Meld je gratis aan voor ons Privacy & Security event op 28 mei

DPIA op Nextcloud Enterprise-software: 15 lage of opgeloste risico’s

July 17, 2026
Privacy Company en SURF hebben gezamenlijk een DPIA (Data Protection Impact Assessment) uitgevoerd voor Nextcloud Enterprise-software. Nextcloud heeft al maatregelen genomen en zal aanvullende maatregelen nemen om de 15 geïdentificeerde privacyrisico’s op te lossen of te verlagen. Op basis van de onderhandelde nieuwe verwerkersovereenkomst en de mooie uitkomsten van de DPIA geeft SURF positief advies over het gebruik van Nextcloud Enterprise door onderwijsinstellingen in Nederland.

Privacy Company publiceert deze blog over de bevindingen met toestemming van SURF. Zie het persbericht en de DPIA op de website van SURF.

De DPIA gaat over de open-source Nextcloud Enterprise-software, een alternatief voor de productiviteitsclouddiensten van Microsoft en Google. Organisaties kunnen deze software van het Duitse bedrijf Nextcloud GmbH zelf hosten, of een hostingpartner inschakelen om de software als beheerde clouddienst af te nemen. SURF, de samenwerkingsorganisatie voor IT in het Nederlandse hoger onderwijs en onderzoek, heeft het technische en beveiligingsonderzoek uitgevoerd, terwijl Privacy Company de juridische analyse heeft verricht en het rapport heeft geschreven.

Uitslag: 15 lage gegevensbeschermingsrisico’s

De uitkomst van deze DPIA is dat er 15 lage of opgeloste privacyrisico’s zijn. De risico’s en risicobeperkende maatregelen worden nader toegelicht in de tabel in de DPIA. Daarnaast bevat de DPIA een voorlopige lijst met essentiële beveiligingsmaatregelen die organisaties moeten nemen om gegevensbeschermingsrisico’s te voorkomen wanneer zij besluiten de software zelf te hosten (paragraaf C.1.1.1).

Reikwijdte van de DPIA

Deze DPIA bevat een technische analyse en juridische beoordeling van de (zeer beperkte) gegevensverwerking via vier Nextcloud Enterprise-softwarepakketten: Nextcloud Files (bestandsdeling), Groupware (e-mail, agenda, contacten en presentaties), Talk (videoconferenties en chat) en Nextcloud Office. SURF heeft Nextcloud Office getest met Collabora Online, maar Nextcloud biedt nu Euro-Office aan, gebaseerd op een fork van Only Office. Daarnaast heeft SURF de generatieve AI-transcriptiefunctie getest voor videogesprekken in Talk. SURF heeft ook de online versie van de tools getest, via een webinterface, en getest met Files en Talk geïnstalleerd op apparatene met Windows en macOS.

Persoonsgegevens

Deze DPIA beoordeelt de risico’s op het gebied van gegevensbescherming voor vijf categorieën persoonsgegevens:

  1. Inhoudelijke Gegevens (alleen beschikbaar voor klanten, binnen de zelfgehoste Nextcloud-software)
  2. Accountgegevens, in twee soorten:
    a. Accountgegevens van beheerders
    b. Contactgegevens van inkoopmedewerkers
  3. Diagnostische gegevens, in drie soorten:
    a. Logbestanden die alleen beschikbaar zijn voor klanten
    b. Logbestanden die klanten optioneel kunnen delen met Nextcloud GmbH
    c. Logbestanden die door Nextcloud GmbH worden aangemaakt
  4. Support Gegevens (zowel de inhoud van supporttickets als metagegevens)
  5. Website Gegevens, in twee soorten:  
    a. de websites die alleen na log-in toegankelijk zijn, d.w.z. het Nextcloud-portaal voor beheer en support;
    b. de openbaar toegankelijke pagina’s op nextcloud.com met relevante technische documentatie, het formulier om een inzageverzoek in te dienen, en juridische informatie.

Een belangrijk verschil met cloudproviders van productiviteitssoftware is dat het bedrijf Nextcloud GmbH heel weinig persoonsgegevens verzamelt. Nextcloud heeft de softwareapplicaties bijvoorbeeld niet zo geprogrammeerd dat ze automatisch telemetriegegevens naar het bedrijf verzenden en heeft geen toegang tot de gegevens die in de klantomgeving worden verwerkt, zelfs niet voor support doeleinden.

AVG-rollen van Nextcloud en de onderwijsinstellingen

Aanvankelijk nam Nextcloud het standpunt in dat het bedrijf alleen een verwerker was voor de inhoud van de supporttickets. Uit de technische analyse bleek dat Nextcloud meer categorieën persoonsgegevens verwerkte.

Als resultaat van de onderhandelingen met SURF heeft Nextcloud ermee ingestemd om ook verwerker te worden voor de beperkte hoeveelheid persoonsgegevens die hijverzamelt, zoals gegevens van de beheerdersaccounts, Diagnostische Gegevens en de gegevens van de websites die alleen na log-in toegankelijk zijn. Nextcloud mag deze persoonsgegevens verwerken voor vier specifieke doelen, namelijk om de software technisch te leveren, ondersteuning op het derde niveau te bieden, updatemeldingen en nieuwsbrieven naar beheerders te sturen en de software voor alle klanten technisch te verbeteren door gebruik te maken van de geaggregeerde Support Gegevens en vrijwillig verstrekte Diagnostische Gegevens.

Daarnaast heeft Nextcloud ermee ingestemd om in de gewijzigde DPA een uitputtende lijst op te nemen van verenigbare doelen waarvoor Nextcloud bevoegd is om bepaalde persoonsgegevens verder te verwerken voor zijn eigen legitieme zakelijke doelen, mits de verwerking strikt noodzakelijk en evenredig is. Dergelijke doelen omvatten facturering, het aggregeren van gegevens voor de interne managementrapportages van Nextcloud en het nakomen van wettelijke verplichtingen die op Nextcloud rusten. Bij de verwerking van bepaalde (gepseudonimiseerde) persoonsgegevens voor deze doelen treedt Nextcloud op als geautoriseerde verantwoordelijke. In tegenstelling tot leveranciers met hoofdkantoor in de VS biedt Nextcloud een harde garantie dat het nooit persoonsgegevens zal verstrekken aan autoriteiten buiten de EU.

Mitigerende maatregelen Nextcloud

Om de 15 geïdentificeerde risico’s op het gebied van gegevensbescherming op te lossen of te verlagen, heeft Nextcloud al contractuele en technische maatregelen genomen en toegezegd om in het derde kwartaal van 2026 enkele andere maatregelen te nemen en sommige nog vóór het einde van 2026. De maatregelen worden volledig beschreven in de tabel in de DPIA.

Mitigerende maatregelen voor onderwijsinstellingen

De DPIA identificeert maatregelen die onderwijsinstellingen moeten nemen om hoge privacyrisico’s te voorkomen, en geeft een lijst met aangeradenbeveiligingsmaatregelen als organisaties besluiten de software zelf te hosten. Organisaties kunnen de overkoepelende DPIA gebruiken om beheerders en eindgebruikers te informeren over de aard van zowel de interne gegevensverwerking als de verwerking door Nextcloud.

Conclusie

Op basis van de onderhandelde verwerkersovereenkomst voor de Nederlandse onderwijssector hebben de onderwijsinstellingen zeggenschap over de beperkte gegevensverwerking door Nextcloud, ook via diens subverwerkers. Zij kunnen vertrouwen op gegevensverwerking die uitsluitend binnen de EU plaatsvindt als zij kiezen voor de nieuwe Nextcloud Office, ondersteund door Euro-Office. Voor de DPIA heeft SURF getest met de vorige versie van Nextcloud Office op basis van Collabora Online, waarbij supporttickets konden worden verwerkt door medewerkers in het Verenigd Koninkrijk. De bewaartermijnen zijn beperkt tot wat strikt noodzakelijk is. De instellingen kunnen ervan uitgaan dat Nextcloud alleen strikt noodzakelijke cookies plaatst, en zij kunnen erop vertrouwen dat SURF zijn auditrechten uitoefent om de naleving te controleren van de overeengekomen clausules en maatregelen. Mits zowel de onderwijsinstellingen als Nextcloud de risicobeperkende maatregelen toepassen, zijn er geen bekende hoge gegevensbeschermingsrisico’s, alleen nog 15 lage of opgeloste risico’s.

Lees meer

Download
Sjoera
Adviseur