| Implicaties | Onze zorginstellingen met meer dan 50 werknemers en een jaaromzet van meer dan €10 miljoen, hebben een informatiebeveiligingsbeleid, gebaseerd op de NEN7510 en voldoen minimaal aan:
- Voor alle gegevens en applicatiefuncties (autorisatie-objecten) zijn verantwoordelijken aangewezen.
- Voor alle autorisatie-objecten is aangegeven welke rollen of gebruikers geautoriseerd toegang kunnen krijgen op basis van laagste toegangsrecht.
- Alle toegang tot autorisatie-objecten wordt expliciet geauthenticeerd en geautoriseerd, tenzij deze openbaar toegankelijk zijn.
- Gegevens zijn voorzien van een BIV classificatie die aangeeft wat het gewenste niveau van Beschikbaarheid, Integriteit en Vertrouwelijkheid is.
- Informatiebeveiligingsmaatregelen zijn gebaseerd op het informatiebeveiligingsbeleid, de BIV classificatie van de betrokken gegevens en een risico-analyse vanuit procesperspectief.
- Alle toegang tot gevoelige gegevens wordt gelogd en regelmatig beoordeeld.
- Uitwisseling van gevoelige gegevens vindt niet in bulk plaats, maar is toegespitst op de vraag zodat het beperkt is tot wat noodzakelijk is.
- Informatiebeveiliging wordt integraal meegenomen bij het ontwerp en de inrichting van applicaties en infrastructuur.
- Informatiebeveiliging wordt ook geborgd in afspraken (en controle op naleving ervan) met samenwerkingspartners en leveranciers van diensten of IT-systemen.
- Alle betrokkenen zijn zich bewust van informatie-beveiligingsmaatregelen en deze worden onder meer geborgd door periodieke interne en externe audits.
|
