Wij willen je de zekerheid bieden dat jouw gegevens bij ons goed beveiligd zijn. Onvia is als leverancier van verzuimapplicaties daarom ISO 27001, ISO 27701 en NEN7510 gecertificeerd. Dit betekent dat onze verzuimapplicatie en Artsenapplicatie voldoen aan de hoge standaard op het gebied van informatiebeveiliging.
ISO 27001 certificering
Een ISO 27001 certificering ondersteunt organisaties bij het beheren en beveiligen van waardevolle bedrijfsgegevens. Met de ISO 27001 certificering kan Onvia haar klanten aantoonbare zekerheid bieden dat gegevens goed zijn beveiligd. In het certificeringstraject is Onvia bijgestaan door NOK-IB, een onafhankelijke adviespartij die organisaties helpt met het vaststellen en uitvoeren van informatieveiligheidsbeleid en het uitvoeren van risicoanalyses. De officiële certificering is uitgevoerd door DEKRA, marktleider op het gebied van audits en certificering. Een ISO 27001-certificering is een proces en niet een eenmalige activiteit. Regelmatig wordt gecontroleerd of onze processen nog steeds zo ingericht zijn dat ze voldoen aan de opgelegde standaarden. Informatiebeveiliging is dus bij ons geborgd, nu en in de toekomst.
ISO 27701 certificering
ISO 27701 breidt de eisen van ISO 27001 uit om, naast Information Security Management System (ISMS), ook rekening te houden met de bescherming van persoonsgegevens met een Privacy Information Management System (PIMS). De norm bevat aanvullende eisen voor het managementsysteem zoals beschreven in ISO 27001 en richtlijnen die als aanvulling op ISO 27002.
NEN 7510 certificering
De NEN 7510-1 toont aan dat alle informatie verantwoordelijk en veilig worden behandeld. Met deze certificering kan Onvia haar klanten zekerheid bieden dat persoons- en verzuimgegevens op de juiste manier gewaarborgd en verwerkt worden. Hierbij wordt niet alleen gekeken naar de ICT-processen maar voornamelijk ook naar hoe onze medewerkers met uw persoonlijke gegevens omgaan. De NEN 7510 is de Nederlandse norm voor informatiebeveiliging in de zorg.
Sterke authenticatie
Voor Onvia is een hoge graad van informatiebeveiliging zeer belangrijk en randvoorwaardelijk. Vandaag de dag kunnen ‘zwakke’ wachtwoorden daarom ook niet langer worden getolereerd. Er mag geen enkele twijfel bestaan over de identiteit van de eindgebruiker en een veilige toegang tot bedrijfsapplicaties dient gegarandeerd te zijn. Hoe meer factoren de persoonlijke identiteit kunnen vaststellen, hoe betrouwbaarder de authenticiteit. Om dit te waarborgen biedt Onvia verschillende vormen van twee factor authenticatie aan.
Duurzame inzetbaarheid
Je wilt het beste halen uit jouw medewerkers, zodat ze langer en gezond door kunnen werken. Hoe kun je de inzetbaarheid van werknemers (met gezondheidsproblemen) verbeteren?
Werkgevers hebben behoefte aan steeds meer informatie over de zieke werknemer. Dit onder andere als gevolg van het actiever ziekteverzuimbeleid, de strengere re-integratieverplichtingen voor werknemer en werkgever en de verplichting voor de werkgever om langer loon door te betalen. Ook andere partijen, zoals arbodiensten, re-integratiebedrijven, het Uitvoeringsinstituut Werknemers Verzekeringen en verzuimverzekeraars, hebben deze informatie nodig. Deze toenemende behoefte aan informatie raakt direct aan de privacy van de zieke werknemer. Het is belangrijk dat hier zorgvuldig mee om wordt gegaan.
Autorisaties voor werken met verzuimsoftware
De Autoriteit Persoonsgegevens (AP) is toezichthouder op de Algemene verordering gegevensbescherming. De Autoriteit Persoonsgegevens volgt de digitale verwerking van persoonsgegevens nauwlettend. Ze wijst de softwareleveranciers (de verwerkers) en de opdrachtgevers (verantwoordelijken) op hun taken en verplichtingen. Onvia heeft vanuit deze wetgeving de rol van verwerker. Onze applicaties voldoen aan de eisen die de Autoriteit Persoonsgegevens stelt aan verzuimapplicaties. Zo is het medisch dossier van de Onvia software alleen toegankelijk voor de daarvoor geautoriseerde gebruiker. Dit zijn gebruikers met een BIG registratienummer, namelijk de bedrijfsartsen of mensen die mogen werken vanuit de verlengde-armconstructie onder toezicht van een bedrijfsarts. Onvia is ISO 27001 en NEN7510 gecertificeerd, wij hanteren daarom strenge procedures voor deze autorisatie. Onvia ziet er op toe dat alleen bedrijfsartsen geautoriseerd worden voor het kunnen inzien/bewerken van een medisch dossier.
Verslaglegging in het verzuimdossier
Het verzuimdossier in de Onvia-applicaties is toegankelijk voor de daartoe geautoriseerde case-/verzuimmanagers. Elke casemanager heeft toegang tot zijn/haar eigen caseload. De verslaglegging in een verzuimdossier mag beslist geen medisch karakter hebben, dat is natuurlijk heel erg lastig. Immers, de werknemer vertelt vaak veel uit eigen beweging en gebruikt daarbij termen als: griep, verkoudheid, hernia, paracetamol, fysiotherapie etc. Deze terminologie hoort niet thuis in een verzuimdossier. Echter veel van deze informatie is wel handig voor de bedrijfsarts of werkgever. Hoe hier nu mee om te gaan? Praktijk en wetgeving lijken haaks op elkaar te staan. Wanneer we verzuimbegeleiding en registratie gaan benaderen vanuit het perspectief van mogelijkheden en onmogelijkheden is er wel registratie mogelijk. Immers is uiteindelijk de vraag ‘wat kan een (verzuimende) werknemer nog wel?’ veel relevanter dan te weten/registreren dat hij/zij een hernia heeft. Het vastleggen van: werknemer kan niet langer dan een kwartier zitten, kan lopen, kan niet langer dan 10 minuten staan, vertaalt zich dan tot de werkzaamheden die de (verzuimende) werknemer vanuit zijn/haar functie moet uitvoeren. Dus niet de oorzaak maar de gevolgen voor houdingen en bewegingen zijn belangrijk te registreren. We kennen allemaal de FML of AML, de functionele-mogelijkhedenlijst of actuele-mogelijkhedenlijst. De daarin beschreven categorieën en houdingen en bewegingen zijn een leidraad voor verslaglegging in een verzuimdossier. Hiermee verandert de registratie van de ziekmelding dan ook.
Medische blacklist
Wij hebben gemerkt dat veel professionals worstelen met de verslaglegging van verzuimdata zoals hierboven beschreven. Daarom hebben wij voor de Onvia Verzuim-applicatie een medische blacklisttool ontwikkeld. Deze tool kan desgewenst door de applicatiebeheerder geactiveerd worden. De tool geeft een signaal wanneer een medische term wordt gebruikt. Er wordt hierbij uitgegaan van een vooraf gedefinieerde medische blacklist. De tool attendeert gebruikers dus op medische termen en helpt daarmee met het veranderen van geijkte verslagleggingsgebruiken in een verzuimdossier.
Vuistregels omgang privacy in het verzuimdossier
Als u gebruik maakt van het Onvia Platform worden de gegevens van uw inlogaccount verwerkt volgens ons Privacybeleid. Onvia verwerkt uw inloggegevens om de afspraken met u na te komen, dan wel op basis van gerechtvaardigd belang.
Minimaal jaarlijks zal er penetratietesten op de web omgevingen van Onvia uitgevoerd worden. Deze penetratietesten worden door wisselende externe partijen uitgevoerd.
Om conform de huidige en toekomstige privacywetgeving te handelen, is het van belang dat de afspraken omtrent het verwerken van persoonsgegevens contractueel worden vastgelegd. Hiertoe biedt Onvia aan al haar klanten een standaard verwerkersovereenkomst aan, zodat beide partijen conform de privacywetgeving handelen. Deze verwerkersovereenkomst houdt rekening met de eisen die voortvloeien uit de Algemene Verordening Gegevensbescherming.
Naast de (contractuele) afspraken die worden gemaakt tussen u en Onvia over het melden van datalekken, acht Onvia het van belang dat zij deze afspraken kan nakomen. Onvia heeft daarom interne processen ontwikkeld om datalekken tijdig te herkennen en op te volgen. Onvia hanteert een calamiteitenplan datalekken, waarin is omschreven hoe Onvia omgaat met eventuele datalekken. Dit calamiteitenplan kan op verzoek door u worden ingezien.
Onvia treft conform artikel 13 uit de Wet bescherming persoonsgegevens (en vanaf 25 mei 2018 conform artikel 32 uit de Algemene Verordening Gegevensbescherming) passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en onrechtmatige verwerking. Onvia houdt hierbij rekening met de beleidsregels van de Autoriteit Persoonsgegevens, zoals de ‘Beleidsregels beveiliging van persoonsgegevens (2013)’.
Voor het maken van verbinding met de Onvia omgeving en het toevoegen of wijzigen van data passen wij cryptografische maatregelen toe. De cryptografische maatregelen zorgen ervoor dat de toegang tot de veelal vertrouwelijke data nog beter zijn beschermt. Wat doen wij zoal voor u?
Vanaf 25 mei 2018 wordt de Wet bescherming persoonsgegevens vervangen door de AVG. De AVG brengt extra verplichtingen voor organisaties met zich mee, zoals het bijhouden van een verwerkingsregister, een uitbreiding van de rechten van betrokkenen en het in bepaalde gevallen verplicht uitvoeren van data protection impact assessments. Onvia is op de hoogte van deze wijzigingen en draagt er zorg voor dat zij vanaf 25 mei 2018 conform de AVG handelt.
De AVG schrijft voor dat bepaalde organisaties per 25 mei 2018 een verantwoordelijk moeten hebben aangesteld die toeziet op de naleving van het privacybeleid van een organisatie. Onvia heeft deze rol belegd. De DPO is te bereiken via compliance@onvia.nl | 085-0510001) en behalve aanspreekpunt voor intern en extern inzake privacy is de DPO tevens toezichthouder op de wettelijke naleving met betrekking tot de verwerking van persoonsgegevens. De DPO werkt nauw samen met de Operationele directie.
Wilt u direct meer informatie over onze dienstverlening? Neem dan contact met ons op via info@onvia.nl of bel 085-051 00 01