Veiligheid in Heliomare

De commissie Informatiebeveiliging

door: Irene Kos

Van links naar rechts: Ronald Haije, Irene Kos, de toekomstige leden, Simonette Cornelisse, Sven van Tent

De Heliomare-brede commissie Veiligheid houdt zich bezig met allerlei aspecten rondom veiligheid. In een aantal nummers van de H. kon je hierover lezen. Als laatste: de commissie Informatiebeveiliging.

Je kent ‘m vast wel, de rode knop op Helionet. Daarmee kun je een melding doen als een situatie ziet waarbij persoonsgegevens makkelijk openbaar kunnen worden. Bijvoorbeeld als je langs een kantoor loopt, waar de schermvergrendeling niet is ingeschakeld. Of wanneer je persoonsgegevens naar een verkeerde ontvanger hebt gestuurd (zie kader). De meldingen via de rode knop komen binnen bij de Commissie Informatiebeveiliging, die vervolgens contact opneemt met de betreffende afdeling of medewerker om maatregelen te nemen om het lekken van persoonsgegevens te stoppen. Daarnaast wordt er ook gekeken of er technische en organisatorische maatregelen genomen kunnen worden om een toekomstig datalek te voorkomen.

Wat doet de commissie nog meer?

De commissie ziet er in Heliomare op toe hoe we als organisatie en als medewerkers omgaan met het verwerken van informatie en de beveiliging van persoonsgegevens. Als organisatie moeten wij voldoen aan de wet- en regelgeving, zoals de AVG en de NEN7510. Vanuit deze wet- en regelgeving kijken wij of onze systemen op orde zijn, of we op een veilige manier gegevens verstrekken aan andere organisaties, of onze medewerkers voldoende bekend en toegerust zijn om informatie goed te beveiligen. Daartoe doet de commissie onder andere aanbevelingen bij de Raad van Bestuur en het management. Zoals aanbevelingen voor scholing rondom informatiebeveiligingsbewustzijn en aanbevelingen voor het veilig uitwisselen van persoonsgegevens. Denk bijvoorbeeld aan veilig e-mailen veilig gebruik van applicaties voor videobellen.

Van links naar rechts: Ronald Haije, Irene Kos, de toekomstige leden, Simonette Cornelisse, Sven van Tent

De Heliomare-brede commissie Veiligheid houdt zich bezig met allerlei aspecten rondom veiligheid. In een aantal nummers van de H. kon je hierover lezen. Als laatste: de commissie Informatiebeveiliging.

Je kent ‘m vast wel, de rode knop op Helionet. Daarmee kun je een melding doen als een situatie ziet waarbij persoonsgegevens makkelijk openbaar kunnen worden. Bijvoorbeeld als je langs een kantoor loopt, waar de schermvergrendeling niet is ingeschakeld. Of wanneer je persoonsgegevens naar een verkeerde ontvanger hebt gestuurd (zie kader). De meldingen via de rode knop komen binnen bij de Commissie Informatiebeveiliging, die vervolgens contact opneemt met de betreffende afdeling of medewerker om maatregelen te nemen om het lekken van persoonsgegevens te stoppen. Daarnaast wordt er ook gekeken of er technische en organisatorische maatregelen genomen kunnen worden om een toekomstig datalek te voorkomen.

Wat doet de commissie nog meer?

De commissie ziet er in Heliomare op toe hoe we als organisatie en als medewerkers omgaan met het verwerken van informatie en de beveiliging van persoonsgegevens. Als organisatie moeten wij voldoen aan de wet- en regelgeving, zoals de AVG en de NEN7510. Vanuit deze wet- en regelgeving kijken wij of onze systemen op orde zijn, of we op een veilige manier gegevens verstrekken aan andere organisaties, of onze medewerkers voldoende bekend en toegerust zijn om informatie goed te beveiligen. Daartoe doet de commissie onder andere aanbevelingen bij de Raad van Bestuur en het management. Zoals aanbevelingen voor scholing rondom informatiebeveiligingsbewustzijn en aanbevelingen voor het veilig uitwisselen van persoonsgegevens. Denk bijvoorbeeld aan veilig e-mailen veilig gebruik van applicaties voor videobellen.

De commissie ziet er in Heliomare op toe hoe we als organisatie en als medewerkers omgaan met het verwerken van informatie en de beveiliging van persoonsgegevens.

Informatiebeveiliging

Afgelopen jaar heeft de Commissie Informatiebeveiliging zich bezig gehouden met het opstellen van nieuw informatiebeveiligingsbeleid op basis van de NEN7510. Het informatiebeveiligingsbeleid dient te waarborgen dat de organisatie en de medewerkers zich goed bewust zijn van het belang van informatiebeveiliging en dat er maatregelen getroffen worden tegen ongewenste situaties. De bedrijfsprocessen moeten voldoende zijn beveiligd tegen interne en externe risico’s zodat de persoonsgegevens van onze cliënten, leerlingen en onze medewerkers op een veilige plek bewaard en uitgewisseld worden. Hierbij kan je denken aan het stellen van eisen aan toegangsbeveiliging van applicaties zoals het Elektronisch Patiënt Dossier, het Leerlingvolgsysteem en het personeelsdossier. De Commissie informatiebeveiliging kent een organisatie brede vertegenwoordiging. De teammanager ICT kijkt naast de organisatorische kant ook vanuit de ICT kant naar informatiebeveiliging. De inkoopfunctionaris heeft een belangrijke toetsende rol bij het inkopen van nieuwe applicaties en contact met de leverancier. Zo wordt er gekeken of de leverancier voldoet aan alle informatiebeveiligingseisen en wordt er een verwerkersovereenkomst opgesteld wanneer er persoonsgegevens worden uitgewisseld. De Information Security Officer draagt zorg voor de implementatie van het informatiebeveiligingsbeleid in de organisatie en is het eerste aanspreekpunt voor informatiebeveiligingsincidenten. De FG ziet er op toe dat de Algemene Verordening Gegevensbescherming (AVG) wordt nageleefd. Patiënten, medewerkers en andere betrokkenen kunnen contact opnemen met de Functionaris Gegevensbescherming (FG) over alle aangelegenheden die verband houden met de verwerking van hun gegevens en met de uitoefening van de rechten uit de AVG.

In Heliomare zijn er (sinds 1 januari 2019) 47 rode knop meldingen gedaan. Van deze rode knop meldingen zijn 17 datalekken gemeld bij de autoriteit persoonsgegevens. 65% van de datalekken betreft een incident waarbij er informatie naar een verkeerde persoon is verstuurd of waarbij verkeerde informatie is verstuurd. Op landelijk niveau was dit 67% van alle datalekken in 2019.

Vacatures. Iets voor jou?

De Commissie Informatiebeveiliging heeft op dit moment vacatures open staan voor vertegenwoordigers vanuit het primaire proces vanuit Arbeidsintegratie, Volwassenen en Kind/Jeugd. Het is belangrijk dat de commissie in contact blijft met het primaire proces op het gebied van informatiebeveiliging. Half september hebben we ook afscheid genomen van onze FG, Linda Groot. Op dit moment wordt er vanuit de RvB gekeken hoe en wie de functie van FG gaat vervullen.

Handboek

Je kunt op Helionet het Informatiebeveiligingsbeleid, het aanvullende Handboek toepassing Informatie-beveiligingsbeleid en het informatiebeveiligingsplan vinden, waarin je meer kunt lezen over de afspraken die we in Heliomare hebben gemaakt.

De commissie bestaat uit

Ronald Haije - inkoopfunctionaris , Sven van Tent - teammanager ICT, Simonette Cornelisse - Information Security Officer & Irene Kos - Information Security Officer

De volgende vacatures staan open: Vertegenwoordiger Kind Jeugd , Vertegenwoordiger Arbeidsintegratie, Vertegenwoordiger Volwassenen & Functionaris Gegevensbescherming