You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 13 Next »

Via SURFconext en andere onderwijs- en onderzoeksfederaties van landen waar SURFnet mee samenwerkt (via eduGAIN) zijn in totaal meer dan 2200 diensten beschikbaar om te koppelen. Om enig overzicht aan te brengen in dit grote aantal diensten, heeft SURFnet samen met REFEDS, een samenwerking tussen wereldwijde onderwijs- en onderzoeksfederaties, een onderverdeling geïntroduceerd voor diensten met bepaalde, gelijke kenmerken. De officiële naam voor een dergelijke onderverdeling binnen eduGAIN is entity categories. Er zijn in totaal 3 entity categories, die op deze pagina verder worden toegelicht.

Eén van die categorieën is opgezet om te voorzien in de behoeftes van bepaalde gebruikers (met name onderzoekers): Research & Scholarship (R&S). Deze categorie bevat diensten met de volgende gedeelde kenmerken:

  1. Het doel van de dienst is het ondersteunen van wetenschap en onderzoek
  2. De dienst gebruikt een vaste, gelimiteerde set attributen
  3. Het label R&S is afgegeven door de federatie waar de dienst oorspronkelijk vandaan komt

Het doel van deze categorie diensten is het schaalbaar beschikbaar maken van deze diensten voor gebruikers (bijv. onderzoekers). Wetenschappers en onderzoekers hoeven hierdoor niet langer per losse dienst een aanvraag in te dienen bij de SURFconext-verantwoordelijke, die vervolgens niet langer per dienst hoeft te beoordelen of bijvoorbeeld de gevraagde attributen redelijk zijn; dat is immers van tevoren al bepaald voor de gehele categorie. Dit scheelt een hoop werk voor de SURFconext-verantwoordelijke en zorgt voor enorme tijdswinst voor wetenschappers en onderzoekers.

Door als instelling deze categorie te ondersteunen worden alle diensten binnen R&S automatisch beschikbaar gesteld aan de gebruikers van jouw instelling.

Vaste, beperkte set attributen

Een dienst kan alleen in aanmerking komen voor R&S als er gebruik wordt gemaakt van een beperkte set attributen; precies een set attributen die voor (wetenschappelijke) samenwerking nodig is. Een dienst mag maximaal de volgende attributen vragen:

  1. Een identifier (eduPersonPrincipalName en eventueel eduPersonTargetedID)
  2. Een naam (displayName en/of givenName + sn)
  3. Een e-mail adres (mail)
  4. (Optioneel) De rol van de gebruiker binnen de instelling (eduPersonScopedAffiliation)

Voor meer informatie over deze attributen, zie Attributen in SURFconext.

Persoonsgegevens en de wet

De Wet Bescherming Persoonsgegevens (WBP) en de toekomstige Algemene Verordening Gegevensbescherming (AVG) bevatten regels voor organisaties die verantwoordelijk zijn voor bepaalde persoonsgegevens, in dit geval de instellingen. Persoonsgegevens mogen niet zomaar worden gedeeld met derden; hier moet (1) een juridische grondslag voor zijn en (2) de zekerheid zijn dat de bescherming van die gegevens goed is geregeld.

R&S biedt een oplossing voor (1) de juridische grondslag voor het verwerken van persoonsgegevens. Met andere woorden, door R&S te gebruiken is het uitwisselen van persoonsgegevens die nodig zijn voor het mogelijk maken van federatieve authenticatie en autorisatie gegrond. De passende grondslag die hiervoor binnen R&S wordt gebruikt is gerechtvaardigd belang (legitimate interest). Onder deze grondslag "is een gegevensverwerking geoorloofd indien deze noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, doorslaggevend zijn." (Zie voor een uitgebreide uitleg, de website van de Autoriteit Persoonsgegevens.)

REFEDS heeft als eigenaar van deze entity category uitgebreid de juridische aspecten van R&S getoetst. Een volledige beschrijving hiervan is te vinden op de Wiki van REFEDS (Engels).

Om er zeker van de zijn dat de persoonsgegevens die worden uitgewisseld ten behoeve van federatieve authenticatie en autorisatie goed beschermd zijn (2), is een tweede entity category in het leven geroepen. Deze heet de GÉANT Data Protection Code of Conduct (CoCo), en bevat alleen diensten die expliciet hebben aangegeven te voldoen aan de (strenge) eisen uit de Europese dataprotectiewetten. Hiermee garanderen Service Providers dat zij de ontvangen persoonsgegevens (attributen) alleen gebruiken voor het mogelijk maken van federatieve authenticatie en autorisatie en het leveren van de dienst. Als voorbeeld: een (wetenschappelijke) Wiki heeft een naam en e-mailadres nodig om onderlinge samenwerking mogelijk te maken.

Verwerkersovereenkomst?

Het uitgangspunt van R&S en CoCo is dat de Service Provider die de persoonsgegevens ontvangt, de rol van verantwoordelijke heeft. Een verwerkersovereenkomst is dus niet nodig; de dienst wordt niet niet door/namens de instelling zelf aangeboden. Uitzonderingen zijn in specifieke gevallen natuurlijk mogelijk: in dat geval prevaleren de afspraken die de instelling met de dienst maakt boven het gerechtvaardigd belang van R&S.

Meedoen?

Heeft jouw instelling gebruikers die hier mogelijk van kunnen profiteren? Vraag R&S aan voor jouw Identity Provider via support@surfconext.nl.

  • No labels