Er zijn wereldwijd zo'n 2200 diensten beschikbaar die gekoppeld kunnen worden via SURFconext en andere onderwijs- en onderzoeksfederaties. Iedere dienst apart op betrouwbaarheid beoordelen en koppelen: dat is veel werk. Gevolg: veel diensten worden niet gekoppeld, gebruikers kunnen niet inloggen met hun instellingsaccount en zoeken een onveiliger en onhandiger alternatief.

De entity categories Research & Scholarship (R&S) en Code of Conduct brengen uitkomst. Valt een dienst in beide categorieën dan krijgt hij het stempel "Betrouwbaar" van SURFconext. En kun jij hem als instelling ook vertrouwen, en automatisch beschikbaar stellen aan je gebruikers. Wat houden deze entity categories in en wat zeggen ze over de betrouwbaarheid van een dienst?

Wat zijn entity categories?

Via SURFconext en andere onderwijs- en onderzoeksfederaties van landen waar SURFnet mee samenwerkt (via eduGAIN), zijn in totaal meer dan 2200 diensten beschikbaar om te koppelen. Om het overzicht te behouden zijn diensten daarom geklassificeerd in zogeheten entity categories op basis van gedeelde eigenschappen. Er zijn veel verschillende entity categories, waarvan de meest relevante op deze pagina verder worden toegelicht. 2 daarvan zijn voor het aspect betrouwbaarheid van belang en die behandelen we daarom hier: Research & Scholarship (R&S), een categorie diensten voor het ondersteunen van wetenschap en onderzoek, en Code of Conduct, een categorie diensten die expliciet verklaart te voldoen aan de AVG.

Research & Scholarship

Gedeelde kenmerken

De categorie Research & Scholarship (R&S) is opgezet om de beheerlast van het koppelen van individuele diensten te reduceren. Deze categorie bevat diensten met de volgende gedeelde kenmerken:

1. Het doel van de dienst is het ondersteunen van wetenschap en onderzoek
2. De dienst gebruikt een vaste, gelimiteerde set attributen voor authenticatie en autorisatie 
3. Een Service Provider krijgt zo'n label niet zo maar: de federatie waar de dienst oorspronkelijk vandaan komt controleert of de Service Provider in aanmerking komt  

Diensten sneller en makkelijker beschikbaar maken

Het doel van deze categorie diensten is het automatisch beschikbaar maken van deze diensten voor gebruikers (bijv. onderzoekers). Wetenschappers en onderzoekers hoeven hierdoor niet langer per losse dienst een aanvraag in te dienen bij de SURFconext-verantwoordelijke, die vervolgens niet langer per dienst hoeft te beoordelen of bijvoorbeeld de gevraagde attributen redelijk zijn; dat is immers van tevoren al bepaald voor de gehele categorie. Dit scheelt een hoop werk voor de SURFconext-verantwoordelijke en zorgt voor enorme tijdswinst voor wetenschappers en onderzoekers.

Door als instelling deze categorie te ondersteunen worden alle diensten binnen R&S automatisch beschikbaar gesteld aan de gebruikers van jouw instelling.

Vaste, beperkte set attributen

R&S bevat alleen attributen waarmee wetenschappelijke samenwerking mogelijk wordt gemaakt. Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een (combinatie van) deze attributen. Minder mag natuurlijk altijd, maar meer zeker niet: als een dienst alleen kan functioneren met meer attributen dan deze, dan kan de dienst geen onderdeel worden van R&S.

De volgende attributen mogen door een R&S-dienst worden gebruikt:

1. Een (technische) identifier van de gebruiker (eduPersonPrincipalName - voldoende als deze gegarandeerd niet opnieuw wordt toegewezen aan andere gebruikers; anders óók eduPersonTargetedID)
2. Een herkenbare naam van de gebruiker (displayName en/of givenName + sn)
3. Een e-mail adres van de gebruiker (mail)
4. (Optioneel) De rol van de gebruiker binnen de instelling (eduPersonScopedAffiliation)

Voor meer achtergrondinformatie over deze attributen, zie Attributen in SURFconext.

Code of Conduct

Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn, is een tweede entity category in het leven geroepen. Deze heet de GÉANT Data Protection Code of Conduct (CoCo), en bevat alleen Service Providers die expliciet hebben aangegeven te voldoen aan de (strenge) eisen uit de Europese wet- en regelgeving rond gegevensbescherming. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Bijvoorbeeld: een (wetenschappelijke) wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.

Verwerkersovereenkomst niet nodig

Het uitgangspunt van R&S en CoCo is dat de Service Provider die de persoonsgegevens ontvangt geen verwerker is die de persoonsgegevens verwerkt in expliciete opdracht van de instelling, maar verantwoordelijke. Een verwerkersovereenkomst is dus niet nodig voor diensten die vallen onder de entity categories R&S en CoCo. Uitzonderingen zijn in specifieke gevallen natuurlijk mogelijk: in dat geval gaan de afspraken die de instelling met de dienst maakt altijd voor.

Voor alle diensten die onder R&S vallen geldt gerechtvaardigd belang als grondslag voor het verwerken van persoonsgegevens voor de authenticatie en autorisatie van de gebruiker. Met andere woorden, door R&S te gebruiken is het uitwisselen van persoonsgegevens die nodig zijn voor het mogelijk maken van federatieve authenticatie en autorisatie gegrond. REFEDS heeft als eigenaar van deze entity category uitgebreid de juridische aspecten van R&S getoetst. Een volledige beschrijving hiervan is te vinden op de Wiki van REFEDS (Engels).

Meedoen?

Diensten die in beide categorieën vallen worden als "Betrouwbaar" beschouwd. Deze diensten kun je via SURFconext automatisch koppelen aan je Identity Provider, zodat de beheerlast een stuk lager wordt en daarmee ook het leven van bepaalde gebruikers. Gebruikers hoeven dan namelijk niet meer een losse aanvraag te doen voor een dienst; zij kunnen gewoon direct inloggen (uiteraard na het geven van consent!).

Heeft jouw instelling gebruikers die hier mogelijk van kunnen profiteren? Vraag het automatisch koppelen voor jouw Identity Provider aan via support@surfconext.nl.