Uit de door SIVON uitgevoerde DPIA op Visma.net HRM & Payrollis is gebleken dat het systeem veilig te gebruiken is voor schoolbesturen. Leverancier Peple heeft privacy en informatiebeveiliging hoog in het vaandel staan. Er zijn geen grote risico’s aangetroffen. Wel zijn enkele kleine risico’s geïdentificeerd waarvoor schoolbesturen zelf maatregelen moeten nemen. Download het rapport van DPIA Peple (Visma.net HRM & Payroll) hier.
Meer informatie over de DPIA? Meld je hier aan voor de webinar op 20 februari van 15.30 – 16.30 uur.
Tijdens de DPIA heeft Peple op een constructieve en plezierige manier meegewerkt aan het uitvoeren van de DPIA. Er is door hen inzicht gegeven in de gegevensverwerkingen en de daarmee verbonden risico’s. Het systeem dat door schoolbesturen wordt ingezet voor personeelsadministratie, verzuimregistratie en salarisverwerking is veilig te gebruiken. Er wordt bij de ontwikkeling van het systeem veel aandacht geschonken aan privacy, informatiebeveiliging en gegevensverwerking. Er zijn dan ook geen grote risico’s aangetroffen. Schoolbesturen moeten wel aan de slag met de veiligheid rondom de verwerking van gegevens die voortkomen uit het gebruik van Visma.net HRM & Payroll.
Verwerkersoveenkomst
Peple hanteert een eigen verwerkersovereenkomst omdat het niet is aangesloten bij het Privacyconvenant. Deze overeenkomst is tijdens het DPIA-traject beoordeeld en aangescherpt aan de eisen van de AVG. De vernieuwde verwerkersovereenkomst is beschikbaar gesteld aan onderwijsinstellingen en moet door hen worden goedgekeurd. Een goede verwerkersovereenkomst bevordert transparantie en maakt het voor scholen eenvoudiger om duidelijke afspraken te maken met de verwerker.
Vervolg: lokale DPIA
Hoewel er geen grote risico’s zijn aangetroffen, moeten schoolbesturen enkele acties uitvoeren om het systeem veilig te gebruiken. Naast het goedkeuren van de nieuwe verwerkersovereenkomst , zijn de volgende risico’s naar voren gekomen:
- Het risico dat er mogelijk gevoelige persoonsgegevens buiten de applicatie terecht komen door export en/of download functie.
- Het risico van het verwerken van onnodig veel gegevens.
- Bij gebruik van een administratiekantoor moeten duidelijke afspraken worden gemaakt over de verwerking van gegevens door subverwerkers.
- Het risico van te veel gegevensuitwisseling met derde partijen.
- Het risico op misbruik bij een account met veel rechten als tweefactorauthenticatie (2FA) wordt uitgeschakeld.
- Het risico dat gegevens te lang worden bewaard.
- Het risico dat de school de autorisaties niet goed beheerd.
Aanbevelingen
Schoolbesturen worden geadviseerd deze risico’s mee te nemen in een lokale DPIA en hier maatregelen voor te treffen. Als schoolbesturen aandacht besteden aan bovenstaande punten en maatregelen nemen, kan er veilig gebruik worden gemaakt van Visma.net HRM & Payroll.
Over het programma Digitaal Veilig Onderwijs
Het uitvoeren van DPIA’s valt onder het programma Digitaal Veilig Onderwijs. Met het programma Digitaal Veilig Onderwijs bundelen het ministerie van OCW, Kennisnet, SIVON, de PO-Raad en VO-raad hun krachten voor een onderwijssector waarin iedere leerling digitaal veilig kan leren en medewerkers digitaal veilig kunnen werken. Het Normenkader Informatiebeveiliging en Privacy voor Funderend onderwijs (IBP FO) beschrijft de normen voor een digitaal veilige schoolorganisatie en biedt concrete voorbeeldmaatregelen.