1. Wat ISO27001 zegt

ISO27001 vereist in Annex A, specifiek A.7.1.1 en A.7.1.2, dat organisaties geschiktheid van personeel waarborgen, inclusief screening bij indiensttreding, afhankelijk van de rol en de gevoeligheid van informatie.

De norm specificeert niet dat screening met terugwerkende kracht moet plaatsvinden; het zegt wél dat het proces gedocumenteerd moet zijn en proportioneel moet zijn aan het risiconiveau van de functie.

In een audit wordt vooral gekeken naar consistentie en beheersbaarheid van risico’s, niet naar of iedereen ooit retrospectief is gescreend.

2. Terugwerkende kracht

Voordelen: theoretisch sluit je hiermee een “gat” in de bescherming van gevoelige data en financiële processen. Je toont aan dat ISO27001 consequent wordt toegepast.

Nadelen / juridische complicaties:

Vanuit de AVG mag je alleen persoonsgegevens verwerken voor legitieme doeleinden; retrospectieve VOG’s zijn juridisch lastig, omdat de “noodzaak” voor screening achteraf minder evident is.

Er kan discussie ontstaan over de relevantie van een VOG na 10 jaar dienstverband: het is minder indicatief voor toekomstig gedrag, en opvolging bij een positieve of negatieve uitkomst kan juridisch complex zijn.

Medewerkers kunnen bezwaar maken; dit kan leiden tot juridische of HR-issues.

3. Praktisch auditperspectief

ISO-auditors kijken vooral naar risicogebaseerde aanpak:

Heb je criteria gedefinieerd welke functies screening nodig hebben?

Is de screening geïmplementeerd bij nieuwe indiensttredingen?

Wordt er een risicobeoordeling gemaakt voor bestaande medewerkers in gevoelige functies?

Major finding: waarschijnlijk niet, als je aantoont dat:

Er een beleid is waarin staat welke functies gescreend worden en waarom.

Nieuwe instroom conform beleid wordt gescreend.

Er een risicobeoordeling is die verantwoordt waarom bestaande medewerkers geen retrospectieve screening krijgen.

Kortom, als je dit goed documenteert en motiveert vanuit risico, is het meestal voldoende voor de audit.

4. Alternatieve benadering

Geselecteerde risicobeoordeling: Je zou alleen huidige medewerkers in de hoogste risicoposities (C-level, CFO, IT-admins) kunnen benaderen voor VOG, in plaats van iedereen retrospectief.

Documenteer het besluit: Leg vast waarom terugwerkende screening niet wordt toegepast (risico vs. juridische en praktische beperkingen) – dit is auditproof.

Andere mitigaties: Denk aan:

Extra toegangscontroles

Logging en monitoring

Periodieke risicoreview van medewerkers in kritieke rollen

5. Conclusie

Terugwerkende VOG is niet verplicht onder ISO27001.

Auditrisico kan beperkt worden door:

Duidelijke risicoanalyse

Beleid en motivatie voor niet-retrospectieve screening

Extra controls voor bestaande medewerkers

Juridisch en praktisch kan terugwerkende screening lastig en weinig waardevol zijn.

Een VOG voor nieuwe medewerkers is makkelijk, dat kun je als voorwaarde bij de aanstelling opnemen. (Zet dit ook in de advertentie of uitnodiging tot sollicitatie.) Het is ook mogelijk om bestaande werknemers te vragen om (periodiek) een VOG in te leveren, maar daar zit het risico aan dat je een goed functionerende werknemer op non-actief moet zetten.
Lees ook even wat de Autoriteit Persoonsgegevens over screening te zeggen heeft: https://www.autoriteitpersoonsgegevens.nl/themas/werk-en-uitkering/screening

ow, deze weet ik. ;-)

VOG is een verklaring omtrent gedrag, en het is "een", maar zeker niet "de" manier om vast te stellen dat je medewerkers "goed volk" zijn.
VOG werkt met codes, waardoor je iemand die aan kinderen zit prima je geld kan laten tellen, en een financieel fraudeur prima op een kinderdagverblijf kunt laten werken (zolang die geen menningmeester is)

Specifiek voor AVG en ISO27001: je moet aannemelijk kunnen maken dat je op alle relevante gebieden iets doet aan het naleven van wetgeving, maar daarvoor helpt een VOG je niet, omdat er geen VOG privacy code is.
https://justis.nl/producten/verklaring-omtrent-het-gedrag/vog-voor-werkgevers-en-organisaties/screeningsprofielen

Wat je wel kunt en wilt doen, is het trainen van alle collega's op het gebied van AVG, het apart trainen van een paar collega's die ruwweg bovenin het organigram zitten, waarbij die training meer gaat over aansprakelijkheid en verantwoordelijkheid, en je zorgt ervoor dat jijzelf, als chef/support van de afdeling Kwaliteit, eerst een profiel opstelt waar je zelf aan moet voldoen, en dan vervolgens aan dat profiel voldoet. Doe dat ook voor je interne auditors.
Een NEN ISO27001 training kan al voldoende zijn, of zoveel jaar ervaring in een relevante functie.
Ik ben ISO-auditor geweest, daar "pak" je de meeste auditees op als je wilt.

Terugwerkende kracht bestaat niet, alle medewerkers moeten nu voldoen aan het actuele beleid. Als dat stelt dat er een maximaal 2 jaar oude VOG is op een aantal code gebieden, dan dat. Neem in je beleid op dat de directie persoonlijke gemotiveerde uitzonderingen mag maken met akkoord van de ISO/FG/PO, en dan zit je goed.

En dat is precies een uitstekende reden voor de VOG. :) Er is een reden dat die een negatief oordeel geeft.

De soep bij de ISO wordt niet zo heet gegeten. Alternatief: neem het mee bij interne personeelswisslingen :)

Bij onze doen we een VOG screening het bij indiensttreding of wisseling van positie waar een hogere screening nodig is. De screeningcodes zijn afhankelijk van de gevoeligheid van hun functie.Voor het hoogste (van de 3 niveaus die wij kennen) een terugkerende VOG screening nodig elke 3 jaar.

Daarnaast laten we mensen een verklaring tekenen dat zij de werkgever moeten laten weten indien iets gebeurd is dat van invloed kan zijn op hun screening.

> implementatie van de ISO27001. Deze vereist (...) dat er (...) screening plaatsvindt.

Nee, dat vereist ze niet. Ze vereist slechts dat je overweegt om screening te doen INDIEN en NADAT je tot de conclusie bent gekomen dat ongescreened personeel een onacceptabel risico vormt. Je móet niet screenen. Echter als je het niet doet, dien je dit wel enigszins plausibel te kunnen uitleggen aan de auditor. Dat kan zoveel inhouden als "in Nederland heb je voor doorsnee functies nauwelijks instrumenten om te kunnen screenen, VOG's zijn slechts een karige momentopname en dus hebben we besloten op andere manieren te zorgen dat personeel betrouwbaar is voordat ze in hogere functies terechtkomen."

Het moge zo zijn dat de VoG niet alles zegt - maar ik ben toch benieuwd welke andere manieren je dan aan zo'n auditor wilt voorleggen .

Ik neem aan dat "goed gevoel tijdens sollicitatiegesprek" niet als vergelijkbaar gezien zal worden .

Net zoals een website-certificaat (*) of een identiteitsbewijs géénszins aantoont dat de eigenaar betrouwbaar is, geldt dat ook voor een VOG.

(*) Welk type dan ook: DV = Domain Validated, OV = Organization V., EV = Extended Validation, QWAC = Qualified Website Authentication Certificate.

Het omgekeerde is vooral wat dit soort "verklaringen" zinvol maakt (dit geldt ook voor bijv. diploma's en getuigschriften): als iemand géén VOG en/of betrouwbaar (en zinvol) authenticatiebewijs en/of betrouwbare andere relevante verklaringen door derden kan en/of wil overleggen, in een situatie waarbij dat wenselijk of noodzakelijk geacht wordt, is dat meestal een reden om die entiteit te wantrouwen.

Nb. tenzij er iets veranderd is, kan een VOG wordt afgegeven als er niet uit iemands verleden blijkt dat de betrokkene op een aangegeven gebied over de schreef is gegaan. Iemand die ooit veroordeeld is voor bijv. belastingfraude kan in principe een VOG krijgen voor het werken met jonge kinderen.

Oftewel, vaak zijn er meer dan twee (voor de hand liggende) mogelijkheden:
1) Iemand heeft een VOG en blijkt later betrouwbaar;
2) Iemand kan geen VOG verkrijgen wegens eerder wangedrag;
3) Iemand heeft een VOG en blijkt later onbetrouwbaar.

