Vendor compliance
Namens instellingen voeren we privacy- en security- risicoanalyses uit op leveranciers. Hiermee geven we gezamenlijk invulling aan wettelijke verplichtingen. Door het bundelen van expertise realiseren we kostenbesparing, kennisdeling en hebben we namens de onderwijs- en onderzoekssector een sterkere onderhandelingspositie richting leveranciers.
Handen met computer met groen op de achtergrond reflecterend in het scherm

'Door met leveranciers in gesprek te gaan én te blijven, sluiten we de beste privacy en security voorwaarden af voor het onderzoek en onderwijs.'

Sandy Janssen

Sandy Janssen

Telefoonnummer

Trajecten

Ontdek alle compliance trajecten betreffende privacy- en security- risicoanalyses op leveranciers.

Zoom

Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacyafspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf een aantal aanbevolen maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico's meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.  

Lees meer over Zoom

 

Microsoft OneDrive, SharePoint en Teams

SURF heeft samen met het ministerie van Justitie en Veiligheid (Strategisch Leveranciersmanagement voor de Rijksoverheid) opdracht gegeven aan de Privacy Company tot het uitvoeren van een Data Protection Impact Assessment (DPIA) op Microsoft OneDrive, SharePoint en Teams. Uit het onderzoek komen de volgende zaken naar voren: 

  • 6 lage risico’s 
  • 1 hoog risico 

De 6 lage risico’s zijn pas als zodanig te classificeren, nadat acties zijn uitgevoerd door de instellingen. SURF komt hiervoor met nadere informatie. Het hoge risico betreft het gebruik van Teams. Het gaat om de specifieke situatie waarin bijzondere persoonsgegevens worden gedeeld via vooraf ingeplande Teams-vergaderingen. Deze geplande sessies zijn niet end-to-end versleuteld. Op dit moment biedt Microsoft deze versleuteling (end-to-end encryption, E2EE) alleen aan voor spontane 1-op-1 uitwisselingen. 

Lees meer over Microsoft

 

Google Workspace

We bereikten overeenstemming met Google over een uitgebreide set contractuele, organisatorische en technische maatregelen met betrekking tot het gebruik van Workspace for Education Plus en Workspace Education Fundamentals door onderwijsinstellingen in Nederland. Gezien het belang van het gebruik van Google-diensten in onderwijsinstellingen, blijven SURF en SIVON namens het onderwijs Google monitoren.

Lees meer over Google Workspace