Van Microsoft tot Adobe: een aantal openbare DPIA's op een rij

June 23, 2026

Privacy Company heeft de afgelopen jaren voor uiteenlopende organisaties een groot aantal DPIA’s uitgevoerd. Verschillende grote organisaties hebben de door ons uitgevoerde DPIA’s gepubliceerd. In deze blog hebben wij een selectie daarvan opgenomen, zodat je een goed beeld krijgt van de kwaliteit van ons werk.

Een DPIA (Data Protection Impact Assessment) is een verplicht onderzoek dat organisaties en overheidsinstellingen moeten uitvoeren als zij van plan zijn persoonsgegevens te verwerken. Bij gegevensverwerking heb je vaak te maken met nieuwe systemen, processen of nieuw aangeschafte software die mogelijk data verzamelt. Het is verplicht te onderzoeken of dit op de juiste manier gebeurt.

Veel van onderstaande DPIA’s zijn zogeheten ‘paraplu-DPIA’s’. Dat betekent dat we uitgaan van een algemeen gebruik van de betreffende software. Met andere woorden: deze DPIA’s schatten de risico’s in van het algemeen gebruik van de betreffende software.

Organisaties kunnen vervolgens op basis van de ‘paraplu-DPIA’ hun eigen DPIA uitvoeren voor hun specifieke situatie. Dus voor de verwerkingen die zij in de dagelijkse praktijk doen met de software. De ‘paraplu’ DPIA helpt dan als startpunt. Uiteraard kunnen wij ook helpen met het uitvoeren van specifieke DPIA’s.

Deze ‘paraplu-DPIA’s’ bevatten vaak ook een technische analyse. We kijken namelijk niet alleen of organisaties de juridische teksten naleven, maar ook wat er écht gebeurt met gegevens. Soms is dat niet in lijn met de juridische teksten, daarom zijn sommige rapporten erg uitgebreid. Dat wil niet zeggen dat jouw specifieke DPIA ook zo uitgebreid zal zijn.

Een mooi voorbeeld over onze werkwijze vind je in dit artikel op Tweakers.

Hieronder volgt een selectie van DPIA’s waar we aan werkten en die openbaar beschikbaar zijn:

2026 | Adobe Creative Cloud & Document Cloud voor SURF
2026 | Webex voor Rijksoverheid
2026 | TOPdesk voor SURF
2025 | AnsExam voor SURF
2025 | Microsoft Copilot voor SLM Rijk
2025 | Microsoft Copilot voor SURF
2025 | Microsoft 365 Copilot (update) voor SURF
2025 | EduGenAI voor SURF
2025 | RedHat OpenShift voor SLM Rijk
2024 | Google Workspace (controleonderzoek) voor SIVON en SURF
2024 | Google Chromebooks voor het onderwijs voor SIVON en SURF
2024 | Zoom (update) voor SURF
2024 | Microsoft 365 CoPilot voor SURF
2024 | Amazon Web Services (AWS) voor SLM Rijk
2022 | Facebook Pages voor Ministerie van Binnenlandse Zaken en Koninkrijksrelaties + mensenrechten beoordeling (HRIA)
2022 | Microsoft Teams, OneDrive en SharePoint Online voor Ministerie van Justitie en Veiligheid en SURF
2021 | Google Workspace voor Education voor SIVON en SURF
2020 | Microsoft Intune voor Ministerie van Justitie en Veiligheid
2020 | Microsoft Office 365 voor Ministerie van Justitie en Veiligheid
2019 | Microsoft Office 365 ProPlus (je leest hier de samenvatting)
2019 | Microsoft Office 365 online and mobile apps
2019 | Microsoft Windows 10 Enterprise (je leest hier de samenvatting)

We weten dat DPIA’s ingewikkeld kunnen zijn en helpen je graag om op basis van deze rapporten de vertaling naar jouw specifieke situatie te maken.

De DPIA’s in dit overzicht laten slechts een deel van onze ervaring zien. In de afgelopen jaren hebben wij ook onderzoek gedaan naar veel systemen en verwerkingen die niet openbaar zijn gemaakt. Voorbeelden hiervan zijn: TikTok, Salesforce, VMware en diverse sectorspecifieke applicaties en verwerkingen.

Wil je meer weten over DPIA’s en onze dienstverlening? Neem dan gerust contact met ons op via info@privacycompany.nl.

‍

^{Laatst bijgewerkt op 23 juni 2026}

Download

—

Frank

Directeur