GDPR-compliancy in de zorg

Intermax Cloudsourcing

“Volgens mij is er een duidelijke transitie gaande in de zorg, als we het hebben over de overstap naar de cloud. Waar de zorgsector een aantal jaren geleden cloud-technologie nog als bedreiging zag, zien nu steeds meer zorginstellingen de voordelen.” Aan het woord is Maurice Wieggers, Manager Business Development Healthcare bij Intermax Cloudsourcing. Deze Rotterdamse managed services dienstverlener is al meer dan 22 jaar gespecialiseerd in het samenstellen van de ideale mix in cloud-technologie. “Overigens merk ik wel dat er nog angst is over de veiligheid van data in de cloud. Veel partijen spelen onnodig in op die angst.”

 

Intermax is marktleider op het gebied van de implementatie en het beheer van het Chipsoft Zorgportaal. “Voor een groot aantal ziekenhuizen verzorgen wij het volledige beheer van de technische infrastructuur, zowel on-premise als in onze eigen cloud”, vertelt Wieggers. “Ook ziekenhuizen die het portaal in eigen beheer houden, krijgen regelmatig hulp van onze experts als ze er niet uit komen. We zorgen voor een solide infrastructuur voor onze klanten. Die is van levensbelang, zeker in de zorg.”

“Dankzij de GDPR of AVG gelden er straks meer verplichtingen voor de bescherming van persoonsgegevens dan nu bij de Meldplicht datalekken. Dat levert organisaties veel werk op. Om te bepalen wat er precies moet gebeuren, is het noodzakelijk dat organisaties inventariseren waarom welke data worden verzameld en dat zij bekijken welke maatregelen er al zijn. Met die informatie kunnen concrete acties geformuleerd worden. Intermax helpt bij al die aspecten. We bieden klanten een breed palet aan technische én organisatorische diensten om te voldoen aan de AVG, en om zo hun informatiebeveiliging op een hoger niveau te krijgen.”

 

User Behaviour Analytics

Wieggers: “Een interessante ontwikkeling binnen ons vakgebied is User Behaviour Analytics. Met genoeg gebruikersinformatie kunnen we zaken gaan voorspellen en zien we snel wat aandacht nodig heeft. Dat helpt ons proactief te reageren op ontwikkelingen, in plaats van reactief. Zo genereren we bijvoorbeeld alerts wanneer er iemand uit een onbekend gebied inlogt, maar het gaat veel verder. Hoe meer data er beschikbaar is, hoe betrouwbaarder de verbanden die kunnen worden gelegd. We volgen dit soort ontwikkelingen op de voet. Intermax is sinds de oprichting in 1994 een nieuwsgierig bedrijf geweest. We investeren jaarlijks 12 procent van onze productiecapaciteit in nieuwe en innovatieve projecten en oplossingen. Dat heeft ervoor gezorgd dat we een voorloper zijn binnen onze branche. Zo bedachten we onder andere de Nationale Anti-DDoS Wasstraat (NaWas), een grote hoeveelheid gespecialiseerde anti-DDoS apparatuur op een centrale, goed beveiligde locatie die binnen enkele minuten volautomatisch DDoS-verkeer kan bestrijden. Inmiddels zijn meer dan 55 service providers aangesloten op de NaWas. In totaal hebben we in 2016 zo samen bijna 800 DDoS-aanvallen succesvol afgeslagen.”

 

Het belang van awareness

“Naast technische maatregelen is het – zeker met de GDPR in het achterhoofd – belangrijk continu te werken aan de security awareness”, vertelt Wieggers. “Je kunt alle mogelijke technische maatregelen nemen, maar die sluiten fouten door menselijk handelen niet uit. Organiseer daarom security awareness trainingen op alle niveaus binnen uw organisatie, maar maak mensen niet bang. Als uw mensen bang zijn voor de consequenties, zullen ze aarzelen mogelijke datalekken of andere afwijkende situaties te melden. Dat is in niemands belang. Social engineering of een phishing-as-a-service dienst zijn uitstekende diensten om het effect van dergelijke awareness trainingen te meten, en om uw medewerkers ook voor de lange termijn bewuster te maken.”

 

Audit logging

Ook audit logging is belangrijk voor een goede implementatie van de GDPR. “Door logfiles beveiligd extern op te slaan, wordt snel duidelijk hoe iets heeft kunnen gebeuren. De informatie uit die logfiles kan vervolgens als bewijs aan andere partijen worden overgedragen”, vertelt Wieggers. “Ook het monitoren van datastromen is van belang. Denk hierbij aan VPN-tunnels (ook met toeleveranciers), import-export acties of extern opgeslagen back-ups. Deze processen volgen wij scherp. En zien we een afwijking, dan grijpen we direct in.”

Ook netwerksegmentatie en server hardening zijn belangrijk om incidenten te voorkomen. Netwerksegmentatie helpt de schade te beperken wanneer iemand toch uw netwerk binnendringt; deze persoon krijgt dan immers nooit toegang tot het gehele netwerk. “Server hardening gebruiken we om servers zo ver dicht te zetten dat ze alleen worden gebruikt voor datgene waarvoor ze bedoeld zijn. Het zoveel mogelijk beperken van toegangsrechten is daar onderdeel van. Dat noemen we proactive defense.”

 

Continue scanning en live rapportage

Om te voldoen aan de groeiende behoefte aan informatiebeveiliging bedacht Intermax in 2015 Guardian360. Dit online security platform biedt veiligheid in de vorm van continue scanning en live rapportage. Wieggers: “Omdat Guardian360 continu scant, hebben klanten altijd een goed beeld van de situatie. Een pentest geeft een momentopname, Guardian360 gaat verder. Dat is belangrijk voor een goede implementatie van de GDPR. Bedrijven moeten aan kunnen tonen dat ze alles hebben gedaan om een datalek te voorkomen. Guardian360 helpt daarbij, door informatie en inzichten te verschaffen in wat er gebeurt én over wat er is gedaan om incidenten op te lossen. Daarnaast kent Guardian360 een compliancy module, waarmee wordt gescand op ISO- en NEN7510-normen en andere richtlijnen, zoals BIG. Bij elk security issue weet u direct welke norm niet wordt gehaald of aan welke aanbeveling niet wordt voldaan. En wanneer een issue is opgelost, kunt u bijvoorbeeld uw auditor aantonen dat u in control bent.”

 

100% veiligheid?

Wat als er dan toch iets fout gaat? Volgens Wieggers bestaat er niet zoiets als 100% veiligheid. “Daar zijn we heel open over bij Intermax. Het is onmogelijk uit te sluiten dat u een datalek krijgt. Wel kunt u risico’s zoveel mogelijk proberen te beperken. En gebeurt er iets, dan is het essentieel direct in te grijpen. Het verzamelen van forensisch bewijs na een aanval is niet alleen belangrijk om een correcte administratie bij te houden, maar ook om van te leren voor de toekomst. We helpen klanten bij al deze aspecten. Het ‘Privacy by Design’ principe is verweven in iedere dienst die we leveren. De bescherming van persoonsgegevens, privacy en beveiliging van data zit in algemene zin ‘ingebakken’ binnen ons bedrijf en onze mensen. Wanneer u uw persoonsgegevens bij ons onderbrengt, kunnen we aantonen dat we al het redelijke doen en hebben gedaan om deze gegevens te beschermen, én kunt u ervan uitgaan dat we alles hebben gedaan om incidenten te voorkomen. Maar het gaat verder dan alleen het schoonvegen van ons eigen straatje; we helpen onze klanten op precies dezelfde manier om hen zo klaar te stomen voor de GDPR.”

 

Meer informatie:

https://www.intermax.nl

hostingindezorg.nl

https://www.linkedin.com/in/mauricewieggers

 

Gerelateerde berichten...

X