eduVPN: maak onveilige verbindingen veilig

eduVPN beschermt je op onveilige netwerken, bijvoorbeeld in de trein, tegen lokale pottenkijkers op de lijn. Ook biedt de dienst veilige toegang tot afgeschermde diensten als je buiten je instellingsnetwerk wilt verbinden.

student met laptop - Kees Rutten

Privacystatement eduVPN

Hieronder lees je het privacystatement van eduVPN waar je mee akkoord gaat als je eduVPN gebruikt.

Deze privacyverklaring is van toepassing op de service eduVPN die wordt verzorgd door SURFnet, het National Research and Education Network van Nederland. Verwijzingen naar 'we', 'wij', 'ons' en 'onze' refereren aan eduVPN; verwijzingen naar 'je', 'jou' en 'jouw' refereren aan de gebruiker van eduVPN.

Door gebruik te maken van eduVPN, erken je dat je de huisregels van eduVPN en dit privacystatement hebt gelezen en begrepen en hiermee akkoord gaat.

1. Principes en waarden

Wij zijn van mening dat (de mogelijkheid tot) veilige privacy een fundamenteel recht is, maar dat dit helaas ook steeds moeilijker wordt. eduVPN versterkt de veiligheid van de gebruiker door instituten, studenten, docenten, medewerkers en onderzoekers op veilige wijze verbinding te laten maken met het internet en het netwerk van het desbetreffende instituut, waar de gebruiker zich ook bevindt. Bij de ontwikkeling van eduVPN is van het begin af aan rekening gehouden met veiligheid en privacy, aangezien we van mening zijn dat privacy en veiligheid onlosmakelijk zijn verbonden met eduVPN.

Desondanks wordt door eduVPN beperkt informatie verzameld, opgeslagen en vastgelegd. We gebruiken deze informatie om de eduVPN-service te kunnen leveren, voor audit- en analysedoeleinden en om eduVPN te onderhouden, beschermen en verbeteren. Voor het verzamelen van gegevens hanteren wij de volgende principes:

  • We verzamelen persoonlijke informatie en gegevens alleen als dit noodzakelijk is.
  • We gebruiken persoonlijke gegevens alleen voor de doeleinden waarvoor deze in eerste instantie zijn verzameld.
  • De verkregen persoonlijke gegevens worden door ons niet aangeboden of verkocht aan externe partijen.
  • De inhoud van het verkeer op het VPN-netwerk wordt door ons niet opgeslagen of bekeken.
  • We gaan op transparante wijze om met alle aspecten van het verwerken en vastleggen (logging) van persoonlijke gegevens.

De juridische grondslag voor het verwerken van persoonlijke gegevens is een rechtmatig belang in het leveren van de eduVPN-service en om misbruik op het SURFnet-netwerk te voorkomen. Als gebruiker heb je het recht om alle gebruikersgegevens die we van je hebben verzameld, in te zien. In sommige gevallen heb je ook het recht om de gegevens te rectificeren of te verwijderen, of om het verwerken van de gegevens te beperken. Je kunt te allen tijde bezwaar maken tegen het verwerken van je gebruikersgegevens. Dergelijke verzoeken kunnen worden verzonden naar het onderstaande e-mailadres. SURFnet zal binnen vier weken op het verzoek reageren. Mocht je het niet eens zijn met hoe eduVPN omgaat met persoonsgegevens, dan heb je daarnaast ook de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Om transparant te zijn, is deze privacyverklaring vrij uitgebreid en dus redelijk lang. Daarom hebben we ook een gemakkelijker leesbare samenvatting bijgesloten.

Neem als je vragen en/of opmerkingen hebt vooral contact met ons op via eduvpn@surfnet.nl.

2. Korte samenvatting

Vanuit de gebruiker gezien, bestaat eduVPN uit de app of het gebruikersportal (webserver), waar configuratiebestanden kunnen worden gedownload, en een VPN-server waarmee een verbinding met eduVPN kan worden gerealiseerd. Deze onderdelen loggen en bewaren de volgende gegevens voor de duur van een maand:

2.1 App en/of gebruikersportal

  • De unieke gebruikers-ID van de gebruiker.
  • Een overzicht van alle door de gebruiker aangemaakte certificaten.
  • Indien er gebruik wordt gemaakt van tweefactorauthenticatie: de OTP-sleutel.
  • Indien er gebruik wordt gemaakt van SURFconext Teams: een VOOT-token.

