1. Wat ISO27001 zegt

ISO27001 vereist in Annex A, specifiek A.7.1.1 en A.7.1.2, dat organisaties geschiktheid van personeel waarborgen, inclusief screening bij indiensttreding, afhankelijk van de rol en de gevoeligheid van informatie.

De norm specificeert niet dat screening met terugwerkende kracht moet plaatsvinden; het zegt wél dat het proces gedocumenteerd moet zijn en proportioneel moet zijn aan het risiconiveau van de functie.

In een audit wordt vooral gekeken naar consistentie en beheersbaarheid van risico’s, niet naar of iedereen ooit retrospectief is gescreend.

2. Terugwerkende kracht

Voordelen: theoretisch sluit je hiermee een “gat” in de bescherming van gevoelige data en financiële processen. Je toont aan dat ISO27001 consequent wordt toegepast.

Nadelen / juridische complicaties:

Vanuit de AVG mag je alleen persoonsgegevens verwerken voor legitieme doeleinden; retrospectieve VOG’s zijn juridisch lastig, omdat de “noodzaak” voor screening achteraf minder evident is.

Er kan discussie ontstaan over de relevantie van een VOG na 10 jaar dienstverband: het is minder indicatief voor toekomstig gedrag, en opvolging bij een positieve of negatieve uitkomst kan juridisch complex zijn.

Medewerkers kunnen bezwaar maken; dit kan leiden tot juridische of HR-issues.

3. Praktisch auditperspectief

ISO-auditors kijken vooral naar risicogebaseerde aanpak:

Heb je criteria gedefinieerd welke functies screening nodig hebben?

Is de screening geïmplementeerd bij nieuwe indiensttredingen?

Wordt er een risicobeoordeling gemaakt voor bestaande medewerkers in gevoelige functies?

Major finding: waarschijnlijk niet, als je aantoont dat:

Er een beleid is waarin staat welke functies gescreend worden en waarom.

Nieuwe instroom conform beleid wordt gescreend.

Er een risicobeoordeling is die verantwoordt waarom bestaande medewerkers geen retrospectieve screening krijgen.

Kortom, als je dit goed documenteert en motiveert vanuit risico, is het meestal voldoende voor de audit.

4. Alternatieve benadering

Geselecteerde risicobeoordeling: Je zou alleen huidige medewerkers in de hoogste risicoposities (C-level, CFO, IT-admins) kunnen benaderen voor VOG, in plaats van iedereen retrospectief.

Documenteer het besluit: Leg vast waarom terugwerkende screening niet wordt toegepast (risico vs. juridische en praktische beperkingen) – dit is auditproof.

Andere mitigaties: Denk aan:

Extra toegangscontroles

Logging en monitoring

Periodieke risicoreview van medewerkers in kritieke rollen

5. Conclusie

Terugwerkende VOG is niet verplicht onder ISO27001.

Auditrisico kan beperkt worden door:

Duidelijke risicoanalyse

Beleid en motivatie voor niet-retrospectieve screening

Extra controls voor bestaande medewerkers

Juridisch en praktisch kan terugwerkende screening lastig en weinig waardevol zijn.

Een VOG voor nieuwe medewerkers is makkelijk, dat kun je als voorwaarde bij de aanstelling opnemen. (Zet dit ook in de advertentie of uitnodiging tot sollicitatie.) Het is ook mogelijk om bestaande werknemers te vragen om (periodiek) een VOG in te leveren, maar daar zit het risico aan dat je een goed functionerende werknemer op non-actief moet zetten.
Lees ook even wat de Autoriteit Persoonsgegevens over screening te zeggen heeft: https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/screening

ow, deze weet ik. ;-)

VOG is een verklaring omtrent gedrag, en het is "een", maar zeker niet "de" manier om vast te stellen dat je medewerkers "goed volk" zijn.
VOG werkt met codes, waardoor je iemand die aan kinderen zit prima je geld kan laten tellen, en een financieel fraudeur prima op een kinderdagverblijf kunt laten werken (zolang die geen menningmeester is)

Specifiek voor AVG en ISO27001: je moet aannemelijk kunnen maken dat je op alle relevante gebieden iets doet aan het naleven van wetgeving, maar daarvoor helpt een VOG je niet, omdat er geen VOG privacy code is.
https://justis.nl/producten/verklaring-omtrent-het-gedrag/vog-voor-werkgevers-en-organisaties/screeningsprofielen

Wat je wel kunt en wilt doen, is het trainen van alle collega's op het gebied van AVG, het apart trainen van een paar collega's die ruwweg bovenin het organigram zitten, waarbij die training meer gaat over aansprakelijkheid en verantwoordelijkheid, en je zorgt ervoor dat jijzelf, als chef/support van de afdeling Kwaliteit, eerst een profiel opstelt waar je zelf aan moet voldoen, en dan vervolgens aan dat profiel voldoet. Doe dat ook voor je interne auditors.
Een NEN ISO27001 training kan al voldoende zijn, of zoveel jaar ervaring in een relevante functie.
Ik ben ISO-auditor geweest, daar "pak" je de meeste auditees op als je wilt.

Terugwerkende kracht bestaat niet, alle medewerkers moeten nu voldoen aan het actuele beleid. Als dat stelt dat er een maximaal 2 jaar oude VOG is op een aantal code gebieden, dan dat. Neem in je beleid op dat de directie persoonlijke gemotiveerde uitzonderingen mag maken met akkoord van de ISO/FG/PO, en dan zit je goed.

En dat is precies een uitstekende reden voor de VOG. :) Er is een reden dat die een negatief oordeel geeft.

De soep bij de ISO wordt niet zo heet gegeten. Alternatief: neem het mee bij interne personeelswisslingen :)

Bij onze doen we een VOG screening het bij indiensttreding of wisseling van positie waar een hogere screening nodig is. De screeningcodes zijn afhankelijk van de gevoeligheid van hun functie.Voor het hoogste (van de 3 niveaus die wij kennen) een terugkerende VOG screening nodig elke 3 jaar.

Daarnaast laten we mensen een verklaring tekenen dat zij de werkgever moeten laten weten indien iets gebeurd is dat van invloed kan zijn op hun screening.