SURFconext en policies
Transcript of SURFconext en policies
Introductie
ü Welkom• Zorgvuldig omgaan met persoonsgegevens (binnen SURFconext)
ü Doel van dit seminar• Input verzamelen voor policies rondom SURFconext
• Balans vinden tussen zorgvuldig en pragmatisch
ü (Kleine) inventarisatie…
ü Programma• Zie volgende slide
Programma
ü 13.30 uur: Welkom, introductie (Arnout)
ü 13:45 uur: Juridische context (Floortje)
ü 14:15 uur: Discussie (Arnout)
ü 15:00 uur: - Pauze -
ü 15.25 uur: Update SURFmarket (Jan / Olga)ü 15.45 uur: Bijlage IX (Femke)
ü 16:30 uur: Afsluiting (Arnout)
ü 16.40 uur: - Borrel - !"
#
Waarom policies?
ü SURFconext = infrastructuur voor toegang tot diensten...• ... waarbij ook persoonlijke data van de instelling naar de dienst gaat ...
• ... en waarbij een gebruiker soms ook nog allerlei data in de dienst kan zetten...
• … ten behoeve van samenwerken?!
ü SURF*: faciliteren van instellingen• Bevorderen samenwerken
• Aanbieden betrouwbare infrastructuur en diensten
• Ondersteunen bij verantwoordelijkheid persoonlijke data
ü Trust framework$
%
$$
Waarom herzien?
ü Nieuwe inzichten rondom afspraken, contracten en (juridische) verantwoordelijkheid
ü Onduidelijkheid in huidige set aan afspraken en policies
ü Gebruikers krijgen dingen niet voor elkaar
&&'
Wat als we niks doen?
ü Geen zicht op juridische consequenties huidige werkwijze
ü Instellingen houden de deur dicht
ü Gebruikers gaan via minder wenselijke omwegen toch dezelfde dingen doen (via Facebook login bijv.)
ü Volledige potentie van SURFconext wordt niet benut
(
Juridische context
• RollenvolgensdeWetbeschermingpersoonsgegevens
• Bewerkersovereenkomst(enJuridischnormenkadercloudservices)
• Wetgeving:Recenteontwikkelingen
• ContractrelatiesSURFconext
• Afsluiting:Overzichtenopenstaandevragen
Privacy: Rollen volgens de Wbp
Gebruiker Instelling
Verzamelenvanpersoonsgegevens
ServiceProvider
Verwerkenpersoonsgegevens
VERANTWOORDELIJKEBETROKKENE BEWERKER
Bewerkersovk
Privacy: Rollen volgens de Wbp
Instelling ServiceProvider
Verwerkenpersoonsgegevens
VERANTWOORDELIJKE BEWERKER
Bewerkersovereenkomst
Algemenebepalingen:
• Doeleinden• Beveiliging• Inzetvanderden• Internationaal• Datalekken• etc
Specifiekebepalingen:
• Welkegegevens• Wiemagzezien• Hoelangbewaren• Risicoklasse• etc
JNK en Model Bewerkersovereenkomst
Bewerkers-overeenkomst
Doel:stevigebasisvoorcontractenmet(cloud)leveranciers,goedeprivacywaarborgen
Normenenstandaardbepalingen:
• Intellectueeleigendom• Vertrouwelijkheid• Beschikbaarheid• Privacy
Privacybepalingen
Plusactualisatie
• Recenteontwikkelingen• Risicoklassen• Auditverplichting
Juridischnormenkader
Wetgeving: Recente ontwikkeling
Nationaal
• 1januari2016:Meldplichtdatalekken
• 1januari2016:UitbreidingboetebevoegdheidAutoriteitPersoonsgegevens
Internationaal
• 25mei2016:InwerkingtredingPrivacyVerordening
• 25mei2018:AfloopimplementatietermijnPrivacyVerordening
Wetgeving: Privacy verordening
SpecifiekeregelsvoorVerwerkersovereenkomsten(artikel28)
OmschrijvenindeVerwerkersovereenkomst:
• Onderwerpendeduurvandeverwerking• Deaardenhetdoelvandeverwerking• Hetsoortpersoonsgegevens• Categorieënvanbetrokkenen• Rechtenenverplichtingenvande
verwerkingsverantwoordelijke
OnderandereopnemeninVerwerkersovereenkomst:(nietvolledig,zieartikel28)
• Alleenwerkenvolgensinstructieverantwoordelijke• Verlenenbijstandbijverzoekenvanbetrokkenen• Zorgenvooradequatebeveiliging• Auditverplichting
En:Verwerkerneemtgeenandereverwerkerindienstzondervoorafgaandespecifiekeofalgemeneschriftelijketoestemmingvandeverwerkingsverantwoordelijke
Rollen bij SURFconext
Gebruiker
Verzamelenvanpersoonsgegevens
ServiceProviderVERANTWOORDELIJKEBETROKKENE BEWERKER
SURFnetBEWERKER
Verwerkenpersoonsgegevens
Verwerkenpersoonsgegevens
(inopdracht vanInstelling)Instelling
Bewerkersovk
Bewerkersovk
WordtonderdeelvanbijlageIX
Metwelkedienstenwiljeprivacyafsprakenmakenenopwelkemanier?
Rollen bij SURFconext
ServiceProviderVERANTWOORDELIJKE BEWERKERTekoppelendiensten:
Instelling
• ServiceProviderviaBemiddelingsovereenkomstmetSURFmarket• ServiceProviderviaAansluitovereenkomstmetSURFmarket• ServiceProvideriseeninstelling• ServiceProvidervaneenanderefederatie,viaeduGAIN
Contractrelaties SURFconext - bemiddelingsovk
Instelling
ServiceProvider
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
Algemenedienstverleningsovereenkomst
BemiddelingsovereenkomstPlusappendixen enprivacybepalingen (JNK)
PrivacyPolicy
(Bewerkers-Overeenkomst)
Contractrelaties SURFconext - aansluitsovk
Instelling
ServiceProvider
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
AansluitovereenkomstSURFconext,inclprivacybepalingen (JNK)
PrivacyPolicy
(Bewerkers-overeenkomst)
Contractrelaties SURFconext – instelling als SP
Instelling
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicyInstellingalsServiceProvider
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicy
(Bewerkers-Overeenkomst)
Contractrelaties SURFconext – eduGAIN
Instelling
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicyServiceProvider
Federatieafspraken
Eventueel:CodeofConduct
FEDERATIES
(Bewerkers-Overeenkomst)
eduGAIN
Overzicht
Wiebiedtdedienstaan? Welkeprivacyvoorwaardenzijnnuvantoepassing?
Welkeprivacyvoorwaardenzijnwenselijk?
Deinstelling PrivacypolicyvanSURFconext Terbesprekingvanmiddag
AanbiederviaEduGAIN Eventueel: GÉANTDataprotectionCodeofConduct
Terbesprekingvanmiddag
AanbiederopbasisvaneenBemiddelingsovereenkomst
Privacyafspraken indeBemiddelingsovereenkomst
SURFmodelBewerkersovereenkomst
AanbiederopbasisvanAansluitovereenkomst Privacyafspraken indeAansluitovereenkomst
SURFmodelBewerkersovereenkomst
SURF-werkmaatschappij PrivacyafsprakenindeBijlage(n)horendbijdeGebruiksovereenkomst
SURFmodelbewerkersovereenkomstvoorallenieuwediensten
Openstaande vragen
• Ishetwenselijkombijdienstenvaninstellingenooktewerkenmeteenbewerkersovereenkomst?
• IservraagnaarmeerprivacyafsprakenalshetgaatomdienstendieviaeduGAINwordengekoppeld?
• Welkeinformatiehebjealsinstellingnodigomtekunnenafwegenofdeprivacyvoldoendeisgewaarborgdenjeeendienstwiltkoppelen?
• WelkerolspeeltSURFnethierin?
Wat willen we bereiken?
ü Ondersteunen onderwijs en onderzoek• Betrouwbaar samenwerken, nationaal en internationaal
• Alle gebruikers veilig en verantwoord toegang bieden tot alles (wat zij nodig hebben)
ü Faciliteren instellingen• Afspraken met leveranciers namens instellingen
• Betrouwbare infrastructuur SURFconext
ü Hoe ver moeten we gaan?
)*
Oeps…
Bron: http://www.nu.nl/tech/4249956/verpleegkundige-geschorst-facebookfotos-van-medische-ingrepen.html
Stelling
Als mijn gebruikers Dropbox gebruiken zonder mijn toestemming, dan ben ik niet verantwoordelijk als instelling (als
het mis gaat)
Stelling
Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig
Stelling
Mijn gebruikers mogen zelf beslissen welke diensten zij willen gebruiken voor hun werk / studie
Nieuwe opzet Bijlage IX
ü Gebruik van SURFconext - verplichtingen instellingen en SURFnet in Bijlage IX
ü Privacybepalingen (in Bewerkersovereenkomst)
ü Planning: getekend voor het einde van het jaar
Wijzigingen Bijlage IX
ü Sterke authenticatie
ü Nieuwe definitie van gebruikers
ü Deprovisioning
ü Dienst aanbieden als instelling
ü Interfederatie (eduGAIN)
Nieuwe definitie van gebruikers
Een natuurlijk persoon die via een Instelling toegang heeft gekregen tot SURFconext. Om toegang te kunnen verkrijgen moet een persoon onder een van de onderstaande categorieën vallen:
1. een aanstelling dan wel een arbeidsovereenkomst bij de Instelling hebben;2. bij de Instelling ingeschreven staan als student, extraneus of cursist;3. anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd
zijn;4. behoren tot een groep die in overeenstemming tussen Instelling, Service
Provider en SURFnet toegang is verleend tot SURFconext en gelieerd is aanonderwijs en onderzoek in Nederland.
Deprovisioning
ü SURFconext geeft persoonsgegevens door aan diensten, maar slaat ookgegevens op:ü Loggegevens (6 maanden)ü UID + persistent identifiers (geen einddatum)ü Naam & e-mailadres in SURFconext Teams (geen einddatum)ü Sterke Authenticatie (6 maanden)
Voorstel: als een gebruiker 3 jaar en 1 maand (37 maanden) niet is ingelogd, danworden alle gegevens in SURFconext en andere SURFconext-applicatiesverwijderd.
Laatste inlogdatum moet dan wel worden opgeslagen door SURFconext
Bewerkersovereenkomst
Model bewerkersovereenkomst van SURF
Afwijkingenü Internationaal verkeer - de koppeling van een SP door een instelling, geldt als
toestemming om persoonsgegevens naar de SP te sturen, ook als dit buiten de EER is.
ü Hulpleveranciers - staan in de bewerkersovereenkomst. Als hier wijzigen zijn, danstellen we de instellingen op de hoogte.
Bewerkersovereenkomst – Bijlage dienst SURFconext
Gegevens die verwerkt worden:
ü Attributen
ü Loggegevens
ü Consent
ü SURFconext Teams
ü Support (mail, ticket)
Bewerkersovereenkomst – Bijlage dienst SURFconext
ü Risicoklasse normaal – 1 keer per 2 jaar audit
ü Overzicht van medewerkers en hun verwerkingen
Stelling
Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig
Dienst aanbieden als instelling
Instelling
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicyInstellingalsServiceProvider
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicy
(Bewerkers-Overeenkomst)
Dienst aanbieden en afnemen als instelling
Welke overeenkomst?ü Privacy policyü Model bewerkersovereenkomstü Aangepaste bewerkersovereenkomstü Code of Conductü …..
Wat willen we met elkaar afspreken?
Afsluiten via het SURFconext Dashboard of …
Interfederatie – eduGAIN
Instelling
GebruiksovereenkomstSURFnetenbijlageIXSURFconext
PrivacyPolicyServiceProvider
Federatieafspraken
Eventueel:CodeofConduct
FEDERATIES
(Bewerkers-Overeenkomst)
eduGAIN
Dienst aanbieden en/of afnemen via eduGAIN
ü Code of Conductü Federatiecontractü Bewerkersovereenkomstü ……
Welke informatie heeft de instelling nodig?
“Afsluiten” via het SURFconext Dashboard of …
Nieuwe dienstverlening vanuit SURFnet?
ü Fijnmazigere toegang
ü Policyscherm voor eindgebruikersü Informatie over attributen, maar ook over het type dienstü Gepersonaliseerd scherm van instelling (logo, tekst, verwijzing naar AUP)
ü Wat doen andere instellingen?ü Delen van overwegingen per dienstü Peer review of audit door instellingen
Meer ideeën? Laat het ons weten!
Contact en naslag
ü Vragen? Opmerkignen? Mail [email protected]!
ü Zie ook website SURF en SURFconext• www.surf.nl• www.surfconext.nl• https://support.surfconext.nl/idp
ü Juridisch normenkader cloudservices en model bewerkersovereenkomst• https://www.surf.nl/kennisbank/2013/juridisch-normenkader-cloud-services-
hoger-onderwijs.html
Stelling
Meer diensten aansluiten via SURFconext betekent een hogere last op mijn eindgebruikers-helpdesk
Stelling
Ik kan/zal sneller diensten koppelen als alleen een beperkte groep gebruikers van mijn instelling toegang krijgt
Stelling
Ik heb voldoende aan de huidige afspraken die SURFconext en SURFmarket maken met diensten, om een koppeling (al
dan niet) te maken
Stelling
Ik (als SURFconextverantwoordelijke) beslis volledig zelfstandig of een dienst wel of niet wordt aangesloten