AVG en verzuimdata: waarom veilige software essentieel is

Bij Otherside at Work ontwikkelen we technologie die organisaties ondersteunt bij verzuimmanagement, duurzame inzetbaarheid en sociale zekerheid. Hierbij worden veel privacygevoelige gegevens verwerkt. Hoe zorgen we ervoor dat jouw verzuimdata veilig blijven en dat je verwerking voldoet aan de AVG? Stef Roskam, VP Engineering bij Otherside at Work, deelt zijn visie op dataveiligheid.

Wat maakt verzuimdata zo gevoelig?

Stef: “Verzuimdata vallen onder bijzondere persoonsgegevens. Denk aan ziek- en herstelmeldingen – dat zijn gegevens die onder de categorieën met de meeste regels van de AVG vallen. Werkgevers en arbodienstverleners hebben de verantwoordelijkheid om deze data veilig te verwerken. Onze taak is om hen daarbij te ondersteunen met tools waarmee ze die verantwoordelijkheid waar kunnen maken. Denk hierbij aan het bepalen wie toegang heeft en hoe lang je bepaalde gegevens wilt bewaren. Wij zorgen dat dit in de Xpert Suite AVG-proof ingericht kan worden.” Hij voegt eraan toe: “Privacygevoelige gegevens verwerken vraagt om een combinatie van technische maatregelen, zoals encryptie, en organisatorische maatregelen, denk aan duidelijke afspraken over wie welke gegevens mag inzien. Daarom hebben we ook in de technische architectuur van Xpert Suite een aantal keuzes gemaakt die goed passen bij de eisen vanuit de AVG. Bij Otherside at Work bouwen we onze software met deze verantwoordelijkheden in gedachten.”

Wat als je dataprivacy niet op orde hebt?

Er zijn diverse gevolgen van slechte dataprivacy: “Een datalek kan leiden tot juridische en financiële consequenties met boetes van toezichthouders of claims van betrokkenen die de negatieve gevolgen dragen van jouw fouten. Voor ons bedrijf is wellicht het belangrijkste de reputatieschade. Als het vertrouwen van klanten, partners en werknemers weg is, is dat nog wel het allergrootste risico voor de continuïteit van ons bedrijf. Hetzelfde geldt eigenlijk voor onze klanten.” Hij voegt toe: “Herstellen van een datalek kost vaak veel tijd en middelen. Met de Xpert Suite helpen we klanten om de risico’s op een datalek sterk te minimaliseren.”

Hoe Xpert Suite jouw data beschermt

Stef licht toe hoe Otherside at Work deze uitdagingen aanpakt met de Xpert Suite.

 Nederlandse datacentra

“We kiezen er bewust voor om data lokaal op te slaan in diverse Nederlandse datacentra. Hiermee minimaliseren we compliance risico’s. Klanten weten zeker dat hun data binnen de EU blijven, en zo wegblijven van discussies over buitenlandse regelgeving.” Stef benadrukt: “We werken uitsluitend met partijen die voldoen aan de AVG-wetgeving en andere relevante normen. Amerikaanse cloudproviders gebruiken we niet in de basis van ons product, om mogelijke complicaties rondom regelgeving te voorkomen.”

 Beveiliging van ons netwerk

“Onze opslag is niet rechtstreeks toegankelijk via het internet”, vertelt Stef. “Zo minimaliseren we risico’s op datalekken door menselijke fouten of misconfiguraties.” Hij geeft verder een paar voorbeelden van onze beveiligingsmaatregelen:

• “We passen uitgebreide netwerksegmentatie en meerdere lagen van firewalls toe.
• Ontwikkel-, test-, acceptatie- en productieomgevingen zijn strikt gescheiden. Elke codewijziging doorloopt de hele keten voordat deze in productie komt.
• We versleutelen data. Zelfs als iemand toegang krijgt, is de informatie niet direct leesbaar.
• De certificaten waarmee cookies gecreëerd worden, worden automatisch dagelijks geroteerd.”

Beveiliging op opslag van data

Bij het ontwerpen van onze data-opslagarchitectuur maken we bewuste keuzes om zowel veiligheid als beheerbaarheid te waarborgen. Hieronder licht Stef onze belangrijkste beslissingen toe:

