SURF Security and Privacy Conference 2025

Opening

In gesprek met Marloes de Vries, voorzitter cvb Zadkine, en Hans Louwhoff, raad van bestuur SURF

AI en ethiek in tijden van geopolitieke spanningen

Landing Zones bieden een basis voor cloudomgevingen waarin basisbeleid voor identiteitsbeheer, netwerkbeveiliging, gegevensbescherming etc wordt bepaald en ingesteld in de beheeromgeving van de cloudaanbieder. De term guardrails of vangrail komt in die context vaak voor. Een goed ingerichte landingzone zorgt ervoor dat afnemers zelf resources kunnen inrichten binnen bepaalde (beveiligings)kaders. Maar hoe kom je tot een goede landingzone? Welke guardrails zijn minimaal noodzakelijk?

In januari beleefde het SURF-netwerk de grootste DDoS-aanval aller tijden. Alhoewel normaal ons devies is "hoe meer gigabits hoe beter", was dit toch wel wat extreem en zorgde deze aanval voor serieuze overlast op het SURF-netwerk. In deze talk gaat SURFcert in op wat er nou zo bijzonder was aan deze aanval, wat er nodig was om hem onder controle te krijgen en welke maatregelen heeft genomen en nog gaan nemen om beter weerbaar te zijn. Uiteraard is er ruimte voor vragen.

In deze sessie nemen we je mee in hoe de techniekgroep van de sectorbrede crisisoefening OZON deze editie te werk is gegaan. Ook hoor je meer over de opzet (90 organisaties verdeeld over 5 oefeningen!) en wat de uitkomsten zijn van onze samenwerkingen en informatiedeling voorafgaand en tijdens de oefening.

Wil jij je medewerkers én studenten op een interactieve manier bewust maken van informatiebeveiliging en cybersecurity? In deze workshop nemen we je mee in de wereld van onze Digitale Cyber Escape Room: een uitdagend en educatief spel dat bij onze organisatie wordt ingezet om security awareness te vergroten.

Tijdens deze workshop krijg je niet alleen een kijkje achter de schermen van de escape room, maar ga je ook zelf aan de slag! Ontdek hoe spelelementen worden gebruikt om social engineering, zwakke wachtwoorden en datalekken tastbaar te maken. We bespreken de opzet, gebruikte tools en de praktische lessen die we hebben geleerd bij de implementatie.

Samen verkennen we hoe jij een vergelijkbare escape room in jouw organisatie kunt inzetten om cybersecurity op een leuke, impactvolle manier op de kaart te zetten. Verwacht inspiratie, concrete tips en natuurlijk… een spannende uitdaging!

Voor wie?
Iedereen die betrokken is bij security awareness en gedragsverandering, van operationeel security personeel tot aan beleidsmakers/bepalers.

Aanpak
Hands-on: we spelen onderdelen van de escape room, bespreken hoe je zo'n project kunt opzetten, en delen praktische inzichten om direct mee aan de slag te gaan. Dus als je deze workshop wilt volgen is het noodzakelijk dat je je laptop bij je hebt!

Een 40 minuten rondleiding langs inspirerende plekken bij Zadkine
Verzamelpunt voor de rondleiding is het infopunt op het evenementenplein van Zadkine.

Veel organisaties ervaren weleens dat zowel privacywetgeving als informatiebeveiligingseisen belangrijke doelstellingen van de organisatie in de weg kunnen zitten. Wij menen dat ‘privacy by design’ en ’security by design’ ervoor zorgen dat deze doelstellingen bereikt kunnen worden en privacy en security (zelfs beter) geborgd zijn. Door bijvoorbeeld aan de voorkant van een project goed na te denken over privacy waarborgen loop je in een later stadium minder snel tegen privacyrechtelijke problemen aan.

Maar hoe doe je dat dan? In ons programma Digital Oncology werken wij aan een data-infrastructuur die gevoelige patiëntgegevens goed beschermt en tegelijkertijd wetenschappelijk kankeronderzoek mogelijk en zelfs efficiënter maakt. Door pseudonimisering, anonimisering en toegangsbeperkingen op de juiste manier in te zetten kun je een omgeving creëren die kankeronderzoek beter mogelijk maakt en waarbij je met data slimme innovaties kunt toepassen in het zorgproces. Daarmee voldoe je niet alleen aan de AVG maar kun je zelfs op andere wetgeving voorop lopen. Met deze presentatie over toekomstgerichte zorg willen wij laten zien dat wanneer je goed nadenkt over privacy & security by design dat privacy en innovatie wel degelijk hand in hand kunnen gaan.

Met de komst van quantumcomputers kunnen de cryptografische algoritmes die we nu gebruiken voor, bijvoorbeeld, digitale handtekeningen worden gekraakt. Hoewel de quantumcomputers nog lang niet in staat zijn om dit ook in de praktijk te doen, is het wel van belang dat we al beginnen met kijken wat er moet gebeuren om toch veilig te zijn als het zo ver is. Het vervangen van de betroffen algoritmes zal namelijk geen triviale operatie zijn aangezien deze in allerlei protocollen en software worden gebruikt.

Samen met SIDN Labs werkt SURF aan een testbed om realistische experimenten uit te voeren met post-quantum cryptografie binnen DNSSEC om te bepalen wat de operationele impact hiervan is.

In deze presentatie geven we een introductie in post-quantum cryptografie: wat is het probleem met de quantumcomputers en waarom is er geen simpele oplossing? Daarnaast geven we een kijkje in de opzet van het testbed en delen we wat eerste resultaten.

Remember the days when faxes were the pinnacle of office tech, and the sound of a paper getting pulled in was as satisfying as a fresh cup of coffee? Well, it's time to dust off those memories and reintroduce ourselves to the quirky world of printers and their forgotten fax interfaces -- yes, those relics that make us all feel like we're in an '80ies sci-fi movie -- and specifically, how they can unlock a new frontier in printer security exploits!

Op 5 maart 2025 werd de European Health Data Space officieel gepubliceerd in het Publicatieblad van de Europese Unie. Deze is in werking getreden op 26 maart 2025. Deze verordening gaat veel impact hebben over hoe we in Europa omgaan met persoonsgegevens. Voor onderzoek en onderwijs komen meer mogelijkheden om gezondheidsgegevens te gebruiken! Maar, hier gelden wel waarborgen voor. Leer meer over wat de European Health Data Space komt brengen, en hoe we gebruik van kunnen maken voor ons onderwijs en onderzoek!

In deze sessie deelt Zadkine haar ervaringen met het uitrollen van MFA voor alle studenten van Zadkine en haar samenwerkingsscholen.

Welkom terug

De crypto-oorlogen weerspiegelen het voortdurende conflict tussen overheden die toegang willen tot versleutelde data voor nationale veiligheid en criminaliteitsbestrijding, en het belang van individuele en collectieve privacy.
De voordracht start met een kort historisch overzicht: de belemmering van cryptografie-onderzoek, toegang tot veilige communicatie (zoals de Clipper Chip) en versleutelde opslag (Apple vs. FBI) en het toenemend gebruik van spyware (NSO Group). Recent ligt de focus op client-side scanning: communicatie wordt vóór versleuteling of direct na ontsleuteling op het apparaat gescand. Hoewel voorgesteld als middel tegen verspreiding van inhoud met kindermisbruik (Child Sexual Abuse Material of CSAM), wil men het ook inzetten voor de bestrijding van terrorisme en georganiseerde misdaad. Deze technologie ondermijnt end-to-end encryptie, is eenvoudig te omzeilen en gevoelig voor misbruik. De effectiviteit ervan is hoogst twijfelachtig. Perceptuele hashfuncties – essentieel om CSAM te detecteren zonder de inhoud prijs te geven – blijken grote foutmarges te hebben. Ons onderzoek toont aan dat alle gangbare methodes kampen met veel valse positieven en negatieven.
Nieuwe voorstellen suggereren ook AI-gebruik voor het herkennen van (zelfs AI-gegenereerde) CSAM, maar er rijzen grote twijfels over de betrouwbaarheid hiervan. Ondertussen beschikken opsporingsdiensten over grote hoeveelheden metadata, biometrische gegevens en beelden van camera’s met grote risico’s voor misbruik. De focus moet verschuiven naar betere cybersecurity, meer transparantie en een breed maatschappelijk debat over veiligheid versus grondrechten.

