IT aangelegenheden
IT
Toelichting
In de memo “Svz informatiebeveiliging Accolade v2025.T2” en voorgaande edities hebben we een beeld gegeven van informatiebeveiliging bij Accolade vanaf 2018 tot 10 september 2025. Deze memo beschrijft de ontwikkelingen op het gebied van informatiebeveiliging bij Accolade vanaf de vorige memo tot en met heden en geeft een vooruitblik van de ontwikkelingen voor de komende periode.
Terugblik afgelopen periode
Op het gebied van informatiebeveiliging zijn afgelopen periode onder andere de volgende stappen genomen:
- Deel 2 van het informatiebeveiligingsbeleid is afgerond. Hierbij is “pas toe of leg uit ”-methode met BIC 4.0 als uitgangspunt toegepast.
- Er is een GAP-analyse gemaakt voor de verschillen tussen het nieuwe informatiebeveiligingsbeleid en de huidige werkwijze.
- Er is een onderzoek uitgevoerd naar het mogelijkheden voor het beter beveiligen van de Tobias 2012 omgeving.
- Er zijn met Aareon afspraken gemaakt over de ondersteuning van Tobias 2012 na het verlopen van de onderliggende onderdelen die medio 2026 uit ondersteuning lopen.
- Het project voor het verbeteren van awareness op het gebied van informatiebeveiliging en privacy is van start gegaan.
- We hebben een pilot uitgevoerd voor de inzet van wachtwoordloos inloggen met gebruik van “Passkeys”.
- De techniek voor het gebruik van vertrouwelijkheidslabels in Office-bestanden is geïmplementeerd.
Passkeys voor wachtwoordloos inloggen
Met gebruik van Passkeys willen we risico’s die voortkomen uit bijvoorbeeld phishingaanvallen beperken. Met het toevoegen van biometrische- en nabijheidscontroles zijn aanvallen waarbij de identiteit van medewerkers wordt overgenomen niet meer mogelijk. Inloggen via Passkeys wordt op dit moment door het team van ICT getest. Zodra de technische problemen zijn opgelost zal dit verder worden uitgerold.
Vertrouwelijkheidslabels in Office-bestanden
Met gebruik van Azure Information Protection(AIP) binnen Purview hebben we de mogelijkheid voor het technisch toepassen van vertrouwelijkheidslabels aan Office-bestanden toegevoegd. Door beperkingen voor het gebruik van bestanden te koppelen aan labels hebben medewerkers meer grip op wat er met door hen gemaakte bestanden gebeurt. In lijn met de “best-practise” van Microsoft voor het gebruik van deze functionaliteit zijn we gestart met het geforceerd labelen door gebruikers waarbij bestanden zonder label standaard het label “Intern” kregen. Tijdens het testen van de inrichting van deze functionaliteit bleek dat kritische onderdelen van ons informatiesysteem niet overweg te kunnen met de beperkingen die hieraan gekoppeld zijn. Ook bleek dat sommige collega’s meer begeleiding nodig hebben voor het gebruik van de functionaliteit. Daarom waren wij genoodzaakt tijdelijk af te wijken van de “best-practise” totdat er een oplossing voor deze problemen is. De functionaliteit is binnen de Office applicaties aanwezig maar gebruikers moeten er zelf bewust voor kiezen deze te gebruiken. Door deze concessie is het doel voor de implementatie van de vertrouwelijkheidslabels nog niet bereikt. Het komend jaar pakken we deze problemen op, trainen we onze medewerkers en bereiken we de doelen alsnog.
Vooruitblik de komende periode
De komende periode pakken we de volgende onderwerpen op:
- We lossen de technische problemen rond AIP op en rollen vertrouwelijkheidslabels verder uit.
- We voeren een oefening van een ransomware aanval uit met de afdeling ICT en communicatie. Afdeling ICT was vanuit de aanpak van de vorige training geen onderdeel van de oefening. Om ook bijvoorbeeld onze draaiboeken te kunnen testen willen we deze oefening herhalen met de afdeling ICT.
- Deel 2 van het informatiebeveiligingsbeleid wordt vertaald naar een managementletter/presentatie met de relevante wijzigingen voor procesverantwoordelijken/managers. Deze managementletter/presentatie zal tijdens een managersoverleg of MT worden behandeld.
- We werken de documentatie van de volledige backup-restore test uit.
- We volgen de bevindingen naar aanleiding van de upgrade naar CIS 2.0 verder op.
- We voeren een pentest op onze Azure omgeving uit om eventuele kwetsbaarheden van de Dynamics 2012 omgeving inzichtelijk te maken.
- We voeren een pentest op de DMS-applicatie uit wegens de upgrade naar de laatste versie met de wens vanuit de organisatie deze applicatie buiten onze virtuele werkplek te kunnen gebruiken.
- We breiden de testgroep voor wachtwoordloos inloggen met gebruik van “Passkeys” uit en maken een implementatieplan voor de inzet hiervan in productie in 2026.
- We passen onze SOC-dienstverlening aan zodat deze wordt uitgebreid met het bewaken van Dynamics 365.
- We passen onze backup-oplossing aan zodat deze geschikt is voor de data binnen Dynamics 365.
- We onderzoeken de mogelijkheden voor dienstverlening rond Incident Response in navolging van het besluit van de directie op het voorstel over cyberverzekeringen.
- We creëren de voorwaarden voor het veilig gebruik van Microsoft Co-pilot 365 door onder andere vertrouwelijkheidslabels en gegevensverliesbeleid te implementeren binnen de MS365 omgeving.
- Eigenaarschap en verantwoordelijkheid van processen, applicaties en daarin liggende data wordt opnieuw vastgelegd om daarmee verwachtingen duidelijk te maken en awareness verder invulling te kunnen geven.
- Er wordt verder invulling gegeven aan een programma structurele educatie van medewerkers, om kennis op het gebied van informatiebeveiliging en privacy in kaart te brengen, op het noodzakelijke niveau te brengen en op dat niveau te houden.
- Er zijn voldoende vorderingen gemaakt met Aareon aangaande de overgang naar Tobias365 dat de verwachting is dat de implementatie daarvan plaats zal vinden in de 2e helft van 2026.
Conclusie
Met deze invulling van informatiebeveiliging zijn we ervan overtuigd dat Accolade in redelijkheid doet wat er vanuit haar zorgplicht van haar verwacht wordt. Het volledig uitsluiten van enig risico in deze is onmogelijk. Daarom moeten we blijven investeren in dit onderwerp.