skip to Main Content
Tel: 088-235 3035 | Mail: info@privacyhelder.nl

Nieuwe Privacy Eisen (Gecertificeerde) Arbodiensten

Vanaf 1 januari 2019 is het certificatieschema voor arbodiensten gewijzigd. Dit brengt veel extra eisen op het gebied van privacy met zich mee. 2019 betreft een overgangsjaar voor arbodiensten die al over een certificaat beschikken. In 2019 kunnen arbodiensten kiezen of ze tegen het oude of nieuwe schema willen worden getoetst. Dat geldt voor zowel controle als her certificering audits. Vanaf 2020 zullen alle audits conform het nieuwe schema verlopen. Het is dus noodzakelijk om de wijzigingen zo snel als mogelijk door te voeren.

Hieronder staan de belanrijkste wijzigingen op een rij:

Verplichte risicoanalyse voor informatiebeveiliging

Als onderdeel van het managementsysteem dient eens in de drie jaar een specifieke risicoanalyse te worden gedaan. Hiermee dient u de risico’s voor informatiebeveiliging die op uw organisatie van toepassing zijn in beeld te brengen en te beheersen. Denk dan bijvoorbeeld aan risico’s zoals wie heeft toegang tot welke informatie, welke risico’s lopen onze systemen en de uitwisseling van gegevens en hoe gedraagt het personeel zich ten opzichte van vertrouwelijke informatie.

Verplichte Privacy Impact Analyse

Jaarlijks dient de arbodienst een PIA uit te voeren. De PIA is een specifiek instrument uit de Algemene Verordening Gegevensbescherming en moet de organisatie inzicht geven in de privacy risico’s van verwerkingen. Deze risico’s moeten vervolgens met maatregelen worden beheerst. Hierbij geldt dat er ook specifiek aandacht dient te zijn voor de naleving van (wettelijke) eisen en voorschriften en gedrag binnen de organisatie.

Verplichte 27001 certificering voor ICT systemen

Op het gebied van ICT leveranciers waarvan een arbodienst gebruik maakt is dit een ingrijpende eis. Vanaf uiterlijk 1 januari 2020 mag er immers geen gebruik meer worden gemaakt van leveranciers die niet beschikken over een ISO 27001 certificaat, de norm voor informatiebeveiliging. Deze eis geldt dus onder andere voor uw server en hosting provider maar ook voor verzuimsoftware of andere applicaties waarvan u gebruik maakt.

Extra eisen privacy verklaringen

U beschikt waarschijnlijk al over een privacyverklaring conform de AVG. Het nieuwe certificatieschema stelt hieraan echter aanvullende eisen. Zo dient u bijvoorbeeld informatie op te nemen over welke personen binnen uw organisatie toegang hebben tot (medische) persoonsgegevens en hoe autorisaties worden verstrekt.

Overige wijzigingen

Het nieuwe schema heeft nog meer gevolgen voor het huidige kwaliteitsmanagementsysteem. Zo dient het verplichte verwerkingsregister er onderdeel van uit te gaan maken en wordt de rol van de functionaris gegevensbescherming geformaliseerd. Daarnaast is ook een geheimhoudingsverklaring voor personeel verplicht geworden.

Verplichte risicoanalyse voor informatiebeveiliging

Als onderdeel van het managementsysteem dient eens in de drie jaar een specifieke risicoanalyse te worden gedaan. Hiermee dient u de risico’s voor informatiebeveiliging die op uw organisatie van toepassing zijn in beeld te brengen en te beheersen. Denk dan bijvoorbeeld aan risico’s zoals wie heeft toegang tot welke informatie, welke risico’s lopen onze systemen en de uitwisseling van gegevens en hoe gedraagt het personeel zich ten opzichte van vertrouwelijke informatie.

Verplichte Privacy Impact Analyse

Jaarlijks dient de arbodienst een PIA uit te voeren. De PIA is een specifiek instrument uit de Algemene Verordening Gegevensbescherming en moet de organisatie inzicht geven in de privacy risico’s van verwerkingen. Deze risico’s moeten vervolgens met maatregelen worden beheerst. Hierbij geldt dat er ook specifiek aandacht dient te zijn voor de naleving van (wettelijke) eisen en voorschriften en gedrag binnen de organisatie.

Verplichte 27001 certificering voor ICT systemen

Op het gebied van ICT leveranciers waarvan een arbodienst gebruik maakt is dit een ingrijpende eis. Vanaf uiterlijk 1 januari 2020 mag er immers geen gebruik meer worden gemaakt van leveranciers die niet beschikken over een ISO 27001 certificaat, de norm voor informatiebeveiliging. Deze eis geldt dus onder andere voor uw server en hosting provider maar ook voor verzuimsoftware of andere applicaties waarvan u gebruik maakt.

Extra eisen privacy verklaringen

U beschikt waarschijnlijk al over een privacyverklaring conform de AVG. Het nieuwe certificatieschema stelt hieraan echter aanvullende eisen. Zo dient u bijvoorbeeld informatie op te nemen over welke personen binnen uw organisatie toegang hebben tot (medische) persoonsgegevens en hoe autorisaties worden verstrekt.

Overige wijzigingen

Het nieuwe schema heeft nog meer gevolgen voor het huidige kwaliteitsmanagementsysteem. Zo dient het verplichte verwerkingsregister er onderdeel van uit te gaan maken en wordt de rol van de functionaris gegevensbescherming geformaliseerd. Daarnaast is ook een geheimhoudingsverklaring voor personeel verplicht geworden.

Hoe kunnen wij helpen?

Wij bieden een ARBO specifieke Risico analyse informatiebeveiliging en PIA aan zodat uw certificaat niet in gevaar komt. Dat geeft rust. Daarnaast kunnen deze naadloos onderdeel van uw huidige 9001 systeem worden gemaakt. Deze instrumenten zijn zeer specifiek op de ARBO dienstverlening ontwikkeld en helpen u als organisatie te verbeteren. Daarmee voldoet u gedocumenteerd aan de gestelde eisen en komt uw certificaat niet in gevaar. We helpen met de opzet en uitvoer van deze twee instrumenten en tevens met de implementatie van maatregelen in uw huidige structuur. Uiteraard helpen we u ook graag met de overige wijzigingen. We denken graag met u mee en vertellen u graag meer. Neem direct contact op voor een vrijblijvende offerte of kennismaking.

Back To Top