Werkt jouw organisatie al hybride, maar maak je je zorgen over de beveiliging ervan? Je bent niet de enige. Veel zorgprofessionals en -instellingen maken zich zorgen over de veiligheid van hun hybride werkplekken en dat is niet geheel ongegrond. Door het grotere aantal toegangspunten tot het bedrijfsnetwerk, wordt ook het aantal ingangen voor cybercriminelen vergroot. Daarnaast is het van groot belang dat de data die wordt geopend, bewerkt en opgeslagen vanuit de hybride werkplek veilig wordt opgeslagen. Hoe kun je controleren of je data bij jouw hybride werkplek leverancier veilig is? In dit blog geven we je handige 3 tips.
Allereerst kun je de certificaten en assurances van je leverancier controleren. Wanneer je leverancier in het bezit is van zulke certificaten en assurance verklaringen, zullen ze hier niet geheimzinnig over doen, maar dit juist groots presenteren. Daarom kun je dit vaak al op de site van de leverancier zelf vinden. Meestal is deze informatie beschikbaar onder ‘compliance’ of ‘certificeringen’.
Door samen te werken met een gecertificeerde leverancier, kun je waarborgen dat je zorggegevens conform wet- en regelgeving worden verwerkt.
Om te controleren of jouw data veilig is bij je huidige leverancier, kun je ook kijken naar hoe zij het eerder hebben aangepakt. Met een assurance-opdracht laat je een onafhankelijke auditor de processen over een periode in het verleden toetsen. Voor deze opdracht gebruikt de auditor een zogenaamd control framework. Dit is de bron waaraan de reputatie van je leverancier getoetst wordt. Zo krijg je op basis van de prestaties uit het verleden een goed beeld van de betrouwbaarheid en kundigheid van je leverancier.
Waar certificaten en normeringen op de toekomst gericht zijn, kijk je met een assurance-opdracht naar het verleden. Er wordt meestal gekozen voor ISAE 3000 of ISAE 3402. Dit zijn de bekendste en belangrijkste typen assurance-opdrachten. Voor financiële informatie zonder geschiedenis en algemene security is er ISAE 3000. Moet er ook gekeken worden naar de geschiedenis van het financiële aspect, zoals bijvoorbeeld een jaarrekening, of zijn deze processen uitbesteed, dan is er ISAE 3402.
Binnen deze twee assurance-opdrachten heb je nog twee verschillende typen: type 1 en type 2. Type 1 is een momentopname, waarbij de auditor vaststelt of het juiste normenkader met de juiste maatregelen werd afgedekt op een specifieke datum. Bij type 2 wordt gecontroleerd of deze maatregelen ook daadwerkelijk effectief zijn op basis van een periode van ten minste zes maanden.
Door samen te werken met een leverancier die de juiste assurances bezit, weet je zeker dat je leverancier de informatiebeveiliging op orde heeft en dat het bovendien ook toekomstbestendig is.
Er bestaat helaas nog geen universeel AVG-certificaat, wat het heel gemakkelijk zou maken om de veiligheid van je leverancier te controleren. Wel heeft NOREA, de beroepsorganisatie van IT-auditors in Nederland, met de invoering van de AVG het Privacy Control Framework (PCF) gepubliceerd. Dit framework is ontworpen door een werkgroep binnen NOREA, bestaande uit registeraccountants, informatiebeveiliging specialisten, juristen en technisch specialisten, zodat er kennis en kunde vanuit verschillende relevante beroepsgroepen in geïntegreerd werd.
Het Privacy Control Framework biedt voornamelijk een handreiking aan audit professionals bij het beoordelen of de benodigde veiligheid en bescherming van persoonsgegevens wordt behaald. Zo worden bepaalde control objectives en maatregelen genoemd die bepalen of er wordt voldaan aan de eisen. Naast kernelementen uit de AVG is er bijvoorbeeld ook rekening gehouden met ‘best practices’ uit het veld. Auditors kunnen deze duidelijke richtlijnen gebruiken als startpunt voor hun audits en zo duidelijker conclusies verbinden aan hun bevindingen.
Is je leverancier geaudit door een auditor aangesloten bij NOREA, dan heb je dubbele zekerheid.
Eshgro bezit over zowel een ISO 27001 als een NEN 7510 certificaat. Zo garanderen wij extra zekerheid voor onze zorgklanten. Daarnaast beschikken we over ISAE 3000A type 2 en ISAE 3402 type 2 assurance verklaringen. Om dit allemaal mogelijk te maken, ziet onze Compliance Officer Maik van de Graaf er dagelijks op toe dat Eshgro in overeenstemming met de wet- en regelgeving en doelstellingen uit deze certificeringen en assurance-opdrachten werkt. Meer weten? Lees hier meer over Eshgro’s compliance.
Wil je weten of jouw data veilig is bij je huidige leverancier of overweeg je over te stappen? We staan je graag te woord. Bel ons gerust op 0485 – 476 193 of stuur een mail naar sales@eshgro.nl.