EINDHOVEN (de ToetsPraktijk) – Alles en iedereen is inmiddels doordrongen van het evidente belang van gedegen IT-beveiliging, bestrijding van cybercrime en de bescherming van digitale persoonsgegevens. Nochtans zijn IT-lekken en inbraken in beveiligingssystemen aan de orde van de dag en lijken deze inherent aan meer technologische afhankelijkheid. Nog los van de recente onthullingen over de inbraken van NSA en de Britse geheime dienst, toonde het faillissement van Diginotar pijnlijk aan hoe kwetsbaar vitale IT-onderdelen bij de overheid zijn. Ook recente aanvallen op Nederlandse banken (DDoS-aanvallen) en lekken van klantgegevens bij KPN bewijzen eens te meer dat niet alleen overheden, maar zeker ook bedrijven genoodzaakt zijn te blijven investeren in haar IT-omgevingen.

Ondanks de relatief kleine organisatie van de ToetsPraktijk kent de beveiliging van haar IT-omgeving en bescherming van de klant- en zorggegevens de allerhoogste prioriteit. De vraag die wij onszelf dan ook stellen bij het inrichten van onze dienstverlening, is hoe de ToetsPraktijk deze bescherming zo adequaat mogelijk kan inrichten. Onze ervaren partner InfoSupport vormt hierin een cruciale schakel. InfoSupport is gespecialiseerd in het bijdragen aan onze strategische doelstellingen door het continu verstrekken van juiste inzichten en door de inzet van de meest geschikte technologieën en methodes als het gaat om hostingdiensten. Dit stelt de ToetsPraktijk in staat de bedrijfsprocessen te vereenvoudigen, te versnellen en te verbeteren met als concreet resultaat gedegen beveiligde hostingomgevingen.

Dit was van groot belang omdat het uitvoeren van duizenden pgb-huisbezoeken voor een zorgkantoor op korte termijn de ToetsPraktijk voor een enorme uitdaging stelde. De risicobeoordeling van onze functionele ontwerpen lagen in handen van risicomanager Freek van Gerwen van CbusineZ. Hij definieerde de kaders bij het inkopen van de benodigde expertise op het gebied van de IT-omgevingen. Dit zorgvuldig inkoopproces, en inherent onze behoefte van een snelle implementatie van nieuwe technologie, leidde naar onze andere huidige partner NINtech. Naast hun kennis en ervaring op het gebied van mobiele- en webapplicaties vormde hun zakelijke samenwerking met het gerenommeerde Indiase bedrijf Gateway NINtec een oplossing om de opdracht op korte termijn te implementeren.

Bij het maken van de juiste keuzes aangaande de inrichting van de processen is het in onze optiek van groot belang om de juiste expertise in huis te hebben. Ondersteuning bij het contracteren van de juiste IT-ontwikkelaars wordt zo namelijk ook gewaarborgd. Voor de operationele hosting hebben we bewust gekozen voor een ervaren partij uit eigen land (NINtech). Periodiek wordt door de risicomanager het hele proces gemonitord evenals vooraf gedefinieerde interne en externe eisen waaronder de COBIT-framework. Dit is mogelijk omdat de externe risicomanager op basis van het framework het controleprogramma kan beschrijven en uitvoeren.

Een van de eisen van de ToetsPraktijk aan de ontwikkeling van de IT-omgevingen is het zogenoemde COBIT-framework dat in lijn ligt met de standaarden van De Nederlandse Bank (DNB). De standaarden zijn door Nationaal Cyber Security Centrum  van het ministerie van Veiligheid en Justitie vastgelegd in het document ‘ICT-beveiligingsrichtlijnen voor webapplicaties’. De eis komt mede voort uit het feit dat wij als opdrachtnemer van een zorgkantoor ons dienen te conformeren aan de verantwoordelijkheid van een zorgverzekeraar. DNB is van oordeel dat dergelijke instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico’s. Het gaat hierbij onder meer om het waarborgen van de continuïteit van de IT en de beveiliging van informatie. De procedures moeten voldoen aan algemeen geaccepteerde standaarden (good practices). Een voorbeeld van dergelijke standaarden is het raamwerk van COBIT. Naast sec de ontwikkeling van de IT-systemen conformeert ook het algehele beleid van de ToetsPraktijk op het gebied van gebruik, beheer en personeel aan de COBIT-standaarden. Hierdoor voldoet ons IT-beleid aan de eisen die worden gesteld aan grote financiële instellingen zoals banken en verzekeraars.

