PinkRoccade Healthcare behaalt certificaat voor ISO 27017

Hosting en clouddiensten vormen een belangrijk deel van de dienstverlening die PinkRoccade Healthcare via PinkRoccade Cloud Solutions aanbiedt. Omdat steeds meer organisaties ervoor kiezen om hun applicaties met vertrouwelijke persoonsgegevens in onze Pink Private Cloud onder te brengen, hebben wij een nieuw certificeringstraject doorlopen. Het behaalde ISO-certificaat toont aan dat wij voldoen aan de beste informatiebeveiligingsmaatregelen voor clouddiensten. Lex Jansze, onze corporate information security officer, licht deze certificering toe en wat het voordeel is voor u als klant.

Wat is ISO 27017?

Lex Jansze: “ISO 27017 is een internationale norm voor de beveiliging van clouddiensten. Dit is een uitbreiding op de bekende ISO 27001-norm, waarvoor wij al meer dan 10 jaar gecertificeerd zijn. Clouddiensten vragen echter om specifieke maatregelen voor het beveiligen van informatie. Deze extra maatregelen voor het leveren en het afnemen van clouddiensten zijn in de ISO 27017-norm beschreven. ”

“Bijzonder is dat deze norm zich niet alleen richt op de aanbieders van clouddiensten, maar juist op de beveiliging van clouddiensten als geheel. Ook voor klanten van de clouddiensten worden specifieke aanwijzingen gegeven om samen met de leverancier te komen tot een optimale beveiliging van de gegevens in de cloud. In ISO 27017 wordt de relatie tussen een klant en de cloudleverancier nauwkeurig beschreven. Enerzijds wat een klant mag verwachten van de aanbieder en anderzijds welke informatie de leverancier moet communiceren aan de klant. De Autoriteit Persoonsgegevens raadt organisaties aan te voldoen aan deze norm, zodra zij clouddiensten gaan afnemen.”

Wat is de meerwaarde ten opzichte van ISO 27001 en NEN 7510?

Jansze: “Natuurlijk waren er met de ISO 27001 en de NEN 7510 al heldere normen op het gebied van informatiebeveiliging. Maar nu steeds meer organisaties van één of meerdere clouddiensten gebruik maken, wordt het steeds moeilijker om grip te houden op de dienstverlening van die cloudleveranciers. Het niet altijd duidelijk wat de cloudleverancier doet en wat de klant  nog zelf moet doen, om tot een adequaat beveiligde situatie te komen. Daarnaast vraagt het beheer van een clouddienst nu eenmaal specifieke maatregelen die in de ISO27001 en de NEN 7510 niet aan de orde zijn. Dat wij hier aan voldoen is een mooi resultaat van onze continue verbeteraanpak.”

Waarom is de communicatie over informatiebeveiliging zo belangrijk?

“De ISO 27017-norm benadrukt het belang van het duidelijk definiëren van de rollen en verantwoordelijkheden van de klant en de provider met betrekking tot informatiebeveiliging. Als klanten ervoor kiezen om systemen met medische en persoonsgegevens te hosten op onze infrastructuur, is het belangrijk dat zij op ons kunnen vertrouwen. Heldere informatie geven over onze dienstverlening en de beveiligingsmaatregelen die wij bieden om een adequaat veiligheidsniveau te realiseren is hier onderdeel van.”

“Maar we gaan uiteraard voorzichtig om met deze informatie, zodat we geen informatie verschaffen waardoor de beveiligingsmaatregelen juist in gevaar komen. Het vinden van een balans hierin is een uitdaging en deze certificering helpt daarbij. De certificering wordt afgegeven door een onafhankelijke partij, EY CertifyPoint, en elk jaar opnieuw tijdens een formele audit gecontroleerd”, aldus Jansze.

Wat zijn de voordelen voor de klant?

Jansze: “Als een organisatie wil overstappen naar de cloud zijn er vaak vragen over hoe zij invulling kunnen geven aan hun eigen verantwoordelijkheid op het gebied van informatiebeveiliging en privacy. Onze certificeringen vormen een goed fundament, waarop klanten kunnen voortbouwen om invulling te geven aan hun eigen verantwoordelijkheid.”

Onze certificeringen

PinkRoccade Healthcare is trots op het bezit van de volgende certificeringen:

• ISO 9001 (kwaliteit)
• ISO 27001 (informatiebeveiliging internationaal)
• NEN 7510 (informatiebeveiliging voor de zorgsector in Nederland)
• ISO 27017 (informatiebeveiliging voor clouddiensten)
• ISAE 3402 type II verklaring (audit over de werking van maatregelen)