AcouSoft NEN 7510 gecertificeerd
Op vrijdag 25 november 2017 hebben wij als aanvulling op de al aanwezige SOC2 certificaat onze laatste audit voor het begeerde NEN 7510 certificaat ook met succes gehaald. Door het behalen van dit certificaat hebben wij aan onafhankelijke deskundigen kunnen aantonen dat AcouSoft op het gebied van informatie en data beveiliging, haar zaakjes goed op orde heeft. Het NEN 7510 certificaat kan gezien worden als een extra aanvulling op de internationale ISO 27001 certificering en is met name toegepast voor de Nederlandse Zorg industrie.
Om het NEN 7510 te kunnen behalen, moet het bedrijf op een groot aantal punten voldoen. Zo werden we beoordeeld op documentatie, Security Management, ICT Infrastructuur, Support, Helpdesk en Softwareontwikkeling.
Met betrekking tot de wet op bescherming persoonsgegevens (AVG), die op dit moment vaak in veel correspondentie aangehaald wordt, wordt de NEN 7510 ook vaak genoemd. Zo is de Nen-norm een Nederlandse norm voor informatiebeveiliging voor zorg. Het is een norm waarin alle aspecten van databeveiliging onder de loep worden genomen. De AVG (Algemene verordening gegevensbescherming) is een Europese norm, waarbij organisaties die met persoonsgegevens werken meer verplichtingen krijgen en waarbij de nadruk meer ligt om te kunnen aantonen dat zij zich aan de wet houden.
U als zorgverlener bent zelf hoofdverantwoordelijk voor het naleven van de AVG. U kunt zich dan niet volledig beroepen op de beveiligingsstandaarden van de leverancier (AcouSoft).
Waarom een NEN-certificering?
Zoals bekend vinden wij dat wij als AcouSoft een verlenging zijn van uw organisatie. Dit geldt zeker wanneer u als organisatie uw data aan ons heeft toevertrouwd. Wij vinden het dan onze verantwoording om goed voor uw data te zorgen. M.a.w. het data managementsysteem moet goed op orde zijn. Een NEN7510 certificaat is daar het bewijs van. Wat betekend dat voor u als klant van AcouSoft. Met betrekking tot de database onderscheiden wij 3 typen klanten, waarbij het certificaat voor alle drie een andere uitwerking heeft.
Zo onderscheiden wij:
1) Klanten die hun database zelf beheren (database staat op een eigen PC in de winkel)
Indien u zich moet certificeren dient u alles zelf te regelen. Databeveiliging, Dataintergriteit en kunnen aantonen dat u alles op orde heeft is volledig uw eigen verantwoordelijkheid. In dit opzicht zijn wij slechts softwareleverancier.
2) Klanten die hun data elders dan bij AcouSoft onderbrengen
Vraag bij deze providers na of zij ook gecertificeerd zijn. (Dit kan een ISO 27001 of een NEN 7510 certificaat zijn). Is het antwoord neen, dan is ons advies ervoor zorg te dragen dat zij dit dan alsnog doen, of u dient op zoek te gaan naar een nieuwe provider die wel de benodigde certificaten heeft. Ook hier geldt dat AcouSoft ten alle tijden een softwareleverancier is.
3) Klanten die hun database in de Cloud van AcouSoft hebben geplaatst.
Zoals eerder vermeld, blijft u als zorgverlener hoofdelijk aansprakelijk. Op het gebied van datamanagement kunt u verwijzen naar AcouSoft. Immers uw data staat bij ons. U kunt daar zelf ook niet bij.
Als extra zullen wij In het eerste kwartaal van het nieuwe jaar voor alle klanten die hun database bij AcouSoft gehost hebben, een Portal openstellen, waarbij u als klant ten alle tijden de status van uw data kunt meten.
Betekend dit er vanuit een gecertificeerde instantie nooit meer een datalek kan ontstaan.
Helaas het antwoord hierop is NEEN. Maar het geheel is wel zodanig beschermd dat het voor (potentiele) inbrekers wel heel erg moeilijk wordt gemaakt. Ook zullen wij op 22 januari samen met een collega softwarebedrijf voor de optiek een congres gaan organiseren, waarin we het begrip AVG en de NEN voor u nog eens op een rijtje gaan zetten. Mocht u na het lezen van dit stuk, vragen en of opmerkingen hebben, kunt u ten alle tijden contact opnemen met Hans Schneider. Ik zal u graag verder van dienst willen en kunnen zijn.