SURF geeft groen licht voor Nextcloud Enterprise na privacyonderzoek
Onderwijscoöperatie SURF en Privacy Company hebben een overkoepelende privacytoets (DPIA) afgerond voor Nextcloud Enterprise. Na onderhandelingen over een aangepaste verwerkersovereenkomst en technische aanpassingen door de Duitse softwareleverancier, geeft SURF een positief advies voor het gebruik van de open-source samenwerkingssoftware in het Nederlandse onderwijs en onderzoek.
Nextcloud Enterprise wordt door onderwijsinstellingen gebruikt voor kantoorproductiviteit en online samenwerking. De software wordt zelf gehost of afgenomen via een externe partner zoals SURF, waardoor instellingen de volledige controle behouden over hun data. Nextcloud heeft zelf geen toegang tot de inhoudelijke klantgegevens in de werkomgeving.
Risico's weggenomen
Bij de start van de beoordeling werden 15 privacyrisico's geïdentificeerd. Deze hadden uitsluitend betrekking op randgegevens, zoals de verwerking van beheerdersaccounts, ondersteuningsaanvragen, websitebezoek en optionele diagnostische gegevens. Er werden geen risico's gevonden rondom de inhoudelijke bestanden van gebruikers.
Om de resterende risico's te minimaliseren, heeft SURF een specifieke verwerkersovereenkomst (DPA) uitonderhandeld. Deze DPA stelt harde grenzen aan wat Nextcloud met de beperkte beheerdersgegevens mag doen en garandeert dat data binnen de EU blijven wanneer instellingen kiezen voor de nieuwe kantoormodule 'Nextcloud Office'. Omdat de leverancier in Duitsland is gevestigd, biedt Nextcloud bovendien de harde garantie dat persoonsgegevens nooit aan autoriteiten buiten de EU worden verstrekt.
Beveiliging en aanbevelingen
Naast de privacytoets is de beveiliging van Nextcloud positief beoordeeld. De software beschikt inmiddels over een CSPN-beveiligingscertificering van de Franse cybersecurityautoriteit ANSSI.
SURF adviseert instellingen die met de software aan de slag gaan wel om specifieke richtlijnen te volgen. Zo moeten beheerders de diagnostische gegevensdeling met de leverancier minimaliseren en moeten instellingen voorkomen dat interne systeemlogs worden ingezet om het gedrag van studenten of medewerkers te monitoren.