Andre Klaver
Ik ben tweede- en derdelijnssupport engineer voor SURFconext. Neem contact… Meer over Andre Klaver
Contentdiensten die via SURFconext worden aangeboden, bijvoorbeeld voor video of onderzoeksliteratuur, krijgen in sommige gevallen te veel persoonsgegevens in de vorm van attributen. Het samenwerkingsverband van de Nederlandse universiteitsbibliotheken en de Koninklijke Bibliotheek (UKB), Hogeschoolbibliotheken (SHB) en SURFconext startten medio 2018 een project om het aantal privacygevoelige attributen te verminderen. In dit blog lees je welke resultaten we inmiddels hebben geboekt.
Een attribuut is een kenmerk dat een gebruiker beschrijft, zoals een e-mailadres of de achternaam. SURFconext krijgt de attributen van de aangesloten instellingen waar de gebruikers werken of studeren. Vervolgens zorgen we dat de juiste attributen bij contentdiensten terechtkomen. SURFconext streeft er naar zo weinig mogelijk persoonsgegevens in de vorm van attributen aan diensten door te geven. Dat houdt in dat SURFconext maximaal vrijgeeft wat een dienst minimaal nodig heeft om te functioneren. Om daarvoor te zorgen spraken SURFconext, het UKB en SHB vorig jaar af de hoeveelheid attributen terug te dringen tot een minimale set. Hierbij geeft de instelling via SURFconext geen persoonsgegevens meer door aan de contentdiensten.
Niet iedere dienstaanbieder – van de in totaal ongeveer 20 – vond het vanzelfsprekend om attributen te schrappen. En soms was het lastig ze te overtuigen van de noodzaak. Inmiddels heeft een aantal toegezegd de persoonsgebonden attributen te schrappen. Dit kunnen we realiseren zonder dat de gebruikers hun gegevens bij deze diensten kwijtraken. Met ‘gegevens’ bedoelen we hier niet de attributen, maar de gegevens die opgeslagen zijn in het profiel van de gebruiker bij een dienst. Attributen vormen een profiel waaronder de gegevens van de gebruiker zijn opgeslagen. En die worden gebruikt om die gegevens te koppelen aan de gebruiker die zich aanmeldt via SURFconext. Wat we doen, is de gebruiker – zonder privacygevoelige attributen prijs te geven – toegang geven tot zijn gegevens. De dienstverlener weet niet meer wie je bent, maar je kunt je gegevens wel beheren in jouw unieke, anonieme profiel.
We hebben afgesproken de attributen terug te brengen naar een set die niet persoonsgebonden is. Wat overblijft zijn attributen zoals het door SURFconext gegenereerde anonieme Persistent NameID, schacHomeOrganization of eduPersonAffiliation. Hoe ziet zo’n overgang er nu uit? Hoe weet een dienst nu welk Persistent NameID bij welke gebruiker hoort? Laten we als voorbeeld het attribuut ‘mail’ nemen. Dit is privacygevoelig en moet volgens de richtlijnen van UKB, SHB en SURFconext vervangen worden. Het door SURFconext gegenereerde Persistent NameID is hiervoor bij uitstek geschikt. Dit is een unieke identifier die geen persoonsgegevens prijsgeeft en waaraan een profiel gekoppeld kan worden. Dit voor de dienst nieuwe attribuut moet met bestaande bij de dienst opgeslagen attributen gecombineerd worden. Het Persistent NameID wordt nu samen met ‘mail’ vrijgegeven. Als iemand zich aanmeldt via SURFconext wordt het Persistent NameID opgeslagen in hetzelfde ‘mail’-profiel bij de dienst waarna het attribuut ‘mail’ overbodig is geworden. Als de gebruiker terugkomt is zijn profiel bijgewerkt en zijn de gegevens gekoppeld aan het Persistent NameID. Mail is niet meer nodig.
De dienstaanbieders moeten aan de slag met de techniek om dit mogelijk te maken. Om gegevens niet verloren te laten gaan, geven SURFconext en de diensten gebruikers gedurende een afgesproken tijd de mogelijkheid zich aan te melden zodat de dienstaanbieder het profiel kan bijwerken. Zo is met het Persistent NameID vaak geen rekening gehouden, dus dat is niet opgeslagen in het profiel van gebruikers. Buiten deze technische zaken, gaan diensten waar mogelijk gebruikers mailen om ze aan te sporen zich aan te melden als ze hun profiel willen behouden. Eén keer aanmelden is genoeg om hun profiel te koppelen aan het Persistent NameID, en de privacygevoelige attributen zoals mail te verwijderen.
We hebben toezeggingen van enkele dienstaanbieders dat ze kunnen voldoen aan de gestelde eisen. Op 1 januari 2020 gaat Beeld en Geluid op school van het Nederlands Instituut voor Beeld en Geluid over. Ze gaan van zes naar drie attributen: Persistent NameID, eduPersonAffiliation en schacHomeOrganization blijven. Mail, eduPersonPrincipalName en common name worden geschrapt. Bijna hetzelfde gaat op voor de contentdienst van ThiemeMeulenhoff. Daar was iets bijzonders aan de hand omdat deze tot voor kort zelfs het originele NameID van gebruikers ontving. Die is privacygevoelig en gaf technische problemen bij ons. Dit is in nauwe samenwerking opgelost. Vanaf 1 mei gaan ze van zes naar twee attributen: Persistent NameID en schacHomeOrganization. Common name, surname, mail en het originele NameID vervallen. Profielen blijven bewaard door het Persistent NameID aan bestaande profielen te koppelen. Gebruikers merken hier bijna niets van en ook instellingen hoeven niets te doen. Wat gebruikers wél zullen moeten doen is opnieuw toestemming (consent) moeten geven op de nieuwe set attributen omdat deze veranderd is. Zo krijgen ze te zien met welke attributen de dienst vanaf dat moment werkt.
Het project verloopt voor de ene dienstaanbieder voorspoediger dan de andere. Bij diensten die niet overtuigd zijn of de boot afhouden, blijven we aandringen op verandering. Want het is zeker haalbaar, zoals Beeld en Geluid op school en ThiemeMeulenhoff laten zien.
Ik ben tweede- en derdelijnssupport engineer voor SURFconext. Neem contact… Meer over Andre Klaver
0 Praat mee