Downloads
Blog
Wie we zijn
Onze klanten
Neem contact op
Software
Advies
Training en E-learning

DPIA op TOPdesk: negen hoge risico’s geïdentificeerd

January 20, 2026
Blog overview
/
DPIA op TOPdesk: negen hoge risico’s geïdentificeerd
Wij hebben in opdracht van SURF een Data Protection Impact Assessment (DPIA) met technisch onderzoek uitgevoerd op TOPdesk, een van de grotere service management platforms. SURF heeft opdracht gegeven voor deze DPIA namens ruim 30 Nederlandse onderwijs- en onderzoeksinstellingen.

In de DPIA zijn negen hoge risico’s geïdentificeerd verbonden aan de inzet van TOPdesk door onderwijs- en onderzoeksinstellingen. Zes van deze risico’s komen voort uit de inrichting van het platform. De overige drie risico’s zijn van toepassing op instellingen die bijzondere persoonsgegevens verwerken met TOPdesk.

TOPdesk is voortvarend aan de slag gegaan met de zes hoge risico’s aan eigen zijde en heeft – voor oplevering van de finale versie van de DPIA – al vier(!) hiervan gemitigeerd. In de loop van 2026 zal TOPdesk verdere maatregelen treffen waarmee de twee resterende hoge risico’s worden gemitigeerd. De drie andere risico’s moeten organisaties die TOPdesk inzetten zelf mitigeren; daarvoor zijn in de DPIA ook maatregelen aanbevolen.

Service management platform

SURF heeft ons gevraagd een aantal use cases van TOPdesk te bestuderen om concrete risico’s te identificeren die in de praktijk kunnen spelen. De onderzochte use cases zijn:

  • Het gebruik van TOPdesk als ticketsysteem voor IT-diensten (bijv. het melden van bugs)
  • Het gebruik van TOPdesk als systeem voor de afhandeling van beveiligingsincidenten en datalekken
  • Het gebruik van TOPdesk voor de registratie van vragen, incidenten of klachten in het kader van de sociale veiligheid, integrale veiligheid, en vertrouwelijkheidskwesties
  • Het gebruik van TOPdesk voor de verwerking van gevoelige informatie van apparaten, incident-, applicatie- en klachtenbeheer
  • Het gebruik van TOPdesk voor autorisatie- en toegangsbeheer

Ook is gekeken naar de applicatie- en auditlogging als onderdeel van de inzet van TOPdesk.

Het onderzoek

De DPIA begon met onderzoek naar de documentatie, relevante voorwaarden, contracten en afspraken van TOPdesk – de zogeheten ‘papieren werkelijkheid’. Daarna volgden een aantal interviews met technische- en juridische experts van TOPdesk, medewerkers van een onderwijsinstelling die TOPdesk gebruikt en vertegenwoordigers van SURF. Om te toetsen in hoeverre de (technische) realiteit overeenstemt met de papieren werkelijkheid, hebben wij een technisch onderzoek gedaan bij de onderwijsinstelling die TOPdesk gebruikt. Hiervoor zijn test accounts aangemaakt en is een speciale monitoringtool – een man-in-the-middle-proxy – ingezet. Deze tool brengt de stromen van persoonsgegevens (personal data flows) in kaart. Ook hebben we de logbestanden die worden gecreëerd bij het gebruik van TOPdesk bekeken. Tot slot heeft de instelling waar het technische onderzoek is gedaan een verzoek bij TOPdesk ingediend voor ondersteuning bij een inzageverzoek uit naam van de test accounthouders.

Op basis van dit alles hebben we geanalyseerd welke risico’s spelen voor betrokkenen.

De uitkomst

Het resultaat van deze DPIA is dat TOPdesk eind 2026 zonder hoge risico’s voor betrokkenen ingezet kan worden door een onderwijs- of onderzoeksinstelling – mits alle voorgestelde maatregelen zijn geïmplementeerd. De aanbevolen maatregelen staan per risico vermeld in deze (lange en Engelstalige) tabel:

Download
Evan
Adviseur
Den Haag
Maanweg 174
2516 AB Den Haag
+31 708209690
info@privacycompany.nl
Berlijn
Friedrichstrasse 68
1017 Berlijn
+49 16098404354
info@privacycompany.nl
© Privacy Company
ImpressumPrivacyverklaringCookieverklaring