1. ENTRACE Beleid Informatiebeveiliging

2. Inleiding

ENTRACE is opgericht in 2015 en levert software met bijbehorende diensten aan de zorg. De missie van ENTRACE is om vraag en aanbod in zorg en welzijn op transparante manier bij elkaar te brengen. Via de entiteit Mannen met een plan BV wordt de software ENTRACE ontwikkeld. Deze wordt vervolgens via ENTRACE BV in Nederland gedistribueerd. De aandelen van ENTRACE BV zijn in handen van Mannen met een Plan BV. Beide directeur/groot aandeelhouders zijn via hun privé holding voor 50% eigenaar van Mannen met een plan BV.

De software ENTRACE bevat alle workflows voor de klantlogistiek(in-, door- en uitstroom van cliënten) en is geschikt voor alle zorgdomeinen in de care.ENTRACE stelt zorgprofessionals in staat om op basis van realtime beschikbaarheid en matchingscriteria te plannen, zowel binnen zorgorganisaties als in (regionale) samenwerkingsverbanden. Dit draagt bij aan de beweging van ‘de juiste zorg op de juiste plek’.

De professionals van ENTRACE realiseren zich dat achter elke zorgvraag of welzijnsvraag, een mens met verwachtingen schuilt; een mens met zijn/haar netwerk in een kwetsbare situatie.
De intuïtieve software van ENTRACE zorgt dat zorgbemiddelaars binnen zorginstellingen en in samenwerkende ketens, de zorgvraag en het contact met de (potentiële) cliënt altijd centraal kunnen laten staan bij het matchen met de best (beschikbare) zorg.

Aanvullend op de software ontwikkelt en levert ENTRACE diensten voor implementatie, training, coaching, onderhoud, support en hosting. Deze diensten zijn in de abonnementsprijs inbegrepen.

In Mannen met een plan BV en ENTRACE BV, beide gevestigd in Deventer, zijn ten tijde van het uitbrengen van deze versie van het hoofdlijnendocument, 6 medewerkers actief, inclusief de directie van ENTRACE.

ENTRACE beschouwt informatiebeveiliging al jarenlang als voorwaardelijk voor professionele dienstverlening op het gebied van de verwerking van persoonsgegevens; risico’s voor de klant moeten acceptabel zijn en maatregelen moet effectief zijn zonder dat dit ten koste gaat van de effectiviteit, flexibiliteit en efficiency van de dienstverlening.

3. Verantwoordelijkheid, doelstelling en doelgroep

Gelet op de mogelijke impact van verstoringen op de bedrijfsvoering en continuïteit van ENTRACE en haar klanten berust eindverantwoordelijkheid voor het beleid voor informatiebeveiliging bij de directie van ENTRACE.

Het Beleid Informatiebeveiliging (hierna te noemen beleid IB) heeft als doel om:

  • informatiebeveiligingsincidenten te voorkomen of de gevolgen ervan te minimaliseren,
  • de dienstverlening en de reputatie van ENTRACE te beveiligen, en
  • de medewerkers te beschermen.

Dit doen we door de IB-risico’s m.b.t. de beschikbaarheid, integriteit en vertrouwelijkheid* van informatie te beheersen met een raamwerk van beleidsuitgangspunten met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van de informatievoorziening, waarbinnen een evenwichtig (doeltreffend en doelmatig) stelsel van onderling samenhangende maatregelen ontwikkeld wordt, om de informatievoorziening te beschermen tegen interne en externe bedreigingen.
Alle betrokkenen moeten zorgen, dat aan de in dit beleid IB geformuleerde beleidsuitgangspunten wordt voldaan bij de inrichting van de organisatie, procedures, werkwijze en de daarbij gehanteerde informatiesystemen. Het niet naleven van dit beleid kan ernstige gevolgen hebben voor de dienstverlening van ENTRACE aan haar klanten en eventueel leiden tot disciplinaire maatregelen.

* Beschikbaarheid: zeker stellen dat informatie op de juiste momenten aanwezig is. Integriteit: waarborgen dat informatie correct en volledig is. Vertrouwelijkheid: beschermen van gevoelige informatie tegen onbevoegde kennisname.

3. Toepassingsgebied

Het beleid IB is van toepassing op alle informatie die gecreëerd, ontvangen, verzonden of bewaard wordt in de dienstverlening van ENTRACE aan klanten en de daarmee samenhangende wettelijke, contractuele verplichtingen en ondersteunende processen. Het beleid en de uitwerking hiervan gelden voor alle medewerkers van ENTRACE. Afwijkingen hierop moeten gemeld worden, zodat het managementsysteem continu verbeterd wordt. Daarnaast geldt het beleid IB ook voor contractanten, die ENTRACE ondersteunen bij haar dienstverlening aan klanten.
Onlosmakelijk onderdeel van het beleid IB is de ‘Ethische Code’, waaraan alle medewerkers, contractanten en stagiaires zich moeten houden.

Er wordt zoveel mogelijk gestreefd naar beveiligingsmaatregelen die gebaseerd zijn op logische principes, omdat deze kosteneffectief en duurzaam zijn. Deze principes zijn:

  1. Vertrouwelijke gegevens die je niet hebt, hoef je ook niet te beveiligen (data minimalisatie).
  2. Niet slepen met vertrouwelijke gegevens (data centralisatie).
  3. Scheiden van gegevens (data segregatie).

Alle medewerkers worden geacht deze principes in de praktijk te brengen.

3.1. Houderschap en reikwijdte van het beleid

ENTRACE is verantwoordelijk voor het beschikbaar stellen van haar SaaS-dienst met voldoende beveiligingsopties, zodat haar klanten kunnen voldoen aan de voor haar geldende IB-normen en andere wet- en regelgeving. Ook voldoet de hosting en het beheer van de software aan deze eisen. Dit ontslaat echter de klant niet van de eindverantwoordelijkheid voor de beveiliging van haar eigen informatievoorziening.

Van elk informatiesysteem, inclusief de daarbij behorende gegevens, moet expliciet één houder zijn benoemd. Het houderschap impliceert de eindverantwoordelijkheid voor het betreffende systeem, inclusief het bepalen van de bij het systeem te onderkennen risico’s, het classificeren van het systeem en de daarbij behorende gegevens en het (laten) ontwikkelen van adequate beveiligingsmiddelen en interne controlemaatregelen. Naast de applicatie betreft dit ook de juiste inzet van de infrastructurele componenten (werkstations, servers en het interne en externe netwerk), de juiste verwerking, het adequate beheer, het goed functioneren van het personeel, het maken van afspraken met derden, fysieke beveiliging en voorzieningen om incidenten en calamiteiten te voorkomen of af te handelen. In onderstaand figuur zijn alle genoemde deelgebieden van een informatiesysteem opgenomen.

Er wordt gesproken over eindverantwoordelijk omdat een aantal aspecten van het informatiesysteem uitbesteed worden aan andere houders. Hierbij wordt niet een maximaal beveiligingsniveau nagestreefd, maar een optimaal niveau, zodat ENTRACE haar diensten kan bieden tegen acceptabele kosten.

3.2. Uitwerking van dit beleid

Op basis van dit beleid worden met geplande tussenpozen risicoanalyses uitgevoerd en wordt een set van maatregelen gedefinieerd als interne norm, die geldt als minimumniveau van beveiliging voor de dienstverlening aan klanten. In overleg kan een hoger niveau met een klant worden afgesproken.

3.3. Controle werking en naleving van het beleid

In de directiebeoordeling wordt de werking en de naleving van het beleid IB intern geëvalueerd en zo nodig aangepast.
Jaarlijks wordt een interne audit gehouden. Onderdeel van deze interne audit zijn het opnieuw beoordelen van risico’s en een beoordeling van nieuwe contracten en wet- en regelgeving. Onderdeel van deze rapportage is ook een plan met verbetervoorstellen. De directie beoordeelt de rapportage, keurt voorstellen al dan niet goed en kent budget toe voor de realisatie van de voorstellen. Onderstaand is dit schematisch weergegeven.

Daarnaast wordt jaarlijks een externe audit uitgevoerd op de werking van het managementsysteem van informatiebeveiliging (ISMS) door een onafhankelijke derde partij, die hiertoe bevoegd en deskundig is. De rapportage hiervan is beschikbaar voor (potentiële) klanten.

4. Beleidsuitgangspunten

Met onderstaande kwalitatieve beleidsuitgangspunten verwacht ENTRACE haar informatiebeveiligingsrisico’s te beheersen en tegelijk haar flexibiliteit en efficiëntie bij het uitvoeren van haar werkzaamheden te behouden.
De beleidsuitgangspunten bieden bovendien het kader voor de directie, op welke wijze zij wil dat de informatiebeveiligingsdoelstellingen worden vormgegeven, die passend zijn voor ENTRACE.
Genoemde beleidsuitgangspunten gelden voor die gegevensbewerkingen, waarvoor ENTRACE wettelijk en/of contractueel verantwoordelijk is.
Bij de verdere invulling van het beleid IB gelden de volgende uitgangspunten:

  1. Informatiebeveiliging is een belangrijk bedrijfsrisico voor ENTRACE. De directie stelt daarom het beleid vast, beoordeelt de risico’s, stelt de maatregelen vast, stelt voldoende middelen ter beschikking en laat periodiek de werking van het beleid en de naleving van deze maatregelen intern en extern beoordelen om te borgen, dat het IB-managementsysteem blijvend adequaat werkt en waar nodig verbeterd wordt.
  2. ENTRACE conformeert zich m.b.t. de informatiebeveiliging aan de relevante wetgeving en de contractuele afspraken met klanten en business partners.
  3. ENTRACE streeft ernaar om haar dienstverlening aan klanten continu te verbeteren.
  4. De doelstellingen en beheersmaatregelen van de norm ISO 27001 / NEN 7510 en de privacy-richtlijnen van de Autoriteit Persoonsgegevens (AP) vormen, voor zover zij bijdragen aan de informatiebeveiliging van ENTRACE en handhaafbaar zijn, het uitgangspunt voor de te definiëren maatregelen. Dit is vooral een bedrijfseconomische afweging.
  5. ENTRACE beschouwt computercriminaliteit als een ongewenst maatschappelijk probleem en ziet het slechts als haar taak om passende maatregelen te nemen om schade ten gevolge van criminele activiteiten zoveel mogelijk te beperken.
  6. Vertrouwen is voor ENTRACE een groot goed en zij hanteert naar medewerkers, klanten, leveranciers en andere stakeholders het wederkerigheidsprincipe. ENTRACE gaat ervan uit, dat zij afspraken nakomen m.b.t. beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening.
  7. Het HRM-beleid is mede gericht op het verbeteren van de bewustwording bij medewerkers voor het borgen van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening. Tijdens een jaarlijkse evaluatie wordt dit aan de orde gesteld.
  8. De fysieke en logistieke beveiliging van de gebouwen en de ruimtes daarin zijn zodanig, dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens en gegevensverwerking inclusief de bedrijfsmiddelen gewaarborgd zijn.
  9. Ontwikkeling of aanschaf, installatie en onderhoud van informatie- en communicatiesystemen, en ook inpassing van nieuwe technologieën, moeten zo nodig met aanvullende maatregelen worden uitgevoerd, dat hiermee geen afbreuk wordt gedaan aan de informatiebeveiliging.
  10. Opdrachten aan derden voor het uitvoeren van werkzaamheden worden zodanig omgeven met maatregelen, dat er geen inbreuk op de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening kan ontstaan.
  11. Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van klanten, medewerkers en andere betrokkenen te waarborgen.
  12. Toegangsbeveiliging zorgt ervoor, dat ongeautoriseerde personen of processen geen toegang krijgen tot de informatiesystemen, gegevensbestanden en programmatuur van ENTRACE.
  13. Gegevensverstrekking extern gebeurt op basis van ‘need to know’. Intern is dit niet altijd wenselijk omdat kennisdeling (‘need to share’) essentieel is voor een kosteneffectieve dienstverlening aan klanten.
  14. Informatie is geclassificeerd in een oplopende volgorde van belang: openbaar, intern, intern vertrouwelijk en vertrouwelijk. ENTRACE en haar medewerkers treffen maatregelen om te voorkomen, dat niet openbare informatie in handen van derden terechtkomt.
  15. Input van klanten die vertrouwelijke data bevat, wordt na verwerking op korte termijn gearchiveerd of vernietigd.
  16. Datatransport is zodanig met beveiligingsmaatregelen omkleed, dat geen inbreuk kan worden gepleegd op de vertrouwelijkheid en de integriteit van deze gegevens.
  17. Geautoriseerde medewerkers moeten ook op afstand een beveiligde toegang hebben tot de voor hun relevante productieomgevingen. Er worden geen vertrouwelijke gegevens buiten de productieomgeving opgeslagen. Onder condities kan hiervan afgeweken worden.
  18. Productieomgevingen zijn gescheiden van andere omgevingen en hierin kunnen specifiek toegangsrechten worden verleend en is monitoring van de toegang mogelijk.
  19. Het beheer en de opslag van gegevens in productieomgevingen zijn zodanig, dat geen informatie verloren kan gaan tenzij er sprake is van overmacht.
  20. Er zijn functiescheidingen aangebracht tussen de ontwikkel-, beheer- en gebruikersorganisatie. Verder wordt functiescheiding toegepast waar dat mogelijk en wenselijk is.
  21. Er is een proces om wijzigingen adequaat af te handelen en de impact op informatiebeveiliging en privacy tijdig te bepalen.
  22. Er is een proces om incidenten adequaat af te handelen en hier lering uit te trekken.
  23. Er zijn calamiteitenplannen en -voorzieningen om de beschikbaarheid van de informatievoorziening te waarborgen.
  24. Bij uitbesteding van gegevensverwerking kan de directie besluiten om tijdelijk af te wijken van deze beleidsuitgangspunten en de risico’s hiervan tijdelijk te accepteren.
  25. Bij conflicten prevaleert de missie van ENTRACE boven de eisen die gesteld worden door IB en of privacy.
  26. Informatiebeveiliging is onderdeel van het ontwerpen, ontwikkelen en beheren van software, ook als die door derden wordt ontwikkeld. Security by design en privacy by design en default vormen hierbij de voornaamste uitgangspunten.
  27. ENTRACE en haar medewerkers realiseren zich de privacy gevoeligheid van de (bijzondere) persoonsgegevens die zij verwerken en waarborgen te allen tijde de afscherming, corrigeerbaarheid en transparantie van deze gegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen.