SURFconext en policies. Arnout Terpstra, Floortje Jorna, SURFmarket en Femke Morsch 9 mei 2016

Vergelijkbare documenten
What s

Introductie SURFconext

Introductie SURFconext

Privacy in het mbo, verwerkersovereenkomsten Sebastiaan Wagemans, Contract-/ productmanager SURFmarket Leo Bakker, adviseur ibp Kennisnet

Bijlage IX Deelname SURFconext bij Gebruiksovereenkomst G9400/[nummer]

Dienstbeschrijving SURFconext

De Plaats GL Hendrik-Ido-Ambacht tel Privacy policy

SURF Juridisch Normenkader (Cloud) services (JNK)

SURF Juridisch normenkader cloudservices WHAT S SURFCONEXT

SURFconext dienstbeschrijving

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Visie op toegang! Identity management als speerpunt! H-P Köhler, Kennisnet Roel Rexwinkel, Surfnet

VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST

Dienstbeschrijving SURFconext

SURF Juridisch normenkader cloudservices

Cloud computing Helena Verhagen & Gert-Jan Kroese

Welke gegevens verzamelen wij en wat doen we ermee?

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Handreiking Auditverplichting SURF Juridisch Normenkader (Cloud)services, Bijlage D

Instructie bij Model Bewerkersovereenkomst Juridisch Normenkader (Cloud)services, Bijlage B

Slaan we niet een beetje door? Afspraken met leveranciers en de verwerkersovereenkomst

Verwerkersovereenkomst Personeelshandboek.nl

Privacy wetgeving: Wat verandert er in 2018?

Minderjarig Als u minderjarig bent, dan heeft u toestemming van uw ouders of wettelijke voogd nodig om onze Website en Diensten te gebruiken.

ORCID EEN UNIEKE, PERSISTENTE IDENTIFIER VOOR ONDERZOEKERS. Niels van Dijk, SURFnet John Doove, SURFmarket

Verwerkersovereenkomst (conform AVG)

Welke gegevens verzamelen wij en wat doen we ermee?

Verwerkersovereenkomst TriFact365

Verder zullen we jouw gegevens niet zonder jouw toestemming verwerken, tenzij we daartoe wettelijk verplicht zijn.

Instructie bij Model Verwerkersovereenkomst Juridisch Normenkader (Cloud)services, Bijlage B

Privacy Policy. P a g i n a 1 van 7

Verwerkersovereenkomst

Privacy policy SURFconext

Factsheet Bewerkersovereenkomst

Blockchain Smart Contracts AVG

Privacy policy SURFconext

Als je jonger dan 16 jaar bent, dan heb je toestemming van je ouders of wettelijke voogd nodig om onze Website en Diensten te gebruiken.

Afspraken leveranciers: verwerkersovereenkomsten. Leander Versleijen en Job Vos

Verder zullen we jouw gegevens niet zonder jouw toestemming verwerken, tenzij we daartoe wettelijk verplicht zijn.

VERWERKING VAN PERSOONSGEGEVENS VAN KLANTEN OF LEVERANCIERS

Help, een datalek, en nu? IKT-College 16 februari Mirjam Elferink Advocaat IE, ICT en privacy

Welke gegevens verzamelen wij en wat doen we ermee?

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Juridische aspecten van Specialisatie in de Cloud. Silvia van Schaik - bureau Brandeis

Handreiking Auditverplichting SURF Juridisch Normenkader (Cloud)services, Bijlage D Versie 2.0

AdviesburoPurmerend BV begrijpt dat AVG-wetgeving continu van toepassing is en dat wij de gegevens regelmatig moeten controleren en updaten.

Implementatiekosten en baten van SURFconext. Versie: 0.5 Datum: 06/06/2013 Door: Peter Clijsters

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Privacybeleid Opleiding tot Psychosociaal Therapeut

AVG Verklaring

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Instruct B.V.

Verwerkersovereenkomst, versie Mei 2018

onderzoek en privacy WAT ZEGT DE WET

Verwerkersovereenkomst voor SaaS-diensten

PRIVACY POLICY AL KOPIE GRIMBERGEN IN HET KADER VAN DE GDPR-COMPLIANCY

Algemene Verordening Gegevensbescherming

Privacy verklaring Jansen en Partners

Inhoudsopgave Voorwoord... 1 Doel van registratie Doel van de registratie van ouders / verzorgers Doel van de registratie van

Instructie bij Model Verwerkersovereenkomst SURF Juridisch Normenkader (Cloud)services, Bijlage B (concept versie)

Actualiteiten Privacy. NGB Extra

Verwerkersovereenkomst

Verwerkersovereenkomst

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Verwerkersovereenkomst

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

2. De besloten vennootschap 123webshop, kantoorhoudende te () aan, hierbij rechtsgeldig vertegenwoordigd door, hierna te noemen: Verwerker

Leystromen verwerkt uw persoonsgegevens zorgvuldig, veilig en vertrouwd. In deze privacyverklaring leest u hoe we dat doen.

De Algemene Verordening Gegevensbescherming

Comsave Privacy voorwaarden. Laatste update: 16 mei 2018

Privacyverklaring POLIFLEX

Wij verwerken persoonsgegevens als verwerkingsverantwoordelijke.

Privacy verklaring van CAV Heerlen v/d L.L.T.B.

De bewerkersovereenkomst

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

hierna gezamenlijk te noemen: "Partijen" en afzonderlijk te noemen: "Partij";

Privacyverklaring. Beyond Balance B.V. (h.o.d.n. Chanthal Blonk) respecteert jouw privacy en verwerkt

Partnering Trust in online services AVG. Vertrouwen in de keten

SURF Verwerkersovereenkomst Aanpassingen vanuit Infoland op de SURF modelovereenkomst 2016

Welke gegevens verzamelen wij en wat doen we ermee?

Meldplicht Datalekken CBP RICHTSNOEREN

Privacy statement Jonger

Het Letselhuis gebruikt verschillende categorieën van persoonsgegevens.

Verwerking van persoonsgegevens van klanten of leveranciers

Welke gegevens verzamelen wij en wat doen we ermee?

Privacy statement Spaanse Hypotheek S.L. Hypotheek Ibiza onderdeel van Spaanse Hypotheek. Waarom hebben wij een privacy statement?

Eén verantwoordelijke

Privacy & Cloud. een juridisch perspectief

KDV Twinkel Privacy Policy

Privacy Policy Studio2 Communications Versie 22 mei 2018

Bijlage: Verwerkersovereenkomst

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

- Administratieve doeleinde; - Communicatie over de opdracht en/of uitnodigingen; - Het uitvoering geven aan of het uitgeven van een opdracht.

Bijlage Gegevensverwerking. Artikel 1 - Definities

Welke gegevens verzamelen wij en wat doen we ermee?

mhealth en de AVG Mobile Healthcare 8 november 2018 Sofie van der Meulen

Transcriptie:

SURFconext en policies Arnout Terpstra, Floortje Jorna, SURFmarket en Femke Morsch 9 mei 2016

Introductie ü Welkom Zorgvuldig omgaan met persoonsgegevens (binnen SURFconext) ü Doel van dit seminar Input verzamelen voor policies rondom SURFconext Balans vinden tussen zorgvuldig en pragmatisch ü (Kleine) inventarisatie ü Programma Zie volgende slide

Programma ü 13.30 uur: Welkom, introductie (Arnout) ü 13:45 uur: Juridische context (Floortje) ü 14:15 uur: Discussie (Arnout) ü 15:00 uur: - Pauze - ü 15.25 uur: Update SURFmarket (Jan / Olga) ü 15.45 uur: Bijlage IX (Femke) ü 16:30 uur: Afsluiting (Arnout) ü 16.40 uur: - Borrel -

Waarom policies? ü SURFconext = infrastructuur voor toegang tot diensten...... waarbij ook persoonlijke data van de instelling naar de dienst gaat...... en waarbij een gebruiker soms ook nog allerlei data in de dienst kan zetten... ten behoeve van samenwerken?! ü SURF*: faciliteren van instellingen Bevorderen samenwerken Aanbieden betrouwbare infrastructuur en diensten Ondersteunen bij verantwoordelijkheid persoonlijke data ü Trust framework

Waarom herzien? ü Nieuwe inzichten rondom afspraken, contracten en (juridische) verantwoordelijkheid ü Onduidelijkheid in huidige set aan afspraken en policies ü Gebruikers krijgen dingen niet voor elkaar

Wat als we niks doen? ü Geen zicht op juridische consequenties huidige werkwijze ü Instellingen houden de deur dicht ü Gebruikers gaan via minder wenselijke omwegen toch dezelfde dingen doen (via Facebook login bijv.) ü Volledige potentie van SURFconext wordt niet benut

Juridische context SURFconext

Juridische context Rollen volgens de Wet bescherming persoonsgegevens Bewerkersovereenkomst (en Juridisch normenkader cloudservices) Wetgeving: Recente ontwikkelingen Contractrelaties SURFconext Afsluiting: Overzicht en openstaande vragen

Privacy: Rollen volgens de Wbp Verzamelen van persoonsgegevens Verwerken persoonsgegevens Gebruiker BETROKKENE Instelling VERANTWOORDELIJKE Bewerkers ovk Service Provider BEWERKER

Privacy: Rollen volgens de Wbp Verwerken persoonsgegevens Instelling VERANTWOORDELIJKE Bewerkersovereenkomst Service Provider BEWERKER Algemene bepalingen: Doeleinden Beveiliging Inzet van derden Internationaal Datalekken etc Specifieke bepalingen: Welke gegevens Wie mag ze zien Hoe lang bewaren Risicoklasse etc

JNK en Model Bewerkersovereenkomst Normen en standaard bepalingen: Juridisch normenkader Intellectueel eigendom Vertrouwelijkheid Beschikbaarheid Privacy Privacy bepalingen Bewerkersovereenkomst Plus actualisatie Doel: stevige basis voor contracten met (cloud)leveranciers, goede privacywaarborgen Recente ontwikkelingen Risicoklassen Audit verplichting

Wetgeving: Recente ontwikkeling Nationaal 1 januari 2016: Meldplicht datalekken 1 januari 2016: Uitbreiding boetebevoegdheid Autoriteit Persoonsgegevens Internationaal 25 mei 2016: Inwerkingtreding Privacy Verordening 25 mei 2018: Afloop implementatietermijn Privacy Verordening

Wetgeving: Privacy verordening Specifieke regels voor Verwerkersovereenkomsten (artikel 28) Omschrijven in de Verwerkersovereenkomst: Onderwerp en de duur van de verwerking De aard en het doel van de verwerking Het soort persoonsgegevens Categorieën van betrokkenen Rechten en verplichtingen van de verwerkingsverantwoordelijke Onder andere opnemen in Verwerkersovereenkomst: (niet volledig, zie artikel 28) Alleen werken volgens instructie verantwoordelijke Verlenen bijstand bij verzoeken van betrokkenen Zorgen voor adequate beveiliging Auditverplichting En: Verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke

Rollen bij SURFconext Met welke diensten wil je privacy afspraken maken en op welke manier? Bewerkers ovk Verzamelen van persoonsgegevens Verwerken persoonsgegevens Verwerken persoonsgegevens Gebruiker BETROKKENE Instelling VERANTWOORDELIJKE Bewerkers ovk SURFnet BEWERKER (in opdracht van Instelling) Service Provider BEWERKER Wordt onderdeel van bijlage IX

Rollen bij SURFconext Instelling VERANTWOORDELIJKE Te koppelen diensten: Service Provider BEWERKER Service Provider via Bemiddelingsovereenkomst met SURFmarket Service Provider via Aansluitovereenkomst met SURFmarket Service Provider is een instelling Service Provider van een andere federatie, via edugain

Contractrelaties SURFconext - bemiddelingsovk Algemene dienstverleningsovereenkomst Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Bemiddelingsovereenkomst Plus appendixen en privacybepalingen (JNK) Privacy Policy Service Provider

Contractrelaties SURFconext - aansluitsovk Instelling (Bewerkersovereenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Aansluitovereenkomst SURFconext, incl privacy bepalingen (JNK) Privacy Policy Service Provider

Contractrelaties SURFconext instelling als SP Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Privacy Policy Instelling als Service Provider

Contractrelaties SURFconext edugain FEDERATIES Instelling edugain Federatie afspraken (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Eventueel: Code of Conduct Service Provider

Overzicht Wie biedt de dienst aan? Welke privacy voorwaarden zijn nu van Welke privacy voorwaarden zijn toepassing? wenselijk? De instelling Privacy policy van SURFconext Ter bespreking vanmiddag Aanbieder via EduGAIN Aanbieder op basis van een Bemiddelingsovereenkomst Aanbieder op basis van Aansluitovereenkomst SURF-werkmaatschappij Eventueel: GÉANT Data protection Code of Conduct Privacyafspraken in de Bemiddelingsovereenkomst Privacyafspraken in de Aansluitovereenkomst Privacyafspraken in de Bijlage(n) horend bij de Gebruiksovereenkomst Ter bespreking vanmiddag SURF model Bewerkersovereenkomst SURF model Bewerkersovereenkomst SURF model bewerkersovereenkomst voor alle nieuwe diensten

Openstaande vragen Is het wenselijk om bij diensten van instellingen ook te werken met een bewerkersovereenkomst? Is er vraag naar meer privacy afspraken als het gaat om diensten die via edugain worden gekoppeld? Welke informatie heb je als instelling nodig om te kunnen afwegen of de privacy voldoende is gewaarborgd en je een dienst wilt koppelen? Welke rol speelt SURFnet hierin?

Wat willen we bereiken? ü Ondersteunen onderwijs en onderzoek Betrouwbaar samenwerken, nationaal en internationaal Alle gebruikers veilig en verantwoord toegang bieden tot alles (wat zij nodig hebben) ü Faciliteren instellingen Afspraken met leveranciers namens instellingen Betrouwbare infrastructuur SURFconext ü Hoe ver moeten we gaan?

Oeps Bron: http://www.nu.nl/tech/4249956/verpleegkundige-geschorst-facebookfotos-van-medische-ingrepen.html

Stelling Als een dienst eenmaal is aangesloten op SURFconext, dan zal het wel goed zijn

Stelling Als mijn gebruikers Dropbox gebruiken zonder mijn toestemming, dan ben ik niet verantwoordelijk als instelling (als het mis gaat)

Stelling Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig

Stelling Mijn gebruikers mogen zelf beslissen welke diensten zij willen gebruiken voor hun werk / studie

Pauze

Update SURFmarket

Bijlage IX SURFconext

Nieuwe opzet Bijlage IX ü Gebruik van SURFconext - verplichtingen instellingen en SURFnet in Bijlage IX ü Privacybepalingen (in Bewerkersovereenkomst) ü Planning: getekend voor het einde van het jaar

Wijzigingen Bijlage IX ü Sterke authenticatie ü Nieuwe definitie van gebruikers ü Deprovisioning ü Dienst aanbieden als instelling ü Interfederatie (edugain)

Nieuwe definitie van gebruikers Een natuurlijk persoon die via een Instelling toegang heeft gekregen tot SURFconext. Om toegang te kunnen verkrijgen moet een persoon onder een van de onderstaande categorieën vallen: 1. een aanstelling dan wel een arbeidsovereenkomst bij de Instelling hebben; 2. bij de Instelling ingeschreven staan als student, extraneus of cursist; 3. anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd zijn; 4. behoren tot een groep die in overeenstemming tussen Instelling, Service Provider en SURFnet toegang is verleend tot SURFconext en gelieerd is aan onderwijs en onderzoek in Nederland.

