SURF na DPIA: Onderwijsinstellingen kunnen TOPdesk blijven gebruiken

SURF liet een DPIA uitvoeren door Privacy Company. Hierbij zijn negen hoge en drie lage privacyrisico’s aan het licht gekomen. Vier van de hoge risico’s zijn al gemitigeerd door TOPdesk, terwijl de overige vijf binnenkort worden aangepakt.

Servicemanagement

TOPdesk wordt gebruikt door mbo-instellingen, hogescholen en universiteiten voor servicemanagement. Privacy Company onderzocht in samenwerking met TOPdesk welke gegevens instellingen binnen veelvoorkomende scenario’s verwerken en of hier risico’s aan verbonden zijn. Drie van de negen hoge risico’s doen zich voor bij de verwerking van bijzondere persoonsgegevens. Instellingen kunnen zelf maatregelen nemen om enkele risico’s te beperken.

Tijdens het DPIA-proces heeft TOPdesk vier hoge risico’s al gemitigeerd en concrete afspraken gemaakt voor de overige vijf. Het bedrijf toonde zich transparant en investeerde tijd en middelen om de benodigde informatie te verstrekken. TOPdesk zet de implementatie van de resterende maatregelen voort. In 2026 publiceert SURF een update over de voortgang.

Het volledige DPIA-rapport, inclusief de Technische Appendix, is openbaar beschikbaar. Meer informatie over privacybescherming bij het gebruik van Amerikaanse leveranciers deelt SURF hier.