De beveiliging van gegevens: ISO27001

Track Software is ISO27001 gecertificeerd. Wat betekent dat voor u?

De beveiliging van gegevens is natuurlijk van groot belang voor onze klanten. In hun opdracht verwerken wij medische gegevens van vele honderdduizenden mensen – mensen die erop moeten kunnen vertrouwen dat er alles aan gedaan is en wordt om professioneel met die gegevens om te gaan. Daarom zijn we trots op onze certificering.

b

Beveiliging van gegevens

Of u dit nu leest als klant of als werknemer van een klant die met Track werkt: uw gegevens zijn bij Track in goede handen. Onze organisatie voldoet aan de hoogste eisen op het gebied van gegevensbeveiliging. Track is extern gecertificeerd volgens de internationale beveiligingsnorm ISO27001.
R

Wat is ISO27001?

De ISO27001 norm is een intenationaal geaccepteerde beveiligingsstandaard die er voor zorgt dat niets aan het toeval wordt overgelaten als het om de beveiliging van gegevens en informatieverwerkende systemen gaat. Deze norm biedt structuur aan onze werkprocessen op het gebied van software-ontwikkeling, testen en beschikbaar stellen van onze programma’s en uw gegevens. De norm verlangt dat er bij iedere stap óók wordt nagedacht over gegevensbeveiliging en risico’s.

Certificering

De ISO27001 norm eist dat wij al onze beveiligingsrisico’s nauwkeurig in kaart brengen. Vervolgens moeten we beveiligingsmaatregelen beschrijven en toepassen waardoor de kans kleiner wordt dat gegevens niet beschikbaar zijn, niet kloppen of in verkeerde handen kunnen komen.

Deze risico-analyse en de genomen beveiligingsmaatregelen worden vervolgens door een onafhankelijke deskundige beoordeeld. Is er niets over het hoofd gezien? Wordt er wel voldaan aan alle wettelijke eisen, of aan de AVG? Pas als deze deskundige tevreden is, mogen wij zeggen dat we ‘gecertificeerd’ zijn.

En die externe check is niet iets eenmaligs. Ieder jaar wordt onze bedrijfsvoering opnieuw extern beoordeeld. Sterker nog: de norm eist dat we het ieder jaar beter doen op het vlak van beveiliging dan het jaar daarvoor. En ook dat wordt weer beoordeeld.

Veel gestelde vragen

Scope van het certificaat

 

Wat is de scope van jullie ISO27001 management systeem?

Bij Track hebben we ons complete werkproces onder de loupe genomen en laten certificeren.

De scope van de certificering luidt als volgt:

Het managementsysteem is van toepassing op de ontwikkeling, het onderhoud, beheer, support, implementatie en hosten van applicaties, databanken en de daarmee verwerkte informatie met betrekking tot arbeidsverzuimbegeleiding.

Scan onderstaande QR code om het certificaat te bekijken.

QR code ISO27001

QR code ISO27001

Abodienst: mag ik samenwerken met een niet-gecertificeerde softwareleverancier?

Mag ik samenwerken met een softwareleverancier die niet ISO27001 gecertificeerd is?

Dat hangt er van af. Bent u arbodienst, of bent u bijvoorbeeld eigen-regieklant?

Bent u arbodienst? Dan is samenwerken met een ISO27001 gecertificeerde leverancier verplicht. Zie staatscourant 05-12-2018 – publicatie certificatieschema arbodiensten. Paragraaf 7.5.3 onderdeel 5. Daarin staat:

De leveranciers van de arbodienst, die hardware (hostingomgeving), netwerkverbindingen of softwarepakket(ten) ter ondersteuning van de dienstverlening, installeren, onderhouden, beheren en daartoe fysieke of logische toegang hebben tot de informatiesystemen, werken conform de richtsnoeren van de Autoriteit Persoonsgegevens en zijn NEN-EN-ISO/IEC 27001:2017 (Informatie-technologie – Beveiligingstechnieken – Managementsystemen voor informatiebeveiliging – Eisen – NEN-EN-ISO/IEC 27001) gecertificeerd, door een daartoe geaccrediteerde CI.

Uiteraard moet u zich wél vergewissen van de scope van de certificering. Als bijvoorbeeld uitsluitend ‘software ontwikkeling’ is gecertificeerd, maar niet support of het hosten van de applicaties dan moet u die onderdelen tóch uitbesteden aan een gecertificeerde partij.

Als zelfstandige bedrijfsarts, verzuimbedrijf of eigen-regie klant bent u verantwoordelijk voor uw informatiebeveiliging. Dat blijft u ook als u anderen daarbij inzet. U moet zélf regelmatig beoordelen en controleren wat er gedaan is aan de beveiliging van uw informatie. De Autoriteit Persoonsgegevens heeft een richtsnoer ‘Beveiliging van persoonsgegevens’ uitgegeven. Daarin staan alle details beschreven waaraan u moet voldoen.

U kunt bijvoorbeeld zelf een audit organiseren of een onafhankelijke derde vragen dit voor u te doen. Maar zakendoen met een gecertificeerde partij maakt het leven wél een stuk makkelijker. Omdat Track ISO27001 gecertificeerd is, mag u erop vertrouwen dat wij voldoende technische en organisatorische maatregelen hebben genomen voor de beveiliging van uw informatie.

Bijlage: Staatscourant 5-12-2018 certificatieschema arbodiensten

 

 

DPIA

Heeft Track een DPIA uitgevoerd?

Als bedrijfsarts, re-integratie adviseur of arbodienst bent u verplicht een DPIA uit te voeren. Een ‘Data Protection Impact Assessment’ is een manier om privacy-risico’s van gegevensverwerking in kaart te brengen. Als u Track Verzuim als dossiermanager gebruikt, dan is Track Software dus ‘verwerker’ van uw persoonsgegevens. Vraag: Heeft Track op haar beurt zo’n DPIA uitgevoerd?

Antwoord: Ja. Track is ISO27001 gecertificeerd. Dat betekent dat wij niets aan het toeval overlaten als het gaat om de beveiliging van de gegevens van onze klanten. Concreet betekent dit: we hebben een uitgebreide risico-analyse doorgevoerd. En dat doen we ieder jaar opnieuw. Ieder risico wordt grondig bekeken. En vervolgens worden er één of meerdere beveiligingsmaatregelen getroffen om de kans dat het risico zich voordoet te verkleinen of de schade zo gering mogelijk te maken. Hieronder treft u een beknopt overzicht aan van onze beveiligingsmaatregelen.

 

B I V Omschrijving
Beschikbaar Alle server hardware is redundant uitgevoerd (RAID disks, dubbele voeding, dubbele firewalls, etc.).
Beschikbaar Externe hosting webapplicatie servers / -productiedata in extern datacenter.
Vertrouwelijkheid Eigen hardware park. Onderhoud aan hardware wordt door eigen personeel uitgevoerd.
Integriteit Professionele scheiding  van ontwikkeling, testen en productieomgeving.
Integriteit Versiebeheer en changemanagent geïmplementeerd
Vertrouwelijkheid Informatieclassificatie en autorisatiematrix opgesteld
Beschikbaar Dagelijkse backups van data in intern datacentrum. Uur-backup in extern datacenter.
Beschikbaar Fysieke en logische beveiligingsmaatregelen in datacenters
Vertrouwelijkheid Keuze voor robuust en velig ontwikkel- en serverplatform; geen freeware.
Vertrouwelijkheid Mobiele apparaten en -media kennen data-encryptie.
Vertrouwelijkheid Encryptie van bestanden, netwerkverkeer,  wachtwoorden; 2factor authenticatie.
Vertrouwelijkheid Activiteiten van alle gebruikers in alle rollen wordt gedetailleerd gelogd.
Vertrouwelijkheid Webapplicatie servers beveiligd tegen internet-aanvallen.

Lees meer …

Nieuw certificatieschema arbodiensten eist ISO27001 van leveranciers verzuimsoftware, netwerkdiensten of hosting services.