Het certificatieschema arbodiensten – zeg maar: de kwaliteitseisen op het gebied van bedrijfsvoering waaraan interne- en externe arbodiensten moeten voldoen – is vernieuwd. In het kielzog van de nieuwe AVG en de actuele standpunten van de Autoriteit Persoonsgegevens zijn de voorwaarden rond het verwerken en opslaan van privacy gevoelige gegevens gemoderniseerd. Leveranciers van netwerk-diensten, hosting services of verzuimsoftware zoals Track moeten gecertificeerd zijn conform de ISO27001 norm.

 

Nieuw certificatieschema

Toegegeven: de Staatscourant is het nou niet mijn favoriete nieuwsblad dat ik ‘s-ochtends graag even opensla om met een kop koffie de dag mee te beginnen. Maar omdat de publicatie van 5 december jl. ingaat op het gewijzigde certificatieschema voor arbodiensten heb ik het toch maar even nauwgezet – digitaal natuurlijk – gelezen.

Ik mag zonder opscheppen zeggen dat Track Software als aanbieder van verzuimsoftware tot – pak ‘m beet – de top 5 van Nederland behoort als je het volume arbeidsverhoudingen (dossiers) als maatstaf neemt. En arbodiensten vormen onze grootste klantgroep. Dus is het voor ons van belang goed op de hoogte te blijven van dat certificatieschema en de ontwikkelingen daarin. Wijzigingen kunnen immers consequenties hebben voor onze software of dienstverlening.

AVG en privacy: nieuwe eisen op IT gebied

De toelichting op het nieuwe certificatieschema vermeldt dat er nieuwe, specifieke eisen zijn geformuleerd rond ‘beheersing van gedocumenteerde informatie’ (paragraaf 7.5.3).  De eisen met betrekking tot privacy en informatiebeveiliging zijn gemoderniseerd en geactualiseerd ten opzichte van het vorige schema.

De informatiebeveiliging en de privacy van cliënten van een arbodienst zijn wezenlijke elementen bij de certificatie van arbodiensten. Het adequaat opslaan en verwerken van gegevens van (zieke) cliënten vergt uiterste zorgvuldigheid. Met het opnemen van de specifieke eisen in deze paragraaf met betrekking tot de beheersing van gedocumenteerde informatie wordt dit uitgangspunt geconcretiseerd.

In het vijfde onderdeel van paragraaf 7.5.3 staat vervolgens:

De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 gecertificeerd (…).

Consequenties

Wat betekent dat nou in de praktijk? Nou ja, het betekent:

  • dat arbodiensten uitsluitend verzuimsoftware mogen afnemen van aanbieders die zoals Track ISO27001 gecertificeerd zijn
  • maar ook dat andere partijen waarmee arbodiensten samenwerken voor bijvoorbeeld kantoor-automatisering gecertificeerd moeten zijn
  • en – belangrijk – arbodiensten die hun applicaties zelf hosten en daarbij een beroep doen op de hosting services van externe partijen, moeten bewaken dat ook die toeleveranciers gecertificeerd zijn.

Als u bijvoorbeeld een ‘eigen’ systeem hebt of een on-premise implementatie van een commercieel verzuimsysteem, moet u beoordelen of uw IT-partners – en de partijen waarmee zij samenwerken – gecertificeerd zijn. En dat geldt ook voor additionele software op het gebied van planning, triage, WIA begeleiding, interventies, etc.

Non-conformity

Die check kan dus vervelende verrassingen opleveren. En als u er niet op tijd bij bent: een non-conformity. Is er verder nog goed nieuws? Ja. Het goede nieuws is dat indien u al arbodienst bent en dus over een certificaat beschikt u tot 2020 kiezen mag of u tegen het oude of het nieuwe certificatieschema beoordeeld wilt worden. Goed om te weten.

 

Lees ook…

De beveiliging van gegevens: Track is ISO27001 gecertificeerd

Publicatie Staatscourant 05-12-2018 inzake certificatieschema arbodiensten.

Meer informatie kunt u vinden op de website van de Stichting Beheer Certificatieregelingen Arbodiensten