Veelgestelde vragen SURF Vendor Compliance
Op deze pagina vind je de meeste gestelde vragen over SURF Vendor Compliance. Zowel algemene vragen als vragen over de dienstverlening.
Nee, we voeren trajecten uit op leveranciers/applicaties waarbij binnen de sector
behoefte is aan gesprekken over privacy en/of security. Dit hoeven geen partijen te zijn waar we al een overeenkomst mee hebben. We onderhandelen zoveel mogelijk
aanpassingen/contractafspraken waarvan de gehele onderwijs- en onderzoekssector kan profiteren. Dit geldt ook als contracten rechtstreeks tussen de instelling en de leverancier worden afgesloten. Een bijkomend voordeel is dat deze trajecten kunnen leiden tot een overeenkomst via SURF, denk bijvoorbeeld aan Zoom.
Twee keer per jaar inventariseren behoeftes bij: Inkoopnetwerk, CSC/security incoop linkin pins, Ciso’s, PO’s, FG’s (SCIPR), Regiegroep Cyberveiligheid, Taskforce beyond privacy shield & MBODigitaal.
We bundelen behoeftes aan de hand van criteria, zoals mogelijke landelijke samenwerkingen, gebruik en urgentie binnen sectoren, gesignaleerde issues zoals bij dataoplsag, incidenten, mogelijke conflicten met inkooptrajecten SURF, zwaarte (klein, midden, groot). De informatie wordt vertaald naar een voorstel voor de kalender (wanneer worden welke trajecten uitgevoerd. De kalender wordt voorgelegd aan de Regiegroep Cyberveiligheid. Zij stemmen dit af met de achterban en komen met een gedragen advies over de kalender.
Het advies gaat naar de CSC voorzitters. Zij adviseren de RvB van SURF. De uitkomsten van het advies worden bij de RvB van SURF ter vaststelling/goedkeuring voorgelegd. We informeren van hiervoor genoemde betrokkenen en het leveren van de dienstverlening. WE rapporteren aan de Regiegroep Cyberveiligheid conform de bestaande frequentie en jaalijkse cyclus binnen SURF. Indien uit de evaluatie blijkt dat substantiële wijzigingen gewenst zijn worden deze voorgelegd aan de de SPA.
We hebben van leden de vraag gekregen of wij namens de sector DPIA’s, DTIA’s en
security checks willen uitvoeren op leveranciers/applicaties die relevant zijn voor het
merendeel van de leden. SURF onderhandelt namens de hele sector, waardoor we velen malen sterker staan tegenover leveranciers dan individuele instellingen.
Als we een risicoanalyse hebben uitgevoerd op een leverancier/applicatie gaan we met de leverancier in gesprek over de maatregelen om eventueel gevonden risico’s zoveel mogelijk op te lossen. Veel van deze afspraken worden vastgelegd in bijvoorbeeld een standaard verwerkersovereenkomst. Ook worden er instructies gemaakt waarin staat hoe instellingen op een zo privacy en security vriendelijke manier gebruik kunnen maken van de applicatie. Deze instructies worden zoveel mogelijk openbaar gedeeld. Of jouw instelling daadwerkelijk gebruik maakt van de applicatie is aan de instelling zelf. De instelling heeft de verantwoordelijkheid om te beoordelen of de applicatie/leverancier in te zetten is binnen de eigen processen. Wij verrichten veel voorwerk, maar de instelling moet het zelf toepasbaar maken binnen de eigen organisatie. Je kunt hierbij profiteren van de technische, organisatorische en juridische afspraken die wij voor je geregeld hebben.
De kosten voor het uitvoeren van compliance trajecten wordt bekostigd uit de
Basisvergoeding Inkoop en Digitale Platformen (BIDP). De leden hebben goedkeuring
gegeven om de SURF Vendor Compliance dienstverlening hierin op te nemen. Vrijwel alle leden betalen deze basisvergoeding, inclusief voor de SURF Vendor Compliance
dienstverlening. Er wordt dus op centraal niveau aan de dienst bijgedragen.
Als er binnen de instelling verschillende behoeften zijn, bijvoorbeeld bij personen op verschillende afdelingen, dan kunnen al deze personen input aanleveren. Als een leverancier/applicatie meerdere keren wordt genoemd tellen we deze één keer mee. Alle aangeleverde leveranciers/applicaties per instelling tellen namelijk één keer mee.
Voorbeeld:
- 5 personen van instelling X leveren ieder 3 verschillende applicaties aan: in totaal zijn er 15 applicaties vanuit instelling X aangeleverd.
- 5 personen van instelling X leveren allemaal 3 dezelfde applicaties aan: in totaal zijn er 3 applicaties vanuit instelling X aangeleverd.
Zo waarborgen we dat elke discipline/rol vertegenwoordigd is in het aanleveren van de gewenste applicaties/leveranciers.
Als je gezamenlijk wensen wilt aanleveren dan kan dit op 2 manieren:
- Iedere instelling vult apart van elkaar de gezamenlijk afgestemde lijst in.
- De lijst wordt door één instelling aangeleverd, maar er wordt duidelijk bij vermeld namens welke instellingen de wensen worden ingediend. We tellen namelijk hoeveel instellingen de wens uitspreken voor een compliance traject op een bepaalde leverancier/applicatie.
Eerder aangeleverde wensen voor compliance trajecten blijven gelden. Nieuwe input tellen we hierbij op. De leveranciers/applicaties die vaak genoemd zijn zetten wij op een shortlist. Twee keer per jaar vragen we instellingen alle leveranciers/applicaties op de shortlist van feedback te voorzien. Zo is het voor ons duidelijk welke applicaties urgentie verdienen en kunnen wij onze kalender hierop aanpassen. Input en wensen voor compliance trajecten kun je continu doorgeven via dit formulier.
We pakken gemiddeld acht trajecten per jaar op. Om de behoefte voor de agenda op te halen versturen we twee keer per jaar een uitvraag naar de volgende personen: CISO’s, security officers, privacy officers en FG’s via het SCIPR-netwerk, contactpersonen software, CSC’s, de regiegroep Cyberveiligheid, de Taskforce Beyond Privacy Shield en MBO Digitaal (via het IBP netwerk).
Heb je in de tussentijd wensen, dan kun je deze doorgeven via het
inventarisatieformulier. De wensen die wij tussentijds ontvangen worden meegenomen in de volgende update van de kalender.
Instellingen maken op grote schaal gebruik van verschillende leveranciers. In veel
gevallen verwerken leveranciers persoonsgegevens van de SURF-leden en hun
gebruikers. Instellingen zijn volgens de AVG verplicht om hun leveranciers te controleren op hoe zij omgaan met privacy en security. SURF pakt dergelijke compliance trajecten op verzoek van instellingen op. We gaan namens instellingen met leveranciers in gesprek over privacy en/of security en zorgen ervoor dat leveranciers maatregelen nemen om geconstateerde risico’s op te lossen. Het loont om dit gezamenlijk namens alle instellingen te doen, door het bundelen van kennis en expertise realiseren we een kostenbesparing, kennisdeling en hebben we een sterkere onderhandelingspositie
richting leveranciers.
Een DPIA, Data Protection Impact Assessment (DPIA), ook wel een
gegevensbeschermingseffectbeoordeling, is een instrument om privacy risico’s voor
betrokkenen (bijvoorbeeld gebruikers) in kaart te brengen. Vanuit de Algemene
Verordening Gegevensbescherming (AVG) is een DPIA noodzakelijk indien er sprake is
van grootschalige verwerking van persoonsgegevens of gevoelige persoonsgegevens.
Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten. Zo zorgen de leden gezamenlijk voor schaalgrootte en een efficiënt aanspreekpunt voor leveranciers. Het uitvoeren van risicoanalyses zoals DPIA’s zijn hier een onderdeel van. In veel gevallen verwerken
leveranciers persoonsgegevens van (werknemers en studenten van) de SURF-leden. Het is daarom belangrijk dat de leveranciers voldoen aan wet- en regelgeving. SURF werkt hierin zoveel als mogelijk samen met samenwerkingspartners zoals SIVON en de overheid. Er zijn samen al meerdere DPIA’s uitgevoerd.
Ja, er is een nauwe samenwerking tussen SIVON en SURF. Evenals MBO Digitaal en SURF (en andere samenwerkingspartners zoals het Rijk). Als het even kan werken we samen op de verschillende DPIA’s of wisselen informatie uit over de lopende trajecten.
Iedere instelling moet zelf bepalen in hoeverre de resultaten toepasbaar zijn op de eigen organisatie. De opgeleverde DPIA's kunnen derhalve door iedereen worden gebruikt, ook door organisaties buiten onderwijs en onderzoek, maar moeten altijd worden uitgelegd naar de eigen situatie, processen en omgeving.
In de meeste gevallen werken we samen met samenwerkingspartners zoals de Overheid, SIVON en laten we onderzoeken uitvoeren door externe partijen,zoals Privacy Company.
De risicoanalyses zijn in het Engels, omdat de voertaal bij internationale leveranciers
Engels is. De resultaten moeten ook voor medewerkers van deze organisaties duidelijk 4/4 zijn en niet verkeerd geïnterpreteerd of vertaald worden. Daarnaast zijn ze dan door een brede doelgroep leesbaar.