support
Xpert Desk
073 - 61 59 999
Support
Xpert Desk
073 - 61 59 999
nederlands

In de markt heerst er veel onduidelijkheid over de regels vanuit de AVG voor verzuimsystemen. Wij vonden het tijd voor wat opheldering! We hebben daarom 10 relevante vragen onder elkaar gezet. Doe er je voordeel mee!

 

1. Hoe relevant zijn de beveiligingsmaatregelen in een verzuimsysteem?
Heel relevant! Want de verwerking van verzuimgegevens, dus ook ziek- en herstelmeldingen worden door de AVG gekwalificeerd als bijzondere persoonsgegevens en vallen hiermee automatisch in de hoogste boetecategorie IV. De boetes (zie art 83 AVG lid 4) kunnen hierbij oplopen tot 20 miljoen óf 4% van de wereldwijde omzet (afhankelijk van wat het meeste oplevert). In Nederland is hier ook nog de ‘last onder dwangsom’ aan toegevoegd.

Het is daarbij de verantwoordelijkheid van een verwerkingsverantwoordelijke (werkgever of dienstverlener) om ervoor te zorgen dat de eigen gegevens in een ‘veilig’ systeem worden verwerkt. Tevens zal een toezichthouder de boetes niet verlagen als de leverancier of verwerker niet kan voldoen aan een eventueel overgenomen boeterisico. De verwerkingsverantwoordelijke dient dan alsnog zelf deze boete te betalen.

 

2. Wat zijn de richtlijnen vanuit de AVG met betrekking tot een verzuimsysteem?
Deze richtlijnen vind je in de beleidsnota van de Autoriteit Persoonsgegevens (AP). Hier vind je de richtlijnen omtrent onder andere:

1. Verplicht gebruik twee factor authenticatie
2. Periodiek in kaart brengen van beveiligingsrisico's (PEN / security test)
3. Logging wie/wat gewijzigd heeft
4. Data opslag in de EU (buiten de EU mag alleen als daar een passend beschermingsniveau is geregeld)
5. Versleuteld datatransport en data opslag
6. Uitvoeren en vastleggen van privacy impact assessments
7. Inzage recht van betrokkenen
8. Bewaar- en schoningstermijnen

 

3. Wat is het verschil tussen twee staps en twee factor authenticatie?
Vanuit de AP is de eis om twee factor authenticatie te gebruiken voor verzuimsystemen, maar wat is het verschil met twee staps authenticatie? In wezen is twee factor authenticatie een vorm van twee staps authenticatie. Voor twee factor authenticatie geldt dat er via twee verschillende ‘routes’ moet worden bevestigd dat je bent, wie je zegt dat je bent. De mogelijke routes zijn: ‘iets wat je weet’, ‘iets wat je hebt’ of ‘iets wat je bent’. Veel gebruikt zijn de combinatie ‘wachtwoord’ (iets wat je weet) en een token of SMS op een device (de telefoon is dan ‘iets wat je hebt’).

 

4. Moeten we de werknemer toegang geven tot het verzuimsysteem?
Conform de regels van de AVG heeft de werknemer het recht op inzage in zijn dossier. Dit kun je doen door een werknemer toegang te geven tot het verzuimsysteem. Het opsturen of begeleid inzien van het dossier is echter ook toegestaan.

 

5. Sommige systemen hebben ISO27001:2005 en andere een ISO27001:2013, wat is het verschil?
De standaard ISO 27001 schetst hoe een informatiebeveiligingsbeheersysteem (ISMS), ook bekend als een beveiligingsprogramma, moet worden gebouwd en onderhouden. ISMS maakt deel uit van het algehele beheersysteem om de fundamentele doelen van informatiebeveiliging, namelijk vertrouwelijkheid, integriteit en beschikbaarheid te bereiken. Afgezien van het beschermen van deze drie sleutelaspecten probeert ISMS andere aspecten te beschermen, zoals authenticiteit, verantwoording, niet-afwijzing en betrouwbaarheid.

ISO27001:2005 en ISO27001:2013 zijn twee verschillende versies van deze certificering. 2005 en 2013 staan hierbij voor de jaartallen waarin de versies van deze norm zijn gepubliceerd. De 2005 norm is (omdat hij ouder is) niet meer (geaccrediteerd) te certificeren. Alleen de 2013 hoofdversie is op dit moment (geaccrediteerd) certificeerbaar.

 

6. Hoe verhoudt de ISO27001 zich tot de NEN7510?
De ISO 27001 is een wereldwijd erkende norm. De NEN7510 is een Nederlandse norm bedoeld voor zorgverleners, zoals ziekenhuizen of apothekers. Voor IT leveranciers is een ISO 27001 certificaat vaak een goede waarborg voor kwaliteit binnen de eigen NEN7510-certificering. De NEN7510 is opgesteld als aanvulling op de ISO 27001 en wordt bijgewerkt als de ISO 27001 ook wordt bijgewerkt. Verdere kenmerken van deze normen zijn:

a. De norm (7 hoofdstukken, genummerd 4 t/m 10) van de NEN 7510-1 is volledig identiek aan de ISO 27001.
b. In de Bijlage A (ook wel Annex A genoemd) van de ISO 27001 zijn er 114 beheersmaatregelen. Voor de NEN 7510 zijn er 33 uitgebreid met een extra specificatie
voor de zorg (soms met meer dan één maatregel).
c. NEN7510 heeft daarnaast nog 3 extra beheersmaatregelen specifiek voor de zorg toegevoegd.

 

7. Wat is een ISAE3402 verklaring dan?
Een ISAE3402 verklaring is een accountantsverklaring die terugkijkt op het verleden. Hiermee verschilt hij van een ISO-certificering die iets zegt over de huidige werking van een managementsysteem (en daarmee vooral probeert meer zekerheid over de toekomst te geven). De combinatie van beiden is het meest krachtig: er is zekerheid dat er gedurende een lange periode conform omschrijving is gewerkt, en het managementsysteem lijkt dusdanig te werken dat grote afwijkingen in de nabije toekomst ook onwaarschijnlijk lijken.

Er bestaat een ISAE3402 type I en een type II rapport. Inhoudelijk zijn beide type rapporten hetzelfde. Het verschil wordt bepaald door de uitgevoerde controle; bij een type I audit stelt de accountant op één bepaald moment vast of het risk management framework en de beheersmaatregelen het normenkader afdekken (opzet). Om dit vast te stellen 'loopt' de accountant processen door (lijncontroles). Bij een type II audit stelt de accountant gedurende een periode van minimaal zes maanden vast of de beheersmaatregelen ook effectief gewerkt hebben. Een type I rapportage heeft dus betrekking op één meetmoment en een type II rapportage heeft betrekking op minimaal zes maanden.

 

8. Zijn er verzuimsystemen die AVG-Proof en/of een AVG-keurmerk hebben?
Nee! De Autoriteit Persoonsgegevens, lees de uitvoerende toezichthoudende instantie in Nederland met betrekking tot de AVG, heeft momenteel geen partijen geaccrediteerd die een AVG-keurmerk mogen afgeven. Desalniettemin gebeurt dit wel door sommige instanties. Dit keurmerk is dan geheel voor eigen titel en heeft maar een beperkte waarde. De AP waarschuwt ook voor deze vorm van misleiding, zie hier het artikel van de AP. Wel is het zo dat de AP bezig is met een wel certificeerbare standaard voor de AVG. Deze is echter nog niet formeel vrijgegeven.

 

9. Mag de bedrijfsarts werken in het verzuimsysteem van de werkgever?
Ja, veel grote organisaties hebben eigen arbodiensten en/of werken met zelfstandige bedrijfsartsen. Onder bepaalde condities mag een bedrijfsarts en/of interne arbodienst dan ook medische persoonsgegevens vastleggen in het verzuimsysteem van de werkgever. De belangrijkste voorwaarden zijn:

1. De werkgever mag geen toegang krijgen tot medische persoonsgegevens (ook niet indirect via functioneel beheer).
2. Het functioneel beheer van de medische dossiers moet bij de bedrijfsarts (verwerkingsverantwoordelijke) of een externe partij belegd worden.
3. De drie partijen zullen een zogenaamde 3 partijen verwerkersovereenkomst moeten afsluiten waarbij de bedrijfsarts verantwoordelijke is, de systeem leverancier de rol van verwerker heeft en de werkgever de opdrachtgever is van het systeem.

Zie voor een verdere uitleg ook dit artikel van de AP.

 

10. Kan ik mijn HR systeem koppelen met het verzuimsysteem van de arbodienst?
Vanuit de AVG mogen persoonsgegevens van werknemers, waar geen zorgvraag voor is, niet doorgegeven worden aan de arbodienst. Het koppelen van het HR systeem van een werkgever kan ertoe leiden dat alle werknemers, dus ook de werknemers zonder zorgvraag, doorgegeven worden aan de arbodienst. Dit is tegen de regels van de AP, die heeft verklaard dat er voor werknemers zonder zorgvraag geen afdoende grondslag is om persoonsgegevens überhaupt te verwerken.

Bij het koppelen van een HR systeem met de arbodienst is het dus belangrijk om te toetsen of niet de persoonsgegevens, waarvoor geen zorgvraag van toepassing is, niet direct worden doorgegeven aan de arbodienst. Dit kan wellicht door voor mensen zonder zorgvraag, alleen een werknemer ‘zonder persoon-herleidbare gegevens’ op te voeren, of door alleen personen op te voeren waar ook al een zorgvraag (bv de ziekmelding) voor is.


 

 

Ja, ik wil!

Wij willen ook graag contact met jou!
Otherside at Work
Utopialaan 36, gebouw C
5232 CE 's-Hertogenbosch
Kamer van Koophandel: 17152287
Receptie
Tel: 073-6159950
Xpert Desk
Tel: 073-6159999
Download onze brochure
Robert van Gils | Manager Sales & Marketing
robert.vangils@othersideatwork.nl 06 46 11 99 28
Maak nu een afspraak!