In zijn keynote ‘Soevereiniteit 2.0 - en nu echt’ schetst Bert Hubert de stand van zaken rond digitale soevereiniteit in Europa en Nederland, die in deze context vaak als tamelijk hulpeloos worden neergezet. Dat is volgens Hubert echter geen kwestie van capaciteit of geld, maar meer een gebrek aan zelfvertrouwen.
This interactive workshop explores the growing tension between mandatory identification online and the fundamental rights to privacy, anonymity, and pseudonymity. As a participant, you will critically examine whether identity-based systems are necessary tools for trust and digital security, or whether they function as Trojan horses for unprecedented forms of surveillance and control. The session offers clear takeaways and actionable recommendations on how to reconcile accountability with the protection of fundamental rights.
The workshop is designed for policymakers, civil society actors, researchers, technologists, and anyone concerned with the future of digital rights in Europe.
.
Hoe zorg je als sector zelf voor meer digitale weerbaarheid, met vergroting van autonomie en beter aansluitend op onze specifieke sector? In deze sessie ontdek je hoe een gezamenlijk Cyber Defence Center (CDC) daaraan bijdraagt, hoe dit er globaal uit zou kunnen zien én welke stappen op dit moment al worden gezet.
Vind je dat je awarenessplan wat scherper kan? Of wil je werken aan de volgende stap? In deze workshop ga je aan de slag met het SANS Security Awareness Culture Maturity Model. Het model biedt een uitgebreide matrix in 5 niveaus om te groeien naar een cyberveilige cultuur.
Wil je ontdekken hoe je als onderwijsinstelling écht grip krijgt op informatiebeveiligingsrisico’s? Tijdens deze interactieve workshop laten we zien hoe het Security Office van de Universiteit Leiden universiteitsbreed ondersteuning biedt en risicomanagement naar een hoger niveau tilt.
WUR has built an on-premise SOC infrastructure based on open source technology in addition to SURFsoc. In this session, you’ll discover how this approach can help you build a cost-effective, scalable solution - especially relevant in the current geopolitical situation.
Jaarlijks worden honderden onderzoeksvoorstellen beoordeeld op privacyaspecten – een essentieel, maar ook tijdrovend proces. Tijdens een praktijkpilot zette AmsterdamUMC een Large Language Model (LLM) in bij de privacytoetsing van niet-WMO-plichtige onderzoeksprojecten. In deze sessie hoor je de uitkomsten van de pilot.
In deze talk nemen we je mee in de wereld van bewaartermijnen, besluitvorming en het soms spannende proces van informatievernietiging. Je ontdekt hoe archiefafdelingen adviseren over wat blijft, wat weg moet en welke impact die keuzes hebben op de informatiehuishouding van een organisatie.
Shadow IT, the use of unauthorized IT in the workplace, is widespread across organizations and takes many forms. While it offers flexibility and helps people get their work done, it also creates new attack vectors and challenges for cybersecurity management. In this talk, we combine results from several research studies to better understand and address these risks.
Graag geven we vanuit het ministerie van OCW een nieuwe update van de implementatie van de Cyberbeveiligingswet.
Kom in actie tegen de digitale omnibus! Tijdens deze sessie hoor je in vogelvlucht welke wijzigingen de Europese Commissie voorstelt in de AVG en de AI Act, welke schadelijke gevolgen dat kan hebben en wat we daar gezamenlijk nog tegen kunnen doen. Je krijgt inzicht in de actuele stand van het wetgevingsproces én hoe we als community en sector in actie kunnen komen.
MBO Digitaal voert in samenwerking met Cyberseals bij 25 mbo-instellingen Mystery Guest-acties uit. Tijdens deze acties probeert een Mystery Guest ongezien toegang te krijgen tot gebouwen, (ict-)ruimtes of privacygevoelige informatie. In deze talk delen we de belangrijkste bevindingen en hoor je waar de grootste risico’s en verbeterkansen liggen.
Binnen ROC Midden Nederland werken het Privacy Office, Security Office en de inkoopafdeling nauw samen - maar dat ging niet vanzelf. In deze sessie krijg je inzicht in waar je allemaal rekening mee moet houden om Privacy & Security by Design écht toe te passen in inkooptrajecten.
Residential proxy networks route traffic through the IP addresses of real households, allowing their customers to appear as ordinary residential users. In this session, you gain practical insight into how these networks are used—both legitimately and for abuse—and what this means for detection and mitigation in your own organisation.
NATO is currently in a 'grey zone': increasingly being challenged in cyberspace while unable to attribute attacks, thus failing to deter. Simultaneously, many governments, businesses, and populations depend on the assumption that the Internet and the cloud functions properly. This is a dangerous situation, since global Internet connectivity could get disrupted and destabilised. This talk explains the basic principles from an overall technological perspective, and discusses the challenge of anti-access and area denial (A2/AD) in the context of global Internet disruptions. What is the contested area, what are possible effects, and can those effects be limited? Using a layered approach, we define the cyber 'high ground' as maintenance of and control over critical infrastructure, from core to edge, from hardware to software. To ensure each cyber 'area' can be protected in isolation but still allow global cooperation, we argue it is important to control which paths data takes in the network, similar to air traffic control. This requires a new approach to organisation: we discuss a decentralised architecture for cyberspace, and how the Internet can be structured using federated networks, featuring geofencing of the control plane and effect isolation, that has the potential to radically change the future of cyber warfare.
Discover how the Privacy Scan Framework helps manage privacy compliance in a more efficient, timely and scalable way. In this session, you’ll learn how the framework works in practice and how it supports key GDPR obligations. As a participant, you are encouraged to bring your own challenging cases for discussion.
Wat kun je zelf doen om los te komen van big tech? Tijdens deze presentatie krijg je praktische tips om meer controle te krijgen over je eigen data en ontdek je welke kleine én grotere stappen je zelf kunt zetten. Na afloop weet je welke alternatieven er zijn, wat het Fediverse en POSSE zijn, en waar je kunt beginnen.
Tijdens deze sessie krijg je een concreet en eerlijk beeld van de implementatie van de dienst SURFsoc Nieuwe Generatie bij Rijn IJssel. Ook hoor je hoe de eerste maanden operationeel gebruik in de praktijk zijn verlopen. Wat ging er goed, wat ging er fout en - belangrijker - wat levert het daadwerkelijk op? Je hoort welke inzichten Rijn IJssel heeft opgedaan en wat leverancier SURF zelf van dit traject heeft geleerd.
The advent of quantum computers poses a significant threat to our digital security infrastructure and needs to be addressed with urgency. In this keynote, you will learn how and why quantum computers can break the encryption schemes we currently use, what this means for your organisation, and which solutions are available to safeguard your data and strengthen your resilience against the looming quantum threat.
De komst van de AI Verordening roept in het onderwijs veel vragen op. AI-toepassingen worden al volop gebruikt door docenten en studenten, terwijl de juridische en organisatorische kaders vaak nog in ontwikkeling zijn. In deze interactieve workshop ervaar je hoe je AI-toepassingen kunt beoordelen, de juiste compliance-afwegingen maakt en tot een onderbouwde keuze komt.
Tijdens deze interactieve workshop maak je kennis met de Privacy & Security-praatplaat van de Rijksuniversiteit Groningen. Hiermee kun je privacy- en security-onderwerpen op een visuele en interactieve manier bespreekbaar maken in je eigen werkomgeving. Na afloop weet je hoe je deze onderwerpen begrijpelijk en boeiend maakt, risico's herkent en gebruikt voor het ontwikkelen van awareness-activiteiten en trainingen binnen je organisatie.
Beleid voor cameratoezicht:
Hoe hebben we dat opgesteld, wie zijn er bij betrokken, tegen welke problemen liepen we aan en hoe hebben we die opgelost?
Vanuit fysieke beveiliging is er veel vraag naar cameratoezicht, het wordt maatschappelijk als "normaal" gezien. Hoe ziet dat eruit in de context van een onderwijsinstelling?
De onderliggende vraag in bredere zin is, in hoeverre willen en kunnen we als "activistische IBP-specialisten" kritisch tegenover beveiligingsmaatregelen staan?
Medio 2026 treedt de Cyberbeveiligingswet in werking. De exacte datum is op dit moment nog niet bekend. Welke gevolgen heeft dat voor onderwijs- en onderzoeksinstellingen? En welke rol speelt SURFcert daarbij als sectoraal CSIRT? In deze sessie krijg je inzicht in wat de nieuwe wetgeving betekent en hoe SURFcert jouw instelling ondersteunt bij digitale weerbaarheid en samenwerking rondom cybersecurity.
Het inrichten van Digitale/Privacy Governance binnen een onderwijsinstelling kan lastig zijn. Bij de TU/e hebben we dit geïmplementeerd op basis van het three-lines model.
Tijdens deze sessie komen de volgende onderwerpen aan bod:
- Hoe bepaal je welke rollen er nodig zijn en wat de werkzaamheden zijn van bijvoorbeeld de CPO of FG?
- Welke rollen zitten er in de eerste, tweede en derde lijn?
- Hoe zorg je ervoor dat er ondanks de verschillende rollen goede samenwerking is en sprake van een gecoördineerde aanpak, zonder de onafhankelijkheid van de FG in het geding te laten komen?
- Hoe pak je het aan als de CPO en FG het oneens zijn?
How resilient is your organisation against advanced cyber attacks? Using the Advanced Red Teaming (ART) Framework from SURF, Erasmus University Rotterdam gained valuable insights into both its strengths and vulnerabilities in dealing with sophisticated cyber threats. In this session they share their experiences.
We zien bij Fontys Hogeschool een tendens dat het inzageverzoek steeds meer gebruikt wordt om informatie te vergaren tijdens een (juridische) procedure. Daarnaast is er een stijging in zeer herhaaldelijke inzageverzoeken door dezelfde personen over een langere periode.
Vandaar de vraag: waar liggen de grenzen aan een dergelijk inzageverzoek precies?
In deze presentatie een korte samenvatting van de mogelijke beperkingen.
Here we explore security awareness and training (SAT) from the view of full-time security awareness managers, and through the lens of SAT solutions. Through interviews with SAT managers and SAT vendor website analysis, we uncover a range of successes and ongoing challenges. Interviews with SAT managers identify a range of restrictions, and mismatched drivers and goals for security awareness, affecting how it is structured, delivered, measured, and improved. We find that beyond compliance needs, security awareness as a practice is underspecified and largely left to SAT managers to define. Efforts are split between maintaining messaging around secure behaviours, and activities to connect to employees. By analyzing SAT vendor websites, we develop a picture of what is signaled as important in awareness management. We find that product messaging targets customers' need for easy-to-implement and compliance-fulfilling SAT products; what is spoken of less is the need for effective user support, and the role of usable security technologies within the organization environment to ensure that security expectations are doable for users.
Wat is een Security Incident Response Platform (SIRP) – en waarom zou je er écht voor kiezen? In deze presentatie krijg je niet alleen inzicht in de kern van een SIRP, maar vooral in het operationele én strategische voordeel voor je organisatie.
We verkennen samen hoe een slim opgezet platform zorgt voor snellere incidentafhandeling, betere samenwerking tussen teams en meer grip op cybersecurityprocessen. Natuurlijk kijken we ook naar de nieuwste mogelijkheden rondom automatisering en AI: hoe haal je nóg meer uit je SIRP, zonder dat het veel hoeft te kosten?
Deze deep dive laat zien hoe je met slimme keuzes en weinig budget toch grote winst boekt bij het afhandelen van cyberincidenten; ja; het is mogelijk!
SURF Vendor Compliance hanteert een set security- en privacymaatregelen richting vendoren, met eisen rond onder andere read access logging, sideloading van apps, logging/meldplicht bij masquerading en ondersteuning van gecentraliseerde RBAC. Deze maatregelen zijn nu vooral vanuit SURF Vendor Compliance geformuleerd, maar zouden idealiter via deze BoF een gedragen sectoreis worden.
“Als je wilt leveren aan het hoger onderwijs, dan moet je hieraan kunnen voldoen”.
Na bijna 3 jaar DPIA projecten doen, heeft SURF Vendor Compliance inmiddels de nodige ervaring opgedaan met de weerstand bij leveranciers. Want die is er zeker! Waarom is zo’n DPIA nu nodig? Wie is SURF eigenlijk? En waarom willen jullie alles weten?
In 5 minuten belicht ik de meest voorkomende vormen van weerstand bij onze leveranciers en hoe wij daarmee om gaan. Soms de vriendelijke weg, soms de minder vriendelijke weg. In 5 minuten krijgt het publiek een lekker inkijkje in onze dagelijkse praktijk. Lach, huiver en moedig ons aan.
Mbo instellingen werken samen aan structurele cyberweerbaarheid. In deze sessie delen instellingen hun praktijkervaringen met het testplan technische weerbaarheid, inclusief lessons learned, uitdagingen en de rol van gezamenlijke risicobeheersing via de Cyberweerbaarheidspool.
Het programma cyberveiligheid in het mbo stopt over ruim een jaar. We hebben samen veel bereikt, maar er is ook nog veel te doen voor de mbo-instellingen om aantoonbaar te groeien in cyberweerbaarheid. Vanuit het programma is daarom de Cyberweerbaarheidspool opgestart, waarbinnen de deelnemende mbo-instellingen samenwerken aan hun cyberweerbaarheid en daarover verantwoording afleggen naar elkaar. Op basis van strikte en navolgbare afspraken staan de leden garant voor elkaars cyberrisico’s. De afspraken omvatten onder andere een security-baseline, een meldplicht volgens de uitgangspunten van de Cbw, intensieve samenwerking met SURFcert en het samen aanbesteden van de incidentrespons en security-audits. Dit stelsel van afspraken vormt de borging van alles wat we in het programma Cyberveiligheid hebben opgezet en maakt dat het mbo -hoewel niet aangewezen- cyberveiligheid serieus en in de geest van de Cbw aanpakt. Nieuwsgierig naar lessen en inspiratie voor de andere sectoren: kom dan vooral naar deze presentatie!