Deprovisioning ü SURFconext geeft persoonsgegevens door aan diensten, maar slaat ook gegevens op: ü Loggegevens (6 maanden) ü UID + persistent identifiers (geen einddatum) ü Naam & e-mailadres in SURFconext Teams (geen einddatum) ü Sterke Authenticatie (6 maanden) Voorstel: als een gebruiker 3 jaar en 1 maand (37 maanden) niet is ingelogd, dan worden alle gegevens in SURFconext en andere SURFconext-applicaties verwijderd. Laatste inlogdatum moet dan wel worden opgeslagen door SURFconext

Bewerkersovereenkomst Model bewerkersovereenkomst van SURF Afwijkingen ü Internationaal verkeer - de koppeling van een SP door een instelling, geldt als toestemming om persoonsgegevens naar de SP te sturen, ook als dit buiten de EER is. ü Hulpleveranciers - staan in de bewerkersovereenkomst. Als hier wijzigen zijn, dan stellen we de instellingen op de hoogte.

Bewerkersovereenkomst Bijlage dienst SURFconext Gegevens die verwerkt worden: ü Attributen ü Loggegevens ü Consent ü SURFconext Teams ü Support (mail, ticket)

Bewerkersovereenkomst Bijlage dienst SURFconext ü Risicoklasse normaal 1 keer per 2 jaar audit ü Overzicht van medewerkers en hun verwerkingen

Input nodig!

Stelling Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig

Dienst aanbieden als instelling Instelling (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Privacy Policy Instelling als Service Provider

Dienst aanbieden en afnemen als instelling Welke overeenkomst? ü Privacy policy ü Model bewerkersovereenkomst ü Aangepaste bewerkersovereenkomst ü Code of Conduct ü.. Wat willen we met elkaar afspreken? Afsluiten via het SURFconext Dashboard of

Interfederatie edugain FEDERATIES Instelling edugain Federatie afspraken (Bewerkers- Overeenkomst) Gebruiksovereenkomst SURFnet en bijlage IX SURFconext Privacy Policy Eventueel: Code of Conduct Service Provider

Dienst aanbieden en/of afnemen via edugain ü Code of Conduct ü Federatiecontract ü Bewerkersovereenkomst ü Welke informatie heeft de instelling nodig? Afsluiten via het SURFconext Dashboard of

Nieuwe dienstverlening vanuit SURFnet? ü Fijnmazigere toegang ü Policyscherm voor eindgebruikers ü Informatie over attributen, maar ook over het type dienst ü Gepersonaliseerd scherm van instelling (logo, tekst, verwijzing naar AUP) ü Wat doen andere instellingen? ü Delen van overwegingen per dienst ü Peer review of audit door instellingen Meer ideeën? Laat het ons weten!

Samenvatting

Contact en naslag ü Vragen? Opmerkignen? Mail support@surfconext.nl! ü Zie ook website SURF en SURFconext www.surf.nl www.surfconext.nl https://support.surfconext.nl/idp ü Juridisch normenkader cloudservices en model bewerkersovereenkomst https://www.surf.nl/kennisbank/2013/juridisch-normenkader-cloud-serviceshoger-onderwijs.html

Stellingen die niet zijn behandeld

Stelling De meerwaarde van SURFconext is voor mij puur de technische infrastructuur

Stelling Mijn grootste zorg is het oplopen van een torenhoge boete van de toezichthouder

Stelling Meer diensten aansluiten via SURFconext betekent een hogere last op mijn eindgebruikers-helpdesk

Stelling Afspraken met leveranciers maak ik het liefst zelf

Stelling Ik kan/zal sneller diensten koppelen als alleen een beperkte groep gebruikers van mijn instelling toegang krijgt

Stelling Aansluitverzoeken kosten ons veel tijd

Stelling Ik heb voldoende aan de huidige afspraken die SURFconext en SURFmarket maken met diensten, om een koppeling (al dan niet) te maken

Stelling Ik (als SURFconextverantwoordelijke) beslis volledig zelfstandig of een dienst wel of niet wordt aangesloten

Stelling De beste methode om de kans op een boete van de toezichthouder te voorkomen is om maximale controle te forceren

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback