“Welkom! Als Dokter Ehealth is het mijn missie om zoveel mogelijk mensen op weg te helpen met ehealth. Vandaag beantwoord ik een vraag over informatiebeveiliging. Wat is het en waar voldoet Minddistrict aan?”
Beste Dokter Ehealth, ik las dat Minddistrict voldoet aan ISAE 3000. Wat betekent dat en wat heb ik eraan?
Een hele goede vraag! Want wat zeggen die standaarden, certificaten en verklaringen eigenlijk? Ik vertel er graag meer over.
Om te beginnen: waar gaat dit over?
ISAE 3000 gaat over informatiebeveiliging. Net als de andere afkortingen die je voorbij ziet komen, zoals NEN en ISO.
Informatiebeveiliging wil zeggen dat de data van onze klanten veilig zijn. Specifieker kun je het zien als, zijn de data beschikbaar wanneer ze opgevraagd worden? Zijn de data juist en volledig? En worden de data vertrouwelijk behandeld?
Hoe doe je dat dan? Ik snap hoe je bijvoorbeeld een bank beveiligt, maar hoe beveilig je informatie?
Nou, eigenlijk is dat verschil niet zo groot. Je beveiligt informatie door allerlei technische en organisatorische maatregelen te nemen, die moeten voorkomen dat er iets gebeurt met de data.
In een bank zorg je bijvoorbeeld voor een sterke kluisdeur (technische maatregel). En je zorgt ervoor dat niet iedereen die de bank binnenloopt ook de kluis in mag. Dat laat je over aan specifieke medewerkers, die een protocol moeten volgen (organisatorische maatregel).
Met data gaat het eigenlijk net zo.
ISO, NEN en nu ISAE gaan over informatiebeveiliging
OK. En als je dan al die maatregelen hebt dan je zo'n afkorting?
Inderdaad, Minddistrict had al een NEN 7510 en ISO 27001 certificering, en..
Ho! Stop! Hier haak ik even af. Wat is dit allemaal?
[Dokter Ehealth lacht] Je vindt het misschien moeilijke termen, maar je had het al bij het juiste eind. Ik zal nu ‘ISO’ en ‘NEN’ zeggen, dat klinkt simpeler.
Deze certificeringen laten simpel gezegd zien dat we de juiste maatregelen nemen en ons daaraan houden.
Dat geeft vertrouwen. Je brengt je geld niet naar een bank als je denkt dat die onveilig is. Hetzelfde geldt voor een ehealthplatform. Onze klanten moeten er vertrouwen in hebben dat wij onze zaken op orde hebben. NEN en ISO geven dat vertrouwen.
Een certificering laat zien dat een bedrijf de maatregelen voor databeveiliging op orde heeft
En die nieuwe dan, die ISAE? Waarom is die dan nodig?
Je hebt ‘goed’. Maar daarboven is nog ‘uitmuntend’. Om die kluis er nog een keertje bij te halen: je hebt een goede, sterke kluis. En dan een ongelofelijk goede, niet te kraken kluis. Zo één die je in een Mission Impossible of een Ocean's weet-ik-hoeveel film ziet.
ISO en NEN zijn goed, stevig en robuust. En dan heb je nog ISAE 3000. Dat is de allerhoogste standaard als het gaat om informatiebeveiliging.
Met die 3000 klinkt het ook een beetje als de ‘nimbus’-bezemstelen uit Harry Potter
Ja, ik zal je niet te veel verwarren met dat nummer. In de praktijk heb je er een aantal: ISAE 3402 gaat over financiële verslaglegging bijvoorbeeld. En ISAE 3000 gaat over dienstverlening van een IT-omgeving of IT-dienst.
Minddistrict is een softwareplatform. We leveren ‘Software as a Service’ dienstverlening. En de ISAE 3000 is een internationaal erkende standaard voor informatiebeveiliging die zich richt op dit soort dienstverlening. Ons platform dus.
En dankjewel voor dat beeld trouwens. Nu ziet de ISAE 3000 er in mijn hoofd ook uit als een vliegensvlugge bezemsteel.
ISAE 3000 is een internationaal erkende standaard voor IT-diensten en de allerhoogste standaard voor informatiebeveiliging
Ok, dan zijn we d'r. Fijn. Tot de volgende keer!
Wacht, wacht, ik ben nog niet klaar.
Hoezo, niet klaar?
Officieel is het dus: ISAE 3000 type 1 C5
[kreunt] Houdt het dan nooit op?
Kom op, Carice, zo moeilijk is het niet. Type 1 en type 2 zijn eigenlijk heel simpel te begrijpen. Type 1 is als een foto, Type 2 als een film.
Minddistrict heeft nu Type 1. Dat wil zeggen dat het een meting is op 1 moment, op 1 datum. Je maakt als het ware een foto om te laten zien dat alle controlemaatregelen op dat moment goed geïmplementeerd zijn.
Type 2 is nog veiliger, dat is de film. Die laat zien dat alle maatregelen een heel jaar lang hebben gewerkt. Minddistrict heeft net de foto genomen. En we zijn gestart met de film. De volgende stap is dus dat we Type 2 worden, maar daar gaat eerst tijd overheen.
Want die film maken duurt sowieso 12 maanden.
Precies, jij snapt het! Dan nu het C5 framework.
C5 is een afkorting voor Cloud Computing Compliance Criteria Catalogue. Dat is een kader, een raamwerk, van eisen voor veilige ‘cloud computing’ dienstverlening. Het is opgesteld door het Duitse ‘federale bureau voor informatiebeveliging’ (Bundesamt für Sicherheit in der Informationstechnik).
Als dit je een beetje te veel wordt, dan snap ik dat trouwens hoor. Wat je dan kunt onthouden is: de echt grote professionele cloud leveranciers, zoals Microsoft, KPN, IBM etc., die gaan voor deze ISAE 3000 verklaringen om hun klanten gerust te stellen. Het is de hoogste standaard die je kan bereiken, en gaat verder dan ISO en NEN. En Minddistrict heeft dat nu ook.
Dat klinkt best als een prestatie..
Dankjewel.
..maar waarom hebben jullie dit dan eigenlijk? Met alle respect, Minddistrict is geen Microsoft toch?
We zijn zeker niet zo groot. Maar we zijn wel actief in Duitsland: ook Duitse ziekenhuizen gebruiken ons ehealthplatform. En volgens nieuwe regelgeving in Duitsland mogen publieke organisaties, waaronder dus ziekenhuizen, alleen in zee gaan met leveranciers die deze ISAE-verklaring hebben. En die hebben we nu.
ISAE 3000 is een internationaal erkende standaard, daar heb je niet alleen in Duitsland iets aan. Dus jij hebt in Nederland nu ook gelijk de geruststelling en zekerheid dat de informatiebeveiliging bij Minddistrict niet zomaar goed is, maar uitmuntend. Dat is prettig om te weten, lijkt me.
Weet je wat óók leuk is om te weten?
Nou?
Het compliance-team van Minddistrict heeft maar 4 maanden over de ISAE-verklaring gedaan.
Is dat kort?
Dat is heel kort! Het is heel gewoon dat een ISAE-traject zeker een jaar duurt. Of langer. Dus dat de compliance-mensen dit in een derde van de tijd gelukt is, dat wil zeggen dat alle zaken op het gebied van informatiebeveiliging al ontzettend goed op orde waren. Anders lukt dat nooit.
Heel mooi hoor. Kom nu maar op met de korte samenvatting.
Ok, komtie:
Minddistrict heeft een nieuwe verklaring over informatiebeveiliging. Er was al een ISO- en NEN-certificering. Maar nu is er ook de ISAE 3000 type 1. ISAE is een internationaal erkende standaard en zo'n beetje het hoogst haalbare op het gebied van informatiebeveiliging. Als zorgorganisaties en gebruikers vragen of zorgen hebben over de veiligheid van data bij het gebruik van ehealth, dan geven deze certificeringen geruststelling en vertrouwen.
Meer weten?
Wil je meer weten over deze of andere certificeringen? Of iemand spreken van het compliance-team?
Neem contact op!
Of bekijk deze video waarin Cristina uitlegt wat compliance betekent: