De beveiliging van Track Verzuim

Track Verzuim is een online systeem waarmee privacy-gevoelige gegevens rond ziekte en verzuim van werknemers wordt beheerd. Als onbevoegden toegang tot deze gegevens zouden kunnen krijgen, kan dat voor de betrokkenen nare consequenties hebben. Tweefactor-authenticatie is een extra veilige manier van inloggen. Het College Bescherming Persoonsgegevens heeft alle beheerders van online verzuimsystemen gevraagd om 2factor authenticatie voor de toegang tot hun systeem verplicht te stellen.

Brief CBP

In de brief van 02 juni 2015 attendeert het CBP op de nieuwe eisen rond de beveiliging van systemen. Die eisen gelden voor online systemen waarin gegevens over de gezondheid van mensen worden verwerkt. Als in het systeem medische gegevens worden verwerkt, dan geldt voor alle gebruikers de eis dat toegang alleen mag worden verkregen via tenminste tweefactor authenticatie. Klik hier voor uitleg van het begrip tweefactor authenticatie.

 

Bedrijfsarts

Bij het begrip “medische gegevens” zal iedereen meteen denken aan informatie die door een arts wordt verwerkt. Bijvoorbeeld informatie:

  1. rond de medische verzuimoorzaak of diagnose (zoals ‘griep’, ‘CPD’, ‘burn-out’)
  2. rond therapiën en ingrepen (‘fysiotherapie’, ‘catheterisatie’)
  3. rond medicijnen en onderzoeken
  4. rond de medische achtergronden van een cliënt (‘abortus’, ‘echtscheiding’).

Dit is informatie die iedereen spontaan als ‘privé’ beschouwt. Maar de reikwijdte van het begrip gaat, zoals door het CBP gehanteerd, gaat veel verder.

In de brief wordt nadrukkelijk gewezen op het CBP rapport met bevindingen rond het onderzoek naar de applicaties Humannet Starter en Humannet Verzuim. Dit rapport vermeldt op pagina 42 wat het CBP in dit kader zoal onder “medische gegevens” verstaat. Dat zijn niet alleen gegevens die artsen invoeren, maar ook gegevens die werkgevers mogen invoeren of raadplegen.

Medische gegevens

“Medische gegevens” zijn:

  • een registratie van de 1e verzuimdag
  • de verwachte duur van het verzuim
  • het verzuimpercentage
  • of er sprake is van zwangerschap
  • of er sprake is van zwangerschapsgerelateerd verzuim (=vangnet)

Dit zijn, kortom, allemaal gegevens die in een verzuimmelding worden vastgelegd, of in een vraagstelling aan de bedrijfsarts worden doorgegeven.

Verder kan het gaan om gegevens die een werkgever kan inzien doordat hij toegang heeft tot UWV formulieren zoals de probleemanalyse en het plan van aanpak. Denk aan:

  • functionele mogelijkheden en beperkingen

Naast de bovengenoemde gegevens vermeld het CBP tenslotte nog, dat ook als “medische gegevens” moeten worden aangemerkt:

  • gegevens over ongevallen (=vanget)
  • afspraken met medische professionals (zoals de bedrijfsarts).

 

Als een systeem (ook) online toegankelijk is, én er worden dit soort medische gegevens in vastgelegd, dán geldt voor alle gebruikers de eis van tweefactor-authenticatie.

Track Verzuim en 2factor authenticatie

Uiteraard nemen we de beveiliging van Track Verzuim en de gegevens van de medewerkers die ermee beheerd worden heel serieus. Vanaf 01-01-2016 stellen we de nieuwe manier van inloggen verplicht. Tot die tijd kunt u ervaring opdoen. U moet een code-generator of App installeren, en een persoonlijke beveiligingssleutel aanvragen. Meer daarover vindt u op www.tracksoftware.nl/2factor.