Jouw organisatie kan er op termijn voor kiezen om mee te doen aan de opt-outregeling. Zo komen diensten sneller beschikbaar voor gebruikers en zullen de administratieve activiteiten voor jouw organisatie afnemen.
Op deze pagina beschrijven we de belangrijkste punten uit de opt-outregeling.
Opt-in betekent dat je als Identity Provider zelf de regie houdt over welke diensten je wel en welke je niet koppelt. De SURFconext-verantwoordelijke moet voor elke (nieuwe) dienst apart beslissen of hij deze gaat koppelen. Met opt-out wil SURFnet de drempels voor online samenwerking zoveel mogelijk wegnemen, door diensten automatisch beschikbaar te maken voor gebruikers van jouw organisatie, (vanzelfsprekend zonder daarbij in te leveren op het gebied van privacy).
Als je gebruik maakt van opt-out, worden alle diensten die behoren tot het 'HO-normenkader' automatisch gekoppeld met jouw organisatie, zodat ze direct beschikbaar zijn voor je gebruikers. Dit zorgt ervoor dat je gebruikers meer keuzevrijheid hebben, en dat je ICT-personeel minder werk heeft. Uiteraard kun je, ook als je gebruikmaakt van de opt-outregeling altijd de toegang tot een dienst weer beëindigen.
Diensten die niet binnen het 'HO-normenkader' vallen, blijven uiteraard ook beschikbaar voor jouw organisatie. Deze diensten moet je echter handmatig koppelen (=opt-in). Als diensten niet tot het 'HO-normenkader' behoren, wil het niet zeggen dat ze niet betrouwbaar zijn. Het betekent slechts dat er afspraken in het contract met deze Service Provider afwijken van het standaard normenkader. Het kan bijvoorbeeld betekenen dat jouw organisatie dan aparte, individuele afspraken met de Service Provider moet maken.
SURFmarket ziet er namens SURFnet op toe dat diensten die derden aanbieden, voldoen aan de (strikte) Nederlandse privacywetgeving. SURFmarket maakt hierover altijd afspraken met de Service Provider en legt dit vast in een contract voordat de dienst beschikbaar komt via SURFconext.
Als een Service Provider voldoet aan alle principes uit de onderstaande tabel dan behoort deze tot het 'HO-normenkader' en komt deze in aanmerking voor opt-out.
Norm | Toelichting |
|---|---|
1. Verwerking vindt plaats in opdracht van de verantwoordelijke | Hiermee wordt beoogd dat persoonsgegevens van de instelling alleen worden verwerkt voor zover dat noodzakelijk is om de clouddiensten aan de instelling te leveren. |
2. Adequate beveiliging | Het gaat hierbij zowel over beveiliging tegen dataverlies als over bescherming van de toegang tot persoonlijke gegevens door onbevoegden. De beveiligingsmaatregelen met betrekking tot persoonsgegevens moeten worden omschreven in het contract en de leverancier moet de instelling in staat stellen om erop toe te zien of hij zijn verplichting tot adequate beveiliging nakomt. |
3. Beveiligingsincidenten | De Service Provider moet de instelling onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact daarvan. |
4. Internationale uitwisseling | Zonder expliciete toestemming mag de Service Provider de persoonsgegevens niet verwerken in een land zonder een 'passend beschermingsniveau'. |
5. Bewaartermijnen en verwijderen van gegevens | De Service Provider mag de persoonsgegevens niet langer bewaren dan noodzakelijk om de diensten aan de instelling te leveren en zal ervoor zorgen dat de instelling de persoonsgegevens bij het einde van de overeenkomst weer kan terughalen. De persoonsgegevens moeten daarna worden verwijderd uit de systemen van de Service Provider. |
6. Onderaanneming | De Service Provider schakelt alleen onderaannemers in met wie hij een schriftelijke overeenkomst heeft gesloten waarin geheimhouding- en beveiligingsverplichtingen zijn opgenomen. |
7. Verstrekken aan derden, inclusief autoriteiten | Zonder toestemming van de instelling mag de Service Provider derden geen toegang geven tot de persoonsgegevens. Als een autoriteit aan de Service Provider persoonsgegevens vraagt, dan moet hij:
|
8. Transparantie naar gebruikers | De Service Provider werkt mee aan verzoeken van betrokkenen (bijv. studenten) om inzage en correctie van hun persoonsgegevens en publiceert de van toepassing zijnde privacy policy. |
9. Waarborgen rechten van gebruikers | De Service Provider werkt mee aan verzoeken van betrokkenen (bijv. studenten) met betrekking tot de rechten die de wet aan de betrokkenen toekent zoals inzage en correctie van hun persoonsgegevens. |
10.Verwerking in overeenstemming met de AVG en aansprakelijkheid. | Als de naleving van de AVG als een contractuele verplichting is opgenomen, kan de onderwijsinstelling het contract makkelijker beëindigen en/of schadevergoeding vorderen. |
Het HO Normenkader stelt normen voor het hoger onderwijs in Nederland op het gebied van vertrouwelijkheid, privacy, eigendom en beschikbaarheid ten aanzien van cloudleveranciers. Deze normen zijn vastgelegd in een beleidsnotitie en zijn verwerkt in de contracten die SURFmarket met cloudleveranciers afsluit tbv aansluiten op SURFconext.