Nieuw informatiescherm SURFconext voor meer transparantie

SURF vindt het belangrijk dat gebruikers goed geïnformeerd worden over welke persoonsgegevens via SURFconext met diensten worden gedeeld. Daarom krijgen gebruikers die via SURFconext voor het eerst een nieuwe dienst bezoeken, een informatiescherm te zien. Dat maakt onder meer duidelijk welke attributen er worden uitgewisseld. Het informatiescherm is onlangs grondig vernieuwd. We denken dat we met het scherm een goed evenwicht hebben gevonden tussen transparantie en gebruikersgemak.

Wanneer wordt het informatiescherm getoond?

Het vernieuwde scherm verschijnt elke keer als een student, docent, onderzoeker of een medewerker van een onderwijs- of onderzoeksinstelling voor het eerst een nieuwe dienst via SURFconext bezoekt. Ook als er iets verandert aan de attributen die een dienst ontvangt, krijgt de gebruiker het scherm te zien. Stel bijvoorbeeld dat de naam van de gebruiker die de instelling aan de dienst doorgeeft verkeerd is gespeld. Je geeft dat door aan je instelling en het wordt aangepast. De eerstvolgende keer dat je de dienst bezoekt, zie je het informatiescherm met de aangepaste gegevens.

Het scherm wordt ook getoond als de dienst nieuwe attributen over de gebruiker nodig heeft. Stel dat de dienst vroeger genoeg had aan je e-mailadres, maar tegenwoordig ook graag je naam wil weten. Dan is de attributenset gewijzigd. Ook dan krijg je het informatiescherm opnieuw te zien.

Welke informatie geeft het informatiescherm nog meer weer?

Op het informatiescherm staat:

  1. Een korte uitleg over SURFconext (zie ook afbeelding 2)
  2. Een link naar het privacybeleid van de dienst (indien bekend)
  3. De lijst met attributen die de dienst nodig heeft, bijvoorbeeld je naam en emailadres
  4. De reden waarom de dienst een attribuut nodig heeft (indien bekend)
  5. Een uitleg over wat de gebruiker kan doen als er fouten in deze lijst staan, bijvoorbeeld als zijn of haar naam verkeerd gespeld is
  6. (Optioneel) Een extra waarschuwing van de instelling met daarin een link naar bijvoorbeeld de fair use policy van de instelling
  7. Een link naar de SURFconext profielpagina, waarop de gebruiker meer informatie kan vinden over SURFconext en de diensten die hij of zij via SURFconext gebruikt
  8. De mogelijkheid om het inloggen af te breken (bijvoorbeeld als je niet wil dat de leverancier van de dienst jouw attributen krijgt)

(tekst loopt door onder de afbeeldingen)

Screenshot van het vernieuwde informatiescherm
Afbeelding 1: het vernieuwde informatiescherm
Screenshot van uitleg over SURFconext binnen het informatiescherm
Afbeelding 2: Uitleg over SURFconext binnen het informatiescherm

Wat kunnen instellingen met de extra waarschuwing?

Instellingen hebben de mogelijkheid om per dienst een extra melding voor de gebruiker toe te voegen (optie 6). Deze melding kan worden gebruikt om ergens extra nadruk op te leggen, bijvoorbeeld dat de gebruiker op het punt staat om in te loggen bij een dienst die niet wordt ondersteund door de instelling. Met deze melding kan de instelling bijvoorbeeld duidelijk maken: ‘je mag inloggen, maar we bieden geen ondersteuning voor deze dienst. Let ook extra op welke data je in deze dienst opslaat.’ Voor een optimaal effect is het aan te raden om de melding gedoseerd in te zetten.

We hebben hier met de instellingen voor gekozen, omdat zij vaak terughoudend zijn met het koppelen met nieuwe diensten. Gebruikers vragen regelmatig om toegang tot nieuwe diensten en koppelen is technisch mogelijk, maar de instellingen maken zich soms zorgen dat er bijvoorbeeld extra druk op de helpdesk komt te staan.

Toestemming of informatie?

Oplettende lezers zullen nu opmerken dat er al een dergelijk scherm bestond. Dat klopt. Op het oude scherm vroeg SURFconext de gebruiker expliciet om toestemming voor het doorgeven van attributen aan de dienst. Het nieuwe scherm informeert de gebruiker, maar vraagt niet expliciet om toestemming. Dit heeft een juridische achtergrond. Het toestemmingsscherm kan de suggestie wekken dat de gebruiker toestemming verleent volgens de AVG. Toestemming volgens de AVG houdt onder meer in dat de gebruiker zijn toestemming later weer net zo eenvoudig kan intrekken. Dat is bij SURFconext lastig – voor het intrekken van toestemming zal je als gebruiker de dienstleverancier rechtstreeks moeten benaderen. Lees op onze Wiki meer informatie over het intrekken van toestemming.

En het oude scherm dan?

Instellingen kunnen er nog wel voor kiezen om het ‘oude’ scherm te gebruiken (de variant die de gebruiker expliciet om toestemming vraagt). Het is ook mogelijk om helemaal geen informatiescherm te tonen. Standaard wordt het nieuwe informatiescherm getoond.

Beheerders bij instellingen (met de rol SURFconext-verantwoordelijke) kunnen via het SURFconext Dashboard per dienst kiezen welke variant aan gebruikers getoond moet worden. Ook kunnen zij daar de optionele extra melding configureren.

Webinar

Bekijk hieronder het webinar 'Mogen we je gegevens doorgeven?' of ga naar de webinar-pagina om meer te lezen over dit onderwerp.

Auteur

Reacties

Dit artikel heeft 0 reacties