View Source

Als je diensten via SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de Service Provider, om:

personalisatie mogelijk te maken, en/of
autorisaties binnen de dienst te bepalen.

Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een (al dan niet door SURFconext anoniem gemaakt) user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.

Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Wet bescherming persoonsgegevens (Wbp). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy.

Een belangrijk punt van de wet is dat afspraken over de privacy van de gebruikers (hoe gaan SURFnet en de Service Providers om met het verwerken van persoonsgegevens) contractueel moeten worden vastgelegd. Dit betekent ook dat alle Service Providers een overeenkomst moeten ondertekenen voordat zij lid kunnen worden van SURFconext.

De Wet bescherming persoonsgegevens gaat over de verwerking van persoonsgegevens. De wet stelt de normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Met welke risico's moet je rekening houden? Met welke maatregelen kan je risico's beperken? Welke maatregelen zijn in een bepaald geval passend? Kortom: aan welke eisen moet de beveiliging van persoonsgegevens voldoen? De Autoriteit Persoonsgegevens heeft een uitgebreide handreiking gepubliceerd, die een nadere invulling geven aan de wettelijke norm:

Handreiking bescherming persoonsgegevens

Ook SURF heeft een handreiking gepubliceerd over hoe hogeronderwijsinstellingen op de werkvloer invulling moeten geven aan de normen die de Wet bescherming persoonsgegevens stelt aan de omgang met persoonsgegevens van studenten.

Handreiking persoonsgegevens Studenten (SURF)