Page tree

Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Section
Column
width60%

SURF hecht veel belang aan privacy. Met SURFconext wordt privacy van studenten, docenten en onderzoekers op verschillende manieren beschermd. Deze pagina beschrijft hoe SURFconext dat bewerktstelligt.

Table of Contents
maxLevel3

Persoonsgegevens

Privacy is een veelzijdig en ingewikkeld begrip, een (uitgebreide) bespreking daarvan behoort dan ook niet tot het doel van deze pagina. Binnen SURFconext zien we privacy als de bescherming van (digitale) persoonsgegevens. Een persoonsgegevens is alle informatie is over een geïdentificeerde of identificeerbare natuurlijke persoon.

Als een gebruiker via SURFconext inlogt bij een dienst zijn er doorgaans drie (verschillende) organisaties die persoonsgegevens verwerken:

  1. De instelling van de gebruiker (als eigenaar van het gebruikersaccount)
  2. SURF (vanwege SURFconext)
  3. De leverancier van de dienst (de Service Provider)

Diensten via SURFconext gebruiken persoonsgegevens bijvoorbeeld om:

  • personalisatie mogelijk te maken, en/of
  • autorisaties binnen de dienst te bepalen.

Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres

...

.

Wettelijke kaders

Het verwerken van persoonsgegevens wordt binnen Europa gereguleerd door de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) is in Nederland verantwoordelijk voor de handhaving daarvan.

Een van de zaken die volgens de AVG geregeld moet worden is een grondslag voor het mogen verwerken van persoonsgegevens. Deze grondslag wordt ten alle tijden bepaald door de verwerkingsverantwoordelijke, oftewel iedere organisatie die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Binnen de context van SURFconext zijn de aangesloten instellingen verwerkingsverantwoordelijke.

Een verwerkingsverantwoordelijke mag het daadwerkelijke verwerken van persoonsgegevens ook uitbesteden aan een andere organisatie. Die andere organisatie krijgt dan de rol verwerker. Binnen de context van SURFconext is SURF ten behoeve van SURFconext verwerker. Dit wordt vastgelegd in afspraken en overeenkomsten.

Daarnaast verwerkt ook de Service Provider (bepaalde) persoonsgegevens. Soms zal dit zijn vanuit de rol verwerker, in andere gevallen is het ook denkbaar dat een Service Provider de rol verwerkingsverantwoordelijke heeft. Het is aan de verwerkingsverantwoordelijke (de instelling dus) om (evt. samen met de Service Provider) te bepalen welke rol dat precies is.

Info

In mei 2018 deden we een webinar over SURFconext en de AVG wat terug te kijken is op YouTube .

Wat biedt SURFconext?

SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.

Transparantie

Inzicht

...

Eindgebruikers

Iedere keer als een gebruiker voor het eerst inlogt op een dienst via SURFconext, of er is iets veranderd aan de persoonsgegevens (attributen) sinds de vorige keer dat hij/zij heeft ingelogd, toont SURFconext aan de gebruiker het het 'informatie'-scherm. Dit scherm maakt transparant welke persoonsgegevens de dienst nodig heeft om te kunnen functioneren en biedt de gebruiker de mogelijkheid om de gegevensoverdracht te stoppen (door niet in te loggen). Zie voor meer informatie de pagina over dit 'informatie'-scherm.

Daarnaast biedt SURFconext een profiel pagina. Op deze pagina kan elke gebruiker van SURFconext zien welke attributen zijn/haar instelling vrijgeeft, aan welke diensten hij/zij attributen heeft vrijgegeven, en welke dat per dienst zijn.

...

De mensen die binnen een instelling de rol 'SURFconext verantwoordelijke' of 'SURFconext beheerder' hebben (dat zijn vaak mensen bij de IT-afdeling):

...

Ook bevat dit scherm, indien bekend, de contactgegevens van iedere dienst en wanneer de gebruiker voor het eerst op iedere dienst is ingelogd. Bekijk hier de SURFconext profiel pagina.

SURFconext Dashboard

  • In het SURFconext dashboard kan per dienst bekeken worden welke attributen die dienst wil ontvangen

...

  • .
  • Leveranciers kunnen per attribuut aangeven waarom ze dit attribuut nodig hebben deze informatie wordt, indien aanwezig, ook getoond in het SURFconext dashboard. 
  • Leveranciers wordt gevraagd om een aantal AVG-gerelateerde vragen te beantwoorden en deze informatie is, indien aangeleverd, te vinden in het SURFconext dashboard.
  • Naast het per dienst opvragen van welke attributen een dienst wil hebben, kan in het dashboard ook een export worden gemaakt van de geselecteerde diensten, inclusief welke attributen er per dienst worden gevraagd

...

  • .

...


Image Modified


Meer privacy via pseudoniemen

SURFconext kan pseudonieme identifiers uitsturen zodat het op basis van alleen de identifier onmogelijk is (voor de Service Provider) om te achterhalen wie de gebruiker is. SURFconext kan zelfs, als een leverancier daar ook mee instemt, regelen dat dezelfde gebruiker verschillende pseudonieme id's voor verschillende SP's krijgt, zodat SP's gebruikers onderling ook niet kunnen 'koppelen'.

Ga daarom in gesprek met jouw leveranciers over de noodzaak van elk attribuut en of er, eventueel in samenspraak met SURFconext, een pseudonieme variant mogelijk is. Meer informatie hierover staat in de Attribute best practice. Het SURFconext-team staat ook altijd klaar om hierover mee te denken.

Privacy Policy SURFconext

Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Algemene Verordening Gegevensbescherming (AVG). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy. Ook hebben we op een rij gezet welke afspraken we allemaal maken.

Handreikingen persoonsgegevens

  1. De AVG gaat over de verwerking van persoonsgegevens. De wet stelt de normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Met welke risico's moet je rekening houden? Met welke maatregelen kan je risico's beperken? Welke maatregelen zijn in een bepaald geval passend? Kortom: aan welke eisen moet de beveiliging van persoonsgegevens voldoen? De Autoriteit Persoonsgegevens heeft een uitgebreide handreiking gepubliceerd, die een nadere invulling geven aan de wettelijke norm: Handreiking bescherming persoonsgegevens .
  2. SURF heeft een handreiking gepubliceerd over hoe hogeronderwijsinstellingen op de werkvloer invulling moeten geven aan de normen die de AVG stelt aan de omgang met persoonsgegevens van studenten: Handreiking persoonsgegevens Studenten (SURF).

 

Zie ook

Voor meer informatie over privacy en SURFconext, zie ook Privacy en persoonsgegevens .

Meer informatie SURF

Sinds 25 mei 2016 is er nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze heeft ook consequenties voor het hoger onderwijs en onderzoek. SURF helpt instellingen op dat gebied. Meer informatie vind je op de SURF-website.

Column
width5%

Column
width35%
Navigate
Page Tree
rootDocumentatie voor Identity Providers
searchBoxtrue