Hoe veilig zijn verzuimsystemen?
Bent u klaar voor de Verzuimpolitie?
Naar aanleiding van de nieuwste onthullingen in Zembla, heeft VerzuimSystemen.nl de aanbieders van de belangrijkste verzuimregiesystemen gevraagd wat zij zoal aan maatregelen treffen om aantoonbaar veilig en CBP-proof te zijn.
Dit artikel werd eerder gepubliceerd op BG magazine
HR Navigator volgt de markt voor gespecialiseerde verzuimsoftware al jaren op de voet. Meestal gaat dat over wat het systeem allemaal kan, met welke bestaande systemen en partijen gekoppeld kan worden en welke managementinformatie het kan leveren.
Zeker sinds Zembla’s Verzuimpolitie deel I en II is in toenemende mate aandacht voor veiligheid en privacy. Dat vinden wij een positieve ontwikkeling, want er wil tegenwoordig nog wel eens wat data op straat belanden of in verkeerde handen komen.
Maatregelen
Het is overduidelijk niet de bedoeling dat de werkgever op de stoel van de bedrijfsarts gaat zitten en dat de verzekeraar zich niet netjes houdt aan de privacyregels. Zeker als het gaat om persoonlijke, gevoelige gegevens rond ziekte en arbeidsongeschiktheid zijn dat onacceptabele zaken.
In deze directe reactie op de nieuwste onthullingen in Zembla, hebben wij de aanbieders van de belangrijkste verzuimpakketten gevraagd wat zij zoal aan maatregelen treffen om aantoonbaar veilig en CBP-proof te zijn.
Uit de antwoorden op de twee kernvragen in dit snelle onderzoek blijkt dat zij gelukkig niet stilzitten. Kosten noch moeite worden bespaard om excessen – zoals vorig jaar aangetoond in Zembla – te voorkomen.
Elke week gratis de beste HR-tips?
Meld je aan voor onze wekelijkse tip en ontvang:
✓ Handige tips waarmee je je werk 5 x sneller kunt doen
✓ Best practises van de afgelopen 10 jaar
✓ Handige video’s over alles wat met personeel te maken heeft
✓ Onmisbare informatie en actuele ontwikkelingen
✓ Als eerste toegang tot onze workshops
Vraag 1: welke maatregelen heeft u genomen in het kader van bescherming van privacy van de werknemers en beveiliging van medische gegevens?
De aanbieders onderscheiden drie soorten maatregelen:
- fysiek
- technisch
- procedureel
Onder de fysieke maatregelen zien wij dat alle aanbieders gebruik maken van zeer professionele hostingproviders, die op hun beurt alle benodigde veiligheidscertificaten hebben. Sommige aanbieders bieden fysieke toegangstokens aan voor de inlog in hun systeem.
Technische maatregelen:
- Dubbele opslag van gegevens op verschillende locaties.
- Intrusion detection en prevention systemen, die zowel binnen de systemen als op hostingniveau worden toegepast.
- Middels autorisatiebeheer voor verschillende rollen toegang geven tot medische gegevens is voorzien van dubbele controles, waardoor het ‘per ongeluk’ toegang geven tot het medisch dossier vrijwel onmogelijk wordt gemaakt.
- (Medische) gegevens die in de database worden opgeslagen, worden encrypted, waardoor – bij een eventueel falen van andere beveiligingsmaatregelen – misbruik van de data ook erg lastig tot onmogelijk wordt gemaakt.
- Jaarlijkse penetratietesten op bekende hackmanieren (zoals o.a. beschreven in de OWASP top 10).
Marcel Kok van Dotweb: “Er is al onnoemelijk veel onderzoek verricht naar alle aspecten van informatiebeveiliging in de zorg. Veel van deze best practices zijn naadloos toe te passen in de automatisering en bijbehorende beveiliging van verzuimmanagementsystemen, denk hierbij aan beveiligingsaspecten bij informatiesystemen uit de eerstelijnszorg of de ziekenhuizen.”
Procedurele maatregelen:
- Een aantal aanbieders is inmiddels ISO 27001 gecertificeerd.
- Bij het uitbrengen van een nieuwe release worden zowel op functioneel niveau als op beveiligingsniveau uitgebreid getest.
- In toenemende mate is een BIG registratie check onderdeel van de procedure om een bedrijfsarts te autoriseren.
Deze maatregelen duiden op professionele systemen die privacy en veiligheid hoog in het vaandel dragen.
Diederik Benders over de werkwijze bij Empirion: “Het grootste risico voor informatiebeveili¬ging is namelijk niet dat bij het inrichten de beveiliging niet goed is opgezet, maar dat deze niet meegaat met de stand van de techniek.”
Vraag 2 – Hoe begeleiden de aanbieders van verzuimsystemen hun klanten om ook in de praktijk daadwerkelijk CBP-proof te werken?
Al is het systeem, de hosting en toegang tot het systeem nog zo goed geregeld, de gebruiker zelf blijft de zwakke schakel in het geheel. Probleemanalyses worden geregeld door de bedrijfsarts via de mail verstuurd en leidinggevenden registreren soms informatie buiten het systeem om.
Omdat we denken dat de aanbieders ook een rol en verantwoordelijkheid hebben in het bewust maken en houden van hun klanten, hebben wij hen gevraagd hoe zij dat in de praktijk brengen.
- Bij de inrichting van de software worden de richtlijnen van het CBP gehanteerd. Enkele voorbeelden daarvan zijn: instelbare beveiligingsopties met betrekking tot het wachtwoordbeleid, toegang middels een instelbare IP-ranges, additionele tokens voor toegang tot medische gegevens en contractuele borging op de rol van de aanbieder als (sub)bewerker van de data.
- Zowel de adviseurs als servicedesks wijzen gebruikers actief op de aandachtspunten. Ook als het vermoeden bestaat dat men niet conform CBP-regels werkt, geven aanbieders hier proactief signalen op af.
- Aanbieders werken nauw samen met de information security officers (of soortgelijke functionarissen) bij klanten om ze van de juiste informatie te voorzien voor hun interne risico-analyses en beoordelingen.
Ook hier blijken de aanbieders hun rol serieus te nemen. In het systeem wordt de gebruiker geregeld gewezen op privacygevoelige activiteiten. Sander te Wierik van I-signaal verwijst naar hun “prescan op medische termen” Deze module signaleert dat een gebruiker een medische term in een tekstveld invoert, terwijl dat veld hiervoor niet is bedoeld. De tekst kan dan niet worden opgeslagen. De gebruiker moet de medische term(en) dan eerst verwijderen.
Aanbieders van verzuimsystemen bieden workshops aan met als onderwerp “Bewustwording van veiligheid en privacy”. Jammer genoeg nemen klanten dit soort workshops nog maar mondjesmaat af. Wellicht dat de vraag om dit soort informatie na de laatste uitzending van Zembla wel toeneemt.
Keurmerk Veilig HR-Systeem
HR Navigator heeft samen met Lloyd’s Register en ICT-auditor Kualitatem een nieuw keurmerk ontwikkeld voor veiligheid en privacy van HR systemen. Daarmee is een meetlat gelegd waar verzuimsystemen zich aan kunnen meten.
Het unieke van dit keurmerk “Veilig HR-Systeem” is dat het naast de procedurele en beleidsmatige zaken, ook de veiligheid van het softwaresysteem via de meest uitgebreide ICT-audits toetst. Voor meer informatie omtrent dit keurmerk gaat u naar hrnavigator.nl
Zembla heeft veel losgemaakt. Sinds de verschillende uitzendingen van de Verzuimpolitie is er gelukkig veel gebeurd bij de aanbieders van verzuimmanagementsystemen. Er is erg veel tijd, energie en geld gestoken in het professionaliseren van de systemen. Nu is het aan de gebruikers om ook in de dagelijkse praktijk professioneel om te gaan met deze tools.