Arbodiensten en hun IT-leveranciers worden geacht persoonlijke gezondheidsinformatie van hun cliënten veilig te houden (conform de AVG en beschiknbaarwetwetgeving). Dit betekent dat IT-systemen goed afgeschermd worden en gebruikers van persoonlijke gezondheidsinformatie de vertrouwelijkheid uiterst secuur naleven tijdens (en na hun) werk.
Als IT leverancier van toepassingen voor arbodiensten hanteert CompuCase een dienstverleningsovereenkomst dienstverlenings-overeenkomst (Engels: Service Level Agreement) en een AVG verwerkersovereenkomst waarin afspraken zijn vastgelegd omtrent de beschikbaarheid van haar toepassingen en de vertrouwelijkheid van persoonlijke gezondheidsinformatie die CompuCase in haar toepassingen voor haar klanten verwerkt.
| Drawio | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Om de kwaliteit van arbodienstverlening van arbodiensten te waarborgen is de stichting SBCA in het leven geroepen. Het door SBCA specifiek voor arbodiensten opgesteld kwaliteit-raamwerk “Regeling Certificatie Arbodiensten” biedt helderheid over eisen en voorwaarden waaraan de kwaliteit van arbodiensten en hun ÏT-leveranciers moeten voldoen. Zo is o.a. bepaalt bepaald dat IT-leveranciers moeten voldoen aan ISO 27001 normbepalingen norm voor informatiebeveiliging en dat ook actief laten controleren door een certificatie-instelling zoals bijvoorbeeld de firma DNV.
| Drawio | ||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
...
Er is geen wettelijk kader voor CompuCase anders dan de AVG bepalingen met betrekking tot informatiebeveiliging. Uiteraard respecteert CompuCase de SBCA “Regeling Certificatie Arbodiensten” en is door DNV ISO27001 gecertificeerddan ook ISO 27001 gecertificeerd.
Daar houdt het voor CompuCase in de praktijk niet op. We gaan veel verder m.b.t. informatieverwerking en beveiliging. Onze toepassingen maken deel uit van Oracle Cloud Infrastructure met de uiterst geavanceerd Oracle Beveiliging, Identiteit en Compliance frameworks
...
Mocht u inhoudelijk meer vragen hebben, kunt u altijd contact opnemen met onze information security manager.
Vraag | Arbodienst |
|---|
CompuCase als |
|---|
Leverancier Arbodienst toepassingen. | |
|---|---|
1.1 Is geheimhouding van personeel contractueel vastgelegd? | Arbodienst legt geheimhoudingseisen vast in arbeidsovereenkomsten. |
CompuCase heeft geheimhoudingseisen vastgelegd in in arbeidsovereenkomsten. | ||
2.0 Werkt de leverancier conform AVG eisen ? (richtsnoeren van de AP) | Arbodienst en leverancier sluiten een verwerkersovereenkomst af met AVG eisen. | De AVG verwerkersovereenkomst is een bijlage van de dienstverlenings-overeenkomst van CompuCase. |
2.1 Is de leverancier ISO 27001 gecertificeerd. | Arbodienst vereist dit van leverancier | CompuCase is |
ISO 27001 gecertificeerd door DNV. | ||
2.2 Is er met de leverancier een dienstverleningsovereenkomst (Engels: Service Level Agreement) gesloten? | Arbodienst en leverancier sluiten een dienstverleningsovereenkomst (EN: SLA). | CompuCase levert haar diensten conform haar dienstverleningsovereenkomst ( |
SLA) aan arbodiensten. | ||
2.3 Is er per leverancier een verwerkersovereenkomst afgesloten? | Arbodienst en leverancier sluiten een verwerkersovereenkomst | CompuCase levert haar diensten conform de AVG verwerkersovereenkomst (bijlage van de dienstverleningsovereenkomst). |
2.4 Zijn er informatiebeveiligingseisen |
met leveranciers overeengekomen ? | Arbodienst |
sluit een dienstverleningsovereenkomst (EN: SLA) met leverancier met informatiebeveiligingseisen. | CompuCase levert haar diensten conform haar dienstverleningsovereenkomst waarin informatiebeveiliging |
-eisen zijn opgenomen waaronder beschikbaarheid en vertrouwelijkheid, alles in lijn met ISO 27001. |
2.5 Wordt de overeengekomen informatiebeveiligingseisen |
in samenspraak met leveranciers gemonitord, beoordeeld en ge-audit? | Arbodienst |
CompuCase wordt jaarlijks door DNV geaudit mb.t. informatiebeveiligings-eisen ISO 27001.
beoordeelt de overeengekomen informatiebeveiligingseisen. | CompuCase rapporteert regelmatig de resultaten van haar dienstverlening inclusief beschikbaarheid en vertrouwelijkheid van haar arbodienst-toepassingen. DNV audit CompuCase jaarlijks aan de hand van ISO 27001 eisen. | |
3.0 Locaties met IT-werkzaamheden. | Arbodienst beveiligt de locaties waar IT-werkzaamheden worden uitgevoerd | CompuCase toepassingen zijn volledig SAAS. De data bevinden zich in Oracle Cloud Solutions (binnen Europa). De fysieke locaties beperken zich tot werkplekken zonder opslag van vertrouwelijke informatie. |
4.0 De arbodienst zelf heeft passende technische en organisatorische maatregelen om persoonlijke gezondheidsinformatie veilig te houden. | Arbodienst heeft passende technische en organisatorische maatregelen |
genomen | De aan CompuCase toevertrouwde persoonlijke gezondheidsinformatie |
zijn ondergebracht in Oracle Cloud Solutions. Zowel Oracle als CompuCase zijn ISO 27001 gecertificeerd. | |
4.1 De arbodienst behoort regelmatig een risicoanalyse informatiebeveiliging uit te voeren. | De arbodienst voert regelmatig een risicoanalyse informatiebeveiliging uit |
De arbodienst neemt afdoende maatregelen
De arbodienst analyseert incidenten en neemt corrigerende acties
De arbodienst voert interne audits en maakt jaarverslagen
De Arbodienst hanteert een Informatiebeveiligingsmanagement systeem conform NEN7510 richtlijnen.
Conform de ISO 27001 certificering:
voert CompuCase
regelmatig een risicoanalyse informatiebeveiliging uit,
neemt afdoende maatregelen,
analyseert incidenten en neemt corrigerende acties,
voert interne audits uit en maakt IB jaarverslagen, alles ondergebracht in een Informatiebeveiligingsmanagementsysteem (ISMS)
Dit wordt jaarlijks door DNV getoetst.
Is er een IB-risicobeoordelingsprocedure
is onderdeel van het Informatiebeveiligingsmanagement systeem conform NEN 7510
CompuCase hanteert daarvoor Informatiebeveiligingsmanagement op basis van ISO 27001.
Dit wordt jaarlijks getoetst door DNV getoetst.
Is er een behandelprocedure voor informatiebeveiligingsrisico’s. Dit wil zeggen: zijn maatregelen bepaald die de risico's binnen geaccepteerd niveau houden
is onderdeel van het Informatiebeveiligingsmanagement systeem conform NEN 7510
CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief risicoanalyse. | ||
4.2 De risicoanalyse behoort input te leveren voor Informatiebeveiliging | De arbodienst gebruikt de resultaten van de risicoanalyse als input voor het managen van haarinformatiebeveiliging | CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief managen van resultaten van de risicoanalyse. |
4.3a De arbodienst behoort informatiebeveiliging procesmatig in te richten | De arbodienst heeft informatiebeveiliging procesmatig in te richten | CompuCase heeft een procesmatig ingericht managementsysteem voor informatiebeveiliging. (ISO 27001 certificering) |
4.3b De arbodienst behoort een wijzigingsproces informatiebeveiliging in te richten | 4.3b De arbodienst heeft een wijzigingsproces informatiebeveiliging. | CompuCase voert wijzigingen en verbeteringen (releasemanagement) in systemen en CompuCase toepassingen inclusief informatiebeveiliging procesmatig uit. (ISO 27001 certificering) |
4.3c De arbodienst behoort uitbestede informatiebeveiliging processen te beheersen | 4.3c De arbodienst heeft uitbestede informatiebeveiliging processen beheerst middels een dienstverleningsovereenkomst (EN: SLA). | CompuCase levert haar diensten conform haar dienstverleningsovereenkomst. CompuCase heeft op haar beurt een overeenkomst met Oracle en een managementsysteem om de dienstverlening te monitoren en te beheersen. (ISO 27001 certificering) |
4.4 De arbodienst behoort de risicobeoordelingen regelmatig te herzien. | De arbodienst herziet de risicobeoordelingen regelmatig. | CompuCase herziet de risicobeoordelingen regelmatig bij grote en kleine wijzigen en tenminste jaarlijks. (onderdeel van ISO 27001 certificering) |
4.5 De arbodienst behoort (indien noodzakelijk) aan de hand van risicobeoordelingen verbeterplannen uit te voeren. | De arbodienst voert verbeterplannen uit aan de hand van de resultaten van risicobeoordelingen. | CompuCase voert regelmatig verbeteringen uit, al dan niet voortkomend uit risicobeoordelingen (ISO 27001 certificering) |
4.6 De arbodienst behoort te beschikken over een jaarlijks geactualiseerde DPIA (AVG) | De arbodienst beschikt over een jaarlijks geactualiseerde DPIA (AVG) | CompuCase beschikt over een jaarlijks geactualiseerde DPIA (AVG).(ISO 27001 certificering) |
4.7 De arbodienst behoort over een geactualiseerd verwerkingsregister te beschikken. | De arbodienst beschikt over een actueel verwerkingsregister. | CompuCase beschikt over een actueel verwerkingsregister. (ISO 27001 certificering) |