Security Statement

Ksyos streeft naar de hoogste standaarden in patiëntenzorg, veiligheid en innovatie. Om deze ambitie waar te maken, hanteert onze organisatie een managementsysteem voor informatiebeveiliging conform ISO27001 en NEN7510 dat is ontworpen om zowel de kwaliteit van onze processen en diensten als de informatiebeveiliging van patiëntgegevens en operationele systemen te waarborgen.

Doelstellingen

Onze informatiebeveiligingsdoelstelling zijn gericht op drie kerngebieden:

  • Patiëntveiligheid
  • Continuïteit van de dienstverlening
  • Imago van en vertrouwen in Ksyos

Middels informatiebeveiliging zorgen we voor:

  • Beschikbaarheid: Het moet beschikbaar zijn wanneer dat nodig is.
  • Integriteit: Het moet accuraat en volledig zijn.
  • Vertrouwelijkheid: Het moet enkel beschikbaar of bekend zijn voor bevoegde personen of entiteiten.

Organisatie, rollen en verantwoordelijkheden

  • De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid;
  • De security officer is verantwoordelijk voor beheer en onderhoud van het managementsysteem voor informatiebeveiliging
  • De privacy officer is verantwoordelijk voor de naleving van wettelijke eisen op het gebied van privacy;

Risicomanagement

Binnen Ksyos voeren we risicosessies uit om altijd op de hoogte te blijven van onze risico’s op het gebied van informatiebeveiliging en privacy zodat we de juiste maatregelen kunnen nemen om de risico’s terug te brengen naar een acceptabel niveau.

Technische en Organisatorische maatregels

We hebben de volgende Technische en Organisatorische maatregelen genomen:

  • Fysieke toegangsbeveiliging is ingericht zodat onbevoegden geen toegang tot het pand kunnen krijgen;
  • Maatregelen voor logische toegangsbeveiliging zijn genomen;
  • Toegang tot systemen en data is functie specifiek, ingericht via need to know en least privilege en beveiligd met Multi Factor Authenticatie;
  • Al het personeel beschikt over een Verklaring Omtrent Gedrag;
  • We werken met een clean desk/clear screen beleid;
  • Elke medewerker wordt getraind op security awareness, daarnaast wordt regelmatig een security awareness sessie gehouden om op de hoogte te blijven van de laatste dreigingen;
  • Medewerkers zijn gebonden aan geheimhouding tijdens en na dienstverband;
  • Met leveranciers zijn (verwerkers)overeenkomsten en SLA’s afgesloten met afspraken over informatiebeveiliging en privacy;
  • Back-ups worden gemaakt en regelmatig getest;
  • We hebben een continuïteitsplan wat regelmatig wordt getest;
  • Bedrijfsmiddelen ontvangen continu updates en zijn beschermd met versleuteling;
  • Data wordt geclassificeerd om te zorgen dat ze een passend beschermingsniveau krijgen.
  • Data wordt, wanneer het niet meer nodig is, verwijderd;
  • Regelmatig vinden PENtesten plaats;
  • We voeren controles uit op de opzet, bestaan en werking van de getroffen maatregelen;

Informatiebeveiligingsincidenten

Ksyos heeft een procedure beveiligingsincidenten waarin beschreven staat hoe incidenten adequaat op te pakken.

Auditing

Het is belangrijk om te controleren dat de genomen maatregelen het juiste effect hebben. Daarom vindt minimaal 2 keer per jaar een audit plaats om te bepalen of we voldoen aan de ISO27001 en NEN7510. De audit wordt uitgevoerd door externe partij KIWA.

Contactgegevens

Bij vragen over dit security statement kan contact opgenomen worden met security@ksyos.nl