Neem contact op
Neem contact op

Een dag van een consultant: Max Aarts bij Avisi

Wat doe je als Information Security consultant bij Cuccibu? Onze consultants geven graag een inkijk wat ze doen bij onze klanten. Onze collega Max Aarts, Information Security consultant bij Cuccibu, heeft een onderzoek uitgevoerd naar de implementatie van de BIO en NEN 7510-normen bij Avisi. Hij vertelt graag uit welke stappen zo’n inventarisatie bestaat en wat het de klant oplevert.

 

Wat doet Avisi?

Avisi is een IT-bedrijf gevestigd in Arnhem. De diensten omvatten de hele software lifecycle: van idee tot implementatie, van softwareontwikkeling, inzicht en requirements tot expert services rondom GitLab, Artificial Intelligence en Business Innovation, Managed Cloud Services en Apps That Fill Gaps. Daarbij zijn ze ISO27001:2022-gecertificeerd. Hiermee toont Avisi aan dat ze de risico’s rond beschikbaarheid, integriteit en vertrouwelijkheid van gevoelige informatie op een adequate en integere wijze hebben afgedekt.

Als onderdeel van de voortdurende verbeteringsinspanningen zijn ze ook gestart om een nulmeting uit te voeren op de BIO en NEN 7510. Dit zijn informatiebeveiligingsnormen die gericht zijn op de publieke sector en gezondheidszorg. Het aantoonbaar voldoen aan deze normen stelt Avisi in staat om mogelijk ook klanten in deze sectoren te bedienen. Cuccibu neemt je mee in de bevindingen en aanpak van Max Aarts bij de nulmeting van deze normen en wat inzichten voor andere organisaties die vergelijkbare doelen nastreven.

 

Wat houden de BIO en NEN 7510 normen in?

Even terug naar de normen. Wat houden deze in? De NEN 7510 is een Nederlandse norm die specifiek gericht is op informatiebeveiliging binnen de gezondheidszorg. De norm beschrijft eisen om de privacy en beveiliging van patiëntgegevens te waarborgen. De NEN 7510 stelt onder andere richtlijnen vast voor het beheer van medische gegevens, de toegangscontrole tot patiëntendossiers en het veilig delen van informatie tussen zorginstellingen, met als uiteindelijk doel de bescherming van de gezondheidsinformatie van patiënten.

De Baseline Informatiebeveiliging Overheid (BIO) is een Nederlandse norm die richtlijnen en best practices biedt voor informatiebeveiliging binnen de publieke sector. De BIO stelt strenge eisen en richtlijnen vast om de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige overheidsinformatie te waarborgen. Het omvat onder andere maatregelen voor het beheren van toegangsrechten, het beveiligen van netwerken en systemen, en het vaststellen van incidentresponsprocedures.

De nulmeting

Cuccibu heeft een nulmeting uitgevoerd om de GAP’s voor de implementatie op NEN 7510 en de BIO te identificeren en vast te stellen welke verbeterstappen nog nodig zijn. Avisi is reeds ISO 27001-gecertificeerd, dit maakt het voor Avisi sneller inzichtelijk in hoeverre zij al voldoen aan de NEN 7510 en de BIO. Beide normen zijn namelijk gebaseerd op ISO 27002. ISO 27002 is een aanvullende norm op de ISO 27001, die zich richt op de beheersmaatregelen waarmee een organisatie de geïdentificeerde risico’s kan beperken of verkleinen. De NEN 7510 bevat aanvullende beheersmaatregelen specifiek gericht op de zorgsector en de BIO bevat aanvullende overheidsmaatregelen.

De focus in deze nulmeting ligt op de aanvullende maatregelen. En dan?

  1. Het in kaart brengen van overeenkomstige beheersmaatregelen tussen de ISO-27002:2022 en de normen NEN 7510 en BIO;
  2. Vervolgens kan geïnventariseerd worden in hoeverre Avisi al voldoet aan de beheersmaatregelen uit de NEN 7510 en de BIO. Welke maatregelen zijn al geïmplementeerd en welke ontbreken nog;
  3. Om deze inventarisatie te maken kan relevante documentatie worden opgevraagd zoals beleidsstukken en informatie uit het Information Security Management System (ISMS);
  4. In het geval van Avisi was op basis van deze analyse snel inzichtelijk dat er nog enkele kleine stappen dienen te worden gezet om te voldoen aan de BIO en de NEN 7510.

NEN 7510 – Algemene bijzonderheden

Wat zijn enkele aanvullende maatregelen waar rekening mee gehouden dient te worden op basis van de NEN 7510?

  • Strengere screeningseisen, met name van toepassing op artsen en verpleegkundigen;
  • Implementatie van role-based access control (toegangscontrole op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden die aansluiten op de behoeften van die rol);
  • Specifieke beveiligingseisen voor informatiesystemen, inclusief de vereiste van tweefactorauthenticatie (2FA) voor systemen met gezondheidsinformatie;
  • Strikter beleid voor opslag, waarbij verplaatsing of verwijdering van apparatuur, gegevens of software voor zorgtoepassingen alleen is toegestaan met goedkeuring van de organisatie;
  • Eisen met betrekking tot adequate informatiesystemen voor cliëntgegevens, inclusief unieke identificatie van cliënten binnen het systeem en de mogelijkheid om dubbele registraties samen te voegen;
  • Specifieke AVG-privacy maatregelen, zoals de verplichting om toestemming te vragen aan cliënten voordat hun gegevens worden gedeeld met andere partijen.

 

BIO – Algemene bijzonderheden

En hoe zit dat bij de BIO?

  • Toepassing van Mobile Device Management (MDM) of Mobile Application Management (MAM) is verplicht.
    • Bij het overnemen van sessies op remote werkplekken moet dezelfde beveiligde loginprocedure worden gevolgd als waarmee de sessie is gestart. Afwijking hiervan is alleen toegestaan na een expliciete risicoafweging.
  • Specifieke termijnen zijn vastgesteld voor verschillende maatregelen, zoals het beoordelen van speciale bevoegdheden ieder kwartaal, het herstellen van kritische bedrijfscontinuïteitsprocessen binnen 1 week, en het vernieuwen van wachtwoorden zonder tweefactorauthenticatie minstens halfjaarlijks.
  • De BIO bevat veel maatregelen die vooral gericht zijn op overheidsinstanties. Als organisatie moet je zorgvuldig overwegen hoe je aan deze maatregelen kan voldoen, vooral wanneer de organisatie overheidsinstanties als klant heeft. Daarnaast moet de organisatie vaststellen in hoeverre ze kan bijdragen aan de naleving van deze maatregelen.
    • Voor veilige berichtenuitwisseling met basisregistraties moet de actuele versie van Digikoppeling worden gebruikt, conform de ‘pas toe of leg uit’-lijst van het Forum.
    • Het gebruik van PKI-overheidscertificaten is vereist voor web- en e-mailverkeer met gevoelige gegevens.
    • De AdES Baseline Profile standaard voor elektronische handtekeningen moet worden toegepast.

Het resultaat

De uitkomst van de nulmeting biedt Avisi een richtlijn over hoe ze hun beveiligings- en organisatorische maatregelen kunnen aanpassen om aantoonbaar te voldoen aan de eisen uit de NEN 7510 en de BIO.

Meer weten?

Heb jij verdere vragen over één van de normen of benieuwd naar de mogelijkheden van een soortgelijk onderzoek als Max voor Avisi heeft uitgevoerd? Neem contact met ons op via sales@cuccibu.nl.

Of ben jij enthousiast geworden en zou je graag zelf een implementatie van de BIO en NEN7510 normering uitvoeren? Schakel dan met een van onze collega’s via recruitment@cuccibu.nl en we vertellen je graag meer over de werkzaamheden binnen Cuccibu.

Deel deze pagina! Kies je platform
Naar overzicht