Personeelsdata onder de loep: waarom HR niet om een IT-audit heen kan

Artikelen  |  zo 7 jun 2026  |  Trefwoorden: Personeelsdata, Algemene verordening gegevensbescherming (AVG), AVG, IT-audit, Privacyverklaring, Datalek, Autoriteit Persoonsgegevens


HR-afdelingen beheren enkele van de meest gevoelige gegevens binnen een organisatie. Denk aan salarisstroken, verzuimregistraties, beoordelingen en BSN-nummers. Toch blijkt in de praktijk dat juist deze data lang niet altijd goed beschermd zijn tegen ongeautoriseerde toegang.

Sinds de invoering van de AVG in mei 2018 zijn werkgevers verplicht om aantoonbaar zorgvuldig met persoonsgegevens om te gaan. Voor HR betekent dit meer dan een privacyverklaring op de website. Het raakt de kern van hoe personeelssystemen zijn ingericht, wie toegang heeft tot welke data en hoe die toegang wordt gecontroleerd.
Een IT-audit brengt precies die risico's in kaart. Gespecialiseerde bureaus zoals 2-control.nl onderzoeken of digitale systemen voldoen aan wet- en regelgeving en of autorisaties correct zijn ingericht. Voor HR-afdelingen die werken met ERP-systemen is dat geen overbodige luxe.

 

Toegang tot personeelsdata is vaker een probleem dan gedacht

Uit het jaarverslag van de Autoriteit Persoonsgegevens over 2023 bleek dat datalekken bij werkgevers vaak voortkomen uit verkeerd ingestelde toegangsrechten. Een medewerker van de financiele afdeling die verzuimdossiers kan inzien, of een teamleider die salarisgegevens van collega's buiten het eigen team kan opvragen: het zijn scenario's die vaker voorkomen dan organisaties beseffen.

Het probleem zit hem niet altijd in kwade opzet. Systemen worden uitgebreid, medewerkers wisselen van functie en autorisaties worden niet bijgewerkt. Na verloop van tijd ontstaat een lappendeken van rechten die niemand meer volledig overziet.

Bij middelgrote bedrijven met 200 tot 500 medewerkers is dit risico het grootst. Deze organisaties hebben vaak complexe IT-omgevingen maar missen een dedicated informatiebeveiligingsteam. HR-managers zijn zich bewust van de privacyregels, maar missen de technische kennis om te beoordelen of hun systemen daadwerkelijk compliant zijn.

Wat een audit concreet oplevert voor personeelszaken

In de praktijk is een IT-audit geen abstract rapport vol jargon. Een auditor doorloopt een gestructureerd proces: van een pre-audit waarin de huidige situatie wordt geinventariseerd, tot een eindrapport met een heldere assuranceverklaring. Dat eindproduct is concreet bruikbaar, zowel voor interne verbeteringen als voor verantwoording richting toezichthouders.

Voor HR-afdelingen levert zo'n controle direct inzicht op. Wie heeft toegang tot welk systeem? Zijn vertrokken medewerkers daadwerkelijk uitgeschreven? Worden wijzigingen in personeelsdossiers gelogd? Dit zijn vragen die een auditor systematisch beantwoordt, waarbij organisaties die werken met Microsoft Dynamics 365 Business Central kunnen rekenen op gespecialiseerde kennis van IT-auditbureaus die zich op dat platform richten.

Het resultaat is geen eenmalige opschoonactie maar een structureel verbeterde beheersing. Bedrijven die periodiek een IT-audit laten uitvoeren, bijvoorbeeld jaarlijks of na een grote systeemmigratie, bouwen aantoonbaar aan een solide privacybeleid. Dat versterkt ook het vertrouwen van medewerkers in hoe hun werkgever met persoonlijke informatie omgaat.

AVG-naleving vraagt om meer dan beleid op papier

De Autoriteit Persoonsgegevens heeft tussen 2020 en 2024 tientallen boetes opgelegd aan organisaties, waarvan een aanzienlijk deel betrekking had op onvoldoende technische beveiligingsmaatregelen. Organisaties die wel een privacybeleid hebben opgesteld maar dat niet hebben vertaald naar technische inrichting, lopen het grootste risico. De AVG vereist namelijk niet alleen dat je regels opstelt, maar dat je kunt aantonen dat die regels ook werken.

Hier komt het begrip accountability om de hoek kijken, een van de kernprincipes uit de verordening. Werkgevers moeten kunnen bewijzen dat persoonsgegevens adequaat worden beschermd. Een rapport van een gecertificeerde IT-auditor met bijvoorbeeld een RE- of CISA-certificering geldt daarbij als zwaarwegend bewijs. Het verschil tussen "wij denken dat het goed zit" en "een onafhankelijke auditor heeft vastgesteld dat het goed zit" is in juridische zin aanzienlijk.

Voor HR-professionals die verantwoordelijk zijn voor privacynaleving binnen hun organisatie is samenwerking met IT-auditors daarom een logische stap. Het gaat er niet om dat HR zelf technisch expert wordt. Het gaat erom dat HR de juiste vragen stelt en de juiste partijen inschakelt om die vragen te beantwoorden.

De rol van HR bij het initiëren van een controle

In veel organisaties wordt een IT-audit gezien als iets van de IT-afdeling. Maar HR heeft een direct belang bij de uitkomsten. Personeelsgegevens vallen onder de meest beschermde categorieen in de AVG, en bij een datalek is de werkgever als geheel aansprakelijk.

HR-managers kunnen het initiatief nemen door bij de directie aan te kaarten dat een periodieke controle van autorisaties en systeemtoegang noodzakelijk is. Organisaties die dit proactief aanpakken, blijken in de praktijk minder vaak te maken te krijgen met meldingsplichtige datalekken. Het Bredase IT-auditbureau 2-control.nl hanteert bijvoorbeeld een pragmatische aanpak in vier stappen, wat de drempel voor een eerste audit verlaagt.

De investering in een dergelijke audit staat zelden in verhouding tot de potentiele kosten van een datalek. Boetes van de Autoriteit Persoonsgegevens kunnen oplopen tot 20 miljoen euro of 4 procent van de jaarlijkse wereldwijde omzet. Medewerkers die ontdekken dat hun werkgever onzorgvuldig met hun gegevens omgaat verliezen vertrouwen, en dat is in een krappe arbeidsmarkt een risico dat geen HR-afdeling zich kan veroorloven.