 

Om de gegevens van de pgb-houders van het zorgkantoor te waarborgen heeft de ToetsPraktijk er bewust voor gekozen om op dat gebied geen gebruik te maken van ‘cloud computing’. Kenmerkend voor ‘cloud computing’ is dat de eindgebruiker niet weet op hoeveel of welke computers haar software draait en waar deze precies staat. Hierbij blijft de eindgebruiker echter wel verantwoordelijk voor de beveiliging ervan. Zo staat ook te lezen in het reglement van het College Bescherming Persoonsgegevens (CBP). ,,Degene die de zeggenschap heeft over hoe met klantgegevens wordt omgegaan is en blijft verantwoordelijk voor het feit dat dit correct gebeurt. Dit dus ook in de situatie dat gebruik wordt gemaakt van een leverancier van clouddiensten.”

DNB stelt daarnaast nog aanvullende eisen. ,,Wij constateren dat het gebruik van clouddiensten moet worden gezien als feitelijk een vorm van uitbesteding. Dat impliceert dat risico’s van het gebruik van clouddiensten aantoonbaar gekend en beheerst moeten worden. Uitbesteding aan derden mag ook geen belemmering vormen voor het vormen van toezicht”, aldus de DNB, die verder benadrukt dat in sommige gevallen een aparte vergunning van het ministerie van Justitie en Veiligheid moet worden aangevraagd. ,,Dit in het geval als blijkt dat persoonsgegevens geheel of gedeeltelijk permanent of tijdelijk worden opgeslagen op servers buiten de Europese gemeenschap.”

In de zoektocht naar een juiste balans tussen enerzijds privacybescherming en anderzijds gebruikmaking van technologische ontwikkelingen is de ToetsPraktijk zogezegd uitgekomen bij zelfontwikkelde software, draaiend op bekende servers zonder het gebruik van clouddiensten. Dat wil overigens niet zeggen dat de ToetsPraktijk überhaupt geen gebruik maakt van deze diensten. Om kostenreducties door te voeren en snel en efficiënt te werken, draaien onze boekhoudsysteem en CRM-inrichtingen, respectievelijk Twinfield en Salesforce, volledig in de cloud. Deze cloudoplossingen staan nadrukkelijk los van de ontwikkelde IT-systeem van onze klanten. Deze systemen zijn namelijk volledig afgeschermd van de applicaties voor de uitvoering van de dienstverlening voor het zorgkantoor in het kader van de pgb-huisbezoeken.

De afwegingen van DNB, CBP en de ToetsPraktijk zijn ingegeven door diverse wetten, maar kennen als onderliggende basis artikel 8 van het EVRM, waarin de bescherming van de persoonlijke levenssfeer om een onbespied en onbewaakt leven te leiden is verankerd. De begrippen ‘veiligheid’ en ‘privacy’ liggen in deze in elkaar verlengde, maar toch staan deze begrippen steeds vaker op gespannen voet met elkaar. De Amerikaanse Patriot Act als meest lichtend voorbeeld, maar ook dichter bij huis is deze trend waarneembaar gelet op biometrisch paspoorten, de massale inzet van openbare camerabewaking en verzameling van allerlei persoonsgegevens. Nieuwe technologieën zorgen voor een vergroting van spanningsveld tussen privacy en veiligheid. Keuzes op het gebied van IT, bescherming van gevoelige informatie en gebruikmaking van deze nieuwe technologieën dient in onze optiek immer zuiver te gebeuren. Niet louter sec economische voordelen, maar ook zeker het algemene belang dient hierbij in ogenschouw te worden genomen.

Om dat algemeen belang niet uit het oog te verliezen, en tevens te voldoen aan de wensen van de opdrachtgever, zijn de vooraf gestelde strenge eisen aan de op maat ontwikkelde IT-systemen (en de inherente beveiliging) essentieel gebleken voor de ToetsPraktijk. Dit alles was niet mogelijk geweest dankzij intensieve samenwerkingsverbanden met onze partners.

Teun van der Linden

Directeur de ToetsPraktijk

Share