DPIA's: team Vendor Compliance
Om instellingen bij compliancetrajecten te ondersteunen en werk uit handen te nemen voert het team Vendor Compliance van SURF jaarlijks verschillende compliancetrajecten uit. Het uitvoeren van Data Protection Impact Assessments (DPIA’s) is hier een onderdeel van. Ieder jaar worden er gemiddeld acht trajecten opgepakt. Welke trajecten dit zijn bepalen we samen met de leden.
Door met leveranciers in gesprek te gaan én te blijven, sluiten we de beste privacy -en securityvoorwaarden af voor het onderzoek en onderwijs. In de FAQ van Vendor Compliance lees je alles over deze dienstverlening.
DPIA's
Door het bundelen van expertise realiseren we kostenbesparing, kennisdeling en hebben we namens de onderwijs- en onderzoekssector een sterkere onderhandelingspositie richting leveranciers. Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten.
Trajecten van Vendor Compliance
Je kunt op de site van Vendor Compliance alles lezen over de volgende trajecten (met directe link naar de relevante DPIA-documentatie):
- Ans Exam (SaaS en API)
- Canvas LMS
- Xedule
- EduGenAI
- Osiris
- Microsoft
- Google Workspace
- Zoom
Informatie over de lopende compliancetrajecten die Vendor Compliance onderhanden heeft, is vanwege de vertrouwelijke aard te vinden in het privacygedeelte van de beveiligde SCIPR-omgeving.
EU US Data Privacy Framework
Lees ook de SURF-strategie over Amerikaanse leveranciers met de titel 'Amerikaanse leveranciers in gebruik: wat zijn de effecten op de privacybescherming' (voorjaar 2025). Het verwerken van persoonsgegevens via een leveranciermet een (hoofd)kantoor in de VS kan momenteel op basis van het EU US Data Privacy Framework. Een DTIA is niet nodig als een leverancier (zelf-)gecertificeerd is. Er is dan sprake van een adequaat beschermingsniveau. Maar wat als dat verandert?