BG_bird2100% onafhankelijk
Tools Checklist privacy en verzuimsystemen

Checklist privacy en verzuimsystemen

Checklist voor dienstverleners om privacy cliënten te waarborgen

Verdieping Verdieping

Opinie Opinie

Interview

Privacy en Veiligheid zijn niet hetzelfde. Als data veilig is opgeslagen, dan wil dat niet per definitie zeggen dat de privacy is gewaarborgd.

Bij privacy gaat het voornamelijk om de autorisaties (bevoegdheden) die worden ingesteld in het verzuimsysteem, waardoor alleen bedrijfsartsen en functionarissen die vanuit de ‘verlengde arm constructie’ de bedrijfsarts ondersteunen, toegang hebben tot medische dossiers.

VerzuimSystemen.nl heeft een checklist samengesteld op basis waarvan u in staat bent vast te stellen of de privacy van uw cliënten is gewaarborgd. Let op: het gaat om algemene richtlijnen die wellicht heel verschillend door leveranciers van verzuimsystemen worden ingevuld.

1. Database toegang

De database waarin alle gegevens (dus ook de medische gegevens) worden opgeslagen is door de leverancier (de ontwikkelaar van de software) uiteraard in te zien. Als u een contract aangaat met een leverancier van een verzuimsysteem, let er dan goed op dat er in het contract een artikel over de privacy van geregistreerde gegevens en geheimhouding is opgenomen.

Alleen ontwikkelaars die vanuit hun functie medische gegevens kunnen zien, moeten bij de leverancier een deugdelijke geheimhoudingsverklaring hebben getekend. Dit mag uiteraard geen vrijblijvend karakter hebben. In het contract moet een boeteclausule zijn opgenomen voor de situatie dat de leverancier onvoldoende maatregelen heeft getroffen de privacy van medewerkers te beschermen en/of medewerkergegevens heeft misbruikt.

2. Rol van Functioneel Beheerder bij de klant

De meeste verzuimsystemen maken het mogelijk dat de klant zelf het systeem inricht. Onderdeel van de inrichting is het registreren van gebruikers, het samenstellen van rollen en het koppelen van rollen aan gebruikers. Gebruikers kunnen ook bedrijfsartsen zijn.

U als klant kunt dus zelf vaststellen wie de rol van bedrijfsarts krijgt. De medewerker die de rol van functioneel beheerder (FB) van het systeem binnen uw organisatie uitvoert, zou daarvoor ook een geheimhoudingsverklaring moeten tekenen als hij een dergelijke verklaring nog niet voor zijn reguliere functie getekend heeft.

3. Rol van Functioneel Beheerder bij de leverancier

Sommige verzuimsystemen hebben de mogelijkheid om het autoriseren van de rol van Bedrijfsarts af te schermen van de rest van het Functioneel Beheer (FB). Op deze wijze is de borging van de privacy en beheer van medische gegevens het best gewaarborgd.

De FB heeft in dit geval geen direct belang bij de organisatie waar het systeem gebruikt wordt, en het mag verondersteld worden dat een FB van de leverancier zelf heel goed in staat is dit deel van het beheer uit te voeren. Deze persoon moet voor het leveren van inloggegevens rechtsreeks contact onderhouden met de Bedrijfsarts. Niemand anders binnen de organisatie beschikt dan over de rechten om medische gegevens te raadplegen.

Als derde voordeel geldt, dat als de geheimhouding onder punt 1 goed geregeld is, de FB automatisch ook onder deze afspraak valt.

4. Privacyprotocol in de organisatie

Net als voor beveiliging van data, kan binnen een organisatie ook een privacyprotocol opgesteld worden. In een privacyprotocol wordt vastgesteld wie tot welk niveau van informatie toegang dient te hebben en welke informatie in een systeem geregistreerd kan en mag worden.

De leidinggevende mag bijvoorbeeld wel schrijven dat een medewerker met verkoudheidsklachten thuis blijft, maar niet dat hij naar de dokter is geweest en medicijn X voorgeschreven heeft gekregen.

In het protocol is ook geregeld wie aan welk niveau van geheimhouding gehouden is en – heel belangrijk – hoe het toezicht op het naleven van deze afspraken geregeld is. Het kan niet vaak genoeg gezegd worden. Gegevens zijn doorgaans veilig opgeslagen en niet toegankelijk voor ongeautoriseerde personen. Het is de onachtzame medewerker die een wachtwoord laat slingeren of even gaat lunchen zonder uit te loggen uit het systeem…

 

Deel dit artikel

Marco De Zeeuw
Marco De Zeeuwhttps://hrnavigator.nl/

Marco de Zeeuw, directeur HR Navigator

Meer van deze auteur?

Tagdiv Cloud library - template content.

Meld je aan en ontvang een week lang elke dag een nieuw artikel.

Gratis 7 premium artikelen in je mailbox?

Kies dan voor BG magazine Plus:

  • Elke maand een nieuwe HR masterclass
  • Online feedback sessies met HR-experts
  • Tijdelijk lifetime korting en extra bonus
BG magazine Plus

HR zonder punaisepoetserij?