Privacyverklaring

Versie 17 juni 2024

Goed dat je de privacyverklaring voor eduID bekijkt! Het eduID-team van SURF besteedt veel aandacht aan de bescherming van je persoonsgegevens en in deze privacyverklaring lees je daar alles over. Als je vragen of zorgen hebt over deze privacyverklaring, mail dan gerust naar help@eduid.nl. 

Wat is eduID?

Een eduID-account is een door SURF aangeboden en beheerde digitale identiteit van de gebruiker, die gebruikt kan worden in het domein van onderwijs en onderzoek. Iedere persoon kan een eduID-account aanmaken, ongeacht of deze persoon verbonden is aan een instelling. Dus niet alleen studenten, maar bijvoorbeeld ook stage- of praktijkbegeleiders, (gast)docenten, onderzoekers, alumni, voorinschrijvers, professionals, mensen uit het bedrijfsleven en anderen. Met dit account kan de gebruiker inloggen op aan eduID gekoppelde applicaties. Deze applicaties kunnen van instellingen zijn die bij SURF zijn aangesloten, van SURF zelf of van derden. 

Lees meer over eduID.

Contactgegevens SURF

eduID wordt aangeboden en beheerd door SURF, een coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. 

SURF 
Moreelsepark 48 
3511 EP Utrecht, Nederland 
www.surf.nl 
 
De contactgegevens van onze functionaris gegevensbescherming zijn: fg@surf.nl 

Welke gegevens verwerken wij van jou?

eduID verwerkt persoonsgegevens van de natuurlijke persoon die houder is van een eduID. Het gaat om de volgende gegevens:

1. Je e-mailadres  
2. Je voor- en achternaam 
3. Een uniek identificerend nummer en daarbij behorende pseudoniemen die aan diensten worden verstrekt 
4. De datum en het tijdstip waarop de eerste login plaatsvindt van iedere dienst waarop je met eduID inlogt 
5. Extra technische data: 
   • Voorkeurstaal eduID-interface 
   • Technische logging (user agent) 
   • IP-adres 
   • Tijdelijk Session ID

Als je je eduID koppelt aan het account van je instelling, dan verwerkt eduID ook de volgende gegevens: 

6. Naam van de gekoppelde instelling 
7. Je voor- en achternaam zoals bekend bij de gekoppelde instelling 
8. Gebruikersnaam van je account bij de gekoppelde instelling 
9. Je rol(len) binnen de gekoppelde instelling (bijvoorbeeld ‘student’ of ‘medewerker’) 

Als je de eduID-app gebruikt, dan verwerkt eduID ook de volgende gegevens: 

10. Een uniek identificerend nummer van je eduID-app-registratie 
11. Een uniek identificerend nummer van je telefoon om een push-bericht te kunnen sturen 
12. Optioneel: je mobiele telefoonnummer als je als herstelmethode je telefoonnummer hebt gekozen 

Waarom mag eduID je persoonsgegevens verwerken? 

Persoonsgegevens mogen enkel worden verwerkt als hier een wettelijke grondslag voor is. De grondslag verschilt per doel en wie verwerkingsverantwoordelijke is. 

Voor een aantal doelen is SURF de verwerkingsverantwoordelijke. SURF zorgt voor een rechtmatige grondslag voor verwerking van persoonsgegevens:

• Doel: als je een eduID aanmaakt, voeg je hier zelf een aantal persoonsgegevens aan toe zoals naam en e-mailadres. Deze worden gebruikt door eduID en applicaties waarop je inlogt, om jou te kunnen herkennen en met jou te communiceren via e-mail. 
  Grondslag: uitvoering van een overeenkomst, namelijk de overeenkomst tussen SURF en degene die een eduID aanmaakt. Bij het aanmaken krijgt de gebruiker de eduID-gebruiksvoorwaarden te zien en door daarmee akkoord te gaan, wordt het eduID aangemaakt. 
• Doel: met eduID inloggen op een applicatie waarbij persoonsgegevens verstrekt kunnen worden aan de applicatie om jou te kunnen herkennen, je te voorzien van een autorisatie of met je te communiceren via e-mail. Dit doel geldt voor applicaties die niet voorgeschreven of verplicht worden door een instelling waar je een relatie mee hebt. 
  Grondslag: uitvoering van een overeenkomst, namelijk de gebruiksvoorwaarden die je accepteert bij het aanmaken van je eduID. 
• Doel: Om je inzicht te kunnen geven in je login-geschiedenis, houden we bij op welke applicatie je hebt ingelogd, en welke persoonsgegevens daarbij aan de applicatie zijn verstrekt.  
  Grondslag: uitvoering van een overeenkomst, namelijk de gebruiksvoorwaarden die je accepteert bij het aanmaken van je eduID. 
• Doel: voor de juiste werking van eduID verwerken we genoemde technische data.  
  Grondslag: uitvoering van een overeenkomst, namelijk de gebruiksvoorwaarden die je accepteert bij het aanmaken van je eduID. 

Voor een aantal doelen is een instelling verwerkingsverantwoordelijke. De instelling zorgt voor een rechtmatige grondslag voor verwerking van persoonsgegevens:

• Doel: met eduID inloggen op een applicatie waarbij persoonsgegevens verstrekt kunnen worden aan de applicatie om jou te kunnen herkennen, je te voorzien van een autorisatie of met je te communiceren via e-mail. Dit doel geldt voor applicaties waarvan de instelling het inloggen met eduID verplicht stelt 
  Grondslag: deze wordt bepaald door de instelling, en kan bijvoorbeeld zijn: het vervullen van een taak van algemeen belang zoals onderwijs, of uitvoering van een overeenkomst zijn, zoals een leerovereenkomst, contractonderwijs of arbeidscontract.  
• Doel: sommige applicaties hebben meer en/of betrouwbare persoonsgegevens nodig voordat toegang verleend kan worden. Deze gegevens kun je aan je eduID toevoegen door je eduID te koppelen aan een externe gegevensbron, zoals een onderwijsinstelling. Denk dan aan je naam zoals bekend bij de instelling, je relatie met de instelling (bijv. student of medewerker) en de organisatienaam. Het verstrekken van deze persoonsgegevens aan eduID gebeurt onder verantwoordelijkheid van de instelling. 
  Grondslag: deze wordt bepaald door de instelling, en kan bijvoorbeeld zijn: het vervullen van een taak van algemeen belang zoals het verzorgen van onderwijs , of uitvoering van een overeenkomst, zoals een leerovereenkomst, contractonderwijs of arbeidscontract. 
  Het is goed om te weten dat deze gegevens vervolgens weer onder verantwoordelijkheid van SURF vrijgegeven kunnen worden tijdens het inloggen op een applicatie (zie hierboven). 

Aan wie verstrekken wij je gegevens?

eduID verstrekt je persoonsgegevens alleen aan derde partijen als dit noodzakelijk is om de betreffende applicatie aan jou te kunnen leveren. Zo verstrekt eduID gegevens aan applicaties waarop je inlogt via eduID. Bij de eerste keer dat je met eduID inlogt op een applicatie, krijg je een informatiescherm te zien met welke gegevens er precies aan de applicatie worden verstrekt. Pas als je hier akkoord geeft, worden je gegevens daadwerkelijk doorgegeven. Door dit scherm te sluiten kun je voorkomen dat de applicatie je gegevens ontvangt. Je kunt dan ook niet met eduID inloggen op de applicatie. 

Via Mijn eduID kun je zien welke diensten je via eduID hebt gebruikt. 

Aan andere partijen dan bovenstaande verstrekken we je gegevens alléén na jouw toestemming, tenzij het wettelijk verplicht of toegestaan is je gegevens te verstrekken. Zo kan bijvoorbeeld de politie in het kader van een fraudeonderzoek gegevens bij ons opvragen. SURF is dan wettelijk verplicht deze gegevens af te geven. 

Er zijn daarnaast verschillende partijen betrokken bij het aanbieden van het platform. De volgende partij verwerkt in opdracht en instructie van SURF persoonsgegevens: 

• Hosting- en beheerpartij

Waar slaan wij je gegevens op?

De eduID-infrastructuur wordt gehost op infrastructuur van SURF. De servers daarvan bevinden zich in Amsterdam en Utrecht, met een back-uplocatie in Tilburg.

Hoe lang bewaren wij je gegevens?

De persoonsgegevens die verkregen zijn van een instelling door je eduID te koppelen aan een instellingsaccount worden 6 maanden bewaard, met uitzondering van de verkregen voor- en/of achternaam, die worden 6 jaar bewaard. Deze periode is gekozen om deze gegevens nog voldoende up-to-date te kunnen houden. 

De bewaartermijn voor alle eduID accountgegevens is 5 jaar na de laatste keer dat je met je eduID ergens inlogt. Deze periode is gekozen omdat in het proces van leven-lang ontwikkelen het te verwachten is dat er periodes zijn waarin een gebruiker zijn eduID niet gebruikt, maar dat het eduID daarna wel weer relevant wordt voor die persoon. In die tussentijd zal eduID reminders sturen als het account dreigt te verdwijnen. 

De technische loggegevens worden zes maanden bewaard om nog tijd te hebben om eventuele problemen en incidenten te kunnen onderzoeken.

Welke rechten heb je?

Je hebt het recht om de persoonsgegevens die eduID van jou verwerkt te laten wijzigen, aanvullen of verwijderen. Ook kun je inzage verzoeken in de persoonsgegevens die van je worden verwerkt. De gegevens die eduID van jou heeft kun je inzien op Mijn eduID. Daar kun je je gegevens ook wijzigen of aanvullen. 

Als het gaat om een automatische verwerking van door jou zelf verstrekte gegevens op basis van toestemming of de uitvoering van een overeenkomst, kun je een overzicht in een gestructureerde en gangbare vorm opvragen van de persoonsgegevens die wij van jou verwerken via Mijn eduID. Ook heb je het recht op overdraagbaarheid van deze gegevens naar een andere partij, mits dit technisch mogelijk is.  

Je kunt ook een verzoek indienen om de verwerking van je persoonsgegevens te beperken, waardoor de verwerkingsverantwoordelijke tijdelijk ophoudt met het verwerken van je gegevens. Dit gebeurt als: 

• je bezwaar maakt (zie verderop meer uitleg), of 
• je de juistheid van persoonsgegevens die worden verwerkt, betwist, of 
• je vindt dat de verwerking van gegevens onrechtmatig is, of 
• je vindt dat de verwerkingsverantwoordelijke je persoonsgegevens niet meer nodig heeft, maar jij ze nodig hebt in het kader van een rechtsvordering. 

Let op! Als eduID de verwerking beperkt van gegevens die nodig zijn voor het verlenen van onze dienstverlening, kan deze beperking invloed hebben op het functioneren van de dienst.  

Recht van bezwaar: 

Je kunt bezwaar maken tegen verwerking van je persoonsgegevens als je gegevens verwerkt worden op basis van een gerechtvaardigd belang of op basis van de uitvoering van een taak van algemeen belang. Als de verwerkingsverantwoordelijke geen dwingende gerechtvaardigde gronden heeft om de verwerking voort te zetten, zal de verwerking worden gestaakt. 

Als je bezwaar maakt, kun je ook een verzoek indienen om de verwerking van je persoonsgegevens te beperken gedurende dit bezwaar. 

Klacht indienen: 

Als je vindt dat eduID niet goed omgaat met jouw persoonsgegevens kun je een klacht indienen bij de functionaris gegevensbescherming van SURF of van een instelling. Ook heb je het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Meer informatie over de Autoriteit Persoonsgegevens en het indienen van klachten vind je op www.autoriteitpersoonsgegevens.nl. 

Waar kun je terecht om je rechten uit te oefenen?

Een verzoek om je rechten uit te oefenen kun je indienen bij de organisatie die verantwoordelijk is voor de verwerking van jouw persoonsgegevens. Voor eduID kunnen dit echter verschillende organisaties zijn: SURF of een van de deelnemende instellingen. SURF coördineert de verzoeken en brengt je in contact met de juiste persoon bij de juiste instelling. Neem hiervoor contact op via: help@eduid.nl. Je mag uiteraard ook direct contact opnemen met de betreffende instelling. 

Welke cookies plaatst eduID?

eduID plaatst cookies op het apparaat waar je eduID mee bezoekt. Cookies zijn kleine bestanden die verstuurd worden door een internetserver en die worden opgeslagen op je apparaat. De cookies die eduID plaatst zijn noodzakelijk voor het functioneren van eduID. eduID plaatst geen analytische of tracking cookies. 

Functionele cookies 

eduID maakt gebruik van een aantal functionele cookies die ervoor zorgen dat eduID correct functioneert: 

• Cookie ‘login_preference’ om te onthouden op welke manier je inlogt (bijv. via magische link of wachtwoord). Deze cookie is 1 jaar geldig. 
• Cookie ‘lang’ om te onthouden in welke taal je de eduID interface wenst te zien. Deze cookie is 1 jaar geldig. 
• Cookie ‘REGISTER_MODUS’ om aan te geven of je in het registratieproces dient uit te komen. Deze cookie wordt alleen tijdens de sessie gezet, daarna verwijderd. 
• Cookie ‘BROWSER_SESSION’ om ervoor te zorgen dat je de magische link gebruikt in dezelfde browser als waar de login is gestart. Deze cookie wordt alleen tijdens de sessie gezet, daarna verwijderd. 
• Cookie ‘guest-idp-remember-me’, om het mogelijk te maken dat je ingelogd blijft (in de browser waar je dit gebruikt). Deze cookie is 6 maanden geldig. 
• Cookie ‘username’ om je gebruikersnaam te onthouden zodat je die de volgende keer niet hoeft in te vullen. 
• Cookie ‘REMEMBER_ME_QUESTION_ASKED_COOKIE’ om te onthouden of eduID heeft gevraagd dat je ingelogd wilt blijven. 
• Cookie ‘TIQR_COOKIE’ om te onthouden of je in deze browser al een keer ingelogd bent met de eduID app 
• Cookie ‘TRACKING_DEVICE’ om te detecteren of dit een nieuw apparaat is waarop ingelogd wordt. Als dit een nieuw apparaat is wordt er een notificatie e-mail gestuurd.

Wijzigingen privacyverklaring

Er kunnen wijzigingen worden aangebracht in deze privacyverklaring. We raden je daarom aan om deze privacyverklaring geregeld te raadplegen. Het versienummer staat bovenaan de pagina.