AVG en arbodienstverlening

Het kan niemand ontgaan zijn: sinds 25 mei is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in de hele Europese Unie. Veel organisaties zijn daar nu op ingericht of druk bezig met de laatste loodjes. Wij ontvangen vooral vragen over verwerkersovereenkomsten en gegevensuitwisseling. Daarom nog even de belangrijkste informatie op een rij.

Het leeuwendeel van de vragen wordt afgehandeld door Louis Keulemans, Corporate Information Security and Privacy Officer. “Wij zijn ruim op tijd klaar voor de AVG", vertelt hij. "Dat heeft ermee te maken dat privacy het fundament is van ons werk. We bouwen met cliënten een vertrouwensrelatie op waarbinnen aandacht voor de bescherming van persoonsgegevens vanzelfsprekend is. Niet voor niets hebben wij het ISO 9001 certificaat, het certificaat Arbodienstverlening en het ISO 27001 certificaat voor informatiebeveiliging. We werken bovendien al sinds 2001 met een uitgebreid privacyreglement. De voorbereiding op de AVG was voor ons veel werk, maar tegelijkertijd minder ingrijpend dan voor veel andere organisaties."

In de vragen van werkgevers komen twee onderwerpen frequent terug.

Is het nodig om een verwerkersovereenkomst te tekenen met mkbasics.nl?
Louis: "Veel organisaties zien ons als verwerker van hun personeelsgegevens. Toch is onze rol een andere. Als arbodienst zijn wij namelijk verantwoordelijk voor alle informatie die noodzakelijk is voor het uitvoeren van onze wettelijke taken, zoals verzuimbegeleiding, RI&E, preventief medisch onderzoek en (functie-)keuringen. Dat is ook begrijpelijk als je bedenkt dat de werkgever geen inzage mag hebben in informatie over de gezondheid van zijn medewerkers. Een verwerkersovereenkomst is voor deze wettelijke taken dan ook niet nodig. Natuurlijk kunnen we wel afspraken maken met werkgevers. Dat doet mkbasics.nl via het vernieuwde privacyreglement. Dit dekt alles wat ook in een verwerkersovereenkomst aan bod komt. Daarnaast hebben wij een verwerkersovereenkomst met Unit4 (leverancier VerzuimSignaal) getekend waarin ook de verplichtingen die Unit4 aangaat richting de klant transparant zijn opgenomen. Deze is te downloaden via onze website www.mkbasics.nl.  Werkgevers hoeven zich dus geen zorgen te maken of ze hun privacyzaken met ons wel goed geregeld hebben."

Mkbasics.nl vraagt nooit om meer informatie van medewerkers dan strikt noodzakelijk is.

Hoe weten we zeker dat de onderlinge gegevensuitwisseling veilig is?
"Mkbasics.nl vraagt nooit om meer informatie van medewerkers dan strikt noodzakelijk is. Met de meeste organisaties waaraan we diensten leveren, verloopt de uitwisseling van informatie via VerzuimSignaal en soms via een koppeling tussen het HR-portaal van de werkgever en VerzuimSignaal. Het gaat dan bijvoorbeeld om ziek- en hersteldmeldingen en de terugkoppeling daarover. Verloopt de gegevensuitwisseling via e-mail, dan is het belangrijk om dat berichtenverkeer goed te beveiligen, van beide kanten. Vanuit mkbasics.nl gebeurt dit altijd via de strenge standaard SSL. Werkgevers moeten zelf ook zorgen dat zij gebruikmaken van de SSL-standaard, en dat bij hen deze instellingen ook goed zijn ingeregeld. We volgen hierin de richtlijnen van de KNMG. Sturen organisaties per ongeluk toch nog informatie mee die niet meegestuurd mag worden, zoals BurgerServiceNummers, dan hebben wij geborgd dat we die informatie tegengehouden en niet verder verwerken."

Meer weten?
Heb je nog vragen over de AVG in relatie tot de dienstverlening van mkbasics.nl? Kijk dan op de website waar je tal van veelgestelde vragen en antwoorden vindt. Indien nodig kun je ook  contact opnemen met Anita Groenewoud via anita.groenewoud@mkbasics.nl.