Werkt jouw organisatie al hybride, maar maak je je zorgen over de beveiliging ervan? Je bent niet de enige. Veel zorgprofessionals en -instellingen maken zich zorgen over de veiligheid van hun hybride werkplekken en dat is niet geheel ongegrond. Door het grotere aantal toegangspunten tot het bedrijfsnetwerk, wordt ook het aantal ingangen voor cybercriminelen vergroot. Daarnaast is het van groot belang dat de data die wordt geopend, bewerkt en opgeslagen vanuit de hybride werkplek veilig wordt opgeslagen. Hoe kun je controleren of je data bij jouw hybride werkplek leverancier veilig is? In dit blog geven we je handige 3 tips.
Allereerst kun je de certificaten en assurances van je leverancier controleren. Wanneer je leverancier in het bezit is van zulke certificaten en assurance verklaringen, zullen ze hier niet geheimzinnig over doen, maar dit juist groots presenteren. Daarom kun je dit vaak al op de site van de leverancier zelf vinden. Meestal is deze informatie beschikbaar onder ‘compliance’ of ‘certificeringen’.
De wereldwijde standaard voor informatiebeveiliging is de ISO 27001 norm. Met deze certificering kan een organisatie aantonen dat zij voldoet aan alle eisen rondom informatiebeveiliging. Sinds de ingang van de Algemene Verordening Gegevensbescherming (AVG) worden er strengere eisen gesteld aan de informatiebeveiliging van alle organisaties die te maken hebben met persoonsgegevens. Zo ook zeker de zorg. De beheersdoelstellingen en -maatregelen uit de ISO 27001 norm zijn gebaseerd op de voorbeeldmaatregelen uit de AVG, maar dat betekent niet automatisch dat je per definitie aan de AVG voldoet als je in het bezit bent van de ISO 27001 norm. Het helpt wel bij het aantonen dat je een passend gegevensbeschermingsbeleid voert.
Voor de zorgsector hebben we in Nederland een speciale norm ontwikkeld. De NEN 7510. Deze norm is gebaseerd op de internationale ISO 27001 standaard, maar in deze norm wordt extra aandacht besteed aan aspecten die specifiek zijn voor de Nederlandse zorgsector. Zoals het verwerken van patiëntgegevens als medische gegevens of het BSN. Je hoeft als zorgprofessional, -instelling of -leverancier niet NEN 7510 gecertificeerd te zijn, maar het is wel wettelijk verplicht om te voldoen aan de inhoud van de norm. Wanneer je jouw organisatie wel laat certificeren, wordt er door een externe auditor vastgesteld of je daadwerkelijk voldoet aan de norm.
Door samen te werken met een gecertificeerde leverancier, kun je waarborgen dat je zorggegevens conform wet- en regelgeving worden verwerkt.
Om te controleren of jouw data veilig is bij je huidige leverancier, kun je ook kijken naar hoe zij het eerder hebben aangepakt. Met een assurance-opdracht laat je een onafhankelijke auditor de processen over een periode in het verleden toetsen. Voor deze opdracht gebruikt de auditor een zogenaamd control framework. Dit is de bron waaraan de reputatie van je leverancier getoetst wordt. Zo krijg je op basis van de prestaties uit het verleden een goed beeld van de betrouwbaarheid en kundigheid van je leverancier.
Waar certificaten en normeringen op de toekomst gericht zijn, kijk je met een assurance-opdracht naar het verleden. Er wordt meestal gekozen voor ISAE 3000 of ISAE 3402. Dit zijn de bekendste en belangrijkste typen assurance-opdrachten. Voor financiële informatie zonder geschiedenis en algemene security is er ISAE 3000. Moet er ook gekeken worden naar de geschiedenis van het financiële aspect, zoals bijvoorbeeld een jaarrekening, of zijn deze processen uitbesteed, dan is er ISAE 3402.
Binnen deze twee assurance-opdrachten heb je nog twee verschillende typen: type 1 en type 2. Type 1 is een momentopname, waarbij de auditor vaststelt of het juiste normenkader met de juiste maatregelen werd afgedekt op een specifieke datum. Bij type 2 wordt gecontroleerd of deze maatregelen ook daadwerkelijk effectief zijn op basis van een periode van ten minste zes maanden.
Door samen te werken met een leverancier die de juiste assurances bezit, weet je zeker dat je leverancier de informatiebeveiliging op orde heeft en dat het bovendien ook toekomstbestendig is.
Er bestaat helaas nog geen universeel AVG-certificaat, wat het heel gemakkelijk zou maken om de veiligheid van je leverancier te controleren. Wel heeft NOREA, de beroepsorganisatie van IT-auditors in Nederland, met de invoering van de AVG het Privacy Control Framework (PCF) gepubliceerd. Dit framework is ontworpen door een werkgroep binnen NOREA, bestaande uit registeraccountants, informatiebeveiliging specialisten, juristen en technisch specialisten, zodat er kennis en kunde vanuit verschillende relevante beroepsgroepen in geïntegreerd werd.
Het Privacy Control Framework biedt voornamelijk een handreiking aan audit professionals bij het beoordelen of de benodigde veiligheid en bescherming van persoonsgegevens wordt behaald. Zo worden bepaalde control objectives en maatregelen genoemd die bepalen of er wordt voldaan aan de eisen. Naast kernelementen uit de AVG is er bijvoorbeeld ook rekening gehouden met ‘best practices’ uit het veld. Auditors kunnen deze duidelijke richtlijnen gebruiken als startpunt voor hun audits en zo duidelijker conclusies verbinden aan hun bevindingen.
Is je leverancier geaudit door een auditor aangesloten bij NOREA, dan heb je dubbele zekerheid.
Eshgro bezit over zowel een ISO 27001 als een NEN 7510 certificaat. Zo garanderen wij extra zekerheid voor onze zorgklanten. Daarnaast beschikken we over ISAE 3000A type 2 en ISAE 3402 type 2 assurance verklaringen. Om dit allemaal mogelijk te maken, ziet onze Compliance Officer Maik van de Graaf er dagelijks op toe dat Eshgro in overeenstemming met de wet- en regelgeving en doelstellingen uit deze certificeringen en assurance-opdrachten werkt. Meer weten? Lees hier meer over Eshgro’s compliance.
Wil je weten of jouw data veilig is bij je huidige leverancier of overweeg je over te stappen? We staan je graag te woord. Bel ons gerust op 0485 – 476 193 of stuur een mail naar sales@eshgro.nl.
Thysia is nu Eshgro
Avensus is nu Eshgro