SlideShare una empresa de Scribd logo

Maatregelen privacy en security

Descargar como PPT, PDF
I
isignaal

Samenvatting van alle maatregelen die i-Signaal heeft genomen t.b.v. de privacy en security van haar dienst VerzuimSignaal

1 de 22
Privacy, Security & Zekerheid
Inleiding Deze presentatie is bedoeld om gebruikers en/of potentiele klanten van VerzuimSignaal meer inzicht te geven in alle acties en procedures die i-Signaal continue uitvoert in het kader van de borging van privacy en security. Tevens worden de belangrijkste functionaliteiten in Verzuimsignaal benoemd waarmee o.a. medische gegevens worden beveiligd. Doelgroep van deze presentatie: Bestaande en/of potentiele klanten en overige belanghebbenden die geinteresseerd zijn in de wijze waarop i-Signaal de kwaliteit / security van haar dienst VerzuimSignaal borgt. We hebben getracht alle informatie leesbaar te houden voor zowel technisch onderlegde alsmede niet of minder onderlegde lezers.
Inhoud 1. Totaaloverzicht 2. Security DataCenter 3. Security Serverpark 4. Security VerzuimSignaal 5. Organisatorische maatregelen
1. Totaaloverzicht ORGANISATIE De security van onze dienst begint bij het datacenter. Hier staan ons serverpark fysiek opgesteld. De applicatie VerzuimSignaal wordt ontsloten vanaf de web- en database servers. APPLICATIE Tenslotte wordt er aan de applicatie gewerkt door diverse mensen binnen onze organisatie. Alle bovengenoemde onderdelen zijn SERVERPARK onderdeel van ons security beleid. De highlights en bijzonderheden per onderdeel worden in de volgende hoofdstukken verder toegelicht. DATACENTER
3. Security Datacenter [algemeen] Het datacenter is het fundament van onze dienstverlening. Hier vindt de ontsluiting richting het internet plaats. Het datacenter zorgt er voor dat er altijd een verbinding met het internet beschikbaar is (connectiviteit). Tevens wordt de stroomvoorziening (en noodvoorziening) gefaciliteerd door het serverpark. Allemaal basale zaken die nodig zijn om VerzuimSignaal bereikbaar te houden. De volgende sheets zijn primair gericht op alle faciliteiten maatregelen die ons datacenter heeft (of heeft getroffen) in het licht van beveiliging. Het gaat daarbij om fysieke beveiliging maar natuurlijk ook om de diverse procedures waarmee de toegang tot onze servers wordt gewaarborgd.
2. Security Datacenter [maatregelen: fysiek] • Zwaar beveiligd datacenter van Equinix te Enschede. Voormalig pand van de Nederlandsche Bank • Servers i-Signaal staan in de (voormalige) goudkluis • Camerabewaking • Zeer scherpe toegangscontrole • 24/7 bemanning
2. Security Datacenter [Certificeringen] • Kwaliteitsbeleid: ISO9001 gecertificeerd • Informatiebeveiliging: ISO27001 gecertificeerd NEN7510 overeenstemmend • Gezondheid & veiligheid: OHSAS18001 gecertificeerd • Gegevensbeveiliging elektronisch betaalverkeer: PCI-DSS chapter 9 compliant • Beheersmaatregelen financiële processen: SAS70 ondersteunend • Milieu en energiemanagement: ISO 14001 en 50001
3. Security Serverpark [algemeen] De fysieke toegang tot ons servers is dus afgevangen door het zwaarbeveiligde Datacenter. Onze applicatie VerzuimSignaal is geïnstalleerd op (web)servers die voor iedereen bereikbaar zijn via een beveiligde verbinding. Een “normale” gebruiker benaderd onze applicatie (en dus onze servers) via de reguliere inlogpagina van VerzuimSignaal. Alle andere mogelijkheden om onze web- en database servers te benaderen zijn door ons onderkend en beveiligd. In de volgende sheet vindt u een opsomming van de maatregelen die we hebben getroffen om ongeautoriseerde toegang tot onze servers uit te sluiten.
3. Security Serverpark [maatregelen] • Firewalls Hiermee worden de ingang op ons serverpark beperkt en bewaakt. • Gescheiden netwerken Hierdoor zijn onze database servers niet direct benaderbaar. Deze kunnen enkel door de webservers aangesproken worden. Beheer op de servers is alleen via een separaat ingericht (en gescheiden) netwerk. Dit netwerk is niet vanaf buiten te benaderen. • VPN toegang t.b.v. beheer en ontwikkeling Enkel met deze zwaar beveiligde 1 op 1 verbinding kan toegang worden verkregen tot het beheersnetwerk in de datacentra. • Maximale beveiliging van servertoegang Alle servers zijn voorzien van complexe inlogcombinaties die periodiek worden gewijzigd. • Security Patches De servers worden continue voorzien van beveiligingsupdates
3. Security Serverpark [maatregelen]
3. Security Serverpark [maatregelen] • Internet verkeer via HTTPS (beveiligd internet) VerzuimSignaal is enkel via een beveiligde internet verbinding beschikbaar. Deze beveiligde verbinding maakt gebruik van SSLv3. Belangrijke kenmerken: e. Tijdens het opzetten van de verbinding worden unieke gegevens uitgewisseld met de gebruiker en VerzuimSignaal om te zorgen dat gegevens niet door derden kunnen worden afgetapt. f. Tevens wordt bij het opzetten van de verbinding vastgesteld dat de verstuurde gegevens daadwerkelijk van VerzuimSignaal afkomstig zijn door middel van officiële beveiligingscertificaten. g. Gegevens die verzonden worden over de beveiligde verbinding worden hoogwaardig versleuteld.
4. Applicatie [algemeen] De applicatie VerzuimSignaal wordt ontsloten via internet. De security van onze applicatie begint bij het inloggen middels een gebruikersnaam en wachtwoord. Eenmaal ingelogd in onze applicatie kan de gebruiker, afhankelijk van zijn/haar rol en autorisaties, privacygevoelige informatie inzien en/of bewerken. Het is dus van groot belang dat de applicatie volledige borging heeft waardoor medische gegevens 100% worden afgeschermd en waardoor gebruikers geen inzicht hebben in dossiers waarvoor ze niet geautoriseerd zijn. De belangrijkste maatregelen t.a.v. privacy en security van onze applicatie zijn opgesomd in de volgende sheets.
4. Applicatie [maatregelen] • Secure Programmeren We hebben een bepaalde standaard manier van programmeren ontwikkeld om beveiligingslekken te voorkomen. Deze standaard is er op gericht om onveilige broncode te voorkomen. • OTAP – Ontwikkel – Test – Acceptatie – Productie Releases van nieuwe functionaliteiten lopen altijd via een separate test- en acceptatie-omgeving. • Periodieke security scan middels HP Webinspect Minimaal na elke release wordt de applicatie diepgaand gecontroleerd door gespecialiseerde software van HP. Alle denkbare mogelijkheden om data te manipuleren of informatie in te zien die voor een gebruiker niet is toegestaan wordt hiermee gecontroleerd • Periodieke stress tests via WAPT Hiermee borgen we de performance van ons systeem. • Periodieke security scan / penetratie test door externe partij
4. Applicatie [maatregelen] Authenticatie De authenticatielaag verschaft een gebruiker toegang tot Verzuimsignaal. •Gebruikersnaam-wachtwoord combinatie Binnen Verzuimsignaal is het mogelijk een eigen beleid te maken aangaande de complexiteit van wachtwoorden. •Foutieve logins Herhaaldelijk foutief inloggen resulteert in uitsluiting van die gebruiker en/of het gebruikte IP adres. •Landcontrole We hebben de mogelijkheid per land te filteren of loginverzoeken worden gehonoreerd. •IP range We hebben de mogelijkheid gebruikers te beperken tot een vastgelegd IP adres (of range).
4. Applicatie [maatregelen] • Gebruikersbeheer Gebruikers worden in VerzuimSignaal via het gebruikersbeheer aangemaakt m.u.v. medische gebruikers. • Functionaliteit Per gebruiker wordt een rol vastgelegd. Binnen de rol zijn de functionaliteiten vastgelegd. • Autorisaties Per gebruiker wordt bepaald voor welke bedrijven, bedrijfsonderdelen, werknemer en/of dossiers hij of zij geautoriseerd is. • Medische gebruikers (artsen) Medische gegevens kunnen enkel ingezien worden door een door i- Signaal aangemaakte gebruiker die op zijn beurt gecontroleerd wordt op de aanwezigheid van een BIG-registratie. Gebruikersnaam en wachtwoord worden separaat verstuurd.
4. Applicatie [maatregelen] • HTTPS – Secure verbinding Alle informatie wordt gegarandeerd versleuteld verstuurd over een beveiligde internetverbinding. • ACO – Acces Control Object Hiermee wordt letterlijk bij elke klik in VerzuimSignaal bepaald of de informatie op de pagina wel door de ingelogde gebruiker gezien mag worden. De ACO wordt opgebouwd tijdens het inloggen op basis van de rol en de autorisaties. • Sessie controle Bij het inloggen wordt een unieke token gegenereerd. Deze token wordt bij elke klik in VerzuimSignaal gecontroleerd op geldigheid. De sessie heeft een beperkt levensduur.
4. Applicatie [maatregelen] • Afschermen documenten en notities Per document en/of notitie kan de gebruiker bepalen of deze door andere gebruikers ingezien en/of gemuteerd mogen worden. • Gebruikersvoorwaarden Met deze module dient de gebruiker eerst de voorwaarden (opgesteld door de dienstverlener) te accorderen. • Validatie op gebruik van medische termen Hiermee kan worden voorkomen dat casemanagers of andere niet medische gebruikers, bewust of onbewust, medische informatie toevoegen aan het niet medische gedeelte van ons systeem. • Medisch dossier Toegang tot het medische dossier is alleen mogelijk met een specifieke medische rol. Deze kan enkel door i-Signaal worden verstrekt waarbij er een controle op het BIG register plaats vindt.
5. Organisatie [algemeen] Wanneer alle (hiervoor benoemde) onderdelen volledig onder controle zijn is het nog steeds mogelijk dat medewerkers van i-Signaal onzorgvuldig met privacy gevoelige informatie omgaan. Binnen onze organisatie zijn er diverse maatregelen getroffen die er samen voor zorgen dat alle medewerkers van i-Signaal conform wetgeving en aanvullende procedures handelen. ISO 27002 vormt de basis en ruggengraat van ons interne securitybeleid. In de volgende sheets vindt u een uiteenzetting van de maatregelen.
5. Organisatie [maatregelen] • Personeelshandboek In het i-Signaal personeelshandboek zijn een aantal zaken opgenomen om ons personeel correct te instrueren. • Persoonlijk ontwikkelingsplan per werknemer, we zogen voor gemotiveerd en up to date personeel. • Clean desk policy, we laten geen geclassificeerde gegevens op tafel liggen. • Correct gebruik van de geboden middelen in het kader van informatiebeveiligingsbeleid. • Sleutel- en deurbeleid waarvoor getekend is.
5. Organisatie [maatregelen]
5. Organisatie [maatregelen] • ISO 27002 i-Signaal voldoet in opzet en bestaan aan de gestelde eisen gebaseerd op het normenkader van ISO-27002. Dit is vastgesteld na een audit welke i-Signaal heeft laten uitvoeren door Ernst & Young Advisory IT Risk and Assurance. • WBP: Wet bescherming persoonsgegevens i-Signaal is in afrondende fase t.a.v. alle (123) maatregelen die vanuit de WBP worden voorgeschreven. • CBP: College Bescherming Persoonsgegevens i-Signaal is geregistreerd in het openbare register van het College Bescherming Persoonsgegevens onder meldingsnummer 1308169.
Vragen of opmerkingen ? security@i-signaal.nl

