Privacyverklaring SURFsara-diensten

In deze privacybverklaring lees je hoe SURFsara omgaat met je persoonsgegevens in het kader van het gebruik van de diensten van SURFsara.

Zie de privacyverklaring van SURF voor het privacybeleid met betrekking tot de verwerking van persoonsgegevens bij het gebruik van onze websites en bij events.

Over deze privacyverklaring

SURFsara hecht belang aan de privacy van de aangesloten instellingen en de eindgebruikers van onze diensten. We gaan daarom zorgvuldig om met je persoonsgegevens en houden ons daarbij aan alle geldende nationale en Europese wet- en regelgeving. Hoe we dit precies doen is te vinden in deze privacyverklaring.

  • Deze privacyverklaring gaat over de volgende SURFsara-dienst(en):
  • Nationale Supercomputer (Cartesius)
  • LISA Rekencluster
  • HPC Cloud
  • Data-opslagdiensten
    • SURFdrive
    • Research Drive
    • B2SAFE/Data replication
    • Data Archive
    • Object Store
    • Data Persistent Identifier
  • Alle grid-diensten die onderdeel zijn van site SARA-MATRIX:
    • Alle grid-compute services en CE’s binnen SARA-MATRIX
    • Alle grid-storage services en SRM’s binnen SARA-MATRIX
    • Alle WMS services binnen SARA-MATRIX
    • Alle grid UI’s binnen SARA-MATRIX
    • Alle VOMS services binnen SARA-MATRIX
    • Alle MyProxy services binnen SARA-MATRIX
    • Alle BDII services binnen SARA-MATRIX
    • Alle CVMFS services binnen SARA-MATRIX
    • Softdrive services
    • PiCaS services
    • FTS services
    • ToPoS services

We hebben de privacyverklaring opgesplitst in verschillende hoofdstukken. Ook hebben we de belangrijkste informatie direct in het zicht geplaatst.

Definities:

  • “Klanten” betekent de instelling/entiteit die de dienst afneemt.
  • “Gebruiker” betekent de individuele gebruiker van de dienst.
1. Wie zijn wij?

Wij zijn SURFsara B.V. (“SURFsara”), gevestigd aan het Science Park 140, 1098 XG Amsterdam. We zijn te bereiken via telefoonnummer +31-20-8001300. SURFsara is onderdeel van de coöperatie SURF, de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland. In de coöperatie SURF werken de Nederlandse universiteiten, hogescholen, universitaire medische centra, onderzoeksinstellingen en mbo-instellingen samen aan ICT-innovatie.
Meer over de coöperatie SURF

3. Welke persoonsgegevens verzamelen we?

Wij verwerken alleen persoonsgegevens, die wij nodig hebben voor de doelen, genoemd in artikel 4 hieronder. Als dienstaanbieder van de diensten verzamelen we de volgende gegevens van je:

Nationale Supercomputer en het LISA Rekencluster:

  • Persoonlijke identificatiegegevens:
    (Gebruikers)naam, nationaliteit, inloggegevens, accountnummer, NWO-projectnummer/contractnummer, (…)
     
  • Contactgegevens:
    E-mailadres, telefoonnummer, adres, instituut, (sub)faculteit, onderzoeksgroep (…)

HPC Cloud dienst:

  • Persoonlijke identificatiegegevens:
    (Gebruikers)naam, inloggegevens, organisatie,
     
  • Contactgegevens:
    E-mailadres, telefoonnummer

Data-opslagdiensten:

  • Persoonlijke identificatiegegevens:
    (Gebruikers)naam, inloggegevens, accountnummer, NWO-projectnummer/contractnummer,
     
  • Contactgegevens:
    E-mailadres, telefoonnummer, adres, instituut, (sub)faculteit, onderzoeksgroep (…)

GRID-dienst:

  • Persoonlijke identificatiegegevens:
    (Gebruikers)naam, inloggegevens, user DN, Nationaliteit
     
  • Contactgegevens:
    E-mailadres, telefoonnummer

Elektronische (identificatie)gegevens en incidenten:

Ten behoeve van alle diensten van SURFsara worden de volgende gegevens verwerkt.

