Dit onderzoek is uitgevoerd door Max van Cuccibu. In deze blog vertelt hij uit welke stappen een inventarisatie bestaat en wat het de klant oplevert.
In de snel veranderende wereld van softwareontwikkeling en informatieveiligheid is robuuste beveiliging van groot belang. Bij Avisi begrijpen we dit als geen ander, en daarom zijn we in het bezit van een ISO 27001:2022-certificaat en een SOC 2 Type II-verklaring. Hiermee staan we garant voor onze voortdurende inspanningen om de vertrouwelijkheid, integriteit en beschikbaarheid van (klant)gegevens te waarborgen.
Ook richten we ons op het verkennen van informatiebeveiligingsnormen in andere sectoren, zoals de overheid en de gezondheidszorg. Zo kunnen we deze sectoren nóg beter van dienst zijn. In deze blog delen we onze bevindingen over hoe we een implementatieplan hebben opgezet om onze beveiligingsmaatregelen te optimaliseren en te laten aansluiten op de behoeften van deze specifieke sectoren.
Om bovenstaande sectoren goed te kunnen bedienen, hebben we onderzoek verricht om te begrijpen hoe we kunnen voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en NEN7510 (informatiebeveiliging in de zorg).
De NEN7510 is een Nederlandse norm voor informatiebeveiliging in de gezondheidszorg, gericht op het waarborgen van privacy en de beveiliging van patiëntgegevens. Het stelt richtlijnen vast voor het beheer van medische gegevens, toegangscontrole tot patiëntendossiers en veilige informatie-uitwisseling tussen zorginstellingen.
De Baseline Informatiebeveiliging Overheid (BIO) is een Nederlandse norm die richtlijnen en best practices biedt voor informatiebeveiliging in de publieke sector. Het legt strikte eisen en richtlijnen vast om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige overheidsinformatie te waarborgen. Dit omvat maatregelen zoals het beheren van toegangsrechten, beveiliging van netwerken en systemen, en het opstellen van incidentresponsprocedures.
Bij Avisi zijn we ISO 27001:2022-gecertificeerd, wat het gemakkelijker maakt om inzicht te krijgen in hoeverre we al voldoen aan de NEN7510 en de BIO. Hoewel beide normen zijn gebaseerd op ISO 27002, hebben ze hun eigen specifieke toevoegingen, gericht op overheidsmaatregelen of zorgspecifieke eisen. Onze focus ligt op deze aanvullende maatregelen.
De eerste stap was het koppelen van de bestaande maatregelen van de ISO aan de aanvullende maatregelen van de respectievelijke normen. Vervolgens werden afwijkingen individueel geëvalueerd om te beoordelen wat er nog aanvullend moest gebeuren. Dit werd uitgevoerd door middel van het opvragen van relevante documentatie, beleidsstukken, en informatie uit het Information Security Management System (ISMS) binnen Avisi.
Gelukkig hebben we onze beveiliging goed georganiseerd en hoeven we slechts kleine aanpassingen te maken om te voldoen aan de BIO en/of NEN7510.
Verschillen tussen de normen
Wanneer voldoe je nou aan de BIO en/of NEN7510? Er zijn duidelijke verschillen tussen de normen, waarbij ISO zich kenmerkt door zijn algemeenheid, terwijl NEN en BIO zeer specifieke eisen stellen. Hieronder worden deze verschillen verder toegelicht:
NEN7510 |
BIO |
---|---|
Strengere screeningseisen: Deze zijn vooral van toepassing op artsen en verpleegkundigen.
Implementatie van role-based access control (RBAC): Toegangscontrole wordt ingezet via vooraf bepaalde rollen met passende bevoegdheden die afgestemd zijn op de rolvereisten.
Specifieke beveiligingseisen voor informatiesystemen: Dit omvat de vereiste van tweefactorauthenticatie (2FA) voor systemen met gezondheidsinformatie.
Stricter beleid voor opslag: Verplaatsing of verwijdering van apparatuur, gegevens of software voor zorgtoepassingen is alleen toegestaan met goedkeuring.
Eisen met betrekking tot adequate informatiesystemen voor cliëntgegevens: Dit omvat unieke identificatie van cliënten binnen het systeem en de mogelijkheid om dubbele registraties samen te voegen.
Specifieke AVG-privacymaatregelen: Bijvoorbeeld de verplichting om toestemming te vragen aan cliënten voordat hun gegevens kunnen worden gedeeld met andere partijen. |
Mobile Device Management (MDM) of Mobile Application Management (MAM) is verplicht.
Bij het overnemen van sessies op remote werkplekken moet dezelfde beveiligde loginprocedure worden gevolgd als waarmee de sessie is gestart. Afwijking hiervan is alleen toegestaan na risicoafweging.
Vastgestelde termijnen voor verschillende maatregelen: Beoordeling van speciale bevoegdheden per kwartaal, herstel van kritische bedrijfscontinuïteitsprocessen binnen 1 week, en vernieuwing van wachtwoorden zonder two-factor authenticatie minstens halfjaarlijks.
Aandachtspunten voor Avisi: Avisi moet zorgvuldig overwegen hoe het aan deze maatregelen kan voldoen, vooral als het overheidsinstanties als klanten heeft.
Veilige berichtenuitwisseling: Voor dit doel moet de actuele versie van Digikoppeling worden gebruikt, in lijn met de 'pas toe of leg uit'-lijst van het Forum.
Toepassing van de AdES Baseline Profile-standaard: Deze standaard moet worden gevolgd voor elektronische handtekeningen.
Gebruik van PKI-overheidscertificaten: Dit is vereist voor web- en e-mailverkeer met gevoelige gegevens. |
Avisi is gecertificeerd volgens ISO 27001:2022 en heeft een SOC 2 Type-verklaring. Momenteel onderzoeken we de implementatie van de BIO- en NEN7510-normen om onze informatiebeveiliging te optimaliseren. We hebben een implementatieplan opgesteld op basis van ISO 27002, gericht op aanvullende maatregelen voor deze normen. De conclusie is dat we goed gepositioneerd zijn om aan de normen te voldoen met een relatief kort implementatietraject. Dit stelt ons in staat onze klanten nog beter van dienst te zijn!