bovenaanzicht van overleggende mensen
Nieuws

DPIA voor Nextcloud Enterprise-software: 15 lage of opgeloste risico’s

SURF en Privacy Company hebben gezamenlijk een overkoepelende Data Protection Impact Assessment (DPIA) uitgevoerd op de zelf gehoste open-source samenwerkingssoftware Nextcloud Enterprise. Met een aangepaste verwerkersovereenkomst voor de sector in handen en risicobeperkende maatregelen door Nextcloud, geeft SURF een positief advies over het gebruik ervan.

Nextcloud Enterprise is open-source software voor kantoorproductiviteit en samenwerking, ontwikkeld door het in Duitsland gevestigde Nextcloud GmbH. Bij de beoordeling vonden we aanvankelijk 15 risico’s op het gebied van gegevensbescherming. Deze risico’s hadden betrekking op de verwerking van beheerdersgegevens en commerciële contactgegevens; ondersteuningsgegevens; de beperkte diagnostische gegevens die beheerders desgewenst met Nextcloud kunnen delen; en websitegegevens. We hebben geen risico’s vastgesteld met betrekking tot inhoudelijke gegevens van de klant.

Namens de Nederlandse onderwijs- en onderzoekssector heeft SURF onderhandeld over een aangepaste verwerkersovereenkomst (Data Processing Agreement, DPA). Daarnaast heeft Nextcloud GmbH risicobeperkende maatregelen genomen of aangekondigd. Daaruit volgt de conclusie van de DPIA dat alle geïdentificeerde risico’s zijn of worden opgelost, of laag zijn.

Aangepaste DPA voor de Nederlandse onderwijssector

Nextcloud host geen inhoudelijke gegevens van klanten en heeft geen toegang tot data in de werkomgeving van de klant, zelfs niet voor ondersteuningsdoeleinden. Het bedrijf verwerkt via zijn software en diensten slechts een minimale hoeveelheid persoonsgegevens, zoals de contactgegevens van beheerders of inkoopmedewerkers. De aangepaste verwerkersovereenkomst voor de Nederlandse onderwijs- en onderzoekssector voegt contractuele en organisatorische waarborgen toe voor de beperkte hoeveelheid persoonsgegevens die Nextcloud verwerkt. De DPA beperkt de verwerkingen door Nextcloud als verwerker tot 4 specifieke en legitieme doeleinden. Voor bepaalde persoonsgegevens is Nextcloud in de DPA gemachtigd om op te treden als geautoriseerde verwerkingsverantwoordelijke voor 7 verenigbare doeleinden voor verdere verwerking.

De aangepaste DPA waarborgt ook dat onderwijsinstellingen de volledige zeggenschap hebben over de doeleinden van de verwerkingen en het inschakelen van subverwerkers. Zij kunnen erop vertrouwen dat hun gegevens uitsluitend in de EU verwerkt worden, als zij kiezen voor het nieuwe Nextcloud Office dat draait op Euro-Office. Voor de DPIA heeft SURF echter getest met de vorige versie van Nextcloud Office, gebaseerd op Collabora Online, waarbij ondersteuningsverzoeken konden worden verwerkt in het Verenigd Koninkrijk.

Bewaartermijnen zijn beperkt tot wat strikt noodzakelijk is. Instellingen kunnen ervan uitgaan dat Nextcloud alleen noodzakelijke cookies plaatst. Ook kunnen zij erop vertrouwen dat SURF zijn auditrechten uitoefent om de naleving van de overeengekomen gegevensbeschermingsclausules en -maatregelen te controleren. In tegenstelling tot leveranciers met hoofdkantoor in de VS biedt Nextcloud een harde garantie dat het nooit persoonsgegevens zal verstrekken aan autoriteiten buiten de EU.

Beveiligingsbeoordeling

De DPIA omvat ook een afzonderlijke beveiligingsbeoordeling met een positief resultaat. Nextcloud heeft onlangs de CSPN-certificering behaald, een raamwerk voor beveiligingscertificering van het Franse nationale agentschap voor de beveiliging van informatiesystemen, ANSSI. Hoewel de CSPN-certificering zich richt op veilige opslag, hebben de auditors ook de authenticatie, de regels voor toegangscontrole en de functies voor veilige communicatie van de software beoordeeld.

Aanbevelingen voor instellingen

Onderwijsinstellingen kunnen de Nextcloud-software zelf hosten of kiezen voor een externe hostingprovider, zoals SURF. De DPIA bevat een voorlopige lijst met essentiële beveiligingsmaatregelen om risico’s op het gebied van gegevensbescherming te voorkomen, en een tabel met maatregelen die instellingen moeten nemen om hoge risico’s op het gebied van gegevensbescherming te voorkomen. Deze vormen een aanvulling op de maatregelen die door Nextcloud zijn geïmplementeerd of aangekondigd. Instellingen moeten beheerders instrueren om het delen van gegevens met Nextcloud verder tot een minimum te beperken. Ook moeten instellingen voorkomen dat interne auditlogs worden misbruikt voor het toezicht op medewerkers en studenten.

Positief advies

SURF geeft een positief advies voor het gebruik van de Nextcloud Enterprise-software onder de voorwaarden die zijn vastgelegd in de aangepaste DPA voor de Nederlandse onderwijs- en onderzoekssector.  

Lees het volledige rapport op de website van SURF Vendor Compliance.

Heb je vragen? Neem dan contact met ons op via vendorcompliance@surf.nl .