Question 1

WeTransfer is voor sommige files niet zo veilig, hoe kunnen we die dan verzenden?

Leo Bakker · Accepted Answer

Dat kan met SURFfilesender, dat wordt door SURFmarket uitgeleverd. De werkgroep verwerkersovereenkomsten heeft gekeken naar de onderliggende overeenkomst, deze lijkt wat betreft beveiliging en privacy op orde. De beheerovereenkomst is wel verouderd maar wordt vanaf 1-1-2019 vernieuwd, volgens het nieuwe Surf model dat dan ook is aangepast aan Avg. Dit is op zich niet erg omdat het standpunt (van privacy convenant 3.0 partners) bij nieuwe verwerkersovereenkomsten is dat deze uiterlijk m.i.v. schooljaar 2019-2020 vernieuwd moeten zijn.

SURFfilesender heeft dus een lopende bemiddelingssovereenkomst via SURFmarket, daar is dus nog geen nieuwe overeenkomst voor afgesloten, deze loopt tot 31/12 /18.
Wel wordt binnen SURFfilesender geheel volgens de AVG gewerkt.

Daarvoor geldt onder ander het volgende:

Getroffen beveiligingsmaatregelen
SURFfilesender heeft een ACL op de switch en een lokale firewall op de VM.
Daarnaast staat er voor 2018 een SURFfilesender audit gepland.
SURFfilesender volgt de standaard security aanpak van SURFnet. Deze aanpak is gebaseerd op ISO 27000 standaarden. Verder zijn concrete beveiligingsmaatregelen de volgende:

1.    Alleen de Technisch Product Manager heeft toegang tot de beheerportal en daarmee inzage in persoonsgegevens. Er zijn enkel leesrechten, persoonsgegevens kunnen daarmee niet gewijzigd worden. Beleid is dat persoonsgegevens niet worden verstrekt aan derde partijen, tenzij daar aanleiding voor is, bijvoorbeeld bij een gegrond opsporingsverzoek. Login is gekoppeld aan SURFconext en daarmee afgeschermd voor anderen. Het betreft hier niet de inhoud van de versleutelde bestanden van SURFfilesender die verstuurd en ontvangen worden. Hier heeft de TPM geen inzage in.

2.    SURFfilesender wordt beheerd en wordt door de beheerpartij up to date gehouden. Iedere week vinden automatische  securityscans plaats (Outpost24) en ieder kwartaal voert de beheerpartij extra vulnerability scans uit.
Om toegang te krijgen tot de admin pagina van SURFfilesender dient het UID van de gebruiker aan de configuratie van SURFfilesender toegevoegd te worden. Hiervoor is toegang nodig tot de SURFfilesender settings. Dit is alleen te wijzigen door de beheerpartij.

3.    Met de beheerpartij (Prolocation) is een beheerovereenkomst afgesloten waarin een bijlage is opgenomen waarin beschreven staat welke persoonsgegevens zij toegang hebben voor het beheer van de dienst. Tevens staat daarin beschreven dat zij daar alleen leesrechten voor hebben. Daarnaast staat gedefinieerd dat deze maximaal 4 maanden opgeslagen blijven. Dit is vastgelegd in bijlage 4 van de beheerovereenkomst voor het beheer van SURFfilesender: Specificatie verwerking persoonsgegevens
Er worden alleen persoonsgegevens gevraagd die nodig zijn voor de uitvoering en beheer van de dienst, dat is inclusief de logging voor troubleshooting.

Question 2

WeTransfer is voor sommige files niet zo veilig, hoe kunnen we die dan verzenden?

Leo Bakker · Accepted Answer

Dat kan met SURFfilesender, dat wordt door SURFmarket uitgeleverd. De werkgroep verwerkersovereenkomsten heeft gekeken naar de onderliggende overeenkomst, deze lijkt wat betreft beveiliging en privacy op orde. De beheerovereenkomst is wel verouderd maar wordt vanaf 1-1-2019 vernieuwd, volgens het nieuwe Surf model dat dan ook is aangepast aan Avg. Dit is op zich niet erg omdat het standpunt (van privacy convenant 3.0 partners) bij nieuwe verwerkersovereenkomsten is dat deze uiterlijk m.i.v. schooljaar 2019-2020 vernieuwd moeten zijn.

SURFfilesender heeft dus een lopende bemiddelingssovereenkomst via SURFmarket, daar is dus nog geen nieuwe overeenkomst voor afgesloten, deze loopt tot 31/12 /18.
Wel wordt binnen SURFfilesender geheel volgens de AVG gewerkt.

Daarvoor geldt onder ander het volgende:

Getroffen beveiligingsmaatregelen
SURFfilesender heeft een ACL op de switch en een lokale firewall op de VM.
Daarnaast staat er voor 2018 een SURFfilesender audit gepland.
SURFfilesender volgt de standaard security aanpak van SURFnet. Deze aanpak is gebaseerd op ISO 27000 standaarden. Verder zijn concrete beveiligingsmaatregelen de volgende:

1.    Alleen de Technisch Product Manager heeft toegang tot de beheerportal en daarmee inzage in persoonsgegevens. Er zijn enkel leesrechten, persoonsgegevens kunnen daarmee niet gewijzigd worden. Beleid is dat persoonsgegevens niet worden verstrekt aan derde partijen, tenzij daar aanleiding voor is, bijvoorbeeld bij een gegrond opsporingsverzoek. Login is gekoppeld aan SURFconext en daarmee afgeschermd voor anderen. Het betreft hier niet de inhoud van de versleutelde bestanden van SURFfilesender die verstuurd en ontvangen worden. Hier heeft de TPM geen inzage in.

2.    SURFfilesender wordt beheerd en wordt door de beheerpartij up to date gehouden. Iedere week vinden automatische  securityscans plaats (Outpost24) en ieder kwartaal voert de beheerpartij extra vulnerability scans uit.
Om toegang te krijgen tot de admin pagina van SURFfilesender dient het UID van de gebruiker aan de configuratie van SURFfilesender toegevoegd te worden. Hiervoor is toegang nodig tot de SURFfilesender settings. Dit is alleen te wijzigen door de beheerpartij.

3.    Met de beheerpartij (Prolocation) is een beheerovereenkomst afgesloten waarin een bijlage is opgenomen waarin beschreven staat welke persoonsgegevens zij toegang hebben voor het beheer van de dienst. Tevens staat daarin beschreven dat zij daar alleen leesrechten voor hebben. Daarnaast staat gedefinieerd dat deze maximaal 4 maanden opgeslagen blijven. Dit is vastgelegd in bijlage 4 van de beheerovereenkomst voor het beheer van SURFfilesender: Specificatie verwerking persoonsgegevens
Er worden alleen persoonsgegevens gevraagd die nodig zijn voor de uitvoering en beheer van de dienst, dat is inclusief de logging voor troubleshooting.