Gezamenlijke incidentrespons biedt schaalvoordelen en een verbeterde informatiepositie bij incidenten

Bij SURF hoorden we over de contractuele ontwikkelingen tussen GÉANT en de TCS4-leverancier in oktober 2024. Nadat we de situatie hadden beoordeeld en concludeerden dat de kans groot was dat de onderhandelingen slecht zouden aflopen, besloten we dat het tijd was om onze lede voor te bereiden op het ergste: onderbreking van de dienstverlening. In deze lightning talk leggen we uit wat we hebben gedaan, hoe we onze leden hebben voorbereid, waarom we ervoor hebben gekozen om dit zo vroeg in het proces te doen en hoe we meer dan 60% van onze gebruikersbasis hebben geonboard in de eerste twee weken nadat HARICA ons toegang heeft gegeven tot productie.

SURF heeft veel diensten die allemaal voldoen aan ISO27001. Maar dat betekent niet dat het nog veel veiliger kan! Om de diensten nog veiliger te krijgen, zijn interne audits met meer inhoudelijke diepgang noodzakelijk, dus ook interne auditoren die technische expertise hebben. Gelukkig hebben we genoeg collega’s met veel technische kennis bij SURF, maar vrijwel geen auditor-ervaring. Daarom zijn we een groep enthousiaste collega’s gaan opleiden tot interne auditor. Met als gevolg betere bevindingen, kruisbestuiving tussen collega’s en een versterking van de PDCA-cylcus.

In deze talk vertellen wij hoe we dit hebben aangepakt, wat ervoor nodig is en wat we hebben geleerd.

Door geopolitieke spanningen en afhankelijkheid van enkele leveranciers herziet SURF haar strategie: minder samenwerking met big tech, meer ruimte voor Europese en open source alternatieven, en meer regie voor instellingen. Deze talk bespreekt de gevolgen voor security, privacy en publieke waarden in onderwijs en onderzoek.

Samen slaan we elke dag duizenden GB aan gegevens op; mails, bestanden, video's. We kopiëren en back-uppen deze bestanden vele malen en creëren zo een gigantische berg data-afval voor de generaties na ons. Realiseer je je welke impact dit heeft op onze werkefficiëntie, onze ecologische voetafdruk en de veiligheidsrisico's die ermee gepaard gaan? Laten we samen werken aan het verkleinen van onze digitale opslagvoetafdruk, te beginnen met Digital Cleanup Day 2026!

Tijdens deze sessie willen we inzicht geven in hoe het Programma Cyberveiligheid bijdraagt aan de groei in volwassenheid van mbo-instellingen op het gebied van cyberveiligheid. Het programma omvat diverse initiatieven die instellingen ondersteunen bij het aantoonbaar ‘in control’ zijn.
We laten zien hoe de inzet van Security Audits, de GRC-tool en Maturity Workshops instellingen helpt om het gewenste volwassenheidsniveau te bereiken. Uitgangspunt van deze aanpak is dat het werkbaar moet zijn en uitlegbaar.

In this talk, I will present practical findings and recommendations for implementing Mobile Device Management (MDM) and Mobile Application Management (MAM) policies within higher education institutions. The goal: to create security measures that are not only effective, but also accepted and supported by end users.

Based on the interviews conducted during my research at SURF, I explain how aligning security requirements with user experiences can significantly increase acceptance and reduce resistance. During the session, I’ll share actionable suggestions for improving policy design, selecting appropriate security controls, and refining implementation procedures—all tailored to the specific needs and context of educational environments.

Het landschap van middelen om cyberdreigingen te detecteren wordt steeds uitgebreider. Endpoint detection is populair en effectief, maar een aanvaller kan dit ook omzeilen. Daarom is een Network Intrusion Detection System (NIDS) onmisbaar om volledig zicht te krijgen op verdachte activiteit in je netwerk. Zo'n NIDS is meestal gebaseerd op een netwerksensor, een systeem wat een kopie krijgt van (een deel van) het verkeer in je netwerk. Dit systeem analyseert het verkeer in real-time en slaat alarm als er verdachte activiteit wordt gedetecteerd.

Een netwerksensor zorgt ervoor dat je overal in je netwerk een oogje in het zeil kunt houden, maar het brengt ook uitdagingen met zich mee. De capaciteit van netwerken groeit gestaag en gebruikers maken daar steeds meer gebruik van. De sensor moet krachtig genoeg zijn om die groei aan te kunnen zonder op de kwaliteit van detectie in te leveren. Een aanvaller kan zich op een onverwachte plek in het netwerk nestelen. Als instelling zou je geen afweging moeten hoeven maken welke segmenten van je netwerk je in de gaten houdt en welke niet. SURF is daarom bezig met een pilot om high-performance netwerksensoren te ontwikkelen voor SURFsoc Next-Gen. Het doel? Netwerk-gebaseerde detectie van cyberdreigingen naar een hoger niveau brengen. We bouwen een netwerksensor die aangesloten kan worden met 100Gbit/s en minstens 25Gbit/s betrouwbaar kan analyseren.

In deze sessie gaan we in op de uitdagingen van netwerkdetectie bij grote hoeveelheden verkeer. Hoe we de hardware hebben geselecteerd, hoe de sensor eruit ziet en welke mooie resultaten we hebben behaald.

Van Check tot Hack heeft afgelopen jaar in het kader van het programma Cyberveiligheid mbo diverse instellingen geholpen om hun technische weerbaarheid met behulp van verschillende weerbaarheidstesten te verhogen. Het traject was niet alleen nuttig voor deelnemende instellingen, maar ook voor de hele mbo-sector: op basis van de veelvoorkomende bevindingen zijn trendrapportages inclusief adviezen gedeeld. Tijdens deze talk delen we onze ervaringen en die van een aantal deelnemers. Ook hoor je meer over de trends en hoe we dit traject in de toekomst gaan uitbreiden en inzetten.

Cyberveilig en privacy bewust gedrag is ontzettend belangrijk voor de cyberweerbaarheid. Gestructureerd awareness en training inzetten is een uitdaging voor veel instellingen. Uit de community kwam de vraag naar een proces voor awareness waarin alle losse elementen een plek krijgen. Om meer grip op awareness te krijgen hebben we met de werkgroep "een proces voor awareness" een model uitgekozen en uitgewerkt in processtappen. Dit proces helpt jou om binnen jouw instelling een awareness roadmap te maken en daardoor awareness naar een hoger niveau te tillen. Tijdens deze talk nemen we jou mee door dit proces en krijg je een beeld hoe je dit kunt aanpakken.

Welkom terug

Hoe kom je erachter wat voor IT-skills onze studenten hebben? Barbara vertelt vanuit eigen ervaring wat er allemaal mis kan gaan. En hoe los je dat op?
Gelukkig is het goed gekomen en heeft Barbara een preventieprogramma opgezet waarmee zij haar ervaring inzet om ervoor te zorgen dat jongeren ethisch in plaats van crimineel hacken.
Een verhaal met een komische noot en serieuze ondertoon!

Het mbo werkt samen op het gebied van cyberveiligheid: mbo-breed en in SURF-verband.

Uitreiking van de SURF Security en Privacy Award 2025. De winnaar heeft een enorme bijdrage geleverd aan het veilig, open, toegankelijk, privacyvriendelijk en betrouwbaar houden of maken van onze sector. Hiervoor spreken we graag onze waardering uit.

Afsluiting woensdag

Borrel

Diner voor de mensen die zich aangemeld hebben. Het diner vindt plaats op het evenementenplein van Zadkine.

Opening door dagvoorzitter Nicole van der Meulen

De cyberaanval die onze universiteit op 11 januari 2025 trof, kon door snel en alert handelen gelukkig worden afgeslagen. In deze presentatie zal inzicht gegeven worden in de cyberaanval zelf, hoe we die eerste uren hebben beleefd en welke lessen we hebben geleerd.

Deze dynamische en interactieve workshop is ontworpen voor privacy & security professionals die hun kennis willen verdiepen en praktische vaardigheden willen ontwikkelen om risico’s effectief te beheren en bedrijfscontinuïteit te waarborgen.

Wat kun je verwachten?
• Inzicht in de inrichting van risicomanagement: leer hoe je potentiële IT-risico’s kunt identificeren, analyseren en prioriteren.
• Risicobeoordelingen en de Business Impact Analyse (BIA): ontdek de kritische processen en de manier waarop je risico’s kunt mitigeren en te beheersen.
• Business Continuity Management (BCM): verken de best practice voor het opstellen en implementeren van een robuust BCM-plan.
• Praktische oefeningen: neem deel aan hands-on activiteiten en casestudies om je nieuwe kennis direct toe te passen.
• Netwerkmogelijkheden: wissel ervaringen uit met collega’s en experts uit de industrie.

Mis deze kans niet om je vaardigheden te versterken en jouw organisatie beter voor te bereiden op onverwachte gebeurtenissen.

WireGuard is a great protocol to set up a virtual private network (VPN). However, the challenge is to make it work on networks that block or mangle user datagram protocol (UDP) traffic. Certain hotspots, such as those at hotels, events, cafes & restaurants block UDP traffic and only allow web traffic over the transmission control protocol (TCP) usually port 80/443. Even if a network allows UDP traffic, there can be issues with certain packets not going through due to issues regarding maximum transmission units (MTU).

Supporting TCP is left explicitly out of scope for the WireGuard project and should be handled by an upper layer obfuscation tool [1]. There is a good reason for this: TCP-over-TCP has bad performance (e.g. website traffic over a TCP VPN). However, in these networks the choice has to be made between no VPN connectivity or at least something as a fallback. For this reason, there are some tools which aim to proxy UDP packets over TCP.

Many of these tools, however, do not directly allow you to put it behind a reverse proxy. The advantage of using a reverse proxy is that you can use your existing web server to (next to tunneling it over TCP) obfuscate the traffic with TLS and tunnel your WireGuard traffic through the same port that is serving normal websites. In this talk, I will introduce a tool called ProxyGuard which aims to solve this use case. I explain why I came up with this approach in the first place, what challenges I had implementing it and possible improvements for the future. The project homepage is at: https://codeberg.org/eduvpn/proxyguard

1: https://www.wireguard.com/known-limitations/

Een 40 minuten rondleiding langs inspirerende plekken bij Zadkine
Verzamelpunt voor de rondleiding is het infopunt op het evenementenplein van Zadkine.

Het CISO-team van de UvA en HvA brengt twee keer per jaar een Cybersecuritybeeld uit om dreigingen en ontwikkelingen in het hoger onderwijs te duiden. In deze presentatie delen Roeland Reijers en Marijke Stokkel inzichten uit een jaar strategisch en tactisch Cyber Threat Intelligence (CTI).

Ontdek de waarde van technisch onderzoek. In deze interactieve workshop analyseren we de werking van een fictieve digitale dienstverlener. In kleine groepen, begeleid door de experts van SURF Vendor Compliance, verkennen we technische bevindingen en beoordelen hun juridische impact.

Hogeschool Rotterdam is ruim 3 jaar bezig om weg te bewegen van Google Analytics. Om tot een beslissing te komen om afstand te kunnen doen van een gratis dienst, zijn verschillende processtappen genomen. In het afscheidsproces is een korte termijn oplossing en een lange termijn oplossing afgesproken.

De rol van de CISO is in de afgelopen jaren sterk geëvolueerd. Oorspronkelijk werd de functie gecreëerd als een technische rol met een primaire focus op IT-beveiliging, maar inmiddels is de CISO steeds vaker een strategische speler binnen de organisatie. Toch is de plaats van de CISO binnen de C-suite niet vanzelfsprekend. In veel instellingen en bij overheden wordt de CISO nog steeds niet als volwaardig executive gezien, ondanks de groeiende impact van cybersecurity op bedrijfscontinuïteit en reputatie.

In deze talk onderzoeken we hoe de positie van de CISO historisch is ontstaan, hoe deze binnen de C-suite wordt gepositioneerd, en hoe dit zich ontwikkelt binnen sectoren als het onderwijs en de overheid. Hoewel niet alle CISO’s vandaag de dag daadwerkelijk C-suite executives zijn, zijn er duidelijke trends en ontwikkelingen die wijzen op een meer strategische en invloedrijke rol in de toekomst.

In deze talk krijg je een inspirerende kijk op de uitdagingen én kansen voor CISO’s om hun positie te versterken, en hoor je hoe organisaties optimaal kunnen profiteren van een security-leider met directe invloed op de bedrijfsstrategie.

Artificial Intelligence (AI) biedt vandaag al indrukwekkende mogelijkheden, maar kent ook zijn beperkingen. De kunst is om AI precies daar in te zetten waar het nu al excelleert. Met de verschillende beschikbare Large Language Models (LLM's), elk met hun eigen sterke punten, liggen er volop kansen om ons dagelijks werk efficiënter te maken. In deze 30-minuten durende presentatie neem ik je mee in de praktische toepassingen van AI en laat ik zien hoe verschillende tools uitblinken voor specifieke taken.

Wat kun je verwachten? • Concrete voorbeelden van AI-toepassingen in dagelijks werk • Belangrijke privacy- en security-overwegingen • 10 direct toepasbare tips • Live demonstraties • Interactieve Q&A en discussie

De Technische Universiteit Eindhoven (TU/e) heeft deelgenomen aan de GRC-tender vanuit SURF / MBO Digitaal in haar zoektocht naar geschikte Governance, Risk & Compliance tooling. Inmiddels maakt de TU/e een jaar gebruik van deze applicatie van TrustBound. Niet alleen ter vervanging van de SURFaudit-excels, maar ook voor ons verwerkingsregister, risicomanagement, systeemclassificatie, datalekken registratie, enzovoorts.

In gesprekken met collega's van andere instituten is gebleken dat er veel behoefte is aan kennisuitwisseling over het gebruik van deze tool. Tijdens deze sessie willen we kort laten zien waar wij als TU/e TrustBound voor gebruiken en welke voordelen dit met zich mee brengt. Ook willen we een oproep doen om in contact te treden met andere instituten om kennis en ervaringen uit te wisselen en gezamelijk te komen tot een beschrijving van de behoeften op het gebied van Governance, Risk & Compliance in het hoger onderwijs.

GRC in een academische omgeving vraagt om een balans tussen werkbaarheid en regelgeving. ISO's en Privacy officers willen geen bureaucratische obstakels, maar concrete oplossingen die risico's beheersen. Het gaat om het creëeren van een veilige, werkbare en efficiënte omgeving waarin academische vrijheid en innovatie niet belemmerd worden.
Om die reden willen we tijdens deze sessie ingaan hoe TrustBound toegepast kan worden in de praktijk voor effectieve risicobeheersing, maar ook draagvlak kan creëren en beleid kan omzetten in concrete acties. Uiteindelijk leidt dit tot minder administratieve lasten voor de organisatie en meer doeltreffende security- en compliance-maatregelen.

In april heeft de minister van OCW een kamerbrief gestuurd over het besluit om de hogescholen en universiteiten onder de Cyberbeveiligingswet (Cbw) te brengen. Het ministerie van OCW zal dit besluit nader toelichten. Ook is er voldoende gelegenheid tot het stellen van vragen.

De HU, Hanze en TU Delft hebben elk een eigen pad afgelegd op weg naar het invoeren van integraal risicomanagement. Ze gaan onder leiding van SURF in gesprek met elkaar én met het publiek om lessen en ervaringen uit te wisselen.”

Leidinggevenden vervullen een sleutelrol voor het verhogen van awareness binnen hun instelling en hun team. Het is best ingewikkeld om die rol vorm te geven omdat het niet altijd duidelijk is wat er van leidinggevenden verwacht wordt en hoe zij dat in de praktijk kunnen brengen.

Daarom ontwikkelde een werkgroep met deelnemers vanuit de instellingen samen trainingsmateriaal gericht op leidinggevenden. Door middel van scenario’s worden zij getraind om hun team meer security- en privacybewust te maken. Dit materiaal is onderdeel van de Cybersave Yourself toolkit en kan door alle instellingen ingezet worden.

In deze presentatie maak je kennis met de opzet en het ontwikkelde awarenessmateriaal voor leidinggevenden en krijg je een indruk hoe je dit in de eigen organisatie in zou kunnen zetten.

In this lecture, Walter Belgers will look at some security flaws in locks to see how they came about. Then, he shows us how similar mistakes are made in software development and deployment. In both cases, we have to deal with design flaws, implementation errors, zero day attacks, brute force attacks, user errors and more. Real life examples will be given and demonstrated. There are some interesting differences in how security is looked at in the hardware and the software world.

Studenten en medewerkers ervaren en eisen een grote vrijheid in hun digitaal bewegen. Hierbij maken ze veel gebruik van de nieuwste technologieën zoals AI, die als paddenstoelen uit de grond schieten. Technologieën en applicaties die vaak (nog niet) zijn bekeken of goedgekeurd op veiligheid door de Security-afdeling van de hogeschool of universiteit. Dit wordt ook wel shadow IT genoemd. En hier is het dilemma: je wil ruimte geven voor innovatie en academische vrijheid, maar tegelijk wel zorgen dat dit veilig gebeurt. Onbewust gevoelige data met OpenAI delen, als een onderzoeker of student ChatGPT gebruikt om zijn onderzoek te verbeteren en te versnellen, is bijvoorbeeld een bijproduct waar veiligheid mee worstelt. In deze presentatie laten we de laatste wetenschappelijke inzichten zien over:
- wat achter het shadow IT gedrag zit en
- hoe we technologie, processen en gedragsinterventies kunnen gebruiken om medewerkers en studenten veilig met data om te laten gaan.

Hierbij is het motto: data onder controle boven IT onder controle.

De afgelopen decennia zijn enkele zeer grote en machtige techbedrijven, big tech, opgekomen. In toenemende mate bedreigen deze bedrijven niet alleen specifieke democratische en rechtsstatelijke waarden, zoals de privacy van burgers, non-discriminatie en de vrije mededinging in de economie, maar ook de meer algemene constitutionele structuren die de bescherming van zulke waarden überhaupt mogelijk maken. Denk daarbij aan de sterke, ‘soevereine’ staat of unie van staten, het onderscheid tussen publiek en privaat, burgerschap en de levendige civil society. Hoe heeft dat kunnen gebeuren? En is er een weg terug? Die urgente vragen probeert Reijer Passchier in deze lezing te beantwoorden.

Keynote - Barbara Kathmann

Deelnemers: Reijer Passchier (Universiteit Leiden), Karien Sondervan (Cybersoek), Remco Pijpers (Kennisnet), Sarah Evink (Interstedelijk Studenten Overleg) olv Bart Jacobs

Afsluiting donderdag