7 September 2015

Het CBP en verzuimsystemen

Beheerders van verzuimsystemen onder de loep van het CBP.

AuditConnect adviseert momenteel twee organisaties die vanuit het CBP een brief hebben ontvangen over de beveiliging van verzuimsystemen. Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek bij een andere organisatie die een verzuimsysteem gebruikt, geconcludeerd dat de beveiliging van het betreffende verzuimsysteem niet op orde was. Daarom heeft ze 53-tal andere organisaties (beheerders van verzuimsystemen) een brief gestuurd om hen te sommeren hier aandacht aan te besteden.

Veel organisaties en arbodiensten gebruiken verzuimsystemen voor het verwerken van verzuim, verlof en medische gegevens van werknemers. Het CBP stelt dat beheerder/bewerker van verzuimsystemen verantwoordelijk is voor een adequate beveiliging van de medische gegevens in deze systemen. Het CBP wil dat al deze organisaties ervoor zorgen dat er passende maatregelen genomen zijn voor de beveiliging van o.a. medische gegevens.

Een aantal voorbeelden van richtlijnen die het CBP stelt zijn:

  • Meerfactor-authenticatie ook wel meervoudige authenticatie genoemd: toegang tot deze systemen moet alleen mogelijk zijn door naast identificatie via een gebruikersnaam en een wachtwoord ook nog op een andere manier de identiteit aan te tonen. Uitsluitend een gebruikersnaam en wachtwoord zijn dus niet voldoende!
  • Het periodiek in kaart brengen van beveiligingsrisico’s (bijvoorbeeld middels penetratietesten en / of security scans);
  • Er moeten passende (organisatorische en/of technische) maatregelen worden getroffen om de geconstateerde risico’s/kwetsbaarheden te beperken dan wel te voorkomen. (bv een softwarefilter, implementatie van de norm NEN-ISO/ IEC 27001, de inrichting van een intern security team ed.);
  • Als er medische gegevens in het (verzuim)systeem zijn opgenomen dan gelden hiervoor extra wettelijke eisen. Een organisatie moet kunnen aantonen bij onderzoek dat aan deze eisen worden voldaan en dat de informatie goed is beveiligd.

Het CBP heeft aangegeven zo nodig onderzoek te doen als er aanwijzingen zijn van strijd met de Wet bescherming persoonsgegevens (Wbp) bij beheerders van verzuimsystemen.

Privacy experts van AuditConnect

Onze organisatie is expert op het gebied van huidige en aankomende (EU-)privacywetgeving en toepassingen/consequenties ervan. Wij zijn op de hoogte van de laatste ontwikkelingen op dit gebied en hebben jarenlange ervaring met het opstellen en uitvoeren van privacy beleid, beveiligingsrichtlijnen, bewerkersovereenkomsten, Privacy Impact Assessments (PIA’s), Privacy Enhanced Technologies (PET), privacy by design en privacy bij default.

Zoekt u snel, deskundig en betaalbaar advies op het gebied van Privacy? Neem contact met ons op! Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen. We kijken er naar uit om met u samen te werken.

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect