Voor wat betreft het gebruik van AFAS HRM en Payroll is tijdens het centrale DPIA-traject gebleken dat er op het gebied van de informatiebeveiliging een solide basis ligt. Er wordt voldaan aan de in redelijkheid te stellen technische en organisatorische maatregelen voor een veilige verwerking. Er zijn echter aantal privacyrisico’s aan de oppervlakte gekomen die door het nemen van de juiste maatregelen kunnen worden gemitigeerd.
Met AFAS is overeengekomen dat de door hun te treffen maatregelen op uiterlijk 1 april 2024 zullen zijn doorgevoerd waardoor er geen hoge risico’s meer zullen zijn. Hier zal vervolgens een evaluatie op volgen waarvan de resultaten kort na de deadline zullen worden gepubliceerd op de website van SIVON.
Het gebruik van het softwarepakket van AFAS als personeels- en salarisadministratiesysteem vormt voor veel organisaties een belangrijke hoeksteen voor de bedrijfsvoering. Dit geldt ook voor schoolbesturen hetgeen benadrukt dat, zowel ten behoeve van de bedrijfscontinuïteit als de waarborging van de informatiebeveiliging en privacy, hoge eisen gesteld moeten worden aan een applicatie die zorgdraagt voor personeelszaken zoals HRM en Payroll. Ook op lokaal niveau van de onderwijsinstelling moet de basis op orde zijn. Hiervoor is in onderdeel C van de lokale DPIA in dit document een overzicht opgenomen met organisatiespecifieke- en algemene applicatierisico’s.
Samenvatting risico’s en maatregelen
Hieronder volgt een samenvatting van de vijf geconstateerde hoge risico’s en de bijbehorende maatregelen die AFAS en/of schoolbesturen dienen te nemen:
- Risico: Onduidelijkheid en ontbrekende onderdelen in verwerkingsbepalingen (artikel 28 AVG) binnen de Algemene Voorwaarden en Service Overeenkomst van februari 2022 (hierna: AV) van AFAS. Dit heeft tot gevolg dat er niet wordt voldaan aan AVG nalevingsvereisten en er op verschillende vlakken onduidelijkheid is over de verwerkingsvoorwaarden. AFAS is (nog) niet bereid om de AV gebaseerd op de Model verwerkersovereenkomst 4.0 van het Privacyconvenant Onderwijs als standaard te gebruiken.
Maatregel: Aanpassing van de AV. AFAS dient de ontbrekende en ontoereikende bepalingen en bijlagen alsnog toe te voegen. Het door AFAS in gebruik nemen van de Algemene verwerkersovereenkomst 4.0 waaronder het compleet vullen van de verplichte bijlagen, is ook een mogelijkheid om de risico’s voor een groot deel weg te nemen. - Risico: AFAS-mailvoorziening versleutelt het berichtenverkeer niet. Het versturen van gevoelige gegevens zoals loonstroken en re-integratierapporten brengt daarom een hoog risico met zich mee. De vertrouwelijke aard van deze gegevens benadrukt het belang van een verhoogd beveiligingsniveau bij het mailen ervan. Notificaties van algemene aard kunnen wel via het intern mailsysteem verzonden blijven worden.
Maatregel: Omdat end-to-end encryptie niet door AFAS wordt ingevoerd, dient het schoolbestuur deze maatregel zelf vanuit organisatorisch vlak op te pakken. Dit betekent dat ze moeten zorgen dat het versturen van gevoelige mails niet langer via AFAS-mail gaat. Het afdwingen hiervan kan door middel van duidelijke communicatie naar de gebruikers en strikte richtlijnen en procedures die het verzenden van gevoelige gegevens via de AFAS-mail moeten voorkomen. - Risico: Onduidelijkheid over gebruik van gegevens door AFAS ten behoeve van productverbetering. In de AV van AFAS staat dat geanonimiseerde gegevens over het gebruik van producten en diensten worden verwerkt. Tijdens de DPIA-sessies is kenbaar gemaakt dat enkel anonieme gegevens worden verwerkt.
Maatregel: AFAS zal helderheid verschaffen over welke gegevens zij op welke manier ten behoeve van welk doel verzameld en verwerkt. Vervolgens zal deze verwerking opnieuw door SIVON beoordeeld worden. - Risico: Er ontbreekt een meldingsmechanisme dat aangeeft wanneer gegevensverwerkingen hun bewaartermijn hebben bereikt en gereed zijn om te worden verwijderd.
Maatregel: AFAS kan een technische aanpassing implementeren die automatisch notificaties genereert wanneer de naderende bewaartermijnen worden bereikt. Tot die tijd moet het schoolbestuur een procedure opstellen die bewaartermijnen bewaakt en overschrijdingen ervan voorkomt. - Risico: AFAS geeft in de AV aan een tweetal verwerkersovereenkomst branchemodellen te ‘ondersteunen’ zonder deze daadwerkelijk overeen te komen met de gebruiker. Dit heeft tot gevolg dat hier misverstanden over kunnen ontstaan. Onterecht kan de veronderstelling leven dat AFAS branchemodellen ondertekent.
Maatregel: AFAS zal de betreffende bepaling verwijderen uit de AV of anderzijds helderheid geven over de precieze betekenis van de ondersteuning van de branchemodellen en ondubbelzinnig naar voren laten komen of deze overeengekomen kunnen worden met de afnemende partijen.
Conclusie
Na het uitvoeren van het DPIA-onderzoek kun je concluderen dat, met inachtneming van de hoofdzakelijk door AFAS te treffen risico-verminderende maatregelen die worden opgenomen in het verbeterplan, het verwerken van persoonsgegevens van betrokkenen (hoofdzakelijk medewerkers van schoolbesturen) geen onaanvaardbare risico’s voor de rechten en vrijheden meebrengen. De overblijvende risico’s zijn aanvaardbaar voor het schoolbestuur. Deze conclusie veronderstelt de aanwezigheid van de in de lokale DPIA opgenomen set aan beheersmaatregelen die een solide verwerkingsbasis voor het schoolbestuur behelzen.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.
