Beveiliging en bescherming privacy



Vergelijkbare documenten
Databeveiliging en Hosting Asperion

EXTERNE PRIVACYVERKLARING Patentwerk B.V.

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Cloud computing Helena Verhagen & Gert-Jan Kroese

NETQ Healthcare: Voor inzicht in het effect van therapie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Policy v Stone Internet Services bvba

Factsheet Penetratietest Informatievoorziening

PRIVACYVERKLARING PARKINSON VERENIGING

Informatiebeveiliging ZorgMail

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

4Problemen met zakendoen op Internet

PRIVACYVERKLARING PARKINSON VERENIGING

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Online Backup. Informatiebrochure. Met uw keuze voor Webwedo kunt u zeker zijn van een goed betrouwbaar product.

Privacyverklaring Amsio BV

Checklist informatieveiligheid. 12 januari versie 1.1

Privacy policy Spankracht Ontwerpers. Versie 1.0

Evy. De Cloud oplossing van Drie-O

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

Peelland ICT Online Back-up

Beschrijving pseudonimisatieplatform ZorgTTP

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Werken zonder zorgen met uw ICT bij u op locatie

Beschrijving maatregelen Informatie beveiliging centrale omgeving

IT2BUILD Online Backup. Betrouwbaar, veilig en betaalbaar

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Websites & webapplicaties

Podotherapie Eindhoven verwerkt uw persoonsgegevens uitsluitend voor de volgende doeleinden:

Zorgeloze ICT, alles voor elkaar

Implementatiemodellen online werken

Automatische online en lokale backup en recovery van bedrijfsdata

Algemene Voorwaarden Mijn Delta Lloyd XY

Leza biedt gebruikers de mogelijkheid om pc s, laptops en servers te back-uppen en back-ups te herstellen.

CERTIFICERING DATASTORAGE ISO 27001:2013 EN NEN7510:2011

Bijlage 1: Specificatie Diensten en Producten

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Beveiligingsbeleid. Online platform Perflectie

Prijslijst Algemeen. Reparaties. Installaties. Voorrijkosten binnen gemeente Bedum: 5,- Voorrijkosten buiten gemeente Bedum: 20,-

Private Cloud: Virtuele servers op basis van Windows Azure Pack

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

INFORMATIEBEVEILIGING VOOR WEBWINKELS

Team Werknemers Pensioen

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Lunadoc. Lunadoc. Geavanceerd Documentbeheer op maat van de KMO

Forecast XL Technology

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

Technische beschrijving pseudonimisatie gegevensverzameling NIVEL Zorgregistraties eerste lijn

Inleiding op Extended Validation (EV) SSL / TLS

Registratie Data Verslaglegging

De nieuwe wet AVG: Algemene Verordening Gezondheidsgegevens, ingaand per 25 mei 2018, wat houdt dit in voor u en voor ons als fysiotherapiepraktijk?

Case: Oxyma en Solvinity delen hetzelfde DNA

Versie 1.0 Dit document is gemaakt door: Altios B.V. Watermanstraat AJ APELDOORN

Beleid Informatiebeveiliging InfinitCare

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Verwerkersovereenkomst AgroVision

HEB JE GENOEG GELEERD VANDAAG?

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Managed WordPress Hosting Basic

Privacyverklaring ThePerfectWedding

Privacy in Instituut Verbeeten

Privacyverklaring Alterdesk Holding B.V.

Hostbasket. Het hosting en cloud computing aanbod van Telenet

Pluform Privacybeleid Versie 9, 23 april 2018

Information Security Management System ISMS ISO / NEN 7510

Nieuwe Privacywetgeving per Wat betekent dit voor u?

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Op grond waarvan mag Robuusteiken deze persoonsgegevens verwerken? 3. Is het noodzakelijk om persoonsgegevens aan Robuusteiken te verstrekken?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Privacyverklaring en contact Bezoek aan Beauty Blush

Privacyverklaring msx-shop.nl

zorgeloos werken in de cloud

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Fors besparen op uw hostingkosten

Softcrow Trusted Electronic Services B.V. Privacy Verklaring. Pagina 1 van 9

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Is het noodzakelijk om persoonsgegevens aan Greentogether te verstrekken? 4

Informatiebeveiligingsbeleid

SLA Hosting camerabeelden

Privacyverklaring. 1. Algemeen. 2. Persoonsgegevens website

Privacyverklaring. LIMM Recycling Versie

Privacy Statement INTRAMED. Juni Versie 1.0

Privacyverklaring. Ben je op zoek naar andere juridische informatie? Kijk dan even bij onze juridische informatie.

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Compad Store Automation

Privacy in Instituut Verbeeten

Informatiebeveiligingsbeleid

HET CENTRALE SECURITY PLATFORM

Hosting & support contract

Factsheet SECURITY SCANNING Managed Services

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Informatiebeveiligingsplan

Checklist Beveiliging Persoonsgegevens

YOUPROVIDE. Security aspecten

Een webwinkel starten Hoe doe je dat? Beeld slider met ipad, computer en android

Wij verzamelen de volgende gegevens van u als sollicitant: - Naam; - Adres; - adres; - Andere gegevens door uw via uw cv aan ons verstrekt;

Privacy statement leveranciers Toshiba

Transcriptie:

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2

Voorwoord Als organisatie zijn wij verantwoordelijk voor de uitvoering van de dienst Duobus. Het leveren van kwaliteit staat bij het uitvoeren van deze taak voorop. Om deze kwaliteit aan de klanten en andere betrokkenen te kunnen bieden is een betrouwbare informatievoorziening essentieel. De betrouwbaarheid van de informatie-voorziening moet zijn gewaarborgd ongeacht de vorm, dus zowel handmatig, bijvoorbeeld bij het inscannen van persoonsgegevens, als geautomatiseerd, denk aan het gebruik en de gegevens op Duobus, maar ook het gebruik van internet en e-mail. Uitgebreide aandacht voor de beveiliging van de opslag, verwerking en uitwisseling van informatie is continu vereist. Vandaar dat ik als voorzitter van de Raad van Bestuur van Duobus B.V. dit document van harte bij u aanbeveel. Namens de Raad van Bestuur, Jork Netten 3

Inleiding Duobus werkt met persoons- en financiële gegevens van zorgverleners, zorgvragers, zorgaanbieders en andere stakeholders. Beveiliging is dan ook topprioriteit van Duobus. Daarom spant Duobus zich tot het uiterste in om ervoor te zorgen, dat alleen de personen waarvoor de informatie bedoeld is, deze informatie krijgen te zien. Daarom wordt Duobus alleen ontwikkeld en beheerd tegen de geldende standaarden. Richtlijnen van standaarden waar Duobus zich onder andere aan conformeert zijn de beveiligingsrichtlijnen voor WebApplicaties van het Nationaal Cyber Security Centrum en de NEN 7510 reeks. In dit document wordt er een compact overzicht weergeven van maatregelen, die Duobus heeft genomen om de beveiliging en beschikbaarheid van de persoons- en financiële gegevens te waarborgen. Beveiliging Het op een correcte manier beveiligen van informatiesystemen staat sterk in de belangstelling. Dit is niet zo raar, aangezien er steeds meer aanbieders zijn, die een online dienst aanbieden. Daarnaast slaan deze aanbieders vaak privacygevoelige informatie op. Aanbieders kunnen de data van hun gebruikers op verschillende manier beveiligen. Duobus wil duidelijk zijn over de gekozen beveiligingsmaatregelen, zodat u weet wat er met de informatie en overdracht van gegevens gebeurt, die door Duobus worden verwerkt. Hieronder staat compact beschreven hoe Duobus de beveiliging van de geleverde diensten waarborgt. Ontwikkelen Duobus is ontwikkeld tegen de geldende (beveiliging) standaarden, conform de beveiligingsrichtlijnen voor WebApplicaties van het Nationaal Cyber Security Centrum, NEN 7510 reeks en richtlijnen ontworpen door Duobus. De Duobus richtlijnen zijn ontworpen op basis van onder andere wetenschappelijke onderzoeken en experts op beveiligingsgebied. Gedurende de ontwikkeling is constant rekening gehouden met welke functies welke beveiligingslekken met zich mee kunnen brengen. Wanneer een functie bepaalde gebruikersinput verwacht, zal deze input alleen verwerkt worden in de vorm waarvoor deze mogelijkerwijs gebruikt mag worden. Op deze manier worden aanvallen als SQL Injecties, XSS en CSRF aanvallen geweerd. Ieder onderdeel vereist nauwkeurige aandacht en beveiliging waardoor een ketting van beveiligingscontroles ontstaat. Ieder onderdeel controleert opnieuw of de gevraagde actie legitiem is binnen de context van de aanvraag. Op ieder onderdeel van het geheel dat de WebApplicaties vormt is rekening gehouden met de beveiligingseisen die van het onderdeel verwacht worden. Het optimaliseren en het structureel controleren van de geschreven programmatuur, wordt door zowel Duobus als door externe partners uitgevoerd. Verandering van de code wordt bijgehouden door het versiebeheersysteem van Duobus, zodat wijzingen in de code goed gemonitord en gecontroleerd kunnen worden (tot microniveau). Wijzigen worden pas op de productielocatie (publieke server) geplaatst na strenge controle en goedkeuring van het bestuur. Wanneer er gebruik gemaakt wordt van software ontwikkeld door derden, bijvoorbeeld in het geval van de server omgeving, wordt deze altijd up to date gehouden. Veel beveiligingslekken ontstaan door het niet onderhouden van de gebruikte software. Door dicht betrokken te zijn bij de gekozen software, is het mogelijk om updates snel uit te rollen. Encryptie Al het verkeer tussen bezoekers en de server van Duobus wordt geëncrypteerd verstuurd door middel van een SSL (Secure Socket Layer) certificaat en Transport Layer Security (TLS). Het SSL certificaat en de TLSencryptie-protocol beveiligen de verbinding tussen bezoekers en de Duobus servers. Gegevens worden hierdoor door een beveiligde tunnel gestuurd, waardoor buitenstaanders zoals hackers en crackers niet meer kunnen zien wat er over de lijn wordt verstuurd. Duobus maakt gebruik van een EV-SSL 4

beveiligingscertificaat (Extended Validation Certificate), wat tevens ook door overheden, banken en andere grote instellingen wordt gebruikt. Figuur 1: Encryptie-tunnel Duobus Datacenters Het beheren van een netwerkinfrastructuur is een apart specialisme, dat Duobus graag overlaat aan echte specialisten op dat gebied. Dit zorgt ervoor, dat er meer gefocust kan worden op het maken en bedenken van veilige en betrouwbare oplossingen voor de zorg. Duobus erkent echter wel het feit, dat infrastructuur één van de basiselementen is van ICT-veiligheid, daarom is er voor een partner gekozen (CloudVPS) met uitgebreide ervaring en certificeringen (tevens NEN 7510 en ISO 27001). Duobus maakt voor de hosting van de WebApplicatie dan ook alleen gebruik van de (cloud) servers van CloudVPS. Figuur 2: CloudVPS Datacenters, via: http://www.cloudvps.nl/cloud-servers/netwerk-datacenters/. Geraadpleegd op 14 september 2014. CloudVPS maakt gebruik van drie top datacentra s in Nederland (Amsterdam). Daarvan is één de Equinix AM3. De Equinix AM3 is één van de groenste datacentra s in de wereld. De factoren die bepalend waren bij het selecteren van een datacenter; een goede koeling, strikte toegangsprocedures, complete redundante stroomvoorziening en toegang tot internationale carriers. De gekozen datacentra s voldoen hier volledig aan. 5

