SURFconext en policies Arnout Terpstra, Floortje Jorna, SURFmarket en Femke Morsch 9 mei 2016
Introductie ü Welkom Zorgvuldig omgaan met persoonsgegevens (binnen SURFconext) ü Doel van dit seminar Input verzamelen voor policies rondom SURFconext Balans vinden tussen zorgvuldig en pragmatisch ü (Kleine) inventarisatie ü Programma Zie volgende slide
Programma ü 13.30 uur: Welkom, introductie (Arnout) ü 13:45 uur: Juridische context (Floortje) ü 14:15 uur: Discussie (Arnout) ü 15:00 uur: - Pauze - ü 15.25 uur: Update SURFmarket (Jan / Olga) ü 15.45 uur: Bijlage IX (Femke) ü 16:30 uur: Afsluiting (Arnout) ü 16.40 uur: - Borrel -
Waarom policies? ü SURFconext = infrastructuur voor toegang tot diensten...... waarbij ook persoonlijke data van de instelling naar de dienst gaat...... en waarbij een gebruiker soms ook nog allerlei data in de dienst kan zetten... ten behoeve van samenwerken?! ü SURF*: faciliteren van instellingen Bevorderen samenwerken Aanbieden betrouwbare infrastructuur en diensten Ondersteunen bij verantwoordelijkheid persoonlijke data ü Trust framework
Waarom herzien? ü Nieuwe inzichten rondom afspraken, contracten en (juridische) verantwoordelijkheid ü Onduidelijkheid in huidige set aan afspraken en policies ü Gebruikers krijgen dingen niet voor elkaar
Wat als we niks doen? ü Geen zicht op juridische consequenties huidige werkwijze ü Instellingen houden de deur dicht ü Gebruikers gaan via minder wenselijke omwegen toch dezelfde dingen doen (via Facebook login bijv.) ü Volledige potentie van SURFconext wordt niet benut
Juridische context SURFconext
Juridische context Rollen volgens de Wet bescherming persoonsgegevens Bewerkersovereenkomst (en Juridisch normenkader cloudservices) Wetgeving: Recente ontwikkelingen Contractrelaties SURFconext Afsluiting: Overzicht en openstaande vragen
Privacy: Rollen volgens de Wbp Verzamelen van persoonsgegevens Verwerken persoonsgegevens Gebruiker BETROKKENE Instelling VERANTWOORDELIJKE Bewerkers ovk Service Provider BEWERKER
Privacy: Rollen volgens de Wbp Verwerken persoonsgegevens Instelling VERANTWOORDELIJKE Bewerkersovereenkomst Service Provider BEWERKER Algemene bepalingen: Doeleinden Beveiliging Inzet van derden Internationaal Datalekken etc Specifieke bepalingen: Welke gegevens Wie mag ze zien Hoe lang bewaren Risicoklasse etc
JNK en Model Bewerkersovereenkomst Normen en standaard bepalingen: Juridisch normenkader Intellectueel eigendom Vertrouwelijkheid Beschikbaarheid Privacy Privacy bepalingen Bewerkersovereenkomst Plus actualisatie Doel: stevige basis voor contracten met (cloud)leveranciers, goede privacywaarborgen Recente ontwikkelingen Risicoklassen Audit verplichting
Wetgeving: Recente ontwikkeling Nationaal 1 januari 2016: Meldplicht datalekken 1 januari 2016: Uitbreiding boetebevoegdheid Autoriteit Persoonsgegevens Internationaal 25 mei 2016: Inwerkingtreding Privacy Verordening 25 mei 2018: Afloop implementatietermijn Privacy Verordening
Wetgeving: Privacy verordening Specifieke regels voor Verwerkersovereenkomsten (artikel 28) Omschrijven in de Verwerkersovereenkomst: Onderwerp en de duur van de verwerking De aard en het doel van de verwerking Het soort persoonsgegevens Categorieën van betrokkenen Rechten en verplichtingen van de verwerkingsverantwoordelijke Onder andere opnemen in Verwerkersovereenkomst: (niet volledig, zie artikel 28) Alleen werken volgens instructie verantwoordelijke Verlenen bijstand bij verzoeken van betrokkenen Zorgen voor adequate beveiliging Auditverplichting En: Verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke
Rollen bij SURFconext Met welke diensten wil je privacy afspraken maken en op welke manier? Bewerkers ovk Verzamelen van persoonsgegevens Verwerken persoonsgegevens Verwerken persoonsgegevens Gebruiker BETROKKENE Instelling VERANTWOORDELIJKE Bewerkers ovk SURFnet BEWERKER (in opdracht van Instelling) Service Provider BEWERKER Wordt onderdeel van bijlage IX
Rollen bij SURFconext Instelling VERANTWOORDELIJKE Te koppelen diensten: Service Provider BEWERKER Service Provider via Bemiddelingsovereenkomst met SURFmarket Service Provider via Aansluitovereenkomst met SURFmarket Service Provider is een instelling Service Provider van een andere federatie, via edugain
Contractrelaties SURFconext - bemiddelingsovk Algemene dienstverleningsovereenkomst Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Bemiddelingsovereenkomst Plus appendixen en privacybepalingen (JNK) Privacy Policy Service Provider
Contractrelaties SURFconext - aansluitsovk Instelling (Bewerkersovereenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Aansluitovereenkomst SURFconext, incl privacy bepalingen (JNK) Privacy Policy Service Provider
Contractrelaties SURFconext instelling als SP Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Privacy Policy Instelling als Service Provider
Contractrelaties SURFconext edugain FEDERATIES Instelling edugain Federatie afspraken (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Eventueel: Code of Conduct Service Provider
Overzicht Wie biedt de dienst aan? Welke privacy voorwaarden zijn nu van Welke privacy voorwaarden zijn toepassing? wenselijk? De instelling Privacy policy van SURFconext Ter bespreking vanmiddag Aanbieder via EduGAIN Aanbieder op basis van een Bemiddelingsovereenkomst Aanbieder op basis van Aansluitovereenkomst SURF-werkmaatschappij Eventueel: GÉANT Data protection Code of Conduct Privacyafspraken in de Bemiddelingsovereenkomst Privacyafspraken in de Aansluitovereenkomst Privacyafspraken in de Bijlage(n) horend bij de Gebruiksovereenkomst Ter bespreking vanmiddag SURF model Bewerkersovereenkomst SURF model Bewerkersovereenkomst SURF model bewerkersovereenkomst voor alle nieuwe diensten
Openstaande vragen Is het wenselijk om bij diensten van instellingen ook te werken met een bewerkersovereenkomst? Is er vraag naar meer privacy afspraken als het gaat om diensten die via edugain worden gekoppeld? Welke informatie heb je als instelling nodig om te kunnen afwegen of de privacy voldoende is gewaarborgd en je een dienst wilt koppelen? Welke rol speelt SURFnet hierin?
Wat willen we bereiken? ü Ondersteunen onderwijs en onderzoek Betrouwbaar samenwerken, nationaal en internationaal Alle gebruikers veilig en verantwoord toegang bieden tot alles (wat zij nodig hebben) ü Faciliteren instellingen Afspraken met leveranciers namens instellingen Betrouwbare infrastructuur SURFconext ü Hoe ver moeten we gaan?
Oeps Bron: http://www.nu.nl/tech/4249956/verpleegkundige-geschorst-facebookfotos-van-medische-ingrepen.html
Stelling Als een dienst eenmaal is aangesloten op SURFconext, dan zal het wel goed zijn
Stelling Als mijn gebruikers Dropbox gebruiken zonder mijn toestemming, dan ben ik niet verantwoordelijk als instelling (als het mis gaat)
Stelling Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig
Stelling Mijn gebruikers mogen zelf beslissen welke diensten zij willen gebruiken voor hun werk / studie
Pauze
Update SURFmarket
Bijlage IX SURFconext
Nieuwe opzet Bijlage IX ü Gebruik van SURFconext - verplichtingen instellingen en SURFnet in Bijlage IX ü Privacybepalingen (in Bewerkersovereenkomst) ü Planning: getekend voor het einde van het jaar
Wijzigingen Bijlage IX ü Sterke authenticatie ü Nieuwe definitie van gebruikers ü Deprovisioning ü Dienst aanbieden als instelling ü Interfederatie (edugain)
Nieuwe definitie van gebruikers Een natuurlijk persoon die via een Instelling toegang heeft gekregen tot SURFconext. Om toegang te kunnen verkrijgen moet een persoon onder een van de onderstaande categorieën vallen: 1. een aanstelling dan wel een arbeidsovereenkomst bij de Instelling hebben; 2. bij de Instelling ingeschreven staan als student, extraneus of cursist; 3. anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd zijn; 4. behoren tot een groep die in overeenstemming tussen Instelling, Service Provider en SURFnet toegang is verleend tot SURFconext en gelieerd is aan onderwijs en onderzoek in Nederland.
Deprovisioning ü SURFconext geeft persoonsgegevens door aan diensten, maar slaat ook gegevens op: ü Loggegevens (6 maanden) ü UID + persistent identifiers (geen einddatum) ü Naam & e-mailadres in SURFconext Teams (geen einddatum) ü Sterke Authenticatie (6 maanden) Voorstel: als een gebruiker 3 jaar en 1 maand (37 maanden) niet is ingelogd, dan worden alle gegevens in SURFconext en andere SURFconext-applicaties verwijderd. Laatste inlogdatum moet dan wel worden opgeslagen door SURFconext
Bewerkersovereenkomst Model bewerkersovereenkomst van SURF Afwijkingen ü Internationaal verkeer - de koppeling van een SP door een instelling, geldt als toestemming om persoonsgegevens naar de SP te sturen, ook als dit buiten de EER is. ü Hulpleveranciers - staan in de bewerkersovereenkomst. Als hier wijzigen zijn, dan stellen we de instellingen op de hoogte.
Bewerkersovereenkomst Bijlage dienst SURFconext Gegevens die verwerkt worden: ü Attributen ü Loggegevens ü Consent ü SURFconext Teams ü Support (mail, ticket)
Bewerkersovereenkomst Bijlage dienst SURFconext ü Risicoklasse normaal 1 keer per 2 jaar audit ü Overzicht van medewerkers en hun verwerkingen
Input nodig!
Stelling Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig
Dienst aanbieden als instelling Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Privacy Policy Instelling als Service Provider
Dienst aanbieden en afnemen als instelling Welke overeenkomst? ü Privacy policy ü Model bewerkersovereenkomst ü Aangepaste bewerkersovereenkomst ü Code of Conduct ü.. Wat willen we met elkaar afspreken? Afsluiten via het SURFconext Dashboard of
Interfederatie edugain FEDERATIES Instelling edugain Federatie afspraken (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Eventueel: Code of Conduct Service Provider
Dienst aanbieden en/of afnemen via edugain ü Code of Conduct ü Federatiecontract ü Bewerkersovereenkomst ü Welke informatie heeft de instelling nodig? Afsluiten via het SURFconext Dashboard of
Nieuwe dienstverlening vanuit SURFnet? ü Fijnmazigere toegang ü Policyscherm voor eindgebruikers ü Informatie over attributen, maar ook over het type dienst ü Gepersonaliseerd scherm van instelling (logo, tekst, verwijzing naar AUP) ü Wat doen andere instellingen? ü Delen van overwegingen per dienst ü Peer review of audit door instellingen Meer ideeën? Laat het ons weten!
Samenvatting
Contact en naslag ü Vragen? Opmerkignen? Mail support@surfconext.nl! ü Zie ook website SURF en SURFconext www.surf.nl www.surfconext.nl https://support.surfconext.nl/idp ü Juridisch normenkader cloudservices en model bewerkersovereenkomst https://www.surf.nl/kennisbank/2013/juridisch-normenkader-cloud-serviceshoger-onderwijs.html
Stellingen die niet zijn behandeld
Stelling De meerwaarde van SURFconext is voor mij puur de technische infrastructuur
Stelling Mijn grootste zorg is het oplopen van een torenhoge boete van de toezichthouder
Stelling Meer diensten aansluiten via SURFconext betekent een hogere last op mijn eindgebruikers-helpdesk
Stelling Afspraken met leveranciers maak ik het liefst zelf
Stelling Ik kan/zal sneller diensten koppelen als alleen een beperkte groep gebruikers van mijn instelling toegang krijgt
Stelling Aansluitverzoeken kosten ons veel tijd
Stelling Ik heb voldoende aan de huidige afspraken die SURFconext en SURFmarket maken met diensten, om een koppeling (al dan niet) te maken
Stelling Ik (als SURFconextverantwoordelijke) beslis volledig zelfstandig of een dienst wel of niet wordt aangesloten
Stelling De beste methode om de kans op een boete van de toezichthouder te voorkomen is om maximale controle te forceren