Via SURFconext en federaties van andere landen waar SURFnet mee samenwerkt zijn in totaal meer dan 1700 diensten beschikbaar om te koppelen. Om enig overzicht aan te brengen in dit grote aantal diensten, heeft SURFnet samen met de andere federaties een onderverdeling geïntroduceerd voor diensten met bepaalde, gelijke kenmerken. De officiële naam voor een dergelijke onderverdeling binnen eduGAIN is entity categories. Er zijn in totaal 3 entity categories, die op deze pagina verder worden toegelicht.

Eén van die categorieën is speciaal ontworpen om te voorzien in de behoeftes van onderzoekers: Research & Scholarship (R&S). Deze categorie bevat diensten met de volgende gedeelde kenmerken:

1. Het doel van de dienst is het ondersteunen van wetenschap en onderzoek
2. De dienst kan alleen gebruik maken van een vaste, gelimiteerde set attributen
3. De federatie waar de dienst oorspronkelijk vandaan komt moet handmatige goedkeuring afgeven

Door als instelling deze categorie te ondersteunen, word je geacht alle diensten binnen R&S automatisch beschikbaar te stellen aan de gebruikers van jouw instelling. Wetenschappers en onderzoekers hoeven hierdoor niet langer per losse dienst een aanvraag in te dienen bij de SURFconext-verantwoordelijke, die vervolgens niet langer per dienst hoeft te beoordelen of bijvoorbeeld de gevraagde attributen redelijk zijn; dat is immers van tevoren al bepaald voor de gehele categorie. Dit scheelt een hoop werk voor de SURFconext-verantwoordelijke en zorgt voor enorme tijdswinst voor wetenschappers en onderzoekers.

Persoonsgegevens

De Wet Bescherming Persoonsgegevens (WBP) en de toekomstige Algemene Verordening Gegevensbescherming (AVG) bevatten regels voor organisaties die verantwoordelijk zijn voor bepaalde persoonsgegevens, in dit geval de instellingen. Persoonsgegevens mogen niet zomaar worden gedeeld met derden: hier moet (1) een juridische grondslag voor zijn en (2) de zekerheid zijn dat de bescherming van die gegevens goed is geregeld.

R&S biedt een oplossing voor (1) de juridische grondslag voor het verwerken van persoonsgegevens. Met andere woorden, door R&S te gebruiken is het uitwisselen van persoonsgegevens die nodig zijn voor het mogelijk maken van federatieve authenticatie en autorisatie gegrond. De passende grondslag hiervoor is gerechtvaardigd belang (legitimate interest). (Zie voor een uitgebreide uitleg, de website van de Autoriteit Persoonsgegevens.)

Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn, is een tweede entity category in het leven geroepen. Deze heet de GÉANT Data Protection Code of Conduct (CoCo), en bevat alleen diensten die expliciet hebben aangegeven te voldoen aan de (strenge) eisen uit de Europese dataprotectiewetten. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Als voorbeeld: een (wetenschappelijke) Wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.

Automatisch koppelen via SURFconext

Instellingen kunnen via SURFconext automatisch R&S diensten koppelen. Om te voorzien in de wens van instellingen om veilig en vertrouwd te opereren, koppelt SURFconext alleen diensten die zowel R&S als CoCo ondersteunen: hiermee zijn eventuele risico's die gemoeid gaan met het uitwisselen van persoonsgegevens tot een uiterst minimum beperkt.

SURFconext heeft nog geen mogelijkheid om de koppelingen volledig automatisch tot stand te brengen; vooralsnog gebeurt dit deels handmatig, aan de hand van een script dat 1x per dag een lijst genereert met nieuwe en oude diensten, die vervolgens handmatig worden gekoppeld of ontkoppeld.