2.0 -//Pentabarf//Schedule//EN PUBLISH AJVDMS@@pretalx.surf.nl -AJVDMS Soevereiniteit 2.0 - en nu echt nl nl 20260625T102500 20260625T105500 003000 Soevereiniteit 2.0 - en nu echt Europa geeft jaarlijks miljarden uit aan buitenlandse technologiebedrijven, ook voor relatief eenvoudige oplossingen. Dat geld, vindt Hubert, kunnen we ook gebruiken om deze technologieën zelf te ontwikkelen en te beheren. Toch blijven we volgens hem hangen in een ‘Calimero-complex’: het idee dat we te klein zijn en het niet zelf kunnen. In zijn keynote roept Hubert op tot een mentaliteitsverandering. Want het is niet alleen onterecht om te denken dat we het niet zelf kunnen, het is ook, zo zegt hij, “een geweldige smoes om niets te doen.” Huberts boodschap is helder: de voorwaarden zijn er, nu is het tijd om in actie te komen. PUBLIC CONFIRMED Keynote https://pretalx.surf.nl/spc26/talk/AJVDMS/ Plenary room (1B.10) Bert Hubert PUBLISH 7Z8R9T@@pretalx.surf.nl -7Z8R9T Samen bouwen aan een Cyber Defence Center nl nl 20260625T112500 20260625T115500 003000 Samen bouwen aan een Cyber Defence Center Je krijgt inzicht in de mogelijke elementen van een CDC en hoe samenwerking onze autonomie en soevereiniteit kan vergroten. Ook hoor je hoe dit zich verhoudt tot wat binnen je eigen instelling nodig blijft en welke keuzes je als instelling behoudt. Daarnaast wordt duidelijk hoe dit aansluit op bestaande diensten van SURF en op actuele ontwikkelingen in het veld. Aan het eind van de sessie weet je waar we staan en wat jij kunt doen om het CDC daadwerkelijk gezamenlijk te realiseren. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/7Z8R9T/ Plenary room (1B.10) Jeroen Schuuring PUBLISH CCKUEQ@@pretalx.surf.nl -CCKUEQ A Cost-Effective Sovereign On-Prem SOC Infrastructure nl nl 20260625T120500 20260625T123500 003000 A Cost-Effective Sovereign On-Prem SOC Infrastructure You’ll get a clear view of how the SOC infrastructure is set up, consisting of a log platform to distribute and enrich logs, SIEM, a detection engine based on Sigma, an alert enrichment engine and a Security Incident Response Platform (SIRP). WUR has collaborated on this with several other universities like Leiden, Delft and UvA. We'll present what we have, what works and what doesn't. You'll leave the session with concrete insights and a realistic view of the pitfalls. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/CCKUEQ/ Plenary room (1B.10) Sander van de Geijn PUBLISH QMLZLX@@pretalx.surf.nl -QMLZLX De Cyberbeveiligingswet nl nl 20260625T135500 20260625T142500 003000 De Cyberbeveiligingswet PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/QMLZLX/ Plenary room (1B.10) Brenda Kester Margo van Oosterhout PUBLISH EKWSRT@@pretalx.surf.nl -EKWSRT Cyber Warfare and Weapons of Mass Disruption nl nl 20260625T143500 20260625T150500 003000 Cyber Warfare and Weapons of Mass Disruption PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/EKWSRT/ Plenary room (1B.10) Hans-Dieter Hiep PUBLISH VMRAXS@@pretalx.surf.nl -VMRAXS Nextcloud talk en en 20260625T112500 20260625T115500 003000 Nextcloud talk . PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/VMRAXS/ Session room 2 (1B.12) Veldhuis, Maarten PUBLISH QPNVD7@@pretalx.surf.nl -QPNVD7 AI inzetten bij de privacytoetsing van onderzoeksvoorstellen nl nl 20260625T120500 20260625T123500 003000 AI inzetten bij de privacytoetsing van onderzoeksvoorstellen PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/QPNVD7/ Session room 2 (1B.12) Paardekooper, M. (Michel) Arjan Bakker PUBLISH QQENF8@@pretalx.surf.nl -QQENF8 Privacy, security en AI in inkooptrajecten: van aanbestedingskalender tot Privacy & Security by Design nl nl 20260625T135500 20260625T142500 003000 Privacy, security en AI in inkooptrajecten: van aanbestedingskalender tot Privacy & Security by Design Aan de hand van een concrete casus - van Aanbestedingskalender tot Privacy & Security by Design - neemt Dylan Schreurs je mee in de aanpak van ROC MN. Je gaat naar huis met praktische do’s en don’ts die je direct kunt toepassen om samenwerking te verbeteren en risico’s in inkoopprocessen te verkleinen. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/QQENF8/ Session room 2 (1B.12) Schreurs, D.J. (Dylan) PUBLISH TMEAYW@@pretalx.surf.nl -TMEAYW Five Years of Managing Privacy Compliance with the Privacy Scan Framework – Insights and Practical Lessons en en 20260625T143500 20260625T150500 003000 Five Years of Managing Privacy Compliance with the Privacy Scan Framework – Insights and Practical Lessons At the start of his appointment as Privacy Officer of the Geo Faculty at Utrecht University in May 2020, Francisco Romero Pastrana was faced with the usual challenges: maintaining a processing register, handling DPIAs, giving advice on what is and is not allowed, etc. While the goals and principles were clear, he was spending too much time and effort acquiring processing knowledge and transcribing this into compliance documentation. He needed to find a better way to manage all of it in a more efficient, timely, and scalable way. Out of that necessity, the [Privacy Scan Framework](https://geo-data-support.sites.uu.nl/personal-data/) was born - initially started as a way to collect and document relevant details of an activity to determine if a DPIA was needed. Today, the Privacy Scan is a scalable, DPIA-like description and assessment of processing activities. It is now the cornerstone for the management of privacy compliance at the faculty, allowing efficient compliance with GDPR Art 24, 25, 30 and 35. From a few dozens Privacy Scans in 2021 and 2022, now around a hundred privacy scans are conducted on average every year by faculty members. The scans are completed and approved within a couple of weeks on average, on a broad range of research, education, and business-related processing activities. In this session, Francisco will describe how the Privacy Scan Framework works in practice, including research- and education-related examples of processing activities which are often challenging to demonstrate compliance: for example, when there is an imbalance of power, or it is not possible to obtain consent, where other legal bases beyond consent are likely more suitable. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/TMEAYW/ Session room 2 (1B.12) Romero Pastrana, F. (Francisco) PUBLISH EMZWC7@@pretalx.surf.nl -EMZWC7 Alles wat je moet weten over bewaartermijnen en vernietigen nl nl 20260625T120500 20260625T123500 003000 Alles wat je moet weten over bewaartermijnen en vernietigen Volgens de Archiefwet moet elke instantie binnen de Nederlandse overheid – zonder uitzondering – zich houden aan regels over bewaren en vernietigen. Maar hoe werkt dat precies achter de schermen? Hoe weten we of informatie nog beschikbaar is en waar we die kunnen vinden? Na deze talk heb je inzicht in hoe overheidsinstanties voldoen aan de Archiefwet én hoe informatie vindbaar en beschikbaar blijft. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/EMZWC7/ Session room 3 (3B.38) Imelda van Hooijdonk-Pereira PUBLISH CK3FMR@@pretalx.surf.nl -CK3FMR The Ins and Outs of Residential Proxies nl nl 20260625T135500 20260625T142500 003000 The Ins and Outs of Residential Proxies This approach is widely used for purposes such as web scraping, ad verification, and geo-restriction circumvention, but also facilitates fraud, credential stuffing, and other forms of abuse. While prior work has studied these networks from the customer side, comparatively little attention has been given to the two other key vantage points: the network operators who unknowingly carry this traffic, and the proxy client software installed on residential devices. In this work, we examine residential proxy networks from both perspectives. From the outside, we collaborate with SURF to characterize residential proxy traffic as observed on their network. From the inside, we reverse engineer the client applications of several major residential proxy providers (including Honeygain, PacketStream, pawns[.]app, Proxyrack, earnApp, earn[.]fm and more) to uncover their command-and-control architectures, tunneling protocols, and protection mechanisms. Our analysis reveals a diverse ecosystem: providers employ a range of technologies from SSH tunneling to QUIC-based transports, and vary significantly in software quality and protection, ranging from plaintext TypeScript with developer comments still intact, to light obfuscation techniques such as certificate pinning and compiled Dart AOT snapshots. Together, these complementary viewpoints provide a comprehensive understanding of how residential proxy networks operate in practice, and inform potential detection and mitigation strategies for network operators and the security community. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/CK3FMR/ Session room 3 (3B.38) Khan, Etienne (UT-EEMCS) PUBLISH QMSKJ7@@pretalx.surf.nl -QMSKJ7 SURFsoc Nieuwe Generatie - eerste ervaringen en inzichten nl nl 20260625T143500 20260625T150500 003000 SURFsoc Nieuwe Generatie - eerste ervaringen en inzichten De talk wordt gegeven door Maarten Veldhuis, Enterprise Architect bij Rijn IJssel, samen met Alexander Wisse, Product Manager Cyber Security bij SURFsoc. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/QMSKJ7/ Session room 3 (3B.38) Veldhuis, Maarten Alexander Wisse PUBLISH BH9JMY@@pretalx.surf.nl -BH9JMY Scherp je awarenessplan aan! nl nl 20260625T112500 20260625T115500 003000 Scherp je awarenessplan aan! PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/BH9JMY/ Session room 4 (3B.56) Pascal van de Kaa PUBLISH PVG7ND@@pretalx.surf.nl -PVG7ND Exploring Shadow IT in the Digital Ecosystem: Occurrences, Mindsets, and Measurement en en 20260625T120500 20260625T123500 003000 Exploring Shadow IT in the Digital Ecosystem: Occurrences, Mindsets, and Measurement Interviews with IT and security experts at higher education institutions provide a comprehensive overview of observed shadow IT types and related cyber threats, with cloud services and self-acquired or self-developed software as the most common forms. A mixed-methods study in a corporate setting uncovers different types of shadow IT and reveals a variety of mindsets towards its use, alongside an awareness–action gap between perceived risks and behavior. Finally, we introduce a newly developed assessment tool that identifies eight components of shadow IT attitudes and demonstrates meaningful associations with shadow IT behaviors. Together, these findings contribute to understanding the human aspects of security and inform responsible governance practices. The first study in this series was conducted in collaboration with SURF and focused on higher education institutions. Based on semi-structured interviews with IT and security experts, the results provide a comprehensive overview of observed shadow IT types and related cyber threats. Cloud services, as well as self-acquired and self-produced software, emerged as the most common forms of shadow IT. The main cybersecurity threats are caused by outdated software and the lack of visibility in this regard. Beyond mapping occurrences and threats, this study opened a broader research line on shadow IT and human factors, shifting attention toward stakeholder needs, perceptions, and practices in complex digital ecosystems. Building on this foundation, the second study employed a mixed-methods approach in a corporate context, consisting of a survey with 450 responses and follow-up interviews with 32 employees. The findings uncover different types of shadow IT mindsets. Participants often employed a combination of these mindsets. Despite awareness of significant risks, gaps exist in acting upon this awareness, resulting in an awareness–action gap. Finally, the talk introduces a newly developed assessment tool based on previous work on shadow IT mindsets. Component analysis identified an eight-component structure with meaningful associations with shadow IT behaviors, particularly the use of self-built applications. These results suggest that usage patterns operate along functional dimensions rather than purely risk-based orientations. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/PVG7ND/ Session room 4 (3B.56) Kate Labunets Jan van Acken PUBLISH NZLF7N@@pretalx.surf.nl -NZLF7N Onbevoegde toegang: resultaten van Mystery Guest-acties in het mbo nl nl 20260625T135500 20260625T142500 003000 Onbevoegde toegang: resultaten van Mystery Guest-acties in het mbo PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/NZLF7N/ Session room 4 (3B.56) Niels Dutij PUBLISH ABYJND@@pretalx.surf.nl -ABYJND Loskomen van big tech: praktische stappen die je vandaag al kunt zetten nl nl 20260625T143500 20260625T150500 003000 Loskomen van big tech: praktische stappen die je vandaag al kunt zetten De kranten staan vol met artikelen over onze afhankelijkheid van (veelal Amerikaanse) bigtechbedrijven. Gemeenten, scholen en overheid zijn massaal in de Microsoft- of Google-cloud gaan werken en lijken er niet meer uit te kunnen komen. In deze context is de oude slogan 'een beter milieu begint bij jezelf' nog steeds actueel, want met een paar kleine stappen kun je wel degelijk de controle over je eigen data terugpakken. Dus kriebelt het bij jezelf ook om los te komen van big tech? Dan is deze presentatie een goed idee. In de presentatie vertelt Eelco Mulder over zijn eigen zoektocht om van zijn Google-verslaving af te komen. Hij deelt hoe hij dat aanpakte: van eenvoudige stapjes die iedereen vandaag nog kan zetten, tot grotere stappen om alternatieven te omarmen, en zelfs los te komen van je mobiele telefoon en social media. Paul Deimann deelt zijn ervaringen met Linux Mint, een prima alternatief voor Microsoft Windows. Met zijn beperkte ict-kennis toverde hij een oude laptop om tot een Linux test-exemplaar. In deze presentatie leer je van zijn ervaringen, zie je de Linux-desktop en krijg je tips. Daarna ben je klaar om te gaan experimenteren met een volwaardig alternatief voor Microsoft Windows en andere bigtechbedrijven. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/ABYJND/ Session room 4 (3B.56) Paul Deimann Eelco Mulder PUBLISH EL3YPQ@@pretalx.surf.nl -EL3YPQ Interactive Workshop: Anonymity and Pseudonymity Online en en 20260625T112500 20260625T123500 011000 Interactive Workshop: Anonymity and Pseudonymity Online **Narrowing space** As governments across Europe, including in the Netherlands, advance stronger online identity and age verification systems, the space for anonymity and pseudonymity is rapidly narrowing. From data retention proposals and chat control initiatives to deregulation efforts and the expansion of European Data Spaces, an increasingly dense web of digital infrastructures is being justified in the name of safety, accountability, and innovation. Yet these same measures may erode some of the internet’s foundational freedoms: the right to exist, speak, and organize without being tracked. **Pathways forward** Through a combination of World Café methods of collaborative thinking and an Oxford-style debate, you will explore the role of EU and NL regulation: can it genuinely safeguard anonymity while promoting digital security, or is it becoming complicit in its erosion? Beyond diagnosing the problem, the session examines practical pathways forward — including regulatory safeguards, technical tools, and policy design options. You can expect a dynamic, structured discussion. PUBLIC CONFIRMED Workshop https://pretalx.surf.nl/spc26/talk/EL3YPQ/ Session room 5 (3B.46) Tom Barbereau Thijmen van Gend Gabriela Bodea PUBLISH S7SRB8@@pretalx.surf.nl -S7SRB8 De digitale omnibus: risico's, gevolgen en wat we er samen aan kunnen doen nl nl 20260625T135500 20260625T142500 003000 De digitale omnibus: risico's, gevolgen en wat we er samen aan kunnen doen De digitale omnibus, in november 2025 gepresenteerd door de Europese Commissie, bevat veel controversiële wijzigingsvoorstellen voor de AVG en de AI Act die fundamentele (privacy)rechten van burgers serieus bedreigen. Het voorstel heeft dan ook veel kritiek ontvangen van burgerrechtenorganisaties. In deze sessie behandelen we in een vlot tempo: • wat de belangrijkste voorgestelde wijzigingen zijn; • welke negatieve invloed deze hebben op de onderwijs- en onderzoekssector; • waar in het wetgevingsproces de omnibus zich nu bevindt. Daarnaast hoor je hoe de SCIPR-community op korte termijn een initiatief kan starten - bijvoorbeeld in de vorm van een open brief of artikel - om met steun van SURF de mening van onze sector naar buiten te brengen. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/S7SRB8/ Session room 5 (3B.46) Sophia Gelpke PUBLISH AGAAVP@@pretalx.surf.nl -AGAAVP Van dreiging tot dashboard: universitair risicomanagement in de praktijk nl nl 20260625T112500 20260625T123500 011000 Van dreiging tot dashboard: universitair risicomanagement in de praktijk We nemen je mee in een praktijkgerichte reis door het volledige proces: van BIV-classificaties die richting geven aan prioritering, het uitvoeren van risico-assessment-intakes, tot het identificeren van risico’s op basis van ons eigen dreigingskader, geïnspireerd door het SURF-cyberdreigingsbeeld. Je ervaart hoe we toewerken naar een top 10 van risico’s, hoe kans en impact worden beoordeeld volgens universitaire criteria en hoe risiconiveaus, risico-eigenaren en behandelstrategieën worden vastgesteld. Vervolgens krijg je een kijkje achter de schermen: hoe risico’s worden geregistreerd in ons GRC-platform, hoe we adviseren over passende beheersmaatregelen en hoe ons securitydashboard continu inzicht biedt in de risico’s van onze universiteit. Deze sessie biedt een heldere, praktische en inspirerende inkijk in hoe wij de universiteit ondersteunen bij het beheersen van informatiebeveiligingsrisico’s — en hoe jij deze aanpak kunt vertalen naar jouw eigen onderwijsorganisatie. PUBLIC CONFIRMED Workshop https://pretalx.surf.nl/spc26/talk/AGAAVP/ Session room 6 (3B.62) Alex Willebrands Dominique Scherphof PUBLISH DDJEY8@@pretalx.surf.nl -DDJEY8 Protecting your Data from Quantum Threats en en 20260626T100500 20260626T103500 003000 Protecting your Data from Quantum Threats PUBLIC CONFIRMED Keynote https://pretalx.surf.nl/spc26/talk/DDJEY8/ Plenary room (1B.10) Giacomo Carrara PUBLISH JZ8LQW@@pretalx.surf.nl -JZ8LQW De Cyberbeveiligingswet - dit kun je verwachten van SURFcert nl nl 20260626T105000 20260626T112000 003000 De Cyberbeveiligingswet - dit kun je verwachten van SURFcert PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/JZ8LQW/ Plenary room (1B.10) Thijs Kinkhorst PUBLISH B3F9QH@@pretalx.surf.nl -B3F9QH Slim, Snel, Goedkoop: De Magie van een Security Incident Response Platform in het SOC nl nl 20260626T114500 20260626T121500 003000 Slim, Snel, Goedkoop: De Magie van een Security Incident Response Platform in het SOC PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/B3F9QH/ Plenary room (1B.10) Roy Kokkelkoren PUBLISH QMGXLJ@@pretalx.surf.nl -QMGXLJ DPIA = leveranciers in de weerstand nl nl 20260626T134000 20260626T134500 000500 DPIA = leveranciers in de weerstand PUBLIC CONFIRMED Lightning talk https://pretalx.surf.nl/spc26/talk/QMGXLJ/ Plenary room (1B.10) Debby Kappetijn PUBLISH VZPKBE@@pretalx.surf.nl -VZPKBE Van risico naar weerbaarheid: ervaringen met het mbo testplan technische weerbaarheid nl nl 20260626T134500 20260626T135000 000500 Van risico naar weerbaarheid: ervaringen met het mbo testplan technische weerbaarheid Binnen het mbo versterken we gezamenlijk onze cyberweerbaarheid. Een belangrijke volgende stap is de Cyberweerbaarheidspool, waarin instellingen elkaar ondersteunen door risico’s gezamenlijk te beheersen. Als voorbereiding hierop is een testplan voor technische weerbaarheid ontwikkeld, met duidelijke eisen en randvoorwaarden waaraan instellingen moeten voldoen. Het testplan richt zich zowel op organisatorische maatregelen - zoals het tijdig en effectief opvolgen van bevindingen - als op verplichte continue en periodieke testen die de weerbaarheid van instellingen inzichtelijk maken en verbeteren. Tijdens deze sessie delen meerdere mbo instellingen hun praktijkervaringen met het testplan: wat levert het op, waar liggen de uitdagingen en welke lessen zijn er geleerd? Ontdek hoe we cyberrisico’s op sectorniveau inzichtelijk maken én gezamenlijk aanpakken. PUBLIC CONFIRMED Lightning talk https://pretalx.surf.nl/spc26/talk/VZPKBE/ Plenary room (1B.10) Mick Deben PUBLISH NVZXTD@@pretalx.surf.nl -NVZXTD Cyberweerbaarheidspool: aanjager voor samenwerken aan cyberweerbaarheid nl nl 20260626T135000 20260626T135500 000500 Cyberweerbaarheidspool: aanjager voor samenwerken aan cyberweerbaarheid PUBLIC CONFIRMED Lightning talk https://pretalx.surf.nl/spc26/talk/NVZXTD/ Plenary room (1B.10) Martijn Bijleveld PUBLISH 7HKXKS@@pretalx.surf.nl -7HKXKS Roadmap naar de Cyberweerbaarheidspool nl nl 20260626T135500 20260626T140000 000500 Roadmap naar de Cyberweerbaarheidspool PUBLIC CONFIRMED Lightning talk https://pretalx.surf.nl/spc26/talk/7HKXKS/ Plenary room (1B.10) Edo Meinema PUBLISH GJQWGJ@@pretalx.surf.nl -GJQWGJ Een cyberbrein, je zult het maar hebben - jonge hackers herkennen en begeleiden nl nl 20260626T142000 20260626T145000 003000 Een cyberbrein, je zult het maar hebben - jonge hackers herkennen en begeleiden Henk van Ee werkt bij hack_RIGHT — het ‘Halt voor cyberdelicten’ — en laat zien waarom het belangrijk is om cyberbreinen al op jonge leeftijd te herkennen en positief te stimuleren om hun talent op de juiste manier in te zetten. Daarnaast krijg je inzicht in hoe hackers naar systemen en websites kijken, welke kwetsbaarheden zij zien en wat organisaties daarvan kunnen leren. Als de tijd het toelaat, ga je samen met de rest van de zaal de website van een reisbureau of snackbar hacken. Uiteraard op een veilige manier. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/GJQWGJ/ Plenary room (1B.10) Henk van Ee PUBLISH GAUTFW@@pretalx.surf.nl -GAUTFW Technical Implications of Digital Sovereignty: Towards European Architectural Autonomy en en 20260626T153500 20260626T160500 003000 Technical Implications of Digital Sovereignty: Towards European Architectural Autonomy In this talk, I argue that meaningful sovereignty requires developing alternative technological trajectories aligned with European values rather than merely redistributing ownership of technological infrastructure and services. Following the analysis in the Letta Report, Europe must leverage its single-market scale (450 million consumers and substantial public procurement) to sustain alternatives. GSM, UMTS, and GDPR demonstrate that coordinated European requirements can create an alternative global technological trajectory, and the way to achieve this is not through a mission-oriented innovation policy, but rather by focusing on diffusion and the participation of all parts of society in infrastructural development: researchers, government, end-users, and the private sector. Before presenting this, I show how Russia, through an industrial policy of network sovereignty and import substitution, has sought to isolate itself from global networks through the development and deployment of TSPU, and how China, by leveraging the coordinating powers of government-directed standardisation and public procurement, is creating its own technological trajectory. This shows that Russia's isolationist approach sacrifices interconnection for control. China's top-down coordination achieves scale but lacks democratic accountability. Europe's challenge is charting a path that achieves autonomy while maintaining openness and embodying European values. PUBLIC CONFIRMED Keynote https://pretalx.surf.nl/spc26/talk/GAUTFW/ Plenary room (1B.10) Niels ten Oever PUBLISH SL8AST@@pretalx.surf.nl -SL8AST Camera's aan? Actie! nl nl 20260626T105000 20260626T112000 003000 Camera's aan? Actie! PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/SL8AST/ Session room 2 (1B.12) Teklenburg, Inge PUBLISH SQEXCP@@pretalx.surf.nl -SQEXCP Voor of tegen: Omstreden voorgestelde maatregelen in SURF DPIA's nl nl 20260626T114500 20260626T121500 003000 Voor of tegen: Omstreden voorgestelde maatregelen in SURF DPIA's SURF Vendor Compliance loopt in verschillende trajecten met vendoren steeds tegen vergelijkbare risico’s aan, die elke keer om hetzelfde type beheersmaatregelen vragen. Denk bijvoorbeeld aan het kunnen achterhalen wie wanneer welke gevoelige student- of medewerkergegevens heeft ingezien (read access logging), het toestaan van het sideloaden van apps zodat bijvoorbeeld de Google Play Store omzeild kan worden, het kunnen loggen en melden van proxy login/masquerading (zoals “login als student”) en het centraal kunnen inrichten en beheren van rollen en rechten (gecentraliseerde RBAC). Zulke terugkerende maatregelen kun je beter expliciet aan de voorkant als sectoreis formuleren, in plaats van die in elk individueel traject opnieuw uit te onderhandelen. Deze maatregelen zijn nu vooral vanuit SURF Vendor Compliance geformuleerd, maar zouden idealiter een gezamenlijk gedragen sectoreis worden. “Als je wilt leveren aan het hoger onderwijs, dan moet je hieraan kunnen voldoen.” In deze Birds of a Feather verkennen we samen met onze leden welke van deze maatregelen in een sectorbrede baseline voor leveranciers thuishoren, hoe die er in de praktijk uit zouden moeten zien en waar instellingen nu tegenaan lopen bij leveranciers. Het is een werk- en discussiesessie: deelnemers brengen eigen ervaringen mee, toetsen de voorgestelde maatregelen en vullen deze aan. De opbrengst gebruiken we om een eerste versie van een baseline op te stellen, die eventueel in een vervolgstap verder kan worden uitgewerkt door een werkgroep. PUBLIC CONFIRMED Birds of a Feather https://pretalx.surf.nl/spc26/talk/SQEXCP/ Session room 2 (1B.12) Julian Rill Daisy Brugman PUBLISH DWZHMR@@pretalx.surf.nl -DWZHMR Dark web monitoring nl nl 20260626T142000 20260626T145000 003000 Dark web monitoring De volgende onderwerpen komen aan de orde: - De drie soorten internet (clear web, deep web en dark web). - Munit.io als search engine voor de monitoring die door hun SAGA-platform zijn verzameld. - Hoe externe dienstverlener Schippers-IT de operationele bewaking verzorgt. - Welke (7) vormen van monitoring plaatsvindt (eventueel uitleg via https://munit.io/data-collections/). - De resultaten voor de OU. - Kostenindicatie (uren, geld). PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/DWZHMR/ Session room 2 (1B.12) Martin Romijn PUBLISH NY8M7T@@pretalx.surf.nl -NY8M7T Privacy Governance: Groei en Samenwerking Ondersteunen nl nl 20260626T105000 20260626T112000 003000 Privacy Governance: Groei en Samenwerking Ondersteunen PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/NY8M7T/ Session room 3 (3B.38) Hooijen - de Vries, Laura Litjens, Ineke PUBLISH AUQKMU@@pretalx.surf.nl -AUQKMU Inzageverzoek - wat mag er geheim blijven? nl nl 20260626T114500 20260626T121500 003000 Inzageverzoek - wat mag er geheim blijven? PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/AUQKMU/ Session room 3 (3B.38) Gisa de Jonge PUBLISH YBUJFB@@pretalx.surf.nl -YBUJFB De synergiën van risico-management en security-architectuur: een geïntegreerd aanpak nl nl 20260626T142000 20260626T145000 003000 De synergiën van risico-management en security-architectuur: een geïntegreerd aanpak PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/YBUJFB/ Session room 3 (3B.38) Christian-Alexander Bunge PUBLISH LPUTHY@@pretalx.surf.nl -LPUTHY SURF's Advanced Red Teaming in practice: experiences from Erasmus University Rotterdam en en 20260626T105000 20260626T112000 003000 SURF's Advanced Red Teaming in practice: experiences from Erasmus University Rotterdam The ART exercises not only helped Erasmus identify concrete areas for improvement, but also provided practical lessons and experiences that can benefit the wider education and research sector. By sharing outcomes and improvement plans within the SCIRT Community, organisations can learn from each other and strengthen their collective cyber resilience. PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/LPUTHY/ Session room 4 (3B.56) Rory O'Connor PUBLISH ZYVGLZ@@pretalx.surf.nl -ZYVGLZ Setting Expectations for Security Awareness in Organizations en en 20260626T114500 20260626T121500 003000 Setting Expectations for Security Awareness in Organizations PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/ZYVGLZ/ Session room 4 (3B.56) Simon Parkin PUBLISH 3NDTML@@pretalx.surf.nl -3NDTML Kwetsbaarheden in infrastructuur opsporen met eduC2 nl nl 20260626T142000 20260626T145000 003000 Kwetsbaarheden in infrastructuur opsporen met eduC2 EduC2 biedt veel kansen om onderwijsinstellingen veiliger te maken. Het modulaire ecosysteem ondersteunt bij het signaleren en mitigeren van kwetsbaarheden