds de vorige login, toont SURFconext aan de gebruiker het het 'informatie'-scherm. Dit scherm maakt transparant welke persoonsgegevens de dienst nodig heeft om te kunnen functioneren en biedt de gebruiker de mogelijkheid om de gegevensoverdracht te stoppen (door niet in te loggen). Zie voor meer informatie de pagina over dit 'informatie'-scherm. Daarnaast biedt SURFconext een profielpagina. Deze pagina toont een overzicht van welke attributen door de instelling van de gebruiker aan SURFconext beschikbaar worden gesteld en aan welke diensten (een deel van) deze attributen al zijn doorgegeven. Ook bevat dit scherm, indien bekend, de contactgegevens van iedere dienst en wanneer de gebruiker voor het eerst op iedere dienst is ingelogd. Bekijk je SURFconext profielpagina. SURFconext Dashboard- In het SURFconext Dashboard kan per dienst bekeken worden welke attributen die dienst wil ontvangen.
- Leveranciers kunnen per attribuut aangeven waarom ze dit attribuut nodig hebben deze informatie wordt, indien aanwezig, ook getoond in het SURFconext Dashboard en op het 'informatie'-scherm.
- Leveranciers wordt gevraagd om een aantal AVG-gerelateerde vragen te beantwoorden en deze informatie is, indien aangeleverd, te vinden in het SURFconext Dashboard.
- Naast het per dienst opvragen van welke attributen een dienst wil hebben, kan in het dashboard ook een export worden gemaakt van de geselecteerde diensten, inclusief welke attributen er per dienst worden gevraagd.
Image Added Meer privacy via pseudoniemenSURFconext kan pseudonieme identifiers uitsturen zodat het op basis van alleen de identifier onmogelijk is (voor de Service Provider) om te achterhalen wie de gebruiker is. SURFconext kan zelfs, als een leverancier daar ook mee instemt, regelen dat dezelfde gebruiker verschillende pseudonieme id's voor verschillende SP's krijgt, zodat SP's gebruikers onderling ook niet kunnen 'koppelen'. Ga daarom in gesprek met jouw leveranciers over de noodzaak van elk attribuut en of er, eventueel in samenspraak met SURFconext, een pseudonieme variant mogelijk is. Meer informatie hierover staat in de Attribute best practice. Het SURFconext-team staat ook altijd klaar om hierover mee te denken. Privacy Policy SURFconextAls er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de |