Over informatiebeveiliging en NEN 7510 in de zorg VERPLICHT NUMMER OF MANAGEMENT- UITDAGING

Transcriptie

1 Over informatiebeveiliging en NEN 7510 in de zorg VERPLICHT NUMMER OF MANAGEMENT- UITDAGING

2 Minisymposia Tijdens de minisymposia van M&I/Partners staan informatieoverdracht en uitwisseling van ervaringen tussen klanten en adviseurs centraal. Regelmatig brengt M&I/Partners naar aanleiding van een minisymposium een samenvattende publicatie uit. De cases die in deze publicaties beschreven zijn, kunnen tot inspiratie dienen in uw dagelijkse ICT-praktijk. Verplicht nummer of managementuitdaging? Over informatiebeveiliging en NEN 7510 in de zorg is onderdeel van een reeks publicaties over toonaangevende ICTprojecten waaraan M&I/Partners heeft bijgedragen.

3 Ter introductie / 3 Informatiebeveiliging is onlosmakelijk verbonden met patiëntveiligheid: behandelaars (en met hen de patiënten) moeten erop kunnen vertrouwen dat ze steeds toegang hebben tot de juiste, actuele informatie. Maar informatiebeveiliging en patiëntveiligheid kunnen elkaar ook lelijk in de weg zitten, omdat er een spanningsveld is tussen privacy van de patiënt en beschikbaarheid van informatie. Immers, vertrouwelijke gegevens mogen toch niet zomaar toegankelijk zijn? >

4 4 / Ter introductie Kortom: het voeren van het juiste informatiebeveiligingsbeleid in een zorginstelling vraagt continu om het afwegen van belangen, om balanceren. Dat maakt informatiebeveiliging in de zorg tot veel meer d an een verplicht n u mmer. Met doen omdat het moet doen we informatiebeveiliging d a n ook beslist te kort. De deelnemers aan het minisymposium Informatiebeveiliging: verplicht n u m m e r of managementuitdaging?, dat M&I/Partners op 25 januari 2010 in Slot Zeist hield, ware n het d a a r roerend mee eens. De centrale vraag luidde: hoe kunt u als zorgverlener de informatiebeveiliging zo op orde krijgen, dat u de patiëntveiligheid én de privacy kunt garanderen? Deze publicatie biedt een beknopte weergave van het minisymposium, waarin de sprekers elk vanuit hun eigen optiek de thema s rondom informatiebeveiliging bespreken: Jankees Cappon (Alysis Zorggroep) vanuit zijn rol als bestuurder, Jan Willem Schoemaker (Erasmus MC) vanuit zijn rol als security officer, Jan Vesseur (Inspectie voor de Gezondheidszorg) vanuit zijn rol als toezichthouder en Patrick van Eekeren (M&I/Partners) vanuit zijn rol als adviseur.

5 / 5 Wij hopen dat dit boekje u inspiratie biedt om hernieuwd n a a r de informatiebeveiliging binnen uw organisatie te kijken. M&I/Partners Patrick van Eekeren Joren Roelofs Edwin Mooij Partner Adviseur Geassocieerd principal adviseur

6 6 / Inhoud 1 Informatiebeveiliging is wél uitdagend / pagina 7 2 Informatiebeveiliging is balanceren / pagina 17 3 Informatiebeveiliging: verplicht nummer én managementuitdaging / pagina 23

7 INFORMATIEBEVEILIGING IS WÉL UITDAGEND

8 8 / Hoofdstuk I Informatiebeveiliging wordt vaak gezien als een bureaucratische exercitie: een noodzakelijk kwaad, een verzekeringspremie die zich terugbetaalt in slechte tijden. De oorzaak? In veel organisaties komt de roep om informatiebeveiliging vanuit de ICT-afdeling. De rest van de organisatie er vaart de (technische) maatregelen e e rd e r als hinderlijk. Het beveiligen van informatie is d an niet meer d an een verplicht n u mmer. De afdeling ICT wil het, of het moet van de Inspectie. De werkelijkheid zou een andere moeten zijn.

9 Informatiebeveiliging is wél uitdagend / 9 Patrick van Eekeren betoogt in zijn inleiding dat informatiebeveiliging binnen het ziekenhuis juist wel een aantrekkelijk th ema is, dat tot de verbeelding kan spreken en spannende dimensies kent. Informatiebeveiliging verhoogt immers de kwaliteit van de informatie en leidt d a a r mee tot betere zorg. Informatiebeveiliging is nodig om situaties te voorkomen die een ernstige impact hebben op de organisatie en die kunnen zorgen voor aanzienlijke reputatieschade. Zo komt een ziekenhuis waar het EPD of een a n d er deel van de informatievoorziening door een computervirus niet functioneert, al snel op een negatieve man ier in de publiciteit. Tot slot: informatiebeveiliging spreekt tot de verbeelding omdat het veel vraagt van de creativiteit om mensen te bewegen tot een a n d er gedrag. Informatiebeveiliging is een proces Informatiebeveiliging is een managementuitdaging omdat er een procesmatige inrichting voor nodig is. Het kent geen einddoel, want de organisatie blijft in beweging. De bedreigingen waaraan uw organisatie worden blootgesteld veranderen, evenals de bedrijfsprocessen en de ICTvoorzieningen. Maar er is nog een r ed en om informatiebeveiliging als een proces te zien: veilige informatie is onlosmakelijk verbonden met patiëntveiligheid. J a n Vesseur b en a- drukt niet voor niets dat veilige informatie essentieel is voor de veiligheid van de patiënt. Wie een patiënt behandelt, moet er zeker van zijn dat hij beschikt over de juiste gegevens.

10 10 / Hoofdstuk I Hoe geef je informatiebeveiliging procesmatig vorm? Het procesmatig vormgeven van de informatiebeveiliging vergt een gecoördineerde inspanning van de organisatie. Deze taak kan door de eindverantwoordelijke binnen de Raad van Bestuur gedelegeerd worden aan een information security officer. J a n Willem Schoemaker geeft a a n hoe de information security officer de spin in het web kan zijn tussen ICT, lijnmanagement en de rest van de organisatie. Een en a n d er in nauwe afstemming met de eindverantwoordelijke binnen de Raad van Bestuur. Maar alleen het instellen van een information security officer is uiteraard onvoldoende; iedereen in de organisatie heeft een eigen rol en verantwoordelijkheid op het gebied van informatiebeveiliging. Het is de taak van het lijnmanagement om erop toe te zien dat iedereen die rol n a a r behoren vervult. Omdat informatiebeveiliging breed gedragen moet worden, is het wenselijk om een verbinding te maken met een herkenbaar thema: de patiëntveiligheid. Jankees Cappon beschrijft wat hij zelf het veiligheidshuis van Alysis noemt: een bestuurlijk model dat invulling geeft aan informatiebeveiliging. Het huis laat zien dat de (veiligheids)cultuur het fundament is. De drie pijlers zijn: leren van incidenten, inventariseren van mogelijke risico s en toepassen van best practices. De pijlers ondersteunen het dak: het managementinformatie systeem. Door informatiebeveiliging regelmatig op de bestuursagenda te zetten, blijft er aandacht voor het onderwerp. Jankees Cappon hanteert daarbij de aanpak van de drie V s: volhouden, volhouden en volhouden.

11 Informatiebeveiliging is wél uitdagend / 11 Veiligheidshuis Alysis managementinformatiesysteem retrospectieve incidenten analyse retrospectieve risicoinventaristie best practices (veiligheids)cultuur Informatiebeveiliging moet groeien Een belangrijke boodschap van Jan Willem Schoemaker: kijk breder d a n de eigen organisatie. Leer van best practices en n eem kennis van onderzoeken en ontwikkelingen in de markt. Ook participatie in kennisgroepen kan leiden tot verbetering van de informatieveiligheid. Het Erasmus MC werkt om die reden samen met andere UMC s. Jankees Cappon voegt d a a r a a n toe hoe het melden van incidenten helpt bij het leer- en groeiproces. Leren van fouten gaat echter niet vanzelf. Op bestuurlijk niveau is het nodig dat informatiebeveiliging helder op het netvlies van de bestuurder blijft staan. Jankees Cappon benoemt een groeiproces met drie volwassenheidsniveaus om te komen tot een verbeterde informatiebeveiliging: implementeren, integreren

12 12 / Hoofdstuk I en internaliseren. Vanuit het implementeren van informatiebeveiligingsbeleid volgt het integreren ervan in de dagelijkse wer kzaamh ed en en processen. Het laatste volwassenheidsniveau is het niveau waarin gewenst handelen geïnternaliseerd is. De organisatie heeft d a n een ontwikkeling doorgemaakt van onbewust onbekwaam n a a r onbewust bekwaam. Patrick van Eekeren benadrukt dat informatiebeveiliging continu, stap voor stap verbeteren vergt. Het doorlopen van het proces volgt de stappen uit de Deming-cirkel: Plan> Do> Check> Act. Na de implementatie van een set beveiligingsmaatregelen is een organisatie niet klaar. De organisatie verandert constant en er zijn altijd mogelijkheden om te verbeteren. Regelmatig moet een organisatie terugkeren n a a r h a a r informatiebeveiligingsbeleid en zichzelf een spiegel voorhouden. Ook een externe audit kan bijdragen aan dit groeiproces. Informatiebeveiliging is mensenwerk Informatiebeveiliging in de zorg draait om mensen. Als er iets mis is met de medische informatie, zijn patiënten de dupe. J a n Willem Schoemaker: Als er bij ons iets misgaat, bijvoorbeeld de verwisseling van een bloedgroep, d a n kan dat levens kosten. In veel an d er e sectoren zijn de gevolgen minder groot. Tegelijk is de men s vaak de zwakke schakel in informatiebeveiliging. Niet alleen de medewerkers, m a a r ook de patiënten in het ziekenhuis kunnen een bedreiging vormen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de medische informatie.

13 Informatiebeveiliging is wél uitdagend / 13 Maar naast de grootste bedreiging is de mens ook de sterkste troef om de beveiliging van informatie te verbeteren. In de zorg werken professionals die het beste voor hebben met hun patiënten. Door hun oplettendheid worden fouten voorkomen. Medewerkers in de zorg kun je dus definiëren als het belangrijkste vangnet. Zij moeten zich d a n wel bewust zijn van hun rol in het proces dat informatiebeveiliging is. Meer dan techniek Bij informatiebeveiliging draait het dus om mensen. Dit betekent dat de organisatie het met alleen technische maatregelen niet redt. Omdat veel organisaties informatiebeveiliging vanuit de techniek inzetten, blijft de menselijke component in veel gevallen onderbelicht. Va a k trekt de ICT-afdeling de k a r en is het veiligheidsbewustzijn in de overige delen van de organisatie gering. Het beeld van een deur met twintig sloten, die helaas vaak gewoon wagenwijd open staat, dringt zich op. Door nadruk op de techniek ontstaat er een schijnveiligheid, of zoals Jan Vesseur het stelt: Er wordt vaak gedacht dat wij met ICT de veiligheid vergroten, m a a r helaas zijn deze verwachtingen veel te hoog gespannen. Bijvoorbeeld bij een medicatiebewakingssysteem: men gaat er heel snel van uit dat het systeem goed functioneert, maar dit is lang niet altijd het geval. In de farmaceutische industrie worden ICT-systemen gevalideerd voordat het productieproces van geneesmiddelen wordt goedgekeurd, m a a r onze ICTsystemen fietsen we zonder validatie het ziekenhuis in., aldus J a n Vesseur. Dit wil natuurlijk niet zeggen dat de techniek geen onderdeel is van de informatiebeveiliging. De techniek moet in orde zijn, m a a r informatiebeveiliging is veel meer d a n dat.

14 14 / Hoofdstuk I Cultuur is de sleutel Als techniek niet zaligmakend is, wat is er d a n nodig om de informatiebeveiliging op niveau te brengen en te houden? Cultuur is de sleutel. De organisatie moet streven n a a r een cultuur waarin iedereen op een bewuste en bekwame wijze met informatiebeveiliging omgaat. En met iedereen wordt ook echt iedereen bedoeld. Een ieder heeft namelijk een rol bij informatiebeveiliging, zoals Patrick van Eekeren betoogt. De beveiliger aan de deur, de bestuurder a a n het roer, de ar ts op de poli, de ICT- er in de serverruimte en zelfs de patiënt op het spreekuu r. Veilig gedrag moet vanzelfsprekend worden, aldus Patrick van Eekeren: Informatiebeveiliging is net als het wassen van je handen voor een operatie of het ontsmetten van je chirurgisch gereedschap. Op ICT-terrein moet die vanzelfsprekendheid er ook zijn, bijvoorbeeld bij het valideren van de werking van medische systemen. Maar hoe kom je tot een ziekenhuisbrede cultuur van veilig gedrag? Het management speelt daarin een belangrijke rol. De rol van management en bestuurder Het is de taak van de man ager om het th ema informatiebeveiliging een plaats in de organisatie te geven. Bewustwording is de eerste stap om tot veilig gedrag te komen. Jankees Cappon: Begin niet meteen met een sanctiebeleid, dat zet kwaad bloed. Start met een respectvolle confrontatie van onveilige situaties. Hij pleit ervoor om de medewer kers op een aansprekende man ier te wijzen op onveilige situaties in het ziekenhuis. Dit illustreert J a n Willem Schoemaker met enkele bewustzijnsvideo s.

15 Informatiebeveiliging is wél uitdagend / 15 Hoe pak je aan Inspiratie > Persoonlijke motieven > Kennis, inzicht > Respectvolle confrontatie > Commitment Geloof Begrip Bewust Onbewust Wat vraag je < Will/drive < Acceptatie < Open houding < Bereidheid tot luisteren Bron: Stairway to commitment van Jan van Setten, managementcoach. Als dit bewustzijn eenmaal is gecreëerd, d a n kan de volgende stap op de commitment-ladder worden gezet. Uiteindelijk moet de medewer ker een gecommitteerd onderdeel vormen van een veilige cultuur in het ziekenhuis. Om dit te bereiken kunnen tal van middelen worden ingezet, zoals posters, folders, personeelsblad, introductiegesprekken.

16 INFORMATIEBEVEILIGING IS BALANCEREN

17 18 / Hoofdstuk II Informatiebeveiliging inrichten en in stand houden vraagt meer d an alleen het nemen van maat regelen. Het is balanceren op verschillende vlakken, tussen maatregelen en gebruiksvriendelijkheid, tussen kosten en risico s en tussen patiëntveiligheid en privacybescherming. Dit alles m a a kt informatiebeveiliging tot een uitdagend managementproces.

18 Informatiebeveiliging is balanceren / 19 Wie verantwoordelijk is voor informatiebeveiliging, maakt voortdurend afwegingen, zoals: Wat vormt een bedreiging voor mijn informatie en welke risico s volgen daaruit? Welke risico s accepteer ik wel en welke niet? Wat voor maatregelen moet ik treffen? Welke maatregelen accepteren mijn medewerker s? Wat kosten de maatregelen en wegen de kosten op tegen de risico s? Welke wettelijke plichten hebben we en wat mogen we juist niet? Om de juiste balans te vinden, is het noodzakelijk om een goed inzicht te krijgen in de risico s die de organisatie loopt. Een risicoanalyse vormt hiervoor een belangrijk vertrekpunt. De balans tussen risico s lopen en maatregelen nemen Zonder een gestructureerde risicoanalyse weet de organisatie niet welke bedrijfsprocessen afhankelijk zijn van beschikbaarheid, integriteit en vertrouwelijkheid van informatie. In een dergelijke situatie zijn evenmin de relevante bedreigingen bekend, waardoor een passend niveau van maatregelen onmogelijk te definiëren is. Kortom: het proces van informatiebeveiliging is stuurloos. Daarom is het belangrijk om het traject te starten met een degelijk uitgevoerde risicoanalyse. Als de risico s in kaar t zijn gebracht, begint het balanceren: immers niet elk risico kan volledig geëlimineerd worden. Dit is praktisch niet uitvoerbaar, onbetaalbaar en dus niet zinnig. Welke risico s wil en kan de

