Arnout Terpstra, Floortje Jorna, SURFmarket en Femke Morsch 9 mei 2016

SURFconext en policies

Introductie

ü Welkom• Zorgvuldig omgaan met persoonsgegevens (binnen SURFconext)

ü Doel van dit seminar• Input verzamelen voor policies rondom SURFconext

• Balans vinden tussen zorgvuldig en pragmatisch

ü (Kleine) inventarisatie…

ü Programma• Zie volgende slide

Programma

ü 13.30 uur: Welkom, introductie (Arnout)

ü 13:45 uur: Juridische context (Floortje)

ü 14:15 uur: Discussie (Arnout)

ü 15:00 uur: - Pauze -

ü 15.25 uur: Update SURFmarket (Jan / Olga)ü 15.45 uur: Bijlage IX (Femke)

ü 16:30 uur: Afsluiting (Arnout)

ü 16.40 uur: - Borrel - !"

#

Waarom policies?

ü SURFconext = infrastructuur voor toegang tot diensten...• ... waarbij ook persoonlijke data van de instelling naar de dienst gaat ...

• ... en waarbij een gebruiker soms ook nog allerlei data in de dienst kan zetten...

• … ten behoeve van samenwerken?!

ü SURF*: faciliteren van instellingen• Bevorderen samenwerken

• Aanbieden betrouwbare infrastructuur en diensten

• Ondersteunen bij verantwoordelijkheid persoonlijke data

ü Trust framework$

%

$$

Waarom herzien?

ü Nieuwe inzichten rondom afspraken, contracten en (juridische) verantwoordelijkheid

ü Onduidelijkheid in huidige set aan afspraken en policies

ü Gebruikers krijgen dingen niet voor elkaar

&&'

Wat als we niks doen?

ü Geen zicht op juridische consequenties huidige werkwijze

ü Instellingen houden de deur dicht

ü Gebruikers gaan via minder wenselijke omwegen toch dezelfde dingen doen (via Facebook login bijv.)

ü Volledige potentie van SURFconext wordt niet benut

(

Juridische context SURFconext

Juridische context

• RollenvolgensdeWetbeschermingpersoonsgegevens

• Bewerkersovereenkomst(enJuridischnormenkadercloudservices)

• Wetgeving:Recenteontwikkelingen

• ContractrelatiesSURFconext

• Afsluiting:Overzichtenopenstaandevragen

Privacy: Rollen volgens de Wbp

Gebruiker Instelling

Verzamelenvanpersoonsgegevens

ServiceProvider

Verwerkenpersoonsgegevens

VERANTWOORDELIJKEBETROKKENE BEWERKER

Bewerkersovk

Privacy: Rollen volgens de Wbp

Instelling ServiceProvider

Verwerkenpersoonsgegevens

VERANTWOORDELIJKE BEWERKER

Bewerkersovereenkomst

Algemenebepalingen:

• Doeleinden• Beveiliging• Inzetvanderden• Internationaal• Datalekken• etc

Specifiekebepalingen:

• Welkegegevens• Wiemagzezien• Hoelangbewaren• Risicoklasse• etc

JNK en Model Bewerkersovereenkomst

Bewerkers-overeenkomst

Doel:stevigebasisvoorcontractenmet(cloud)leveranciers,goedeprivacywaarborgen

Normenenstandaardbepalingen:

• Intellectueeleigendom• Vertrouwelijkheid• Beschikbaarheid• Privacy

Privacybepalingen

Plusactualisatie

• Recenteontwikkelingen• Risicoklassen• Auditverplichting

Juridischnormenkader

Wetgeving: Recente ontwikkeling

Nationaal

• 1januari2016:Meldplichtdatalekken

• 1januari2016:UitbreidingboetebevoegdheidAutoriteitPersoonsgegevens

Internationaal

• 25mei2016:InwerkingtredingPrivacyVerordening

• 25mei2018:AfloopimplementatietermijnPrivacyVerordening

Wetgeving: Privacy verordening

SpecifiekeregelsvoorVerwerkersovereenkomsten(artikel28)

OmschrijvenindeVerwerkersovereenkomst:

• Onderwerpendeduurvandeverwerking• Deaardenhetdoelvandeverwerking• Hetsoortpersoonsgegevens• Categorieënvanbetrokkenen• Rechtenenverplichtingenvande

verwerkingsverantwoordelijke

OnderandereopnemeninVerwerkersovereenkomst:(nietvolledig,zieartikel28)

• Alleenwerkenvolgensinstructieverantwoordelijke• Verlenenbijstandbijverzoekenvanbetrokkenen• Zorgenvooradequatebeveiliging• Auditverplichting

En:Verwerkerneemtgeenandereverwerkerindienstzondervoorafgaandespecifiekeofalgemeneschriftelijketoestemmingvandeverwerkingsverantwoordelijke

Rollen bij SURFconext

Gebruiker

Verzamelenvanpersoonsgegevens

ServiceProviderVERANTWOORDELIJKEBETROKKENE BEWERKER

SURFnetBEWERKER

Verwerkenpersoonsgegevens

Verwerkenpersoonsgegevens

(inopdracht vanInstelling)Instelling

Bewerkersovk

Bewerkersovk

WordtonderdeelvanbijlageIX

Metwelkedienstenwiljeprivacyafsprakenmakenenopwelkemanier?

