Informatie beveiliging persoonsgegevens

advertisement
 Informatie beveiliging persoonsgegevens
November 2013 Tijdens de projectintroductie worden persoonlijke gegevens opgevraagd. Over de introductie zijn vragen binnen gekomen over: Waarom moeten al deze gegevens aangeleverd worden en hoe wordt omgegaan met de bescherming van persoonlijke gegevens. Met deze memo willen wij verduidelijken wat de reden is voor het opvragen en opslaan van deze gegevens en hoe met de bescherming van deze gegevens wordt omgegaan. Reden voor opslaan Iedere werkgever moet loonbelasting afdragen aan de belastingdienst. Indien werkgevers dit niet doen kijkt de belastingdienst wie opdrachtgever is van deze werkgever. In het kader van de wet ketenaansprakelijkheid kan SAAone aansprakelijk gesteld worden voor het niet betalen van loonbelasting voor medewerkers van onderaannemers. Specifiek bij een faillissement van een onderaannemer kunnen deze bedragen hoog oplopen. Deze aansprakelijkheid kan gematigd worden als de SAAone voldoet aan een aantal voorwaarden. Eén van deze voorwaarden is dat SAAone de identiteit van de medewerker moet kunnen aantonen. SAAone moet daarvoor een aantal gegevens van zowel de medewerker en de werkgever in de administratie opnemen. Naast de NAW‐gegevens van de medewerker en de werkgever dient van de medewerker ook het BSN/sofinummer en gegevens van het identiteitsbewijs vastgelegd te worden1. Dit gebeurt in de applicatie veiligheidsinstructie. Daarnaast moet SAAone ook een procedure hebben waarin de identificatie van de werknemer plaatsvind. Dit heeft SAAone geborgd door de inzet van een beveiligingsbedrijf dat het legitimatiebewijs controleert voordat de projectpas uitgegeven wordt. Beveiliging van de gegevens SAAone maakt gebruik van een applicatie veiligheidsinstructie die extern op een server is geplaats en via internet (https://saaone.werktveilig.nl) benaderd kan worden. Deze website is ondergebracht bij het een bedrijf met een ISO 9001 en ISO 27001 certificaat. Dit betekent dat deze organisatie getoetst is door een externe partij op het kwaliteitsmanagementsysteem van de organisatie (ISO 9001) en op de standaard voor informatiebeveiliging (ISO 27001). Het ISO 27001 certificaat toont aan dat de organisatie de nodige voorzorgmaatregelen heeft genomen om gevoelige informatie beschermen tegen ongeautoriseerde toegang en bewerking. De database is opgebouwd binnen de vereiste veiligheidsprincipes. Voor de verbinding wordt gebruik gemaakt van een SSL verbinding. Dit is een manier om verbindingen tussen webbrowser en webserver te beveiligen. De veiligheid wordt hierdoor op twee manieren verhoogd: er wordt gecontroleerd of de website waarmee men verbinding heeft wel de website is waarmee men verbinding denkt te hebben (server authenticatie). Hiernaast wordt de data die tussen de browser en de server wordt uitgewisseld versleuteld. Daarvoor wordt een 256 bit AES encryptie gebruikt. Dit is de hoogste standaard voor het versleutelen van informatie. 1
Informatie matiging keten en inlenersaansprakelijkheid bij toepassing anoniementarief, bereikbaar via de belastingdienst SAAONE‐HRM‐MEM‐100002 WORK SAFE, ON TIME ACCORDING TO PLAN
Toegang tot de gegevens Alleen geautoriseerde gebruikers kunnen inloggen. Hierbij zijn verschillende rollen gedefinieerd die scheiding maakt tussen de toegang van de persoonsgegevens. De wachtwoorden voor deze rollen moeten aan speciale veiligheidseisen voldoen. Binnen SAAone hebben alleen de door de directie geautoriseerde medewerkers toegang tot de database. De medewerkers die dit betreft hebben een integriteitsverklaring ondertekent. Onderaannemers en andere medewerkers hebben geen toegang tot de gegevens. Tot slot heeft de belastingdienst toegang tot deze gegevens. Zij gebruiken het BSN nummer voor het doen van controles op deze gegevens. Bewaren en vernietigen van de persoonsgegevens Door verplichtingen vanuit de overheid worden de gegevens tot 10 jaar na het einde van het werk bewaard. Hierna worden de gegevens op professionele wijze vernietigd. Bezwaar tegen opslag van de gegevens Het ingeven van je BSN/sofinummer en de identificatie zijn een voorwaarde voor het verkrijgen van de projectpas. Zonder projectpas is het niet toegestaan het bouwterrein van SAAone te betreden. Hoewel SAAone het betreurt om mensen de toegang te moeten ontzeggen, is dit een regel waar niet vanaf geweken kan worden. SAAONE‐HRM‐MEM‐100002 WORK SAFE, ON TIME ACCORDING TO PLAN
Download