DPIA's: team Vendor Compliance

 Om instellingen bij compliancetrajecten te ondersteunen en werk uit handen te nemen voert het team Vendor Compliance van SURF jaarlijks verschillende compliancetrajecten uit. Het uitvoeren van Data Protection Impact Assessments (DPIA’s) is hier een onderdeel van. Ieder jaar worden er gemiddeld acht trajecten opgepakt. Welke trajecten dit zijn bepalen we samen met de leden.

Door met leveranciers in gesprek te gaan én te blijven, sluiten we de beste privacy -en securityvoorwaarden af voor het onderzoek en onderwijs. In de FAQ van Vendor Compliance lees je alles over deze dienstverlening.

DPIA's

Door het bundelen van expertise realiseren we kostenbesparing, kennisdeling en hebben we namens de onderwijs- en onderzoekssector een sterkere onderhandelingspositie richting leveranciers. Via SURF maken de leden gezamenlijk afspraken met ict- en contentleveranciers over de levering en afname van producten en diensten.

Trajecten van Vendor Compliance

Je kunt op de site van Vendor Compliance alles lezen over de volgende trajecten:

• Xedule - directe link naar relevante DPIA-documentatie Xedule
• EduGenAI - DPIA verwacht op 1 september 2025
• Microsoft - directe link naar relevante DPIA-documentatie Microsoft
• Google Workspace - directe link naar relevante DPIA-documentatie Google Workspace
• Zoom - directe link naar relevante DPIA-documentatie Zoom

EU US Data Privacy Framework

Lees ook de SURF-strategie over Amerikaanse leveranciers met de titel 'Amerikaanse leveranciers in gebruik: wat zijn de effecten op de privacybescherming' (voorjaar 2025). Het verwerken van persoonsgegevens via een leveranciermet een (hoofd)kantoor in de VS kan momenteel op basis van het EU US Data Privacy Framework. Een DTIA is niet nodig als een leverancier (zelf-)gecertificeerd is. Er is dan sprake van een adequaat beschermingsniveau. Maar wat als dat verandert?