IT aangelegenheden
IT
Toelichting
In de memo “Svz informatiebeveiliging Accolade v2024.T3” en voorgaande edities hebben we een beeld gegeven van informatiebeveiliging bij Accolade vanaf 2018 tot januari 2025. Deze memo beschrijft de ontwikkelingen op het gebied van informatiebeveiliging bij Accolade vanaf september 2024 tot en met heden en geeft een vooruitblik van de ontwikkelingen voor de komende periode.
Terugblik afgelopen periode
Op het gebied van informatiebeveiliging zijn afgelopen periode onder andere de volgende stappen genomen:
- We hebben een network-assessment door Claranet uit laten voeren op onze Azure omgeving (inclusief een hertest van de bevindingen uit het eerdere onderzoek van KPN Security uit 2023).
- Deel 2 van het informatiebeveiligingsbeleid is verder uitgewerkt.
- Er is een volledige backup-restore test uitgevoerd.
- Er is een oefening crisismanagement uitgevoerd voor de crisisorganisatie.
- Het bedrijfscontinuïteitsplan met het scenario voor cyberaanvallen is getoetst.
- Er heeft een themasessie over gegevensclassificatie en recordmanagement plaats gevonden met key-users van MS365.
- Er is verkenning naar passendheid met de partij Flow uitgevoerd op basis van ons pakket van eisen geschreven voor de selectie van cyber en privacy awareness dienstverlening.
- Er is een poging tot een CEO-aanval afgeslagen en maatregelen zijn genomen voor eventuele restrisico’s.

Er zijn in totaal 15 bevindingen gedeeld. Alle 12 bevindingen in onderdelen die door Accolade worden beheerd zijn inmiddels geheel afgehandeld. Er zijn drie bevindingen (1 hoog, 1 middel en 1 laag) die door leverancier Aareon moeten worden opgevolgd. Deze is hier van op de hoogte. Deze bevindingen kunnen pas worden verholpen zodra er voor de betreffende softwareonderdelen een nieuwe versie door deze leverancier wordt aangeboden. In de tussentijd zijn er door Accolade passende maatregelen genomen waardoor de beschreven risico’s zijn geminimaliseerd of volledig gemitigeerd.
Vooruitblik de komende periode
De komende periode pakken we de volgende onderwerpen op:
- Deel 2 van het informatiebeveiligingsbeleid wordt per deelproces ingevuld met de verschillende procesverantwoordelijke/managers, tijdens het MT behandeld en tijdens het DO vastgesteld. Hierbij wordt “pas toe of leg uit ”-methode met BIC 4.0 als uitgangspunt toegepast.
- We maken een GAP-analyse tussen het nieuwe beleid en de huidige werkwijze.
- We werken de documentatie van de volledige backup-restore test uit.
- We maken afspraken met onze infra-dienstverlener zodat de ISO/CIS-benchmark in onze Azure omgeving via een PDCA-cyclus wordt onderhouden.
- We onderzoeken de mogelijkheden voor dienstverlening rond Incident Response in navolging van het besluit van de directie op het voorstel over cyberverzekeringen.
- We voeren een pilot uit voor de inzet van wachtwoordloos inloggen met gebruik van passkeys en maken een implementatieplan voor de inzet hiervan in productie
- We creëren de voorwaarden voor het veilig gebruik van Microsoft Copilot 365 door onder andere vertrouwelijkheidslabels en gegevensverliesbeleid te implementeren binnen de MS365 omgeving.
- Eigenaarschap en verantwoordelijkheid van processen, applicaties en daarin liggende data wordt opnieuw vastgelegd om daarmee verwachtingen duidelijk te maken en awareness verder invulling te kunnen geven.
- Er wordt verder invulling gegeven aan een programma structurele educatie van medewerkers, om kennis op het gebied van informatiebeveiliging en privacy in kaart te brengen, op het noodzakelijke niveau te brengen en op dat niveau te houden.
Conclusie
Met deze invulling van informatiebeveiliging zijn we ervan overtuigd dat Accolade in redelijkheid doet wat er vanuit haar zorgplicht van haar verwacht wordt. Het volledig uitsluiten van enig risico in deze is onmogelijk. Daarom moeten we blijven investeren in dit onderwerp.