  • Elektronische identificatiegegevens en technische gegevens:
    IP-adres, locatiegegevens, logbestanden, authenticatielogs, netflowdata (dit zijn loggegevens op het netwerk)

Incidentgegevens:

De SURFsara-helpdesk en het SURFsara-CERT team ontvangen soms incidentmeldingen die betrekking hebben op het functioneren of op de beveiliging van de dienst. Deze meldingen kunnen in sommige gevallen persoonsgegevens bevatten. Incidentmeldingen worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van 3 jaar.

4. Hoe gebruiken we je persoonsgegevens?

Om een goed werkende, betrouwbare en gebruiksvriendelijke dienst te kunnen leveren is het noodzakelijk om in beperkte mate persoonsgegevens van je te verwerken. Wij zullen de persoonsgegevens niet voor andere doeleinden gebruiken, tenzij je daar vooraf toestemming voor hebt gegeven of wij dit op grond van de wet mogen of moeten doen.
De onderstaande persoonsgegevens worden verwerkt voor de volgende doeleinden:

  • Persoonlijke identificatiegegevens: Wij verwerken jouw identificatiegegevens, zodat wij jou kunnen identificeren wanneer je inlogt en je gebruik kan maken van onze diensten.
  • Contactgegevens: Wij verwerken jouw contactgegevens zodat wij serviceberichten kunnen sturen en jou kunnen helpen bij het oplossen van problemen.
  • Elektronische identificatiegegevens en technische gegevens: Wij verwerken deze gegevens om (I) de capaciteit en de performance van het SURFsara-netwerk te monitoren en (II) om het netwerk te kunnen beveiligen en daarmee de aangesloten instellingen (proactief en reactief) te kunnen beschermen.

    I) Capaciteit en performance: Loggegevens en accountingdata worden omgezet tot geaggregeerde interne overzichten. Aan de hand van deze informatie wordt de dienst geoptimaliseerd voor haar Gebruikers.

    II) Beveiliging: SURFsara-CERT (Computer Emergency Response Team) gebruikt netflowdata en authenticatielogs bijvoorbeeld om aanvallen en (gerichte en ongerichte) hackpogingen te herkennen en tegen te gaan. Ook wordt de data gebruikt bij het oplossen van securityincidenten indien deze zich voordoen. Ook logbestanden van (netwerk en firewall) apparatuur worden verwerkt in verband met de beveiliging.

  • Incidentgegevens:
    Ook incidentmeldingen bewaren wij met het doel om onze beveiliging te optimaliseren.

Grondslag voor verwerking

Persoonsgegevens mogen alleen verwerkt worden als er een rechtmatige grondslag voor is. We verwerken je persoonsgegevens in het kader van onze dienstverlening om een kwalitatief goede en betrouwbare dienst te kunnen beheren en te leveren. Dit gaat om gegevens van interne en externe contactpersonen voor het leggen van contacten bij wijzigingen en bij het oplossen van problemen. SURFsara-CERT verwerkt persoonsgegevens met het oog op netwerk- en informatiebeveiliging, om de SURFsara-diensten te beveiligen en te beschermen tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties. De persoonsgegevens worden gebruikt om gebeurtenissen en acties te signaleren en bij het afhandelen van incidenten.

Deze belangen bij het verwerken van de gegevens bestaan dus uit het aan kunnen bieden van een snelle en veilige dienst, waarbij zo min mogelijk over de Gebruikers wordt gelogd en verzameld. Dataminimalisatie is daarbij ons uitgangspunt.

