INFORMATIEBEVEILIGINGSBELEID

 
Bij Child Healthcare Solutions maken we software applicaties waarin soms privacygevoelige informatie wordt verwerkt. Daarom nemen we de beveiliging van deze informatie serieus. Niet voor niets houden we ons aan de kwaliteitsnormen ISO27001, ISO27002, NEN7510, NEN7512 en NEN7513. We besteden in dit kader aandacht aan alle aspecten van de organisatie en zorgen er zo onder andere voor dat informatie niet in handen komt van onbevoegden, de informatie in onze applicaties beschikbaar is en blijft en dat de informatie juist is. Benieuwd hoe we dat doen? Dat lees je hieronder. 

ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG)

 

Persoonsgegevens worden alleen verwerkt wanneer is voldaan aan de voorwaarden die zijn bepaald in de Algemene verordening Gegevensbescherming (AVG).
 
 
 
 
 

OFFICIËLE RICHTLIJNEN VOOR INFORMATIEBEVEILIGING

 

Het managementsysteem voor informatiebeveiliging van Child Healthcare Solutions is ingericht conform ISO 27001, ISO 27002, NEN 7510, NEN 7512 EN NEN7513. Hiermee is informatiebeveiliging geïntegreerd in de doelstellingen en processen van de organisatie en wordt er extra aandacht besteed aan het beveiligen van gezondheidsinformatie.

WET OP DE GENEESKUNDIGE BEHANDELINGSOVEREENKOMST (WGBO)
 

De Wet op de geneeskundige behandelingsovereenkomst bevat specifieke bepalingen voor gezondheidsorganisaties. Omdat Child Healthcare Solutions applicaties ontwikkelt die in de gezondheidszorg gebruikt worden, wordt ook met bepalingen in deze wetgeving rekening gehouden waar dit relevant is.
 

INFORMATIE INVENTARISATIE

 
Er wordt een inventarisatie gemaakt van de omvang en soort informatie die binnen de organisatie aanwezig is zodat de scope voor informatiebeveiliging vastgesteld kan worden. Tevens wordt de informatie geclassificeerd en wordt er geïnventariseerd waar de informatie zich bevindt zodat passende maatregelen genomen kunnen worden.

SAMENWERKINGSPARTNERS

 
Bij het selecteren van samenwerkingspartners is het bewust omgaan en nemen van passende beveiligingsmaatregelen een absolute vereiste voor de keuze. Bij het nemen van maatregelen in het kader van informatiebeveiliging wordt de mate waarin de partner een risico vormt als uitgangspunt genomen. De voorkeur gaat uit naar een gecertificeerde partner.

AFSPRAKEN IN OVEREENKOMSTEN

 
Ook in overeenkomsten met leveranciers en afnemers kunnen aanvullende beveiligingsmaatregelen worden afgesproken.
 

INCIDENTENBEHEER

 

De organisatie hanteert een specifieke procedure voor het melden, identificeren en behandelen van incidenten.

VEILIG PERSONEEL


Medewerkers worden gescreend bij indiensttreding en een training op het gebied van informatiebeveiliging is onderdeel van het inwerktraject.
 

ENCRYPTIE

 
Datatransport en opslag vindt versleuteld plaats zodat het van buitenaf niet leesbaar te onderscheppen is.

PERIODIEKE TOETSING VAN DE BEVEILIGING

 
Dit beleid voor informatiebeveiliging wordt minimaal eens per jaar onder de loep genomen. Daarnaast wordt het beleid continu getoetst op functionaliteit, actualiteit en gebruiksvriendelijkheid naar aanleiding van kansen en afwijkingen die zich in de praktijk voordoen.

COMMUNICATIEBEVEILIGING


Communicatie vindt plaats in beveiligde en beheersbare communicatie omgevingen. Interne communicatie vindt bij voorkeur plaats via een kanaal waar alleen op uitnodiging toegang toe kan worden verkregen.
 

BEHEER TECHNISCHE KWETSBAARHEDEN

 
Technische bedrijfsmiddelen die in gebruik zijn binnen de organisatie worden geïnventariseerd en meegenomen in risico-analyses. Er is ook een interne patch management procedure.
 
 

INSTALLATIE EN GEBRUIK SOFTWARE

 
Het implementeren van nieuwe software verloopt via de change management procedure van de organisatie.
 
 

CLEAR DESK EN CLEAR SCREEN


​​​​​Binnen de organisatie hanteren we een clear desk policy voor wat betreft niet publieke informatie. Een clear screen policy geldt ook voor medewerkers die contact hebben met externe partijen en hun Macbook gebruiken tijdens afspraken.

WACHTWOORD BEHEER

 
Er worden sterke wachtwoorden gehanteerd voor assets die gevoelige informatie bevatten. Daarnaast worden wachtwoorden in een beveiligd systeem bewaard en beveiligd met een wachtwoord. 
 

TOEGANGSBEVEILIGING

 
Voor de toegang tot informatie geldt een specifiek beleid voor toegangsbeveiliging zodat de kans dat onbevoegden toegang krijgen zoveel mogelijk voorkomen wordt.

EXTERNE DATADRAGERS

 
De organisatie maakt geen gebruik van externe datadragers voor het opslaan en bewaren van niet publieke informatie.

BACK-UP

 
Er wordt een back-up gemaakt van de informatie die niet verloren mag gaan en er wordt encryptie toegepast op de gegevens binnen de back-up.

DEVICES IN BEHEER VAN ORGANISATIE

 
Voor alle medewerkers in dienst geldt dat zij voor het uitoefenen van werkzaamheden gebruikmaken van devices die in het beheer zijn van de organisatie.

TOEGANGSBEVOEGDHEID TOT DATA

 
Interne medewerkers hebben toegangsbevoegdheid voor zover het need-to-know principe strekt.

BESCHERMING TEGEN MALWARE

 
Er wordt gebruikgemaakt van Macbooks om de kans op malware te verminderen.

FYSIEKE WERKOMGEVING

 
 Toegang tot de centrale fysieke werkomgeving van de organisatie wordt beperkt.

LEVERANCIERS

 
Er worden minimale beveiligingseisen gesteld aan (systemen van) leveranciers.