• “Voor de opslag van data kiezen we bewust niet voor een architectuur met microservices, waarbij data gedecentraliseerd opgeslagen worden, maar kiezen we voor één database per klant, zodat data makkelijk opgeschoond en verwijderd kunnen worden.
• We kiezen bewust voor een opslagmedium met ingebouwde mogelijkheden tot encryptie, maar waar data wel verwijderd kunnen worden in tegenstelling tot bijvoorbeeld een blockchain of inmutable event store.
• Voor de back-up oplossing kiezen we juist wel voor tijdelijke inmutable back-ups met meerdere back-up locaties, zodat risico’s op verlies van data geminimaliseerd worden.
• Tevens hebben we in onze architectuur opgenomen dat alle data-access met autorisatie-checks moet worden uitgevoerd. Ook toegang via API’s moet je dus autoriseren voor de juiste data en features. Veel systemen werken met een veel oppervlakkiger autorisatie-mechanisme. Hierdoor kunnen beheerders en developers sneller fouten maken, en hackers bij een gevonden zwakheid hier veel meer misbruik van maken”

Structureel monitoren van kwetsbaarheden

Het alleenveilig houden van je zelfgemaakte software is niet voldoende voor een goede beveiliging. Daarom houden we onze totale stack in de gaten:

• Met tooling van de Software Improvement Group monitoren we continu op kwetsbaarheden in onze software en in de door ons gebruikte libraries.
• Met vulnerability scanning scannen we onze infrastructuur.
• Met penetratie testen en bug bounty programma’s wordt actief gezocht naar kwetsbaarheden welke met tooling niet gevonden worden.

Privacy by design & by default
“Privacy zit ingebakken in de Xpert Suite”, zegt Stef. “We minimaliseren welke gegevens worden opgeslagen, doordat klanten hier veel zelf kunnen definiëren. Er wordt dus alleen data uitgevraagd die past bij de eigen situatie. Tevens bieden we in de tool de mogelijkheden die een goed retentiebeleid ondersteunen. De bewaartermijnen verschillen namelijk erg per precieze situatie van de klant. Zij moeten dus kunnen instellen wat bij hen van toepassing is.” Voorbeelden zijn:

• Medische dossiers: Bewaartermijn van 20 jaar (of langer bij beroepsgebonden aandoeningen).
• Casemanagement-dossiers van verzuimbegeleiding: Maximaal twee jaar na afronding van een traject.
• Aanstellingsdossiers: Maximaal zes maanden.

Ook ondersteunen we een uitgebreid autorisatiemodel. Je kunt tot detailniveau bepalen welke documenten en gegevens voor welke rollen inzichtelijk en aanpasbaar moeten zijn.

Certificeringen
Je kunt alles perfect inrichten, maar dat heeft pas waarde als klanten erop kunnen vertrouwen. Een manier om klanten hier meer vertrouwen in te geven is met behulp van verschillende certificaten en verklaringen. Otherside at Work beschikt over de ISO 27001- en NEN 7510 certificering. Tegens hebben we elk jaar een SOC2-verklaring. “Deze kwaliteitswaarborgen geven klanten de zekerheid dat wij voldoen aan internationale standaarden”, legt Stef uit.

• ISO 27001: “Dit bevestigt dat ons informatiemanagementsysteem gestructureerd is en we onze keuzes steeds blijven actualiseren.”
• NEN7510: “De ISO 27001 is de mondiaal erkende norm voor informatiebeveiliging. De NEN7510 is de afgeleide Nederlandse variant specifiek bedoeld voor zorgverleners, zoals ziekenhuizen of apothekers. Deze geeft een aantal extra specifieke richtlijnen voor te nemen maatregelen wanneer je medische gegevens verwerkt.”
• SOC2: “Een SOC2 verklaring is een erg waardevolle aanvulling op een ISO of NEN certificering. Deze geeft namelijk zekerheid dat je niet alleen zegt dat je op een bepaalde manier werkt, maar het ook in een bepaalde periode zo hebt gedaan. Elk jaar wordt er door een onafhankelijke auditor gekeken naar alle activiteiten die in dat afgelopen jaar zijn gedaan. Hiermee tonen we aan dat we langdurig conform strikte procedures hebben gewerkt. Het biedt daarmee veel extra zekerheid voor onze klanten.”

Hij benadrukt: “Deze combinatie van certificeringen en verklaringen tonen aan dat we niet alleen de juiste processen hebben, maar deze ook consequent naleven.”

Waarom kiezen voor Otherside at Work?

Stef sluit af: “Bij Otherside at Work is dataprivacy topprioriteit. Met onze Xpert Suite bieden we klanten een veilige en betrouwbare oplossing voor verzuimmanagement. Onze focus op lokale datacentra, netwerkbeveiliging, veilige data-opslag, continue monitoring en certificeringen zorgt ervoor dat onze klanten veilig en privacy-proof kunnen werken met de bij ons verwerkte bijzondere persoonsgegevens.”

Meer weten over hoe we omgaan met dataveiligheid? Lees verder over onze datavault of 10 veel gestelde vragen over AVG.

Wil je meer weten over hoe Xpert Suite jouw organisatie kan ondersteunen? Neem contact met ons op.