Om een goed werkende en betrouwbare dienst te kunnen leveren is het noodzakelijk om in beperkte mate persoonsgegevens, zoals login, accounting en netflowgegevens van Gebruikers te verwerken. Ook zou het beheer te beperkt worden om de kwaliteit te garanderen die van de dienst verwacht wordt. Daarnaast is het beleid binnen SURFsara dat het niet mogelijk om de dienst anoniem te gebruiken zodat in het geval van misbruik een Gebruiker en/of haar account te identificeren is.

Belang afgewogen tegen het privacybelang van de Gebruiker: de inbreuk op de rechten en de vrijheden van de betrokkenen is zoveel mogelijk beperkt. Uit die gegevens is niet direct af te leiden om welke natuurlijke persoon het gaat. Enkel is te zien bijvoorbeeld welk IP-adres welke website (eigenlijk welk IP-adres) wordt bezocht. Dit wordt niet gebruikt voor monitoring of profilering van de Gebruiker en de Gebruiker wordt niet beperkt in zijn gebruik.

5. Hoe lang bewaren we je gegevens?

Bovenstaande gegevens worden bewaard zolang het nodig is om onze dienst aan jou te leveren met een maximale bewaartermijn van 6 maanden na de laatste activiteit. Indien een of meerdere specifieke persoonsgegeven een andere bewaartermijn hebben dan wordt dat specifiek vermeld bij deze gegevens. De gegevens worden vervolgens gewist, tenzij er een wettelijke plicht is die langer bewaren vereist (zoals de fiscale bewaarplicht van 7 jaar voor betaalgegevens).

6. Wie heeft toegang tot je gegevens?

In de regel delen we de gegevens nooit met derden. Slechts in bepaalde gevallen delen wij je gegevens met derden. Voorbeelden hiervan zijn: (i) voor het leveren van support, (ii) in het kader van het oplossen van geschillen, of (iii) vanwege een wettelijke verplichting die op ons rust.

7. Je rechten als Gebruiker

Als Gebruiker van de SURFsara-diensten heb je een aantal rechten waarvan je gebruik kunt maken op grond van toepasselijke wet- en regelgeving die toeziet op de bescherming van persoonsgegevens. Zo kun je contact met ons opnemen om te verzoeken (i) inzage te krijgen tot persoonsgegevens die wij van je hebben, (ii) je gegevens te corrigeren, (iii) je gegevens te laten verwijderen, (iv) de verwerking van je gegevens te beperken, (v) je gegevens over te dragen, en (vi) bezwaar te maken tegen de verwerking van je persoonsgegevens. 

NB: We zullen je in bepaalde gevallen misschien vragen om aanvullende informatie zodat wij je identiteit kunnen vaststellen.

Recht tot inzage

Je kunt ons vragen of wij persoonsgegevens van je verwerken en je kunt inzage verkrijgen in deze gegevens door het ontvangen van een afschrift daarvan. Bij het inwilligen van je verzoek tot inzage verstrekken wij je ook aanvullende informatie, zoals het doel van de verwerking, de betrokken categorieën persoonsgegevens en andere informatie die je nodig hebt om dit recht wezenlijk uit te oefenen.

Recht op rectificatie

Je hebt het recht je gegevens te corrigeren wanneer deze onjuist of onvolledig zijn. Op jouw verzoek verbeteren wij onjuiste persoonsgegevens over jou en vullen wij onvolledige persoonsgegevens aan, rekening houdend met de doeleinden waarvoor ze worden verwerkt; dit kan ook de afgifte van een aanvullende verklaring inhouden.

Recht op verwijdering (“recht op vergetelheid”)

Je hebt verder het recht om je persoonsgegevens te laten wissen, wat de verwijdering van al je gegevens inhoudt, zowel door ons als, voor zover mogelijk, door andere verwerkingsverantwoordelijken met wie je gegevens eerder door ons zijn gedeeld. Overigens vindt verwijdering van je persoonsgegevens slechts in bepaalde, door de wet voorgeschreven gevallen plaats; deze gevallen staan vermeld in art. 17 van de AVG. Dit betreft bijvoorbeeld gevallen waarin je persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk waren verzameld en gevallen waarin zij onrechtmatig zijn verwerkt. Vanwege de wijze waarop wij bepaalde diensten inrichten, kan het enige tijd duren voordat back-ups zijn gewist.

Recht op beperking van de verwerking

Je hebt het recht de verwerking van je persoonsgegevens te laten beperken, wat inhoudt dat de verwerking van je gegevens gedurende een bepaalde tijd wordt opgeschort. Omstandigheden die aanleiding kunnen geven tot uitoefening van dit recht zijn bijvoorbeeld gevallen waarin de juistheid van je persoonsgegevens wordt betwist maar er enige tijd gemoeid is met het verifiëren daarvan. Dit recht belet ons niet om je persoonsgegevens te blijven opslaan. Voordat de beperking wordt opgeheven word je daarvan op de hoogte gebracht.

Recht op overdraagbaarheid van gegevens

Het recht op overdraagbaarheid van gegevens houdt in dat je het recht hebt de op je betrekking hebbende persoonsgegevens, indien technisch mogelijk, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. Op verzoek en indien technisch mogelijk, worden je persoonsgegevens door ons rechtstreeks overgedragen aan de andere verwerkingsverantwoordelijke.

Recht van bezwaar

Je hebt het recht bezwaar te maken tegen de verwerking van je persoonsgegevens. Dit houdt in dat je ons kunt verzoeken je persoonsgegevens niet langer te verwerken. Dit is alleen van toepassing als ‘gerechtvaardigde belangen’ de rechtsgrond voor de verwerking vormt.

Rechten ontzeggen of beperken

Er kunnen zich situaties voordoen waarin wij het recht hebben de in dit hoofdstuk bedoelde rechten te ontzeggen of beperken. In alle gevallen maken wij een zorgvuldige afweging of hiertoe reden bestaat en stellen wij je daarvan op de hoogte.

Zo kan het recht tot inzage worden ontzegd waar dit nodig is om de rechten en vrijheden van andere personen te beschermen, of kan geweigerd worden je persoonsgegevens te wissen als de verwerking van deze gegevens nodig is ter nakoming van wettelijke verplichtingen. Het recht op overdraagbaarheid van gegevens kan niet worden uitgeoefend wanneer deze persoonsgegevens niet door jou zijn verstrekt of wanneer de gegevens niet op basis van je toestemming of ter uitvoering van een overeenkomst door ons zijn verwerkt. Bij het beoordelen van de verzoeken zullen we ook rekening moeten houden met de vaak beperkte mate van verwerking die we doen. Dit heeft invloed op in welke mate we aan bepaalde verzoeken kunnen voldoen. We zullen in het kader van dataminimalisatie geen extra persoonsgegevens verwerken, enkel om bijvoorbeeld aan een inzageverzoek te kunnen voldoen. 

Gebruikmaken van je rechten

Als je gebruik wilt maken van een van je rechten, stuur dan een e-mail naar: helpdesk@surfsara.nl.
We zullen op verzoeken reageren in overeenstemming met de vereisten van de toepasselijke wetgeving inzake gegevensbescherming.

Bij onopgeloste problemen heb je ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

8. Wijzigingen

SURFsara kan wijzigingen aanbrengen in deze privacyverklaring. We raden je daarom aan om deze privacyverklaring geregeld te raadplegen.

9. Vragen

Wij nemen jouw privacy serieus. Als je specifieke vragen of opmerkingen hebt over je rechten dan kun je contact met ons opnemen. Neem dan contact op met onze ICT-helpdesk of contactpersoon privacyzaken. Je kunt ons het beste bereiken via:

Contactgegevens SURFsara

Algemeen

SURFsara
Science Park 140
1098 XG Amsterdam
communicatie@surfsara.nl
+31-20-8001300

Contactpersoon privacyzaken

Sedat Capkin
sedat.capkin@surf.nl