Checklist privacy en verzuimsystemen
Privacy en Veiligheid zijn niet hetzelfde. Als data veilig is opgeslagen, dan wil dat niet per definitie zeggen dat de privacy is gewaarborgd. Bij privacy gaat het voornamelijk om de autorisaties (bevoegdheden) die worden ingesteld in het verzuimsysteem, waardoor alleen bedrijfsartsen en functionarissen die vanuit de ‘verlengde arm constructie’ de bedrijfsarts ondersteunen, toegang hebben tot medische dossiers.
VerzuimSystemen.nl heeft een checklist samengesteld op basis waarvan u in staat bent vast te stellen of de privacy van uw cliënten is gewaarborgd.
Let op: het gaat om algemene richtlijnen die wellicht heel verschillend door leveranciers van verzuimsystemen worden ingevuld.
1. Database toegang
De database waarin alle gegevens (dus ook de medische gegevens) worden opgeslagen is door de leverancier (de ontwikkelaar van de software) uiteraard in te zien. Als u een contract aangaat met een leverancier van een verzuimsysteem, let er dan goed op dat er in het contract een artikel over de privacy van geregistreerde gegevens en geheimhouding is opgenomen. Alleen ontwikkelaars die vanuit hun functie medische gegevens kunnen zien, moeten bij de leverancier een deugdelijke geheimhoudingsverklaring hebben getekend. Dit mag uiteraard geen vrijblijvend karakter hebben. In het contract moet een boeteclausule zijn opgenomen voor de situatie dat de leverancier onvoldoende maatregelen heeft getroffen de privacy van medewerkers te beschermen en/of medewerkergegevens heeft misbruikt.
2. Rol van Functioneel Beheerder bij de klant
De meeste verzuimsystemen maken het mogelijk dat de klant zelf het systeem inricht. Onderdeel van de inrichting is het registreren van gebruikers, het samenstellen van rollen en het koppelen van rollen aan gebruikers. Gebruikers kunnen ook bedrijfsartsen zijn. U als klant kunt dus zelf vaststellen wie de rol van bedrijfsarts krijgt. De medewerker die de rol van functioneel beheerder (FB) van het systeem binnen uw organisatie uitvoert, zou daarvoor ook een geheimhoudingsverklaring moeten tekenen als hij een dergelijke verklaring nog niet voor zijn reguliere functie getekend heeft.
3. Rol van Functioneel Beheerder bij de leverancier
Sommige verzuimsystemen hebben de mogelijkheid om het autoriseren van de rol van Bedrijfsarts af te schermen van de rest van het Functioneel Beheer (FB). Op deze wijze is de borging van de privacy en beheer van medische gegevens het best gewaarborgd.
De FB heeft in dit geval geen direct belang bij de organisatie waar het systeem gebruikt wordt, en het mag verondersteld worden dat een FB van de leverancier zelf heel goed in staat is dit deel van het beheer uit te voeren. Deze persoon moet voor het leveren van inloggegevens rechtsreeks contact onderhouden met de Bedrijfsarts.
Niemand anders binnen de organisatie beschikt dan over de rechten om medische gegevens te raadplegen.
Als derde voordeel geldt, dat als de geheimhouding onder punt 1 goed geregeld is, de FB automatisch ook onder deze afspraak valt.
Elke week gratis de beste HR-tips?
Meld je aan voor onze wekelijkse tip en ontvang:
✓ Handige tips waarmee je je werk 5 x sneller kunt doen
✓ Best practises van de afgelopen 10 jaar
✓ Handige video’s over alles wat met personeel te maken heeft
✓ Onmisbare informatie en actuele ontwikkelingen
✓ Als eerste toegang tot onze workshops
4. Privacyprotocol in de organisatie
Net als voor beveiliging van data, kan binnen een organisatie ook een privacyprotocol opgesteld worden. In een privacyprotocol wordt vastgesteld wie tot welk niveau van informatie toegang dient te hebben en welke informatie in een systeem geregistreerd kan en mag worden.
De leidinggevende mag zelfs niet schrijven dat een medewerker met verkoudheidsklachten thuis blijft en al helemaal niet dat hij naar de dokter is geweest en medicijn X voorgeschreven heeft gekregen.
In het protocol is ook geregeld wie aan welk niveau van geheimhouding gehouden is en – heel belangrijk – hoe het toezicht op het naleven van deze afspraken geregeld is. Het kan niet vaak genoeg gezegd worden. Gegevens zijn doorgaans veilig opgeslagen en niet toegankelijk voor ongeautoriseerde personen. Het is de onachtzame medewerker die een wachtwoord laat slingeren of even gaat lunchen zonder uit te loggen uit het systeem…