in hun infrastructuur. In deze sessie zie je hoe eduC2 werkt én leer je van Zadkine’s ervaringen met het systeem. EduC2 is in samenwerking met het programma Cyberveiligheid mbo ontwikkeld omdat het zonder toegang tot de afgeschermde omgevingen van instellingen slechts beperkt mogelijk is om de beveiliging te observeren. Een kwaadwillende kan via kwetsbaarheden en misconfiguraties in het externe aanvalsoppervlak weliswaar initiële toegang (initial access) tot een afgeschermde omgeving van een instelling krijgen, maar dat is nooit het uiteindelijke doel. Om zijn echte doelwit te bereiken moet de hacker handelingen verrichten om bij andere systemen en netwerken te komen (lateral movement) en hogere rechten (privilege escalation) te krijgen. Bij kwetsbaarhedenscans, penetratietesten en red teaming komen we vaak dezelfde kwetsbaarheden tegen, die kwaadwillenden in de praktijk gebruiken voor lateral movement en privilege escalation. EduC2 helpt onderwijsinstellingen bij het signaleren en mitigeren van deze kwetsbaarheden. Het systeem maakt dit mogelijk door op afstand door SURF (en de community) aangedreven scripts geautomatiseerd te starten binnen de afgeschermde omgevingen van onderwijsinstellingen. Ben jij benieuwd naar de mogelijkheden van eduC2 en hoe het ecosysteem jouw instelling veiliger kan maken? Zorg dan dat je bij deze presentatie bent! PUBLIC CONFIRMED Talk https://pretalx.surf.nl/spc26/talk/3NDTML/ Session room 4 (3B.56) Mick Deben PUBLISH AV3YTQ@@pretalx.surf.nl -AV3YTQ AI Compliance Workshop: beoordelen, afwegen en kiezen in de onderwijspraktijk nl nl 20260626T105000 20260626T121500 012500 AI Compliance Workshop: beoordelen, afwegen en kiezen in de onderwijspraktijk Deze interactie AI Compliance Workshop is ontwikkeld om de kloof tussen wetgeving en praktijk te overbruggen. In plaats van theoretische uitleg over wetgeving, ervaar je als deelnemer zelf hoe complexe AI-beslissingen tot stand komen. De focus ligt op compliance en het perspectief van een AI Compliance Officer binnen een onderwijsinstelling. In deze workshop werk je in een groep aan een herkenbare onderwijscasus en doorloop je stap voor stap de belangrijkste afwegingen: * het inschatten van de voorgestelde AI-toepassing in de casus; * het bepalen van de toepasselijkheid van de AI Verordening en de benodigde maatregelen; * het maken van een onderbouwde leverancierskeuze. Tijdens dit proces wordt zichtbaar dat compliance niet alleen een juridische exercitie is, maar een samenspel van verschillende invalshoeken. Door zelf keuzes te maken, krijg je inzicht in de dilemma's waarmee Compliance Officers dagelijks te maken krijgen. PUBLIC CONFIRMED Workshop https://pretalx.surf.nl/spc26/talk/AV3YTQ/ Session room 5 (3B.46) Patrick van de Wetering Saskia Stout PUBLISH BYFKMR@@pretalx.surf.nl -BYFKMR Awareness in de praktijk: privacy en security met een visuele aanpak nl nl 20260626T105000 20260626T121500 012500 Awareness in de praktijk: privacy en security met een visuele aanpak Tijdens de workshop ga je met behulp van de praatplaat actief aan de slag met vier praktische activiteiten: * het identificeren van de '12 Privacy & Security Essentials in Research'; * het verbeteren van je digitale veiligheid aan de hand van '10 Tips voor Digitale Veiligheid'; * het herkennen van risicovol gedrag en de mogelijke gevolgen voor gegevensbeveiliging; * 'Waar is Wally?' op basis van een dataset: Ervaar hoe een dataset herleidbaar kan zijn naar één persoon en leer het belang van directe en indirecte identificatiegegevens. De workshop introduceert de praatplaat als krachtig hulpmiddel om complexe onderwerpen te verkennen, zoals data-minimalisatie, digitale veiligheid en (digitale) autorisaties. Ideaal voor P&S-professionals die op zoek zijn naar een praktische en laagdrempelige manier om bewustwording en dialoog binnen hun team te stimuleren. De workshop is geschikt voor iedereen die binnen een organisatie verantwoordelijk is voor privacy, security en/of de bijbehorende awareness. PUBLIC CONFIRMED Workshop https://pretalx.surf.nl/spc26/talk/BYFKMR/ Session room 6 (3B.62) C. Veenstra-Jager Rosa Kremer