2.2. Verbinding

  • De unieke gebruikers-ID van de gebruiker.
  • Het tijdstip waarop de verbinding tot stand is gekomen.
  • Het tijdstip waarop de verbinding is verbroken.
  • De aan de VPN-client van de gebruiker toegewezen IP-adressen.
  • Ten behoeve van statistieken de hoeveelheid gegevens die door de VPN-client is overgedragen.

3. Uitgebreide versie

3.1 De door jou verschafte informatie

Als je eduVPN voor het eerst gebruikt en je voor het eerst inlogt, vraagt SURFconext je of je akkoord gaat met het verkrijgen van persoonlijke gegevens. eduVPN bevat twee profielen en voor elk profiel zijn andere persoonlijke gegevens vereist (zie hieronder voor meer informatie). Je wordt gevraagd om de servicevoorwaarden van SURFnet en deze privacyverklaring van eduVPN te lezen en hiermee akkoord te gaan.

Secure Internet

Als je dit profiel selecteert, gaat alle verkeer via eduVPN. eduVPN maakt alleen gebruik van het attribuut 'persistent NameID' (voorbeeld: b466f1047193791ga9aop7224a98fd24a1ce4551) van de gebruiker. Dit is een willekeurig door SURFconext gegenereerde identifier en pseudoniem. De persistentID kan aan de gekoppelde gebruiker worden gekoppeld als SURFnet hiertoe wettelijk verplicht is, naar aanleiding van een rechtelijke beslissing of als er sprake is van misbruik.

In het kader van de Wet bescherming persoonsgegevens (Wbp) en de Europese Algemene Verordening gegevensbescherming (AVG) is SURFnet de verwerkingsverantwoordelijke en Greenhost de verwerker van de persoonlijke gegevens vervat in dit profiel. 

Institute Access

Als je dit profiel selecteert, gaat alleen verkeer naar het netwerk van het instituut via eduVPN. Selecteer dit profiel als je toegang wilt tot het netwerk van je instituut. De permanente NameID kan niet voor dit profiel worden gebruikt, aangezien gebruikers voor verificatie identificeerbaar dienen te zijn. Dit betekent dat het voor dit profiel geselecteerde attribuut van instituut tot instituut kan verschillen. Het eduVPN-team ziet het liefst dat instituten attributen gebruiken die niet direct herleidbaar zijn naar de identiteit van gebruikers, zoals studentnummers.

In het kader van de Wet bescherming persoonsgegevens (Wbp) en de Europese Algemene Verordening gegevensbescherming (AVG) is je instituut de verwerkingsverantwoordelijke en SURFnet de verwerker van de persoonlijke gegevens vervat in dit profiel.

3.2 De informatie die we verzamelen

eduVPN verzamelt meer informatie en gegevens dan de voornoemde, door jou verstrekte SURFconext-attributen. Dit gebeurt voornamelijk uit hoofde van foutregistratie, zodat we problemen gemakkelijker kunnen oplossen als iets niet naar behoren werkt. We hebben een overzicht gemaakt van alle loggingonderdelen binnen eduVPN.

Statistiek

eduVPN-servers voorzien ons van algemene anonieme statistieken. Het onderstaande wordt bij deze statistieken meegenomen:

  • Totaal aantal per sessie overgebrachte bytes 
  • Totaal aantal unieke gebruikers
  • Grootste aantal gelijktijdige verbindingen

Deze statistieken worden dagelijks gegenereerd en zijn in samengevoegde vorm ook beschikbaar voor andere perioden, zoals per week en per maand. Deze gegevens zijn beschikbaar voor de applicatiemanagers van de instelling en het eduVPN-team. Er worden geen gebruiksgegevens en/of persoonlijke gegevens verwerkt in deze statistieken en er wordt geen tijdslimiet toegepast.

Logging voor applicatiemanagers

Een applicatiemanager kan vanuit de admin-portal specifieke logs aanvragen. Alleen het eduVPN-team heeft toegang tot de Secure Internet-profiellogs en alleen de applicatiemanagers van de instelling hebben toegang tot de logs van het Institute Access-profiel. De applicatiemanager kan alleen een loggingverzoek indienen als hij over een bepaald tijdstip en het verstrekte IP-adres beschikt. Als de logs deze combinatie van gegevens bevatten, wordt het volgende verstrekt:

  • Gebruikersprofiel (bv. 'Institute Access').
  • De UserID (bv. 'b466f1047193791ga9aop7224a98fd24a1ce4551').
  • De naam van het configuratiebestand (bv. 'Android_1478521025').
  • De verstrekte IP-adressen (bv. '145.101.113.74 en 2001:610:188:71::1008').
  • Tijdstempel aanvang verbinding (bv. '2016-11-07 13:17:19').
  • Tijdstempel einde verbinding (i.e. '2016-11-07 13:23:40').

Deze gegevens worden voor de duur van een maand bewaard.

Serverlogging OpenVPN

Voor de onderliggende VPN-server maakt eduVPN gebruik van OpenVPN-software. Alle logging van OpenVPN is uitgeschakeld. Op dit niveau wordt dus niets gelogd. In specifieke gevallen kan logging tijdelijk aangezet worden om problemen op te lossen die niet op een andere manier kunnen worden verholpen.

Toegangslog

Alle clientverzoeken worden gelogd door de toegangslogs van de webserver. Deze log is uitgeschakeld, maar kan tijdelijk worden ingeschakeld als er meer informatie moet worden gelogd om problemen op te lossen die niet op een andere manier kunnen worden verholpen. Als toegang tot deze log is ingeschakeld, worden de volgende gegevens gedurende een maand bewaard:

  • Het (echte) IP-adres van de bezoeker.
  • De gebruikersnaam zoals vastgelegd door middel van HTTP-verificatie.
  • Het tijdstip van het verzoek.
  • De verzoekregel van de client (bv. 'GET / HTTP/1.0).
  • De statuscode die door de server naar de klant wordt verzonden (bv. 200, 404 etc.).
  • De grootte van het antwoord van de server aan de client (in bytes).
  • De aangevraagde pagina/URL.

Foutlogging

Onder normale omstandigheden zullen er geen fouten optreden. Houd er echter rekening mee dat er natuurlijk altijd iets fout kan gaan, bijvoorbeeld in de browser van de gebruiker of de webserver. De webserver stuurt deze diagnostische gegevens en gevonden fouten naar het foutenlogboek. Dit is de plek waar wij het eerst kijken als er iets mis is met de webserver. Deze logboekregistratie is ingeschakeld, wordt voor de duur van een maand opgeslagen en bevat de volgende gegevens:

  • Het tijdstempel van de fout.
  • De foutcategorie (laag - ernstig).
  • Het IP-adres van de client.
  • De foutcode of -melding met de fout.

Voorbeeld:

[Wed Nov 16 07:45:23.681239 2016] [:error] [pid 18283] [client 10.42.101.100:59892] Geen bekende parameters doorgegeven aan de logout-handler. Querystring was '(null)'. Om uitloggen te initiëren, moet er een 'ReturnTo'-parameter met een URL worden doorgegeven aan de webpagina waar de gebruiker na een succesvolle uitlogactie heengeleid zou moeten worden.

Logging tussen nodes

De interne logging van communicatie tussen verschillende eduVPN-onderdelen wordt vastgelegd in een logbestand. Denk hierbij bijvoorbeeld aan: 'Gebruiker creëert een nieuw certificaat via het user-portal.' Voor de logboekregistratie worden de volgende gegevens voor de duur van een maand opgeslagen:

  • Het tijdstempel van de handeling.
  • Het verzoek (bv. GET /api.php/).
  • De UserID.
  • De verzoekregel van de client.
  • De statuscode.

Voorbeeld:

[14/Nov/2016:10:51:27 +0000] "GET /api.php/is_disabled_user?user_id=b117d1efaadc006f243fefb722b28430754ka2dq HTTP/1.1" 200 35

php-fpm-logging

php-fpm is een procesmanager voor PHP en wordt gebruikt om PHP-scripts in de server te starten en te stoppen. php-fpm legt alleen fouten vast en verzamelt geen gebruikersgegevens. Deze logboekregistratie is ingeschakeld, wordt voor de duur van een maand opgeslagen en ziet er als volgt uit:

[20-Oct-2016 14:00:45] OPMERKING: fpm wordt uitgevoerd, pid 7692
[20-Oct-2016 14:00:45] OPMERKING: verbindingen kunnen worden verwerkt
[20-Oct-2016 14:00:45] OPMERKING: systemd monitor interval ingesteld op 10000 ms
[21-Oct-2016 16:23:19] OPMERKING: Bezig met afsluiten ...
[21-Oct-2016 16:23:19] OPMERKING: wordt afgesloten. Tot ziens!