Bent u een arbodienst? Dan is samenwerken met een ISO 27001 gecertificeerde leverancier vanaf 1 januari 2020 verplicht.
De ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging.
Met de ISO 27001 certificering laten uw leveranciers zien dat zij voldoen aan alle eisen rondom informatiebeveiliging. Zie de Staatcourant van 5 december 2018, paragraaf 7.5.3. onderdeel 5. Daarin staat het volgende:
“De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen – NEN-EN-ISO/IEC 27001) gecertificeerd, door een daartoe geaccrediteerde CI.”
Vanuit de aangepaste eisen van het certificatieschema Arbodiensten wordt ISO 27001 verplicht gesteld voor leveranciers van arbodiensten. Als zorgorganisatie betekent dit dat ook het managementsysteem voor informatiebeveiliging bij uw leveranciers goed op orde moet zijn. Immers, een datalek van persoons- en medische gegevens heeft namelijk niet alleen sterke financiële gevolgen, ook uw reputatie kan hiermee op het spel komen te staan!
Let op: accreditatie verplicht!
Wat is een geaccrediteerde CI? Accreditatie is een garantie dat de leveranciers van arbodiensten voldoen aan de ISO 27001 eisen. Certificatie instellingen (CI) worden door de Raad van Accreditatie (RvA) geaccrediteerd. Op deze manier kunt u ervan uitgaan dat de dienstverlening van een CI voldoet aan de eisen die door de RvA wordt getoetst en mede-opgesteld.
Leveranciers die het ISO 27001 certificaat hebben, maar niet geaccrediteerd zijn door een gecertifieerde instelling, zijn dus niet rechtsgeldig! Het is dus belangrijk dat arbodiensten bij hun leveranciers toetsen dat het verplichte ISO 27001 certificaat geaccrediteerd is door een gecertificeerde instelling.
Overgang oud naar nieuw certificatieschema
Arbodiensten die na 1 januari 2019 voor het eerst worden gecertificeerd, zullen getoetst worden aan de nieuwe eisen.
Arbodiensten die op 31 december 2018 over een geldig certificaat arbodienst beschikken, kunnen in 2019 bij uit te voeren hercertificering en controle-audits kiezen of zij tegen de oude of tegen de nieuwe eisen willen worden getoetst. Ook als arbodiensten dan kiezen voor toetsing tegen de oude eisen moeten zij wel ook voldoen aan de nieuwe Arbowet en de AVG.
Vanaf 1 januari 2020 worden alle audits tegen het nieuwe certificatieschema arbodiensten uitgevoerd. Het ISO 27001 certificaat is drie jaar geldig onder de voorwaarde dat de geaccrediteerde CI jaarlijks een controle-audit uitvoert en de betreffende gecertificeerde leverancier bevindingen adequaat opvolgt.
WeSeeDo aan het woord
Waarom is het belangrijk dat leveranciers van arbodiensten ISO 27001 gecertificeerd zijn? Hoe ziet het stappenplan eruit? En wat houdt een interne en externe audit in? Wat komt allemaal erbij kijken? Bij WeSeeDo heeft inmiddels de interne en externe audit plaatsgevonden. Binnenkort leest u hier meer over in een verdiepend artikel van WeSeeDo op BG magazine.