SURF Security & Privacy Conferentie 2026

SURF Vendor Compliance loopt in verschillende trajecten met vendoren steeds tegen vergelijkbare risico’s aan, die elke keer om hetzelfde type beheersmaatregelen vragen.

Denk bijvoorbeeld aan het kunnen achterhalen wie wanneer welke gevoelige student- of medewerkergegevens heeft ingezien (read access logging), het toestaan van het sideloaden van apps zodat bijvoorbeeld de Google Play Store omzeild kan worden, het kunnen loggen en melden van proxy login/masquerading (zoals “login als student”) en het centraal kunnen inrichten en beheren van rollen en rechten (gecentraliseerde RBAC).

Zulke terugkerende maatregelen kun je beter expliciet aan de voorkant als sectoreis formuleren, in plaats van die in elk individueel traject opnieuw uit te onderhandelen.

Deze maatregelen zijn nu vooral vanuit SURF Vendor Compliance geformuleerd, maar zouden idealiter een gezamenlijk gedragen sectoreis worden.

“Als je wilt leveren aan het hoger onderwijs, dan moet je hieraan kunnen voldoen.”

In deze Birds of a Feather verkennen we samen met instellingen welke van deze maatregelen in een sectorbrede baseline voor leveranciers thuishoren, hoe die er in de praktijk uit zouden moeten zien en waar instellingen nu tegenaan lopen bij leveranciers. Het is een werk- en discussiesessie: deelnemers brengen eigen ervaringen mee, toetsen de voorgestelde maatregelen en vullen deze aan.

De opbrengst gebruiken we om een eerste versie van een baseline op te stellen, die eventueel in een vervolgstap verder kan worden uitgewerkt door een werkgroep.