Zoom Education en Enterprice
februari 16, 2026

SURF rondt DPIA af op Adobe Creative Cloud en Document Cloud for Education

SURF en Privacy Company hebben een data protection impact assessment (DPIA) uitgevoerd op Adobe Creative Cloud en Document Cloud for Education. SURF bevestigt dat onderwijsinstellingen deze producten kunnen blijven gebruiken, omdat Adobe heeft toegezegd mitigerende maatregelen door te voeren voor de gevonden risico’s. Aan het einde van 2026 onderzoekt SURF of dit is gebeurd. 

Adobe binnen onderwijsinstellingen in Nederland 

Adobe is een softwarebedrijf dat applicaties ontwikkelt voor digitale contentcreatie, documentbeheer en ontwerp. Veel Nederlandse onderwijsinstellingen gebruiken deze producten binnen het creatieve domein.  

Geïdentificeerde risico's

De DPIA heeft 9 hoge risico’s en 8 lage risico’s geïdentificeerd. De belangrijkste risico’s hebben betrekking op: producteigenschappen die gebruikers beperken om documenten te verwijderen of het delen ervan te stoppen, beperkingen om als beheerder de rechten van betrokkenen te honoreren, de onevenredige verwerking van Adobe’s contentcredentials en het huidige contractuele kader van SURF. Dit laatste risico heeft te maken met het feit dat onderwijsinstellingen gebruik maken van de online gegevensverwerkingsovereenkomst (DPA) van Adobe en dus een eigen overeenkomst aangaan en mogelijk met verschillende versies van de DPA werken.

Adobe’s coöperatieve aanpak en toegezegde maatregelen 

Gedurende het DPIA-proces heeft Adobe nauw samengewerkt met SURF om alle geïdentificeerde risico’s aan te pakken. Adobe heeft de haalbaarheid van de gevraagde technische mitigaties beoordeeld en aangegeven welke maatregelen het voor het einde van 2026 zal implementeren.

Adobe heeft toegezegd om samen met SURF te werken aan contractuele wijzigingen als onderdeel van de in de DPIA omschreven lopende contractvernieuwing. Aanvullende toezeggingen betreffen het bieden van transparantie over toepasselijke subverwerkers, het naleven van wettelijke transparantievereisten met betrekking tot cookies en vergelijkbare technologieën, het verstrekken van duidelijke berichten en meldingen aan gebruikers over openbaar gedeelde documenten, en het mogelijk maken voor gebruikers om items in de Creative Cloud-webapplicatie op dezelfde manier te verwijderen als in de desktopapplicatie.

De DPIA beschrijft de maatregelen die onderwijsinstellingen en Adobe dienen te nemen om alle geïdentificeerde hoge risico's te beperken. Verwacht wordt dat deze maatregelen de risico's terugbrengen tot een laag restrisico, waardoor voorafgaande raadpleging van de Autoriteit Persoonsgegevens (AP) niet nodig is. Hoewel het mitigeren van lage risico's strikt genomen niet noodzakelijk is, draagt het implementeren van de aanbevolen maatregelen bij aan een betere bescherming van de rechten en vrijheden van betrokkenen.

Overwegingen binnen de onderwijscontext

Op kunstopleidingen of bij kunstvakken waar studenten experimentele of provocatieve thema's verkennen, dienen docenten zich ervan bewust zijn dat content met niet-meldingsplichtige seksualisering van minderjarigen en extreme seksuele content (indien gemeld) kan conflicteren met het contentbeleid van Adobe, wat mogelijk kan leiden tot accountbeperkingen. Instellingen dienen daarom bekend zijn met dit beleid wanneer ze producten en diensten van Adobe gebruiken.

Opvolging

SURF zal tijdens de lopende contractsvernieuwingsonderhandelingen blijven samenwerken met Adobe om de geïdentificeerde contractuele risico's aan te pakken en de overeengekomen maatregelen te implementeren. Aangezien een aanzienlijk aantal maatregelen reeds is doorgevoerd of is ingepland, is SURF tevreden over Adobe’s samenwerkingsgerichte aanpak en inzet voor de bescherming van de rechten en vrijheden van betrokkenen in het onderwijs.  

Adobe heeft toegezegd de resterende maatregelen volgens de overeengekomen planning te implementeren. SURF en Privacy Company zullen de implementatie verifiëren en updates van de DPIA publiceren naarmate er voortgang wordt geboekt. SURF beveelt onderwijsinstellingen aan de DPIA-bevindingen te bestuderen en de beschreven mitigerende maatregelen (of maatregelen met een vergelijkbaar effect) te implementeren bij het gebruik van Adobe Creative Cloud en Document Cloud for Education.

Standpunt van Adobe

Adobe merkt op dat haar toezeggingen niet mogen worden opgevat als een erkenning van enige wettelijke verplichting of instemming met de toegekende risiconiveaus. De verbeteringen "moeten worden gezien in de geest van het doorvoeren van verbeteringen die zijn gevraagd door een specifieke klant met unieke vereisten vanwege de context waarin deze Adobe-services gebruikt". SURF is van mening dat het beperken van de geïdentificeerde risico's noodzakelijk is om Adobe en instellingen in staat te stellen Adobe-producten en -services te gebruiken in overeenstemming met de AVG. We kijken uit naar de voortzetting van de samenwerking met Adobe om ervoor te zorgen dat studenten de producten en diensten van Adobe op een veilige en conforme manier kunnen gebruiken. 

Volledig rapport openbaar beschikbaar

De volledige bevindingen van de beoordeling zijn te vinden in het Data Protection Impact Assessment (DPIA)-rapport.

Meer informatie over de effecten op de privacybescherming bij het gebruik van Amerikaanse leveranciers, vind je in dit informatiedocument.

Gerelateerde artikelen