[nummer]

[Klik en vul adresgegevens in]

Datum Ons kenmerk

[datum] [kenmerk]

Uw kenmerk Onderwerp

Bijlage IX Deelname SURFconext bij Gebruiksovereenkomst G9400/[nummer]

Geachte heer/mevrouw, In vervolg op uw verzoek betreffende het lidmaatschap van de SURFconext, ontvangt u met dit schrijven in tweevoud Bijlage IX, Lidmaatschap SURFconext, bij Gebruiksovereenkomst G9400/[nummer]. Indien u instemt met de genoemde afspraken in de Bijlage, verzoeken wij u deze op de daarvoor bestemde plaatsen te paraferen en één exemplaar aan ons te retourneren. Wij vertrouwen erop u hiermee van dienst te zijn. Met vriendelijke groet,

[AA-er] Account Advisering SURFnet bv

Cc.:

- [ICP] (InstellingsContactPersoon – ICP) - [ICO] (InstellingsCoördinator – IC)

Bijlagen:

- Bijlage IX, Lidmaatschap SURFconext, bij Gebruiksovereenkomst (in tweevoud)

Radboudkwartier 273 3511 CK Utrecht

Postbus 19035 3501 DA Utrecht

030 2 305 305 [email protected] www.surfnet.nl

Deutsche Bank 46 57 33 506 KvK Utrecht 30090777 BTW NL 0089.60.173.B01 1/1

BIJLAGE IX LIDMAATSCHAP SURFCONEXT BIJ GEBRUIKSOVEREENKOMST NR: G9400/[nummer] d.d. [datum]

Preambule Ten behoeve van een optimale samenwerking tussen de bij SURFnet aangesloten instellingen onderling en met informatie- en dienstenleveranciers, heeft SURFnet de dienst SURFconext opgezet. Deze samenwerkingsinfrastructuur bestaat uit verschillende componenten, waaronder federatieve authenticatie en centraal groepsmanagement. SURFnet streeft er naar om SURFconext met een zo hoog mogelijk kwaliteitsniveau te leveren. Een belangrijk aandachtspunt hierbij is de integriteit van de gegevens van de Gebruiker en de wijze waarop Service Providers en SURFnet als ‘verwerker’ met persoonsgegevens van de Gebruiker omgaan. SURFconext kent een zogenaamd ‘trust framework’. Een deelnemer aan SURFconext behoort tot dit ‘trust framework’ indien hij een standaard set van afspraken onderschrijft die waarborgen bieden voor privacy van de gebruiker en de integriteit van de gegevens van de Gebruikers. Met het tekenen van deze Bijlage maakt de Instelling onderdeel uit van het ‘trust framework’. SURFconext kent tevens deelnemers die het ‘trust framework’ niet geheel onderschrijven. Op de SURFconext website wordt inzichtelijk gemaakt om welke deelnemers het gaat. SURFconext kent ook deelnemers die het ‘trust framework’ niet geheel kunnen of willen onderschrijven. Instellingen dienen dan na te gaan onder welke privacy voorwaarden de dienst door de betreffende deelnemer wordt aangeboden. Eventueel kunnen één op één aanvullende afspraken worden gemaakt. Op de SURFconext website wordt inzichtelijk gemaakt welke deelnemers wel of niet voldoen aan het ‘trust framework’. Deze bijlage bij de gebruikersovereenkomst betreft de afspraken voor de koppeling van de Instelling met SURFconext en gebruik van SURFconext.

Paraaf SURFnet bv:

Paraaf [instelling]:

Kenmerk: [kenmerk] 1/6

Definities

Instellingen

Op SURFnet aangesloten organisaties waarmee SURFnet een Gebruiksovereenkomst heeft afgesloten en die gebruik maken van SURFconext.

Virtuele Organisatie

een samenwerkingsverband tussen organisaties binnen de SURFnet doelgroep die gezamenlijk als één organisatie willen optreden waarbij één organisatie als rechtspersoon optreedt namens de Virtuele Organisatie. SURFnet sluit met deze organisatie een overeenkomst voor de koppeling op SURFconext. Indien een Instelling optreedt als penvoerder van een Virtuele Organisatie dan is een afzonderlijke overeenkomst niet nodig.

Gebruiker

als Gebruiker wordt aangemerkt: 1. een persoon met een aanstelling dan wel een arbeidsovereenkomst bij de Instelling; 2. een bij de Instelling ingeschreven student, extraneus of cursist; 3. een persoon die anderszins in het kader van de taakuitvoering van de Instelling geautoriseerd is.

SURFnet

de operator van de SURFconext-infrastructuur bestaande uit een aantal door SURFnet centraal aangeboden voorzieningen.

Identity Provider

een organisatie de gegevens verstrekt over de identiteit van de Gebruiker waardoor authenticatie van de Gebruiker mogelijk is.

Attribute Provider

een organisatie of de Gebruiker die aanvullende persoonsgegevens verstrekt.

Service Provider

dienstaanbieder aangesloten op SURFconext. SURFmarket sluit met dienstaanbieders een overeenkomst af waarin ondermeer de privacy afspraken worden vastgelegd. Ook als op SURFnet aangesloten instellingen een commerciële dienst aanbieden zullen zij met SURFmarket een overeenkomst afsluiten.

Artikel 1: Onderwerp Deze overeenkomst regelt de aansluiting van de Instelling op de door SURFnet aangeboden samenwerkingsinfrastructuur SURFconext. De Instelling als Identity Provider is verantwoordelijk is voor de authenticatie - het vaststellen van de identiteit van een Gebruiker - bij het gebruik van diensten op SURFconext.

Paraaf SURFnet bv:



De Instelling kan optreden als Attribute Provider waarbij de Instelling aanvullende persoonsgegevens van Gebruikers verstrekt aan een Service Provider. Tevens kan de Instelling optreden als Service Provider op SURFconext en diensten bieden aan haar Gebuikers of aan andere gebruikers van SURFconext. Artikel 2 : Opt-out policy SURFnet kent een Opt-out policy met betrekking tot het beschikbaar stellen van diensten van op SURFconext aangesloten Service Providers aan Gebruikers. De policy is te vinden op: https://support.surfconext.nl. Wanneer de Instelling akkoord gaat met de Opt-out policy, geeft de Instelling toestemming om diensten van Service Providers die vallen binnen het ‘trust framework’ automatisch te ontsluiten voor haar Gebruikers.

Artikel 3 : SURFconext website SURFnet publiceert: een overzicht van de deelnemers aan SURFconext waarbij duidelijk is welke partijen het SURFconext ‘trust framework’ onderschrijven. een overzicht van Service Providers die een overeenkomst met SURFmarket zijn aangegaan. een selfservice pagina voor individueel geregistreerde contactpersonen van de Instelling voor onder meer het wijzigen van contactgegevens en het aanvragen en wijzigen van toestemming zoals bedoeld in Artikel 2. Artikel 4: Adviesgroep SURFconext kent een Adviesgroep waarmee SURFnet de ontwikkelingen met betrekking tot SURFconext bespreekt. De verslagen van deze Adviesgroep worden gepubliceerd. SURFnet is verantwoordelijk voor het faciliteren en voorbereiden van de bijeenkomsten van de Adviesgroep. Artikel 5: De SURFconext-dienst De dienstbeschrijving is te vinden op deze locatie: http://www.surfnet.nl/Documents/dienstbeschrijving_SURFconext.pdf SURFnet draagt er zorg voor dat de Instelling gebruik kan maken van SURFconext. SURFnet hanteert de service-levels die van toepassing zijn op de SURFconext zoals vermeld in de SURFnet Service Level Specificatie (SLS) te vinden via http://www.surfnet.nl/sls. Onderbrekingen in de SURFconext-dienst wegens onderhoud zullen plaatsvinden in het maintenance-window van SURFnet, dat is gedefinieerd in de SLS. Indien er onderbrekingen noodzakelijk zijn buiten dit window zal SURFnet de Instellingen daarover vooraf informeren. Paraaf SURFnet bv:



Een Instelling zal zo spoedig mogelijk aan SURFnet doorgeven indien SURFconext niet naar behoren functioneert, waarbij SURFnet wordt voorzien van de details van de klacht. Indien de klacht gegrond is en er herstelwerkzaamheden nodig zijn, zal SURFnet die zo snel mogelijk uitvoeren. Hierbij wordt gebruik gemaakt van het SURFconext supportkanaal (e-mail aan [email protected] of een melding bij de SURFnet Helpdesk). SURFnet heeft het recht, in geval Instellingen niet handelen conform deze bijlage of ingeval SURFnet schade ondervindt van een aan de Instelling verwijtbare situatie, het gebruik van de SURFconext-dienst (gedeeltelijk) op te schorten voor de Instelling tot het moment waarop de Instelling wel voldoet aan deze bijlage dan wel de aan de Instelling verwijtbare situatie is opgeheven. Functionele aanpassingen in de SURFconext-dienst zullen door SURFnet bekend worden gemaakt op de SURFconext website en aan de SURFconext-contactpersonen via een mailinglist. Instellingen zullen daarnaast een bericht ontvangen van geplande aanpassingen en de mogelijkheid worden geboden om hierop binnen een redelijke termijn reageren. SURFnet informeert de Instellingen over technische aanpassingen en upgrades van de SURFconext-dienst en coördineert de nodige acties om de dienst veilig en operationeel te houden. SURFnet onderhoudt een overzicht van standaarden (en versies) die worden ondersteund door SURFconext en gebruikt kunnen worden door Instellingen. Artikel 6: Verplichtingen Instelling Instellingen installeren en upgraden binnen een redelijke termijn nieuwe SURFconext-standaarden en protocollen voor de SURFconext-onderdelen die zij gebruiken, indien dat door SURFnet wordt aanbevolen. Instellingen dragen er zorg voor dat SURFnet wordt voorzien van actuele technische en administratieve contactinformatie. Instellingen bieden hun Gebruikers een helpdesk voor SURFconext gerelateerde vragen. Deze helpdesk kan op zijn beurt weer het SURFconext supportkanaal raadplegen. Instellingen kennen een reglement voor Gebruikers. Het reglement verplicht de Gebruiker dat bij internetcommunicatie op basis van een door de Instelling verstrekt user-account steeds de gedragregels voor zorgvuldige online communicatie (waaronder netiquette) in acht worden genomen, dat daardoor geen Nederlandse of buitenlandse wettelijke verplichtingen, regels van openbare orde of goede zeden of rechten van derden geschonden worden en dat daardoor niet jegens derden onrechtmatig wordt gehandeld en/of schade wordt toegebracht. De Instelling neemt passende maatregelen voor de handhaving van het reglement. De Instelling vrijwaart andere Instellingen en Virtuele Organisaties die optreden als Service Provider voor schade die uit schending van het bovengenoemde reglement door haar Gebruikers mocht voortvloeien, voor zover deze Gebruikers door de Instelling geauthenticeerd zijn en de schade verband houdt met het gebruik van de SURFconext-dienst.

Paraaf SURFnet bv:



De Instelling behandelt persoonsgegevens conform de Privacy Policy van SURFconext. Deze Privacy Policy is een uitwerking van de Wet Bescherming Persoonsgegevens toegespitst op de verwerking van persoonsgegevens binnen SURFconext. Artikel 6a: Instelling als Identity Provider/Attribute Provider De Instelling draagt zorg voor een adequate configuratie en beveiliging van de systemen en netwerkcomponenten die worden ingezet voor identiteits- en toegangsbeheer voor Gebruikers. De Instelling houdt de binnen SURFconext benodigde authenticatiegegevens en attributen volledig en actueel en draagt er zorg voor dat de Gebruiker bij eerste opname van de gegevens geïdentificeerd is. De Instelling registreert een minimale set attributen van hun Gebruikers zoals omschreven in op de SURFconext website. De Instelling draagt er zorg voor dat alleen Gebruikers, zoals in deze bijlage gedefinieerd, gebruik kunnen maken van de SURFconext-dienst. De Instelling maakt op verzoek van een Service Provider of een andere Instelling, die als Service Provider optreedt, inzichtelijk welke processen worden gebruikt voor het identiteitsbeheer ten behoeve van Gebruikers (registratie, life cycle management, rollenbeheer, authenticatie, selfservice, etc.). In de Privacy Policy van SURFconext is beschreven hoe Instelling omgaat met de persoonsgegevens. De onderwerpen die aan de orde komen zijn: doel van de gegevensverwerking, aard van de vastgelegde gegevens, wie toegang krijgt tot de gegevens, transparantie voor de gebruiker en beveiliging van de gegevens.

Artikel 6b: Instelling als Service Provider Indien de Instelling optreedt als Service Provider dan zal hij aan SURFnet kenbaar maken welke attributen nodig zijn voor het gebruik van de dienst. Dit wordt opgenomen in de self service portal op selfservice.surfconext.nl. In de Privacy Policy van SURFconext is beschreven hoe Service Providers omgaan met de persoonsgegevens. De Instelling houdt zich aan de bepalingen uit deze policy die betrekking hebben op de Service Provider. Indien de Instelling optreedt als commerciële Service Provider zal hij met SURFmarket een overeenkomst afsluiten. Artikel 7: Privacy-verplichtingen SURFnet De Instelling is verantwoordelijk voor de gegevensverwerking in de zin van de Wet bescherming persoonsgegevens. SURFnet verwerkt persoonsgegevens van de Instelling en is gehouden deze behoorlijk en zorgvuldig te verwerken. SURFnet verwerkt de persoonsgegevens overeenkomstig de Wet bescherming persoonsgegevens. Paraaf SURFnet bv:



SURFnet is niet gerechtigd om op enig moment de persoonsgegevens van de Instelling die zij ter beschikking krijgt op enigerlei wijze geheel of gedeeltelijk anders te (doen) gebruiken dan voor de uitvoering van deze overeenkomst een en ander behoudens afwijkende wettelijke verplichtingen. Zonder de toestemming van de Instelling verleent SURFnet aan derden geen toegang tot de persoonsgegevens van Gebruikers. De toestemming kan zijn gegeven door een akkoord zoals omschreven in de Opt-out policy (zie artikel 2) of expliciet in alle andere gevallen. SURFnet verwerkt de persoonsgegevens alleen binnen de Europese Unie of een land met een passend beschermingsniveau. SURFnet draagt zorg voor een betrouwbare en adequate beveiliging en zal indien daar aanleiding toe bestaat de processen inzake beveiliging laten auditen door een erkend auditor. SURFnet zal de Instelling onmiddellijk informeren over beveiligingsincidenten en de mogelijke impact hiervan op de verwerking van de persoonsgegevens. SURFnet zal alleen onderaannemers inschakelen met wie een schriftelijke overeenkomst is gesloten waarin geheimhouding- en beveiligingsverplichtingen zijn opgenomen overeenkomstig de verplichtingen uit deze Overeenkomst. Indien SURFnet door een autoriteit wordt verzocht om persoonsgegevens te verstrekken zal SURFnet de Instelling hierover informeren en de Instelling in staat stellen om haar rechten te verdedigen. SURFnet zal de toegang zo beperkt mogelijk houden. SURFnet zal de persoonsgegevens niet langer dan 6 maanden na de laatste transactie bewaren en daarna de gegevens uit alle systemen verwijderen. In de Privacy Policy heeft SURFnet haar omgang met persoonsgegevens in detail omschreven. Artikel 8: Beëindiging aansluiting SURFconext De Instelling kan schriftelijk bij SURFnet de deelname aan SURFconext beëindigen waarbij deze Bijlage komt te vervallen. Beëindiging van de SURFnet gebruiksovereenkomst brengt met zich mee dat de deelname aan SURFconext wordt beëindigd.

Paraaf SURFnet bv:



[nummer]

Recommend Documents