terug

DPIA op Adobe Creative Cloud en Document Cloud for Education: scholen kunnen producten, met aanvullende maatregelen, veilig gebruiken

5 mei 2026

SURF en Privacy Company hebben een Data Protection Impact Assessment (DPIA) uitgevoerd op Adobe Creative Cloud en Document Cloud for Education. In totaal zijn 9 hoge en 8 lage privacyrisico’s vastgesteld. Adobe heeft toegezegd uiterlijk in 2026 alle noodzakelijke mitigerende maatregelen te implementeren. Daardoor kunnen schoolbesturen deze producten op dit moment veilig blijven gebruiken, op voorwaarde dat zij de aanbevelingen van de DPIA opvolgen. In dit artikel is beschreven wat scholen zelf kunnen doen om de producten veilig te gebruiken. 

Adobe Creative Cloud biedt creatieve apps zoals Photoshop en Illustrator.  Adobe Document Cloud zich richt op het maken, beheren en ondertekenen van PDF‑documenten. Scholen  maken gebruik van deze applicaties, bijvoorbeeld binnen projecten en vakken in het creatieve domein. 

Geïdentificeerde risico’s

De geïdentificeerde risico’s hebben voor een groot deel directe impact op leerlingen en leraren. De belangrijkste bevindingen volgens SIVON zijn: 

  • De contractdocumenten van Adobe gebruiken afwijkende termen, spreken elkaar soms tegen en er is geen duidelijke rangorde tussen de verschillende voorwaarden. Ook de AVG-rollen en doeleinden zijn onvoldoende omschreven. Hierdoor ontstaan onduidelijke contractuele afspraken waardoor o.a. niet wordt voldaan aan art. 28 AVG.  
  • In Acrobat of Photoshop worden sommige functies uitgevoerd via de cloud van Adobe, zonder dat dit duidelijk wordt gecommuniceerd. Hierdoor bestaat het risico dat gebruikers onbedoeld bestanden online delen. 
  • Door technische beperkingen kunnen gebruikers het delen van bestanden niet altijd stopzetten of eenvoudig bekijken met wie bestanden zijn gedeeld. 
  • Beheerders kunnen direct toegang krijgen tot projecten en bestanden van gebruikers zonder dat de gebruiker daarover wordt geïnformeerd. Dit staat niet goed omschreven in de beschikbare documentatie. 
  • Adobe verzamelt een aanzienlijke hoeveelheid technische en gebruiksgerelateerde meetgegevens (telemetrie), terwijl het onduidelijk is of deze gegevens noodzakelijk zijn. Daarnaast worden deze gegevens langer dan noodzakelijk bewaard (namelijk vier jaar), ook nadat gebruikersaccounts al zijn verwijderd. 
  • Firefly (AI-functionaliteit) voegt automatisch Content Credentials toe aan AI‑beelden en bewaart deze onbeperkt in Adobe’s cloud. Het is voor gebruikers niet duidelijk dat deze gegevens worden toegevoegd, waarom dit gebeurt of hoelang ze worden opgeslagen. 
  • Bij inzageverzoeken bij Adobe blijken AI‑prompts of gegevens die met derden zijn gedeeld soms te ontbreken. Beheerders op de scholen beschikken daarnaast niet over goede tools om gebruikersgegevens volledig op te vragen of te verwijderen. 

Wat schoolbesturen zelf moeten doen

Voor schoolbesturen is het belangrijk om de volgende maatregelen te nemen om, op dit moment, veilig gebruik te kunnen maken van deze producten. 

  • Laat de contractuele stukken juridisch toetsen en maak duidelijke afspraken over privacyrollen, doelbinding en gebruiksbeperking. 
  • Zorg voor intern beleid over toegang tot bestanden, zodat gebruikers weten wie er op welk moment toegang heeft tot bestanden. 
  • Schakel optionele telemetrieverwerking uit zodra deze functionaliteit beschikbaar komt. 
  • Stel een helder proces op voor het afhandelen van privacyrechten, zoals inzage‑ of verwijderverzoeken van leerlingen en ouders. 

Maatregelen Adobe

Adobe activeert bij K‑12‑licenties voor het primair en voortgezet onderwijs standaard extra privacywaarborgen en heeft gedurende de uitvoering van de DPIA meerdere verbeteringen doorgevoerd. Sommige noodzakelijke maatregelen worden pas in de loop van 2026 afgerond. 

SURF beoordeelt eind 2026 of alle toegezegde verbeteringen daadwerkelijk zijn geïmplementeerd. Tot die tijd blijft het gebruik van Adobe Creative Cloud en Document Cloud for Education gepaard gaan met privacyrisico’s, die scholen actief moeten beheersen zoals beschreven onder het kopje ‘Wat schoolbesturen zelf moeten doen.’ 

Cyberalert NCSC

Het Nationaal Cyber Security Centrum (NCSC) heeft op 13 april gewaarschuwd voor een ernstige kwetsbaarheid in Adobe Acrobat DC, Acrobat Reader DC en Acrobat 2024. Deze waarschuwing staat los van de DPIA en betreft een recente technische kwetsbaarheid waarvoor inmiddels beveiligingsupdates beschikbaar zijn. SIVON adviseert om deze updates zo snel mogelijk te installeren (via de beheerder binnen het schoolbestuur of handmatig via Menu Help Check for updates). 

DPIA-rapport

Download het DPIA-rapport van SURF.