Het CBP en verzuimsystemen

Beheerders van verzuimsystemen onder de loep van het CBP.

12secure-u adviseert momenteel twee organisaties die vanuit het CBP een brief hebben ontvangen over de beveiliging van verzuimsystemen. Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek bij een andere organisatie die een verzuimsysteem gebruikt, geconcludeerd dat de beveiliging van het betreffende verzuimsysteem niet op orde was. Daarom heeft ze 53-tal andere organisaties (beheerders van verzuimsystemen) een gestuurd om hen te sommeren hier aandacht aan te besteden.

Veel organisaties en arbodiensten gebruiken verzuimsystemen voor het verwerken van verzuim, verlof en medische gegevens van werknemers. Het CBP stelt dat beheerder/bewerker van verzuimsystemen verantwoordelijk is voor een adequate beveiliging van de medische gegevens in deze systemen. Het CBP wil dat al deze organisaties ervoor zorgen dat er passende maatregelen genomen zijn voor de beveiliging van o.a. medische gegevens.

Een aantal voorbeelden van richtlijnen die het CBP stelt zijn:

Meer factor-authenticatie ook wel meervoudige authenticatie genoemd: toegang tot deze systemen moet alleen mogelijk zijn door naast identificatie via een gebruikersnaam en een wachtwoord ook nog op een andere manier de identiteit aan te tonen. Uitsluitend een gebruikersnaam en wachtwoord zijn dus niet voldoende!

Het periodiek in kaart brengen van beveiligingsrisico’s (bijvoorbeeld middels penetratietesten en / of security scans);

Er moeten passende (organisatorische en/of technische) maatregelen worden getroffen om de geconstateerde risico’s/kwetsbaarheden te beperken dan wel te voorkomen. (bv een softwarefilter, implementatie van de norm NEN-ISO/ IEC 27001, de inrichting van een intern security team ed.);

Als er medische gegevens in het (verzuim)systeem zijn opgenomen dan gelden hiervoor extra wettelijke eisen. Een organisatie moet kunnen aantonen bij onderzoek dat aan deze eisen worden voldaan en dat de informatie goed is beveiligd.

Het CBP heeft aangegeven zo nodig onderzoek te doen als er aanwijzingen zijn van strijd met de Wet bescherming persoonsgegevens (Wbp) bij beheerders van verzuimsystemen.

Privacy experts van 12secure-u

Onze organisatie is expert op het gebied van huidige en aankomende (EU-)privacywetgeving en toepassingen/consequenties ervan. Wij zijn op de hoogte van de laatste ontwikkelingen op dit gebied en hebben jarenlange ervaring met het opstellen en uitvoeren van privacy beleid, beveiligingsrichtlijnen, vewerkersovereenkomsten, Privacy Impact Assessments (PIA’s), Privacy Enhanced Technologies (PET), Privacy-by-Design en Privacy-by-default.