Compliancy
Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten. Zo zorgen de leden gezamenlijk voor schaalgrootte en een efficiënt aanspreekpunt voor leveranciers. Data Protection Impact Assessments (DPIA’s) zijn hier een onderdeel van.
Een DPIA is een gegevenseffectbeoordeling om privacyrisico’s voor betrokkenen in kaart te brengen. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk, als er sprake is van grootschalige verwerking van persoonsgegevens of gevoelige persoonsgegevens. In veel gevallen verwerken leveranciers persoonsgegevens van (medewerkers en studenten van) de SURF-leden. Het is daarom belangrijk dat de betrokkenen voldoen aan wet- en regelgeving. Een DPIA helpt instellingen bij het inschatten van de feitelijke risico’s voor de betrokkenen. Instellingen beoordelen zelf of zij deze risico’s aanvaardbaar vinden. De DPIA’s van SURF helpen hen daarbij. SURF werkt bij de uitvoering van DPIA's samen met de overheid. Er zijn samen met het Rijk al meerdere DPIA’s uitgevoerd.
Internationale aandacht voor onderhandelingskracht van Nederlands onderwijs met big tech
SURF en de onderwijsinstellingen vinden veilig onderwijs, dat voldoet aan onze publieke waarden, heel belangrijk. Daarom bundelen we in Nederland de krachten en gaat SURF, al dan niet in samenwerking met partners, in gesprek met grote en kleine leveranciers, binnen en buiten Europa, om tot goede afspraken te komen.
Reactie op Franse bevindingen ten aanzien van (gratis) online diensten van Google en Microsoft
Recent zijn er publicaties verschenen over het gebruik van verschillende online producten van Google in Frankrijk.
Reactie op Duitse bevindingen ten aanzien van Microsoft 365
In een rapport van 2 november 2022 heeft het samenwerkingsverband van Duitse privacy-toezichthouders (hierna; DSK) gesteld dat het gebruik van Microsoft 365 in Duitsland in strijd is met de Algemene Verordening Gegevensbescherming (AVG). SURF, APS IT-diensten, SLBdiensten en SIVON hebben met belangstelling kennisgenomen van het rapport van de DSK en hebben een onderzoek laten instellen naar aanleiding van deze bevindingen van de DSK.
Zoom
Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacyafspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen adviseert SURF instellingen zelf een aantal maatregelen door te voeren. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico's meer verbonden aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.
Microsoft OneDrive, SharePoint en Teams
SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams.
Google Workspace
SURF en SIVON bereikten overeenstemming met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren.