Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Arbodiensten en hun IT-leveranciers worden geacht persoonlijke gezondheidsinformatie van hun cliënten in verzuimsystemen veilig te houden (conform de AVG wetgeving). Dit betekent dat IT-systemen goed afgeschermd zijn en gebruikers van verzuimsystemen de vertrouwelijkheid uiterst secuur naleven tijdens hun werk.

...

Er is geen wettelijk kader voor CompuCase om te voldoen aan deze checklist anders dan de AVG bepalingen met betrekking tot informatiebeveiliging. Uiteraard respecteert CompuCase de SBCA “Regeling Certificatie Arbodiensten” en is dan ook ISO 27001 gecertificeerd en werkt graag mee aan de invulling van de eisen uit de DNV IB checklist voor arbodiensten.

Daar houdt het voor CompuCase in de praktijk niet op. We gaan veel verder m.b.t. informatieverwerking en beveiliging. Onze toepassingen maken deel uit van Oracle Cloud Infrastructure met de uiterst geavanceerd Oracle Beveiliging, Identiteit en Compliance frameworks.

...

Om duidelijkheid te scheppen rondom de DNV’s “IB checklist voor arbodiensten” hebben we de vragen en antwoorden in de onderstaande tabel in generieke zin toegelicht.

Opgemerkt dient te worden dat de inhoudelijke toetsing en bewijsvoering van alle vragen uit de checklist ook onderdeel zijn van de ISO 27001 certificering door DNV. CompuCase voldoet en Oracle Cloud Services voldoen middels de ISO27001 certificering ook automatisch aan de DNV’s “IB checklist voor arbodiensten”.

Drawio
mVer2
zoom1
simple0
inComment0
custContentId665354248
pageId656277506
lbox1
diagramDisplayNameDiagram zonder titel-1725988632282.drawio
contentVer3
revision3
baseUrlhttps://compucase.atlassian.net/wiki
diagramName1726235118073-Diagram zonder titel-1725988632282.drawio
pCenter0
width711
links
tbstyle
height285

...

Vraag

Arbodienst

CompuCase als Leverancier verzuimsysteem.

Controle

1.1 Is geheimhouding van personeel Arbodiensten en leveranciers contractueel vastgelegd?

De Arbodienst legt geheimhoudingseisen vast in arbeidsovereenkomsten en bijlages

CompuCase heeft geheimhoudingseisen vastgelegd in arbeidsovereenkomsten en bijlages

DNV tijdens ISO27001 audits

2.0 Werkt de leverancier van verzuimsystemen conform AVG eisen ? (richtsnoeren van de AP)

De Arbodienst en CompuCase sluiten een verwerkersovereenkomst af met AVG eisen.

De AVG verwerkersovereenkomst is een bijlage van de dienstverlenings-overeenkomst van CompuCase.

DNV tijdens ISO27001 audits

2.1 Is de leverancier ISO 27001 gecertificeerd.

De Arbodienst vereist dit van CompuCase

CompuCase is ISO 27001 gecertificeerd door DNV.

DNV tijdens ISO27001 audits

2.2 Is er met de leverancier van verzuimsysteem een dienstverleningsovereenkomst (Engels: Service Level Agreement) gesloten?

De Arbodienst en CompuCase sluiten een dienstverleningsovereenkomst (EN: SLA).

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst (SLA) aan arbodiensten.

DNV tijdens ISO27001 audits

2.3 Is er per leverancier verzuimsystemen een verwerkersovereenkomst afgesloten?
zie ook 2.0

De Arbodienst en CompuCase sluiten een verwerkersovereenkomst. (AVG)

CompuCase levert haar diensten conform de AVG verwerkersovereenkomst (bijlage van de dienstverleningsovereenkomst).

DNV tijdens ISO27001 audits

2.4 Zijn er informatiebeveiligingseisen met leveranciers verzuimsystemen overeengekomen ?

CompuCase en Arbodienst sluiten een dienstverleningsovereenkomst (EN: SLA) met informatiebeveiligingseisen.

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst waarin informatiebeveiliging-eisen zijn opgenomen waaronder beschikbaarheid en vertrouwelijkheid, alles in lijn met ISO 27001.

DNV tijdens ISO27001 audits

2.5 Wordt de overeengekomen informatiebeveiligingseisen in samenspraak met leveranciers verzuimsystemen gemonitord, beoordeeld en ge-audit?

De Arbodienst beoordeelt de overeengekomen informatiebeveiligingseisen, (of laat dit over aan DNV ISO27001 auditoren).

CompuCase rapporteert regelmatig de resultaten van haar dienstverlening inclusief beschikbaarheid en vertrouwelijkheid van haar arbodienst-toepassingen. DNV audit CompuCase jaarlijks aan de hand van ISO 27001 eisen.

DNV tijdens ISO27001 audits

3.0 Locaties met IT-werkzaamheden.

De Arbodienst beveiligt de locaties waar IT-werkzaamheden worden uitgevoerd.

CompuCase toepassingen zijn volledig SAAS. De data bevinden zich in Oracle Cloud Solutions (binnen Europa). De fysieke locaties beperken zich tot werkplekken zonder opslag van vertrouwelijke informatie.

DNV tijdens ISO27001 audits

4.0 De arbodienst zelf heeft passende technische en organisatorische maatregelen om persoonlijke gezondheidsinformatie veilig te houden.

De Arbodienst heeft passende technische en organisatorische maatregelen genomen.

De aan CompuCase toevertrouwde persoonlijke gezondheidsinformatie zijn ondergebracht in Oracle Cloud Solutions. Zowel Oracle als CompuCase zijn ISO 27001 gecertificeerd.

DNV tijdens ISO27001 audits

4.1 De arbodienst behoort regelmatig een risicoanalyse informatiebeveiliging verzuimsystemen uit te voeren.

De arbodienst Arbodienst voert regelmatig een risicoanalyse informatiebeveiliging uit.

CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief de vereiste risicoanalyse.

DNV tijdens ISO27001 audits

4.2 De risicoanalyse behoort input te leveren voor Informatiebeveiliging verzuimsystemen

De arbodienst Arbodienst gebruikt de resultaten van de risicoanalyse als input voor het managen van haar informatiebeveiliging

CompuCase heeft een managementsysteem voor informatiebeveiliging (ISMS) wat voldoet aan ISO 27001 normeisen inclusief managen van resultaten van de risicoanalyse.

DNV tijdens ISO27001 audits

4.3a De arbodienst Arbodienst behoort informatiebeveiliging verzuimsystemen procesmatig in te richten

De arbodienst Arbodienst heeft informatiebeveiliging procesmatig ingericht.

CompuCase heeft een procesmatig ingericht managementsysteem voor informatiebeveiliging conform ISO 27001 certificeringseisen

DNV tijdens ISO27001 audits

4.3b De arbodienst Arbodienst behoort een wijzigingsproces verzuimsystemen incl. informatiebeveiliging in te richten

4.3b De arbodienst Arbodienst heeft een wijzigingsproces informatiebeveiliging.

CompuCase voert wijzigingen en verbeteringen (releasemanagement) in systemen en CompuCase toepassingen inclusief informatiebeveiliging, procesmatig uit.

DNV tijdens ISO27001 audits

4.3c De arbodienst Arbodienst behoort uitbestede informatiebeveiliging processen passend te beheersen

4.3c De arbodienst Arbodienst heeft uitbestede informatiebeveiliging processen beheerst middels een dienstverleningsovereenkomst (EN: SLA).

CompuCase levert haar diensten conform haar dienstverleningsovereenkomst. CompuCase heeft op haar beurt een overeenkomst met Oracle en een managementsysteem om de dienstverlening te monitoren en te beheersen.

DNV tijdens ISO27001 audits

4.4 De arbodienst Arbodienst behoort de risicobeoordelingen regelmatig te herzien.

De arbodienst Arbodienst herziet de risicobeoordelingen regelmatig.

CompuCase herziet de risicobeoordelingen regelmatig bij grote en kleine wijzigen en tenminste jaarlijks.

DNV tijdens ISO27001 audits

4.5 De arbodienst Arbodienst behoort (indien noodzakelijk) aan de hand van risicobeoordelingen verbeterplannen uit te voeren.

De arbodienst Arbodienst voert verbeterplannen uit aan de hand van de resultaten van risicobeoordelingen.

CompuCase voert regelmatig verbeteringen uit, al dan niet voortkomend uit risicobeoordelingen.

DNV tijdens ISO27001 audits

4.6 De arbodienst Arbodienst behoort te beschikken over een jaarlijks geactualiseerde DPIA (AVG)

De arbodienst Arbodienst beschikt over een jaarlijks geactualiseerde DPIA (AVG)

CompuCase beschikt over een jaarlijks geactualiseerde DPIA (AVG)

DNV tijdens ISO27001 audits

4.7 De arbodienst Arbodienst behoort over een geactualiseerd verwerkingsregister te beschikken.

De arbodienst Arbodienst beschikt over een actueel verwerkingsregister.

CompuCase beschikt over een actueel verwerkingsregister.

DNV tijdens ISO27001 audits

5.1 De arbodienst Arbodienst behoort te beschikken over een adequaat informatiebeveiligingsbeleid.

De arbodienst Arbodienst beschikt over een actueel informatiebeveiliging beleid.

CompuCase beschikt over een actueel informatiebeveiligingsbeleid.

DNV tijdens ISO27001 audits

5.2 De arbodienst Arbodienst behoort over een incidentmanagement proces IB te beschikken

De arbodienst Arbodienst beschikt over een incidentmanagement proces IB

CompuCase beschikt over een incidentmanagementproces IB

DNV tijdens ISO27001 audits

5.3 De arbodienst Arbodienst behoort te beschikken over een bedrijfscontinuiteit-proces incl. IB aspecten verzuimsystemen.

De arbodienst Arbodienst beschikt over een bedrijfscontinuiteit-proces incl. IB aspecten

CompuCase beschikt over een bedrijfscontinuïteit-proces incl. IB aspecten

DNV tijdens ISO27001 audits

5.4 De arbodienst Arbodienst behoort de werking van technische middelen te monitoren en te controleren incl. IB aspecten.

De arbodienst Arbodienst controleert de werking van technische middelen middels monitoring en verbetert deze waar nodig.

CompuCase controleert de werking van technische middelen middels monitoring en verbetert deze waar nodig in samenspraak met Oracle Cloud services.

DNV tijdens ISO27001 audits

5.5 De arbodienst Arbodienst behoort een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

De arbodienst Arbodienst heeft een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

CompuCase heeft een actueel beeld te hebben van geldende wet en regelgeving incl. IB aspecten en de implicaties ervan.

DNV tijdens ISO27001 audits

5.6 De arbodienst Arbodienst behoort een overzicht te hebben van informatie-verwerkende middelen (incl verzuimsystemen)

De arbodienst Arbodienst heeft een overzicht van informatie-verwerkende middelen

CompuCase heeft een actueel overzicht van informatie-verwerkende middelen

DNV tijdens ISO27001 audits

5.7 De arbodienst Arbodienst behoort een procedure te volgen voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

De arbodienst Arbodienst volgt een procedure voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

CompuCase volgt een procedure voor uitgifte en inname bedrijfsmiddelen, en bijbehorende toegangsrechten.

DNV tijdens ISO27001 audits

5.8 De arbodienst Arbodienst behoort bedrijfsmiddelen te classificeren en waar nodig middelen te labelen.

De arbodienst Arbodienst classificeert bedrijfsmiddelen en waar nodig labelt deze middelen.

CompuCase classificeert bedrijfsmiddelen en waar nodig labelt deze middelen.

DNV tijdens ISO27001 audits

5.9 De arbodienst Arbodienst behoort netwerken passend te beveiligen

De arbodienst Arbodienst heeft netwerken passend beveiligd.

CompuCase heeft netwerken passend beveiligd.

DNV tijdens ISO27001 audits

5.10 De arbodienst Arbodienst behoort beleid te hebben voor gebruik van mobiele apparatuur (met gevoelige info)

De arbodienst Arbodienst heeft beleid voor gebruik van mobiele apparatuur.

CompuCase maakt geen gebruik van mobiele apparatuur (met gevoelige info arbodiensten)

DNV tijdens ISO27001 audits

5.11 De arbodienst Arbodienst behoort mobiele apparatuur (met gevoelige info) te versleutelen.

De arbodienst Arbodienst heeft mobiele apparatuur (met gevoelige info) versleuteld.

CompuCase heeft mobiele apparatuur versleuteld, maar heeft geen gevoelige info op mobiele devices.

DNV tijdens ISO27001 audits

5.12 De arbodienst Arbodienst behoort wijzingen aan software (verzuimsystemen) procesmatig uit te voeren.

De arbodienst Arbodienst voert de wijzingen aan software procesmatig uit.

CompuCase kent een uitgebreide wijzigingsprocedure (inclusief systeem en gebruikers-tests. Upgrades worden waar nodig tijdig en automatisch uitgevoerd op servers door Oracle Cloud services. CompuCase toepassing voor arbodiensten wijzingen worden aangekondigd middels release notes

DNV tijdens ISO27001 audits

5.13 De arbodienst Arbodienst behoort Speciale rechten o.a. administrators rechten te minimaliseren en extreem goed te bewaken.

De arbodienst Arbodienst minimaliseert speciale rechten o.a. administrators rechten en bewaakt deze goed.

De door CompuCase toegepaste Oracle Cloud Services kent een zeer geavanceerd systeem voor administrators toegang (Cloud guard, Basition, 2FA, Root of trust, Key Identity and Access Management incl. breaking glass).

DNV tijdens ISO27001 audits

5.14 De arbodienst Arbodienst dient regels op te stellen access management (incl, 2FA verzuimsystemen)

De arbodienst Arbodienst heeft regels voor access management met minimaal 2FA.

Oracle Cloud Services is uitsluitend te benaderen middels Cloud Guard, Basition, (2FA, Tokens etc)

DNV tijdens ISO27001 audits

5.15 De Arbodienst dient tenminste 2FA verzuimsystemen toe te passen

De Arbodienst past minimaal 2FA toe

CompuCase applicaties zijn uitsluitend te benaderen middels 2FA

DNV tijdens ISO27001 audits

5.16 De Arbodienst dient haar systemen te voorzien van anti-virus en malware beveiliging.

De Arbodienst heeft haar systemen voorzien van anti-virus en malware beveiliging.

CompuCase maakt gebruik van werkplekken voorzien van anti-virus en malware beveiliging. Daarnaast is Oracle Coud Services voorzien van uitgebreide anti-virus en malware beveiliging en is actief in treath hunting.

DNV tijdens ISO27001 audits

5.17 De arbodienst Arbodienst dient een passend backup beleid te voeren.

De Arbodienst voert een actief backupbeleid

CompuCase maakt gebruik van Oracle Cloud services welke is voorzien van een geavanceerd data protection system.

DNV tijdens ISO27001 audits

5.18 De arbodienst Arbodienst dient relevante gebeurtenissen in IT-systemen te registreren, te bewaard en regelmatig te beoordelen?

De arbodienst Arbodienst registreert, bewaart en beoordeelt relevante gebeurtenissen in IT-systemen

Compucase toepassing kent een uitgebreide registratie van gebruikersactiviteiten. Relevante gebeurtenissen wordt automatisch gemeld. Daarnaast kent Oracle Cloud services een uitgebreid logging en monitoring systeem. Verder controleert CompuCase de beschikbaarheid van de toepassing continue.

DNV tijdens ISO27001 audits

5.19 De arbodienst Arbodienst ontwikkelt zelf (verzuim)applicaties.

De arbodienst kan Arbodienst ontwikkelt zelf geen (verzuim)applicaties ontwikkelen dan-wel gebruik maken maar maakt gebruik van CompuCase verzuimapplicaties.

5.20 De ontwikkelaar van (verzuim)applicaties dient het ontwikkelproces beleidsmatig en procesmatig uit te voeren.

nvt

CompuCase ontwikkelt haar toepassing met behulp van Oracle Business Rules.

DNV tijdens ISO27001 audits

5.21 De ontwikkelaar dient bij de ontwikkeling eisen voor informatiebeveiliging te integreren.

nvt

CompuCase ontwikkelt Oracle Business Rules en Oracle Cloud services waarin eisen voor informatiebeveiliging zijn geïntegreerd.

DNV tijdens ISO27001 audits

5.22 De ontwikkelaar dient principes voor de engineering van beveiligde systemen te integreren.

nvt

CompuCase ontwikkelt Oracle Business Rules en Oracle Cloud services waarin eisen (en in de praktijk gangbare technologieën)voor beveiligde systemen zijn geïntegreerd.

DNV tijdens ISO27001 audits

5.23 De ontwikkelaar dient de ontwikkel, test en acceptatie-omgeving adequaat te beveiligen indien van toepassing.

nvt

CompuCase ontwikkelt uitsluitend gebruik makend van Oracle Business Rules en Oracle Cloud services en hanteert naast de Productie een test / Ontwikkelomgeving

DNV tijdens ISO27001 audits

5.24 De ontwikkelaar dient nieuwe versies en wijzingen verzuimsystemen beheerst door te voeren.

nvt

CompuCase ontwikkelt uitsluitend gebruik makend van een ontwikkel / test omgeving. De geplande wijzingen-eisen worden vooraf uitvoering geanalyseerd en na een uitvoerige test in productie gebracht. Wijzigingen worden aangekondigd in release notes..

DNV tijdens ISO27001 audits

5.25 De ontwikkelaar dient tijdens ontwikkel en test-activiteiten verzuimsystemen rekenschap geven aan beveiligingsfunctionaliteiten.




CompuCase ontwikkelt uitsluitend gebruik makend van Oracle Business Rules met eenmaal ingestelde beveiligingsfunctionaliteiten. Indien beveiligingsfunctionaliteit wordt aangepast wordt het 4 ogen principe toegepast. Tijdens test en vrijgave wordt de ingestelde beveiligingsfunctionaliteiten standaard getest voor zover van toepassing.

DNV tijdens ISO27001 audits

5.26 De arbodienst Arbodienst behoort bij indiensttreding de referenties te controleren en een VOG te verlangen.

De arbodienst Arbodienst controleert bij indiensttreding de referenties en verlangt een VOG.

CompuCase controleert bij indiensttreding de referenties en verlangt een VOG.

DNV tijdens ISO27001 audits

5.27 De Arbodienst behoort continue aandacht te schenken aan informatiebeveiliging (training en bewustwording)

De Arbodienst schenkt continue aandacht aan informatiebeveiliging (training en bewustwording)

CompuCase heeft continue aandacht voor informatiebeveiliging.

DNV tijdens ISO27001 audits

5.28 De Arbodienst behoort eisen te stellen en dit regelmatig te controleren bij gebruik van apparatuur door derden (BYOD) o.a. virusscanner, versleuteling, veilig e-mailen en toepassing van een virtuele werkplek.

De Arbodienst stelt (contractuele) eisen en controleert dit regelmatig aan gebruik van apparatuur door derden (BYOD) o.a. virusscanner, versleuteling, veilig e-mailen en toepassing van een virtuele werkplek.

CompuCase staat geen apparatuur van derden toe

DNV tijdens ISO27001 audits

5.29 Indien van toepassing behoort de arbodienst Arbodienst beveiligingseisen te stellen aan externen die gebruik maken van eigen verzuimsysteem zoals ISO27001/NEN7510.

De Arbodienst stelt beveiligingseisen aan externen die gebruik maken van eigen verzuimsysteem zoals ISO27001/NEN7510.

n.v.t.

5.30 De arbodienst Arbodienst behoort de toegang tot kantoren en speciale ruimtes (serverruimtes) passend te beveiligen

De arbodienst Arbodienst heeft de toegang tot kantoren en speciale ruimtes (serverruimtes) passend beveiligd.

CompuCase heeft gevoelige data uitsluitend opgeslagen in SAAS oplossingen, o.a. Oracle Cloud Services welke passend beveiligd zijn conform richtlijnen datacenters.

DNV tijdens ISO27001 audits

5.31 De arbodienst Arbodienst behoort een overzicht te hebben van toegangssleutels en tokens

De arbodienst Arbodienst heeft een overzicht van toegangssleutels en tokens.

CompuCase heeft een overzicht van toegangssleutels en tokens.

DNV tijdens ISO27001 audits

5.32 De arbodienst Arbodienst behoort requirements op te stellen voor de beheersing van speciale ruimtes (serverruimtes).

De arbodienst Arbodienst heeft speciale ruimtes (serverruimtes) ingericht en beheerst conform requirements.

CompuCase heeft gevoelige data uitsluitend opgeslagen in SAAS oplossingen, o.a. Oracle Cloud Services welke passend ingericht zijn conform richtlijnen datacenters.

DNV tijdens ISO27001 audits

5.33 De arbodienst Arbodienst behoort een Clear Screen / Clean Desk beleid toe te passen.

De arbodienst Arbodienst past een Clear Screen / Clean Desk beleid toe.

CompuCase past een Clear Screen / Clean Desk beleid toe.

DNV tijdens ISO27001 audits

...