Recomendados

Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgJUSTthIS_Molen
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesJoan Tuls
 
Gemeente Dronten - web
Gemeente Dronten - webGemeente Dronten - web
Gemeente Dronten - webBen Laarhoven
 
Ppt on transaction schduling in distributer real time database system(seminaar)
Ppt on transaction schduling in distributer real time database system(seminaar)Ppt on transaction schduling in distributer real time database system(seminaar)
Ppt on transaction schduling in distributer real time database system(seminaar)Royalzig Luxury Furniture
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Derk Yntema
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness PresentationCristian Mihai
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3Gilad Bandel
 
Factsheet Accoda
Factsheet AccodaFactsheet Accoda
Factsheet AccodaAngelique van der Velden
 

Recomendados

Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgJUSTthIS_Molen
 
Presentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesPresentaties seminar sleutel tot succes
Presentaties seminar sleutel tot succesJoan Tuls
 
Gemeente Dronten - web
Gemeente Dronten - webGemeente Dronten - web
Gemeente Dronten - webBen Laarhoven
 
Ppt on transaction schduling in distributer real time database system(seminaar)
Ppt on transaction schduling in distributer real time database system(seminaar)Ppt on transaction schduling in distributer real time database system(seminaar)
Ppt on transaction schduling in distributer real time database system(seminaar)Royalzig Luxury Furniture
 
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...
Introductie Sebyde BV | Security Testing | Security Awareness | Secure Devel...Derk Yntema
 
End User Security Awareness Presentation
End User Security Awareness PresentationEnd User Security Awareness Presentation
End User Security Awareness PresentationCristian Mihai
 
05 integratie van cyber ib3_v3
05 integratie van cyber ib3_v305 integratie van cyber ib3_v3
05 integratie van cyber ib3_v3Gilad Bandel
 
Factsheet Accoda
Factsheet AccodaFactsheet Accoda
Factsheet AccodaAngelique van der Velden
 
Performance&Commitment
Performance&CommitmentPerformance&Commitment
Performance&CommitmentDatabaseOnline
 
-
--
-Empty Empty
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility SuiteDelta-N
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten SebydeSebyde
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSOCIALware Benelux
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkAxon Lawyers
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductieAgentschap Innoveren & Ondernemen
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011aidanvannes
 
Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Derk Yntema
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Derk Yntema
 
Brochure infographic
Brochure infographicBrochure infographic
Brochure infographicSocial-IT
 
NETQ ROM For Monitoring Health
NETQ ROM For Monitoring HealthNETQ ROM For Monitoring Health
NETQ ROM For Monitoring HealthVincent Egt
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityNAVI
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionAlbert Hoitingh
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computingleenderthinds
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Jim Vlaming
 
SURFconext introductie
SURFconext introductieSURFconext introductie
SURFconext introductieSURFevents
 
Grip op mobiel werken
Grip op mobiel werkenGrip op mobiel werken
Grip op mobiel werkenDelta-N
 

Más contenido relacionado

Similar a Maatregelen privacy en security

Performance&Commitment
Performance&CommitmentPerformance&Commitment
Performance&CommitmentDatabaseOnline
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility SuiteDelta-N
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten SebydeSebyde
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSOCIALware Benelux
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkAxon Lawyers
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerSogeti Nederland B.V.
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011aidanvannes
 
Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Derk Yntema
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Derk Yntema
 
Brochure infographic
Brochure infographicBrochure infographic
Brochure infographicSocial-IT
 
NETQ ROM For Monitoring Health
NETQ ROM For Monitoring HealthNETQ ROM For Monitoring Health
NETQ ROM For Monitoring HealthVincent Egt
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automationRob Akershoek
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityNAVI
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionAlbert Hoitingh
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Jim Vlaming
 
SURFconext introductie
SURFconext introductieSURFconext introductie
SURFconext introductieSURFevents
 
Grip op mobiel werken
Grip op mobiel werkenGrip op mobiel werken
Grip op mobiel werkenDelta-N
 

Similar a Maatregelen privacy en security (20)

Performance&Commitment
Performance&CommitmentPerformance&Commitment
Performance&Commitment
 
-
--
-
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility Suite
 
Overzicht diensten Sebyde
Overzicht diensten SebydeOverzicht diensten Sebyde
Overzicht diensten Sebyde
 
Space Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiligingSpace Shelter! Webinar training #1 over account privacy en beveiliging
Space Shelter! Webinar training #1 over account privacy en beveiliging
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
 
Good practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de HeerGood practices in pentesting - Bas de Heer
Good practices in pentesting - Bas de Heer
 
20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie20200221 cybersecurity een praktische introductie
20200221 cybersecurity een praktische introductie
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011
 
Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013Sebyde Nieuwsbrief #1, december 2013
Sebyde Nieuwsbrief #1, december 2013
 
Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12Sebyde Nieuwsbrief #12
Sebyde Nieuwsbrief #12
 
Brochure infographic
Brochure infographicBrochure infographic
Brochure infographic
 
NETQ ROM For Monitoring Health
NETQ ROM For Monitoring HealthNETQ ROM For Monitoring Health
NETQ ROM For Monitoring Health
 
10 trend in IT automation
10 trend in IT automation10 trend in IT automation
10 trend in IT automation
 
De Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor CybersecurityDe Us Ccu Checklist Voor Cybersecurity
De Us Ccu Checklist Voor Cybersecurity
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information Protection
 
Cloud Computing
Cloud ComputingCloud Computing
Cloud Computing
 
Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01Overheid 360 - Indringers zijn binnen en dan v01
Overheid 360 - Indringers zijn binnen en dan v01
 
SURFconext introductie
SURFconext introductieSURFconext introductie
SURFconext introductie
 
Grip op mobiel werken
Grip op mobiel werkenGrip op mobiel werken
Grip op mobiel werken
 

Maatregelen privacy en security

  • 2. Inleiding Deze presentatie is bedoeld om gebruikers en/of potentiele klanten van VerzuimSignaal meer inzicht te geven in alle acties en procedures die i-Signaal continue uitvoert in het kader van de borging van privacy en security. Tevens worden de belangrijkste functionaliteiten in Verzuimsignaal benoemd waarmee o.a. medische gegevens worden beveiligd. Doelgroep van deze presentatie: Bestaande en/of potentiele klanten en overige belanghebbenden die geinteresseerd zijn in de wijze waarop i-Signaal de kwaliteit / security van haar dienst VerzuimSignaal borgt. We hebben getracht alle informatie leesbaar te houden voor zowel technisch onderlegde alsmede niet of minder onderlegde lezers.
  • 3. Inhoud 1. Totaaloverzicht 2. Security DataCenter 3. Security Serverpark 4. Security VerzuimSignaal 5. Organisatorische maatregelen
  • 4. 1. Totaaloverzicht ORGANISATIE De security van onze dienst begint bij het datacenter. Hier staan ons serverpark fysiek opgesteld. De applicatie VerzuimSignaal wordt ontsloten vanaf de web- en database servers. APPLICATIE Tenslotte wordt er aan de applicatie gewerkt door diverse mensen binnen onze organisatie. Alle bovengenoemde onderdelen zijn SERVERPARK onderdeel van ons security beleid. De highlights en bijzonderheden per onderdeel worden in de volgende hoofdstukken verder toegelicht. DATACENTER
  • 5. 3. Security Datacenter [algemeen] Het datacenter is het fundament van onze dienstverlening. Hier vindt de ontsluiting richting het internet plaats. Het datacenter zorgt er voor dat er altijd een verbinding met het internet beschikbaar is (connectiviteit). Tevens wordt de stroomvoorziening (en noodvoorziening) gefaciliteerd door het serverpark. Allemaal basale zaken die nodig zijn om VerzuimSignaal bereikbaar te houden. De volgende sheets zijn primair gericht op alle faciliteiten maatregelen die ons datacenter heeft (of heeft getroffen) in het licht van beveiliging. Het gaat daarbij om fysieke beveiliging maar natuurlijk ook om de diverse procedures waarmee de toegang tot onze servers wordt gewaarborgd.
  • 6. 2. Security Datacenter [maatregelen: fysiek] • Zwaar beveiligd datacenter van Equinix te Enschede. Voormalig pand van de Nederlandsche Bank • Servers i-Signaal staan in de (voormalige) goudkluis • Camerabewaking • Zeer scherpe toegangscontrole • 24/7 bemanning
  • 7. 2. Security Datacenter [Certificeringen] • Kwaliteitsbeleid: ISO9001 gecertificeerd • Informatiebeveiliging: ISO27001 gecertificeerd NEN7510 overeenstemmend • Gezondheid & veiligheid: OHSAS18001 gecertificeerd • Gegevensbeveiliging elektronisch betaalverkeer: PCI-DSS chapter 9 compliant • Beheersmaatregelen financiële processen: SAS70 ondersteunend • Milieu en energiemanagement: ISO 14001 en 50001
  • 8. 3. Security Serverpark [algemeen] De fysieke toegang tot ons servers is dus afgevangen door het zwaarbeveiligde Datacenter. Onze applicatie VerzuimSignaal is geïnstalleerd op (web)servers die voor iedereen bereikbaar zijn via een beveiligde verbinding. Een “normale” gebruiker benaderd onze applicatie (en dus onze servers) via de reguliere inlogpagina van VerzuimSignaal. Alle andere mogelijkheden om onze web- en database servers te benaderen zijn door ons onderkend en beveiligd. In de volgende sheet vindt u een opsomming van de maatregelen die we hebben getroffen om ongeautoriseerde toegang tot onze servers uit te sluiten.
  • 9. 3. Security Serverpark [maatregelen] • Firewalls Hiermee worden de ingang op ons serverpark beperkt en bewaakt. • Gescheiden netwerken Hierdoor zijn onze database servers niet direct benaderbaar. Deze kunnen enkel door de webservers aangesproken worden. Beheer op de servers is alleen via een separaat ingericht (en gescheiden) netwerk. Dit netwerk is niet vanaf buiten te benaderen. • VPN toegang t.b.v. beheer en ontwikkeling Enkel met deze zwaar beveiligde 1 op 1 verbinding kan toegang worden verkregen tot het beheersnetwerk in de datacentra. • Maximale beveiliging van servertoegang Alle servers zijn voorzien van complexe inlogcombinaties die periodiek worden gewijzigd. • Security Patches De servers worden continue voorzien van beveiligingsupdates
  • 11. 3. Security Serverpark [maatregelen] • Internet verkeer via HTTPS (beveiligd internet) VerzuimSignaal is enkel via een beveiligde internet verbinding beschikbaar. Deze beveiligde verbinding maakt gebruik van SSLv3. Belangrijke kenmerken: e. Tijdens het opzetten van de verbinding worden unieke gegevens uitgewisseld met de gebruiker en VerzuimSignaal om te zorgen dat gegevens niet door derden kunnen worden afgetapt. f. Tevens wordt bij het opzetten van de verbinding vastgesteld dat de verstuurde gegevens daadwerkelijk van VerzuimSignaal afkomstig zijn door middel van officiële beveiligingscertificaten. g. Gegevens die verzonden worden over de beveiligde verbinding worden hoogwaardig versleuteld.
  • 12. 4. Applicatie [algemeen] De applicatie VerzuimSignaal wordt ontsloten via internet. De security van onze applicatie begint bij het inloggen middels een gebruikersnaam en wachtwoord. Eenmaal ingelogd in onze applicatie kan de gebruiker, afhankelijk van zijn/haar rol en autorisaties, privacygevoelige informatie inzien en/of bewerken. Het is dus van groot belang dat de applicatie volledige borging heeft waardoor medische gegevens 100% worden afgeschermd en waardoor gebruikers geen inzicht hebben in dossiers waarvoor ze niet geautoriseerd zijn. De belangrijkste maatregelen t.a.v. privacy en security van onze applicatie zijn opgesomd in de volgende sheets.
  • 13. 4. Applicatie [maatregelen] • Secure Programmeren We hebben een bepaalde standaard manier van programmeren ontwikkeld om beveiligingslekken te voorkomen. Deze standaard is er op gericht om onveilige broncode te voorkomen. • OTAP – Ontwikkel – Test – Acceptatie – Productie Releases van nieuwe functionaliteiten lopen altijd via een separate test- en acceptatie-omgeving. • Periodieke security scan middels HP Webinspect Minimaal na elke release wordt de applicatie diepgaand gecontroleerd door gespecialiseerde software van HP. Alle denkbare mogelijkheden om data te manipuleren of informatie in te zien die voor een gebruiker niet is toegestaan wordt hiermee gecontroleerd • Periodieke stress tests via WAPT Hiermee borgen we de performance van ons systeem. • Periodieke security scan / penetratie test door externe partij
  • 14. 4. Applicatie [maatregelen] Authenticatie De authenticatielaag verschaft een gebruiker toegang tot Verzuimsignaal. •Gebruikersnaam-wachtwoord combinatie Binnen Verzuimsignaal is het mogelijk een eigen beleid te maken aangaande de complexiteit van wachtwoorden. •Foutieve logins Herhaaldelijk foutief inloggen resulteert in uitsluiting van die gebruiker en/of het gebruikte IP adres. •Landcontrole We hebben de mogelijkheid per land te filteren of loginverzoeken worden gehonoreerd. •IP range We hebben de mogelijkheid gebruikers te beperken tot een vastgelegd IP adres (of range).
