Ga naar inhoud

Personeelsbeveiliging (NEN 7510-2, A.6)

Versie 1.0.0 - juni 2026

Dit document beschrijft de mensgerichte beheersmaatregelen: screening, geheimhouding, beveiligingsrollen, disciplinaire procedure en verplichtingen na beeindiging. Het voldoet aan de beheersmaatregelen A.6.1, A.6.2, A.6.4, A.6.5 en A.6.6 van NEN 7510-2:2024.

Status

Remedice is een eenmanszaak zonder personeel. De maatregelen hieronder zijn vastgesteld en worden van kracht zodra Remedice de eerste persoon onder haar gezag aanneemt. Tot die tijd zijn er geen personeelsrisico's buiten de eigenaar zelf.

1. Screening (A.6.1)

Bij indiensttreding wordt de achtergrond van kandidaten gecontroleerd, in verhouding tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's. Voor toegang tot persoonlijke gezondheidsinformatie geldt:

  • een Verklaring Omtrent het Gedrag (VOG) als voorwaarde voor indiensttreding;
  • verificatie van identiteit en relevante kwalificaties.

De controle wordt op gezette tijden herhaald, rekening houdend met de toepasselijke wet- en regelgeving en ethische overwegingen.

2. Beveiligingsrollen in functiebeschrijving (A.6.2)

In arbeidsovereenkomsten en functiebeschrijvingen worden de verantwoordelijkheden voor informatiebeveiliging vermeld, inclusief de beveiligingsrollen die van toepassing zijn op het verwerken van persoonlijke gezondheidsinformatie (HLT-aanvulling A.6.2).

3. Geheimhouding (A.6.6)

Al het personeel dat bevoegd is tot toegang tot persoonlijke gezondheidsinformatie wordt formeel verplicht die informatie vertrouwelijk te behandelen. De geheimhoudings- of vertrouwelijkheidsovereenkomst:

  • weerspiegelt de behoeften van Remedice inzake bescherming van informatie;
  • wordt geidentificeerd, gedocumenteerd, regelmatig beoordeeld en ondertekend door personeel en relevante belanghebbenden;
  • blijft van kracht na beeindiging van het dienstverband.

4. Disciplinaire procedure (A.6.4)

Er is een formele, gecommuniceerde disciplinaire procedure om actie te ondernemen tegen personen die zich schuldig maken aan een schending van het informatiebeveiligingsbeleid. De procedure is proportioneel en houdt rekening met de aard en ernst van de schending.

5. Verantwoordelijkheden na beeindiging of wijziging (A.6.5)

Verantwoordelijkheden en taken voor informatiebeveiliging die van kracht blijven na beeindiging of wijziging van het dienstverband (zoals geheimhouding) worden gedefinieerd, gehandhaafd en gecommuniceerd. Bij uitdiensttreding worden toegangsrechten ingetrokken en bedrijfsmiddelen geretourneerd of veilig verwijderd (A.5.11).

6. Huidige situatie en functiescheiding

Zolang Remedice een eenmanszaak is, vervult de eigenaar alle rollen. De beperkte functiescheiding en de compenserende maatregelen zijn beschreven in Leiderschap & rollen, paragraaf 4. Awareness en competentie van de eigenaar zijn vastgelegd in Competentie & bewustwording.

7. Review

Dit document wordt jaarlijks herzien tijdens de management review, en direct toegepast en aangevuld bij de eerste indiensttreding.