DPIA op AFAS

Voor wat betreft het gebruik van AFAS HRM en Payroll is tijdens het centrale DPIA-traject gebleken dat er op het gebied van de informatiebeveiliging een solide basis ligt. Er wordt voldaan aan de in redelijkheid te stellen technische en organisatorische maatregelen voor een veilige verwerking. Er zijn echter aantal privacyrisico’s aan de oppervlakte gekomen die door het nemen van de juiste maatregelen kunnen worden gemitigeerd.

DPIA uitgevoerd in 2023
Actie voor schoolbestuurJa
Hoge privacyrisico’sNihil (nadat maatregelen zijn genomen)
Maatregelen AFASVoor 1 april 2024 zijn door AFAS de maatregelen doorgevoerd.

Update – per 1 april is een aantal veranderingen doorgevoerd 

  • De algemene voorwaarden zijn aangepast om deze in overeenstemming te maken met de huidige situatie. Daar waar geanonimiseerde gegevens stond en ‘anonieme gegevens’ werden bedoeld is dit aangapast. Op deze manier zijn de algemene voorwaarden weer kloppend gemaakt.  
  • AFAS gaat kijken naar de mogelijkheid om een bijzin toe te voegen dat ze voldoen aan artikel 32 t/m 36 van de AVG, alsmede dat ze voldoen aan artikel 38 van de AVG wanneer scholen met hen een overeenkomst afsluiten.  

Waar scholen nog rekening mee moeten houden bij gebruik AFAS

  • Er zijn binnen AFAS  geen vaste bewaartermijnen of controle op bewaartermijnen. Scholen moeten deze zelf inrichten om te voldoen aan de wettelijke bewaar- en opschoonplicht. AFAS levert wel de mogelijkheid om bewaartermijnen en controle op bewaartermijnen in te richten.  
  • AFAS maakt gebruik van Algemene Voorwaarden (AV), en geen gespecificeerde Verwerkingsovereenkomst. Dit betekent dat de scholen zelf moeten blijven checken of er veranderingen plaatsvinden in de algemene voorwaarden. Hierover krijgen ze wel bericht van AFAS. 
  • De branchemodellen waarnaar gelinkt wordt op pagina 25 van de algemene voorwaarden kunnen niet gebruikt worden door scholen om rechten aan te ontlenen. Wel kunnen deze modellen gebruikt worden door de scholen om hun eigen persoonsgegevens verwerkingen binnen AFAS te categoriseren.  
  • AFAS heeft geen beschermingsregels geïmplementeerd voor het exporteren van data naar landen buiten de EER. In hun algemene voorwaarden wordt wel aangegeven dat ze gegevens niet zullen exporteren naar landen buiten de EER. Scholen hoeven met het gebrek aan regelgeving hier dan ook geen rekening mee te houden. 

Lokale DPIA

Het gebruik van het softwarepakket van AFAS als personeels- en salarisadministratiesysteem vormt voor veel organisaties een belangrijke hoeksteen voor de bedrijfsvoering. Dit geldt ook voor schoolbesturen hetgeen benadrukt dat, zowel ten behoeve van de bedrijfscontinuïteit als de waarborging van de informatiebeveiliging en privacy, hoge eisen gesteld moeten worden aan een applicatie die zorgdraagt voor personeelszaken zoals HRM en Payroll. Ook op lokaal niveau van de onderwijsinstelling moet de basis op orde zijn. Hiervoor is in onderdeel C van de lokale DPIA in dit document een overzicht opgenomen met organisatiespecifieke- en algemene applicatierisico’s. 

Samenvatting risico’s en maatregelen

Hieronder volgt een samenvatting van de vijf geconstateerde hoge risico’s en de bijbehorende maatregelen die AFAS en/of schoolbesturen dienen te nemen:

  1. Risico: Onduidelijkheid en ontbrekende onderdelen in verwerkingsbepalingen (artikel 28 AVG) binnen de Algemene Voorwaarden en Service Overeenkomst van februari 2022 (hierna: AV) van AFAS. Dit heeft tot gevolg dat er niet wordt voldaan aan AVG nalevingsvereisten en er op verschillende vlakken onduidelijkheid is over de verwerkingsvoorwaarden. AFAS is (nog) niet bereid om de AV gebaseerd op de Model verwerkersovereenkomst 4.0 van het Privacyconvenant Onderwijs als standaard te gebruiken. 
    Maatregel: Aanpassing van de AV. AFAS dient de ontbrekende en ontoereikende bepalingen en bijlagen alsnog toe te voegen. Het door AFAS in gebruik nemen van de Algemene verwerkersovereenkomst 4.0 waaronder het compleet vullen van de verplichte bijlagen, is ook een mogelijkheid om de risico’s voor een groot deel weg te nemen.
  2. Risico: AFAS-mailvoorziening versleutelt het berichtenverkeer niet. Het versturen van gevoelige gegevens zoals loonstroken en re-integratierapporten brengt daarom een hoog risico met zich mee. De vertrouwelijke aard van deze gegevens benadrukt het belang van een verhoogd beveiligingsniveau bij het mailen ervan. Notificaties van algemene aard kunnen wel via het intern mailsysteem verzonden blijven worden.
    Maatregel: Omdat end-to-end encryptie niet door AFAS wordt ingevoerd, dient het schoolbestuur deze maatregel zelf vanuit organisatorisch vlak op te pakken. Dit betekent dat ze moeten zorgen dat het versturen van gevoelige mails niet langer via AFAS-mail gaat. Het afdwingen hiervan kan door middel van duidelijke communicatie naar de gebruikers en strikte richtlijnen en procedures die het verzenden van gevoelige gegevens via de AFAS-mail moeten voorkomen.
  3. Risico: Onduidelijkheid over gebruik van gegevens door AFAS ten behoeve van productverbetering. In de AV van AFAS staat dat geanonimiseerde gegevens over het gebruik van producten en diensten worden verwerkt. Tijdens de DPIA-sessies is kenbaar gemaakt dat enkel anonieme gegevens worden verwerkt.
    Maatregel: AFAS zal helderheid verschaffen over welke gegevens zij op welke manier ten behoeve van welk doel verzameld en verwerkt. Vervolgens zal deze verwerking opnieuw door SIVON beoordeeld worden.
  4. Risico: Er ontbreekt een meldingsmechanisme dat aangeeft wanneer gegevensverwerkingen hun bewaartermijn hebben bereikt en gereed zijn om te worden verwijderd.
    Maatregel: AFAS kan een technische aanpassing implementeren die automatisch notificaties genereert wanneer de naderende bewaartermijnen worden bereikt. Tot die tijd moet het schoolbestuur een procedure opstellen die bewaartermijnen bewaakt en overschrijdingen ervan voorkomt.
  5. Risico: AFAS geeft in de AV aan een tweetal verwerkersovereenkomst branchemodellen te ‘ondersteunen’ zonder deze daadwerkelijk overeen te komen met de gebruiker. Dit heeft tot gevolg dat hier misverstanden over kunnen ontstaan. Onterecht kan de veronderstelling leven dat AFAS branchemodellen ondertekent.
    Maatregel: AFAS zal de betreffende bepaling verwijderen uit de AV of anderzijds helderheid geven over de precieze betekenis van de ondersteuning van de branchemodellen en ondubbelzinnig naar voren laten komen of deze overeengekomen kunnen worden met de afnemende partijen.

Conclusie

Na het uitvoeren van het DPIA-onderzoek kun je concluderen dat, met inachtneming van de hoofdzakelijk door AFAS te treffen risico-verminderende maatregelen die worden opgenomen in het verbeterplan, het verwerken van persoonsgegevens van betrokkenen (hoofdzakelijk medewerkers van schoolbesturen) geen onaanvaardbare risico’s voor de rechten en vrijheden meebrengen. De overblijvende risico’s zijn aanvaardbaar voor het schoolbestuur. Deze conclusie veronderstelt de aanwezigheid van de in de lokale DPIA opgenomen set aan beheersmaatregelen die een solide verwerkingsbasis voor het schoolbestuur behelzen.

Veelgestelde vragen en antwoorden

In principe wel. Het systeem is generiek en wordt ook buiten de onderwijssector op veelal dezelfde manier gebruikt (voor bedrijfsvoeringstoepassingen). Het gebruik kan specifiek zijn. Maak daarom altijd een specifieke school DPIA op basis van onze generieke DPIA. Hiermee kun je de lokale situatie verantwoorden.

Dat hangt af van de mailserver. Bijzondere gegevens mag je nooit mailen via een onbeveiligde mailvoorziening. Programma’s zoals Zivver bieden de mogelijkheid om veilig te mailen. Zie voor meer informatie de website van edustandaard.

Ja, in AFAS kun je aangeven dat je alleen notificaties wil verzenden. De gebruiker moet vervolgens inloggen om de informatie te kunnen zien.

AFAS is (op dit moment) niet voornemens de mailvoorziening aan te passen.

Met software zoals Zivver is dat zeker mogelijk. De ontvangende partij krijgt een link naar de beveiligde Zivver-omgeving. Vervolgens kan hij/zij met een separaat verstuurde code toegang krijgen tot het bericht.

De laatste loonstrook of jaaropgave kun je als school bijvoorbeeld via de post verzenden. Of een HR-medewerker kan de loonstrook downloaden en in een beveiligde omgeving als download voor zijn/haar oud-collega aanbieden. Het is in ieder geval van belang dat de gegevens via beveiligde communicatiemethoden, zoals versleutelde e-mail of een beveiligd portaal, aan een voormalig medewerker beschikbaar kunnen worden gesteld. Ook diensten als Zivver kun je hiervoor gebruiken.

Het niet duidelijk geformuleerd hebben van de verwerkingsdoelen is een risico. SIVON streeft ernaar om het model verwerkersovereenkomst behorend bij het Privacyconvenant van toepassing te laten verklaren om dit op te lossen. Wanneer dit niet lukt, dient AFAS in haar algemene voorwaarden te voldoen aan de bepalingen uit artikel 28 van de Algemene Verordening Gegegvensbescherming (AVG). SIVON heeft op die elementen waar AFAS niet of onvoldoende voldoet aan artikel 28 van de AVG risico’s geformuleerd. Daar waar deze dus niet zijn geformuleerd, voldoet AFAS aan dit artikel. AFAS heeft tot 1 april 2024 om de benodigde maatregelen te treffen. SIVON zal hiervan verslag doen op haar website.

Zodra AFAS meer duidelijkheid biedt over de manier waarop zij de bepalingen uit artikel 28 AVG gaan naleven, komt SIVON met een update. Daarin komt ook aan bod of en welke rol individuele schoolbesturen hierin hebben.

Nee, dit is niet opgenomen in het verbeterplan. Het is mogelijk om dit met een eigen proces binnen de organisatie op te lossen.

Je kunt hiervoor de pagina met informatie voor leveranciers raadplegen.

AFAS biedt voldoende mogelijkheden om als school controle uit te oefenen op de uitwisseling van gegevens. Die controle moet de school dan wel nemen. Het betreft echter een belangrijk aandachtspunt dat SIVON in een volgende communicatie-update nog eens extra onder de aandacht zal brengen.

Inloggen bij AFAS doe je door middel van tweefactorauthenticatie; zie hiervoor de hulppagina van AFAS.

Deze beheersmaatregelen komen voor de verantwoordelijkheid van het bestuur en zijn in de lokale DPIA opgenomen. In de lokale DPIA staan overigens ook de uit de centrale DPIA op schoolniveau te mitigeren risico’s (zie pagina 49).