Waar ben je naar op zoek?

Meest gezocht:

Meest gezocht:

Verbeterde toegankelijkheid modus

SURF streeft naar een website die voor iedereen toegankelijk is. We werken aan een volledig toegankelijke modus.
Studente aan het werk in de bibliotheek
Nieuws

HR2day neemt aanvullende privacystappen na DPIA-onderzoek van SURF

SURF heeft een Data Protection Impact Assessment (DPIA) uitgevoerd op HR2day, een allround HRM en Payroll systeem. Daarin zijn 16 hoge risico’s gevonden. HR2day heeft aangegeven voor eind 2026 mitigerende maatregelen te treffen, maar ook instellingen wordt geadviseerd om in actie te komen. Instellingen kunnen HR2day voorlopig wel blijven gebruiken.

Geïdentificeerde risico’s

Een groot deel van de geïdentificeerde risico’s is veroorzaakt door onvoldoende aangetoonde transparantie van en controle op usage data (data die wordt gegenereerd door het gebruik van het platform) binnen het onderliggende Salesforce-platform van HR2day. Salesforce treedt hierbij op als belangrijke subverwerker. Het mitigeren van dit risico wordt dan ook samen met Salesforce opgepakt. 

Ook zijn er risico’s die te maken hebben met de algemene inrichting van HR2day en de manier waarop gegevensverwerking en bijbehorende waarborgen zijn georganiseerd. De risico’s van de mobiele applicatie via commerciële appstores, waarvoor de nadere risico-inschatting nog in ontwikkeling is binnen de onderwijs- en onderzoeksector, zijn daarom voor nu zonder risico-inschatting opgenomen. 

Voor een volledige duiding van de risico’s en de mitigerende maatregelen verwijst SURF naar het DPIA-rapport.

Samenwerking met instellingen is nodig 

Bij een aantal maatregelen wordt instellingen geadviseerd om zelf actie te ondernemen. In sommige gevallen is dat het bijsturen van het interne proces en het aanpassen van de verwerkersovereenkomst met HR2day. Ook kan het zijn dat instellingen actief feedback moeten geven aan HR2day, bijvoorbeeld door deel te nemen aan werkgroepen, over onder andere bewaartermijnen. 

Vervolg 

Instellingen kunnen HR2day voorlopig blijven gebruiken. SURF Vendor Compliance checkt de uitvoering van de mitigerende maatregelen van HR2day eind 2026 en publiceert na beoordeling een update-DPIA.  

Lees het volledige rapport

De volledige bevindingen van het onderzoek zijn te vinden in de Data Protection Impact Assessment (DPIA).

Vragen? 

Neem dan contact met ons op via vendorcompliance@surf.nl

(Sub)verwerkers in de Verenigde Staten 

SURF is alert op verwerking door leveranciers en hun onderaannemers die in de VS gevestigd zijn. Je kunt hier meer over lezen in ons algemene informatiedocument over het gebruik van in de VS gevestigde leveranciers.

Gerelateerde onderwerpen: