Waar ben je naar op zoek?

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
studenten aan het werk aan ronde tafels
Nieuws

SURF rondt DPIA af op Adobe Creative Cloud en Document Cloud for Education

SURF en Privacy Company hebben een data protection impact assessment (DPIA) uitgevoerd op Adobe Creative Cloud en Document Cloud for Education. SURF bevestigt dat onderwijsinstellingen deze producten kunnen blijven gebruiken, omdat Adobe heeft toegezegd mitigerende maatregelen door te voeren voor de gevonden risico’s. Aan het einde van 2026 onderzoekt SURF of dit is gebeurd.

Adobe binnen onderwijsinstellingen in Nederland 

Adobe is een softwarebedrijf dat applicaties ontwikkelt voor digitale contentcreatie, documentbeheer en ontwerp. Veel Nederlandse onderwijsinstellingen gebruiken deze producten binnen het creatieve domein.

Geïdentificeerde risico’s   

De DPIA heeft 9 hoge risico’s en 8 lage risico’s geïdentificeerd. De belangrijkste risico’s hebben betrekking op: producteigenschappen die gebruikers beperken om documenten te verwijderen of het delen ervan te stoppen, beperkingen om als beheerder de rechten van betrokkenen te honoreren, de onevenredige verwerking van Adobe’s content credentials en het huidige contractuele kader van SURF. Dit laatste risico heeft te maken met het feit dat onderwijsinstellingen gebruik maken van de online gegevensverwerkingsovereenkomst (DPA) van Adobe en dus een eigen overeenkomst aangaan en mogelijk met verschillende versies van de DPA werken.

Adobe’s coöperatieve aanpak en toegezegde maatregelen

Tijdens het DPIA-proces heeft Adobe nauw samengewerkt met SURF om alle geïdentificeerde risico’s aan te pakken. Adobe heeft aangegeven welke maatregelen voor het einde van 2026 geïmplementeerd worden. SURF zal erop toezien dat dit nageleefd wordt. In het rapport staan maatregelen die Adobe neemt om de hoge risico’s te beperken. Ook staat erin welke maatregelen onderwijsinstellingen zelf kunnen nemen om de lage risico’s te beperken.  

Standpunt van Adobe

De toezeggingen van Adobe mogen volgens Adobe zelf niet worden opgevat als een erkenning van enige wettelijke verplichting of instemming met de toegekende risiconiveaus. Adobe geeft aan dat de verbeteringen moeten worden gezien in de geest van het doorvoeren van verbeteringen die zijn gevraagd door een specifieke klant met unieke vereisten vanwege de context waarin deze Adobe-services gebruikt.

SURF is van mening dat het beperken van de geïdentificeerde risico’s noodzakelijk is om Adobe en instellingen in staat te stellen Adobe-producten en -services te gebruiken in overeenstemming met de AVG. We kijken ernaar uit om de samenwerking met Adobe voort te zetten, om ervoor te zorgen dat studenten de producten en diensten van Adobe op een veilige en conforme manier kunnen gebruiken.

Meer weten over privacymaatregelen en content policy’s van Adobe? Kijk op de SURF Vendor Compliance pagina.

Volledig rapport openbaar beschikbaar 

In het Data Protection Impact Assessment (DPIA)-rapport staan de volledige bevindingen van de beoordeling. 

Meer informatie over de effecten op de privacybescherming bij het gebruik van Amerikaanse leveranciers vind je in dit informatiedocument

Gerelateerde onderwerpen: