SURF voldoet met SURFdrive aan de Nederlandse en Europese privacywetgeving. De data zijn veilig opgeslagen in Nederland en worden nooit aan derden verstrekt. De locatie van de data is altijd bekend. Daarnaast verstrekt SURF geen gebruikersgegevens aan derden.

Uit veiligheidsoverwegingen word je regelmatig verzocht opnieuw in te loggen. Voor de desktop-clients en apps is dit elke 30 dagen. Wanneer je met je browser inlogt op de website van SURFdrive moet je na het afsluiten van je browser altijd opnieuw inloggen.

SURFdrive biedt geen ingebouwde versleuteling. Je kunt een bestand natuurlijk wel zelf met een programma van derden versleutelen. Gebruik hiervoor bijvoorbeeld Boxcryptor Classic.

Alle bestanden en mappen die je verwijdert, worden 30 dagen bewaard, zodat je ze kunt herstellen. Als je account wordt verwijderd (bijvoorbeeld als je de instelling verlaat), bepaalt de instelling hoe lang de data nog beschikbaar zijn.

Dit is afhankelijk van de afspraken die je hebt met jouw instelling. In de Acceptable Use Policy (AUP) of in een vergelijkbaar document worden afspraken tussen jou als gebruiker en jouw instelling vastgelegd. SURFdrive legt hierin geen beperkingen op.

SURFdrive-gebruikers wisselen onderling veilig bestanden uit. Als je een bestand of map wilt delen met een gebruiker die geen toegang tot SURFdrive heeft, kun je de optie "Link delen" gebruiken. SURFdrive maakt voor het delen een 'openbare link' aan, waardoor iedereen die de link weet, bij jouw gedeelde bestand of map kan. In principe betekent dit ook dat als iemand per ongeluk de link raadt, hij of zij bij jouw gedeelde bestand of map kan, ook al heb je hem of haar niet verteld dat je iets gedeeld hebt. Je kunt de link met een eigen wachtwoord beveiligen, zodat je zeker weet dat alleen bepaalde mensen bij jouw bestand of map kunnen.

Naast beveiliging met een wachtwoord kun je ook een vervaldatum instellen. Hierdoor is jouw gedeelde bestand of map na een bepaalde datum niet meer beschikbaar.