Technische aspecten

Versleutelen van persoonsgegevens

Versleuteling van gegevens wordt – zeker als het gaat om het beveiligen van persoonsgegevens – vaak genoemd als beveiligingsmaatregel. Versleuteling zorgt ervoor dat gegevens niet leesbaar zijn, ook al heeft iemand er toegang toe. In plaats van een leesbare tekst ziet iemand bijvoorbeeld ‘EISErobOScCSXFBx’. Om het bericht te kunnen ontsleutelen is een sleutel nodig die alleen bekend is bij degenen die de informatie mogen inzien en/of wijzigen. Het versleutelen van gegevens voorkomt ook dat deze kunnen worden gewijzigd door onbevoegden.

Dataminimalisatie

Dataminimalisatie houdt in de kern in dat niet meer persoonsgegevens dan nodig worden verwerkt. Met dataminimalisatie moet worden voorkomen dat partijen een bulk aan persoonsgegevens verwerken, terwijl zij niet alle gegevens nodig hebben. In de praktijk betekent dit voor organisaties dat zij iedere verwerking van persoonsgegevens kritisch moeten beoordelen (en dat kost veel tijd en geld). Maak daarom als organisatie onderscheid tussen de persoonsgegevens die je als organisatie daadwerkelijk nodig hebt en persoonsgegevens die wellicht handig zijn, maar niet noodzakelijk zijn voor het doel van de verwerking.

Back-ups

Een back-up van data en systemen is in de huidige tijd onmisbaar. Toch blijkt uit recent onderzoek dat slechts een klein deel van de organisaties in de Benelux nog altijd geen enkele back-up heeft. Dit betekent dat de data van betreffende organisatie niet is beschermd en dat bij een incident geen mogelijkheid bestaat om terug te vallen op kwijtgeraakte data.

Ook is het belangrijk om als organisatie na te denken over de herstelmogelijkheden. De ware data-explosie van de afgelopen jaren heeft ertoe geleid dat back-ups groter en groter zijn geworden. De plaatsen waar de data is opgeslagen zijn echter vaak hetzelfde gebleven. Dit kan ertoe leiden dat het herstellen van systemen op basis van een back-up dagen of zelfs weken kan duren.

Meerfactorauthenticatie (2FA)

Sommige informatie is zo gevoelig dat er extra beveiliging nodig is, bijvoorbeeld door meerfactorauthenticatie (hierna: 2FA). 2FA maakt gebruik van meerdere technologieën om de identiteit van een gebruiker te verifiëren, alleen een gebruikersnaam en wachtwoord is niet voldoende. 2FA combineert minimaal twee afzonderlijke factoren. Zo kan bijvoorbeeld een combinatie gelegd tussen iets dat je weet (gebruikersnaam en wachtwoord), hebt (mobiele telefoon) en wie iemand is (bijv. vingerafdruk/gezichtsherkenning).

Monitoring en logging

Een andere beveiligingsmaatregel is het bijhouden van gebeurtenissen in cliënten- en patiëntendossiers van zorginstellingen. Dit wordt ook wel logging genoemd. In de NEN 7510 en 7513 is vastgelegd waar logging en het monitoren van de loggegevens aan moet voldoen. Zo moet je logbestanden van gebeurtenissen in de dossiers registreren, bewaren en regelmatig beoordelen.

Richtlijnen inzake gebruik ICT-hulpmiddelen, zoals versleutelde USB-sticks en beveiligde opslagplekken

In de NEN 7510 staat dat de organisatieleiding moet zorgen dat personeelsleden en andere gebruikers richtlijnen ontvangen waarin wordt aangegeven wat van hen in het kader van informatiebeveiliging wordt verwacht. Stel daarom als zorginstelling richtlijnen vast voor het gebruik van de ICT-hulpmiddelen.