ISO 27001 verplicht voor leveranciers van arbodiensten

Sinds dit jaar is ISO 27001 certificering verplicht voor leveranciers van arbodiensten. Wat is ISO 27001? En waarom is het verplicht?

DELEN:

Wat is ISO 27001 certificering?

ISO 27001 is een wereldwijd erkende norm voor informatiebeveiliging. Met ISO 27001 certificering tonen leveranciers aan dat zij voldoen aan de eisen uit de ISO 27001 norm voor informatiebeveiliging. 

Samenwerken met ISO 27001 gecertificeerde leveranciers

Sinds 1 januari 2020 is ISO 27001 verplicht voor leveranciers van arbodiensten. Voor gecertificeerde arbodiensten betekent dit dat zij alleen met leveranciers mogen samenwerken die over een ISO 27001 certificering beschikken. Alle ISO 27001 certificaten moeten op de website van de certificerende instelling te verifiëren zijn. Beschikt uw arbodienst (of een van uw dochterondernemingen) over een eigen ontwikkeld softwarepakket of verzuimsysteem en gebruikt u dit in eigen beheer? Dan is de eis op uw eigen organisatie van toepassing en dient u als organisatie ISO 27001 gecertificeerd te zijn. 

Naast een ISO 27001 certificaat, wordt ook een NEN 7510 certificaat als gelijkwaardig beschouwd. De NEN 7510 norm is op de ISO 27001 norm gebaseerd, maar dan toegespitst op de gezondheidszorg in Nederland. Zowel de ISO 9001, de ISO 27001 als de NEN 7510 norm zijn opgebouwd volgens de High Level Structure (HLS). Dankzij deze opbouw zijn de normen ISO 27001 en NEN 7510 makkelijker te integreren in uw bestaande managementsysteem

Verplicht met ISO 27001 gecertificeerde leveranciers te werken: wat zegt de norm Certificatieschema Arbodiensten?

De Staatscourant nr. 68321 verwijst naar de norm Certificatieschema Arbodiensten. In hoofdstuk 7.5.3 Beheersing van gedocumenteerde informatie, eis nummer 5 staat:  “De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatietechnologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen) gecertificeerd, door een daartoe geaccrediteerde CI.” 

Welke informatiesystemen betreft dit?

Denk hierbij aan informatiesystemen die gekoppeld zijn aan de dienstverlening van uw arbodienst. Dit zijn in veel gevallen systemen die privacygevoelige informatie (cliëntgegevens of bedrijfsgegevens) bevatten zoals: medische dossiers, keuringsuitslagen, verzuimgegevens, groepsrapportages verzuim, werkplekonderzoeken, risico-inventarisaties & -evaluaties (RI&E) en de toetsing daarvan.

Voorbereiding op ISO 27001 certificering

• Ter voorbereiding op het certificatietraject kunt u het stappenplan naar ISO 27001 certificering gebruiken. U kunt het stappenplan naar ISO 27001 certificering hier downloaden. 
• DNV GL verzorgt de ISO 27001 certificering: proefaudits en externe audits. Daarnaast kunt u ook bij ons terecht voor trainingen op het gebied van informatiebeveiliging, zoals de Online Training Normkennis ISO 27001.