Als je diensten via SURFconext gebruikt, worden er meestal persoonsgegevens uitgewisseld tussen jouw organisatie en de leverancier ('Service Provider'), om:

Welke gegevens dat zijn (bijvoorbeeld user-id, naam, e-mailadres), verschilt per dienst. De ene dienst heeft alleen maar een user-id nodig om te kunnen functioneren (zodat iedere gebruiker uniek identificeerbaar is), de andere dienst vraagt een naam en een e-mailadres. SURFnet gaat bij elke dienst altijd uit van het principe 'minimal disclosure': we bespreken met de leverancier altijd welke gegevens (attributen) noodzakelijk zijn, en streven naar minimalisatie.

Inzicht

Elke gebruiker van SURFconext kan op de SURFconext Profile pagina zien welke attributen zijn/haar instelling vrijgeeft, aan welke diensten hij/zij attributen heeft vrijgegeven, en welke dat per dienst zijn. SURFconext biedt het 'consent'-scherm waarmee gebruikers expliciet bewust worden gemaakt van de persoonsgegevens die worden uitgewisseld en, voordat ze een dienst kunnen gebruiken en gegevens naar die dienst worden gestuurd, de mogelijkheid hebben om daarvan af te zien.

De mensen die binnen een instelling de rol 'SURFconext verantwoordelijke' of 'SURFconext beheerder' hebben (dat zijn vaak mensen bij de IT-afdeling):

Meer privacy via pseudoniemen

SURFconext kan pseudonieme identifiers uitsturen zodat het op basis van alleen de identifier onmogelijk is (voor de Service Provider) om te achterhalen wie de gebruiker is. SURFconext kan zelfs, als een leverancier daar ook mee instemt, regelen dat dezelfde gebruiker verschillende pseudonieme id's voor verschillende SP's krijgt, zodat SP's gebruikers onderling ook niet kunnen 'koppelen'.

Ga daarom in gesprek met jouw leveranciers over de noodzaak van elk attribuut en of er, eventueel in samenspraak met SURFconext, een pseudonieme variant mogelijk is. Het SURFconext-team staat klaar om hierover mee te denken.

Privacy Policy SURFconext

Als er sprake is van het uitwisselen van persoonsgegevens heb je te maken met de Algemene Verordening Gegevensbescherming (AVG). SURFnet heeft onderzocht wat de consequenties zijn van deze wet voor alle deelnemers van SURFconext en heeft dit verder uitgewerkt in een Privacy Policy. Ook hebben we op een rij gezet welke afspraken we allemaal maken.

Handreikingen persoonsgegevens

  1. De AVG gaat over de verwerking van persoonsgegevens. De wet stelt de normen voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Een belangrijk element is dat passende technische en organisatorische maatregelen worden getroffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Met welke risico's moet je rekening houden? Met welke maatregelen kan je risico's beperken? Welke maatregelen zijn in een bepaald geval passend? Kortom: aan welke eisen moet de beveiliging van persoonsgegevens voldoen? De Autoriteit Persoonsgegevens heeft een uitgebreide handreiking gepubliceerd, die een nadere invulling geven aan de wettelijke norm: Handreiking bescherming persoonsgegevens .
  2. SURF heeft een handreiking gepubliceerd over hoe hogeronderwijsinstellingen op de werkvloer invulling moeten geven aan de normen die de AVG stelt aan de omgang met persoonsgegevens van studenten: Handreiking persoonsgegevens Studenten (SURF).

 

Zie ook

Voor meer informatie over privacy en SURFconext, zie ook Privacy en persoonsgegevens .