2. Inleiding
Deze presentatie is bedoeld om gebruikers en/of potentiele klanten
van VerzuimSignaal meer inzicht te geven in alle acties en
procedures die i-Signaal continue uitvoert in het kader van de
borging van privacy en security. Tevens worden de belangrijkste
functionaliteiten in Verzuimsignaal benoemd waarmee o.a. medische
gegevens worden beveiligd.
Doelgroep van deze presentatie:
Bestaande en/of potentiele klanten en overige belanghebbenden die
geinteresseerd zijn in de wijze waarop i-Signaal de kwaliteit / security
van haar dienst VerzuimSignaal borgt.
We hebben getracht alle informatie leesbaar te houden voor zowel
technisch onderlegde alsmede niet of minder onderlegde lezers.
4. 1. Totaaloverzicht
ORGANISATIE
De security van onze dienst begint bij het
datacenter. Hier staan ons serverpark fysiek
opgesteld.
De applicatie VerzuimSignaal wordt ontsloten
vanaf de web- en database servers.
APPLICATIE
Tenslotte wordt er aan de applicatie gewerkt
door diverse mensen binnen onze organisatie.
Alle bovengenoemde onderdelen zijn
SERVERPARK
onderdeel van ons security beleid. De highlights
en bijzonderheden per onderdeel worden in de
volgende hoofdstukken verder toegelicht.
DATACENTER
5. 3. Security Datacenter
[algemeen]
Het datacenter is het fundament van onze dienstverlening. Hier vindt
de ontsluiting richting het internet plaats. Het datacenter zorgt er
voor dat er altijd een verbinding met het internet beschikbaar is
(connectiviteit). Tevens wordt de stroomvoorziening (en
noodvoorziening) gefaciliteerd door het serverpark. Allemaal basale
zaken die nodig zijn om VerzuimSignaal bereikbaar te houden.
De volgende sheets zijn primair gericht op alle faciliteiten maatregelen
die ons datacenter heeft (of heeft getroffen) in het licht van
beveiliging. Het gaat daarbij om fysieke beveiliging maar natuurlijk
ook om de diverse procedures waarmee de toegang tot onze servers
wordt gewaarborgd.
6. 2. Security Datacenter
[maatregelen: fysiek]
• Zwaar beveiligd datacenter van Equinix te
Enschede. Voormalig pand van de
Nederlandsche Bank
• Servers i-Signaal staan in de (voormalige)
goudkluis
• Camerabewaking
• Zeer scherpe toegangscontrole
• 24/7 bemanning
8. 3. Security Serverpark
[algemeen]
De fysieke toegang tot ons servers is dus afgevangen door het
zwaarbeveiligde Datacenter. Onze applicatie VerzuimSignaal is
geïnstalleerd op (web)servers die voor iedereen bereikbaar zijn via
een beveiligde verbinding. Een “normale” gebruiker benaderd onze
applicatie (en dus onze servers) via de reguliere inlogpagina van
VerzuimSignaal. Alle andere mogelijkheden om onze web- en
database servers te benaderen zijn door ons onderkend en beveiligd.
In de volgende sheet vindt u een opsomming van de maatregelen die
we hebben getroffen om ongeautoriseerde toegang tot onze servers
uit te sluiten.
9. 3. Security Serverpark
[maatregelen]
• Firewalls
Hiermee worden de ingang op ons serverpark beperkt en bewaakt.
• Gescheiden netwerken
Hierdoor zijn onze database servers niet direct benaderbaar.
Deze kunnen enkel door de webservers aangesproken worden.
Beheer op de servers is alleen via een separaat ingericht (en
gescheiden) netwerk. Dit netwerk is niet vanaf buiten te benaderen.
• VPN toegang t.b.v. beheer en ontwikkeling
Enkel met deze zwaar beveiligde 1 op 1 verbinding kan toegang worden
verkregen tot het beheersnetwerk in de datacentra.
• Maximale beveiliging van servertoegang
Alle servers zijn voorzien van complexe inlogcombinaties die
periodiek worden gewijzigd.
• Security Patches
De servers worden continue voorzien van beveiligingsupdates
11. 3. Security Serverpark
[maatregelen]
• Internet verkeer via HTTPS (beveiligd internet)
VerzuimSignaal is enkel via een beveiligde internet verbinding
beschikbaar. Deze beveiligde verbinding maakt gebruik van SSLv3.
Belangrijke kenmerken:
e. Tijdens het opzetten van de verbinding worden unieke gegevens
uitgewisseld met de gebruiker en VerzuimSignaal om te zorgen dat
gegevens niet door derden kunnen worden afgetapt.
f. Tevens wordt bij het opzetten van de verbinding vastgesteld dat
de verstuurde gegevens daadwerkelijk van VerzuimSignaal
afkomstig zijn door middel van officiële beveiligingscertificaten.
g. Gegevens die verzonden worden over de beveiligde verbinding
worden hoogwaardig versleuteld.
12. 4. Applicatie
[algemeen]
De applicatie VerzuimSignaal wordt ontsloten via internet. De security
van onze applicatie begint bij het inloggen middels een gebruikersnaam
en wachtwoord. Eenmaal ingelogd in onze applicatie kan de gebruiker,
afhankelijk van zijn/haar rol en autorisaties, privacygevoelige informatie
inzien en/of bewerken.
Het is dus van groot belang dat de applicatie volledige borging heeft
waardoor medische gegevens 100% worden afgeschermd en waardoor
gebruikers geen inzicht hebben in dossiers waarvoor ze niet
geautoriseerd zijn.
De belangrijkste maatregelen t.a.v. privacy en security van onze
applicatie zijn opgesomd in de volgende sheets.
13. 4. Applicatie
[maatregelen]
• Secure Programmeren
We hebben een bepaalde standaard manier van programmeren
ontwikkeld om beveiligingslekken te voorkomen. Deze standaard is er
op gericht om onveilige broncode te voorkomen.
• OTAP – Ontwikkel – Test – Acceptatie – Productie
Releases van nieuwe functionaliteiten lopen altijd via een separate
test- en acceptatie-omgeving.
• Periodieke security scan middels HP Webinspect
Minimaal na elke release wordt de applicatie diepgaand gecontroleerd
door gespecialiseerde software van HP. Alle denkbare mogelijkheden
om data te manipuleren of informatie in te zien die voor een gebruiker
niet is toegestaan wordt hiermee gecontroleerd
• Periodieke stress tests via WAPT
Hiermee borgen we de performance van ons systeem.
• Periodieke security scan / penetratie test door externe partij
14. 4. Applicatie
[maatregelen]
Authenticatie
De authenticatielaag verschaft een gebruiker toegang tot
Verzuimsignaal.
•Gebruikersnaam-wachtwoord combinatie
Binnen Verzuimsignaal is het mogelijk een eigen beleid te maken
aangaande de complexiteit van wachtwoorden.
•Foutieve logins
Herhaaldelijk foutief inloggen resulteert in uitsluiting van die
gebruiker en/of het gebruikte IP adres.
•Landcontrole
We hebben de mogelijkheid per land te filteren of loginverzoeken
worden gehonoreerd.
•IP range
We hebben de mogelijkheid gebruikers te beperken tot een
vastgelegd IP adres (of range).
15. 4. Applicatie
[maatregelen]
• Gebruikersbeheer
Gebruikers worden in VerzuimSignaal via het gebruikersbeheer
aangemaakt m.u.v. medische gebruikers.
• Functionaliteit
Per gebruiker wordt een rol vastgelegd. Binnen de rol zijn de
functionaliteiten vastgelegd.
• Autorisaties
Per gebruiker wordt bepaald voor welke bedrijven,
bedrijfsonderdelen, werknemer en/of dossiers hij of zij
geautoriseerd is.
• Medische gebruikers (artsen)
Medische gegevens kunnen enkel ingezien worden door een door i-
Signaal aangemaakte gebruiker die op zijn beurt gecontroleerd
wordt op de aanwezigheid van een BIG-registratie.
Gebruikersnaam en wachtwoord worden separaat verstuurd.
16. 4. Applicatie
[maatregelen]
• HTTPS – Secure verbinding
Alle informatie wordt gegarandeerd versleuteld verstuurd over een
beveiligde internetverbinding.
• ACO – Acces Control Object
Hiermee wordt letterlijk bij elke klik in VerzuimSignaal bepaald of de
informatie op de pagina wel door de ingelogde gebruiker gezien mag
worden. De ACO wordt opgebouwd tijdens het inloggen op basis van
de rol en de autorisaties.
• Sessie controle
Bij het inloggen wordt een unieke token gegenereerd. Deze token
wordt bij elke klik in VerzuimSignaal gecontroleerd op geldigheid. De
sessie heeft een beperkt levensduur.
17. 4. Applicatie
[maatregelen]
• Afschermen documenten en notities
Per document en/of notitie kan de gebruiker bepalen of deze door
andere gebruikers ingezien en/of gemuteerd mogen worden.
• Gebruikersvoorwaarden
Met deze module dient de gebruiker eerst de voorwaarden (opgesteld
door de dienstverlener) te accorderen.
• Validatie op gebruik van medische termen
Hiermee kan worden voorkomen dat casemanagers of andere niet
medische gebruikers, bewust of onbewust, medische informatie
toevoegen aan het niet medische gedeelte van ons systeem.
• Medisch dossier
Toegang tot het medische dossier is alleen mogelijk met een specifieke
medische rol. Deze kan enkel door i-Signaal worden verstrekt waarbij
er een controle op het BIG register plaats vindt.
18. 5. Organisatie
[algemeen]
Wanneer alle (hiervoor benoemde) onderdelen volledig onder controle
zijn is het nog steeds mogelijk dat medewerkers van i-Signaal
onzorgvuldig met privacy gevoelige informatie omgaan.
Binnen onze organisatie zijn er diverse maatregelen getroffen die er
samen voor zorgen dat alle medewerkers van i-Signaal conform
wetgeving en aanvullende procedures handelen.
ISO 27002 vormt de basis en ruggengraat van ons interne securitybeleid.
In de volgende sheets vindt u een uiteenzetting van de maatregelen.
19. 5. Organisatie
[maatregelen]
• Personeelshandboek
In het i-Signaal personeelshandboek zijn een aantal zaken opgenomen
om ons personeel correct te instrueren.
• Persoonlijk ontwikkelingsplan per werknemer, we zogen voor
gemotiveerd en up to date personeel.
• Clean desk policy, we laten geen geclassificeerde gegevens op tafel
liggen.
• Correct gebruik van de geboden middelen in het kader van
informatiebeveiligingsbeleid.
• Sleutel- en deurbeleid waarvoor getekend is.
21. 5. Organisatie
[maatregelen]
• ISO 27002
i-Signaal voldoet in opzet en bestaan aan de gestelde eisen gebaseerd
op het normenkader van ISO-27002. Dit is vastgesteld na een audit
welke i-Signaal heeft laten uitvoeren door Ernst & Young Advisory IT
Risk and Assurance.
• WBP: Wet bescherming persoonsgegevens
i-Signaal is in afrondende fase t.a.v. alle (123) maatregelen die vanuit
de WBP worden voorgeschreven.
• CBP: College Bescherming Persoonsgegevens
i-Signaal is geregistreerd in het openbare register van het College
Bescherming Persoonsgegevens onder meldingsnummer 1308169.