Uitgangspunten

Bij de toepassing van informatiebeveiliging binnen CPM4Care worden de volgende uitgangspunten gehanteerd:
  1. CPM4Care streeft ernaar aantoonbaar te voldoen aan de normen ISO 27001 en NEN 7510 versie 2017, informatiebeveiliging in de zorg en heeft aandacht voor de zorgspecifieke aandachtpunten rekening houdend met hetgeen is beschreven bij punt 2. 
  2. CPM4Care is geen zorgorganisatie, die cliënten zorgdiensten levert. Medewerkers van CPM4Care, consultants en support medewerker, hebben bij de klanten wel toegang tot bedrijfskritische gegevens waaronder ook zorginformatie. Deze toegang is noodzakelijk voor de uitvoering van de werkzaamheden die gericht zijn op het verwerken van die gegevens tot management informatie. Informatiebeveiliging wordt opgezet vanuit de risicobeoordeling van de organisatie, die jaarlijks herijkt wordt.
  3. CPM4Care verwerkt in opdracht van haar klanten zorginformatie, zie ook punt 2. De klanten van CPM4Care zijn verantwoordelijk voor het verkrijgen van goedkeuring van haar cliënten voor het verwerken van de zorginformatie door CPM4Care.
  4. CPM4Care voldoet aan alle van toepassing zijnde wet- en regelgeving, zoals daar zijn WPB en de AVG.
  5. Informatiebeveiliging is binnen de grenzen van het redelijke zo ingericht dat rechten van betrokkenen, met name Klanten (incl. haar medewerkers en cliënten) en Medewerkers, die voortvloeien uit wet- en regelgeving worden gerespecteerd en kunnen worden geëffectueerd.
  6. Beveiliging van informatie is een onderdeel van de algemene managementverantwoordelijkheden. Alle bedrijfsonderdelen en medewerkers hebben verantwoordelijkheden voor informatiebeveiliging toegewezen.
  7. Wanneer CPM4Care met externe partijen samenwerking(sverbanden) aangaat hetzij inhoudelijk, hetzij voor ontwikkeling of het beheer van de informatievoorziening dan wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden waar mogelijk schriftelijk vastgesteld en op de naleving wordt toegezien.
  8. Bij de aanname en uitdiensttreding en gedurende het dienstverband van eigen medewerkers wordt aandacht besteed aan de betrouwbaarheid van medewerkers en aan het waarborgen van de vertrouwelijkheid van informatie van CPM4Care en haar klanten.
  9. CPM4Care hanteert een actief bewustwordingsbeleid voor medewerkers en management op het gebied van informatiebeveiliging en privacy.
  10. CPM4Care gebruikt een set van richtlijnen en gedragsregels voor het voor het gebruik van informatievoorzieningen en hierop wordt toegezien.
  11. CPM4Care treft passende maatregelen voor de beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop die informatie is opgeslagen en de wijze waarop (privacygevoelige) gegevens getransporteerd mogen worden.
  12. CPM4Care treft passende maatregelen voor de beveiliging en het beheer van operationele – en communicatie voorzieningen. Maatregelen tegen kwaadwillige programmatuur (spam, phishing, virussen, spyware, etc.) vormen hierbinnen een belangrijk onderdeel.
  13. Bij de implementatie van de oplossing van CPM4Care bij haar klanten is informatiebeveiliging een aandachtspunt, die mede begrensd is en bepaald wordt door eisen en uitgangspunten die klanten stellen aan de informatiebeveiliging.
  14. In samenhang met het geïmplementeerde Information Security Management System (ISMS) waarborgt de uitvoering van dit beleidsplan een gestructureerde aanpak van en continue verbeteracties voor Informatiebeveiliging.
  15. Als onderdeel van het ISMS kan door interne en externe partijen worden toegezien op de naleving van het informatiebeveiligingsbeleid.
  16. De uitwerking van het informatiebeveiligingsbeleid resulterend in o.a. beheersmaatregelen, toezicht, controls en processen vindt op een pragmatische wijze plaats gegeven de beperkte omvang van CPM4Care met een aantal werknemers van 14.
  17. CPM4Care stelt de benodigde mensen en middelen beschikbaar om haar resources en bedrijfsvoering te kunnen beveiligen.   

De CPM4Care Functionaris Gegevensbescherming is bereikbaar op fg@cpm4care.nl.

Doel

Dit informatiebeveiligingsbeleid (IB-beleid) is het kader voor passende technische en organisatorische maatregelen en controls om (gevoelige) informatie van CPM4Care en haar klanten te beschermen en te waarborgen dat CPM4Care voldoet aan relevante wet- en regelgeving.

CPM4Care streeft er naar om ‘in control’ te zijn en daarover op professionele wijze verantwoording af te leggen. In control betekent in dit verband dat CPM4Care weet welke maatregelen genomen zijn en dat er een SMART-planning van de maatregelen die nog niet genomen zijn en dat dit geheel verankerd is in de PDCA-cyclus.

In samenhang met het geïmplementeerde Information Security Management System (ISMS) waarborgt de uitvoering van dit beleidsplan een gestructureerde aanpak van en continue verbeteracties voor Informatiebeveiliging.