Advies en ondersteuning

Bij CareSecure kunt u terecht voor advies en ondersteuning op het vlak van informatiebeveiliging en privacy. Kwaliteit, vertrouwelijkheid en beschikbaarheid van informatie zijn essentieel voor iedere organisatie. Door jarenlange ervaring is CareSecure zeer goed bekend met alle aspecten en fasen van informatiebeveiliging (beleid, normering, risicoanalyse, fit-gap analyse, privacy impact assessment, awareness, implementatie, toezicht en naleving, etc.).

Graag lichten we een aantal diensten op dit gebied nader toe.

BBMCare Model

CareSecure ondersteunt zorginstellingen / – aanbieders bij het op orde krijgen van informatiebeveiliging in de organisatie met behulp  van het zogenaamde Basis Beveiligingsmodel  Care (BBMCare). Dit model is in samenwerking met Actiz tot stand gekomen en biedt organisaties de mogelijkheid om op een laagdrempelige en efficiente wijze met informatiebeveiliging aan de slag te gaan. Door de generieke risicobenadering bespaart u als organisatie zeer veel (doorloop) tijd. De achterliggende gedachte is dat zorginstellingen niet elk opnieuw het wiel moeten uitvinden, maar gebruik moeten maken van eerdere ervaringen.

Voor meer informatie over ons BBMCare Model wordt verwezen naar onze nieuwe BBMCare folder 2018

N.B. Wanneer uw organisatie kiest voor een vaste ondersteuning op gebied van informatiebeveiliging (op basis van onze Informatiebeveiliging Management Dienst IMD, zie hieronder), kunnen wij het gebruik van BBMCare als onderdeel hiervan aanbieden.

Awareness (e-learning)

De mens is vaak de zwakste schakel, wanneer het gaat om informatiebeveiliging en privacy. CareSecure biedt diverse oplossingen hiervoor. O.a. middels e-learning, waarbij medewerkers een security awareness training kunnen volgen op hun eigen PC via internet, op het moment dat het hen uitkomt. De oplossing biedt rapportagemogelijkheden over deelnemers en resultaten.

Uiteraard zijn er meer mogelijkheden. Neem gerust contact op. Zie ook specifiek voor zorginstellingen bijgaand e-Learning privacy folder 2018 folder e-learning IV Care_augustus 2018

Informatiebeveiliging Management Dienst (IMD)

Het bestuur van een organisatie is altijd wettelijk eindverantwoordelijk voor het voeren van een adequaat beleid op gebied van informatiebeveiliging en privacy. Ook wanneer activiteiten worden uitbesteed aan bijvoorbeeld een ICT leverancier, blijft de opdrachtgever zelf verantwoordelijk. Het is echter niet altijd haalbaar om hiervoor voldoende aandacht te hebben en/of alle verwerkingen, processen en procedures (juridisch) actueel te houden. Daarom bieden wij u hiervoor een abonnementsdienst aan in de vorm van een “strippenkaart”. Hierdoor weet u dat u nooit te veel betaalt (facturering vindt plaats op basis van daadwerkelijk bestede uren). Wij zijn graag bereid om dit nader toe te lichten !! Zie ook onze
factsheet-imd.

Inrichten ISMS (Information Security Management System)

Wij adviseren en ondersteunen u bij het opstellen van beleid, het uitvoeren van analyses tot opstellen van plannen en de inbedding van informatiebeveiliging en privacy in de organisatie, overeenkomstig de geldende normen (ISO 27001, BIG, BIR, NEN7510).

Wanneer u uw informatiebeveiliging overeenkomstig dit figuur heeft ingericht, spreken we van een ISMS.

Uitvoering risicoanalyse (maak gebruik van bestaande modellen !!!)

Risicoanalyses zijn cruciaal voor het uitwerken en implementeren van goed informatiebeveiligingsbeleid. Binnen de overheid en zorg zijn ze zelfs  verplicht vanuit wet- en regelgeving. Een goede risicoanalyse wordt uitgevoerd op het bedrijfsproces en legt daarmee bloot aan welke risico’s en dreigingen het proces bloot staat, wat de kans is dat het optreedt en welke schade dat mogelijk oplevert.

Voor zorginstellingen en gemeenten maken wij gebruik van bestaande modellen hiervoor. Dit bespaart veel tijd, zowel van de eventuele in te huren deskundige als van uw personeel. Informeer naar de mogelijkheden !!

Audits

Wij brengen voor u in kaart in hoeverre uw organisatie voldoet aan de geldende normen op gebied van informatiebeveiliging. Het geeft een beeld van de wijze waarop uw informatievoorziening is ingericht. De uitkomsten hiervan kunnen gebruikt worden voor uw verbetertraject. Op basis hiervan kunt u bijvoorbeeld ook inschatten in hoeverre certificering (NEN7510) kan worden aangevraagd dan wel dat u eerst nog een aantal verbetermaatregelen dient te treffen. Via CareSecure kunt u beschikken over een gecertificeerde IT auditor.

Privacy Impact Assessments

Vanaf 1 januari 2016 dienen overheidsinstanties een privacy impact assessment (PIA) uit te voeren bij projecten waarbij persoonsgegevens betrokken zijn. Vanaf 2018 zullen alle organisaties, na invoering van de Europese Privacy Verordening, deze moeten uitvoeren. Alle organisaties moeten sinds dit jaar een datalek of een ongeoorloofde verwerking van persoonsgegevens melden aan de AP. Bij een onderzoek naar het lek zal de Autoriteit zeker vragen naar de PIA en wat er is gedaan met de resultaten.

Een PIA is een methode waarbij systematisch alle risico’s in kaart worden gebracht die betrekking hebben op de verwerking van persoonsgegevens. In een project, of bij aanpassing van de bestaande situatie, wordt bij aanvang al bepaald welke maatregelen er nodig zijn om persoonsgegevens conform de WBP te beschermen.

Bij de methode die CareSecure hiervoor hanteert, wordt o.a. ingegaan op het doel van de verwerking, de wet- en regelgeving, de te gebruiken gegevens(soorten), de positie van de betrokkenen, het gebruik, bewaren en vernietigen van gegevens, alsmede de beveiligingseisen