Privacyrisico’s Osiris aangepakt in samenwerking met SURF
SURF heeft een data protection impact assessment (DPIA) laten uitvoeren op Osiris. Het voorlopige advies is dat instellingen het gebruik van dit studenteninformatiesysteem kunnen voortzetten wanneer ze zelf een aantal maatregelen nemen. In 2026 volgt een herziend advies als de resultaten van de door leverancier CACI te implementeren maatregelen bekend zijn.
Osiris wordt gebruikt door meer dan 60 instellingen, waaronder universiteiten, hogescholen en mbo’s. In nauwe samenwerking met CACI heeft Privacy Company namens SURF onderzocht hoe het systeem de persoonsgegevens van studenten en medewerkers van de instellingen verwerkt, welke centrale afspraken er zijn gemaakt over de verwerkingen en welke risico’s er bestaan. Daarnaast presenteert het onderzoeksrapport een aantal maatregelen die geconstateerde risico’s kunnen beperken.
Resultaat: 12 hoge risico’s en 1 medium risico worden grotendeels gemitigeerd
In totaal zijn er twaalf hoge risico’s en één medium risico voor de privacy van gebruikers gevonden. Daarvan zijn vier hoge risico’s gerelateerd aan de mobiele app. De risico’s komen deels voort uit de wijze waarop instellingen Osiris gebruiken en deels uit de inrichting van Osiris zelf.
De maatregelen die inmiddels zijn voorgesteld, gelden dan ook deels voor de instellingen en deels voor CACI. Je vindt de voorgestelde maatregelen in de DPIA: zie de link hieronder. Ook komt er een webinar waar leden van SURF meer informatie krijgen over de bevindingen en voorgestelde maatregelen.
Met het treffen van de maatregelen kunnen alle hoge risico’s worden gemitigeerd, zodat alleen kleine restrisico’s overblijven. Dit geldt ook voor risico’s die te maken hebben met het feit dat CACI's moederbedrijf in de VS is gevestigd en met de verwerkingen door sub-leveranciers die gevestigd zijn in de VS, waar SURF extra alert op is geweest. Voor meer informatie verwijst SURF naar het eerder opgestelde algemene informatiedocument over het gebruik van Amerikaanse leveranciers.
Vervolg
SURF en CACI hebben in goed overleg duidelijke afspraken gemaakt over hoe en wanneer CACI de maatregelen gaat implementeren. Hiermee heeft het bedrijf inmiddels een goede start gemaakt, zoals te zien is in de statustabel van de DPIA. Daardoor kunnen instellingen het gebruik van Osiris voorlopig voortzetten. CACI zal de resultaten van de implementatie binnen de afgesproken tijdlijnen rapporteren aan SURF. In 2026 publiceert SURF een update over deze DPIA.
Volledig rapport openbaar beschikbaar
De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA) en in de Tech Appendix.
Over Osiris
Osiris is een studenteninformatiesysteem, dat in Nederland door zowel mbo-, hbo- als wo-instellingen wordt gebruikt. De leverancier, CACI, biedt Osiris aan als SaaS-applicatie. Met de mobiele Osiris-app kunnen studenten zich inschrijven voor vakken en tentamens en hun cijfers inzien. Een substantieel deel van de instellingen biedt haar studenten deze app aan.
Vragen?
Heb je vragen over deze DPIA? Meld je aan voor het verdiepende webinar op 22 september (van 10:00-11:30 uur, alleen voor SURF-leden). Neem contact op met SURF via vendorcompliance@surf.nl.