REGAS Nieuws: veiligheid

5 min read - published on december 6, 2012

Veiligheid van cliënt- en patiëntgegevens in de zorg staan bij u en ons hoog in het vaandel. Nadat in verschillende cloudoplossingen de afgelopen tijd verscheidene malen gegevens op straat zijn komen te liggen, is de aandacht hiervoor verscherpt vanuit de markt. Dit merken ook wij aan de hand van de vragen die aan ons gesteld worden. Vorige maand hebben wij al iets verteld over de pentesten die we periodiek laten uitvoeren. Deze maand zoomen wij in op informatiebeveiliging.

Zoals vastgelegd in de Wet Bescherming Persoonsgegevens zijn zorginstellingen verantwoordelijk voor de beveiliging van de informatie die zij beheren. Het Centrum van Normalisatie (NEN) heeft een norm ontwikkeld waarmee informatievoorziening in de zorg kan worden beveiligd: de NEN-7510.

“Onder informatiebeveiliging in de zorg wordt verstaan: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden.” Aldus het Steunpunt NEN 7510.

Het beveiligen van informatie rust daarmee op drie pijlers:

  1. Beschikbaarheid: de mate waarin de informatie tijdig en volledig voor handen is.
  2. Integriteit (of betrouwbaarheid): de mate waarin de informatie actueel en correct is.
  3. Vertrouwelijkheid: de mate waarin de informatie beschikbaar is voor slechts de daarop rechthebbende en de mate waarin de informatie juist ontoegankelijk is voor onbevoegden.

Een veelvoorkomend misverstand is dat aan software de eis wordt gesteld dat zij voldoet aan de NEN 7510. U als organisatie dient de drie pijlers te borgen. Het borgen geschiedt dan ook door enerzijds technische eisen te stellen aan uw leverancier, alsmede de invulling van uw beleid. Wat heeft u, gericht op de bewerkstelliging van de drie pijlers, vastgelegd aan contractuele maatregelen en aan de inrichting van de organisatie?

Naast het borgen van de pijlers, vereist de norm ook dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken over adequate informatiebeveiliging. Binnen het kader van de norm, moeten zorginstellingen de voor het betreffende proces relevante informatiebeveiliging specificeren; inclusief de daarbij behorende maatregelen.

Wij, als leverancier van de dienst die in opdracht van u de gegevens bewaart en beveiligt, ondersteunen de eisen van de NEN-7510. Enkele voorbeelden aan de hand van de pijlers:

  1. Beschikbaarheid: 99,4% uptime per kwartaal gegarandeerd, 24/7 via browser benaderbaar, continuïteit na faillissement vastgesteld in SLA.
  2. Integriteit: correcte afhandelingen van transacties in de database, zichtbaar via mutatielog.
  3. Vertrouwelijkheid: het netwerk is opgebouwd conform de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie, alle data wordt via SSL versleuteld, strikt persoonlijke gebruikersaccounts, sterke wachtwoorden.

In het algemeen eisen wij van onze hosting partner tenminste een ISO 27001 certificering, deze is vooral om de risico’s te identificeren, af te wegen en relevante proportionele maatregelen te selecteren. De norm wordt gekenmerkt door een procesbenadering voor het plannen, implementeren, bewaken, evalueren, onderhouden en verbeteren van maatregelen.