SURF heeft na een gezamenlijke Data Protection Impact Assessment (DPIA) en aanvullende afspraken een positief advies verleend voor het gebruik van Nextcloud Enterprise binnen de onderwijs- en onderzoekssector. De uitkomst betekent dat instellingen een zelfgehoste, open-source samenwerkingssuite kunnen inzetten met aangepaste juridische en technische waarborgen.
Wat is onderzocht en waarom dit belangrijk is
De DPIA, uitgevoerd door SURF in samenwerking met Privacy Company, richtte zich op gegevensverwerkingen van Nextcloud Enterprise. In eerste instantie werden 15 risico’s geïdentificeerd die te maken hadden met verschillende categorieën van persoonsgegevens: beheerdersgegevens, commerciële contactgegevens, ondersteuningsverzoeken, beperkte diagnostische data en websitegegevens. Risico’s met betrekking tot inhoudelijke klantgegevens werden niet vastgesteld.
Afspraken en maatregelen
Namens de sector heeft SURF onderhandeld over een aangepaste verwerkersovereenkomst (DPA). Daarnaast heeft Nextcloud technische en organisatorische maatregelen getroffen om de geïdentificeerde risico’s aan te pakken. De kernpunten van de overeenkomst en maatregelen zijn:
- Nextcloud heeft geen toegang tot inhoudelijke klantdata in de werkomgeving van instellingen;
- verwerking van persoonsgegevens door Nextcloud wordt beperkt tot een minimale set (zoals contactgegevens van beheerders/inkopers) en tot duidelijke doeleinden;
- instellingen houden de zeggenschap over de doeleinden en het inschakelen van eventuele subverwerkers;
- voor wie kiest voor Nextcloud Office op Euro-Office blijft de verwerking volledig binnen de EU.
Gevolgen voor scholen en instellingen
Voor het onderwijs betekent dit dat instellingen nu een privacygetoetste, zelfgehoste samenwerkingsomgeving kunnen overwegen als alternatief voor SaaS-oplossingen van buiten de EU of met onduidelijke verwerkingslocaties. Belangrijke praktische implicaties zijn onder meer:
- instellingen moeten zelf bepalen of en hoe ze Nextcloud in hun infrastructuur inzetten (hosten en beheer blijven in handen van de instelling of diens chosen hostingpartner);
- bij supportvragen en diagnostiek geldt een beperkter en afgebakend gegevensgebruik door Nextcloud;
- wie nationale soevereiniteit van data belangrijk vindt, kan kiezen voor de Euro-Office-integratie waarmee verwerking in de EU blijft.
Overzicht van de risico-evaluatie
| Risicocategorie | Bevinding |
|---|---|
| Beheerdersgegevens | Aanpak of laag risico |
| Commerciële contactgegevens | Beperkt en contractueel geregeld |
| Ondersteuningsgegevens | Gereguleerd; geen toegang tot inhoudelijke klantdata |
| Beperkte diagnostische data | Beperkt en onder voorwaarden |
| Websitegegevens | Laag risico of maandag opgelost |
| Inhoudelijke klantgegevens | Geen risico vastgesteld |
Let op: de tabel vat de algemene uitkomst samen; concrete technische en contractuele details staan in de DPA die SURF en Nextcloud hebben afgesproken.
Wat moeten onderwijsinstellingen nu doen?
Instellingen die Nextcloud willen inzetten, doen er goed aan de volgende stappen te nemen:
- raadpleeg de DPA en de DPIA-samenvatting van SURF om te begrijpen welke verwerkingen zijn toegestaan;
- beoordeel of hosting en beheer in eigen beheer of bij een vertrouwde EU-host passen binnen het eigen privacybeleid;
- zorg voor heldere procedures rondom supportverzoeken en diagnostiek, zodat persoonsgegevens niet onbedoeld buiten de afgesproken kaders worden gedeeld.
Door deze combinatie van juridische waarborgen en risicobeperkende maatregelen kunnen onderwijs- en onderzoeksinstellingen Nextcloud Enterprise nu verantwoord overwegen als onderdeel van hun digitale onderwijs- en samenwerkingsinfrastructuur.