Als je diensten binnen SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de Service Provider, om:

• personalisatie mogelijk te maken, en/of
• autorisaties binnen de dienst te bepalen.

Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': een dienst mag nooit meer gegevens (attributen) vragen dan noodzakelijk is.

Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Wet bescherming persoonsgegevens (Wbp). SURFnet heeft uitgezocht wat de consequenties zijn van deze wet voor alle deelnemers vaan SURFconext en heeft dit verder uitgewerkt in een Privacy Policy.

Een belangrijk punt van de wet is dat afspraken over de privacy van de gebruikers (hoe gaan SURFnet en de Service Providers om met het verwerken van persoonsgegevens) contractueel moeten worden vastgelegd. Dit betekent ook dat alle Service Providers een contract moeten ondertekenen voordat zij lid kunnen worden van SURFconext.

Op deze pagina lichten we de belangrijkste punten uit de Privacy Policy en de daarmee samenhangende contracten toe.

Trust framework en HO-normenkader

SURFconext kent een zogenaamd 'trust framework'. Alle op SURFconext aangesloten Identity Providers ondertekenen een contract met SURFnet waarmee zij dit trust framework onderschrijven. Deze aangesloten Identity Providers zijn terug te vinden in het volgende overzicht.

Een Service Provider behoort tot dit 'trust framework' als hij een standaardset van afspraken onderschrijft die waarborgen bieden voor de privacy en de integriteit van de gegevens van de gebruiker.

Naast dit 'trust framework' kent SURFconext ook het HO-normenkader. Een Service Provider kan onder het HO-normenkader vallen als deze ook nog aan een aantal extra strenge eisen voldoet, bijvoorbeeld dat de data en gegevens van gebruikers opgeslagen wordt op servers binnen Nederland (of Europa).

SURFconext kent ook Service Providers die het 'trust framework' niet helemaal kunnen of willen onderschrijven. Als je een dienst wilt gebruiken van zo'n Service Provider, moet je nagaan onder welke privacy-voorwaarden deze de dienst aanbiedt. Je kunt dan eventueel 1 op 1 aanvullende afspraken maken.

Op het dashboard van SURFconext kun je zien welke deelnemers wel of niet voldoen aan het 'trust framework'.

Afspraken en verplichtingen jouw organisatie

Als je SURFconext wilt gebruiken, moet je een contract ondertekenen. Hierin staan een aantal afspraken. Zo weet je wat SURFnet van jouw instelling verwacht en wat je van SURFnet kunt verwachten. Een volledig overzicht van de afspraken vind je in het contract.

De belangrijkste afspraken zijn:

• SURFnet zorgt ervoor dat de organisatie SURFconext kan gebruiken.
• Als SURFconext niet naar behoren functioneert, geeft de organisatie dat zo snel mogelijk door aan SURFnet. SURFnet krijgt de details van de klacht.
• Als een organisatie niet handelt volgens het contract en/of als SURFnet schade ondervindt van een situatie die aan de organisatie te verwijten is, heeft SURFnet het recht het gebruik van de SURFconext-dienst (gedeeltelijk) op te schorten.
• Als er functionele aanpassingen in de SURFconext-dienst worden doorgevoerd, informeert SURFnet altijd de organisaties hierover.
• SURFnet onderhoudt een overzicht van standaarden (en versies) die SURFconext ondersteunt en die organisaties kunnen gebruiken.

Als je SURFconext wilt gebruiken, heb je ook een aantal verplichtingen. Een volledig overzicht vind je in de bijlage.

De belangrijkste verplichtingen zijn:

• Als SURFnet het aanbeveelt, moet je binnen een redelijke termijn nieuwe SURFconext-standaarden en protocollen installeren en upgraden voor de SURFconext-onderdelen die je gebruikt.
• Je moet binnen je organisatie een helpdesk voor SURFconext-gerelateerde vragen aanbieden aan de gebruikers.
• Je moet een reglement voor gebruikers opstellen.
• Je moet persoonsgegevens behandelen volgens de Privacy Policy van SURFconext. Dit is een uitwerking van de Wet bescherming persoonsgegevens, toegespitst op de verwerking van persoonsgegevens binnen SURFconext, en bevat de volgende onderwerpen:
  • doel van de gegevensverwerking
  • aard van de vastgelegde gegevens
  • wie toegang krijgt tot de gegevens
  • transparantie voor de gebruiker
  • beveiliging van de gegevens
• Je draagt zorg voor een adequate configuratie en beveiliging van de systemen en netwerkcomponenten die worden ingezet voor identiteits- en toegangsbeheer voor gebruikers.
• Je maakt op verzoek van SURFnet, een Service Provider of een andere organisatie die als Service Provider optreedt, inzichtelijk welke processen je gebruikt voor het identiteitsbeheer voor gebruikers (registratie, life cycle management, rollenbeheer, authenticatie, selfservice, enzovoort).

Verplichtingen SURFnet

Voor SURFnet gelden onder andere de volgende verplichtingen. Een volledig overzicht vind je in de bijlage):

• SURFnet verwerkt de persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens.
• SURFnet mag persoonsgegevens alleen gebruiken voor de uitvoering van de overeenkomst.
• SURFnet verleent geen toegang tot de persoonsgegevens van de gebruiker aan derden zonder toestemming van de organisatie.
• SURFnet verwerkt de persoonsgegevens zelf alleen binnen de Europese Unie of een land met een passend beschermingsniveau.
• SURFnet draagt zorg voor een betrouwbare en adequate beveiliging en zal als daar aanleiding voor is, de beveiligingsprocessen laten auditen door een erkend auditor.
• SURFnet zal de organisatie onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact hiervan op de verwerking van de persoonsgegevens.
• Als SURFnet van een autoriteit het verzoek krijgt om persoonsgegevens te verstrekken, zal SURFnet de organisatie hierover informeren en de organisatie in staat stellen om haar rechten te verdedigen. SURFnet zal de toegang zo beperkt mogelijk houden.
• SURFnet bewaart de persoonsgegevens niet langer dan 6 maanden na de laatste transactie en verwijdert ze daarna uit alle systemen.

User consent

User consent in SURFconext is functionaliteit waarmee elke gebruiker expliciet toestemming kan geven voor het uitwisselen van persoonsgegevens met externe Service Providers. SURFconext biedt deze 'user consent'-functionaliteit aan, zodat instellingen kunnen voldoen aan de Wet bescherming persoonsgegevens (Wbp).

Het verwerken van persoonsgegevens kan alleen als daarvoor een rechtmatige grondslag aanwezig is. De Wbp geeft aan op welke gronden verwerking toegestaan is. Toestemming van de gebruiker is  één van die gronden.

Het vragen om toestemming van de gebruiker valt onder de verantwoordelijkheid van je organisatie. SURFconext biedt deze mogelijkheid aan, maar er zijn ook andere manieren om dit te doen. Je kunt bijvoorbeeld voor jouw organisatie ook een generiek reglement opstellen, dat ervoor zorgt dat de gebruiker niet per Service Provider toestemming hoeft te geven. De gebruiker zal dit reglement bijvoorbeeld ondertekenen bij inschrijving of bij indiensttreding bij jouw organisatie. Je kan dan het SURFconext-team verzoeken om het vragen van toestemming via SURFconext uit te zetten, zodat dit niet dubbel gebeurt.

Meer informatie

Privacy Policy SURFconext (NL)

Privacy Policy SURFconext (EN)

Bijlage IX SURFconext Gebruiksovereenkomst

Juridisch Normenkader Cloudservices Hoger onderwijs