Of zoals bij leeftijdsverificatie:
1) Iemand claimt 18+ te zijn en is dat ook;
2) Iemand geeft toe 17- te zijn en is dat ook;
3) Iemand van 17- liegt 18+ te zijn (bijv. via identiteitsfraude);
4) Iemand van 18+ pleegt identiteitsfraude om diens eigen identiteit te verhullen.

Veel te veel mensen stoppen met denken na mogelijkheid 2.

Een VOG is iets heel anders dan screenen. VOG is enkel de verklaring dat je nooit bent betrapt en veroordeeld op het doen van illegale activiteiten. Bij screening wordt veel breder gekeken (bijvoorbeeld ook of iemand chantabel zou kunnen zijn e.d.), waarbij het eventuele criminele verleden maar 1 van de aspecten is die meegenomen zal worden.

Ik vermoed dat voor een auditor een VOG misschien afdoende zal blijken te zijn, maar het is dan allemaal wel erg minimaal.

In alle gevallen zal het een momentopname zijn. Iemand die op dit moment door een screening komt kan een half jaar later wel iets meemaken waardoor deze ineens onbetrouwbaar is. Sowieso zal eea op regelmatige basis herijkt moeten worden.

Dat laatste vind ik altijd lachwekkend. Dat heet indekgedrag. Iemand zal echt niet uit zichzelf komen melden dat ie niet meer betrouwbaar is. En je moet ook maar net weten wat van invloed is op je screening (een vriend(in) uit een bepaald land kan dat bijvoorbeeld zijn, maar realieert iemand dit zich ook?)

Hoi baas, ik zeg het maar even: ik ben veroordeeld voor het bezit van kinderporno/ heb mijn vrouw in elkaar geslagen/ heb per ongeluk 15 man opgelicht op Marktplaats/ ben doorgereden na een aanrijding vanwege mijn alcoholpromillage. Wat denk je, kan ik hier blijven werken? Er is geen enkel persoon te vinden die slapende honden wakker gaat maken, al was het maar vanwege schaamte en de waarschijnlijke inkomensterugval.

Leg dan in het beleid vast dat op basis van functie en risicoprofiel periodiek een VOG/ VGB moet worden aangeleverd, zoals je zelf al aangeeft. Bij branches zoals de kinderopvang, Defensie etc. is dat al gebruikelijk. Mocht dat fout gaan bij een werknemer, dan kun je wel zeggen dat op basis van individuele beoordeling en inachtneming van alle omstandigheden wordt bekeken of, en zo ja wat voor gevolgen dat gaat hebben. Je zou de eerste niet zijn die b.v. met 2 bier wordt gepakt bij een blaastest, en vervolgens geen VOG krijgt voor een vertrouwensfunctie.

Dat indekgedrag is prima, want daarmee ben je al aardig op weg naar een solide ontslag-grond .
Als dat soort dingen niet in beleid vastgelegd zijn is het nog verdomd lastig om zo iemand te ontslaan als er wat gebeurt of als je 'm betrapt- zonder grote kosten.
Je bent toch iemand die al een paar decennia werkt - waarom moet je dat dan nog eens verteld worden ?

Uiteindelijk kan. de werkgever niet veel meer doen dan iemand ontslaan , verdere sancties moeten van de strafrechter komen.

Waarom is dat nou lachwekkend ?

Voorkom je er wat mee - heel misschien . Maar als voorkomen niet lukt is damage control de volgende stap.
Weten we toch ook security en operations ? backups zijn er voor als preventie (en redundantie) niet goed genoeg waren.
disaster draaiboek .
En wat contractuele termen omtrent (beperkte) aansprakelijkheid .


Degenen die (bv) een A screening gehad hebben weten dat wel , want dat hebben ze meegemaakt en moeten opgeven. WG kan dat ook nog in een niet-uitputtende lijst vast leggen in personeels handboek , ofzo.

Ik snap dat soort knibbel knabbel gezeur niet zo . Als organisatie moet je doen wat je kunt - in verhouding staat het risico en de kosten van preventie .
Natuurlijk kan iemand de dag na het opvragen van een VoG een misdrijf plegen. Natuurlijk kan iemand misdrijven gepleegd hebben zonder betrapt te zijn en dus een schone VoG hebben . Bla bla bla.

Het alternatief - helemaal niks doen en dan verbaasd zijn dat recidive bestaat en je dat geval _wel_ had kunnen voorkomen met simpelweg een VoG laten aanvragen en wat formaliteiten in het contract of personeelshandboek - is voor prutsers.

Ik denk overigens niet dat een organisatie die nu in de fase "laten we eens ISO27001 doen en een VoG introduceren" het soort werkt doet waarvoor A of B screeningen noodzakelijk zijn . (dat zijn de screeningen degenen die ook interview doen en kijken naar antecedenten van de sociale omgeving) .

De vraag lijkt me duidelijk van iemand te komen die "gewoon" een VoG wil laten vragen met de relevante criteria .
Dat is inderdaad alleen maar een check op "het strafblad" van de laatste zoveel jaar voor misdrijven uit een bepaalde categorie die relevant is voor de functie . En die kijkt niet naar de strafbladen of loyaliteiten van de naaste omgeving.

Is fix forward een optie: bij de wisselen functie, promotie of salarisverhogingen afspreken dat VOG aanwezig moet zijn?

De reactie van Anoniem 13:45 is duidelijk en volledig.
Het gaat bij ISO om "aantoonbare risicobeheersing".
Allereerst bepaal je de graad van risico voor elke functie en op basis daarvan doe je vervolgstappen.
Hoe je dat doet is niet van belang, als je maar kunt aantonen waarom je doet wat je doet.

En screening gaat veel verder dan alleen een VOG.
Dat betreft bijv. ook natrekken van CV's, opvragen referenties, etc.
Ook weer gerelateerd aan het gedefinieerde risicoprofiel.
Je kunt zelfs vastleggen zeggen dat je geen screening doet met de onderbouwde reden waarom vanuit je risicoinventarisatie.

Als ISO-auditor leg ik altijd de nadruk op een goede risicoanalyse (daarom is dit ook het eerste hoofdstuk uit de norm!).
Dat is de basis en vaak blijkt dat dat er maar enkele functies echt gevoelig zijn en kun je voor de rest simpele dingen inrichten. De investering in zo'n analyse verdient zich meervoudig terug in het vervolgtraject.
Helaas, helaas wordt dit onvoldoende gedaan waardoor je ook vragen krijgt zoals nu. Bij een goede analyse had je al geweten wat de beste methode zou zijn

Ik denk dat je dat verzint of zwaar aanzet.

Je krijgt altijd een VoG - alleen die hoeft niet blanco te zijn voor de gevraagde categorie of criteria.

De persoon krijgt de VoG - en kan die wel of niet aan de werkgever laten zien. En de werkgever kan beslissen wat hij doet met de strafrechtelijke aantekeningen voor een bepaald misdrijf op een bepaald moment in het verleden. De standaard VoG vraag kijkt ook niet eeuwig terug

Kun je je verhaal over de vertrouwensfunctie en "twee biertjes" eens uitwerken ? Er zijn veel soorten vertrouwensfuncties - welke categorieën vinken die aan voor de VOG vraag en zit daar verkeer altijd bij ?
HR of boekhouder zijn m.i (al) vertrouwsfuncties.
Voor een beroepschauffeur zal het m.i eerder negatief uitpakken.

Ok - ik heb het zelf maar nagezocht.

Eerst een correctie op mezelf : je krijgt niet een VoG met melding van de strafbare zaken .

Je krijgt een VoG (of niet) als justis voor de aanvraag gegeven de functie en het aangegeven screeningsprofiel geen bezwaar ziet.
De aanvrager kan (bij afwijzing) nog in beroep gaan en een mooi verhalen vertellen hoezeer het leven gebeterd is en dat ie toch een VoG wil. Je hebt ook advocaten die dat verhaal voor je in elkaar draaien.
https://justis.nl/het-verhaal-van-meryam


De standaard terugkijk-termijn is 4 jaar, voor de meeste zaken en personen.
Jonger dan 23 jaar is de terugkijk termijn slechts twee jaar , behalve als het seksuele of terroristische misdrijven betreft .
Voor (weg) vervoerders, taxi etc is de terugkijk termijn 5 jaar .


Er zijn (ook voor de standaard VoG) diverse screeningsprofielen . Dat is de term voor het soort functie , en daarmee de categorie misdrijven die bekeken worden .


Er is een hele puntenschaal voor de mate van "onder invloed zijn" , het soort voertuig , verzwarende omstandigheden (verzet bij aanhouding e.d.) .

Als we "2 bier bij blaastest" letterlijk nemen is dat
1) : voor een ervaren bestuurder (5 jaar rijbewijs) : 0.5% en op zichzelf niet strafbaar . Als die persoon desondanks "zichtbaar niet in staat is" wordt het anders .

2) : voor een beginnende bestuurder "schaal I" en geldboete 300 euro.

Als we aannemen dat ervaren bestuurder twee bier "boven de grens zit" (is al aardig gelogen met "ik had er maar twee", want dat zijn er ongeveer 4 . "schaal II" , 420 euro en nog steeds geen educatieve maatregel .

https://www.rechtspraak.nl/sitecollectiondocuments/orientatiepunten-en-afspraken-lovs.pdf

Wat niet expliciet terug te vinden is, is welke misdrijven voor welk screeningsprofiel precies bekeken worden, en of de schaal van de overtreding ook nog bekeken wordt . (voor de strafmaat richtlijn dus wel , onbekend hoe justis dat meeweegt ).

En - jouw definitie "vertrouwensfunctie" kan op verschillende screeningsprofielen slaan .

Er is wel één expliciet punt in de voorlichtingsbrochure van justis

https://www.justis.nl/sites/default/files/2021-11/Verklaring%20Omtrent%20het%20Gedrag-%20veelgestelde%20vragen%20door%20jongeren.pdf


Als we aannemen dat een "vertrouwensfunctie" dan één van de administratieve profielen is , staat er letterlijk dat rijden onder invloed GEEN VoG-weigering zal opleveren.

Alles bij elkaar : "twee bier blazen" bij een fuik (zonder ongeluk, doden, matpartij met de agenten etc) en "VoG geweigerd voor een vertrouwensfunctie" lijkt dus gewoon (haha) borreltafel praat zonder inhoud . Benieuwd naar "niet de eersten" die dat allemaal overkomen zou zijn, maar voorlopig denk ik letterlijk dat het geleuter aan de vrijmibo was.

Hm. een vertrouwensfunctie, zou je die willen geven aan iemand die alcohol en verkeer koppelt? die het niet zo nauw neemt met de regels?
Fijn dat je met een VOG je jezelf die vraag kunt stellen, en niet elke leugenaar hoeft aan te nemen op diens blauwe ogen.

Je vereist geen VOG van een medewerker omdat je aan een ISO27001 wil voldoen. En dat geldt eigenlijk voor alle controls die in de ISO staan, je wilt daar aan voldoen vanuit een motivatie om orde op zaken te hebben. Er zijn plekken binnen een organisatie waar medewerkers in risicovolle situaties terecht komen; zoals met contant geld, financiele afdeling (fraude gevoelig) of kwetsbare doelgroepen (ouderen/kinderen).
Ik denk dat elke organisatie wel enige zekerheid wil hebben dat iemand in de kinderopvang niet een voorgaande veroordeling heeft voor kindermisbruik. Je wil niet iemand op de financiele afdeling die een hand in de pot heeft gestoken bij een andere werkgever.

Dat gezegd hebbende: een VOG is een momentopname, je wil deze eigenlijk (vanuit beleid) periodiek toetsen. En een VOG wordt alleen geweigerd als je een veroordeling hebt. Dus alles wat afgedaan wordt met een boete (wet mulder) komt sowieso niet naar voren. En ze toetsen op profiel; dus als taxichauffeur geen verkeersveroordeling, maar kan je prima in de kinderopvang of ouderenzorg.
Dan heb je nog (zie ik steeds vaker) VOG-P, dat is niet alleen Justis (dus veroordelingen) maar ook Politiegegevens; dus bijvoorbeeld als er een aangifte is gedaan.

Misschien moet je mijn posting van 16-8 23:50 eens goed lezen en proberen te snappen.

Zoals ik heb uitgezocht : met een VoG voor een "vertrouwensfunctie" is het erg onduidelijk of Justis daarin Art 8 WVW wel meetelt of niet .
Ze zeggen in hun voorlichtingsdingetje voor jongeren bijna letterlijk van niet .

In jouw morele wereld is ' alcohol overtreden -> "dus bereid alle regels te overtreden" -> 'dus onbetrouwbaar ' .
Het lijkt er eigenlijk op dat Justis , voor "administratieve functies" dat niet zo ziet.


Niks mis met een VoG - maar bedenk heel goed dat een VoG betekent dat "Justis voor het aangevraagde screeningsprofiel/omschreven functie geen bezwaar ziet in het door hen relevant geachte justitie verleden om deze persoon er te laten werken"

Dat is niet altijd precies hetzelfde als "brandschoon verleden vanaf de geboorte" .
En specifiek voor verkeersdelicten is het vrij twijfelachtig of die voor in principe administratieve functies dan meegeteld worden.