De dag van de privacy, een dag waarop we niet alleen als gebruikers moeten kijken naar de beveiliging van onze informatie, maar ook naar de organisatie waar we werken. Met wat voor soort gegevens heeft jouw organisatie te maken? En hebben jullie de nodige protocollen een maatregelen in de arm genomen om deze gegevens te beschermen? Elk jaar op 28 januari is het de Europese Dag van de Privacy waarbij we weer even stil kunnen staan bij dit soort vraagstukken. Ook wij als Qconferencing staan hierbij stil, samen met Pieter Peletier, CSO Zorg.
Verbeteren, verbeteren, verbeteren
Qconferencing draagt al een aantal jaar het certificaat ISO 27001. ISO 27001 is een managementsysteem voor de beveiliging van informatie binnen een organisatie. Pieter: “Als je ISO gecertificeerd bent, neem je als bedrijf een stelsel van maatregelen aan die je invoert. Deze maatregelen blijf je continu verbeteren en de focus is de risico’s zoveel mogelijk te beperken. Je kijkt dan naar beschikbaarheid, betrouwbaarheid en de veiligheid van alle informatie in je bedrijf”.
Voor de bescherming van persoonsgegevens bestaat er sinds 2018 overal in Europa dezelfde wetgeving; de AVG. “ISO is geen onderdeel van de AVG, maar als je ISO gecertificeerd bent, heb je met wat specifieke maatregelen ook je AVG netjes op orde”, aldus Pieter. De AVG is puur de wetgeving die gericht is op de bescherming van persoonsgegevens. Pieter: “Daarbij gaat het er niet alleen om dat je bedrijf netjes en veilig met persoonsgegevens omgaat, maar dat ze deze gegevens ook weer kunnen verwijderen als je dat zou willen. Een bedrijf moet kunnen garanderen dat ze je gegevens terug kunnen vinden in hun informatiesystemen.”
Versleutelde gesprekken
Qconferencing heeft dus het ISO 27001 certificaat. Dit is nodig, omdat we ook veel zaken doen in de medische markt en daar is het een vereiste dat je dit certificaat hebt. Het gaat dan ook al snel over informatie van patiënten en dat ligt nog eens extra gevoelig. Pieter: “Wij hebben de applicatie FaceTalk die bedoeld is voor gesprekken tussen artsen en patiënten. Hierbij is het belangrijk dat er niemand mee kan kijken en luisteren. Zo’n gesprek moet dus helemaal versleuteld zijn en mag ook niet worden opgeslagen. Maar het gaat verder dan de gesprekken. Om een gesprek te kunnen starten, moeten we de e-mail gegevens en namen van de patiënt en de arts hebben.”
Dit valt natuurlijk onder de AVG wetgeving, maar in dit geval ook binnen de scope van de ISO 27001. Binnen Qconferencing hebben we een stelsel van maatregelen die getoetst zijn aan de normen van de ISO 27001. “Hierbij kijk je naar alle aspecten van je informatiemanagement. Dus hoe categoriseer je informatie, voldoen al je systemen aan de juiste beveiliging, zijn al je collega’s bewust om op de juiste manier met informatie om te gaan, enzovoort. Zo is er dus een breed palet aan maatregelen die je als organisatie moet nemen om uiteindelijk, aan de ISO standaarden te voldoen en om het certificaat te kunnen behouden, waarbij het niet enkel om de AVG en persoonsgegevens gaat”, aldus Pieter.
Tips en ideeën
Pieter: “Wij hebben 5 jaar geleden het ISO 27001 certificaat behaald. We zijn dus nu, met voorbereiding erbij, zo’n 6 jaar hiermee bezig. En je ziet dat de continue verbetering in hoe je met informatie omgaat en de bewustwording ook echt gegroeid is en je daar dus stappen in blijft maken. Dat is dan ook de bedoeling van het systeem; je zet een stelsel van maatregelen neer die je regelmatig bijhoudt door de Plan-Do-Check-Act-cyclus. Het lijkt in eerste instantie een beetje een papieren tijger, maar het blijkt in de praktijk bij ons een systeem te zijn waarmee je je bedrijfsprocessen daadwerkelijk verbetert en bewuster inricht. Dus mijn advies; ga aan de ISO certificering.”
Tips of advies nodig? Neem gerust contact op!
Comments are closed.