Bescherming privacygevoelige informatie
Robidus is een bedrijf dat uitvoering geeft aan sociale zekerheid. Sociale zekerheid heeft als doel mensen waar nodig een vangnet te bieden en waar mogelijk te stimuleren om deel te nemen aan het arbeidsproces. Om uitvoering te geven aan sociale zekerheidswetgeving, is het gebruik van privacygevoelige informatie noodzakelijk.
Bij Robidus staat de bescherming van de privacy van (voormalig) medewerkers van onze opdrachtgevers hoog in het vaandel. Wij respecteren de privacy-wetgeving en behandelen informatie, die wij op welke manier dan ook ontvangen, van de betrokkenen, de werkgever, verzekeraar of externe instanties, met de grootst mogelijke zorgvuldigheid. Wij vragen of registreren enkel informatie die vereist is voor de uitvoering van onze werkzaamheden. Wanneer de privacywetgeving in conflict komt met de uitvoering van de sociale zekerheidswetgeving, wordt de informatie uitsluitend gebruikt en geregistreerd om de rechten van betrokkenen op uitkering van subsidie of inkomen te waarborgen.
Waarborging privacy
Privacy statement
ISAE3402-II
Rapportage
ISAE3402-II is de standaard voor rapportage in het kader van de financiële verantwoording over uitbestede processen en controles. Een uitbestedende organisatie (de gebruikersorganisatie) besteedt de uitvoering van bepaalde processen uit aan een andere organisatie (de service organisatie). In een type II rapport is, naast de verklaring van het management van Robidus, het oordeel van de onafhankelijke externe auditor opgenomen over de opzet, het bestaan én de werking van beheersmaatregelen die Robidus als serviceorganisatie uitvoert ten behoeve van haar opdrachtgevers in het kader van de financiële verantwoording.
Inzicht in beheersing processen
De doelstelling van deze ISAE3402-II rapportage is klanten en partners van Robidus inzicht te verschaffen in de beheersorganisatie en te rapporteren over de opzet, het bestaan en de werking van beheersmaatregelen aangaande de processen die Robidus voor gebruikersorganisaties uitvoert, teneinde de mate van beheersing van de processen inzichtelijk te maken voor de gebruikersorganisatie.
ISO 27001
Beveiliging van persoonsgegevens en andere vertrouwelijke gegevens is cruciaal. De informatiebeveiliging van Robidus voldoet aan de strenge ISO 27001 normering. Dit geeft u de zekerheid dat uw gegevens beschikbaar zijn, vertrouwelijk worden behandeld en dat de gegevens integer (betrouwbaar) zijn.
Als Robidus werken we met persoonsgegevens en andere vertrouwelijke gegevens van (voormalige) medewerkers van onze opdrachtgevers. De wetgeving stelt onder andere dat er technische en organisatorische maatregelen moeten worden getroffen om een ‘passend beveiligingsniveau’ te garanderen.
Informatiebeveiliging op basis van ISO normering
Bescherming Persoonsgegevens
Voor de uitvoering van onze dienstverlening maken wij onder andere gebruik van persoonlijke gegevens van (voormalige) werknemers van onze opdrachtgevers (de werkgevers). Hierbij zijn we gehouden aan de Algemene Verordening Gegevensbescherming (AVG).
De AVG regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Robidus neemt hierin haar verantwoordelijkheid en heeft passende technische en organisatorische maatregelen getroffen om de verwerking op de juiste wijze plaats te laten vinden. Deze maatregelen zijn onder andere verankerd in ons Informatiebeveiligingsbeleid. De maatregelen worden jaarlijks door onafhankelijke partijen getoetst (zie onder andere ISAE3402-II en ISO27001). Daarnaast laat Robidus jaarlijks een pentest uitvoeren op HRControlNet, de applicatie waarin zowel Robidus als onze klanten en leveranciers persoonsgegevens verwerken.
Meldplicht datalekken
Als persoonsgegevens onterecht kunnen worden ingezien of gewijzigd of, zonder dat dit de bedoeling was, zijn vernietigd of verloren, en hierbij sprake is van een ‘risico voor de rechten en vrijheden’ van de betrokkenen, wordt gesproken van een datalek. Deze datalekken dienen volgens de AVG en de Meldplicht datalekken gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Een dergelijke melding kan leiden tot een onderzoek door de AP, die op basis van de resultaten van haar onderzoek de bevoegdheid heeft om de melding openbaar te maken.
Bescherming Persoonsgegevens
Voor de uitvoering van onze dienstverlening maken wij onder andere gebruik van persoonlijke gegevens van (voormalige) werknemers van onze opdrachtgevers (de werkgevers). Hierbij zijn we gehouden aan de Algemene Verordening Gegevensbescherming (AVG).
De AVG regelt onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Robidus neemt hierin haar verantwoordelijkheid en heeft passende technische en organisatorische maatregelen getroffen om de verwerking op de juiste wijze plaats te laten vinden. Deze maatregelen zijn onder andere verankerd in ons Informatiebeveiligingsbeleid. De maatregelen worden jaarlijks door onafhankelijke partijen getoetst (zie onder andere ISAE3402-II en ISO27001). Daarnaast laat Robidus jaarlijks een pentest uitvoeren op HRControlNet, de applicatie waarin zowel Robidus als onze klanten en leveranciers persoonsgegevens verwerken.
Meldplicht datalekken
Als persoonsgegevens onterecht kunnen worden ingezien of gewijzigd of, zonder dat dit de bedoeling was, zijn vernietigd of verloren, en hierbij sprake is van een ‘risico voor de rechten en vrijheden’ van de betrokkenen, wordt gesproken van een datalek. Deze datalekken dienen volgens de AVG en de Meldplicht datalekken gemeld te worden bij de Autoriteit Persoonsgegevens (AP). Een dergelijke melding kan leiden tot een onderzoek door de AP, die op basis van de resultaten van haar onderzoek de bevoegdheid heeft om de melding openbaar te maken.