Als je diensten via SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de Service Provider, om:
- personalisatie mogelijk te maken, en/of
- autorisaties binnen de dienst te bepalen.
Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een (pseudoniem) id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.
Elke gebruikers van SURFconext kan op de SURFconext Profile pagina zien welke attributen zijn/haar instelling vrijgeeft, aan welke diensten hij/zij attributen heeft vrijgegeven, en welke dat per dienst zijn.
De mensen die binnen een instelling de rol 'SURFconext verantwoordelijke' of 'SURFconext beheerder' hebben (dat zijn vaak mensen bij de IT-afdeling) kunnen in het SURFconext dashboard ook per dienst zien welke attributen die dienst wil ontvangen:
- Sinds begin 2018 vragen we steeds meer leveranciers (SP's) ook aan te geven waarom ze bepaalde attributen nodig hebben, en die informatie wordt vanaf juni 2018 getoond in het SURFconext dashboard.
- Naast het per dienst opvragen van welke attributen een dienst wil hebben, kan in het dashboard ook een export worden gemaakt met informatie. Vanaf medio mei 2018 zitten daar ook de attributen per dienst bij, en of er een 'attribuut manipulatie script' actief is, een stuk code die gewenste extra bewerkingen uitvoert voordat ze worden doorgestuurd naar een leverancier.
- Voor diensten waarvoor een 'attribuut manipulatie script' actief is, is in de export niet te zien welke gegevens precies worden vrijgegeven, omdat afhankelijk van dat script, per persoon of groep van personen het resultaat anders kan zijn. Op dit moment is het nog nodig om via een mail aan het SURFconext supportteam te vragen wat er in een attribuut manipulatie script gebeurt (er wordt gekeken op welke manier we dat kunnen verbeteren).
SURFconext heeft enkele mogelijkheden om de privacy van de gebruikers beter te beschermen. Zo biedt SURFconext standaard het 'consent'-scherm aan, waarmee gebruikers expliciet bewust worden gemaakt van de persoonsgegevens die worden uitgewisseld. Daarnaast kan SURFconext pseudonieme identifiers uitsturen, waardoor Service Providers onderling gebruikers niet kunnen correleren, en het op basis van alleen de identifier onmogelijk is (voor de Service Provider) om te achterhalen wie de gebruiker is.
Ga daarom in gesprek met jouw leveranciers over de noodzaak van elk attribuut en of er, eventueel in samenspraak met SURFconext, een pseudonieme variant mogelijk is. Het SURFconext-team staat klaar om hierover mee te denken.
Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Algemene Verordening Gegevensbescherming (AVG). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy.
Een belangrijk punt van de wet is dat afspraken over de privacy van de gebruikers (hoe gaan SURFnet en de Service Providers om met het verwerken van persoonsgegevens) contractueel moeten worden vastgelegd. Dit betekent ook dat alle Service Providers een overeenkomst moeten ondertekenen voordat zij lid kunnen worden van SURFconext.
De AVG gaat over de verwerking van persoonsgegevens. De wet stelt de normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Met welke risico's moet je rekening houden? Met welke maatregelen kan je risico's beperken? Welke maatregelen zijn in een bepaald geval passend? Kortom: aan welke eisen moet de beveiliging van persoonsgegevens voldoen? De Autoriteit Persoonsgegevens heeft een uitgebreide handreiking gepubliceerd, die een nadere invulling geven aan de wettelijke norm:
Ook SURF heeft een handreiking gepubliceerd over hoe hogeronderwijsinstellingen op de werkvloer invulling moeten geven aan de normen die de AVG stelt aan de omgang met persoonsgegevens van studenten.