Voor wat betreft het gebruik van AFAS HRM en Payroll is tijdens het centrale DPIA-traject gebleken dat er op het gebied van de informatiebeveiliging een solide basis ligt. Er wordt voldaan aan de in redelijkheid te stellen technische en organisatorische maatregelen voor een veilige verwerking. Er zijn echter een aantal privacyrisico’s aan de oppervlakte gekomen die door het nemen van de juiste maatregelen kunnen worden gemitigeerd.
Update – per 1 april is een aantal veranderingen doorgevoerd
- De algemene voorwaarden zijn aangepast om deze in overeenstemming te maken met de huidige situatie. Daar waar geanonimiseerde gegevens stond en ‘anonieme gegevens’ werden bedoeld is dit aangapast. Op deze manier zijn de algemene voorwaarden weer kloppend gemaakt.
- AFAS gaat kijken naar de mogelijkheid om een bijzin toe te voegen dat ze voldoen aan artikel 32 t/m 36 van de AVG, alsmede dat ze voldoen aan artikel 38 van de AVG wanneer scholen met hen een overeenkomst afsluiten.
Waar scholen nog rekening mee moeten houden bij gebruik AFAS
- Er zijn binnen AFAS geen vaste bewaartermijnen of controle op bewaartermijnen. Scholen moeten deze zelf inrichten om te voldoen aan de wettelijke bewaar- en opschoonplicht. AFAS levert wel de mogelijkheid om bewaartermijnen en controle op bewaartermijnen in te richten.
- AFAS maakt gebruik van Algemene Voorwaarden (AV), en geen gespecificeerde Verwerkingsovereenkomst. Dit betekent dat de scholen zelf moeten blijven checken of er veranderingen plaatsvinden in de algemene voorwaarden. Hierover krijgen ze wel bericht van AFAS.
- De branchemodellen waarnaar gelinkt wordt op pagina 25 van de algemene voorwaarden kunnen niet gebruikt worden door scholen om rechten aan te ontlenen. Wel kunnen deze modellen gebruikt worden door de scholen om hun eigen persoonsgegevens verwerkingen binnen AFAS te categoriseren.
- AFAS heeft geen beschermingsregels geïmplementeerd voor het exporteren van data naar landen buiten de EER. In hun algemene voorwaarden wordt wel aangegeven dat ze gegevens niet zullen exporteren naar landen buiten de EER. Scholen hoeven met het gebrek aan regelgeving hier dan ook geen rekening mee te houden.
Lokale DPIA
Het gebruik van het softwarepakket van AFAS als personeels- en salarisadministratiesysteem vormt voor veel organisaties een belangrijke hoeksteen voor de bedrijfsvoering. Dit geldt ook voor schoolbesturen hetgeen benadrukt dat, zowel ten behoeve van de bedrijfscontinuïteit als de waarborging van de informatiebeveiliging en privacy, hoge eisen gesteld moeten worden aan een applicatie die zorgdraagt voor personeelszaken zoals HRM en Payroll. Ook op lokaal niveau van de onderwijsinstelling moet de basis op orde zijn. Hiervoor is in onderdeel C van de lokale DPIA in dit document een overzicht opgenomen met organisatiespecifieke- en algemene applicatierisico’s.
Samenvatting risico’s en maatregelen
Hieronder volgt een samenvatting van de vijf geconstateerde hoge risico’s en de bijbehorende maatregelen die AFAS en/of schoolbesturen dienen te nemen:
- Risico: Onduidelijkheid en ontbrekende onderdelen in verwerkingsbepalingen (artikel 28 AVG) binnen de Algemene Voorwaarden en Service Overeenkomst van februari 2022 (hierna: AV) van AFAS. Dit heeft tot gevolg dat er niet wordt voldaan aan AVG nalevingsvereisten en er op verschillende vlakken onduidelijkheid is over de verwerkingsvoorwaarden. AFAS is (nog) niet bereid om de AV gebaseerd op de Model verwerkersovereenkomst 4.0 van het Privacyconvenant Onderwijs als standaard te gebruiken.
Maatregel: Aanpassing van de AV. AFAS dient de ontbrekende en ontoereikende bepalingen en bijlagen alsnog toe te voegen. Het door AFAS in gebruik nemen van de Algemene verwerkersovereenkomst 4.0 waaronder het compleet vullen van de verplichte bijlagen, is ook een mogelijkheid om de risico’s voor een groot deel weg te nemen. - Risico: AFAS-mailvoorziening versleutelt het berichtenverkeer niet. Het versturen van gevoelige gegevens zoals loonstroken en re-integratierapporten brengt daarom een hoog risico met zich mee. De vertrouwelijke aard van deze gegevens benadrukt het belang van een verhoogd beveiligingsniveau bij het mailen ervan. Notificaties van algemene aard kunnen wel via het intern mailsysteem verzonden blijven worden.
Maatregel: Omdat end-to-end encryptie niet door AFAS wordt ingevoerd, dient het schoolbestuur deze maatregel zelf vanuit organisatorisch vlak op te pakken. Dit betekent dat ze moeten zorgen dat het versturen van gevoelige mails niet langer via AFAS-mail gaat. Het afdwingen hiervan kan door middel van duidelijke communicatie naar de gebruikers en strikte richtlijnen en procedures die het verzenden van gevoelige gegevens via de AFAS-mail moeten voorkomen. - Risico: Onduidelijkheid over gebruik van gegevens door AFAS ten behoeve van productverbetering. In de AV van AFAS staat dat geanonimiseerde gegevens over het gebruik van producten en diensten worden verwerkt. Tijdens de DPIA-sessies is kenbaar gemaakt dat enkel anonieme gegevens worden verwerkt.
Maatregel: AFAS zal helderheid verschaffen over welke gegevens zij op welke manier ten behoeve van welk doel verzameld en verwerkt. Vervolgens zal deze verwerking opnieuw door SIVON beoordeeld worden. - Risico: Er ontbreekt een meldingsmechanisme dat aangeeft wanneer gegevensverwerkingen hun bewaartermijn hebben bereikt en gereed zijn om te worden verwijderd.
Maatregel: AFAS kan een technische aanpassing implementeren die automatisch notificaties genereert wanneer de naderende bewaartermijnen worden bereikt. Tot die tijd moet het schoolbestuur een procedure opstellen die bewaartermijnen bewaakt en overschrijdingen ervan voorkomt. - Risico: AFAS geeft in de AV aan een tweetal verwerkersovereenkomst branchemodellen te ‘ondersteunen’ zonder deze daadwerkelijk overeen te komen met de gebruiker. Dit heeft tot gevolg dat hier misverstanden over kunnen ontstaan. Onterecht kan de veronderstelling leven dat AFAS branchemodellen ondertekent.
Maatregel: AFAS zal de betreffende bepaling verwijderen uit de AV of anderzijds helderheid geven over de precieze betekenis van de ondersteuning van de branchemodellen en ondubbelzinnig naar voren laten komen of deze overeengekomen kunnen worden met de afnemende partijen.
Conclusie
Na het uitvoeren van het DPIA-onderzoek kun je concluderen dat, met inachtneming van de hoofdzakelijk door AFAS te treffen risico-verminderende maatregelen die worden opgenomen in het verbeterplan, het verwerken van persoonsgegevens van betrokkenen (hoofdzakelijk medewerkers van schoolbesturen) geen onaanvaardbare risico’s voor de rechten en vrijheden meebrengen. De overblijvende risico’s zijn aanvaardbaar voor het schoolbestuur. Deze conclusie veronderstelt de aanwezigheid van de in de lokale DPIA opgenomen set aan beheersmaatregelen die een solide verwerkingsbasis voor het schoolbestuur behelzen.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.
