Op deze pagina behandelen we hoe SURFnet voor SURFconext omgaat met overeenkomsten en de privacy-aspecten van SURFconext-koppelingen.
Privacy
Als je diensten via SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de Service Provider, om:
- personalisatie mogelijk te maken, en/of
- autorisaties binnen de dienst te bepalen.
Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een (al dan niet door SURFconext anoniem gemaakt) user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.
Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Wet bescherming persoonsgegevens (Wbp). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy.
Een belangrijk punt van de wet is dat afspraken over de privacy van de gebruikers (hoe gaan SURFnet en de Service Providers om met het verwerken van persoonsgegevens) contractueel moeten worden vastgelegd. Dit betekent ook dat alle Service Providers een overeenkomst moeten ondertekenen voordat zij lid kunnen worden van SURFconext.
Trust framework
SURFconext kent een zogenaamd 'trust framework'. Alle op SURFconext aangesloten Identity Providers ondertekenen een overeenkomst met SURFnet waarmee zij dit trust framework onderschrijven. Deze aangesloten Identity Providers zijn terug te vinden in het volgende overzicht. Een Service Provider behoort tot dit 'trust framework' als hij een standaardset van afspraken onderschrijft die waarborgen bieden voor de privacy en de integriteit van de gegevens van de gebruiker. SURFconext kent ook Service Providers die het 'trust framework' niet helemaal kunnen of willen onderschrijven (dat zijn momenteel alleen niet-commerciële eduGAIN-diensten). Als je een dienst wilt gebruiken van zo’n Service Provider, moet je nagaan onder welke privacy-voorwaarden deze de dienst aanbiedt. Je kunt dan eventueel 1 op 1 aanvullende afspraken maken in een bewerkersovereenkomst.
Afspraken die SURFnet voor SURFconext met aanbieders maakt
Essentieel voor een federatie als SURFconext is het maken van onderlinge afspraken, zodat de deelnemers elkaar kunnen vertrouwen, en dat aanbieders er b.v. vanuit kunnen gaan dat het echt om gebruikers uit de onderwijs- en/of onderzoekswereld gaat. SURFnet staat op verschillende manieren dienstaanbieders toe in SURFconext:
- Rechtstreeks: een dienstaanbieder wordt lid van de federatie middels rechtstreekse afspraken tussen dienstaanbieder en SURFnet
- Via overkoepelende afspraken met andere federaties:
- eduGAIN: een door GÉANT aangeboden dienst die de wereldwijde onderwijs- en onderzoekswereld aan elkaar koppelt
- Kennisnet Entree: de federatie voor het basis- en middelbaar onderwijs
Hieronder wordt toegelicht welke afspraken over gebruik van SURFconext wanneer door SURFnet worden gemaakt met dienstaanbieders:
- Het overgrote deel van de dienstaanbieders zijn commerciële aanbieders. Daarmee worden in principe afspraken vastgelegd in een SURFconext-aansluitovereenkomst (AO).
- Op SURFconext aangesloten instellingen mogen ook diensten aanbieden aan op de federatie aangesloten partijen. De afspraken daarover liggen vast in de "Bijlage SURFconext"bij de Gebruiksovereenkomst SURFnet.
- Daarnaast is er nog een (kleiner) aanbod van diensten waar andere afspraken gelden:
- Met niet-commerciële dienstaanbieders die via eduGAIN beschikbaar zijn, wordt geen SURFconext-aansluitovereenkomst (AO) afgesloten omdat het daarbij meestal gaat om onderwijs/onderzoek-instellingen in andere landen die hun diensten aanbieden. Wat SURFconext betreft mogen dat soort partijen SURFconext gebruiken om hun diensten eenvoudig aan Nederlandse onderzoekers etc aan te bieden. Alle aanbieders uit de EER die 'via eduGAIN' hun diensten aanbieden, kunnen de GÉANT Data protection Code of Conduct onderschrijven, waarin uitspraken worden gedaan over beveiliging van persoonsgegevens. Dat is echter geen contract. Wanneer de eduGAIN-aanbieder de Code of Conduct niet onderschrijft, zal SURFnet van de instelling een bevestiging vragen voordat er een koppeling wordt gemaakt tussen een instelling en die dienst.
- Met Clarin is er een aparte overeenkomst, waarin ook is afgesproken dat een instelling die 1 dienst afneemt, alle op Clarin gekoppelde diensten gekoppeld krijgt.
- Een klein aantal diensten die op de Kennisnet-federatie is aangesloten, is ook beschikbaar voor instellingen die op SURFconext zijn aangesloten. SURFnet heeft voor die partijen geen aanvullende afspraken over gebruik van SURFconext.
- Soms wil een instelling een dienst wel gebruiken maar wil de dienstaanbieder de SURFconext aansluitovereenkomst niet tekenen en is er ook geen andere grond op basis waarvan de koppeling tot stand kan komen. In zulke situaties biedt SURFnet instellingen de optie om de verantwoordelijkheid voor de koppeling van de dienst op SURFconext te nemen. SURFnet stelt dan als voorwaarde dat de instance van die dienst niet door andere instellingen gebruikt wordt.
In tabelvorm:
| Wat | | |
|---|
| Commerciële aanbieder biedt dienst aan | Aansluitovereenkomst | SURFnet |
| SURFconext-aangesloten instelling biedt dienst aan | Bijlage IX en de privacy policy | SURFnet |
| Via eduGAIN aangeboden dienst (niet-commercieel) | Afhankelijk van beleid thuisfederatie Aanbieder kan GÉANT Data Protection Code of Conduct onderschrijven | Thuisfederatie Zelfverklaring |
Instelling neemt de verantwoordelijkheid voor de dienst. Mogelijke aanleidingen: - eduGAIN zonder CoCo
- dienst van en voor eigen instelling die niet onder de bovenstaande categorieën vallen
| Mail SURFconext team | SURFnet |
Een via de Kennisnet-federatie aangeboden dienst | Interfederatie-afspraak Kennisnet | SURFnet |
| CLARIN (samenwerkingsverband van bronnen op gebied van taal) | CLARIN-overeenkomst | SURFnet |
SURFnet handelt sinds mei 2017 de contracten voor SURFconext af en heeft op deze pagina een overzicht van diensten waarvan we AVG/GDPR-info hebben. Tot mei 2017 werden afspraken voor SURFconext afgehandeld door SURFmarket: zulke afspraken zijn eventueel op te vragen bij SURFmarket.
Afspraken die SURFnet voor SURFconext met instellingen maakt
Als je SURFconext wilt gebruiken, moet je een contract (voor de meeste instellingen is dat "bijlage IX" bij het SURFinternet contract) ondertekenen. Hierin staan een aantal afspraken. Zo weet je wat SURFnet van jouw instelling verwacht en wat je van SURFnet kunt verwachten. Een volledig overzicht van de afspraken vind je in het contract.
Verplichtingen SURFnet
Voor SURFnet gelden onder andere de volgende verplichtingen:
- SURFnet zorgt ervoor dat de organisatie SURFconext kan gebruiken.
- SURFnet onderhoudt een overzicht van standaarden (en versies) die SURFconext ondersteunt en die organisaties kunnen gebruiken.
- SURFnet verwerkt de persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens en houdt zich aan de afspraken die zijn opgenomen in de Bewerkersovereenkomst. Hierin is o.a. het volgende geregeld:
- SURFnet mag persoonsgegevens alleen gebruiken voor de uitvoering van de overeenkomst.
- SURFnet verleent geen toegang tot de persoonsgegevens van de gebruiker aan derden zonder toestemming van de organisatie.
- SURFnet verwerkt de persoonsgegevens zelf alleen binnen de Europese Unie of een land met een passend beschermingsniveau.
- SURFnet draagt zorg voor een betrouwbare en adequate beveiliging en zal als daar aanleiding voor is, de beveiligingsprocessen laten auditen door een erkend auditor.
- SURFnet bewaart de persoonsgegevens niet langer dan noodzakelijk. 37 maanden na laatste inlog worden alle persoonsgegevens van een gebruiker uit alle systemen verwijderd. Voor logging geldt een bewaartermijn van 6 maanden.
Verplichtingen instellingen
Als je SURFconext wilt gebruiken, heb je ook een aantal verplichtingen:
- De Instelling draagt er zorg voor dat alleen Gebruikers gebruik kunnen maken van de SURFconext-dienst.
- De Instelling houdt de binnen SURFconext benodigde authenticatiegegevens en attributen volledig en actueel en draagt er zorg voor dat de Gebruiker bij eerste opname van de gegevens geïdentificeerd is.
- Instellingen bieden hun Gebruikers een helpdesk voor SURFconext gerelateerde vragen. Deze helpdesk kan op zijn beurt weer het SURFconext supportkanaal raadplegen.
- De Instelling moet een reglement voor gebruikers opstellen.
- De Instelling moet persoonsgegevens behandelen volgens de Privacy Policy van SURFconext. Dit is een uitwerking van de Wet bescherming persoonsgegevens, toegespitst op de verwerking van persoonsgegevens binnen SURFconext, en bevat de volgende onderwerpen:
- doel van de gegevensverwerking
- aard van de vastgelegde gegevens
- wie toegang krijgt tot de gegevens
- transparantie voor de gebruiker
- beveiliging van de gegevens
- [FeMo8] [RT9] [FeMo10] De Instelling draagt zorg voor een adequate configuratie en beveiliging van de systemen en netwerkcomponenten die worden ingezet voor identiteits- en toegangsbeheer voor gebruikers.
- Als SURFnet het aanbeveelt, moet de Instelling binnen een redelijke termijn nieuwe SURFconext-standaarden en protocollen installeren en upgraden voor de SURFconext-onderdelen die je gebruikt.
Communicatie SURFnet en Instellingen
Belangrijke afspraken tussen SURFnet en instellingen wat betreft onderlinge communicatie zijn:
- Als SURFconext niet naar behoren functioneert, geeft de organisatie dat zo snel mogelijk door aan SURFnet. SURFnet krijgt de details van de klacht.
- Als een organisatie niet handelt volgens het contract en/of als SURFnet schade ondervindt van een situatie die aan de organisatie te verwijten is, heeft SURFnet het recht het gebruik van de SURFconext-dienst (gedeeltelijk) op te schorten.
- SURFnet informeert de SURFconext contactpersonen over technische aanpassingen en upgrades van de SURFconext-dienst en coördineert de nodige acties om de dienst veilig en operationeel te houden.
- SURFnet zal de organisatie onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact hiervan op de verwerking van de persoonsgegevens.
- SURFnet meldt (mogelijke) datalekken binnen 24 uur.
Als SURFnet van een autoriteit het verzoek krijgt om persoonsgegevens te verstrekken, zal SURFnet de organisatie hierover informeren en de organisatie in staat stellen om haar rechten te verdedigen. SURFnet zal de toegang zo beperkt mogelijk houden.
User consent
User consent in SURFconext is functionaliteit waarmee elke gebruiker expliciet toestemming kan geven voor het uitwisselen van persoonsgegevens met externe Service Providers. SURFconext biedt deze 'user consent'-functionaliteit aan, zodat instellingen kunnen voldoen aan de Wet bescherming persoonsgegevens (Wbp).
Het verwerken van persoonsgegevens kan alleen als daarvoor een rechtmatige grondslag aanwezig is. De Wbp geeft aan op welke gronden verwerking toegestaan is. Toestemming van de gebruiker is één van die gronden.
Het vragen om toestemming van de gebruiker valt onder de verantwoordelijkheid van je organisatie. SURFconext biedt deze mogelijkheid aan, maar er zijn ook andere manieren om dit te doen. Je kunt bijvoorbeeld voor jouw organisatie ook een generiek reglement opstellen, dat ervoor zorgt dat de gebruiker niet per Service Provider toestemming hoeft te geven. De gebruiker zal dit reglement bijvoorbeeld ondertekenen bij inschrijving of bij indiensttreding bij jouw organisatie. Je kan dan het SURFconext-team verzoeken om het vragen van toestemming via SURFconext uit te zetten, zodat dit niet dubbel gebeurt.
Meer informatie
Privacy Policy SURFconext
Bijlage IX SURFconext Gebruiksovereenkomst versie november 2016 (oude versie Bijlage IX)
Bewerkersovereenkomst SURFconext versie november 2016
Juridisch Normenkader Cloudservices Hoger onderwijs
De Wet bescherming persoonsgegevens gaat over de verwerking van persoonsgegevens. De wet stelt de normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Met welke risico's moet je rekening houden? Met welke maatregelen kan je risico's beperken? Welke maatregelen zijn in een bepaald geval passend? Kortom: aan welke eisen moet de beveiliging van persoonsgegevens voldoen? De Autoriteit Persoonsgegevens heeft een uitgebreide handreiking gepubliceerd, die een nadere invulling geven aan de wettelijke norm: Handreiking bescherming persoonsgegevens |
Ook SURF heeft een handreiking gepubliceerd over hoe hogeronderwijsinstellingen op de werkvloer invulling moeten geven aan de normen die de Wet bescherming persoonsgegevens stelt aan de omgang met persoonsgegevens van studenten. Handreiking persoonsgegevens Studenten (SURF) |