Witold Kepinski - 17 juli 2026

SURF en Nextcloud sluiten privacyakkoord voor onderwijssector

Onderwijscoöperatie SURF en Privacy Company hebben een overkoepelende privacytoets (DPIA) afgerond voor Nextcloud Enterprise. Na onderhandelingen over een aangepaste verwerkersovereenkomst en technische aanpassingen door de Duitse softwareleverancier, geeft SURF een positief advies voor het gebruik van de open-source samenwerkingssoftware in het Nederlandse onderwijs en onderzoek.

SURF en Nextcloud sluiten privacyakkoord voor onderwijssector image

Nextcloud Enterprise wordt door onderwijsinstellingen gebruikt voor kantoorproductiviteit en online samenwerking. De software wordt zelf gehost of afgenomen via een externe partner zoals SURF, waardoor instellingen de volledige controle behouden over hun data. Nextcloud heeft zelf geen toegang tot de inhoudelijke klantgegevens in de werkomgeving.

Risico's weggenomen

Bij de start van de beoordeling werden 15 privacyrisico's geïdentificeerd. Deze hadden uitsluitend betrekking op randgegevens, zoals de verwerking van beheerdersaccounts, ondersteuningsaanvragen, websitebezoek en optionele diagnostische gegevens. Er werden geen risico's gevonden rondom de inhoudelijke bestanden van gebruikers.

Om de resterende risico's te minimaliseren, heeft SURF een specifieke verwerkersovereenkomst (DPA) uitonderhandeld. Deze DPA stelt harde grenzen aan wat Nextcloud met de beperkte beheerdersgegevens mag doen en garandeert dat data binnen de EU blijven wanneer instellingen kiezen voor de nieuwe kantoormodule 'Nextcloud Office'. Omdat de leverancier in Duitsland is gevestigd, biedt Nextcloud bovendien de harde garantie dat persoonsgegevens nooit aan autoriteiten buiten de EU worden verstrekt.

Beveiliging en aanbevelingen

Naast de privacytoets is de beveiliging van Nextcloud positief beoordeeld. De software beschikt inmiddels over een CSPN-beveiligingscertificering van de Franse cybersecurityautoriteit ANSSI.

SURF adviseert instellingen die met de software aan de slag gaan wel om specifieke richtlijnen te volgen. Zo moeten beheerders de diagnostische gegevensdeling met de leverancier minimaliseren en moeten instellingen voorkomen dat interne systeemlogs worden ingezet om het gedrag van studenten of medewerkers te monitoren.

MSP Global BN + BW Infinity 07-2026 BW + BN
MSP Global BN + BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!