Beleid Informatiebeveiliging bestaat niet uit één onderdeel, maar omvat een samenhangend stelsel van maatregelen. Dit betekent dat de verschillende maatregelen die tezamen de informatiebeveiliging vormen, niet los van elkaar worden getroffen, maar in onderlinge relatie met elkaar staan. Duobus streeft naar een optimaal niveau van beveiliging. Dit optimum wordt bereikt door een zorgvuldige afweging van lasten en baten. Het beleid is erop gericht om ervoor te zorgen, dat de informatie op de gewenste momenten beschikbaar is, de informatie juist en volledig is en de informatiesystemen de juiste en volledige informatie opslaan en verwerken en dat de informatie alleen toegankelijk is voor degene die hiervoor bevoegd is. Medewerkers en partners, die eventueel bepaalde informatie dienen te verwerken, hebben allemaal een geheimhoudingsverklaring getekend. Daarnaast is het niet mogelijk voor elke partner en medewerker om alle gegevens in te zien. Bij de uitvoering van de Dienst wordt zo veel mogelijk gecommuniceerd naar de klanten en andere stakeholders toe, zodat zij weten in hoeverre Duobus maatregelen neemt om de veiligheid van deze gegevens te waarborgen. Daarnaast stimuleert Duobus gebruikers om actief feedback te geven over de dienst Duobus, maar ook over de beveiliging van de dienst. Als een gebruiker terechte feedback heeft gegeven, dan komt de desbetreffende gebruiker (indien gewenst) op de publieke Wall of Fame te staan als blijk van waardering. Duobus zal geen privacygevoelige informatie verstrekken, tenzij hier een gerechtelijk bevel voor is of schriftelijke goedkeuring vanuit de klant. Audits Als aanbieder van een online service is het van belang om naast operationele controles ook periodiek controles te hebben. Om de zes weken vindt er een interne audit plaats om te kijken in hoeverre de organisatie nog voldoet aan de geldende normeringen, beveiligingen en in hoeverre de organisatie acties heeft ondernomen om risico s te verkleinen. Naast de interne audits vinden er ook externe audits plaats. Deze audits worden uitgevoerd door professionals, zij kijken in hoeverre Duobus voldoet aan de eisen die worden gesteld aan SaaS-oplossingen. Gebruikers Duobus doet er alles aan om zo veilig mogelijk te zijn. Helaas kunnen online aanbieders (zoals Duobus) niet alles beveiligen. De veiligheid van online diensten hebben de gebruikers zelf ook (gedeeltelijk) in de hand. Zorg er dus voor dat uw beveiligingscodes geheim blijven, uw beveiliging en systeem altijd up-to-date is, u uitlogt wanneer u Duobus niet gebruikt en incidenten direct meldt als deze plaatsvinden. Beschikbaarheid Virtuele servers Door gebruik te maken van snelle en stabiele virtuele servers is Duobus vrijwel altijd te bereiken. In geval van problemen met de (fysieke) server, wordt de virtuele server van Duobus automatisch overgenomen door een andere (fysieke) server. Dit wordt mogelijk gemaakt door het High Availability systeem van CloudVPS. Daarnaast werken we met state-of-the art software om de WebApplicatie Duobus en de virtuele servers te monitoren. Reserveback-up Ondanks de genomen maatregelen door Duobus, is het altijd mogelijk, dat er onverhoopt iets mis gaat. Daardoor maakt Duobus naast dagelijkse een volledige back-up te maken, ook om het half uur een back-up van de plaatsgevonden veranderingen. Deze (digitale) back-ups worden over een veilige verbinding verstuurd en met AES-256 encryptie versleuteld. 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback