1. Home
  2. Kennisbank
  3. Trust Center
  4. Organisatorische en praktische informatie

Beveiliging (Ons, Caren, Luna en MediKIT)

Bijgewerkt op 22 Apr om 16.09 uur

Inleiding

Nedap Healthcare ontwikkelt, host en ondersteunt softwareoplossingen voor de zorg in Nederland. Daarbij staan beschikbaarheid, vertrouwelijkheid en integriteit van gegevens centraal.

Voor Ons, Luna en MediKIT treedt Nedap Healthcare in de regel op als verwerker. Voor Caren treedt Nedap Healthcare, afhankelijk van de verwerking, op als verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke.

Onze dienstverlening en beveiligingsmaatregelen zijn ingericht binnen beheerde processen voor informatiebeveiliging, privacy en kwaliteit. Nedap Healthcare beschikt over certificeringen en assurance-rapportages, waaronder ISO 27001, ISO 27701, ISO 27018, ISO 9001, ISAE 3402 type II en NEN 7510. De actuele certificeringen zijn beschikbaar via het supportportaal.

Governance en rolverdeling

Informatiebeveiliging en continuïteit zijn een gedeelde verantwoordelijkheid tussen Nedap Healthcare, klantorganisaties en waar nodig externe partijen.

Nedap Healthcare is verantwoordelijk voor de beveiliging van de eigen ontwikkel-, beheer- en hostingprocessen, voor monitoring en incidentafhandeling binnen de eigen dienstverlening en voor communicatie over incidenten of kwetsbaarheden voor zover die onze dienstverlening raken.

Klantorganisaties hebben daarnaast een eigen verantwoordelijkheid voor de veilige inrichting en het juiste gebruik van hun eigen organisatie, processen en systemen.

De rol richting toezichthouders en sectorpartijen hangt af van de aard van het incident en van de privacyrol van Nedap Healthcare:

  • bij Ons, Luna en MediKIT ondersteunt Nedap Healthcare klantorganisaties als verwerker met de informatie die zij nodig hebben voor hun eigen beoordeling en eventuele meldplicht
  • bij Caren kan Nedap Healthcare, afhankelijk van de verwerking, zelf als verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke optreden
  • waar nodig wordt afgestemd met relevante interne specialisten, zoals privacy, security, legal en communicatie
  • klantorganisaties onderhouden, waar wet- en regelgeving dat verlangt, zelf contact met hun eigen toezichthouders en sectorpartijen; Nedap Healthcare levert daarvoor de relevante feitelijke informatie
  • daarnaast is Nedap N.V. in het kader van NIS2 ingeschreven bij het NCSC. De Rijksinspectie Digitale Infrastructuur (RDI) is de aangewezen toezichthouder.

Hosting, beschikbaarheid en continuïteit

Nedap Healthcare borgt de beschikbaarheid en continuïteit van zijn dienstverlening met redundante infrastructuur en gespreide hosting.

De applicaties Nedap Ons, Caren en Luna worden gehost door Nedap Healthcare. De infrastructuur is ondergebracht in meerdere datacenters van juridisch gescheiden leveranciers, verspreid over Nederland.

Alle servers en netwerkapparatuur die worden gebruikt voor de hosting van Nedap Ons, Caren en Luna zijn eigendom van Nedap Healthcare. Voor bepaalde functionaliteiten binnen Nedap Ons kan dienstverlening worden uitbesteed. Een overzicht hiervan is opgenomen in het document Leveranciers en subverwerkers.

Klantdata wordt redundant opgeslagen, zodat het risico op uitval en dataverlies wordt beperkt.

Voor MediKIT is hosting deels uitbesteed aan een externe partij. Ook daarvoor gelden beveiligings- en beschikbaarheidseisen en maatregelen voor continuïteit binnen onze managementsystemen.

Fysieke en technische beveiliging

Voor alle datacenters gelden strikte eisen op het gebied van fysieke toegang. Alleen personeel van Nedap Healthcare bepaalt wie toegang heeft tot de servers.

De datacenters voldoen aan hoge eisen voor toegangsbeveiliging, klimaatbeheersing, brandpreventie en stroomvoorziening met ingebouwde redundantie. Deze datacenters beschikken in ieder geval over ISO 27001-certificering en relevante assurance-rapportages, zoals SOC- of ISAE-verklaringen voor datacenterhostingdiensten.

De datacenters zijn met elkaar verbonden via volledig redundante, fysiek gescheiden en versleutelde verbindingen, waardoor toegang tot een glasvezelverbinding geen toegang geeft tot de verzonden gegevens.

Voor transportbeveiliging gebruiken we TLS-verbindingen.

Toegangsbeveiliging

Toegang tot systemen en gegevens is gebaseerd op persoonlijke accounts, passende autorisaties en controleerbare logging. Klantorganisaties blijven zelf verantwoordelijk voor een passende inrichting van gebruikersbeheer en autorisaties binnen de eigen organisatie.

De informatie die in Nedap Ons wordt verwerkt betreft (persoonlijke) gezondheidsinformatie. Daarom vindt toegang tot Nedap Ons plaats met persoonlijke accounts en wordt tweefactorauthenticatie (2FA) toegepast. Er mag geen twijfel bestaan over welke natuurlijke persoon is ingelogd en welke acties in een dossier of andere onderdelen van de applicatie zijn uitgevoerd.

Het is ook mogelijk om authenticatie en 2FA in te richten via een Single Sign-On (SSO)-provider. In dat geval vindt de authenticatie niet rechtstreeks in Nedap Ons plaats, maar via de SSO-provider. Ook in dat geval blijft gelden dat 2FA van kracht blijft. Nedap Ons ondersteunt OpenID Connect en het doorgeven van authenticatie-informatie via AMR (Authentication Method Reference), zodat reeds uitgevoerde 2FA door Nedap Ons kan worden vertrouwd.

Monitoring, detectie en incidentrespons

Nedap Healthcare monitort netwerken, systemen en applicaties continu. Daarbij wordt gebruikgemaakt van tooling voor netwerk- en capaciteitsmonitoring, applicatiemonitoring en logging en analyse. Bij afwijkend gedrag kunnen alerts worden uitgezet via alerterings- en oproeptooling.

Deze monitoring helpt om verstoringen, afwijkingen en mogelijke beveiligingsrisico's tijdig te signaleren. Wanneer dat nodig is, worden incidenten opgeschaald langs interne escalatielijnen, waarbij operationele teams, inhoudelijke specialisten en verantwoordelijken voor privacy, security en communicatie worden betrokken.

De opvolging van incidenten is erop gericht om:

  • de impact snel vast te stellen en waar nodig te beperken
  • de oorzaak te onderzoeken en passende herstelmaatregelen te nemen
  • vast te stellen welke klanten, processen of gegevens geraakt zijn
  • structurele verbetermaatregelen vast te leggen en op te volgen

Waar dat nodig is, zet Nedap Healthcare ook externe partijen in, bijvoorbeeld datacenterleveranciers, gespecialiseerde monitoringdiensten of andere leveranciers die betrokken zijn bij de betreffende dienst of het onderzoek.

Incidenten en communicatie

Wanneer zich een incident voordoet, wordt gehandeld volgens de geldende incident- en communicatieprocessen van Nedap Healthcare. Nedap beschikt over een cyberverzekering die passende dekking biedt in het geval van een incident.

Voor de wijze van detectie, opvolging, escalatie en communicatie bij functionele verstoringen en data-incidenten verwijzen we naar de pagina Incidenten en datalekken.

Prioritering en herstel na incidenten

De prioritering van incidenten en problemen en de bijbehorende reactie- en hersteltijden volgen de criteria en serviceniveaus uit de Service Level Agreement (SLA). Daarbij worden meldingen op grond van aard en gevolgen ingedeeld in prioriteitscategorieën.

Bij de afweging spelen onder meer de volgende uitgangspunten een rol:

  • impact op primaire zorgprocessen en continuïteit van dienstverlening
  • impact op vertrouwelijkheid, integriteit en beschikbaarheid van gegevens
  • omvang van het incident, bijvoorbeeld het aantal getroffen klanten, gebruikers of processen
  • technische en organisatorische afhankelijkheden die van invloed zijn op herstel
  • beschikbaarheid van tijdelijke oplossingen, tijdelijke maatregelen of uitwijkmogelijkheden

Herstel vindt daarmee niet uitsluitend plaats op volgorde van technische componenten, maar op basis van de combinatie van impact, urgentie en afhankelijkheden binnen de totale dienstverlening.

Beheer van kwetsbaarheden

Nedap Healthcare beheerst beveiligingsrisico's via een gestructureerd en risicogebaseerd proces voor kwetsbaarhedenmanagement. Kwetsbaarheden worden onder meer gesignaleerd via security tooling, publieke bronnen, coordinated vulnerability disclosure, externe onderzoekers en incidentanalyses.

Daarnaast gebruikt Nedap Healthcare software bills of materials (SBOM's) om inzicht te houden in softwarecomponenten en afhankelijkheden binnen de keten.

De beoordeling en prioritering van kwetsbaarheden vindt risicogebaseerd plaats. Daarbij kijken we niet alleen naar de algemene ernst, maar ook naar de impact binnen onze eigen omgeving, zoals de kritikaliteit van de applicatie, de beschikbaarheid van patches, bekende misbruikscenario's en mogelijke compenserende maatregelen.

Waar relevant wordt bij de beoordeling rekening gehouden met gangbare scoringsmethoden, zoals CVSS, in combinatie met omgevingsspecifieke factoren. Op die manier sluiten prioritering en opvolging beter aan op de feitelijke risico's voor onze dienstverlening en onze klanten.

Nedap Healthcare biedt onderzoekers en gebruikers ook de mogelijkheid om kwetsbaarheden te melden via coordinated vulnerability disclosure. Daarvoor verwijzen we naar de centrale Coordinated Vulnerability Disclosure Policy van Nedap. Op die pagina staat expliciet dat deze policy geldt voor Nedap N.V. en alle dochterondernemingen wereldwijd, waaronder Nedap Healthcare.

Als een kwetsbaarheid leidt tot een incident of directe impact heeft op klanten, communiceren wij daarover volgens de geldende incident- en communicatieprocessen.

Externe leveranciers

Voor onderdelen van de dienstverlening maakt Nedap Healthcare gebruik van externe leveranciers, bijvoorbeeld voor hosting, monitoring, alertering en coordinated vulnerability disclosure. Voorbeelden hiervan zijn datacenterleveranciers, monitoringdiensten en platforms voor coordinated vulnerability disclosure.

Waar relevant worden aan deze partijen beveiligings- en beschikbaarheidseisen en maatregelen voor continuïteit gesteld.

Toetsing en certificering

Onze beveiligingsmaatregelen worden periodiek intern en extern getoetst en ondersteund door certificeringen en assurance-rapportages. Daarbij wordt onder meer gekeken naar de opzet en werking van beheersmaatregelen, risico's en opvolging van bevindingen. Waar passend werken we ook mee aan aanvullende onderzoeken of vragen van klanten.

Verantwoordelijkheden van klantorganisaties

Klantorganisaties blijven zelf verantwoordelijk voor:

  • een veilige inrichting van hun eigen netwerk, werkplekken en apparaten
  • passend gebruikers- en autorisatiebeheer
  • de juiste inrichting van authenticatie
  • zorgvuldige omgang met koppelingen met derde partijen
  • hun eigen verplichtingen als verwerkingsverantwoordelijke, waar van toepassing
  • hun eigen afwegingen en meldingen richting toezichthouders en sectorpartijen, waar van toepassing
category image

Trust Center

Recente zoekopdrachten

Geen recente zoekopdrachten

    Populaire Artikelen

      Artikelen
      Alles weergeven
        Onderwerpen
        Alles weergeven
          Tickets
          Alles weergeven
            geen resultaten

            Sorry! Niets gevonden voor

            Open navigation
            Voorbeeld
            0 van 0