Door verbeterde privacybescherming kunnen instellingen voorlopig Ans Exam blijven gebruiken
SURF en Privacy Company hebben een data protection impact assessment (DPIA) uitgevoerd op het SaaS-platform en de API van Ans Exam B.V. Door meer dan 20 Nederlandse onderwijsinstellingen wordt Ans Exam gebruikt voor het maken, afnemen en beoordelen van toetsen. De voorlopige aanbeveling van SURF is dat onderwijsinstellingen Ans Exam kunnen blijven gebruiken.
Risico’s en mitigerende maatregelen
In totaal zijn er 17 risico’s gevonden in de DPIA: 13 hoge risico’s, 3 medium risico’s en 1 laag risico. Deze hebben betrekking op een onvolledige beschrijving van de verwerkingen in de verwerkersovereenkomst, een onduidelijke rolverdeling tussen de betrokken partijen, onvoldoende transparantie in de informatie over subverwerkers, cookies en de gebruikersinterface. Aanvullende risico’s hebben te maken met meldingen over e-mailtracking, het gebruik van applicatielogging, bewaartermijnen en het (niet) effectief kunnen reageren op verzoeken van betrokkenen.
Door de DPIA heeft Ans Exam zich gecommitteerd aan concrete maatregelen om de privacyrisico’s te mitigeren. Deze maatregelen zijn gezamenlijk vastgesteld en overeengekomen door Ans Exam, SURF en Privacy Company.
Ans Exam heeft toegezegd om de beschrijving van de gegevensverwerking in bijlage 1 van de verwerkersovereenkomst te actualiseren. Hiermee zijn alle verwerkingsactiviteiten inzichtelijk. De aangepaste bijlage is relevant voor alle bestaande en toekomstige overeenkomsten met klanten.
Ook zal Ans Exam de verantwoordelijkheden van de verwerkingsverantwoordelijke en de verwerker beschrijven in zowel de privacyverklaring als de verwerkersovereenkomst, informatie over subverwerkers aanvullen en corrigeren, meldingen over e-mailtracking uitschakelen, het cookiebeleid actualiseren en aanvullende technische en organisatorische beveiligingsmaatregelen implementeren die tijdens de DPIA zijn afgesproken.
Steun van SURF
SURF zal Ans Exam blijven ondersteunen bij het actualiseren van bijlage 1 van de verwerkersovereenkomst, de privacyverklaring en het cookiebeleid. Tijdens het DPIA-proces heeft Ans Exam laten zien dat het zich sterk inzet voor het aanpakken van de gevonden risico’s. Het is proactief begonnen met het implementeren van de aanbevolen maatregelen. Dit betekent dat al voor afronding van de DPIA een groot aantal risico’s succesvol zijn gemitigeerd. SURF is tevreden met de aanpak van Ans Exam om samen te werken aan de positieve resultaten van deze DPIA.
Opvolging
Ans Exam heeft zich gecommitteerd aan het mitigeren van alle resterende risico’s in de periode Q1-Q3 van 2026. SURF en Privacy Company zullen de implementatie van de maatregelen door Ans Exam verifiëren en in 2026 updates van de DPIA publiceren.
SURF, Privacy Company en Ans Exam blijven in 2026 samenwerken aan een verbeterde versie van bijlage 1 van de verwerkersovereenkomst voor de onderwijsinstellingen. SURF adviseert onderwijsinstellingen om een geactualiseerde verwerkersovereenkomst af te sluiten. Zo kunnen instellingen profiteren van verbeterde privacybepalingen. SURF adviseert onderwijsinstellingen om single sign-on (SSO) voor Ans Exam te verplichten en een specifiek aangepast domein te gebruiken. Deze maatregelen versterken de algehele privacy- en beveiligingspositie van het platform.
Volledig rapport beschikbaar
Alles weten over het onderzoek? Lees het in de Data Protection Impact Assessment (DPIA).
Heb je vragen over deze DPIA?
Neem contact op met SURF via vendorcompliance@surf.nl.