De Nederlandse onderwijssector kan als het om de bescherming van persoonsgegevens gaat gebruikmaken van Nextcloud, zo meldt SURF, dat samen met Privacy Company een Data Protection Impact Assessment (DPIA) van de software uitvoerde. Nextcloud is een suite van producten die een alternatief voor Microsoft 365 kan zijn, zo liet minister Heerma van Binnenlandse Zaken onlangs nog weten.
Bij het onderzoek vonden SURF en Privacy Company in eerste instantie vijftien risico’s op het gebied van gegevensbescherming. Deze risico’s hadden betrekking op de verwerking van beheerdersgegevens en commerciële contactgegevens; ondersteuningsgegevens; de beperkte diagnostische gegevens die beheerders desgewenst met Nextcloud kunnen delen; en websitegegevens.
Namens de Nederlandse onderwijs- en onderzoekssector heeft SURF onderhandeld over een aangepaste verwerkersovereenkomst (Data Processing Agreement, DPA). SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Daarnaast heeft Nextcloud risicobeperkende maatregelen genomen of aangekondigd. "Daaruit volgt de conclusie van de DPIA dat alle geïdentificeerde risico’s zijn of worden opgelost, of laag zijn", aldus SURF.
Nextcloud host geen inhoudelijke gegevens van klanten en heeft volgens SURF geen toegang tot data in de werkomgeving van de klant, ook niet voor support. Via de software en diensten verwerkt Nextcloud wel persoonsgegevens, zoals contactgegevens van beheerders of inkoopmedewerkers. De aangepaste verwerkersovereenkomst voor de Nederlandse onderwijssector voegt contractuele en organisatorische waarborgen toe voor de verwerking van deze gegevens. Zo beperkt de DPA de verwerkingen door Nextcloud als verwerker tot vier specifieke en legitieme doeleinden.
De aangepaste DPA moet er ook voor zorgen dat onderwijsinstellingen de volledige zeggenschap hebben over de doeleinden van de verwerkingen en het inschakelen van subverwerkers. "Zij kunnen erop vertrouwen dat hun gegevens uitsluitend in de EU verwerkt worden, als zij kiezen voor het nieuwe Nextcloud Office dat draait op Euro-Office", laat SURF verder weten.
SURF noemt ook een aantal maatregelen waarmee onderwijsinstellingen hoge risico’s op het gebied van gegevensbescherming kunnen voorkomen. Het gaat hierbij om aanvullingen op de maatregelen van Nextcloud. Zo moet het delen van gegevens met Nextcloud tot een minimum worden beperkt en moeten instellingen voorkomen dat interne auditlogs worden misbruikt voor het toezicht op medewerkers en studenten.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.