Privacystatement vaste netwerk en netwerkdiensten SURF

Wij zijn SURF, gevestigd aan het Moreelsepark 48, 3511 EP Utrecht. We zijn te bereiken via +31 88 787 30 00.  SURF is de ict-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland.

In de coöperatie SURF werken de Nederlandse universiteiten, hogescholen, universitaire medische centra, onderzoeksinstellingen en mbo-instellingen samen aan ict-innovatie. Meer over de coöperatie.

SURFinternet (vaste netwerk SURF)

Het vaste netwerk van SURF biedt het Nederlandse onderwijs en onderzoek een snelle en betrouwbare internetverbinding. Met het SURF-netwerk zijn alle gebruikers van de onderwijs- en onderzoekscommunity's met elkaar verbonden, en kunnen zij nationaal en internationaal samenwerken. Meer over de dienstverlening.

SURFcert

SURFcert biedt 24 uur per dag gedurende 7 dagen per week ondersteuning op het vlak van "incident response" aan op het SURF-netwerk aangesloten instellingen. Een instelling kan beveiligingsinbreuken (incidenten) melden bij SURFcert. SURFcert informeert de instelling daarna over de voortgang van het incident en (eventueel) advies over het oplossen van het incident. Meer over de dienstverlening van SURFcert.

DNS-resolving

Met DNS-resolving, onderdeel van SURFdomeinen, kunnen gebruikers diensten en systemen op het internet op een gebruiksvriendelijke manier bereiken. Het proces is beschreven in RFC 1034 en algemeen (wereldwijd) in gebruik. Als een gebruiker een website wil bezoeken, typt deze de naam van de website in (bijvoorbeeld www.surf.nl). SURFdomeinen, meer specifiek DNS, zorgt ervoor dat deze naam wordt vertaald naar het IP-adres van de website, zodat het systeem van de gebruiker de website kan benaderen, zonder dat de gebruiker verder iets hoeft te doen. Meer informatie over SURFdomeinen.

Voor het internet netwerk worden persoonsgegevens verwerkt die noodzakelijk zijn om een kwalitatief, snel en veilig netwerk te kunnen beheren en leveren. Deze verwerking is te splitsen in verschillende onderdelen:

1. Verwerking van netflowdata tot geaggregeerde interne overzichten. Aan de hand van deze informatie wordt het netwerk geoptimaliseerd voor haar gebruikers. Bijvoorbeeld voor het leggen van directe verbindingen met andere providers.
2. Verwerking van netflowdata tot geaggregeerde externe overzichten. Om klanten inzicht in het gebruik van de door hen afgenomen dienst te kunnen leveren.
3. Verwerking van netflowdata en andere persoonsgegevens. Om het netwerk te kunnen beveiligen en daarmee de aangesloten instellingen (proactief en reactief) te kunnen beschermen. Dat bestaat grofweg uit twee onderdelen:
   • De verstrekking van netflowdata aan SURFcert. SURFcert gebruikt de data bijvoorbeeld om DDOS-aanvallen en (gerichte en ongerichte) hackpogingen te herkennen en tegen te gaan. 
   • Verwerking van logbestanden van de (netwerk)apparatuur. 
4. Verwerking van contactinformatie. Allereerst worden persoonsgegevens verwerkt die noodzakelijk zijn om een kwalitatief en snel netwerk te kunnen beheren en leveren. Dit gaat om gegevens van interne en externe contactpersonen voor het leggen van contacten bij wijzigingen en bij het oplossen van problemen.  
5. Verwerking van de activiteiten van beheerders. Deze informatie geeft inzicht in de wijzigingshistorie van het netwerk en is van groot belang bij het oplossen van problemen. 

SURFcert verwerkt persoonsgegevens met het oog op netwerk- en informatiebeveiliging, om het SURF-netwerk en de daarmee verband houdende diensten te beveiligen en te beschermen tegen incidentele gebeurtenissen of onrechtmatige of kwaadaardige acties. De persoonsgegevens worden verzameld en verwerkt om gebeurtenissen en acties te signaleren en worden gebruikt bij het afhandelen van incidenten.

Voor DNS-resolving (onderdeel van SURFdomeinen) is het IP-adres van het systeem van de gebruiker nodig. De dienst zorgt ervoor dat de naam van een systeem of dienst op het internet wordt vertaald naar het IP-adres daarvan, zodat het systeem van de gebruiker dat systeem of die dienst kan bereiken. Daarvoor moet het IP-adres van het systeem van de gebruiker bekend zijn, anders kan er geen communicatie plaatsvinden (afzender en geadresseerde moeten bekend zijn gedurende de communicatie). De verwerking van dit persoonsgegeven is noodzakelijk voor het functioneren van de dienst en voor het detecteren en opsporen van mogelijke aanvallen en besmettingen. 

Grondslag voor verwerking

Persoonsgegevens mogen alleen verwerkt worden als er een rechtmatige grondslag voor is. We verwerken je persoonsgegevens in het geval van het internet netwerk en de bijbehorende netwerkdiensten ter behartiging van de gerechtvaardigde belangen van de deelnemende instellingen en haar eindgebruikers. Deze belangen bestaan uit het aan kunnen bieden van een snel en veilig internet, waarbij zo min mogelijk over de eindgebruiker wordt gelogd en verzameld. Dataminimalisatie is daarbij ons uitgangspunt.

Gerechtvaardigd belang van SURF en de instellingen in het kader van het vaste internet netwerk: Om een goed werkend en betrouwbaar internetnetwerk te kunnen leveren, is het noodzakelijk om in beperkte mate persoonsgegevens, zoals netflowgegevens van gebruikers te verwerken. Zonder deze gegevens is het bijvoorbeeld niet mogelijk om gericht snellere verbindingen aan te leggen met externe partijen (Peering). Ook zou het beheer te beperkt worden om de kwaliteit te garanderen die van het netwerk verwacht wordt. Daarnaast is het beleid binnen SURF dat het niet mogelijk om het netwerk anoniem te gebruiken zodat in het geval van misbruik een gebruiker te identificeren is. Dit is slechts indirect mogelijk: SURF is hier niet toe in staat, enkel met medewerking van de instelling.

Belang afgewogen tegen het privacybelang van de gebruiker: de inbreuk op de rechten en de vrijheden van de betrokkenen is zoveel mogelijk beperkt. Een deel (momenteel slechts 1%) van de netflowgegevens wordt tijdelijk verwerkt. Uit die gegevens is niet direct af te leiden om welke natuurlijke persoon het gaat. Enkel is te zien welk IP adres welke website (eigenlijk welk IP adres) wordt bezocht. Dit wordt niet gebruikt voor monitoring of profilering van de gebruiker en de gebruiker wordt niet beperkt in zijn gebruik.

Gerechtvaardigd belang van SURF en de instellingen in het kader van SURFcert: Het verwerken van persoonsgegevens is noodzakelijk om een schoon en veilig netwerk te kunnen bieden aan de onderwijs- en onderzoeksinstellingen en haar eindgebruikers. Hiervoor zijn persoonsgegevens nodig van contactpersonen bij instellingen en verkeersgegevens over het gebruik van het netwerk om incidenten te kunnen oplossen.

Gerechtvaardigd belang van SURF en de instellingen in het kader van DNS-resolving: Het verwerken van persoonsgegevens (IP adres van het systeem van de gebruiker) is noodzakelijk voor het functioneren van de dienst, die zelf onontbeerlijk is voor het gebruik van het internet.

Als dienstaanbieder van het vaste internet netwerk en SURFcert verwerken we de volgende gegevens van je:

Loggevens op het netwerk, zogenaamde netflowgegevens. Deze gegevens worden maximaal drie maanden bewaard.
Er vindt logging plaats op het netwerk. Daarbij worden de volgende (persoons)gegevens verwerkt: IP-adres (bron), IP-adres (bestemming), IP-protocol, Poort voor UDP, TCP of overig (bron), Poort voor UDP, TCP, ICMP of overig (bestemming), IP Type of Service (ToS), het aantal bytes, het aantal pakketten.

Het maken van geaggregeerde rapportages op basis van netflowgegevens. Deze rapportages bevatten geen persoonsgegevens.
Per instelling worden naar aansluiting geaggregeerde rapportages gemaakt over real-time traffic waarin te zien is hoeveel verkeer er over een verbinding is gegaan (niet voor iedereen inzichtelijk). Er is ook nog SURF Netwerk dashboard waar iedereen die kan inloggen alle real-time traffic van alle instellingen kan zien. De rapportages zijn niet te herleiden naar personen.

Incidentgegevens
Het SURFcert team ontvangt regelmatig incidentmeldingen die betrekking hebben op de beveiliging van het internet netwerk. Deze meldingen kunnen in sommige gevallen persoonsgegevens bevatten. Incidentmeldingen worden niet langer bewaard dan noodzakelijk, met een maximum bewaartermijn van 3 jaar.

Als dienstaanbieder van DNS-resolving verwerken we de volgende gegevens van:

IP-adres van de eindgebruiker en de DNS-verzoeken. Dit gegeven wordt maximaal drie maanden bewaard. 
Wanneer een gebruiker een website wil bezoeken, wordt in de webbrowser (normaalgesproken) de naam van de website ingevoerd (bijv. www.surf.nl). De dienst zorgt ervoor dat deze naam wordt vertaald naar het IP-adres van de website, zodat het systeem van de gebruiker toegang kan krijgen tot de website. Deze gegevens worden op een privacyvriendelijke manier opgeslagen via hashing en versleuteling. Om beveiligingsproblemen te detecteren, hoeven we niet alle DNS-verzoeken van een individuele gebruiker te kennen; we moeten alleen weten welke gebruikers een specifieke domeinnaam hebben opgevraagd. Met behulp van cryptografische technieken is het alleen mogelijk om in deze logging te zoeken op basis van een domeinnaam, waar dan de IP-adressen uit komen die specifiek die domeinnaam hebben gezocht. Het is niet mogelijk om op basis van een IP-adres te zoeken en daarmee dus ook niet om een zoekgeschiedenis van een gebruiker te bepalen. Op deze manier wordt de privacy van gebruikers van deze dienst zo veel mogelijk gewaarborgd. 

Daarnaast worden de DNS-verzoeken gemonitord door deze te vergelijken met lijsten van bekende (mogelijk) kwaadaardige domeinnamen en IP-adressen. Als een opgevraagde domeinnaam of het resultaat op een dergelijke lijst voorkomt, zal dit worden gelogd, inclusief het IP-adres van de gebruiker. 

In uitzonderlijke gevallen kunnen specifieke adressen worden gelogd, als dit noodzakelijk is om de continuïteit en veiligheid van de dienst te waarborgen.
Er zijn 3 specifieke situaties waarin dit kan gebeuren:

1. Bij overlast - als we op de SURF DNS-resolvers ongebruikelijk veel verkeer ontvangen, en dit een verstorend effect heeft, kijken we vanaf welke IP adressen we buitenproportioneel veel verkeer ontvangen en om wat voor verkeer dit gaat. Dit is noodzakelijk voor de continuïteit van de dienst, en zodat we de instelling waar de bron van de overlast zich bevindt kunnen informeren en verzoeken om passende maatregelen te nemen om de overlast te verhelpen.
2. Voor probleemanalyse - als een instelling aan SURF rapporteert dat ze problemen ondervinden bij DNS-resolving is het in sommige gevallen noodzakelijk om verkeer te inspecteren voor probleemanalyse. Daarbij wordt er zo veel als mogelijk voor gezorgd dat alleen verkeer van de instelling met problemen wordt geïnspecteerd.
3. Bij beveiligingsincidenten - in sommige gevallen is het mogelijk om op basis van verkeer naar DNS-resolvers specifieke beveiligingsincidenten te onderzoeken. Op verzoek van SURFcert kan voor dit doeleinde DNS-verkeer worden geïnspecteerd, om te kijken of bepaalde DNS-namen worden opgevraagd. Denk daarbij bijvoorbeeld aan een ransomwarebesmetting die te herkennen is doordat altijd een bepaalde DNS-naam wordt opgevraagd.

In alle bovengenoemde situaties wordt alleen daadwerkelijk verkeer opgeslagen indien strikt noodzakelijk; in de meeste gevallen zal alleen voor korte duur live worden meegekeken met verkeer, zonder dat het verkeer daadwerkelijk wordt opgeslagen. In het uitzonderlijke geval dat verkeer daadwerkelijk wordt opgeslagen houden we de opslagtermijn zo kort mogelijk. In de regel gaat het dan om enkele uren tot enkele dagen, met een maximum van één week.

Het verzamelen van geaggregeerde dat in het kader van onderzoeksdoeleinden. Deze data bevatten geen persoonsgegevens.

Slechts in bepaalde gevallen delen wij je gegevens met derden. Voorbeelden hiervan zijn: (i) voor het leveren van support, (ii) in het kader van het oplossen van geschillen, of (iii) vanwege een wettelijke verplichting die op ons rust.

Daarnaast maken wij gebruik van een aantal zorgvuldig geselecteerde leveranciers, ook wel verwerkers genoemd, die in het kader van het leveren van diensten aan ons in sommige gevallen toegang hebben tot een aantal van je gegevens. Zij mogen deze gegevens niet voor eigen doeleinden gebruiken. Wij bewaren bijvoorbeeld gegevens niet alleen op onze eigen (lokale) systemen, maar maken ook gebruik van derden die deze dienst in opdracht van ons uitvoeren. We verplichten al deze leveranciers om passende beveiligingsmaatregelen te nemen met betrekking tot je gegevens en om te handelen volgens onze instructies.

Als gebruiker van het SURF-internetnetwerk heb je een aantal rechten waarvan je gebruik kunt maken op grond van toepasselijke wet- en regelgeving die toeziet op de bescherming van persoonsgegevens. Zo kun je contact met ons opnemen om te verzoeken (i) inzage te krijgen tot persoonsgegevens die wij van je hebben, (ii) je gegevens te corrigeren, (iii) je gegevens te laten verwijderen, (iv) de verwerking van je gegevens te beperken, (v) je gegevens over te dragen, en (vi) bezwaar te maken tegen de verwerking van je persoonsgegevens. +

NB: We zullen je in bepaalde gevallen misschien vragen om aanvullende informatie zodat wij je identiteit kunnen vaststellen.

Recht tot inzage

Je kunt ons vragen of wij persoonsgegevens van je verwerken en je kunt inzage verkrijgen in deze gegevens door het ontvangen van een afschrift daarvan. Bij het inwilligen van je verzoek tot inzage verstrekken wij je ook aanvullende informatie, zoals het doel van de verwerking, de betrokken categorieën persoonsgegevens en andere informatie die je nodig hebt om dit recht wezenlijk uit te oefenen.

Recht op rectificatie

Je hebt het recht je gegevens te corrigeren wanneer deze onjuist of onvolledig zijn. Op jouw verzoek verbeteren wij onjuiste persoonsgegevens over jou en vullen wij onvolledige persoonsgegevens aan, rekening houdend met de doeleinden waarvoor ze worden verwerkt; dit kan ook de afgifte van een aanvullende verklaring inhouden.

