- Xpert Desk
- 073 - 61 59 999
- xpertdesk@othersideatwork.nl
- Xpert Support Center
In de markt heerst er veel onduidelijkheid over de regels vanuit de AVG voor verzuimsystemen. Wij vonden het tijd voor wat opheldering! We hebben daarom 10 relevante vragen onder elkaar gezet. Doe er je voordeel mee!
1. Hoe relevant zijn de beveiligingsmaatregelen in een verzuimsysteem?
Heel relevant! Want de verwerking van verzuimgegevens, dus ook ziek- en herstelmeldingen worden door de AVG gekwalificeerd als bijzondere persoonsgegevens en vallen hiermee automatisch in de hoogste boetecategorie IV. De boetes (zie art 83 AVG lid 4) kunnen hierbij oplopen tot 20 miljoen óf 4% van de wereldwijde omzet (afhankelijk van wat het meeste oplevert). In Nederland is hier ook nog de ‘last onder dwangsom’ aan toegevoegd.
Het is daarbij de verantwoordelijkheid van een verwerkingsverantwoordelijke (werkgever of dienstverlener) om ervoor te zorgen dat de eigen gegevens in een ‘veilig’ systeem worden verwerkt. Tevens zal een toezichthouder de boetes niet verlagen als de leverancier of verwerker niet kan voldoen aan een eventueel overgenomen boeterisico. De verwerkingsverantwoordelijke dient dan alsnog zelf deze boete te betalen.
2. Wat zijn de richtlijnen vanuit de AVG met betrekking tot een verzuimsysteem?
Deze richtlijnen vind je in de beleidsnota van de Autoriteit Persoonsgegevens (AP). Hier vind je de richtlijnen omtrent onder andere:
1. Verplicht gebruik twee factor authenticatie
2. Periodiek in kaart brengen van beveiligingsrisico's (PEN / security test)
3. Logging wie/wat gewijzigd heeft
4. Data opslag in de EU (buiten de EU mag alleen als daar een passend beschermingsniveau is geregeld)
5. Versleuteld datatransport en data opslag
6. Uitvoeren en vastleggen van privacy impact assessments
7. Inzage recht van betrokkenen
8. Bewaar- en schoningstermijnen
3. Wat is het verschil tussen twee staps en twee factor authenticatie?
Vanuit de AP is de eis om twee factor authenticatie te gebruiken voor verzuimsystemen, maar wat is het verschil met twee staps authenticatie? In wezen is twee factor authenticatie een vorm van twee staps authenticatie. Voor twee factor authenticatie geldt dat er via twee verschillende ‘routes’ moet worden bevestigd dat je bent, wie je zegt dat je bent. De mogelijke routes zijn: ‘iets wat je weet’, ‘iets wat je hebt’ of ‘iets wat je bent’. Veel gebruikt zijn de combinatie ‘wachtwoord’ (iets wat je weet) en een token of SMS op een device (de telefoon is dan ‘iets wat je hebt’).
4. Moeten we de werknemer toegang geven tot het verzuimsysteem?
Conform de regels van de AVG heeft de werknemer het recht op inzage in zijn dossier. Dit kun je doen door een werknemer toegang te geven tot het verzuimsysteem. Het opsturen of begeleid inzien van het dossier is echter ook toegestaan.
5. Sommige systemen hebben ISO27001:2013 en andere een ISO27001:2022, wat is het verschil?
De standaard ISO 27001 schetst hoe een informatiebeveiligingsbeheersysteem (ISMS), ook bekend als een beveiligingsprogramma, moet worden gebouwd en onderhouden. ISMS maakt deel uit van het algehele beheersysteem om de fundamentele doelen van informatiebeveiliging, namelijk vertrouwelijkheid, integriteit en beschikbaarheid te bereiken. Afgezien van het beschermen van deze drie sleutelaspecten probeert ISMS andere aspecten te beschermen, zoals authenticiteit, verantwoording, niet-afwijzing en betrouwbaarheid.
ISO27001:2013 en ISO27001:2022 zijn twee verschillende versies van deze certificering. De aanduiding “2013” en “2022” staan hierbij voor de jaartallen waarin de normversie is gepubliceerd. Otherside gaat in 2024 over op de 27001:2022 normversie.
6. Hoe verhoudt de ISO27001 zich tot de NEN7510?
De ISO 27001 is de mondiaal erkende norm voor informatiebeveiliging. De NEN7510 is de daarvan afgeleide Nederlandse variant specifiek bedoeld voor zorgverleners, zoals ziekenhuizen of apothekers. Voor in te schakelen IT-leveranciers is een ISO 27001 certificaat een goede waarborg voor kwaliteit binnen de eigen NEN7510-toets of -certificering. Verdere kenmerken van deze normen zijn:
a. Beide normen zijn opgebouwd volgens dezelfde structuur van hoofdstukken, onderwerpen, en beheersmaatregelen: de HS-Harmonized Structure (voorheen: HLS-High Level Structure);
b. In de Bijlage A (ook wel Annex A genoemd) van ISO 27001 staan 114 beheersmaatregelen. Bij NEN7510 zijn daarvan 33 maatregelen uitgebreid met een extra specificatie voor de zorg;
c. NEN7510 heeft 3 extra beheersmaatregelen opgenomen; specifiek op de zorgsector van toepassing;
d. NEN7510 volgt altijd de ISO27001, dat willen zeggen, de NEN7510 wordt bijgewerkt nadat de ISO 27001 is geactualiseerd. Hier kan echter wel de nodige tijd overheen gaan;
e. Voor de ISO27001 is sinds de 2022 versie (ISO27001:2022 en verder) het aantal maatregelen van 114 naar 93 teruggebracht. Dit is het gevolg van het samenvoegen of verwijderen van een aantal bestaande maatregelen, en het toevoegen van 11 compleet nieuwe maatregelen.
7. Wat is een SOC2 verklaring dan?
Een SOC2 verklaring is een accountantsverklaring die terugkijkt op het verleden. Hiermee verschilt hij van een ISO-certificering die iets zegt over de huidige werking van een managementsysteem (en daarmee vooral probeert meer zekerheid over de toekomst te geven). De combinatie van beiden is het meest krachtig: er is zekerheid dat er gedurende een lange periode conform omschrijving is gewerkt, en het managementsysteem lijkt dusdanig te werken dat grote afwijkingen in de nabije toekomst ook onwaarschijnlijk lijken. Otherside laat voor een SOC2 verklaring terugkijken op een periode van 12 maanden (januari t/m december).
8. Zijn er verzuimsystemen die AVG-Proof en/of een AVG-keurmerk hebben?
Nee! De Autoriteit Persoonsgegevens, lees de uitvoerende toezichthoudende instantie in Nederland met betrekking tot de AVG, heeft momenteel geen partijen geaccrediteerd die een AVG-keurmerk mogen afgeven. Desalniettemin gebeurt dit wel door sommige instanties. Dit keurmerk is dan geheel voor eigen titel en heeft maar een beperkte waarde. De AP waarschuwt ook voor deze vorm van misleiding, zie hier het artikel van de AP. Wel is het zo dat de AP bezig is met een wel certificeerbare standaard voor de AVG. Deze is echter nog niet formeel vrijgegeven.
9. Mag de bedrijfsarts werken in het verzuimsysteem van de werkgever?
Ja, veel grote organisaties hebben eigen arbodiensten en/of werken met zelfstandige bedrijfsartsen. Onder bepaalde condities mag een bedrijfsarts en/of interne arbodienst dan ook medische persoonsgegevens vastleggen in het verzuimsysteem van de werkgever. De belangrijkste voorwaarden zijn:
1. De werkgever mag geen toegang krijgen tot medische persoonsgegevens (ook niet indirect via functioneel beheer).
2. Het functioneel beheer van de medische dossiers moet bij de bedrijfsarts (verwerkingsverantwoordelijke) of een externe partij belegd worden.
3. De drie partijen zullen een zogenaamde 3 partijen verwerkersovereenkomst moeten afsluiten waarbij de bedrijfsarts verantwoordelijke is, de systeem leverancier de rol van verwerker heeft en de werkgever de opdrachtgever is van het systeem.
Zie voor een verdere uitleg ook dit artikel van de AP.
10. Kan ik mijn HR systeem koppelen met het verzuimsysteem van de arbodienst?
Vanuit de AVG mogen persoonsgegevens van werknemers, waar geen zorgvraag voor is, niet doorgegeven worden aan de arbodienst. Het koppelen van het HR systeem van een werkgever kan ertoe leiden dat alle werknemers, dus ook de werknemers zonder zorgvraag, doorgegeven worden aan de arbodienst. Dit is tegen de regels van de AP, die heeft verklaard dat er voor werknemers zonder zorgvraag geen afdoende grondslag is om persoonsgegevens überhaupt te verwerken. Otherside at Work heeft daarom de Datavault ontwikkeld. Lees hier meer over de Datavault.
Bij het koppelen van een HR systeem met de arbodienst is het dus belangrijk om te toetsen of niet de persoonsgegevens, waarvoor geen zorgvraag van toepassing is, niet direct worden doorgegeven aan de arbodienst. Dit kan wellicht door voor mensen zonder zorgvraag, alleen een werknemer ‘zonder persoon-herleidbare gegevens’ op te voeren, of door alleen personen op te voeren waar ook al een zorgvraag (bv de ziekmelding) voor is.