Wat doet SURF op het gebied van de AVG?

23 MEI 2018

Sinds 25 mei 2018 is de AVG, nieuwe Europese privacywetgeving, van toepassing. De AVG heeft veel invloed op hoe instellingen omgaan met persoonsgegevens. Wat doet SURF al op dit gebied, en wat kun je in de nabije toekomst van ons verwachten?

AVG/GDPR: privacy waarborgen

In de Algemene verordening gegevensbescherming (AVG, GDPR in het Engels) staan regels over de omgang met persoonsgegevens, die voor alle organisaties in de hele EU gelijk zijn. De verordening stelt een zorgvuldige verwerking van persoonsgegevens verplicht, om zo de privacy van de betrokkenen en hun data te waarborgen.

Normenkader en hulp bij implementatie

De afgelopen jaren hebben onderzoeks- en onderwijsinstellingen en SURF al veel op het gebied van privacy en de AVG gedaan. Zo is er sinds 2015 een normenkader voor clouddiensten, zijn er verschillende bijeenkomsten gehouden over de AVG, en zijn er publicaties verschenen die instellingen helpen bij de implementatie van de AVG. Ook is er een wiki beschikbaar. Lees meer over hoe SURF aandacht besteedt aan de AVG.

SURF-dienstverlening AVG-proof maken

Vanzelfsprekend valt de SURF-dienstverlening ook onder de AVG. SURF heeft al zijn dienstverlening geïnventariseerd en per dienst bekeken hoe persoonsgegevens worden verwerkt. De vraag die we hierbij stelden was welke rol SURF heeft in de zin van de AVG. Soms is dat in de rol van verwerkingsverantwoordelijke (bijvoorbeeld SURFinternet), soms in de rol van verwerker (bijvoorbeeld SURFdrive). Per rol gelden andere regels.

Nieuwe verwerkersovereenkomst en privacy statements

Op dit moment werken we aan een SURF-brede verwerkersovereenkomst voor alle instellingen. Deze overeenkomst is gebaseerd op het normenkader voor clouddiensten. Voor elke dienst waar SURF verwerker is, maakt SURF een aparte bijlage met specificatie. Bij diensten waar SURF verwerkersverantwoordelijke is, informeren we de instellingen en gebruiker met speciale privacy statements. We publiceren deze statements binnenkort. Voor nieuw te ontwikkelen diensten tenslotte, hanteren we de principes van privacy by design en security by design, zodat nieuwe diensten steeds voldoen aan onze hoge standaarden.

Meer informatie over AVG in workshops

De AVG wordt nu van kracht. Maar dat betekent natuurlijk niet dat hiermee alle vragen zijn opgelost. We blijven onze instellingen ondersteunen en informeren over de privacy-aspecten van onze diensten. Ook komen er binnenkort workshops over de AVG en de privacy-aspecten van de SURF-diensten. De data maken we bekend via SURF Nieuws en op surf.nl/agenda.

Handige links

Heb je nog vragen over de AVG? Dan kun je ook contact opnemen via privacy@surf.nl .

Laatste wijziging op 04 jun 2018