Beveiliging

1. Beheersysteem voor informatiebeveiliging (ISMS)

Luscii maakt gebruik van een Informatieveiligheidsmanagementsysteem (ISMS) – een geheel van processen dat ervoor zorgt dat informatie wordt beschermd tegen interne en externe beveiligingsdreigingen. Het ISMS van Luscii is gecertificeerd volgens NEN 7510 en ISO 27001:2022.

Specifiek voor de Nederlandse zorgsector beschrijft de norm NEN 7510 de eisen voor informatiebeveiliging. Op basis van de internationale normen ISO 27001 en ISO 27002 biedt NEN 7510 kaders voor informatiebeveiliging binnen zorgorganisaties en aanverwante organisaties zoals Luscii. ISO 27001:2022 is een internationale standaard die richtlijnen geeft voor het implementeren van een ISMS binnen een organisatie.

Voor de zorgsector in het Verenigd Koninkrijk is Luscii daarnaast gecertificeerd voor Cyber Essentials en voltooit het bedrijf jaarlijks zowel de Data Security Protection Toolkit (DSPT) als de Digital Technology Assessment Criteria (DTAC), naast de bovengenoemde certificeringen.

2. Welke technische beveiligingsmaatregelen zijn er?

Als een essentieel onderdeel van ons Informatieveiligheidsmanagementsysteem (ISMS) heeft Luscii tal van beveiligingsmaatregelen genomen om een veilige gegevensverwerking te waarborgen. Deze maatregelen omvatten — maar zijn niet beperkt tot — het volgende:

• Toegangsbeveiliging: toegang tot onze servers en infrastructuur is alleen mogelijk via beveiligde (Bastion) servers, vereist het gebruik van een VPN met tweefactorauthenticatie en een persoonlijke beveiligingssleutel (SSH).
• Databasebeveiliging: toegang tot de database volgt dezelfde maatregelen. Alleen medewerkers die toegang nodig hebben voor hun functie en verantwoordelijkheid krijgen een account.
• Wachtwoordbeleid: Luscii hanteert een wachtwoordbeleid om sterke wachtwoorden te waarborgen. Wachtwoorden moeten periodiek worden gewijzigd.
• Beheer van infrastructuur: onze infrastructuur wordt beheerd volgens het Infrastructure as Code-principe.
• Gescheiden omgevingen: Luscii gebruikt virtuele private clouds (VPC’s) per omgeving — test, acceptatie en productie — om risico’s te beperken.
• Versleuteling van gegevens: opgeslagen data is altijd versleuteld (waaronder 256-bits AES-encryptie). Wachtwoorden worden gehasht en voorzien van een salt. Gevoelige lokaal opgeslagen gegevens (zoals medische of authenticatie-informatie) op iOS en Android worden eveneens versleuteld en verwijderd zodra de gebruiker uitlogt.
• Datatransmissie: gegevensoverdracht van en naar Luscii is beveiligd via Transport Layer Security (TLS).
• Loginbeperkingen: het aantal foutieve inlogpogingen is beperkt.
• Inputvalidatie: alle informatie die gebruikers invoeren, wordt gecontroleerd om te voorkomen dat schadelijke data wordt geüpload.
• Malwaredetectie: er is software geïnstalleerd die kwaadaardige software tijdig detecteert.
• Beveiligingsupdates: updates worden continu en geautomatiseerd uitgevoerd.
• Monitoring: toegang tot het back-endgedeelte wordt bewaakt om mogelijke inbreuken of afwijkingen tijdig te signaleren.
• Back-ups: databases worden continu geback-upt. Gebruikers met database-toegang hebben geen toegang tot back-ups, om ongewenste verwijdering te voorkomen.
• Tweefactorauthenticatie: inloggen bij Luscii kan worden beveiligd met 2FA — gebruikersnaam + wachtwoord en een eenmalige inlogcode via e-mail.
• Cookies: cookies bevatten geen volledige authenticatiegegevens zoals wachtwoorden; informatie in cookies wordt verwijderd bij uitloggen. Belangrijke cookie-informatie is bovendien versleuteld.
• Sessieduur: de duur van inlogsessies is beperkt in de tijd.
• Logging: activiteiten worden gelogd en ongebruikelijke patronen worden actief gemonitord.
• Penetratietests: technische beveiligingsmaatregelen worden getest via penetratietesten uitgevoerd door een gekwalificeerde externe partij.
• Wijzigingsbeheer: aanpassingen aan software en infrastructuur volgen een uniform change management-proces met fasen voor ontwerp, implementatie, beoordeling, testen en vrijgave.
• Kwetsbaarhedenbeheer: technische kwetsbaarheden worden geïdentificeerd en opgelost via een continu proces voor vulnerability management.
• Bewustwording: medewerkers krijgen periodiek trainingen over privacy en informatiebeveiliging.