HR2day moet privacy verbeteren na kritisch SURF-onderzoek
De onderwijskoepels en onderzoeksinstellingen die gebruikmaken van HR2day moeten de komende tijd scherp zijn op hun privacy-instellingen. Uit een onafhankelijk privacy-onderzoek (DPIA) van SURF, de ICT-coöperatie voor het Nederlandse onderwijs en onderzoek, zijn zestien hoge privacyrisico’s naar voren gekomen bij het allround HRM- en payrollsysteem. HR2day heeft inmiddels toegezegd om voor het einde van 2026 ingrijpende verbeteringen door te voeren.
Ondanks de waslijst aan verbeterpunten is er geen reden tot paniek: SURF benadrukt dat onderwijs- en onderzoeksinstellingen het platform voorlopig veilig kunnen blijven gebruiken, mits zij zelf ook een aantal interne processen aanscherpen.
Blik op Salesforce: De angel zit in de 'usage data'
Een Data Protection Impact Assessment (DPIA) is een wettelijk verplicht instrument onder de privacywetgeving (AVG) om de privacyrisico's van een softwaresysteem vooraf of tussentijds grondig in kaart te brengen.
Het leeuwendeel van de zestien hoge risico's die SURF bij HR2day heeft aangetroffen, hangt samen met het fundament waar het HRM-systeem op is gebouwd: het wereldwijde Salesforce-platform. Salesforce treedt in deze constructie op als een cruciale subverwerker. Uit het onderzoek blijkt dat er momenteel onvoldoende transparantie en controle is over de zogeheten usage data — de metadata die automatisch wordt gegenereerd wanneer medewerkers het platform gebruiken. Het is onduidelijk wat er precies met die gebruiksgegevens binnen de systemen van Salesforce gebeurt. HR2day heeft laten weten deze risico's met prioriteit en in nauwe samenwerking met Salesforce op te lossen.
Daarnaast liggen er risico's in de algemene inrichting van HR2day, de manier waarop de gegevensverwerking is georganiseerd en de interne waarborgen. Ook de mobiele applicatie van het platform is onder een vergrootglas gelegd. Omdat de app via commerciële appstores (zoals Apple en Google) wordt gedownload, is een nadere, sectorspecifieke risico-inschatting hiervoor momenteel nog in ontwikkeling binnen de onderwijs- en onderzoeksector.
Actie vereist van onderwijsinstellingen zelf
SURF benadrukt dat de verantwoordelijkheid voor een waterdichte privacybescherming niet alleen bij de softwareleverancier ligt. Om de risico's effectief te verkleinen, wordt ook van de aangesloten scholen, universiteiten en onderzoeksinstellingen actie verwacht.
SURF adviseert instellingen concreet om:
De interne processen rondom HRM-data kritisch tegen het licht te houden en bij te sturen waar nodig.
De lopende verwerkersovereenkomst met HR2day aan te passen op basis van de nieuwe bevindingen.
Actief feedback te leveren aan de leverancier, bijvoorbeeld door deel te nemen aan werkgroepen die zich buigen over prangende kwesties zoals striktere digitale bewaartermijnen van personeelsgegevens.
Herkeuring eind 2026
De komende maanden staan in het teken van de uitvoering van de mitigerende (risicoverlagende) maatregelen door HR2day. Er is een strakke deadline gesteld: voor het einde van 2026 moeten de belangrijkste gaten zijn gedicht.
Zodra die termijn verstrijkt, zal het team van SURF Vendor Compliance een strenge controle uitvoeren om te verifiëren of alle toegezegde maatregelen daadwerkelijk correct in de software zijn geïmplementeerd. Na die beoordeling zal SURF een geactualiseerd DPIA-rapport publiceren. Het volledige huidige rapport met alle technische details en risicoduidingen is in te zien via de officiële kanalen van SURF.
Meer over onderwijs
Over Witold Kepinski
