Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Studerende studenten aan een ronde tafel
Nieuws

Privacyrisico’s Osiris aangepakt in samenwerking met SURF

SURF heeft een data protection impact assessment (DPIA) laten uitvoeren op Osiris. Het voorlopige advies is dat instellingen het gebruik van dit studenteninformatiesysteem kunnen voortzetten wanneer ze zelf een aantal maatregelen nemen. In 2026 volgt een herziend advies als de resultaten bekend zijn van de maatregelen die leverancier CACI neemt.

Osiris wordt gebruikt door meer dan 60 instellingen, waaronder universiteiten, hogescholen en mbo’s. In nauwe samenwerking met CACI heeft Privacy Company namens SURF onderzocht hoe het systeem de persoonsgegevens van studenten en medewerkers van de instellingen verwerkt, welke centrale afspraken er zijn gemaakt over de verwerkingen en welke risico’s er bestaan. Daarnaast presenteert het onderzoeksrapport een aantal maatregelen die geconstateerde risico’s kunnen beperken.  

Resultaat: 12 hoge risico’s en 1 medium risico worden grotendeels gemitigeerd 

In totaal zijn er twaalf hoge risico’s en één medium risico voor de privacy van gebruikers gevonden. Daarvan zijn vier hoge risico’s gerelateerd aan de mobiele app. De risico’s komen deels voort uit de wijze waarop instellingen Osiris gebruiken en deels uit de inrichting van Osiris zelf.  

De maatregelen die inmiddels zijn voorgesteld, gelden dan ook deels voor de instellingen en deels voor CACI. Je vindt de voorgestelde maatregelen in de DPIA: zie de link hieronder. Ook komt er een webinar waar leden van SURF meer informatie krijgen over de bevindingen en voorgestelde maatregelen.

Met het treffen van de maatregelen kunnen alle hoge risico’s worden gemitigeerd, zodat alleen kleine restrisico’s overblijven. Dit geldt ook voor risico’s die te maken hebben met verwerkingen door CACI’s moederbedrijf en sub-leveranciers die gevestigd zijn in de VS. Daar is SURF extra alert op geweest. Meer informatie hierover vind je in het eerder opgestelde algemene informatiedocument over het gebruik van Amerikaanse leveranciers.  

Vervolg: update in 2026 

SURF en CACI hebben in goed overleg duidelijke afspraken gemaakt over hoe en wanneer CACI de maatregelen gaat implementeren. Hiermee heeft het bedrijf inmiddels een goede start gemaakt, zoals te zien is in de statustabel van de DPIA. Daardoor kunnen instellingen het gebruik van Osiris voorlopig voortzetten. CACI zal de resultaten binnen de afgesproken tijdlijnen rapporteren aan SURF. In 2026 publiceren we een update over deze DPIA.

Volledig rapport beschikbaar 

Download het DPIA-rapport 

Over Osiris 

Osiris is een studenteninformatiesysteem, dat in Nederland door zowel mbo-, hbo- als wo-instellingen wordt gebruikt. De leverancier, CACI, biedt Osiris aan als SaaS-applicatie. Met de mobiele Osiris-app kunnen studenten zich inschrijven voor vakken en tentamens en hun cijfers inzien. Een substantieel deel van de instellingen biedt haar studenten deze app aan.

Vragen? 

Heb je vragen over deze DPIA? Meld je aan voor het verdiepende webinar op 22 september (van 10:00-11:30 uur, alleen voor SURF-leden). Neem contact op met SURF via vendorcompliance@surf.nl.   

Gerelateerde onderwerpen: