Laatste nieuws
AFAS en SURF zetten samen de volgende stap na DPIA-onderzoek
SURF heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op Profit van AFAS, een allround HRM en Payroll systeem.
Memo gepubliceerd over Pure (Elsevier): vier aanbevelingen voor instellingen
SURF Vendor Compliance heeft een memo gepubliceerd over Pure, het Research Informatie Systeem van Elsevier.
Privacyrisico’s Microsoft 365 Copilot blijven ‘oranje’ ondanks verbeteringen
SURF blijft onderwijs- en onderzoeksinstellingen aanraden voorzichtig te zijn bij het gebruik van Microsoft 365 Copilot.
HR2day neemt aanvullende privacystappen na DPIA-onderzoek van SURF
SURF heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op HR2day, een allround HRM en Payroll systeem. Daarin zijn 16 hoge risico’s gevonden. HR2day heeft aangegeven voor eind 2026 mitigerende...
Tussentijdse update memo DPIA Osiris | aanvullingen mbo
We willen je informeren dat SURF Vendor Compliance een tussentijdse update memo heeft gepubliceerd over de uitbreiding van de DPIA Osiris met mbo-specifieke scenario’s. Wij hebben hiertoe besloten omdat er...
Relevante documentatie Microsoft Compliance trajecten
Op deze pagina vind je een handig overzicht van de relevante documenten voor de Microsoft Compliance trajecten
Update DPIA Xedule
Naar aanleiding van de DPIA op Xedule van juli 2025 is het tijd om een update te geven. Xedule heeft aangegeven inmiddels het merendeel van de mitigerende maatregelen geïmplementeerd te...
SURF rondt DPIA af op Adobe Creative Cloud en Document Cloud for Education
SURF en Privacy Company hebben een data protection impact assessment (DPIA) uitgevoerd op Adobe Creative Cloud en Document Cloud for Education. SURF bevestigt dat onderwijsinstellingen deze producten kunnen blijven gebruiken, omdat Adobe heeft toegezegd mitigerende maatregelen door te voeren voor...
TOPdesk voert verbeteringen privacy door na DPIA SURF
Instellingen kunnen het gebruik van TOPdesk voortzetten, dat blijkt uit de DPIA van SURF. SURF heeft 9 hoge risico’s en 3 lage risico’s gevonden. TOPdesk heeft al 4 van de hoge risico’s gemitigeerd. Ook de resterende hoge risico’s zal TOPdesk binnenkort mitigeren. TOPdesk is een platform voor servicemanagement, gebruikt door mbo’s,...
Security assessment pilot op Xedule is afgerond
SURF Vendor Compliance heeft een security assessment pilot op Xedule afgerond. Deze assessment is een gezamenlijk initiatief geweest welke beide partijen veel relevante kennis heeft opgeleverd. Xedule Xedule heeft SURF...
Instructure verbetert privacyfuncties in Canvas LMS in samenwerking met SURF
SURF heeft een data protection impact assessment (DPIA) uitgevoerd op Canvas LMS. Op ons advies kunnen instellingen dit learning management system blijven gebruiken. Voor de gevonden risico’s zijn mitigerende maatregelen...
Door verbeterde privacybescherming kunnen instellingen voorlopig Ans Exam blijven gebruiken
SURF en Privacy Company hebben een data protection impact assessment (DPIA) uitgevoerd op het SaaS-platform en de API van Ans Exam B.V. Door meer dan 20 Nederlandse onderwijsinstellingen wordt Ans Exam...
Zoom boekt vooruitgang bij de laatste mitigerende stappen uit DPIA van 2024
In april 2024 publiceerde SURF een update DPIA op Zoom Education. Uit de DPIA bleek dat er geen hoge risico’s met betrekking de gegevensbescherming meer bekend zijn. Zoom ging er ook...
Privacyrisico’s Osiris aangepakt in samenwerking met SURF
SURF heeft een data protection impact assessment (DPIA) laten uitvoeren op Osiris. Het voorlopige advies is dat instellingen het gebruik van dit studenteninformatiesysteem kunnen voortzetten wanneer ze zelf een aantal...
Privacyrisico's Microsoft 365 Copilot naar oranje
SURF adviseert onderwijs- en onderzoekinstellingen terughoudend om te gaan met de inzet van Microsoft 365 Copilot. Dat is de conclusie van een nieuwe DPIA (Data Protection Impact Assessment) op Microsoft...
DPIA eduGenAI - werken aan veilige en verantwoorde AI in het onderwijs
Samen met Npuls werken we aan eduGenAI: een platform dat een veilige en verantwoorde toepassing van generatieve AI in het vervolgonderwijs mogelijk maakt. Al in de ontwikkelfase hebben we een...
Xedule gebruikt SURF-DPIA voor verdere aanscherping privacybeleid
SURF heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op Xedule, een cloudoplossing voor plan- en roosterprocessen in het onderwijs. We hebben 17 hoge risico's en 1 medium risico gevonden....
DPIA op eduGenAI wordt op 1 september 2025 gepubliceerd
Het gebruik van AI in het onderwijs is een actueel onderwerp. In Npuls wordt een privacy vriendelijke AI-oplossing voor onderwijsinstellingen ontwikkelt als alternatief voor commerciële generatieve AI-oplossingen: eduGenAI. Hierbij wordt...
Update DPIA Microsoft 365 Copilot
26 juni 2025 - Microsoft heeft ons kortgeleden nieuwe informatie verschaft over hoe zij de mitigating measures willen invullen. Deze informatie wordt nu door ons geanalyseerd en teruggekoppeld naar Microsoft....
SURF raadt gebruik van Microsoft 365 Copilot vooralsnog af vanwege privacyrisico’s
We adviseren onderwijs- en onderzoeksinstellingen om vooralsnog geen gebruik te maken van Microsoft 365 Copilot. Uit onderzoek blijkt namelijk dat er privacyrisico’s verbonden zijn aan het gebruik van de generatieve...
Google Workspace kan veilig gebruikt worden in het onderwijs
Dat meldt het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op basis van onderzoek van SURF en SIVON vandaag aan de Tweede Kamer. De afgelopen jaren onderzochten SURF en SIVON...
Zoom verbetert privacy-functionaliteit voor educatie in heel Europa door partnerschap met SURF
Met trots kondigen we aan dat Zoom de volgende mijlpaal heeft bereikt voor zakelijke en educatieve klanten in Nederland en de hele EER: De jarenlange nauwe samenwerking met SURF heeft...
Relevante documentatie Zoom Compliance trajecten
Op deze pagina vind je een handig overzicht van de relevante documenten voor de Google Compliance trajecten
Relevante documentatie Google Compliance trajecten
Op deze pagina hebben we een handig overzicht gemaakt van de relevante documenten voor de Google Compliance trajecten
Zoom verbetert privacy-functionaliteit voor educatie in heel Europa door partnerschap met SURF
Zoom heeft haar privacybeleid heeft aangescherpt en geactualiseerd, en belangrijke privacy- en securitymaatregelen heeft geïmplementeerd.
Samenwerken met de VS: een goed gesprek over gegevensbeveiliging
Hoe borg je gegevensbescherming op internationaal niveau? Aan het eind van 2022 stond deze vraag centraal tijdens de discussie ‘De Nederlandse en Amerikaanse benadering van gegevensbescherming: samen vooruit’. Nederlandse data...
Veilig cloudgebruik: Zoom en SURF zorgen samen voor veiligheidsgordels en airbags
Zoom is populair in Nederland, maar kampte in 2020 nog met een negen privacy-issues. Inmiddels kan Zoom veilig gebruikt worden in het Nederlandse onderwijs en onderzoek: de Data Protection Impact...
Gewijzigde algemene voorwaarden voor gratis diensten Zoom hebben geen gevolg voor het Nederlandse (en Europese) onderwijs
Zoom heeft in maart van dit jaar haar wereldwijd geldende algemene voorwaarden voor consumenten aangepast (voor de gratis diensten). In die gewijzigde voorwaarden staat dat Zoom het recht heeft om...
SURF, SIVON en Google bereiken overeenkomst Terms of Service Google Chrome
In mei 2023 hebben SURF en SIVON met Google overeenstemming bereikt over de nieuwe Terms of Service (ToS) voor het gebruik van Chrome OS en Chrome-browser voor Chromebooks. Nadat het...
Privacyrisico's Google Workspace for Education voldoende opgelost
Google heeft de afgelopen maanden maatregelen genomen om de resterende risico's uit de DPIA van 2021 volgens afspraak en binnen de deadline te verminderen. De privacyrisico's van Google Workspace for...
Zoom introduceert wereldwijde verbeteringen rondom de privacy van persoonsgegevens
Het borgen van privacy is van groot belang voor het vertrouwen van gebruikers in technologiebedrijven. Je wilt gebruik maken van digitale technologieën in de wetenschap dat je persoonlijke gegevens veilig...
Stand van zaken DPIA Google Workspace: update privacymaatregelen
In december 2022 berichtten SIVON en SURF dat Google binnen de afgesproken termijn maatregelen heeft opgeleverd om de risico's uit de DPIA van 2021 te mitigeren. De meeste maatregelen voldoen...
Update afspraken en gesprekken SURF en Google
In juli 2021 hebben SURF en Google een belangrijke overeenkomst bereikt over het gebruik van Google Workspace for Education door onderwijsinstellingen. Het gaat om een set contractuele, organisatorische en technische...
Zoom past privacyvoorwaarden aan na intensief overleg met SURF
Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf...
Data Protection Impact Assessment op Microsoft OneDrive, SharePoint en Teams
SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment...
Onderzoek naar Google ChromeOS en Chrome-browser
In juli 2021 is met Google overeengekomen dat voor ChromeOS en Chrome-browser een onderwijsspecifieke versie beschikbaar komt. Instellingen blijven daarmee de controle houden over de gegevens bij het gebruik van...
Ondersteuningspakket Google Workspace for Education
Zoals wij eerder hebben gemeld is op 8 juli overeenstemming bereikt met Google over de maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat...
Alles over DPIA Google Workspace
Op 8 juli is er overeenstemming bereikt met Google over maatregelen gericht op de eerder geconstateerde privacyrisco’s bij Google Workspace for Education. Dit betekent dat scholen gebruik kunnen blijven maken...
Akkoord onderwijs met Google over privacy-risico’s
Na intensieve discussies van de afgelopen weken is overeenstemming bereikt met Google over het mitigeren van hoge privacy-risico’s met betrekking tot het gebruik van Workspace for Education Plus (voorheen G...
Advies AP: Google Workspace in het onderwijs kent te veel risico’s
De Autoriteit Persoonsgegevens (AP) stelt dat onduidelijk is of persoonsgegevens in Google Workspace (voorheen Google Suite for Education) voldoende beschermd zijn. Onderwijsorganisaties doen een dringend beroep op de maatschappelijke verantwoordelijkheid...
SURF en SIVON spreken Google aan op privacyrisico’s
In het onderwijs worden steeds meer (persoons)gegevens digitaal opgeslagen en uitgewisseld. Het is belangrijk dat dit op een veilige en verantwoorde manier gebeurt. Uit onderzoek in opdracht van de RUG...