Het informatiebeveiligingsbeleid van InCompanyMedia in het kader van ISO 27001 en NEN7510
Informatiebeveiliging gerelateerd aan het ontwikkelen, produceren, implementeren en uitgeven van software en het aanbieden van digitale televisie en andere mediadiensten, inclusief de hosting. Infrastructuur bij klanten wordt afgenomen bij de leveranciers van InCompanyMedia ten behoeve van de diensten die InCompanyMedia levert aan haar klanten (glasvezelkabels en bijhorende infrastructuur). Op de media platformen van InCompanyMedia worden video’s en gerelateerde media- en beschrijvende bestanden evenals begeleidende documenten voor klanten opgeslagen. Sommige klanten kunnen deze bestanden vervolgens in het systeem bewerken, analyseren en distribueren.
De directie van InCompanyMedia b.v. kiest ervoor om het management van informatiebeveiliging in te richten volgens ISO 27001 en NEN 7510 en in lijn met de relevante wet- en regelgeving.
Iedere medewerker kent het belang van informatiebeveiliging en kwaliteit en past dit toe binnen het eigen werkgebied. De Gouden Regels zijn hierbij het uitgangspunt. Kennis en expertise zijn essentieel voor een bestendige informatiebeveiliging en kwaliteit en moeten geborgd worden. Alle medewerkers worden getraind in bewustwording voor informatiebeveiliging en kwaliteit en het gebruik van procedures.
Binnen alle bedrijfsprocessen van InCompanyMedia b.v. vervult de informatievoorziening een cruciale rol. InCompanyMedia b.v. wil daarom op een verantwoorde manier met informatie omgaan, wat betekent dat de kwaliteit van informatievoorziening in control moet zijn. Een organisatie brede aanpak van informatiebeveiliging vervult hierin een sleutelrol. Wanneer informatiebeveiliging onvoldoende is ingericht, loopt de organisatie onnodige risico’s. Deze kunnen leiden tot grote financiële schade, juridische gevolgen en imagoverlies.
Het vereiste kwaliteitsniveau van de informatievoorziening wordt bereikt door een passend stelsel van maatregelen, waarmee de beschikbaarheid, integriteit en vertrouwelijkheid van informatie wordt gewaarborgd. De pijlers van deze maatregelen zijn mensen, processen en techniek.
Maatregelen worden in het informatiebeveiligingsproces genomen naar aanleiding van een risicoanalyse. De keuze van de passende maatregelen vindt plaats op basis van reële risico’s die InCompanyMedia b.v. loopt. De maatregelen zijn op basis van ISO27001 Annex A ingericht samen met de specifieke beheersmaatregelen in de NEN 7510.
InCompanyMedia b.v. streeft de volgende kritische succes factoren na op het gebied van informatiebeveiliging:
- De systemen moeten 24/7 online en beschikbaar zijn;
- Data van InCompanyMedia b.v. en haar klanten moet integer behandeld worden en te allen tijde kloppend zijn;
- Data is alleen beschikbaar voor personen die hier voor uitvoering van hun werkzaamheden toegang toe moeten hebben;
- Klanten ontvangen dienstverlening in overeenstemming met de afgesloten SLA’s.
Voor wat betreft de NEN 7510 geldt de bijzonder grote noodzaak van gezondheidsinformatiebeveiliging. Steeds meer data wordt uitgewisseld. Daarbij gaat het niet om patiëntinformatie in een EPD, maar met name om werkwijzen (protocollen) en ondersteunende documenten. Het is van belang dat deze informatie voor alle partijen beschikbaar en betrouwbaar is.
Het beschikbaar stellen van deze informatie in het management systeem (ISMS) van inCompanyMedia en de online werkplekken, de integriteit ervan en uiteraard het bewaken van de vertrouwelijkheid zijn belangrijke doelen van gezondheidsinformatiebeveiliging.
Door de aard van de werkzaamheden werken de medewerkers van InCompanyMedia b.v. bijna altijd in de omgeving en onder de verantwoordelijkheid van de instelling. Hierdoor is de impact van wetgeving in verband met naleving beperkt.
De belangrijkste eisen van wet- en regelgeving en contractuele eisen, waaronder eisen met betrekking tot de bescherming van persoonlijke gezondheidsinformatie en de wettelijke en ethische verantwoordelijkheden van zorgverleners omvatten de geheimhouding. InCompanyMedia hanteert het beleid dat zorginformatie niet in haar bezit mag komen en informatie niet door haar buiten de eigen omgeving gebracht mag worden. Hierbij moet zij de beveiligingsniveaus voor vertrouwelijkheid en integriteit handhaven.
Informatiebeveiligingsincidenten meld zij altijd bij de klant, waarbij een beroep kan worden gedaan op de directie van InCompanyMedia b.v. om incidenten te bespreken of bespreekbaar te maken bij de klanten.
Haar oplossingen zijn vrijwel altijd ondersteunend aan de primaire processen, waardoor er geen vitale processen en systemen zijn in de zorg (‘vitaal’ wil zeggen dat het falen ervan nadelige gevolgen kan hebben voor cliënten).