Informatiebeveiliging: de 12 belangrijkste maatregelen

Het organiseren van goede informatiebeveiliging is niet eenvoudig en brengt veel werk met zich mee. Hoe pakt u dat aan? Waar te beginnen? Welke maatregelen moeten er getroffen worden?

In iedere organisatie wordt al ‘iets’ aan informatiebeveiliging gedaan. Begrippen als ‘wachtwoord’ en ‘virus checker’ zijn voor velen geen onbekende begrippen, evenmin als ‘back-up’ of ‘firewall’. Begin daarom met het inventariseren van de bestaande maatregelen.

Daarnaast is het absoluut noodzakelijk om steun te krijgen van de leiding van de organisatie. Zonder commitment van het management faalt informatiebeveiliging gegarandeerd. Zodra de leiding haar steun ondubbelzinnig heeft uitgesproken, kan gestart worden met het nemen van maatregelen.

Hieronder worden de belangrijkste maatregelen kort beschreven.

1. Stel informatiebeveiligingsbeleid op

Zonder plan of beleid zijn alle acties zonder structuur. Daarom is het belangrijk om hiermee te beginnen. Dat kan heel eenvoudig zijn. Accepteer dat de eerste versie nog niet perfect en volledig is. In de loop der tijd wordt het beleid beter. Wijs uw leiding hier ook op en vraag ook steun van hen als tegenstanders het argument van ‘niet goed genoeg’ te berde brengen in de hoop niets te hoeven doen.

2. Stel vast wie waarvoor verantwoordelijk is

Voor iedereen moet glashelder zijn wie waarvoor verantwoordelijk is. Vertrouw er niet op dat ‘iedereen’ zich wel verantwoordelijk voelt. Om te beginnen is dat inefficiënt omdat het tot dubbel leidt, en bovendien zal niemand zich verantwoordelijk voelen als er iets fout gaat!

3.Zorg voor bewustwording, opleiding en training

Meer dan de helft van de informatiebeveiligingsincidenten wordt veroorzaakt door eigen medewerkers, meestal niet met kwade bedoelingen maar uit onkunde of onwetendheid. Informatiebeveiliging is voor tachtig procent mensenwerk en voor twintig procent techniek.

4.Neem maatregelen tegen kwaadaardige programmatuur

Voor de informatiebeveiligingsincidenten die niet ontstaan door toedoen van eigen medewerkers zijn derden verantwoordelijk. Er is een industrie ontstaan om met kwade bedoelingen informatiebeveiliging te omzeilen. Gezondheidszorg is in toenemende mate een aantrekkelijke prooi. Hierbij wordt gebruikgemaakt van: virussen, wormen, spyware, Trojaanse paarden, ransomware en vele andere vormen van ‘malware’. Er zijn kant- en klare maatregelen te koop zijn. Voer ze vandaag nog in en zorg ook dat de programmatuur ook up-to-date blijft.

5. Sluit overeenkomsten voor gegevensuitwisseling

Vaak zijn er binnen uw organisatie gevoelige gegevens (bijvoorbeeld patiëntgegevens). Daarvoor geldt een hele reeks aan voorwaarden en maatregelen. Het dragen van verantwoordelijkheden die uit informatiebeveiliging voortvloeien, is alleen mogelijk op basis van heldere afspraken met de communicatiepartners. Als er geen afspraken zijn gemaakt kunnen er ook geen gegevens worden uitgewisseld.

6. Beveilig de toegang tot systemen

Elke geregistreerde gebruiker moet een unieke persoonsgebonden gebruikersidentificatie krijgen. De organisatie dient ervoor te zorgen dat ‘passende’ gewoontes worden gebruikt bij het kiezen en gebruiken van wachtwoorden, dat gebruikers niet elkaars identificatie en authenticatiemiddelen gebruiken en dat gebruikers niet hun identificatie en authenticatiemiddelen overdragen aan anderen.

7. Ontwikkel en implementeer continuïteitsbeheer

Informatiebeveiliging is niet alleen beveiligen tegen inbreuk van buitenaf, maar ook zorg dragen dat informatievoorziening zo veel mogelijk ongestoord kan verlopen. Onder continuïteitsbeheer kan gedacht worden aan een heel scala van activiteiten. Back-up, noodstroom, uitwijkcentrum, redundantie zijn o.a. termen die voorkomen in een continuïteitsplan.

8. Houd rekening met intellectueel eigendom

Het gebruik van illegale software heeft twee nadelen. Ten eerste is de herkomst veelal schimmig, waardoor eenvoudig kwaadaardige programmatuur kan binnensluipen. Ten tweede kunnen rechthebbenden bij vermoeden van inbreuk op intellectuele rechten, onmiddellijke inbeslagname vorderen van de apparatuur waarop de software zich bevindt. Verder spelen andere risico’s, zoals strafrechtelijke vervolging en reputatieschade.

9. Beveilig bedrijfsdocumenten

Belangrijke bedrijfsdocumenten moeten worden beveiligd tegen verlies, vernietiging en vervalsing (denk hierbij bijvoorbeeld aan declaraties, medische dossiers, transactielogbestanden) Elektronisch opgeslagen gegevens moeten ‘digitaal duurzaam’ zijn, eventuele encryptiesleutels moeten ook worden bewaard en gegevens kunnen worden opgevraagd op een wijze die geschikt is voor juridische procedures.

10. Bescherm persoonsgegevens

In het algemeen volgt de plicht tot bescherming van persoonsgegevens uit de Wet bescherming persoonsgegevens (Wbp), in het bijzonder uit de Wet geneeskundige behandelingsovereenkomst (Wgbo). Hoewel beoefenaren van individuele beroepen in de gezondheidszorg de verwerking van persoonsgegevens van hun patiënten niet hoeven te melden, zijn zij wel verplicht om de persoonsgegevens van hun patiënten adequaat te beschermen.

11. Leef beveiligingsbeleid na

Tachtig procent van de beveiligingsincidenten wordt veroorzaakt door mensen. Zonder het organiseren van een vorm van controle zal men zich minder goed aan de regels houden. De verschillende beveiligingsprocedures moeten periodiek en op een objectieve en onpartijdige wijze worden beoordeeld.

12. Rapporteer beveiligingsincidenten

Zonder rapportage van incidenten zal er niets kunnen worden geleerd en aangepast binnen de organisatie. Het rapporteren van (bijna)ongelukken behoort tot het reguliere professionele handelen.

Met deze 12 stappen is de informatiebeveiliging gestart maar nog zeker niet klaar. Informatiebeveiliging is een iteratief proces en houdt niet op. Om een informatiebeveiligingsbeleid naar een hoger plan te tillen is het aan te bevelen een risicoanalyse uit te voeren.