Uitgangspunten

Bij de toepassing van informatiebeveiliging binnen CPM4Care worden de volgende uitgangspunten gehanteerd:
  1. CPM4Care streeft ernaar aantoonbaar te voldoen aan de norm NEN 7510, informatiebeveiliging in de zorg.
  2. CPM4Care voldoet aan alle van toepassing zijnde wet- en regelgeving, zoals daar zijn WPB en de AVG.
  3. Informatiebeveiliging is binnen de grenzen van het redelijke zo ingericht dat rechten van betrokkenen, met name Klanten (incl. haar medewerkers en cliënten) en Medewerkers, die voortvloeien uit wet- en regelgeving worden gerespecteerd en kunnen worden geëffectueerd.
  4. Beveiliging van informatie is een onderdeel van de algemene managementverantwoordelijkheden. Alle bedrijfsonderdelen en medewerkers hebben verantwoordelijkheden voor informatiebeveiliging toegewezen.
  5. Wanneer CPM4Care met externe partijen samenwerking(sverbanden) aangaat hetzij inhoudelijk, hetzij voor ontwikkeling of het beheer van de informatievoorziening dan wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden waar mogelijk schriftelijk vastgesteld en op de naleving wordt toegezien.
  6. Bij de aanname en uitdiensttreding en gedurende het dienstverband van eigen medewerkers wordt aandacht besteed aan de betrouwbaarheid van medewerkers en aan het waarborgen van de vertrouwelijkheid van informatie van CPM4Care en haar klanten.
  7. CPM4Care hanteert een actief bewustwordingsbeleid voor medewerkers en management op het gebied van informatiebeveiliging en privacy.
  8. CPM4Care gebruikt een set van richtlijnen en gedragsregels voor het voor het gebruik van informatievoorzieningen en hierop wordt toegezien.
  9. CPM4Care treft passende maatregelen voor de fysieke beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop die informatie is opgeslagen.
  10. CPM4Care treft passende maatregelen voor de beveiliging en het beheer van operationele – en communicatie voorzieningen. Maatregelen tegen kwaadwillige programmatuur (spam, phishing, virussen, spyware, etc) vormen hierbinnen een belangrijk onderdeel.
  11. Bij de implementatie van de oplossing van CPM4Care bij haar klanten is informatiebeveiliging een aandachtpunt, die is mede begrensd is en bepaald wordt door eisen en uitgangspunten die klanten stellen aan de informatiebeveiliging.
  12. In samenhang met het geïmplementeerde Information Security Management System (ISMS) waarborgt de uitvoering van dit beleidsplan een gestructureerde aanpak van en continue verbeteracties voor Informatiebeveiliging. Als onderdeel van het ISMS kan door interne en externe partijen worden toegezien op de naleving van het informatiebeveiligingsbeleid.
  13. De uitwerking van het informatiebeveiligingsbeleid resulterend in o.a. maatregelen ,toezicht, controls en processen vindt op een pragmatische wijze plaats gegeven de beperkte omvang van CPM4Care met een aantal werknemers van 14.
  14. CPM4Care stelt de benodigde mensen en middelen beschikbaar om haar resources en bedrijfsvoering te kunnen beveiligen.

Doel

Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen en controls om (gevoelige) informatie van CPM4Care en haar klanten te beschermen en te waarborgen dat CPM4Care voldoet aan relevante wet- en regelgeving.

CPM4Care streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat CPM4Care weet welke maatregelen genomen zijn en dat er een SMART-planning van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in de PDCA-cyclus.

In samenhang met het geïmplementeerde Information Security Management System (ISMS) waarborgt de uitvoering van dit beleidsplan een gestructureerde aanpak van en continue verbeteracties voor Informatiebeveiliging.