Rollen bij SURFconext

ServiceProviderVERANTWOORDELIJKE BEWERKERTekoppelendiensten:

Instelling

• ServiceProviderviaBemiddelingsovereenkomstmetSURFmarket• ServiceProviderviaAansluitovereenkomstmetSURFmarket• ServiceProvideriseeninstelling• ServiceProvidervaneenanderefederatie,viaeduGAIN

Contractrelaties SURFconext - bemiddelingsovk

Instelling

ServiceProvider

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

Algemenedienstverleningsovereenkomst

BemiddelingsovereenkomstPlusappendixen enprivacybepalingen (JNK)

PrivacyPolicy

(Bewerkers-Overeenkomst)

Contractrelaties SURFconext - aansluitsovk

Instelling

ServiceProvider

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

AansluitovereenkomstSURFconext,inclprivacybepalingen (JNK)

PrivacyPolicy

(Bewerkers-overeenkomst)

Contractrelaties SURFconext – instelling als SP

Instelling

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicyInstellingalsServiceProvider

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicy

(Bewerkers-Overeenkomst)

Contractrelaties SURFconext – eduGAIN

Instelling

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicyServiceProvider

Federatieafspraken

Eventueel:CodeofConduct

FEDERATIES

(Bewerkers-Overeenkomst)

eduGAIN

Overzicht

Wiebiedtdedienstaan? Welkeprivacyvoorwaardenzijnnuvantoepassing?

Welkeprivacyvoorwaardenzijnwenselijk?

Deinstelling PrivacypolicyvanSURFconext Terbesprekingvanmiddag

AanbiederviaEduGAIN Eventueel: GÉANTDataprotectionCodeofConduct

Terbesprekingvanmiddag

AanbiederopbasisvaneenBemiddelingsovereenkomst

Privacyafspraken indeBemiddelingsovereenkomst

SURFmodelBewerkersovereenkomst

AanbiederopbasisvanAansluitovereenkomst Privacyafspraken indeAansluitovereenkomst

SURFmodelBewerkersovereenkomst

SURF-werkmaatschappij PrivacyafsprakenindeBijlage(n)horendbijdeGebruiksovereenkomst

SURFmodelbewerkersovereenkomstvoorallenieuwediensten

Openstaande vragen

• Ishetwenselijkombijdienstenvaninstellingenooktewerkenmeteenbewerkersovereenkomst?

• IservraagnaarmeerprivacyafsprakenalshetgaatomdienstendieviaeduGAINwordengekoppeld?

• Welkeinformatiehebjealsinstellingnodigomtekunnenafwegenofdeprivacyvoldoendeisgewaarborgdenjeeendienstwiltkoppelen?

• WelkerolspeeltSURFnethierin?

Wat willen we bereiken?

ü Ondersteunen onderwijs en onderzoek• Betrouwbaar samenwerken, nationaal en internationaal

• Alle gebruikers veilig en verantwoord toegang bieden tot alles (wat zij nodig hebben)

ü Faciliteren instellingen• Afspraken met leveranciers namens instellingen

• Betrouwbare infrastructuur SURFconext

ü Hoe ver moeten we gaan?

)*

Oeps…

Bron: http://www.nu.nl/tech/4249956/verpleegkundige-geschorst-facebookfotos-van-medische-ingrepen.html

Stelling

Als een dienst eenmaal is aangesloten op SURFconext, dan zal het wel goed zijn

Stelling

Als mijn gebruikers Dropbox gebruiken zonder mijn toestemming, dan ben ik niet verantwoordelijk als instelling (als

het mis gaat)

Stelling

Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig

Stelling

Mijn gebruikers mogen zelf beslissen welke diensten zij willen gebruiken voor hun werk / studie

Pauze

+

Update SURFmarket

Bijlage IX SURFconext

Nieuwe opzet Bijlage IX

ü Gebruik van SURFconext - verplichtingen instellingen en SURFnet in Bijlage IX

ü Privacybepalingen (in Bewerkersovereenkomst)

ü Planning: getekend voor het einde van het jaar

Wijzigingen Bijlage IX

ü Sterke authenticatie

ü Nieuwe definitie van gebruikers

ü Deprovisioning

ü Dienst aanbieden als instelling

ü Interfederatie (eduGAIN)

Nieuwe definitie van gebruikers

Een natuurlijk persoon die via een Instelling toegang heeft gekregen tot SURFconext. Om toegang te kunnen verkrijgen moet een persoon onder een van de onderstaande categorieën vallen:

1. een aanstelling dan wel een arbeidsovereenkomst bij de Instelling hebben;2. bij de Instelling ingeschreven staan als student, extraneus of cursist;3. anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd

zijn;4. behoren tot een groep die in overeenstemming tussen Instelling, Service

Provider en SURFnet toegang is verleend tot SURFconext en gelieerd is aanonderwijs en onderzoek in Nederland.

Deprovisioning

ü SURFconext geeft persoonsgegevens door aan diensten, maar slaat ookgegevens op:ü Loggegevens (6 maanden)ü UID + persistent identifiers (geen einddatum)ü Naam & e-mailadres in SURFconext Teams (geen einddatum)ü Sterke Authenticatie (6 maanden)

Voorstel: als een gebruiker 3 jaar en 1 maand (37 maanden) niet is ingelogd, danworden alle gegevens in SURFconext en andere SURFconext-applicatiesverwijderd.

Laatste inlogdatum moet dan wel worden opgeslagen door SURFconext

Bewerkersovereenkomst

Model bewerkersovereenkomst van SURF

Afwijkingenü Internationaal verkeer - de koppeling van een SP door een instelling, geldt als

toestemming om persoonsgegevens naar de SP te sturen, ook als dit buiten de EER is.

ü Hulpleveranciers - staan in de bewerkersovereenkomst. Als hier wijzigen zijn, danstellen we de instellingen op de hoogte.

Bewerkersovereenkomst – Bijlage dienst SURFconext

Gegevens die verwerkt worden:

ü Attributen

ü Loggegevens

ü Consent

ü SURFconext Teams

ü Support (mail, ticket)

Bewerkersovereenkomst – Bijlage dienst SURFconext

ü Risicoklasse normaal – 1 keer per 2 jaar audit

ü Overzicht van medewerkers en hun verwerkingen

Input nodig!

Stelling

Voor het aansluiten van diensten van andere instellingen zijn er geen additionele afspraken nodig

Dienst aanbieden als instelling

Instelling

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicyInstellingalsServiceProvider

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicy

(Bewerkers-Overeenkomst)

Dienst aanbieden en afnemen als instelling

Welke overeenkomst?ü Privacy policyü Model bewerkersovereenkomstü Aangepaste bewerkersovereenkomstü Code of Conductü …..

Wat willen we met elkaar afspreken?

Afsluiten via het SURFconext Dashboard of …

Interfederatie – eduGAIN

Instelling

GebruiksovereenkomstSURFnetenbijlageIXSURFconext

PrivacyPolicyServiceProvider

Federatieafspraken

Eventueel:CodeofConduct

FEDERATIES

(Bewerkers-Overeenkomst)

eduGAIN

Dienst aanbieden en/of afnemen via eduGAIN

ü Code of Conductü Federatiecontractü Bewerkersovereenkomstü ……

Welke informatie heeft de instelling nodig?

“Afsluiten” via het SURFconext Dashboard of …

Nieuwe dienstverlening vanuit SURFnet?

ü Fijnmazigere toegang

ü Policyscherm voor eindgebruikersü Informatie over attributen, maar ook over het type dienstü Gepersonaliseerd scherm van instelling (logo, tekst, verwijzing naar AUP)

ü Wat doen andere instellingen?ü Delen van overwegingen per dienstü Peer review of audit door instellingen

Meer ideeën? Laat het ons weten!

Samenvatting

Contact en naslag

ü Vragen? Opmerkignen? Mail support@surfconext.nl!

ü Zie ook website SURF en SURFconext• www.surf.nl• www.surfconext.nl• https://support.surfconext.nl/idp

ü Juridisch normenkader cloudservices en model bewerkersovereenkomst• https://www.surf.nl/kennisbank/2013/juridisch-normenkader-cloud-services-

hoger-onderwijs.html

Stellingen die niet zijnbehandeld

Stelling

De meerwaarde van SURFconext is voor mij puur de technische infrastructuur

Stelling

Mijn grootste zorg is het oplopen van een torenhoge boete van de toezichthouder

Stelling

Meer diensten aansluiten via SURFconext betekent een hogere last op mijn eindgebruikers-helpdesk

Stelling

Afspraken met leveranciers maak ik het liefst zelf

Stelling

Ik kan/zal sneller diensten koppelen als alleen een beperkte groep gebruikers van mijn instelling toegang krijgt

Stelling

Aansluitverzoeken kosten ons veel tijd

Stelling

Ik heb voldoende aan de huidige afspraken die SURFconext en SURFmarket maken met diensten, om een koppeling (al

dan niet) te maken

Stelling

Ik (als SURFconextverantwoordelijke) beslis volledig zelfstandig of een dienst wel of niet wordt aangesloten

Stelling

De beste methode om de kans op een boete van de toezichthouder te voorkomen is om maximale controle te

forceren