FAQ – Veel gestelde vragen

Wat is het verschil tussen Office 365 en Microsoft 365?

Met Office 365 Business Premium en Microsoft 365 Business biedt Microsoft twee cloud-oplossingen in de categorie productiviteitssoftware. Beiden bieden naast de bekende Office-applicaties, een reeks aan extra functionaliteiten aan die van pas komen in een bedrijfsomgeving.

Office 365 en Microsoft 365

Hoewel de twee productnamen veel op elkaar lijken, gaat het wel degelijk om twee verschillende producten. En dat maakt het des te verwarrender. Zo biedt Office 365 Business Premium een prima basispakket voor bedrijven, terwijl Microsoft 365 Business nog een stap verder gaat door een aantal extra services aan te bieden gericht op security en device management.

Office 365 Business Premium

Office 365 Business Premium is de bekende Microsoft Office-suite met enkele extra’s voor bedrijven. De Microsoft Office-suite wordt standaard uitgevoerd met Word, Excel, PowerPoint, Outlook, Access en Publisher. In het geval van Office 365 Business Premium worden hier de bedrijfsspecifieke applicaties Exchange Online, SharePoint Online, OneDrive for Business, Microsoft Teams, Outlook Customer Manager en Microsoft Bookings bijgeleverd.

Meer flexibiliteit en capaciteit

Naast bovengenoemde services heb je met Office 365 Business Premium altijd en overal toegang tot je documenten. Zo kan je met de mobiele Office 365-apps onderweg documenten bekijken, bewerken en delen. Niet alleen op de Windows toestellen maar ook op de iOS- en Android apparaten. Het gebruik via de browser is ook gewoon mogelijk.

Daarnaast beschikken Office 365 Business Premium gebruikers over een mailbox van 50 GB en is het mogelijk om bijlagen tot 150 MB groot te versturen. Daar bovenop heeft elke gebruiker de mogelijkheid om tot 1 TB aan bestanden op te slaan in OneDrive voor bedrijven.

Met Microsoft Flow, kan je op basis van automation flows sneller en efficiënter werken. Zo is het mogelijk om acties tussen apps en services te automatiseren, meldingen te tonen, gegevens te bundelen, bestanden te synchroniseren, etc.

Microsoft 365 Business

Zoals eerder gezegd, biedt Microsoft 365 Business nog meer opties bovenop het softwarepakket van Office 365. Hierbij gaat het vooral om geavanceerde security en device management oplossingen.

Microsoft 365 geavanceerde security

Naast de standaard Office 365 beveiliging biedt Microsoft 365 Business een aantal extra security mogelijkheden. Het gaat hierbij om de volgende geavanceerde security services:

  • Office 365 Advanced Threat Protection (ATP): voorziet in extra bescherming tegen phishing, onveilige bijlagen en links, en geavanceerde malware.
  • Information Rights Management (IRM): beheert de toegang tot bedrijfsdocumenten of andere bedrijfsdata door beperkingen op te leggen (bijvoorbeeld: ‘Niet kopiëren’ of ‘Niet doorsturen’).
  • Windows Defender: beveiligt Windows 10-toestellen tegen virussen, spyware en andere schadelijke software.
  • Exchange Online Archiving: voorkomt het verlies van e-mails door onbeperkte archivering en langetermijnbehoud in te schakelen.

Microsoft 365 (Mobile) device management

Door gebruik te maken van mobile device management software, kunnen alle toestellen (desktops, laptops, tablets en smartphones) van medewerkers centraal worden beheerd. Microsoft 365 Business bevat standaard Intune Device Management en Intune App Protection. Beiden zijn device management services van Microsoft.

Intune Device Management biedt de volgende mogelijkheden:

  • Beveiligingsfuncties en -instellingen configureren aan de hand van een installatiewizard
  • Bedrijfsgegevens op verloren of gestolen toestellen op afstand wissen
  • Office-apps automatisch implementeren op alle toestellen
  • Toestellen configureren om automatisch Office en Windows 10-updates te installeren.

De Intune App Protection garandeert dan weer de veiligheid van bedrijfsgegevens op alle desktops en mobiele apparaten (ook voor iOS- en Android).

Nog een interessant weetje: Windows 10 is inbegrepen in Microsoft 365 Business. Professionele Windows-versies (mits nog ondersteund) kunnen gratis worden geüpgrade naar Windows 10 Business. Hierdoor kunnen alle toestellen van de opties van Microsoft 365 Business profiteren.

Meer weten over Office 365 of Microsoft 365?

Zoals het spreekwoord zegt “The devil is in the detail” en zo is het ook met de verschillende Microsoft producten. We helpen graag bij het zoeken naar de best passende oplossing. Neem voor meer informatie contact ons voor meer informatie

Wat is NEN 7510 Hosting?

NEN 7510 HOSTING VAN RAM Infotechnology

NEN 7510 informatiebeveiliging

RAM Infotechnology heeft zijn informatiebeveiliging volgens de norm NEN 7510 ingericht; het waarborgen van de beschikbaarheid, integratie en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoordelijke zorg te bieden.

hostingprocessen volgens norm NEN 7510

Processen volgens de norm
RAM Infotechnology heeft zijn hostingprocessen mede ingericht aan de hand van de norm. Middels de NEN-norm voor informatiebeveiliging stelt RAM Infotechnology zijn klanten in staat de keten van beschikbaarheid, integratie en vertrouwelijkheid eenvoudig te borgen.

 

Voordelen NEN 7510 Hosting

  • Kennis over beveiligingsrisico’s.
  • Voldoen aan de internationale wettelijke bepalingen voor patiëntgegevens.
  • Controleerbare informatiebeveiligingsmaatregelen.
  • Informatiebeveiliging volgens de wettelijke eisen rond het Elektronisch Patiënten Dossier.

Voordelen NEN 7510 hosting bij RAM Infotechnology

  • Hoogste standaard voor beveiliging van informatie.
  • Informatiebeheer en beheersbaar maken.
  • Vertrouwen creëren en waarborgen omtrent de informatiebeveiliging.
  • Conformiteit aan de wet- en regelgeving.
  • Datatoegang autorisatie.

OVER NEN 7510

Historie NEN 7510

De eerste NEN 7510 norm is in 2004 gepubliceerd. De norm is gebaseerd op de ‘Code voor informatiebeveiliging’ en is toegesneden op de Nederlandse gezondheidssector. In 2009 is besloten de norm te reviseren en op 14 oktober 2011 is deze vernieuwde norm van NEN 7510 gepubliceerd. NEN heeft het normalisatieproces begeleid waarbij de betrokken partijen met hun uiteenlopende belangen onder consensus de afspraken voor informatiebeveiliging in de zorg hebben vastgelegd.

Uitgangspunten NEN 7510

De NEN 7510 norm is in het leven geroepen om het bewustzijn in de zorgsector te creëeren met betrekking tot informatiebeveiliging en het beter hanteerbaar maken van de toepassing. NEN 7510 omschrijft het begrip informatiebeveiliging in de zorg als volgt: waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om verantwoorde zorg te kunnen bieden aan patiënten.

De norm omvat als eerste een aantal kwaliteitscriteria. Naast het borgen van deze criteria vereist de norm dat de maatregelen op het gebied van informatiebeveiliging op controleerbare wijze zijn ingericht. Pas als dat is ingeregeld, kan er worden gesproken over adequate informatiebeveiliging. Van zorginstellingen wordt verlangd dat zij binnen het kader van de norm, de informatiebeveiliging specificeren die relevant is voor het betreffende proces met bijhorende maatregelen.

Wat is de relatie tussen NEN 7510, NEN 7512 en NEN 7513?

NEN 7510 is een managementsysteemnorm die een kader stelt voor het organiseren en borgen van informatiebeveiliging binnen een zorginstelling of toeleverancier. NEN 7512 en NEN 7513 zijn aanvullingen op (specifieke eisen uit) NEN 7510.

Toepassingsgebied NEN 7512

Het toepassingsgebied van NEN 7512 is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten, cliënten, zorgverzekeraars en andere partijen die bij de zorg zijn betrokken.

Hoe bepaalt een zorginstelling in hoeverre NEN 7510 op haar organisatie van toepassing is?

NEN 7510 beschrijft een set maatregelen dat zorginstellingen moeten treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan. De norm is van toepassing op alle organisaties in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces.

Met een nulmeting kunt u bepalen in hoeverre uw organisatie bewust is van informatiebeveiliging en eventueel al voldoet aan de gestelde eisen. Hierna kan uw organisatie op basis van een risicoanalyse vaststellen welke risico’s prioriteit moeten hebben en wat de te nemen maatregelen zijn. Het staat de verantwoordelijke vrij om te bepalen hoever deze wil gaan met de invoering en handhaving van de maatregelen en eventueel externe toetsing hierop (certificatie).

Moet in gebruik genomen software gecertificeerd zijn tegen NEN 7510?

Nee, het is de zorginstelling die aan NEN 7510 moet voldoen. Zij stelt een pakket van eisen samen en legt dit voor aan de softwareleverancier. De leverancier moet via specificaties kunnen aantonen dat hij voldoet aan de gestelde eisen.

Software die is geïntegreerd in een medisch hulpmiddel, moet voldoen aan de eisen van de Richtlijn medische hulpmiddelen (93/42/EEG). De fabrikant van een medisch hulpmiddel bepaalt door de ‘intended use’ van het medisch hulpmiddel te benoemen, in welke risicoklasse zijn product valt. Indien de software is geïntegreerd in het medisch hulpmiddel, dan valt deze software onder dezelfde risicoklasse als het medisch hulpmiddel. Stand-alone software wordt beschouwd als een actief medisch hulpmiddel, wat in beginsel een risicoklasse I product is (bijlage IX van de richtlijn).

Is NEN 7510 ook op een gehandicaptenzorginstelling van toepassing?

Indien uw gehandicaptenzorginstelling patiëntgegevens verwerkt, dan moet uw organisatie voor adequate informatiebeveiliging zorgen. NEN 7510 geeft hiertoe een kader, maar is niet verplicht. De norm adviseert zorgorganisaties een risico-inventarisatie en -analyse uit te voeren en op basis daarvan maatregelen vast te stellen, in te voeren en te borgen.

Indien uw zorginstelling gebruikmaakt van burgerservicenummers, dan moet uw organisatie zich houden aan de Wet bescherming persoonsgegevens (Wbp). Het beveiligen van persoonsgegevens is op basis van deze wet verplicht.

NEN 7510: Is het complex NEN7510 in te voeren?

NEN 7510 INVOEREN IS EENVOUDIGER DAN U DENKT

Inhoudsopgave

  1. De feiten over NEN 7510
  2. Geen keurslijf voor beveiliging van patiëntgegevens
  3. Hoe gaat u hiermee om?

1. De feiten over NEN 7510

Werken met NEN 7510De toch al veel geplaagde zorginstellingen worden nu weer belast met de NEN 7510 voor informatiebeveiliging. Aan ZBC zijn hierover vragen gesteld. Graag willen we deze in dit artikel klip en klaar beantwoorden.
De NEN 7510 norm is afgeleid van de ISO 27002 norm met een snuifje ISO 27001, maar toegespitst op zorginstellingen. Voor de invoering van deze NEN 7510 kunt u daarom het schema voor de pragmatische invoering van ISO 27001 of  27002 gebruiken. (Zie ook ‘ISO 27001 of 27002 ‘lean en mean’ implementeren als security management systeem’).
Invoering van NEN 7510 is door het IGZ voor zorginstellingen verplicht gesteld. Dat betekent echter niet, dat alle maatregelen die in NEN 7510 beschreven staan, daadwerkelijk ingevoerd moeten worden. Het gaat erom dat de doelstellingen uit NEN 7510 gehaald worden. De maatregelen zijn best practices die afhankelijk van het risicoprofiel van de zorginstelling en haar beleidsuitgangspunten gebruikt kunnen worden. Slechts de audit is verplicht en deze wordt uitgevoerd op basis van de door de zorginstelling zelf opgezette norm. (Zie ook ‘ISO 27002, de Code voor Informatiebeveiliging nader toegelicht’.) Hierbij geldt het principe ‘Pas toe of leg uit’.
Adviseurs van grote bureaus op dit gebied leggen dit vaak anders uit. Uiteraard valt er voor hen veel meer te halen uit een complexere normatieve aanpak. Zij zeggen veelal dat de volledige invoering van maatregelen zoals die in ISO 27001 worden beschreven noodzakelijk is. (Zie ook ‘ISO 27001 of ISO 27002 als norm voor uw informatiebeveiliging’.) Maar het Steunpunt NEN 7510 schrijft niet voor niets op zijn site:

“De norm NEN 7510 helpt de verantwoordelijke (zorginstelling) de (voor haar) relevante maatregelen te bepalen en in te voeren. Een zorginstelling moet duidelijk kunnen maken dat er een goed beheer wordt gevoerd.”

Ook al zou u uit diverse andere uitlatingen op de site van het Steunpunt NEN 7510 misschien de conclusie kunnen trekken dat het wel gaat om verplichte maatregelen, toch is dat niet het geval!

2. Geen keurslijf voor beveiliging van patiëntgegevens

Ook Salo van Berg, manager bij Ernst & Young Advisory, en Peter Kits, advocaat bij Holland Van Gijzen Advocaten en Notarissen zijn er duidelijk over. Onder de kop ‘Geen keurslijf voor beveiliging van patiëntgegevens’ schrijven ze op maandag 19 november in het FD naar aanleiding van een incident waarbij ze klaarblijkelijk betrokken waren het volgende:

“De Inspectie voor de Gezondheidszorg en het College bescherming persoonsgegevens hebben twintig ziekenhuizen getoetst op informatiebeveiliging. Aan vier ziekenhuizen is een last onder dwangsom opgelegd. Het niveau van informatiebeveiliging zou niet voldoen aan ‘de norm’.

Deze actie heeft het nodige stof doen opwaaien, maar is aanvechtbaar. Artikel 13 van de Wet bescherming persoonsgegeven (Wbp) verplicht een organisatie ‘passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen’. De Inspectie voor de Gezondheidszorg (IGZ) en het College bescherming persoonsgegevens (Cbp) zien voor de zorg de NEN norm 7510 die over informatiebeveiliging binnen de zorgsector gaat, als een gezaghebbende sectorale uitwerking hiervan en daarom als dé norm waaraan getoetst moet worden.

Voldoet een zorginstelling aan de NEN 7510, dan wordt voldaan aan artikel 13 Wbp. Er zouden dan eveneens voldoende waarborgen zijn om verantwoorde en veilige zorg te bieden in de zin van artikel 2 Kaderwet Zorginstellingen (KZ). Hoewel de IGZ en het CBP in het Rapport Informatiebeveiliging in ziekenhuizen stellen dat ook op andere wijze aangetoond mag worden dat informatiebeveiliging in orde is, toetsen zij uitsluitend aan de NEN7510.”

Dan vervolgen Van Berg en Kits met wat ik in hoofdstuk 1 al heb verwoord:

“Deze norm wordt door de toezichthouders als dwingendrechtelijk behandeld. Het ministerie van Volksgezondheid, Welzijn en Sport houdt dit in stand, aangezien alle ziekenhuizen in 2010 een externe audit – systematische controle – moeten laten uitvoeren op implementatie van de norm 7510.

De norm als dwingend te hanteren is onjuist en aanvechtbaar. Op de eerste plaats geeft de NEN7510 een kader en geen concrete(re) invulling van de termen ‘passende maatregelen’ en ‘verantwoorde zorg’. In de Wbp en Kw zijn door de wetgever bewust open normen opgenomen. Dit betekent dat de verantwoordelijke voor de verwerking van persoonsgegevens zelf mag bepalen wat een passend beveiligingsniveau is.”

Ook Van Berg en Kits constateren dus dat het de zorginstelling zelf is, die de norm bepaalt. Daarom gaan ze verder:

“Binnen dat kader kan de NEN7510 niet als dwingendrechtelijk worden gehanteerd. De NEN7510 is niet publiekrechtelijk, maar ontstaan vanuit een maatschappelijke behoefte van zelfregulering. Het is ongewenst dat een norm ‘wet’ wordt zonder democratische controle. Een dynamische verwijzing – zonder versienummer – in een wet is vanuit staatsrechtelijk oogpunt ontoelaatbaar.”

 3. Hoe gaat u hiermee om?

Voor mij is de discussie niet nieuw. Ik heb hem eerder gevoerd namens een productschap, dat in het kader van de toewijzing van Europese subsidies ook ISO 27002 gecertificeerd moesten worden. De begeleiders vanuit het ministerie van LNV kwamen destijds met allerlei dwingende eisen. Productschappen die daarop ingingen, moesten meer dan 2000 maatregelen invoeren. Het productschap dat ik begeleid heb, kon volstaan met 16 maatregelen en kwam net als de andere productschappen door de audit. (Zie ook ‘Professionele informatiebeveiligers maken zich vaak ongeloofwaardig’.)
Alleen als de directie alle best practices van toepassing verklaart op de eigen zorginstelling, dan zal die zorginstelling aan al die best practices moeten voldoen. De maatregelen liggen dan aan de bovenkant van het volgende plaatje.

NEN 7510

Dat dat tevens leidt tot een forse verspilling, is volstrekt evident. Echter, als het gaat om informatiebeveiliging moet de organisatie ‘in control’ zijn. Om dat te bereiken dient men te kiezen voor de gele diagonaal. Het management moet primair het systeem bewaken. En niet door verstand te krijgen van informatiebeveiliging of van NEN 7510, maar door de kleurtjes te bewaken en hierop zo nodig bij te sturen. (Zie ook ‘Managementrapportage risicoprofiel informatiebeveiliging ISO 27001 of 27002′.)
De Wet bescherming persoongegevens spreekt over een passende beveiliging van persoongegevens. 100% beveiliging bestaat niet en zelfs het streven hiernaar is vanuit het perspectief van kostenbesparing ongewenst. Slim beveiligen helpt daarom veel beter. (Zie ook ‘Preventie dataverlies (DLP) geeft een betere beveiliging’.)

Meer weten?
Neem contact met ons op voor meer informatie.

Bron:
https://zbc.nu/security/nen-7510-informatiebeveiliging-in-de-zorg/invoering-nen-7510-is-eenvoudiger-dan-u-denkt/
Salo van Berg en Peter Kits, ‘Geen keurslijf voor beveiliging van patiëntgegevens’. In: Het Financieele Dagblad.
Moeten zorginstellingen NEN7510 hosten?

Zorginstellingen horen al vanaf 2006 conform de NEN 7510 te werken, met het oog op de invoering van de wet op de BSN en het EPD.
Op dit moment is het niet verplicht maar er wordt geacht conform de richtlijn te werken, doe dit niet dan heb je een grote kan dat je beboet kan worden door het CPB of zelfs voor de rechter moet verschijnen. Het punt is namelijk zo dat NEN 7510 maatregelen bevat die o.a. de privacy van je patienten moeten waarborgen, wanneer je die maatregelen niet hebt genomen ben je logische wijs onverantwoord bezig met patient gegevens en dit is onacceptabel zowel vanuit het oogpunt van de patient noch het CPB.

2015 Verplichting Functionaris gegevensbescherming hosting – NEN7510

De Europese Algemene Verordening Bescherming Persoonsgegevens is mogelijk al per 2015 van kracht en verplicht zorgaanbieders onder meer om een ‘functionaris gegevensbescherming’ aan te stellen en datalekken te melden. Verder spreekt deze verordening van zeer hoge boetes. Er wordt een beperkte tijd gegeven om de genoemde maatregelen te implementeren.

Vanwege de vele ict-ontwikkelingen in de zorg in de komende jaren, zoals op gebied van gegevensuitwisseling, epd/ecd, domotica en e-health, heeft de Minister van VWS informatiebeveiliging hoog op de agenda staan. NEN7510 is de veldnorm voor informatiebeveiliging in de zorg en staat in de nieuwe ‘Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens’, zodat deze in de nabije toekomst wet gaat worden. Het tijdstip van inwerkingtreding van deze AMvB, op grond van artikel 26 Wbp, is gekoppeld aan de inwerkingtreden van de Wet cliëntenrechten bij elektronische verwerking van gegevens (kamerstukken 33 509).

Deze AMvB gaat véél verder dan de Europese regelgeving want het bevat de volledige NEN7510 en is hiermee voor veel zorgaanbieders niet mogelijk deze op korte termijn volledig te implementeren. Samen met intensivering van toezicht en sanctionering, zal dit voor sommige  zorgaanbieders en andere verwerkers van patiëntgegevens, aanleiding zijn om informatiebeveiliging nog dit jaar hoog op de agenda te plaatsen.

Welke platformen zijn er voor Managed Hosting?

Bij de meeste providers draait de server onder het besturingssysteem Linux, met een Apache-webserver, een MySQL-database en de scripttaal PHP. Deze combinatie heet ook wel LAMP, en is met name populair omdat deze software geen licentiekosten met zich meebrengt. Sommige webserver-toepassingen, zoals Active Server Pages (ASP of ASP.NET) en koppeling naar een Microsoft Access-database zijn meer geschikt voor een Microsoft Windows server, wat echter wel meer licentiekosten met zich meebrengt. Tegenwoordig zijn er ook mogelijkheden om ASP op een Linux-server te gebruiken. Om zijn gehoste website te beheren kan een klant vaak gebruikmaken van speciale beheersoftware, zoals cPanel en DirectAdmin.