Compliancy
Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten. Zo zorgen de leden gezamenlijk voor schaalgrootte en een efficiënt aanspreekpunt voor leveranciers. Data Protection Impact Assessments (DPIA’s) zijn hier een onderdeel van.
Een DPIA is een gegevenseffectbeoordeling om privacyrisico’s voor betrokkenen in kaart te brengen. Vanuit de Algemene verordening gegevensbescherming (AVG) is een DPIA noodzakelijk, als er sprake is van grootschalige verwerking van persoonsgegevens of gevoelige persoonsgegevens. In veel gevallen verwerken leveranciers persoonsgegevens van (medewerkers en studenten van) de SURF-leden. Het is daarom belangrijk dat de betrokkenen voldoen aan wet- en regelgeving. Een DPIA helpt instellingen bij het inschatten van de feitelijke risico’s voor de betrokkenen. Instellingen beoordelen zelf of zij deze risico’s aanvaardbaar vinden. De DPIA’s van SURF helpen hen daarbij. SURF werkt bij de uitvoering van DPIA's samen met de overheid. Er zijn samen met het Rijk al meerdere DPIA’s uitgevoerd.
Zoom
Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacyafspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen adviseert SURF instellingen zelf een aantal maatregelen door te voeren. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico's meer verbonden aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.
Microsoft OneDrive, SharePoint en Teams
SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams.
Google Workspace
SURF en SIVON bereikten overeenstemming met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren.