You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 26 Next »

Als je diensten via SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de leverancier ('Service Provider'), om:

  • personalisatie mogelijk te maken, en/of
  • autorisaties binnen de dienst te bepalen.

Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.

In mei 2018 deden we een webinar over SURFconext en de AVG wat terug te kijken is op https://www.surf.nl/agenda/2018/05/webinar-de-avg-en-surfconext/index.html .

Inzicht

Elke gebruiker van SURFconext kan op de SURFconext Profile pagina zien welke attributen zijn/haar instelling vrijgeeft, aan welke diensten hij/zij attributen heeft vrijgegeven, en welke dat per dienst zijn. SURFconext biedt het 'consent'-scherm waarmee gebruikers expliciet bewust worden gemaakt van de persoonsgegevens die worden uitgewisseld en, voordat ze een dienst kunnen gebruiken en gegevens naar die dienst worden gestuurd, de mogelijkheid hebben om daarvan af te zien.

Voor de mensen die binnen een instelling de rol 'SURFconext verantwoordelijke' of 'SURFconext beheerder' geldt:

  • Die kunnen in het SURFconext dashboard ook per dienst zien welke attributen die dienst wil ontvangen
  • Sinds begin 2018 vragen we steeds meer leveranciers (SP's) ook aan te geven waarom ze bepaalde attributen nodig hebben, en die informatie wordt vanaf juni 2018 getoond in het SURFconext dashboard. 
  • Sinds 2017 vragen we leveranciers die willen aansluiten een aantal AVG-gerelateerde vragen te beantwoorden (de informatie is te vinden in/via in het SURFconext dashboard)
  • Naast het per dienst opvragen van welke attributen een dienst wil hebben, kan in het dashboard ook een export worden gemaakt van de geselecteerde diensten, inclusief welke attributen er per dienst worden gevraagd. In de export is ook te zien of er een Attribute Release Policy is gedefinieerd, dus of er is bepaald welke attributen moeten worden vrijgegeven. Als die kolom False aangeeft, wil dat niet zeggen dat alle attributen worden doorgegeven; in de meeste gevallen is dan een 'attribuut manipulatie script' actief wat specifieke bewerkingen uitvoert op attributen, waardoor wat er naar de dienst wordt gestuurd, per persoon of groep van personen anders kan zijn. Op dit moment is het nog nodig om via een mail aan het SURFconext supportteam te vragen wat er in een attribuut manipulatie script gebeurt (er wordt gekeken op welke manier we dat kunnen verbeteren).

 

Meer informatie voor eindgebruikers over privacy en SURFconext, zie ook Privacy en persoonsgegevens.

Meer privacy via pseudoniemen

SURFconext kan pseudonieme identifiers uitsturen zodat het op basis van alleen de identifier onmogelijk is (voor de Service Provider) om te achterhalen wie de gebruiker is. SURFconext kan zelfs, als een leverancier daar ook mee instemt, regelen dat dezelfde gebruiker verschillende pseudonieme id's voor verschillende SP's krijgt, zodat SP's gebruikers onderling ook niet kunnen 'koppelen'.

Ga daarom in gesprek met jouw leveranciers over de noodzaak van elk attribuut en of er, eventueel in samenspraak met SURFconext, een pseudonieme variant mogelijk is. Het SURFconext-team staat klaar om hierover mee te denken.

Privacy Policy SURFconext

Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Algemene Verordening Gegevensbescherming (AVG). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy. Ook hebben we op een rij gezet welke afspraken we allemaal maken.

Meer informatie SURF

Sinds 25 mei 2016 is er nieuwe Europese privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze heeft ook consequenties voor het hoger onderwijs en onderzoek. Instellingen moeten hier tijdig op inspringen. SURF helpt daarbij. Meer informatie vind je op de SURF-website.

  • No labels