19 20 / Hoofdstuk II organisatie accepteren en welke niet? Door deze keuzes te motiveren in een risicoprofiel zijn de restrisico s van de organisatie onderkend en vastgesteld. Deze zijn actief te beheersen. Volgens Jan Vesseur wordt een checklist op basis van de NEN 7510 vaak ten onrechte als een risicoanalyse gebruikt. Op basis van de NEN 7510 kan wel worden vastgesteld welke onderwerpen uit de n or m geadresseerd zijn in een ziekenhuis. Dit heeft echter niets te maken met de specifieke risico s die een organisatie loopt. Door simpelweg de n or m als checklist te gebruiken worden deze risico s ook niet inzichtelijk. De kans bestaat dat er veel energie wordt gestoken in het elimineren van risico s die er niet zijn. Een verspilling van tijd en geld. De balans tussen maatregelen en gebruiksvriendelijkheid De vraag of, en zo ja welke, maatregelen nodig zijn, kan niet alleen beantwoord worden door vast te stellen welke risico s onaanvaardbaar zijn. Zorg wordt geleverd door mensen. Bij de selectie van maatregelen zal d a n ook altijd rekening moeten worden gehouden met de praktische werkbaarheid. Als verpleegkundigen tijdens hun ronde bij elke patiënt opnieuw moeten inloggen, gaat dat ten koste van de toch al beperkte tijd die zij per patiënt hebben. Dat ongemak kan behoorlijke veiligheidsrisico s met zich meebrengen: gebruikers gaan (veiligheids)ontwijkingsgedrag vertonen. Bijvoorbeeld door dossiers open te laten staan als ze vinden dat het te lang duurt om in te loggen. Een lastig dilemma tekent zich af: onwerkbare maatregelen bedreigen de veiligheid,

20 Informatiebeveiliging is balanceren / 21 maar geen maatregelen nemen is natuurlijk ook geen optie. Jan Willem Schoemaker benadrukt: Het is constant een balans zoeken tussen maatr ege len en bruikbaarheid in het zorgproces. Hier zit een spanningsveld, het is een kwestie van constant aftasten. De balans tussen kosten en risico s Het vinden van de juiste balans tussen risico s en kosten is evenmin eenvoudig. De kosten zijn goed in kaart te brengen, maar in welke termen drukken we de baten uit? En hoe verhouden die zich tot de kosten? Een hogere veiligheid, een lagere kans op imagoschade en minder uitval: wat mag het kosten? Veiligheid gaat voor alles, zeker als die veiligheid betrekking heeft op patiënten. Maar men en we dat echt? Zijn we bereid die lijn consequent te volgen, door (onevenredig?) veel geld uit te geven om ook dat laatste beetje extra veiligheid te garanderen? Kortom: de vraag is wan n e er uw informatiebeveiliging goed genoeg is. Honderd procent veiligheid bestaat immers niet. Extra investeren om de veiligheid te vergroten blijft dus altijd een afweging tussen risico s en kosten. De balans tussen patiëntveiligheid en privacybescherming Medische gegevens zijn vertrouwelijk. Ze dienen vanuit het oogpunt van privacy slechts beperkt toegankelijk te zijn: alleen personen met een behandelrelatie hebben recht om de gegevens over patiënten in te zien. Dit beperkte toegangsrecht kan een bedreiging vormen voor de patiëntveiligheid.

21 22 / Hoofdstuk II J a n Vesseur: Privacybescherming kan de patiëntveiligheid bedreigen als de beschikbaarheid van medische gegevens d aar d oor beperkt wordt. Hij doelt op het feit dat een zorgverlener te allen tijde bij de medische gegevens moet kunnen, zeker wanneer spoed is vereist. Het spanningsveld tussen privacy en de beschikbaarheid van informatie bestond overigens ook al in het papieren tijdperk, maar toen maakte men zich er minder druk om. Jankees Cappon spreekt van een schijnprobleem. De oplossing is volgens h em simpel. De wijze waar op je met autorisaties dient om te gaan, vat hij samen met: van binnen breed en van buiten smal. Binnen de instelling moet de informatie breed toegankelijk zijn: alle zorgverleners moeten relatief eenvoudig toegang hebben tot medische informatie en deze ook kunnen aanvullen. Hierbij berust de zorg voor de vertrouwelijkheid van de informatie bij de zorgverleners; zij raadplegen alleen informatie van eigen patiënten en dus niet van patiënten waarmee ze geen behandelrelatie hebben. Van buiten smal wil zeggen dat medische informatie buiten de instelling alleen toegankelijk is onder strikte voorwaarden en geborgd wordt door technische, organisatorische en procedurele maatregelen. Jankees Cappon verwijst in dit verband ook n a a r het heldere rapport Gewoon doen van de Commissie Veiligheid en Persoonlijke Levenssfeer onder voorzitterschap van Annie Brouwer. Het rapport kiest een pragmatische insteek en geeft heldere criteria voor de afweging tussen privacy en veiligheid.

22 INFORMATIEBEVEILIGING: VERPLICHT NUMMER ÉN MANAGEMENTUITDAGING

23 24 / Hoofdstuk III Het antwoord is: beide, hoewel de sprekers informatiebeveiliging toch vooral zien als managementuitdaging. Helemaal ontkomen aan het etiket verplicht nummer doet informatiebeveiliging echter ook we e r niet, gezien de verplichtingen die voortkomen uit de sectornorm NEN 7510 en het voorschrijvende en toetsbare ka ra kte r van de NEN Ook het voldoen aan de Wet Bescherming Persoonsgegevens speelt hier een rol. Los van alle verplichtingen is informatiebeveiliging volgens de sprekers nodig omdat het de basis legt voor een veilige patiëntenzorg. Veilige zorg vormt nu eenmaal het bestaansrecht van een zorginstelling.

24 Informatiebeveiliging: verplicht nummer én managementuitdaging / 25 Dit sluit aan bij de taak van de Inspectie voor de Gezondheidzorg, namelijk toezien op het leveren van verantwoorde zorg. In het verlengde hiervan verwacht de Inspectie in 2010 van elk ziekenhuis een onafhankelijke beoordeling van de informatiebeveiliging. Om ziekenhuizen hierin te ondersteunen, werkt de Nederlandse Vereniging voor Ziekenhuizen samen met de algemene en academische ziekenhuizen aan een format voor de sector. Een initiatief w a a r M&I/Partners bij betrokken is. Jan Vesseur is d a a r positief over: Als de sector met één format komt en hieruit blijkt een voldoende niveau van informatiebeveiliging, d a n zal de Inspectie hiermee instemmen. Dat informatiebeveiliging hoe d a n ook een managementuitdaging is, blijkt duidelijk uit de geadresseerd e thema s: Informatiebeveiliging draait om het gedrag van mensen, dat alleen al maakt het uitdagend. Daarnaast vergt het constant balanceren om de juiste keuzes te maken en te implementeren. Dit kan alleen als informatiebeveiliging wordt gezien als een proces. En om dit alles realiseerbaar te maken, kan het geen kwaad om het imago van informatiebeveiliging op te poetsen. Volgens Patrick van Eekeren moet informatiebeveiliging weer sexy worden. J a n Willem Schoemaker plaatst hier wel een kanttekening bij: Informatiebeveiliging kan d a n wel sexy zijn, het vereist wel bloed, zweet en tranen.

25 26 I Hoofdstuk III

26 / 27 Over M&I/Partners M&I/Partners acteert op het snijvlak van organisatieinrichting en informatievoorziening. M&I/Partners is een onafhankelijk adviesbureau met ruim zestig adviseurs. Kernthema s in de zorg zijn: EPD-strategie en implementatie regionale (keten)samenwerking ICT-strategie, -management en sourcing kosten en baten van ICT, inclusief ICT Benchmarking informatiebeveiliging Informatiebeveiliging in de zorg Informatiebeveiliging is meer dan alleen het uitvoeren van een set maatregelen uit een beveiligingsplan, meer dan alleen het opstellen van een informatiebeveiligingsbeleid. Informatiebeveiliging is een randvoorwaarde voor het zorgproces en uiteindelijk het leveren van verantwoorde zorg. Hierdoor is informatiebeveiliging geen eenmalige exercitie, maar een continu proces dat geborgd dient te worden binnen de zorginstelling. Wij ondersteunen zorgaanbieders bij het formuleren van het informatiebeveiligingsbeleid, het uitvoeren van business-impactanalyses, het opstellen van risicoanalyses, het inrichten van identity en access management en het prioriteren en implementeren van beveiligingsplannen. Specifiek rond de NEN 7510 voeren wij quick scans en externe audits uit. M&I/Partners bv Sparrenheuvel JE Zeist Postbus AL Zeist T (030) info@mxi.nl Uitgave M&I/Partners, april 2010 Basistekst Joren Roelofs, adviseur M&I/Partners Erik Samson, partner M&I/Partners Coördinatie Linda van Groos, communicatiemedewerker M&I/Partners Journalistieke bewerking Saffraan Communicatieprojecten, Beesd Ontwerp Volta_ontwerpers, Utrecht Druk Zetprint BV, Naarden Kijk voor meer informatie op onze website of neem contact met ons op. M&I/Partners, april 2010 Overname uit deze publicatie is alleen toegestaan met bronvermelding en na melding aan M&I/Partners.