INHOUDSOPGAVE



Inleiding


Het voldoen aan de AVG is primair de verantwoordelijkheid van de Verwerkingsverantwoordelijke; echter Otherside hecht er als Verwerker waarde aan om hier een actieve rol in te spelen en werkt daarom met een 'Privacy checklist' bij implementaties van Xpert Suite. Voor deze checklist is een organisatie met de hoofdvestiging in Nederland als uitgangspunt genomen.

 

De checklist is opgebouwd uit twee delen. Elk deel heeft een eigen ‘actiehouder’. Alleen het eerste deel is te vinden in dit document. Het tweede deel is onderdeel van de customer onboarding en wordt toegelicht door de Customer Success Manager van Otherside at Work.


Het eerste deel is verplicht om in te vullen en wel vlak voor de uitrol van Xpert Suite naar de (eerste groep) gebruikers. Het invullen van dit deel van de Checklist wordt uitgevoerd door het Implementatie Team (Otherside of Xpert Support Partner), bij voorkeur samen met het implementatie team van de klant en de FG: Functionaris Gegevensbescherming. Of, indien er geen FG is aangesteld, de medewerker die binnen de organisatie belast is met AVG-gerelateerde vraagstukken (Denk aan Privacy officer, Privacy adviseur, etc.). 


Het wordt aangeraden om vanaf de Acceptatiefase in een implementatieproject deze Privacy Checklist te bespreken; op dat moment zullen de meeste punten bepaald zijn. 

 


Privacy Checklist - Deel 1

Onderstaande zaken om geaccordeerd te hebben vinden wij als Otherside dusdanig belangrijk dat wanneer op een van onderstaande punten geen bevestiging kan worden gegeven er actie nodig is. 


Dat is:

  1. Akkoord van beide directies (inclusief door zowel klant als Otherside: consultatie van de eigen FG) en indien van toepassing de medisch verwerkingsverantwoordelijke (bij ontbreken getekende medische verwerkersovereenkomst);
  2. Het doen van een formele melding (in geval van de overige checks) vanuit Otherside voordat overgegaan kan worden op de (eerste) livegang.

 

Klantnaam

(verwerkingsverantwoordelijke)

 

Contactpersoon klant

(waarmee dit deel is ingevuld)

 

Project Manager OaW

 

Datum ingebruikname van Xpert Suite (productieomgeving)

 

*vooraf toestemming Directies nodig indien niet afgerond bij livegang. 

 

 

Check afgerond?

Toegang klantomgeving

Ja/nee

Zijn er AFSPRAKEN gemaakt RONDOM WIE na livedatum vanuit Otherside TOEGANG krijgt of houdt? 

 

Zijn deze afspraken afgestemd met de juiste (bevoegd) personen van klant? 

 

Aandachtspunten: 

Extra aandacht voor het toekennen van toegang tot medische gegevens. 

 

Het kan wenselijk zijn om na livegang nog toegang voor Otherside medewerkers te faciliteren i.v.m.:

- Nazorg vanuit project (koppel hier direct een einddatum aan, bijv. 3 maanden)

- Tickets (bijv. doorlopend toegang o.b.v. ticket)

- Support middels FBaaS dienstverlening.

Check afgerond?

Bevoegdheden

Ja/nee

Zijn alle accounts op naam gesteld? (d.w.z. geen algemene of groepsaccounts, maar individueel toegewezen).

 

Zijn de accounts aan de juiste bevoegdheden/rollen gekoppeld?

 

 

Aandachtspunten: 

De bevoegdheden zoals deze op accountniveau zijn in te stellen zijn bepalend voor wat een gebruiker mag. 

Maak duidelijk onderscheid in bevoegdheden voor medisch inhoudelijk verantwoordelijke (bedrijfsarts) versus overige functionarissen.  

Zijn er geen groepsaccounts meer aanwezig 

(denk aan info@mailadressen)?

Check afgerond?

Meerpartijenovereenkomst*

Ja/nee/n.v.t.

Is de meerpartijenovereenkomst door alle partijen ondertekend? (bijvoorbeeld een 3-partijenovereenkomst: verwerkersovereenkomst medische gebruikers) alvorens met productiegegevens werken?

 

Aandachtspunten: 

Een werkgever mag géén toegang tot of zeggenschap hebben over de medische gegevens zoals deze alleen door een bedrijfsarts mogen worden verwerkt. Dat deel ligt strikt bij de Arbo arts/dienstverlener en de Arbo dienstverlener zal dus als 3e partij worden opgevoerd in de Verwerkersovereenkomst. 

- De klantomgeving mag niet live alvorens de meerpartijenovereenkomst is ondertekend. 

- Controleer daarom tijdig of deze nodig is en INDIEN JA CONTROLEER of deze door alle partijen ONDERTEKEND IS. Stem hier het livemoment van de implementatie op af.

Check afgerond?

Bewaartermijnen

 

Ja/nee

Zijn bewaartermijnen ingesteld? 

 

 

Aandachtspunten: 

Bewaar persoonsgegevens niet langer dan strikt noodzakelijk voor het doel waarvoor ze verzameld waren, hier zijn geen vaste AVG-regels voor afgegeven door de AP. 

Hou rekening met wettelijke bewaartermijnen, zoals bijvoorbeeld 20 jaar voor medische gegevens (vanuit de WGBO).

Check afgerond?

Datakluis 

 

Ja/nee

Is de DataKluis overeenkomst geaccepteerd door de werkgever die aansluit? 

Aandachtspunten:

- Datakluis faciliteert het pseudonimiseren van de persoonsgegevens van de medewerkers waar geen dossier bij de Arbo dienstverlener aanwezig is. (Immers daarvoor ontbreekt de grondslag (AVG) voor t.a.v. Arbo dienstverlener).  

- Door te pseudonimiseren worden alleen persoonsgegevens beschikbaar gesteld aan de Arbo dienstverlener waarvoor een Grondslag  is. 

- In voorkomende gevallen kan de Arbo dienstverlener de DataKluis accepteren namens de klant. Kijk voor deze aangepaste werkwijze de FAQ op XSC.