De beveiliging van gegevens: ISO27001
De beveiliging van gegevens is natuurlijk van groot belang voor onze klanten. In hun opdracht verwerken wij medische gegevens van vele honderdduizenden mensen – mensen die erop moeten kunnen vertrouwen dat er alles aan gedaan is en wordt om professioneel met die gegevens om te gaan. Daarom zijn we trots op onze certificering.
Beveiliging van gegevens
Of u dit nu leest als klant of als werknemer van een klant die met Track werkt: uw gegevens zijn bij Track in goede handen. Onze organisatie voldoet aan de hoogste eisen op het gebied van gegevensbeveiliging. Track is extern gecertificeerd volgens de internationale beveiligingsnorm ISO27001.
Wat is ISO27001?
Certificering
De ISO27001 norm eist dat wij al onze beveiligingsrisico’s nauwkeurig in kaart brengen. Vervolgens moeten we beveiligingsmaatregelen beschrijven en toepassen waardoor de kans kleiner wordt dat gegevens niet beschikbaar zijn, niet kloppen of in verkeerde handen kunnen komen.
Deze risico-analyse en de genomen beveiligingsmaatregelen worden vervolgens door een onafhankelijke deskundige beoordeeld. Is er niets over het hoofd gezien? Wordt er wel voldaan aan alle wettelijke eisen, of aan de AVG? Pas als deze deskundige tevreden is, mogen wij zeggen dat we ‘gecertificeerd’ zijn.
En die externe check is niet iets eenmaligs. Ieder jaar wordt onze bedrijfsvoering opnieuw extern beoordeeld. Sterker nog: de norm eist dat we het ieder jaar beter doen op het vlak van beveiliging dan het jaar daarvoor. En ook dat wordt weer beoordeeld.
Beveiligingsbeleid
Veel gestelde vragen
Wat is de scope van jullie ISO27001 management systeem?
Bij Track hebben we ons complete werkproces onder de loupe genomen en laten certificeren.
De scope van de certificering luidt als volgt:
Het managementsysteem is van toepassing op de ontwikkeling, het onderhoud, beheer, support, implementatie en hosten van applicaties, databanken en de daarmee verwerkte informatie met betrekking tot arbeidsverzuimbegeleiding.
Scan onderstaande QR code om het certificaat te bekijken. Het is ook mogelijk om deze te bekijken via bijgevoegde link.
Mag ik samenwerken met een softwareleverancier die niet ISO27001 gecertificeerd is?
Bent u arbodienst? Dan is samenwerken met een ISO27001 gecertificeerde leverancier verplicht. Zie staatscourant 05-12-2018 – publicatie certificatieschema arbodiensten. Paragraaf 7.5.3 onderdeel 5. Daarin staat:
De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatie-technologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen – NEN-EN-ISO/IEC 27001) gecertificeerd, door een daartoe geaccrediteerde CI.
Uiteraard moet u zich wél vergewissen van de scope van de certificering. Als bijvoorbeeld uitsluitend ‘software ontwikkeling’ is gecertificeerd, maar niet support of het hosten van de applicaties dan moet u die onderdelen tóch uitbesteden aan een gecertificeerde partij.
Als zelfstandige bedrijfsarts, verzuimbedrijf of eigen-regie klant bent u verantwoordelijk voor uw informatiebeveiliging. Dat blijft u ook als u anderen daarbij inzet. U moet zélf regelmatig beoordelen en controleren wat er gedaan is aan de beveiliging van uw informatie. De Autoriteit Persoonsgegevens heeft een richtsnoer ‘Beveiliging van persoonsgegevens’ uitgegeven. Daarin staan alle details beschreven waaraan u moet voldoen.
U kunt bijvoorbeeld zelf een audit organiseren of een onafhankelijke derde vragen dit voor u te doen. Maar zakendoen met een gecertificeerde partij maakt het leven wél een stuk makkelijker. Omdat Track ISO27001 gecertificeerd is, mag u erop vertrouwen dat wij voldoende technische en organisatorische maatregelen hebben genomen voor de beveiliging van uw informatie.
Bijlage: Staatscourant 5-12-2018 certificatieschema arbodiensten
Heeft Track een DPIA uitgevoerd?
Antwoord: Ja. Track is ISO27001 gecertificeerd. Dat betekent dat wij niets aan het toeval overlaten als het gaat om de beveiliging van de gegevens van onze klanten. Concreet betekent dit: we hebben een uitgebreide risico-analyse doorgevoerd. En dat doen we ieder jaar opnieuw. Ieder risico wordt grondig bekeken. En vervolgens worden er één of meerdere beveiligingsmaatregelen getroffen om de kans dat het risico zich voordoet te verkleinen of de schade zo gering mogelijk te maken. Hieronder treft u een beknopt overzicht aan van onze beveiligingsmaatregelen.
B I V | Omschrijving |
Beschikbaar | Alle server hardware is redundant uitgevoerd (RAID disks, dubbele voeding, dubbele firewalls, etc.). |
Beschikbaar | Externe hosting webapplicatie servers / -productiedata in extern datacenter. |
Vertrouwelijkheid | Eigen hardware park. Onderhoud aan hardware wordt door eigen personeel uitgevoerd. |
Integriteit | Professionele scheiding van ontwikkeling, testen en productieomgeving. |
Integriteit | Versiebeheer en changemanagent geïmplementeerd |
Vertrouwelijkheid | Informatieclassificatie en autorisatiematrix opgesteld |
Beschikbaar | Dagelijkse backups van data in intern datacentrum. Uur-backup in extern datacenter. |
Beschikbaar | Fysieke en logische beveiligingsmaatregelen in datacenters |
Vertrouwelijkheid | Keuze voor robuust en velig ontwikkel- en serverplatform; geen freeware. |
Vertrouwelijkheid | Mobiele apparaten en -media kennen data-encryptie. |
Vertrouwelijkheid | Encryptie van bestanden, netwerkverkeer, wachtwoorden; 2factor authenticatie. |
Vertrouwelijkheid | Activiteiten van alle gebruikers in alle rollen wordt gedetailleerd gelogd. |
Vertrouwelijkheid | Webapplicatie servers beveiligd tegen internet-aanvallen. |
Lees meer
Nieuw certificatieschema arbodiensten eist ISO27001 van leveranciers verzuimsoftware, netwerkdiensten of hosting services.