Veranderingen in aansluitovereenkomsten SURFconext

02 MRT 2017

De overeenkomst die SURF sluit met leveranciers voor aansluiting op SURFconext wordt gewijzigd. Uitgangspunt: een basisniveau afspreken rond het omgaan met persoonsgegevens en vertrouwelijke informatie. Belangrijk hierbij is dat instellingen zelf aanvullende afspraken maken met de gekoppelde leveranciers, bijvoorbeeld in de bewerkersovereenkomst.

Juridische achtergrond

In de Aansluitovereenkomsten voor de koppeling op SURFconext en in Bemiddelingsovereenkomsten hanteren we het SURF Juridisch Normenkader. Recent is het normenkader aangepast en zijn de privacybepalingen verder uitgewerkt in een SURF model Bewerkersovereenkomst. Het is niet haalbaar om zowel in bemiddelingssituaties als bij een op zich staande aansluiting op SURFconext de (model) Bewerkersovereenkomst met aanbieders uit te onderhandelen. Daarom hebben we besloten alleen in de situaties waar SURFmarket bemiddelt over de licentie- en prijsvoorwaarden ook een aparte Bewerkersovereenkomst – conform het SURF model – met de leverancier uit te onderhandelen.

Bewerkersovereenkomst

Indien uitsluitend sprake is van een aansluiting op SURFconext gaat SURF er standaard van uit dat de instelling, indien nodig, een bewerkersovereenkomst afsluit met de betreffende leverancier. Dit betekent onder meer dat SURF geen beoordeling doet van een eventuele Third Party Memorandum (TPM) over de aangeboden dienst. De Bewerkersovereenkomst moet je als instelling zelf tot stand brengen (als er persoonsgegevens worden verwerkt, maar dat is al snel het geval). Van de leveranciers zal wel worden gevraagd om een aantal vragen te beantwoorden die inzicht geven op het gebied van te verwerken persoonsgegevens, beveiligingsmaatregelen en audit. We maken de antwoorden van de leverancier en de contractuele afspraken uit de Aansluitovereenkomst inzichtelijk voor jouw instelling.

Snellere aansluiting

Het kostte nieuwe leveranciers in het verleden soms veel tijd om aan te sluiten op SURFconext vanwege de gevraagde audit en TPM-verklaring. De koppeling op SURFconext zal nu sneller gerealiseerd kunnen worden. De instelling sluit zelf een Bewerkersovereenkomst met de leveranciers en kan daarbij haar eigen keuze maken met betrekking tot eisen aan beveiligingsmaatregelen en audit.

Hoe verder?

Werkt jouw instelling met diensten die je via SURFconext wilt gebruiken of wil jouw instelling daarmee gaan werken? Vraag de leverancier om contact op te nemen met SURFnet om kennis te nemen van de nieuwe voorwaarden voor aansluiten op SURFconext en de vragenlijst. Instellingen die zelf bewerkersovereenkomsten willen afsluiten, kunnen de model bewerkersovereenkomst van SURF gebruiken. Desgewenst biedt SURFmarket, tegen betaling, hulp bij de onderhandelingen over de bewerkersovereenkomst en het beoordelen van auditdocumenten en TPM’s.

Meer informatie

Neem contact op :

Raoul Teeuwen

Productmanager Trust & Identity

  • +31-887873000
  • Dit e-mailadres is afgeschermd. Activeer JavaScript om het te zien.
Laatste wijziging op 28 mrt 2017