Samenwerken met een ISO 27001 gecertificeerde leverancier is voor arbodiensten vanaf 1 januari 2020 verplicht. De ISO 27001 is een mondiale norm over informatiebeveiliging. Met de ISO 27001 certificering laten leveranciers zien dat zij voldoen aan alle eisen rondom informatiebeveiliging.
In de Staatcourant staat daarover het volgende: “De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen) gecertificeerd, door een daartoe geaccrediteerde CI.”
Als zorgorganisatie betekent dit dat ook het managementsysteem voor informatiebeveiliging bij leveranciers goed op orde moet zijn. Een datalek van persoons- en medische gegevens heeft namelijk niet alleen sterke financiële gevolgen, ook reputaties zijn in het geding.
Overgang
Arbodiensten die na 1 januari 2019 voor het eerst worden gecertificeerd, zullen getoetst worden aan de nieuwe eisen. Arbodiensten die op 31 december 2018 over een geldig certificaat arbodienst beschikken, kunnen in 2019 bij uit te voeren hercertificering en controle-audits kiezen of zij tegen de oude of tegen de nieuwe eisen willen worden getoetst. Ook als arbodiensten dan kiezen voor toetsing tegen de oude eisen moeten zij wel ook voldoen aan de nieuwe Arbowet en de AVG.
Vanaf 1 januari 2020 worden alle audits tegen het nieuwe certificatieschema arbodiensten uitgevoerd. Het ISO 27001 certificaat is drie jaar geldig onder de voorwaarde dat de geaccrediteerde CI jaarlijks een controle-audit uitvoert en de gecertificeerde leverancier bevindingen opvolgt.
Bron: BG Magazine