  • 15. 4. Applicatie [maatregelen] • Gebruikersbeheer Gebruikers worden in VerzuimSignaal via het gebruikersbeheer aangemaakt m.u.v. medische gebruikers. • Functionaliteit Per gebruiker wordt een rol vastgelegd. Binnen de rol zijn de functionaliteiten vastgelegd. • Autorisaties Per gebruiker wordt bepaald voor welke bedrijven, bedrijfsonderdelen, werknemer en/of dossiers hij of zij geautoriseerd is. • Medische gebruikers (artsen) Medische gegevens kunnen enkel ingezien worden door een door i- Signaal aangemaakte gebruiker die op zijn beurt gecontroleerd wordt op de aanwezigheid van een BIG-registratie. Gebruikersnaam en wachtwoord worden separaat verstuurd.
  • 16. 4. Applicatie [maatregelen] • HTTPS – Secure verbinding Alle informatie wordt gegarandeerd versleuteld verstuurd over een beveiligde internetverbinding. • ACO – Acces Control Object Hiermee wordt letterlijk bij elke klik in VerzuimSignaal bepaald of de informatie op de pagina wel door de ingelogde gebruiker gezien mag worden. De ACO wordt opgebouwd tijdens het inloggen op basis van de rol en de autorisaties. • Sessie controle Bij het inloggen wordt een unieke token gegenereerd. Deze token wordt bij elke klik in VerzuimSignaal gecontroleerd op geldigheid. De sessie heeft een beperkt levensduur.
  • 17. 4. Applicatie [maatregelen] • Afschermen documenten en notities Per document en/of notitie kan de gebruiker bepalen of deze door andere gebruikers ingezien en/of gemuteerd mogen worden. • Gebruikersvoorwaarden Met deze module dient de gebruiker eerst de voorwaarden (opgesteld door de dienstverlener) te accorderen. • Validatie op gebruik van medische termen Hiermee kan worden voorkomen dat casemanagers of andere niet medische gebruikers, bewust of onbewust, medische informatie toevoegen aan het niet medische gedeelte van ons systeem. • Medisch dossier Toegang tot het medische dossier is alleen mogelijk met een specifieke medische rol. Deze kan enkel door i-Signaal worden verstrekt waarbij er een controle op het BIG register plaats vindt.
  • 18. 5. Organisatie [algemeen] Wanneer alle (hiervoor benoemde) onderdelen volledig onder controle zijn is het nog steeds mogelijk dat medewerkers van i-Signaal onzorgvuldig met privacy gevoelige informatie omgaan. Binnen onze organisatie zijn er diverse maatregelen getroffen die er samen voor zorgen dat alle medewerkers van i-Signaal conform wetgeving en aanvullende procedures handelen. ISO 27002 vormt de basis en ruggengraat van ons interne securitybeleid. In de volgende sheets vindt u een uiteenzetting van de maatregelen.
  • 19. 5. Organisatie [maatregelen] • Personeelshandboek In het i-Signaal personeelshandboek zijn een aantal zaken opgenomen om ons personeel correct te instrueren. • Persoonlijk ontwikkelingsplan per werknemer, we zogen voor gemotiveerd en up to date personeel. • Clean desk policy, we laten geen geclassificeerde gegevens op tafel liggen. • Correct gebruik van de geboden middelen in het kader van informatiebeveiligingsbeleid. • Sleutel- en deurbeleid waarvoor getekend is.
  • 21. 5. Organisatie [maatregelen] • ISO 27002 i-Signaal voldoet in opzet en bestaan aan de gestelde eisen gebaseerd op het normenkader van ISO-27002. Dit is vastgesteld na een audit welke i-Signaal heeft laten uitvoeren door Ernst & Young Advisory IT Risk and Assurance. • WBP: Wet bescherming persoonsgegevens i-Signaal is in afrondende fase t.a.v. alle (123) maatregelen die vanuit de WBP worden voorgeschreven. • CBP: College Bescherming Persoonsgegevens i-Signaal is geregistreerd in het openbare register van het College Bescherming Persoonsgegevens onder meldingsnummer 1308169.
  • 22. Vragen of opmerkingen ? security@i-signaal.nl