Privacybescherming gegarandeerd
Eindgebruikers van govroam moeten er op kunnen vertrouwen dat hun privacy gegarandeerd is. We krijgen regelmatig vragen over manier waarop govroam de privacybescherming georganiseerd heeft. We hebben deze privacyverklaring opgesplitst in verschillende hoofdstukken. Ook hebben we de belangrijkste informatie direct in het zicht geplaatst.
1. Welke rollen zijn er?
2. Welke gegevens gebruiken we voor govguest?
3. Voor welke doeleinden gebruiken we uw gegevens?
4. Wie heeft toegang tot uw gegevens?
5. Beveiliging en bewaartermijn
6. Uw rechten
7. Wijzigingen
Rollen
Samen met deelnemende organisaties zorgen wij voor de werking van govroam en govguest. Om u duidelijk te informeren welke rollen de deelnemende partijen kunnen aannemen, hebben we deze hieronder voor u opgesomd:
- Thuisorganisatie: is de organisatie die u de tijdelijke inloggegevens verstrekt waarmee u verbinding maakt met het govroam netwerk. Dit wordt ook wel de ‘Identity Provider’ genoemd.
- Gastorganisatie: is de organisatie die u via govroam toegang biedt tot haar netwerk. Dit is in de eerste plaats de organisatie waar u te gast bent, maar kan daarnaast ook een andere overheidsorganisatie zijn die aan govroam deelneemt als u op die locatie met een govroam-netwerk verbinding maakt. De Gastorganisatie wordt ook wel ‘Service Provider’ genoemd.
- Roaming Operator (RO): is de partij die de communicatie tussen de Thuisorganisatie en Gastorganisatie verzorgt. De RO is primair verantwoordelijk voor het beheer van de zogenaamde RADIUS-server die zorgt dat de communicatie tussen organisaties verzorgd wordt.
In het kader van govguest treden wij zowel als de Roaming Operator binnen Nederland en als Thuisorganisatie op. Als Thuisorganisatie maken we een govID account aan voor medewerkers van deelnemende overheidsorganisaties en verstrekken we vervolgens tijdelijke inloggegevens voor door deze medewerker aangemaakte accounts voor zakelijke gasten.
Binnen govroam en govguest is iedere partij zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens in de rol die zij vervult.
Als Roaming Operator zijn wij bijvoorbeeld zelfstandig verantwoordelijk voor het beheer van de communicatie die via de RADIUS-server loopt. Als Thuisorganisatie zijn we daarnaast verantwoordelijk voor het Identity Management Systeem dat we beheren voor govID en de zakelijke gasten van een organisatie. Alle partijen zijn zelfstandig verantwoordelijk voor de loggegevens die zij bewaren in het kader van govroam en govguest.
Hoewel deelnemende organisaties in de praktijk vrijwel dezelfde persoonsgegevens zullen verwerken in het kader van govroam en govguest, kan het zijn dat deze op sommige vlakken iets afwijkt.
Gebruikte gegevens
Voor de dienst govroam bewaren we:
- Unieke apparaatgegevens (MAC-adres) van de eindgebruikers.
- Identiteit van de Identity provider en Service provider.
- Tijdstip van het authenticatieverzoek.
- Authenticatiegegevens: De gebruiker heeft de mogelijkheid om bij een juiste configuratie het in te loggen zonder dat de username van de eindgebruiker door de Roaming operator of gastorganisatie via de logfiles achterhaald of ingezien kan worden. De Roaming operator en de Service provider zien dan alleen ‘anonymous@organisatie.nl’, de zogenoemde ‘outer identity’. De ‘inner identity’ wordt (net als het wachtwoord) geëncrypt en kan alleen worden ingezien door de Identity provider.
- Identiteit van het toegangspunt (wifi-accesspoint/netwerkswitch). Deze gegevens worden alleen door de Service provider en de Identity provider opgeslagen
Voor de dienst govguest bewaren we:
- Van de aanvrager:
- Gegevens aanvrager (gebruikersnaam en wachtwoord).
- Unieke apparaatgegevens (MAC-adres) van de aanvrager.
- Tijdstip van de aanvraag.
- Bezoeker:
- Gegevens van de bezoeker (naam, emailadres en/of telefoonnummer).
- Unieke apparaatgegevens (MAC-adres) van de bezoeker.
- Tijdstip van het authenticatieverzoek (door de bezoekers).
- Versleutelde authenticatiegegevens (gebruikersnaam en wachtwoord) en de tijdsduur van de authenticatie.
- Identiteit van de gastorganisatie.
- Identiteit van het toegangspunt (wifi access point/netwerkswitch).
Doeleinde
We gebruiken uw persoonsgegevens primair ten behoeve van het aanbieden van de govguest-dienst, bijvoorbeeld in het kader van authenticatie en autorisatie. Als Thuisorganisatie gebruiken wij uw authenticatiegegevens om uw identiteit en de identiteit van de Gastorganisatie te controleren. Wanneer wij uw identiteit hebben gecontroleerd kan de Gastorganisatie bepalen of u toegang krijgt tot het govroam netwerk. Om te zorgen dat uw authenticatieverzoek correct kan worden afgehandeld, hebben wij ook uw MAC-adres nodig.
Naast de verwerking van gegevens ten behoeve van de dienstverlening slaan we deze gegevens op in logfiles. De doelstelling van deze logfiles is beperkt tot het beheer van de dienst, interne controle van de processen, beveiliging en eventueel het behandelen van geschillen in geval van misbruik. Voor deze doeleinden verwerken we onder meer ook uw unieke apparaatgegevens en tijdstempels.
We verwerken uw persoonsgegevens hoofdzakelijk ter behartiging van de gerechtvaardigde belangen van de deelnemende organisaties. Deze belangen bestaan uit het breder toegankelijk maken van toegang tot snel en veilig internet, zonder dat de eindgebruiker hier onnodig veel persoonsgegevens aan meerdere organisaties hoeft te verstrekken, dataminimalisatie is daarbij ons uitgangspunt.
Als wij uw persoonsgegevens verwerken ten behoeve van onze gerechtvaardigde belangen of die van derden, hebben wij deze belangen afgewogen tegen uw recht op privacy. Wij nemen alle voorzorgsmaatregelen om uw privacy te beschermen en om waar nodig te voorkomen dat uw belangen worden geschaad. Zie voor meer informatie over deze belangen de beschrijving van de doeleinden in deze privacyverklaring waarvoor wij uw persoonsgegevens verwerken. Op verzoek verstrekken wij u meer informatie over deze belangenafweging.
Wie heeft toegang tot uw gegevens?
De aard van govguest en govroam brengt mee dat wij uw gegevens delen met andere deelnemende organisaties waar u verbinding mee maakt.
Slechts in bepaalde gevallen delen wij uw gegevens met derden. Voorbeelden hiervan zijn:
(i) voor het leveren van support, (ii) in het kader van het oplossen van geschillen, of (iii) vanwege een wettelijke verplichting die op ons rust.
Daarnaast maken wij gebruik van een aantal zorgvuldig geselecteerde leveranciers, ook wel verwerkers genoemd, die in het kader van het leveren van diensten aan ons in sommige gevallen toegang hebben tot een aantal van uw gegevens. We doen dit bijvoorbeeld voor het govID-webportal voor medewerkers van deelnemende overheidsorganisaties en voor de verwerking van (log)gegevens die nodig zijn om zakelijke gasten tijdelijke netwerktoegang te kunnen verschaffen. Deze leveranciers mogen deze gegevens niet zomaar voor eigen doeleinden gebruiken. We verplichten al deze leveranciers om passende beveiligingsmaatregelen te nemen met betrekking tot uw gegevens en om te handelen volgens onze instructies.
Beveiliging en bewaartermijn
We vinden het belangrijk om uw persoonsgegevens goed te beschermen. govguest en govroam zijn zodanig ingericht dat deelnemende organisaties niet meer gegevens te zien krijgen dan dat zij nodig hebben voor het verstrekken van toegang tot het netwerk en het beheer ervan.
We zorgen ervoor dat uw persoonsgegevens adequaat worden beveiligd zodat uw gegevens worden beschermd tegen ongeautoriseerd gebruik, ongeautoriseerde toegang, wijziging en onrechtmatige vernietiging. Meer (algemene) informatie over hoe we de veiligheid van govroam versterken kunt u vinden via: https://govroam.sdgnet.nl/veilig-online-met- govroam/
We bewaren uw gegevens niet langer dan nodig. We bewaren de logfiles met uw persoonsgegevens in beginsel dan ook maximaal zes maanden. Indien we uw gegevens nodig hebben in verband met de afhandeling van geschillen, bewaren we uw gegevens tot het moment dat de geschillen definitief beslecht zijn.
Uw rechten
Als gebruiker van govguest heeft u een aantal rechten waarvan u gebruik kunt maken op grond van toepasselijke wet- en regelgeving die toeziet op de bescherming van persoonsgegevens. Zo kunt u contact met ons opnemen om te verzoeken (i) inzage te krijgen tot persoonsgegevens die wij van u hebben, (ii) uw gegevens te corrigeren, (iii) uw gegevens te laten verwijderen, (iv) de verwerking van uw gegevens te beperken, (v) uw gegevens over te dragen, en (vi) bezwaar te maken tegen de verwerking van uw persoonsgegevens.
NB: We zullen u in bepaalde gevallen misschien vragen om aanvullende informatie zodat wij uw identiteit kunnen vaststellen.
- Recht tot inzage
U kunt ons vragen of wij persoonsgegevens van u verwerken en u kunt inzage verkrijgen in deze gegevens door het ontvangen van een afschrift daarvan. Bij het inwilligen van uw verzoek tot inzage verstrekken wij u ook aanvullende informatie, zoals het doel van de verwerking, de betrokken categorieën persoonsgegevens en andere informatie die u nodig hebt om dit recht wezenlijk uit te oefenen.
- Recht op rectificatie
U heeft het recht uw gegevens te corrigeren wanneer deze onjuist of onvolledig zijn. Op uw verzoek verbeteren wij onjuiste persoonsgegevens over u en vullen wij onvolledige persoonsgegevens aan, rekening houdend met de doeleinden waarvoor ze worden verwerkt; dit kan ook de afgifte van een aanvullende verklaring inhouden.
- Recht op verwijdering (“recht op vergetelheid”)
U heeft verder het recht om uw persoonsgegevens te laten wissen, wat de verwijdering van al u gegevens inhoudt, zowel door ons als, voor zover mogelijk, door andere verwerkingsverantwoordelijken met wie u gegevens eerder door ons zijn gedeeld.
Overigens vindt verwijdering van uw persoonsgegevens slechts in bepaalde, door de wet voorgeschreven gevallen plaats; deze gevallen staan vermeld in art. 17 van de AVG. Dit betreft bijvoorbeeld gevallen waarin uw persoonsgegevens niet langer nodig zijn voor het doel waarvoor ze oorspronkelijk waren verzameld en gevallen waarin zij onrechtmatig zijn verwerkt. Vanwege de wijze waarop wij bepaalde diensten inrichten, kan het enige tijd duren voordat backups zijn gewist.
- Recht op beperking van de verwerking
U heeft het recht de verwerking van uw persoonsgegevens te laten beperken, wat inhoudt dat de verwerking van uw gegevens gedurende een bepaalde tijd wordt opgeschort.
Omstandigheden die aanleiding kunnen geven tot uitoefening van dit recht zijn bijvoorbeeld gevallen waarin de juistheid van uw persoonsgegevens wordt betwist maar er enige tijd gemoeid is met het verifiëren daarvan. Dit recht belet ons niet om uw persoonsgegevens te blijven opslaan. Voordat de beperking wordt opgeheven wordt u daarvan op de hoogte gebracht.
- Recht op overdraagbaarheid van gegevens
Het recht op overdraagbaarheid van gegevens houdt in dat u het recht heeft de op u betrekking hebbende persoonsgegevens, indien technisch mogelijk, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. Op verzoek en indien technisch mogelijk, worden uw persoonsgegevens door ons rechtstreeks overgedragen aan de andere verwerkingsverantwoordelijke.
- Recht van bezwaar
U heeft het recht bezwaar te maken tegen de verwerking van uw persoonsgegevens. Dit houdt in dat u ons kunt verzoeken uw persoonsgegevens niet langer te verwerken. Dit is alleen van toepassing indien ‘gerechtvaardigde belangen’ de rechtsgrond voor de verwerking vormt.
Er kunnen zich situaties voordoen waarin wij het recht hebben de in dit hoofdstuk bedoelde rechten te ontzeggen of beperken. In alle gevallen maken wij een zorgvuldige afweging of hiertoe reden bestaat en stellen wij u daarvan op de hoogte.
Zo kan het recht tot inzage worden ontzegd waar dit nodig is om de rechten en vrijheden van andere personen te beschermen, of kan geweigerd worden uw persoonsgegevens te wissen indien de verwerking van deze gegevens nodig is ter nakoming van wettelijke verplichtingen. Het recht op overdraagbaarheid van gegevens kan niet worden uitgeoefend wanneer deze persoonsgegevens niet door u zijn verstrekt of wanneer de gegevens niet op basis van uw toestemming of ter uitvoering van een overeenkomst door ons zijn verwerkt.
Als u gebruik wilt maken van een van uw rechten, stuur dan een e-mail naar: info@govroam.nl. Bij onopgeloste problemen heeft u ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Wijzigingen
Wij kunnen deze privacyverklaring van tijd tot tijd wijzigen. Als we deze privacyverklaring wijzigen, dan proberen we u hier zo goed mogelijk over te informeren (bijvoorbeeld via een e-mail). Ook kunt u altijd onze actuele privacyverklaring raadplegen via: https://govroam.sdgnet.nl/support/
versie 2.2, april 2021