Tags: AVG onderwijs, digitale veiligheid, HR2day, privacy onderwijs, SURF

SURF slaat alarm over privacyrisico’s bij HR2day

SURF heeft meerdere privacyrisico’s vastgesteld bij HR2day, een veelgebruikt HR-systeem binnen het onderwijs. Onderwijsinstellingen worden opgeroepen om extra maatregelen te nemen rondom privacy en gegevensbescherming.

Steeds meer onderwijsinstellingen werken met digitale HR-systemen om personeelszaken efficiënt te regelen. Denk aan salarisadministratie, verlofaanvragen en personeelsdossiers. Juist omdat deze systemen veel gevoelige persoonsgegevens bevatten, ligt privacy onder een vergrootglas. Dat blijkt opnieuw uit een recent onderzoek van SURF naar HR2day, een veelgebruikt HRM- en payrollplatform binnen het Nederlandse onderwijs. Uit een Data Protection Impact Assessment (DPIA) kwamen zestien hoge privacyrisico’s naar voren. SURF roept onderwijsinstellingen daarom op om hun processen kritisch te bekijken en extra maatregelen te nemen. Het onderwerp laat zien hoe belangrijk digitale veiligheid en verantwoord datagebruik zijn binnen het onderwijs.

Waarom SURF onderzoek deed naar HR2day

SURF ondersteunt onderwijs- en onderzoeksinstellingen bij digitalisering en ICT-vraagstukken. Daarbij hoort ook het controleren van softwareleveranciers op privacy en gegevensbescherming. HR2day is binnen onderwijsorganisaties populair vanwege de uitgebreide HR- en salarisfunctionaliteiten. Omdat het systeem grote hoeveelheden persoonsgegevens verwerkt, besloot SURF een DPIA uit te voeren. Een DPIA is een verplicht privacyonderzoek onder de AVG wanneer systemen mogelijk grote risico’s opleveren voor gebruikers of organisaties. Uit het onderzoek bleek dat er meerdere aandachtspunten zijn rondom transparantie, gegevensverwerking en controle op data. Volgens SURF kunnen instellingen het systeem voorlopig blijven gebruiken, maar alleen als zij zelf ook aanvullende maatregelen nemen.

De rol van Salesforce in het privacyvraagstuk

Een belangrijk deel van de risico’s heeft te maken met het onderliggende platform van Salesforce waarop HR2day draait. Salesforce verwerkt zogenoemde usage data: gegevens die ontstaan door het gebruik van het systeem. Denk bijvoorbeeld aan metadata, gebruikersactiviteit en technische loggegevens. Volgens SURF is nog onvoldoende duidelijk wat er precies met deze gegevens gebeurt en hoe transparant die verwerking is. Vooral binnen het onderwijs ligt dat gevoelig, omdat instellingen verantwoordelijk blijven voor de bescherming van persoonsgegevens van medewerkers. Daarbij spelen ook internationale datastromen en Amerikaanse subverwerkers een rol. HR2day heeft inmiddels aangegeven samen met Salesforce verbeteringen door te voeren om deze risico’s te verkleinen.

Onderwijsinstellingen moeten zelf ook aan de slag

De verantwoordelijkheid ligt volgens SURF niet alleen bij de softwareleverancier. Ook scholen, mbo-instellingen, hogescholen en universiteiten moeten kritisch kijken naar hun eigen processen. Zo adviseert SURF om bestaande verwerkersovereenkomsten opnieuw te beoordelen en interne procedures rond HR-data aan te scherpen. Daarnaast wordt instellingen gevraagd om actief feedback te geven aan HR2day. Dat kan bijvoorbeeld via werkgroepen over bewaartermijnen en gegevensbeheer. Voor veel onderwijsorganisaties betekent dit dat privacy niet langer alleen een taak is van de ICT-afdeling, maar een onderwerp dat de hele organisatie raakt. Het vraagt om samenwerking tussen HR, bestuurders, functionarissen gegevensbescherming en IT-specialisten.

Privacy en digitalisering in het onderwijs

De situatie rondom HR2day staat niet op zichzelf. Onderwijsinstellingen maken steeds vaker gebruik van cloudsoftware van grote internationale leveranciers. Dat biedt voordelen zoals flexibiliteit, schaalbaarheid en gebruiksgemak. Tegelijkertijd ontstaan er vragen over dataveiligheid, eigenaarschap van gegevens en afhankelijkheid van buitenlandse technologiebedrijven. SURF voert daarom regelmatig privacyonderzoeken uit bij software die veel in het onderwijs wordt gebruikt. Eerder gebeurde dat bijvoorbeeld ook bij Canvas LMS van leverancier Instructure. Ook daar kwamen privacyrisico’s naar voren die later met aanvullende maatregelen zijn aangepakt. Deze ontwikkelingen laten zien dat digitale innovatie hand in hand moet gaan met goede privacyafspraken en duidelijke controlemechanismen.

Wat betekent dit voor medewerkers in het onderwijs?

Dit lijkt misschien abstract, maar de gevolgen zijn concreet. HR-systemen bevatten gevoelige informatie zoals salarissen, beoordelingen, contractgegevens en verzuimregistraties. Wanneer privacyafspraken onvoldoende duidelijk zijn, kunnen risico’s ontstaan rondom ongewenste toegang tot gegevens of onduidelijke dataverwerking. Daarom groeit binnen onderwijsorganisaties het bewustzijn rondom informatiebeveiliging en privacybeleid. Niet alleen ICT-specialisten, maar ook leidinggevenden en HR-medewerkers krijgen vaker te maken met trainingen en protocollen rondom veilig datagebruik. Daarbij draait het niet alleen om techniek, maar ook om bewust gedrag en duidelijke afspraken binnen teams. De discussie rondom HR2day maakt zichtbaar dat privacy een blijvend aandachtspunt is in het digitale onderwijslandschap.

Een blik vooruit op 2026

HR2day heeft toegezegd om voor eind 2026 meerdere verbeteringen door te voeren. Daarna zal SURF opnieuw controleren of de afgesproken maatregelen daadwerkelijk zijn uitgevoerd. Pas na deze herbeoordeling volgt een nieuwe update van het DPIA-rapport. Tot die tijd blijven onderwijsinstellingen verantwoordelijk voor het beperken van risico’s binnen hun eigen organisatie. De komende jaren zal privacy waarschijnlijk een nog grotere rol spelen bij de keuze voor digitale systemen in het onderwijs. Niet alleen functionaliteit en gebruiksgemak worden belangrijk gevonden, maar ook transparantie, controle en betrouwbaarheid van leveranciers. Daarmee groeit privacy uit tot een vast onderdeel van modern onderwijsbeleid.

Meer lezen over privacy en HR-systemen in het onderwijs

Wil je meer weten over privacy, gegevensbescherming en digitale systemen binnen het onderwijs? Dan is het verstandig om de ontwikkelingen rondom SURF en HR2day te blijven volgen. Vooral onderwijsinstellingen die werken met cloudsoftware krijgen steeds vaker te maken met DPIA-onderzoeken en aanvullende privacy-eisen. Ook de rol van internationale technologiebedrijven blijft onderwerp van gesprek binnen het Nederlandse onderwijs. Meer informatie is te vinden via de officiële publicaties van SURF en de berichtgeving van Dutch IT Channel

Tags: AVG onderwijs, digitale veiligheid, HR2day, privacy onderwijs, SURF
Je moet ingelogd zijn op om een reactie te plaatsen.

Ook Interessante artikel

Slimme samenhang, sterker leren

De nieuwe kerndoelen vragen om bewuste samenhang tussen vakken, zodat leerlingen echte transfer kunnen maken en basisvaardigheden duurzaam worden versterkt. Onderwijsadviseur Janneke Bor legt uit hoe je hier stap voor…
Lees verder

Whitepaper arbeidsmarkt

Whitepaper onderwijs arbeidsmarkt

Whitepaper digitale toepassing didactiek

didactiek download

Whitepaper Werkstress de baas

HR download onderwijs

Whitepaper Hybride leeromgeving

Leeromgeving download

Whitepaper maatschappij

Maatschappij onderwijs download

Whitepaper onderwijsontwikkeling

onderwijsontwikkeling download

Whitepaper effectief afstandsonderwijs

Onderwijs organiseren download

Whitepaper professionalisering

onderwijs professionalisering download

ICT-gebruik in het onderwijs

Onderwijs Technologie download

Bezoeker!

Vacatures

Kalender

Blijf op de hoogte

WORD LID

Met Onderwijscommunity maken we het werkveld iedere dag een stukje beter en mooier. Meld je gratis aan als lid, maak verbinding, haal én breng kennis, maak je eigen ledenprofiel, connect met andere leden en meer.

PUBLICEER

Heb je een uniek en interessant artikel geschreven en denk je dat deze interessant kan zijn voor de leden van Onderwijscommunity? Stuur deze dan in via het formulier en wij gaan er mee aan de slag.