ISO 27001 verplicht voor leveranciers van arbodiensten

Bent u een arbodienst? Dan is samenwerken met een ISO 27001 gecertificeerde leverancier vanaf 1 januari 2020 verplicht.

De ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging.

Met de ISO 27001 certificering laten uw leveranciers zien dat zij voldoen aan alle eisen rondom informatiebeveiliging. Zie de Staatcourant van 5 december 2018, paragraaf 7.5.3. onderdeel 5. Daarin staat het volgende:

“De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen – NEN-EN-ISO/IEC 27001) gecertificeerd, door een daartoe geaccrediteerde CI.”

Vanuit de aangepaste eisen van het certificatieschema Arbodiensten wordt ISO 27001 verplicht gesteld voor leveranciers van arbodiensten. Als zorgorganisatie betekent dit dat ook het managementsysteem voor informatiebeveiliging bij uw leveranciers goed op orde moet zijn. Immers, een datalek van persoons- en medische gegevens heeft namelijk niet alleen sterke financiële gevolgen, ook uw reputatie kan hiermee op het spel komen te staan!

Let op: accreditatie verplicht!

Wat is een geaccrediteerde CI? Accreditatie is een garantie dat de leveranciers van arbodiensten voldoen aan de ISO 27001 eisen. Certificatie instellingen (CI) worden door de Raad van Accreditatie (RvA) geaccrediteerd. Op deze manier kunt u ervan uitgaan dat de dienstverlening van een CI voldoet aan de eisen die door de RvA wordt getoetst en mede-opgesteld.

Leveranciers die het ISO 27001 certificaat hebben, maar niet geaccrediteerd zijn door een gecertifieerde instelling, zijn dus niet rechtsgeldig! Het is dus belangrijk dat arbodiensten bij hun leveranciers toetsen dat het verplichte ISO 27001 certificaat geaccrediteerd is door een gecertificeerde instelling.

Overgang oud naar nieuw certificatieschema

Arbodiensten die na 1 januari 2019 voor het eerst worden gecertificeerd, zullen getoetst worden aan de nieuwe eisen.

Arbodiensten die op 31 december 2018 over een geldig certificaat arbodienst beschikken, kunnen in 2019 bij uit te voeren hercertificering en controle-audits kiezen of zij tegen de oude of tegen de nieuwe eisen willen worden getoetst. Ook als arbodiensten dan kiezen voor toetsing tegen de oude eisen moeten zij wel ook voldoen aan de nieuwe Arbowet en de AVG.

Vanaf 1 januari 2020 worden alle audits tegen het nieuwe certificatieschema arbodiensten uitgevoerd. Het ISO 27001 certificaat is drie jaar geldig onder de voorwaarde dat de geaccrediteerde CI jaarlijks een controle-audit uitvoert en de betreffende gecertificeerde leverancier bevindingen adequaat opvolgt.

WeSeeDo aan het woord

Waarom is het belangrijk dat leveranciers van arbodiensten ISO 27001 gecertificeerd zijn? Hoe ziet het stappenplan eruit? En wat houdt een interne en externe audit in? Wat komt allemaal erbij kijken? Bij WeSeeDo heeft inmiddels de interne en externe audit plaatsgevonden. Binnenkort leest u hier meer over in een verdiepend artikel van WeSeeDo op BG magazine.

ISO 27001 verplicht voor leveranciers van arbodiensten

Let op: accreditatie verplicht!

Overgang oud naar nieuw certificatieschema

WeSeeDo aan het woord

Deel dit artikel

Redactie

Meer lezen?

Onderzoek CNV: controledrift domineert werkenden

Ruime meerderheid van de mannen in de zorg staat open voor gesprek over overgangsklachten

70 procent van de moeders worstelt met dagelijkse schema rondom werk en gezin

Mbo’ers vaakst gevraagd bij vacatures, hbo’ers vaker vast contract

Gratis 7 premium artikelen in je inbox?