...
| Wat | Afspraken liggen vast in | Door wie geregeld |
|---|---|---|
| Commerciële aanbieder biedt dienst aan | Aansluitovereenkomst | SURFnet |
| SURFconext-aangesloten instelling biedt dienst aan | Bijlage IX en de privacy policy | SURFnet |
| Via eduGAIN aangeboden dienst (niet-commercieel) | Afhankelijk van beleid thuisfederatie Aanbieder kan GÉANT Data Protection Code of Conduct onderschrijven | Thuisfederatie Zelfverklaring |
Instelling neemt de verantwoordelijkheid voor de dienst. Mogelijke aanleidingen:
| Mail SURFconext team | SURFnet |
Een via de Kennisnet-federatie aangeboden dienst | Interfederatie-afspraak Kennisnet | SURFnet |
| CLARIN (samenwerkingsverband van bronnen op gebied van taal) | CLARIN-overeenkomst | SURFnet |
...
- SURFnet zorgt ervoor dat de organisatie SURFconext kan gebruiken.
- SURFnet onderhoudt een overzicht van standaarden (en versies) die SURFconext ondersteunt en die organisaties kunnen gebruiken.
- SURFnet verwerkt de persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens en houdt zich aan de afspraken die zijn opgenomen in de Bewerkersovereenkomst. Hierin is o.a. het volgende geregeld:
- SURFnet mag persoonsgegevens alleen gebruiken voor de uitvoering van de overeenkomst.
- SURFnet verleent geen toegang tot de persoonsgegevens van de gebruiker aan derden zonder toestemming van de organisatie.
- SURFnet verwerkt de persoonsgegevens zelf alleen binnen de Europese Unie of een land met een passend beschermingsniveau.
- SURFnet draagt zorg voor een betrouwbare en adequate beveiliging en zal als daar aanleiding voor is, de beveiligingsprocessen laten auditen door een erkend auditor.
- SURFnet bewaart de persoonsgegevens niet langer dan noodzakelijk. 37 maanden na laatste inlog worden alle persoonsgegevens van een gebruiker uit alle systemen verwijderd. Voor logging geldt een bewaartermijn van 6 maanden.
...
- De Instelling draagt er zorg voor dat alleen Gebruikers gebruik kunnen maken van de SURFconext-dienst.
- De Instelling houdt de binnen SURFconext benodigde authenticatiegegevens en attributen volledig en actueel en draagt er zorg voor dat de Gebruiker bij eerste opname van de gegevens geïdentificeerd is.
- Instellingen bieden hun Gebruikers een helpdesk voor SURFconext gerelateerde vragen. Deze helpdesk kan op zijn beurt weer het SURFconext supportkanaal raadplegen.
- De Instelling moet een reglement voor gebruikers opstellen.
- De Instelling moet persoonsgegevens behandelen volgens de Privacy Policy van SURFconext. Dit is een uitwerking van de Wet bescherming persoonsgegevens, toegespitst op de verwerking van persoonsgegevens binnen SURFconext, en bevat de volgende onderwerpen:
- doel van de gegevensverwerking
- aard van de vastgelegde gegevens
- wie toegang krijgt tot de gegevens
- transparantie voor de gebruiker
- beveiliging van de gegevens
- De Instelling draagt zorg voor een adequate configuratie en beveiliging van de systemen en netwerkcomponenten die worden ingezet voor identiteits- en toegangsbeheer voor gebruikers.
- Als SURFnet het aanbeveelt, moet de Instelling binnen een redelijke termijn nieuwe SURFconext-standaarden en protocollen installeren en upgraden voor de SURFconext-onderdelen die je gebruikt.
...
Als SURFnet van een autoriteit het verzoek krijgt om persoonsgegevens te verstrekken, zal SURFnet de organisatie hierover informeren en de organisatie in staat stellen om haar rechten te verdedigen. SURFnet zal de toegang zo beperkt mogelijk houden.
Meer informatie
Bijlage IX SURFconext Gebruiksovereenkomst versie november 2016 (oude versie Bijlage IX)
Bewerkersovereenkomst SURFconext versie november 2016
- AVG/GDPR informatie van een deel van op SURFconext aangesloten diensten
- Een model bewerkersovereenkomst, die een instelling als basis kan gebruiken voor zo'n overeenkomst tussen de instelling en een leverancier, vindt u op de pagina over het SURF Juridisch Normenkader.