Recht op verwijdering (“recht op vergetelheid”)

Je hebt verder het recht om je persoonsgegevens te laten wissen, wat de verwijdering van al je gegevens inhoudt, zowel door ons als, voor zover mogelijk, door andere verwerkingsverantwoordelijken met wie je gegevens eerder door ons zijn gedeeld. Overigens vindt verwijdering van je persoonsgegevens slechts in bepaalde, door de wet voorgeschreven gevallen plaats; deze gevallen staan vermeld in art. 17 van de AVG. Dit betreft bijvoorbeeld gevallen waarin je persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk waren verzameld en gevallen waarin zij onrechtmatig zijn verwerkt. Vanwege de wijze waarop wij bepaalde diensten inrichten, kan het enige tijd duren voordat back-ups zijn gewist.

Recht op beperking van de verwerking

Je hebt het recht de verwerking van je persoonsgegevens te laten beperken, wat inhoudt dat de verwerking van je gegevens gedurende een bepaalde tijd wordt opgeschort. Omstandigheden die aanleiding kunnen geven tot uitoefening van dit recht zijn bijvoorbeeld gevallen waarin de juistheid van je persoonsgegevens wordt betwist maar er enige tijd gemoeid is met het verifiëren daarvan. Dit recht belet ons niet om je persoonsgegevens te blijven opslaan. Voordat de beperking wordt opgeheven word je daarvan op de hoogte gebracht.

Recht op overdraagbaarheid van gegevens

Het recht op overdraagbaarheid van gegevens houdt in dat je het recht hebt de op je betrekking hebbende persoonsgegevens, indien technisch mogelijk, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. Op verzoek en indien technisch mogelijk, worden je persoonsgegevens door ons rechtstreeks overgedragen aan de andere verwerkingsverantwoordelijke.

Recht van bezwaar

Je hebt het recht bezwaar te maken tegen de verwerking van je persoonsgegevens. Dit houdt in dat je ons kunt verzoeken je persoonsgegevens niet langer te verwerken. Dit is alleen van toepassing als ‘gerechtvaardigde belangen’ de rechtsgrond voor de verwerking vormt.

Rechten ontzeggen of beperken

Er kunnen zich situaties voordoen waarin wij het recht hebben de in dit hoofdstuk bedoelde rechten te ontzeggen of beperken. In alle gevallen maken wij een zorgvuldige afweging of hiertoe reden bestaat en stellen wij je daarvan op de hoogte.

Zo kan het recht tot inzage worden ontzegd waar dit nodig is om de rechten en vrijheden van andere personen te beschermen, of kan geweigerd worden je persoonsgegevens te wissen als de verwerking van deze gegevens nodig is ter nakoming van wettelijke verplichtingen. Het recht op overdraagbaarheid van gegevens kan niet worden uitgeoefend wanneer deze persoonsgegevens niet door jou zijn verstrekt of wanneer de gegevens niet op basis van je toestemming of ter uitvoering van een overeenkomst door ons zijn verwerkt. Bij het beoordelen van de verzoeken zullen we ook rekening moeten houden met de vaak beperkte mate van verwerking die we doen (denk aan de beperkte bewaartermijnen bij DNS-resolving en het soms ontbreken van identificerende gegevens). Dit heeft invloed op in welke mate we aan bepaalde verzoeken kunnen voldoen. We zullen in het kader van dataminimalisatie geen extra persoonsgegevens verwerken, enkel om bijvoorbeeld aan een inzageverzoek te kunnen voldoen. 

Gebruikmaken van je rechten

Als je gebruik wilt maken van een van je rechten, stuur dan een e-mail naar: communicatie@surf.nl. Bij onopgeloste problemen heb je ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

SURF kan wijzigingen aanbrengen in deze privacyverklaring. We raden je daarom aan om deze privacyverklaring geregeld te raadplegen.

Wij nemen je privacy serieus. Als je specifieke vragen of opmerkingen hebt over je rechten dan kun je contact met ons opnemen. Neem dan contact op met onze ict-helpdesk of contactpersoon privacyzakens. Je kunt ons het beste bereiken via:

Contactgegevens SURF

Algemeen

SURF
Moreelsepark 48
3511 EP Utrecht
communicatie@surf.nl
+31 88 787 30 00

Contactpersoon privacyzaken

Chinny Bomers
chinny.bomers@surf.nl