Spring naar inhoud

IT aangelegenheden

IT

Toelichting
In de memo “Svz informatiebeveiliging Accolade v2024.T2” en voorgaande edities hebben we een beeld gegeven van informatiebeveiliging bij Accolade vanaf 2018 tot september 2024. Deze memo beschrijft de ontwikkelingen op het gebied van informatiebeveiliging bij Accolade vanaf september 2024 tot en met heden en geeft een vooruitblik van de ontwikkelingen voor de komende periode.

Terugblik afgelopen periode
Op het gebied van informatiebeveiliging zijn afgelopen periode onder andere de volgende stappen genomen:

  • Deel 1 van het informatiebeveiligingsbeleid besproken tijdens het MT en tijdens het DO vastgesteld.
  • Deel 2 van het informatiebeveiligingsbeleid is verder uitgewerkt.
  • Er is een training crisismanagement uitgevoerd voor de crisisorganisatie (inclusief 2e ring) in de vorm van een table-top oefening.
  • Er is een DPIA en pentest uitgevoerd op de op de nieuwe Embrace web-applicaties.
  • Er heeft een themasessie over datahygiëne plaats gevonden met key-users van MS365.
  • De SOC-dienstverlening is geïmplementeerd en het functioneren hiervan is geëvalueerd.
  • Er is een pakket van eisen geschreven voor de selectie van cyber en privacy awareness dienstverlening.
  • Er is een gedeeltelijke backup-restore test uitgevoerd in de Azure omgeving van Accolade.

Pentest Embrace web-applicaties
In opdracht van Accolade is door de cyberspecialisten Claranet een penetratietest op de nieuwe web-applicaties die door Embrace zijn opgeleverd uitgevoerd. De pentest is van 30 december 2024 tot 8 januari 2025 uitgevoerd. De volledige rapportage van deze test wordt in week 5 van 2025 verwacht. Er zijn 10 bevindingen gevonden waarvan 8 met de classificatie Laag en 2 met de classificatie Middel. We hebben deze bevindingen bij Embrace gelegd en verwachten voor livegang van deze web-applicaties een planning voor de opvolging van de bevindingen. Gezien er geen Kritieke of Hoge bevindingen zijn zal dit de livegang van het systeem niet in de weg staan.

DPIA Embrace
Bij veranderingen met een grote impact waarbij er een risico voor persoonsgegevens van toepassing is voert Accolade een “Data protection impact assessment” (DPIA) uit. De implementatie van de Embrace software voldoet aan deze criteria en derhalve is een DPIA uitgevoerd op Embrace. Hieronder een korte samenvatting van de DPIA:

Uit de interviews en aanvullende navraag blijkt dat het risico van de werkvloer primair op het Woonpunt ligt. We stellen vast dat de inrichting van Embrace is met het oog op Privacy by design gebeurd.Signaleringen op klantniveau reiken niet verder dan hetgeen nodig is om de klant (huurder) met het juiste team in verbinding te stellen of de vraag van de huurder of externe direct te beantwoorden. Er is via Embrace geen toegang tot verdere inhoudelijke gevoelige informatie. Processen waarbij er sprake is van het muteren van bestaande persoonsgegevens zijn afgevangen via selfservice scenario’.Op het gebied van Privacy en Security – awareness zijn echter nog wel flinke stappen te zetten. Het goede nieuws is dat er goede bereidheid is om hierin verbetering aan te brengen. We hebben hierover contact met de afdeling om hierin als privacy- en security officer behulpzaam te zijn.

Vooruitblik de komende periode
De komende periode pakken we de volgende onderwerpen op:

  • Deel 2 van het informatiebeveiligingsbeleid wordt per deelproces ingevuld met de verschillende procesverantwoordelijke/managers, tijdens het MT behandeld en tijdens het DO vastgesteld. Hierbij wordt “pas toe of leg uit ”-methode met BIC 4.0 als uitgangspunt toegepast.
  • We maken een GAP-analyse tussen het nieuwe beleid en de huidige werkwijze.
  • Het bedrijfscontinuïteitsplan met het scenario voor cyberaanvallen wordt getoetst met een volledige calamiteitenoefening begin 2025.
  • We voeren een volledige backup-restore test uit in onze Azure omgeving en documenteren dit.
  • We maken afspraken met onze infra-dienstverlener zodat de ISO/CIS-benchmark in onze Azure omgeving via een PDCA-cyclus wordt onderhouden.
  • We implementeren versie 2022 van de ISO 27001 best practices binnen de Azure Cloud ter vervanging van versie 2013 zodra Microsoft deze beschikbaar stelt.
  • We onderzoeken de mogelijkheden voor dienstverlening rond Incident Response in navolging van het besluit van de directie op het voorstel over cyberverzekeringen.
  • We herhalen het cybersecurity-assessment op onze Azure omgeving zodra Windows 11 versie 24H2 is geïmplementeerd.
  • We voeren een pilot uit voor de inzet van wachtwoordloos inloggen met gebruik van passkeys en maken een implementatieplan voor de inzet hiervan in productie
  • We creëren de voorwaarden voor het veilig gebruik van Microsoft Copilot 365 door onder andere vertrouwelijkheidslabels en gegevensverliesbeleid te implementeren binnen de MS365 omgeving.
  • Eigenaarschap en verantwoordelijkheid van processen, applicaties en daarin liggende data wordt opnieuw vastgelegd om daarmee verwachtingen duidelijk te maken en awareness verder invulling te kunnen geven.
  • Er wordt verder invulling gegeven aan een programma structurele educatie van medewerkers, om kennis op het gebied van informatiebeveiliging en privacy in kaart te brengen, op het noodzakelijke niveau te brengen en op dat niveau te houden

Conclusie
Met deze invulling van informatiebeveiliging zijn we ervan overtuigd dat Accolade in redelijkheid doet wat er vanuit haar zorgplicht van haar verwacht wordt. Het volledig uitsluiten van enig risico in deze is onmogelijk. Daarom moeten we blijven investeren in dit onderwerp.