Arbodiensten en hun IT-leveranciers worden geacht persoonlijke gezondheidsinformatie van hun cliënten veilig te houden (conform de AVG en beschiknbaarwet). Dit betekent dat IT-systemen goed afgeschermd worden en gebruikers van persoonlijke gezondheidsinformatie de vertrouwelijkheid uiterst secuur naleven tijdens (en na hun) werk.
Als IT leverancier van toepassingen voor arbodiensten hanteert CompuCase een dienstverleningsovereenkomst (Engels: Service Level Agreement en een AVG verwerkersovereenkomst waarin afspraken zijn vastgelegd omtrent de beschikbaarheid van haar toepassingen en de vertrouwelijkheid van persoonlijke gezondheidsinformatie die CompuCase in haar toepassingen voor haar klanten verwerkt.
Om de kwaliteit van arbodienstverlening van arbodiensten te waarborgen is de stichting SBCA in het leven geroepen. Het door SBCA specifiek voor arbodiensten opgesteld kwaliteit-raamwerk “Regeling Certificatie Arbodiensten” biedt helderheid over eisen en voorwaarden waaraan de kwaliteit van arbodiensten en hun ÏT-leveranciers moeten voldoen. Zo is o.a. bepaalt dat IT-leveranciers moeten voldoen aan ISO 27001 normbepalingen en dat ook actief laten controleren door een certificatie-instelling zoals bijvoorbeeld de firma DNV.
Naast de inhoudelijke kwaliteit van de Arbodienstverlening toetst DNV sinds enige tijd ook inhoudelijk informatiebeveiliging middels door DNV zelf ontwikkelde vragenlijst ”IB checklist voor arbodiensten”.
Over deze laatst genoemde “IB checklist voor arbodiensten” ontvangt CompuCase veel vragen van haar klanten.
Er is geen wettelijk kader voor CompuCase anders dan de AVG bepalingen met betrekking tot informatiebeveiliging. Uiteraard respecteert CompuCase de SBCA “Regeling Certificatie Arbodiensten” en is door DNV ISO27001 gecertificeerd
Daar houdt het voor CompuCase in de praktijk niet op. We gaan veel verder m.b.t. informatieverwerking en beveiliging. Onze toepassingen maken deel uit van Oracle Cloud Infrastructure met de uiterst geavanceerd Oracle Beveiliging, Identiteit en Compliance frameworks
Oracle Cloud Infrastructure met Oracle Beveiliging, Identiteit en Compliance frameworks | ||
|---|---|---|
Monitoring | Vulnerability Scanning | Key Management |
Security Zones | Threat Detector | Web Application Firewall |
Identity and Access Management | Cloud Guard | Netwerkfirewall |
Geïsoleerde netwerkvirtualisatie | Root-of-trust | Bastion framework |
Autonomous Linux | Wereldwijde regio's | High trust Certificaten |
Om duidelijkheid te scheppen rondom de DNV’s “IB checklist voor arbodiensten” hebben we de vragen en antwoorden in de onderstaande tabel in generieke zin toegelicht.
Mocht u inhoudelijk meer vragen hebben, kunt u altijd contact opnemen met onze information security manager.
Vraag | Arbodienst | Compucase als IT Leverancier |
|---|---|---|
Is geheimhouding van personeel contractueel vastgelegd? | Arbodienst legt geheimhoudingseisen vast in arbeidsovereenkomsten. | Compucase heeft geheimhoudingseisen vastgelegd in in arbeidsovereenkomsten. |
Werkt de leverancier conform AVG eisen ? (richtsnoeren van de AP) | Arbodienst en leverancier sluiten een verwerkersovereenkomst af met AVG eisen. | De AVG verwerkersovereenkomst is een bijlage van de dienstverlenings-overeenkomst van CompuCase. |
Is de leverancier ISO 27001 gecertificeerd. | Arbodienst vereist dit van leverancier | CompuCase is door DNV ISO 27001 gecertificeerd. |
Is er met de leverancier een dienstverleningsovereenkomst (Engels: Service Level Agreement) gesloten? | Arbodienst en leverancier sluiten een dienstverleningsovereenkomst. | CompuCase levert haar diensten conform haar dienstverleningsovereenkomst (Engels: Service Level Agreement ). |
Is er per leverancier een verwerkersovereenkomst afgesloten? | Arbodienst en leverancier sluiten een verwerkersovereenkomst | CompuCase levert haar diensten conform de AVG verwerkersovereenkomst (bijlage van de dienstverleningsovereenkomst). |
Zijn er informatiebeveiligingseisen aan leveranciers overeengekomen ? | Arbodienst stelt voorwaarden aan leverancier. | Compucase levert haar diensten conform haar dienstverleningsovereenkomst waarin informatiebeveiliging opgenomen zijn, alles in lijn met ISO 27001. |
Wordt de overeengekomen informatiebeveiligingseisen aan leveranciers gemonitord, beoordeeld en ge-audit? | Arbodienst mag er vanuit gaan dat DNV de beveiligingseisen van CompuCase audit conform ISO 27001 | CompuCase wordt jaarlijks door DNV geaudit mb.t. informatiebeveiligings-eisen ISO 27001. |
De arbodienst zelf heeft passende technische en organisatorische maatregelen om persoonlijke gezondheidsinformatie veilig te houden. | Arbodienst heeft passende technische en organisatorische maatregelen conform NEN7510 richtlijnen. | De aan CompuCase toevertrouwde persoonlijke gezondheidsinformatie van arbodiensten worden beveiligd conform informatiebeveiligings-eisen ISO 27001. |
De arbodienst voert regelmatig een risicoanalyse informatiebeveiliging uit De arbodienst neemt afdoende maatregelen De arbodienst analyseert incidenten en neemt corrigerende acties De arbodienst voert interne audits en maakt jaarverslagen | De Arbodienst hanteert een Informatiebeveiligingsmanagement systeem conform NEN7510 richtlijnen. | Conform de ISO 27001 certificering: voert CompuCase neemt afdoende maatregelen, analyseert incidenten en neemt corrigerende acties, voert interne audits uit en maakt IB jaarverslagen, alles ondergebracht in een Informatiebeveiligingsmanagementsysteem (ISMS) Dit wordt jaarlijks door DNV getoetst. |
Is er een IB-risicobeoordelingsprocedure
| is onderdeel van het Informatiebeveiligingsmanagement systeem conform NEN 7510 | CompuCase hanteert daarvoor Informatiebeveiligingsmanagement op basis van ISO 27001. Dit wordt jaarlijks getoetst door DNV getoetst. |
Is er een behandelprocedure voor informatiebeveiligingsrisico’s. Dit wil zeggen: zijn maatregelen bepaald die de risico's binnen geaccepteerd niveau houden | is onderdeel van het Informatiebeveiligingsmanagement systeem conform NEN 7510 | is onderdeel van het Informatiebeveiligingsmanagement conform ISO 27001 |