Samenvatting Informatiebeveiliging- en privacybeleid Parnassia Groep

Parnassia Groep (PG) heeft een maatschappelijk belangrijke functie en is verplicht om alle informatie in haar processen goed te beschermen. Door de steeds verdergaande technologische ontwikkelingen worden bedrijfsprocessen steeds afhankelijker van informatiesystemen. Informatiebeveiliging is daarmee een belangrijke randvoorwaarde voor het bereiken van de doelen die PG zichzelf stelt.

Daarom investeert Parnassia Groep in informatiebeveiliging, om betrouwbare, transparante en veilige diensten te kunnen verlenen aan cliënten, patiënten, naasten en ondernemers en om digitaal weerbaar te zijn.

Parnassia Groep hanteert de volgende definitie voor informatiebeveiliging:
Informatiebeveiliging is het samenhangend geheel van preventieve, repressieve en herstelmaatregelen en ook procedures en processen welke de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen blijvend garanderen met als doel de continuïteit van de bedrijfsvoering en dienstverlening te waarborgen en de kans op en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken, om de beschikbaarheid, integriteit, vertrouwelijkheid en naleving wet- en regelgeving te kunnen waarborgen.

Doelstelling informatiebeveiliging- en privacybeleid

Het PG informatiebeveiliging- en privacybeleid is gericht op het continu borgen van de beveiliging van (persoons)gegevens.
Een optimum wordt onder andere bereikt door een zorgvuldige afweging van dreigingen, risico’s en voor relevante functies en niveaus informatiebeveiligingsdoelstellingen vast te stellen.

Het stelsel van beveiligingsmaatregelen heeft als doel om een blijvend niveau (NEN7510/ISO27001/AVG) van beveiliging te realiseren, met daarbij een blijvend bewustzijn voor het bestuur en alle personeelsleden.

Door een zorgvuldige borging Plan-Do-Check-Act cyclus (PDCA) via het Informatiebeveiliging Management Forum (IBMF) en het Informatie Security Management Systeem (ISMS) wordt het gewenste niveau van beveiliging ook op de langere termijn gecontinueerd en geborgd.

Het PG informatiebeveiliging- en privacybeleid omvat specifieke beleidsregels, de rol van het management hierin en de erkenning van deze beleidsregels door de betrokkenen.

Principes informatiebeveiliging- en privacybeleid

Parnassia Groep hanteert onderstaande principes voor informatiebeveiliging en privacy.

  1. De raad van bestuur en bestuurder Professionele Diensten bevorderen een veilige cultuur.
  2. Informatiebeveiliging en privacy zijn onderdeel van de Professionele Diensten en operationele (zorg)processen van Parnassia Groep.
  3. De raad van bestuur met de bestuurder Professionele Diensten controleren en evalueren.
  4. Informatiebeveiliging en privacy is de verantwoordelijkheid van iedereen.
  5. Informatiebeveiliging en privacy is onderdeel van risicomanagement.
  6. Risicomanagement en risk appetite zijn onderdeel van de besluitvorming van de organisatie.
  7. Informatiebeveiliging en privacy behoeven permanente aandacht in (keten)samenwerking.
  8. Verbetering komt voort door het constant toepassen van de Plan, Do, Check en Act cirkel waar continue verbeteren haar volle aandacht krijgt.

Reikwijdte informatiebeveiliging en privacybeleid

Het informatiebeveiliging- en privacybeleid geldt voor PG-informatie tijdens de hele levenscyclus in alle processen van de organisatie, ongeacht de toegepaste technologie voor opslag (ICT-systemen inclusief papieren dossiers en menselijke kennis) en of deze informatie intern of extern (via outsourcing of ketenpartners) wordt verwerkt. Het dekt dus ook aanvullende beveiligingseisen uit wetgeving af.
Het beleid beperkt zich niet alleen tot de ICT. Het heeft ook betrekking op de beveiliging van de fysieke omgeving, leveranciersrelaties, veilig personeel, et cetera. Al deze elementen raken de gehele organisatie: het politieke bestuur, personeelsleden, cliënten, patiënten of naasten, ondernemers, leveranciers en externe relaties.

Voor gegevensbescherming (privacy) en het naleven van de Algemene Verordening Gegevensbescherming (AVG art.24) geldt dit informatiebeveiligings- en privacy beleid ook voor een groot deel als kader voor het privacy beleid.

NEN7510 en ISO27001

Parnassia Groep is sinds eind 2023 NEN7510 en ISO27001 gecertificeerd.

De ISO27001 is internationale norm voor de opzet, bestaan en effectieve werking van informatieveiligheid. De NEN7510 bevat aanvullend op de ISO-beheersmaatregelen een verzameling extra beheersmaatregelen voor de zorg in Nederland.

In de AVG zijn de wettelijke regels ten aanzien van bescherming persoonsgegevens beschreven, waar iedereen zich aan moet houden. In de AVG is onder andere voorgeschreven dat persoonsgegevens dienen te worden voorzien van passende technische en organisatorische maatregelen.

Parnassia Groep is aangesloten bij het Z-CERT

Het Z-CERT is het expertisecentrum op het gebied van cybersecurity in de zorg en heeft specifieke kennis van hard- en software en medische technologie in de zorg en ondersteunt haar deelnemers op het moment dat ze worden getroffen door een incident.

Daarnaast biedt Z-CERT diverse diensten om de weerbaarheid van de sector op het gebied van cybersecurity te vergroten.