Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
vier studentes zijn lachend aan het werk op hun laptop
Nieuws

Instructure verbetert privacyfuncties in Canvas LMS in samenwerking met SURF

SURF heeft een data protection impact assessment (DPIA) uitgevoerd op Canvas LMS. Op ons advies kunnen instellingen dit learning management system blijven gebruiken. Voor de gevonden risico’s zijn mitigerende maatregelen afgesproken met leverancier Instructure. In 2026 onderzoeken we of deze door de leverancier zijn geïmplementeerd.

Het gebruik van Canvas LMS stijgt en het systeem wordt binnen veel Nederlandse universiteiten, hogescholen en mbo’s gebruikt om leer- en trainingsactiviteiten te beheren en te volgen. De groep gebruikers binnen de onderwijssector is groot, en de belangstelling voor het LMS ook. Daarom heeft SURF een DPIA uitgevoerd, in nauwe samenwerking met Instructure. SURF heeft onderzocht hoe het LMS-systeem de persoonsgegevens van studenten en medewerkers verwerkt, welke centrale afspraken er zijn gemaakt over de verwerking van deze persoonsgegevens en welke risico’s er zijn.

Risico’s en maatregelen

Er werden in totaal 3 hoge risico’s en 9 medium risico’s gevonden, met betrekking tot de privacy van gebruikers. De hoge risico’s vloeien voort uit de functies die instellingen gebruiken. Zoals het gebrek aan transparantie (masquerading), het gebrek aan controle over de gegevensverwerking en gegevensoverdracht.

SURF heeft deze risico’s met Instructure besproken en maatregelen voorgesteld. Instructure heeft toegezegd de hoge en medium risico’s uiterlijk in 2026 te mitigeren. Een aantal maatregelen zijn al geïmplementeerd. Er blijven dan alleen kleine restrisico’s over, die instellingen zelf kunnen mitigeren aan de hand van de maatregelen die in de DPIA worden genoemd. Instructure zal instellingen hierbij ondersteunen als dat nodig is. In de link hieronder vind je de maatregelen in de DPIA.

Vervolg in 2026

SURF test en beoordeelt de maatregelen in november 2026 opnieuw. Dan publiceren we een update DPIA en geven aan of de mitigerende maatregelen zijn geïmplementeerd. Instructure heeft zich tijdens het hele proces zeer coöperatief en transparant opgesteld. Bovendien zijn duidelijke afspraken gemaakt tussen SURF en Instructure, over hoe en wanneer de maatregelen worden geïmplementeerd. Dit betekent dat instellingen Canvas voorlopig kunnen blijven gebruiken.

Volledig rapport beschikbaar

​Alles weten over het onderzoek? Lees het in het rapport Data Protection Impact Assessment (DPIA).

Meer informatie over de effecten op de privacybescherming bij het gebruik van Amerikaanse leveranciers, vind je in dit informatiedocument.

Vragen?

Heb je vragen over deze DPIA? Neem contact op met SURF via vendorcompliance@surf.nl.

Gerelateerde onderwerpen: