terug

DPIA op HR2day: veilig te gebruiken met aanvullende maatregelen

17 juni 2026

SURF heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op HR2day, het HRM- en salarissysteem van HR2day B.V. SIVON heeft voor schoolbesturen in het funderend onderwijs deze DPIA vertaald en een lokale DPIA uitgewerkt. Er zijn 16 hoge risico’s vastgesteld en 2 risico’s waarvan het niveau nog wordt bepaald. HR2day voert de maatregelen grotendeels vóór eind 2026 door. Gebruik je, als schoolbestuur, HR2day, dan kun je dat veilig blijven doen, mits je de maatregelen zoals hieronder beschreven opvolgt.

Over HR2day
HR2day is een cloudgebaseerd (SaaS) HRM- en salarissysteem dat de volledige medewerkerscyclus ondersteunt, van onboarding tot offboarding. Het bevat modules als personeels- en salarisadministratie, verlof, verzuim, declaraties, documentbeheer en selfservice. HR2day draait op het Salesforce-platform en gebruikt de techniek en diensten van Salesforce. Er is ook een mobiele app, HR2day+.

Welke risico’s spelen er?

De 5 grootste risico’s zijn:

  • Onvoldoende afspraken over de verwerking en doorgifte van gegevens. De verwerkersovereenkomsten, tussen schoolbesturen en HR2day én tussen HR2day en haar subverwerkers zijn onvolledig. Daardoor is onduidelijk wie welke gegevens verwerkt, voor welke doelen en naar welke landen, met het risico op ongeoorloofde toegang en verlies van grip.
  • Inzageverzoeken zijn niet goed uitvoerbaar. Een sluitend proces ontbreekt en door onvolledige afspraken met subverwerkers kan niet altijd alle informatie worden opgehaald. Medewerkers krijgen zo geen volledig beeld van hun gegevens.
  • Geen zicht op wie gevoelige gegevens inziet. Zonder leestoegangslogging is niet vast te stellen wie gevoelige en bijzondere gegevens heeft ingezien. Dit is een risico voor de vertrouwelijkheid.
  • Risico op het onnodig vastleggen en inzien van gegevens. Te ruime keuzelijsten bij verzuim, open tekstvelden en een standaardinstelling waarbij toegangsrechten automatisch worden doorgegeven aan bovenliggende gebruikersrollen (‘verticaal’ overerven), kunnen ertoe leiden dat meer (gevoelige) gegevens worden vastgelegd of ingezien dan nodig. Dit is in strijd met dataminimalisatie.
  • Gegevens worden langer bewaard dan nodig. Bewaartermijnen kunnen nog niet automatisch worden afgedwongen, waardoor gegevens langer bewaard kunnen blijven dan toegestaan.

Een deel van deze risico’s hangt samen met het Salesforce-platform waarop HR2day is gebaseerd. Daarnaast zijn er 2 algemene risico’s die voortkomen uit het gebruik van de appstores van Google en Apple. Deze risico’s zijn niet specifiek voor deze app, maar gelden voor alle apps die via deze platforms worden aangenomen. SURF onderzoekt deze risico’s momenteel verder.

Wat schoolbesturen zelf moeten doen

Als schoolbestuur ben je voor deze verwerking verwerkingsverantwoordelijke. De centrale DPIA ondersteunt je, maar je vertaalt deze naar je eigen situatie. Leg die afweging vast in de lokale DPIA. SIVON heeft daarvoor een opzet die je als basis kunt gebruiken. Neem in elk geval de volgende maatregelen.

  • Ga zorgvuldig om met verzuim- en gezondheidsgegevens. Gebruik voor de reden van verzuim alleen minimale keuzelijsten en een vaste set velden. Gebruik open tekstvelden alleen waar dat een duidelijk doel dient. Instrueer medewerkers welke gegevens zij wel en niet mogen vastleggen.
  • Beperk wie welke gegevens kan inzien. Schakel ‘verticale rechtenovererving’ uit, tenzij echt nodig, en geef rollen alleen toegang tot wat zij voor hun werk nodig hebben. Wees transparant naar medewerkers over wie hun gegevens kan inzien.
  • Zet leestoegangslogging aan op gevoelige gegevens. Activeer logging op gevoelige en bijzondere gegevens en op de proxy-login waarmee beheerders meekijken. Informeer medewerkers tijdig wanneer er in hun account is meegekeken.
  • Werk de verwerkersovereenkomst bij. Leg in de verwerkersovereenkomst vast welke categorieën gegevens worden verwerkt, voor welke doelen, welke doorgiften plaatsvinden en welke doelen niet zijn toegestaan. Neem daarnaast een auditrecht op. Selecteer de opt-out voor het delen van trainingsdata als je Einstein Search (AI) gebruikt.
  • Beheer de bewaartermijnen. Bepaal welke bewaartermijnen gelden en richt processen in om die af te dwingen.
  • Stop met het gebruik van SignRequest. Stop met SignRequest voor de digitale handtekening, vanwege risico’s rond doorgiften naar derde landen en de verwerking van gebruikstevredenheidsdata.
  • Zorg voor nauwkeurige registratie. Automatiseer de invoer waar mogelijk, bijvoorbeeld via een koppeling met je wervingssysteem, en instrueer medewerkers, zodat registratiefouten worden voorkomen.
  • Beoordeel of aanvullende beveiliging nodig is. Beoordeel of voor bijzondere of gevoelige gegevens aanvullende beveiliging nodig is, zoals extra encryptie-opties, en implementeer die waar nodig.

Wat HR2day gaat doen

HR2day heeft toegezegd de noodzakelijke maatregelen door te voeren.

  • Verwerkersovereenkomsten en transparantie op orde brengen. HR2day werkt de verwerkersovereenkomsten bij met de schoolbesturen, Salesforce en de overige subverwerkers. Zij legt daarin de categorieën gegevens, doelen, doorgiften en een auditrecht vast. Ook werkt HR2day de privacyverklaring bij en beoordeelt de rol van Google en Apple. De subverwerkersovereenkomsten wil HR2day vóór 1 augustus 2026 rond hebben; de overige afspraken volgen uiterlijk 31 december 2026.
  • Het inzageproces en de cookieverklaring verbeteren. HR2day verbetert vóór 1 augustus 2026 het eigen beleid voor inzageverzoeken (DSAR) en stelt een volledige cookieverklaring beschikbaar. Volledige inzage in gegevens bij subverwerkers zoals Salesforce hangt af van afspraken die HR2day daarover nog moet maken.
  • Logging, bewaartermijnen en beveiliging beschikbaar stellen. HR2day stelt uiterlijk 31 december 2026 leestoegangslogging beschikbaar, verbetert het instellen van bewaartermijnen en biedt aanvullende beveiligingswaarborgen, zoals extra encryptie-opties. Hiervoor start HR2day werkgroepen.
  • Schoolbesturen ondersteunen bij dataminimalisatie. HR2day geeft instructies en waarschuwingen voor keuzelijsten en open tekstvelden, breidt de veldvalidatie uit (bijvoorbeeld voor BSN en IBAN) en informeert schoolbesturen over de privacygevolgen van de verticale rechtenovererving, met de keuze die in of uit te schakelen. Deze maatregelen volgen uiterlijk 31 december 2026.
  • Afspraken rond het gebruik van SignRequest. HR2day neemt de verwerking via SignRequest op in de verwerkersovereenkomst, maakt deze uitschakelbaar, identificeert de doorgiften en zorgt dat schoolbesturen die stoppen een kopie van de gegevens kunnen krijgen. Daarnaast stapt HR2day over op ValidSign, een Europees alternatief.

SURF beoordeelt begin 2027 of alle toegezegde verbeteringen zijn geïmplementeerd. Tot die tijd blijven er privacyrisico’s die scholen actief moeten beheersen, zoals beschreven onder ‘Wat schoolbesturen zelf moeten doen’.

Webinar

Wil je meer weten over de uitkomsten en wat ze voor jouw schoolbestuur betekenen? Op donderdag 25 juni van 15.30 tot 16.30 uur organiseert SIVON een webinar over de DPIA op HR2day. Meld je aan voor het webinar.

Download het DPIA-rapport