Het huidige programma Cyberveiligheid is het sectorbrede initiatief waarin mbo‑instellingen samenwerken om hun digitale weerbaarheid te vergroten. Dit programma loopt tot 1 oktober 2027 en vormt de basis voor de opvolger: de cyberweerbaarheidspool — een unieke samenwerking waarin instellingen elkaar ondersteunen én garant staan voor elkaar bij cyberincidenten.
Om aanspraak te kunnen maken op ondersteuning vanuit de cyberweerbaarheidspool is het vereist dat deelnemende onderwijsinstellingen voldoen aan specifieke weerbaarheidseisen. Om tijdig aan deze eisen te voldoen, is een sectorbrede roadmap ontwikkeld. Door deze roadmap gelijktijdig uit te voeren bij alle instellingen, kunnen activiteiten centraal worden ondersteund en kunnen instellingen maximaal van elkaar leren. Een mooi uitgangspunt, maar ook uitdagend, want er zijn grote verschillen in volwassenheid, context en inrichting van de ICT‑infrastructuur.
Hoe organiseer je dat? Hoe borg je tempo, samenhang en kwaliteit? In deze sessie laten we zien hoe de cyberweerbaarheidspool sectorbrede samenwerking aanjaagt en structureel borgt.
Benieuwd hoe we deze sectorbrede operatie aanpakken, en welke lessen dit biedt voor schaalbare cyberweerbaarheid in het onderwijs? Sluit dan aan!
Sinds november 2025 verzorgt een externe partij voor de Open Universiteit dark web monitoring. In deze presentatie geeft Martin Romijn, CISO van de Open Universiteit, inzicht in de dark web monitoring dienstverlening en resultaten tot heden.
Digitale veiligheid is een centraal thema van elke organisatie. Een efficiënte veiligheidsarchitectuur vereist een brede en holistische aanpak nodig die rekening houdt met de doelstellingen van de onderwijsinstelling en de behoeften van vele belanghebbenden. Hiervoor moet je informatie verzamelen en veel gesprekken voeren of enquêtes laten invullen. Het blijkt dat dit proces vaak niet op elkaar is afgestemd. Stakeholders worden meerdere keren geconfronteerd met soortgelijke vragen, en risico-management, security-architectuur en enterprise-architectuur bouwen vaak niet op elkaar voort.
Allereerst willen we aan de hand van voorafgaande sessies met de SCIPR-community en interne studies voorbeelden geven van een consistente aanpak en het benutten van synergiën voor meer efficiëntie. Vervolgens willen we u uitnodigen om mee te denken, uitdagingen en best practices te bespreken en te praten over tools en processen die als praktische hulpmiddelen kunnen dienen.
Op basis van deze input willen we een raamwerk ontwikkelen inclusief een gereedschapskist met praktische tools om de beveiliging beter te integreren en de daarmee samenhangende processen te vereenvoudigen.
Hoe herken je een jong cybertalent, oftewel een 'cyberbrein'? Hoe denken en werken jonge hackers? En vooral: hoe begeleid je dat talent in de juiste richting? In deze sessie vertelt Henk van Ee over zijn praktijkervaring met het begeleiden van jonge hackers en cyberbreinen. Je ontdekt waarom straffen en verbieden vaak averechts werkt - en wat dan wél effectief is.
EduC2 biedt veel kansen om onderwijsinstellingen veiliger te maken. Het modulaire ecosysteem ondersteunt bij het signaleren en mitigeren van kwetsbaarheden in hun infrastructuur. In deze sessie zie je hoe eduC2 werkt én leer je van Zadkine’s ervaringen met het systeem.
European digital sovereignty initiatives focus on reducing dependence on US companies by creating European alternatives and through data localisation. This approach overlooks a fundamental problem: network externalities create continued US dominance even under European ownership. In this talk, I compare Russia's isolationist network sovereignty, China's government-directed standardization, and argue for a distinctly European approach. This approach is rooted in developing an alternative technological trajectory by designing open architectures that distribute power and embed European values: democratic governance, environmental sustainability, privacy, and social inclusion.