Informatiebeveiliging goed in handen?

Door de groei van het aantal applicaties, gecombineerd met een exponentiële groei van het aantal gegevensuitwisselingen intern, maar ook met andere (zorg)organisaties, is regie op een goede informatievoorziening niet meer te vergelijken met jaren geleden. Tegenwoordig wil iedereen datagedreven werken. Er wordt niet voor niets gezegd:

Onze gegevens, dat is ons nieuwe goud

En als dat zo is, hoe bescherm je dat goud dan afdoende? Want elke dag komen en gaan er ook nog eens vele gebruikers. Elke gebruiker krijgt zijn eigen toegang tot bepaalde applicaties, want niet iedereen mag in elke applicatie. En als je dan wel in een applicatie mag, mag je weer niet alle gegevens zien. En welke mag je wel en niet zien, is dat strikt duidelijk in jullie organisatie? Hebben jullie een eenduidig, transparant en door iedereen gekend beleid hiervoor? Ga hier maar aanstaan. Voor je het weet voel jij je zo’n rondrennende circusartiest die alle bordjes draaiend moet houden.

Stress

En je hebt hier en daar ook stress, want je wilt ook niet dat jullie goud op straat komt te liggen, je wilt geen ruzie met de AP (autoriteit persoonsgegevens) of met de FG (functionaris gegevensbescherming).

Dus ja, hoe zorg je dat anderen er niet met jouw goud vandoor gaan? Dat is al snel iets makkelijker als je vaker met dit bijltje hebt gehakt en weet waar je op moet letten. Maar elk begin is moeilijk, dus dat geldt ook voor het effectief, veilig en betrouwbaar uitgeven van toegang tot applicaties en autorisaties binnen die applicaties. Met een mooi woord wordt dit provisioning genoemd. En dit staat voor het proces van het verstrekken van faciliteiten en permissies aan een persoon. De term is afkomstig van het Engelse werkwoord to provide, ofwel verstrekken of voorzien (van).

Autorisatiebeheer

Inmiddels is hier allerlei software voor, die je ook weer goed moet kennen om het goed te kunnen gebruiken. Om dit goed te kunnen doen zijn bedrijfsafspraken nodig over hoe je autorisaties uitgeeft voor welke applicatie en welke rechten je dan hebt in die applicatie. In dit licht wordt ook de term autorisatiematrix veel gebruikt en toegepast. Om de efficiëntie van de werkwijze voor het autorisatiebeheer te verhogen worden vaak rechten toegekend aan groepen, zodat niet elke individuele autorisatie hoeft te worden beheerd. Een term voor deze wijze van beheer is rol gebaseerde autorisatie.

Integraal

Wij hakken dagelijks met dit bijltje en willen onze kennis, zoals altijd, graag met onze klanten - zorgorganisaties - delen. In onze bibliotheek hebben wij tal van goede praktijken die gaan over hoe je effectief en goed gebruik kunt maken van veilige autorisatie-uitgifte. Hoe je daarin tegelijkertijd snel kan werken en daarmee ook al je goud goed beheert. Wij doen dit vanuit een integrale visie op informatiehuishouding, functioneel beheer en informatieveiligheid. Dit zijn geen gescheiden werelden. Je kunt immers niet jouw informatiehuishouding op orde brengen als je niet direct ook naar informatieveiligheid kijkt. En andersom kan je niet met informatieveiligheid bezig zijn als je jouw informatiehuishouding niet daarop aanpast.

Wil je nu jouw IB-teugels iets beter in de hand houden? Laten wij dan even bijpraten, online is dat zo geregeld. Wij laten je zien wat wij eerder hebben gedaan, hoe wij denken dat je het kunt aanpakken. En voor je het weet vliegen de gegevens door jouw applicatielandschap en door de hele regio. En dat moet ook, want het is zo maar al 2025. Dan wisselen wij allemaal gegevens elektronisch uit, zie het IZA en zie de Wegiz. En daarin spelen de informatiestandaarden ook een essentiële rol. Dus daar moet je nu al mee beginnen!

Wij helpen je graag de IB-teugels in de hand te houden hierbij. Meer weten? Neem contact met ons op.

14 december 2022