- Home
- /
- Nieuwsberichten
- /
- Privacy: registratie en beveiliging
Privacy: registratie en beveiliging
02 mei 2012
Privacy & beveiliging Verzuimsignaal
Keerpunt hecht grote waarde aan de bescherming van de privacy van arbeidsongeschikte werknemers. Naast de vraag wat er mag worden geregistreerd is het minstens zo belangrijk hoe dit gebeurt. Hieronder zetten wij voor u uiteen hoe Keerpunt omgaat met de registratie van persoonlijke gegevens en hoe deze beveiligd zijn.
Privacyreglement
Om de privacy te kunnen waarborgen heeft Keerpunt een privacyreglement opgesteld, dat gedeponeerd is bij het College Bescherming Persoonsgegevens. Daarnaast hebben onze re-integratiespecialisten een contractuele geheimhoudingsplicht. Ons privacyreglement kunt u inzien via onze website.
Registratie gegevens
Keerpunt ontvangt verzuimmeldingen, waarbij gekeken wordt naar de mogelijkheden en beperkingen van de werknemer in relatie tot werk. De bedrijfsarts bepaalt of er sprake is van ziekte. Strikt medische gegevens, zoals diagnoses of namen van geneesmiddelen, worden niet door de re-integratiespecialisten van Keerpunt gevraagd, vastgelegd of gedeeld. Een werknemer kan, op verzoek, inzage krijgen in zijn dossier.
Conform wet- en regelgeving, legt Keerpunt alleen díe gegevens in haar dossiers vast, die noodzakelijk zijn voor de uitvoering van haar taken als casemanager. De Nederlandse Vereniging voor Arbeids- en Bedrijfskunde (NVAB) en brancheorganisatie BoaBorea hebben vastgesteld welke gegevens hiervoor noodzakelijk zijn. De volgende zaken worden door de NVAB en BoaBorea als “noodzakelijk” betiteld en door Keerpunt vastgelegd in haar dossiers:
- functionele beperkingen en gevolgen daarvan voor het soort arbeid dat de werknemer nog kan verrichten;
- de werkzaamheden waartoe de werknemer nog wel, of juist niet meer in staat is;
- het verwachte einddoel van de re-integratie (eigen werk, passend werk of tweede spoor);
- benodigde aanpassingen, werkvoorzieningen of activiteiten die werknemer en werkgever in het kader van de re-integratie moeten treffen;
- werkgerelateerde oorzaken voor de arbeidsongeschiktheid, die bij terugkeer in de eigen werksituatie opnieuw tot arbeidsongeschiktheid of gezondheidsschade kunnen leiden. In dergelijke gevallen wordt de werkgever in staat gesteld om passende maatregelen te nemen;
- advies over interventies die de werkgever kan faciliteren zoals een werkplekonderzoek, training of ander traject en het inschakelen van een arbeidsdeskundige;
- indien dit het geval is: de aanwezigheid van een verstoorde arbeidsrelatie.
Medische gegevens
Soms ontvangt Keerpunt toch ongevraagd medische gegevens. Deze worden vernietigd of, met toestemming van de werknemer, ongezien afgegeven aan onze medisch adviseur (inzake een geregistreerd bedrijfsarts). Als het voor de voortgang van het re-integratietraject nodig is om medische gegevens in te zien, worden deze (na toestemming werknemer) opgevraagd door onze medisch adviseur. De medische gegevens worden niet opgenomen in onze dossiers maar blijven in het dossier van onze medisch adviseur. De medisch adviseur kan op grond van de verkregen medische gegevens wel een advies geven. Dit advies, bijvoorbeeld het wel of niet inzetten van een bepaalde interventie, wordt wel in het dossier opgenomen volgens bovengenoemde richtlijnen.
Bezwaar door de werknemer
Heeft de werknemer principiële bezwaren tegen het vastleggen van zijn gegevens in een dossier, dan maakt Keerpunt geen dossier aan of verwijdert deze. Wel zorgen wij er dan voor dat de werknemer regelmatig wordt gezien door de bedrijfsarts.
Verstrekking gegevens aan de verzuimverzekeraar
Keerpunt verstrekt informatie aan de verzuimverzekeraars die de diensten van Keerpunt aan de bij hen verzekerde werkgevers beschikbaar stellen. Keerpunt houdt zich hierbij aan het protocol dat hiervoor tussen BoaBorea en het verbond van verzekeraars is opgesteld. Conform dit protocol deelt Keerpunt alleen díe gegevens met de verzekeraars die de verzekeraar nodig heeft voor het uitoefenen van haar functie. Dat wil zeggen: het afhandelen van de claims, administratieve taken en het toekennen van financieringen voor aangevraagde interventies. In het privacyreglement is een opsomming opgenomen van de gegevens die Keerpunt aan de verzekeraars verstrekt.
Interventies: gegevens van en naar derden (providers)
Om de re-integratie van arbeidsongeschikte werknemers te versnellen worden er vaak interventies ingezet. Deze interventies worden niet door Keerpunt uitgevoerd. Hiervoor maakt Keerpunt gebruik van speciaal door haar geselecteerde providers. Het spreekt vanzelf dat de informatie die Keerpunt aan deze providers verstrekt ook voldoet aan het privacyreglement. Providers ontvangen alleen relevante, niet medische, informatie die nodig is om hun werk te kunnen doen. Zij informeren Keerpunt vervolgens over de voortgang en het resultaat van de interventie. Keerpunt heeft met elk van haar providers een samenwerkingsovereenkomst gesloten waarin ook is opgenomen dat providers Keerpunt geen medische en/of niet relevante informatie verstrekken. Providers die zich hier niet aan houden worden hierop aangesproken en verzocht om een nieuwe rapportage op te maken die wel aan de gestelde richtlijnen voldoet. Indien nodig zal Keerpunt niet aarzelen om providers, bij niet naleving, uit haar providerboog te schrappen.
I-Signaal
Naast de vraag welke gegevens Keerpunt mag registreren, is het ook van belang dat de registratie op een veilige en verantwoorde manier plaatsvindt en gewaarborgd is tegen misbruik. Keerpunt maakt gebruik van Verzuimsignaal, een verzuimapplicatie van het bedrijf i-Signaal.
Verzuimsignaal is alleen via een beveiligde internetverbinding beschikbaar (https). Tijdens het opzetten van de verbinding worden unieke gegevens uitgewisseld met de gebruiker en Verzuimsignaal om ervoor te zorgen dat gegevens niet door derden kunnen worden afgetapt. Bij het opzetten van de verbinding wordt vastgesteld dat de verstuurde gegevens daadwerkelijk van Verzuimsignaal afkomstig zijn door middel van officiële beveiligingscertificaten. Gegevens die verzonden worden over de beveiligde verbinding worden hoogwaardig versleuteld.
I-Signaal voldoet in opzet en bestaan aan de gestelde eisen gebaseerd op het normenkader van ISO-27002. Dit is vastgesteld na een audit die i-Signaal heeft laten uitvoeren door Ernst & Young Advisory IT Risk and Assurance. Door deze internationale certificatie, laat i-Signaal zien dat het voldoet aan strenge eisen op het gebied van informatiebeveiliging en dat de beveiliging van haar systemen en persoonsgegevens is gewaarborgd. Door het objectieve oordeel van Ernst & Young hebben klanten de zekerheid dat zij hun waardevolle persoonsgegevens bij i-Signaal kunnen onderbrengen.
Beveiliging / controle door i-Signaal
I-Signaal voert een elke 2 maanden een security check uit en maakt hiervoor gebruik van HP WebInspect. Met deze applicatie worden veiligheidsrisico’s in applicaties en servers aan het licht gebracht, zodat een situatie als die zich voordeed bij Humannet gedetecteerd wordt voordat er een probleem ontstaat. WebInspect heeft zich in de praktijk bewezen, doordat het gevallen van kwetsbaarheden detecteerde in bekende systemen zoals Tikiwiki en Oracle web server. Het kan gebruikelijke kwetsbaarheden zoals die voor SQL-injectie en cross-site scripting vinden, evenals minder vaak voorkomende kwetsbaarheden. WebInspect kan complexe websites onderzoeken en kan aanbevelingen doen over hoe problemen qua informatiebeveiliging kunnen worden opgelost, bijvoorbeeld door het tonen van suggesties over hoe kwetsbare code verbeterd kan worden.
Beveiliging / controle autorisaties door Keerpunt
Toegang tot Verzuimsignaal bij Keerpunt is strikt gekoppeld aan iemands functie en eindigt direct wanneer die functie of het dienstverband bij Keerpunt eindigt. Daar bovenop toetst de applicatiebeheerder periodiek alle autorisaties en gerelateerde processen.
Medische dossiers verzuimsignaal
Medewerkers van Keerpunt en werkgevers hebben nooit toegang tot het medisch dossier in Verzuimsignaal. Alleen bedrijfsartsen hebben toegang tot de medische dossiers. Onze samenwerkende bedrijfsartsen werken er aan om de medische dossiers ook fysiek weg te halen uit Verzuimsignaal, om de kans op ongeautoriseerde toegang nog verder te verkleinen. Deels is dit al gerealiseerd.
