AFAS neemt maatregelen na DPIA-onderzoek van SURF
Geïdentificeerde risico’s
Een aantal geïdentificeerde risico’s hebben te maken met privacyrechtelijke rolverdeling, contractuele risico’s en rechten van betrokkenen. SURF benadrukt dat deze risico’s vooral betrekking hebben op diagnostische gegevens. De gegevens over medewerkers die instellingen zelf in Profit invoeren, horen hier niet bij.
Ook zijn er risico’s geïdentificeerd rond de algemene inrichting van Profit en de organisatie van gegevensverwerking en bijbehorende waarborgen. Mobiele applicaties via commerciële appstores, waarvoor de nadere risico-inschatting nog in ontwikkeling is binnen de onderwijs- en onderzoeksector, zijn voor nu zonder risico-inschatting opgenomen. Een volledige duiding van de risico’s en de mitigerende maatregelen vind je in het DPIA-rapport.
Samenwerking met instellingen is nodig
Bij een aantal maatregelen wordt instellingen geadviseerd om zelf actie te ondernemen. Zoals het bijsturen van het interne proces en het aanpassen van de verwerkersovereenkomst tussen de instellingen en AFAS.
Vervolg
Voorlopig kunnen instellingen Profit blijven gebruiken. SURF checkt de uitvoering van de mitigerende maatregelen van AFAS begin 2027. Daarna wordt er een update van de DPIA gepubliceerd.
Lees het volledige rapport
Lees de volledige bevindingen van het onderzoek in de DPIA.
Vragen?
Neem contact met ons op via vendorcompliance@surf.nl.
(Sub)verwerkers in de Verenigde Staten
SURF is alert op verwerking door leveranciers en hun onderaannemers die in de VS gevestigd zijn. Je kunt meer lezen in ons algemene informatiedocument over het gebruik van in de VS gevestigde leveranciers.