HomeCertificering

ISO en NEN certificering

Al sinds 2019 is Qlic officieel ISO 9001, ISO 27001 en NEN 7510 gecertificeerd. Deze certificeringen laten zien dat wij in ons werk dagelijks aantoonbaar bezig zijn met informatiebeveiliging en kwaliteit. Ons hele team werkt bij het bouwen van maatwerk software volgens ons beleid.

Ons (veiligheids)beleid is afgestemd op internationale normen. Dit wordt zowel periodiek intern als door een externe auditor LRQA gecontroleerd. Bij Qlic werken we continu aan training en bewustwording en vinden we informatiebeveiliging ontzettend belangrijk.

ISO 9001

Het ISO 9001 certificaat toont aan dat onze belangrijkste processen zijn beschreven en voldoen aan internationale normen. Qlic hecht veel waarde aan kwaliteit en continue verbetering.

ISO 27001

ISO 27001 is een wereldwijd erkende norm op het gebied van informatiebeveiliging. Middels dit certificaat tonen wij aan dat we bij Qlic veel waarde hechten aan veiligheid bij het bouwen van Software.

NEN 7510

De norm NEN 7510 is een uitbreiding op ISO 27001 specifiek voor de gezondheidszorg. Zo doen we er bij Qlic alles aan om zorgspecifieke (patiënt) informatie zo goed mogelijk te beschermen.

ISO en informatiebeveiliging in de praktijk

Risico en beleid

Audits

Bewustwording

Fysieke beveiliging

Digitale beveiliging

Veilig ontwikkelen

Meten en verbeteren

Incidenten

Feedback en klachten

Risico en beleid

Middels de RAVIB methode wordt periodiek een volledige risico inventarisatie gemaakt. Binnen de PDCA-cyclus van het ISMS wordt jaarlijks getoetst of deze lijst actueel en volledig is. Per dreiging wordt bekeken welke bestaande maatregelen er reeds zijn en welke kwetsbaarheden mogelijk over zijn. De combinatie van dreiging, kwetsbaarheid en gevolgen worden beschreven als het risicoscenario en wordt als zodanig vastgelegd.

Veel risico’s worden afgevangen middels beleid en vastgelegd in het ISMS. Bij indiensttreding van een nieuwe medewerker wordt bij de onboarding uitgebreid aandacht besteed aan dit ISMS. In het beleid staan heldere afspraken op het gebied van informatiebeveiliging, waaronder bijvoorbeeld het wachtwoordbeleid, geheimhouding, leveranciers-eisen en veilig werken.

Audits

Periodiek worden alle maatregelen intern gecontroleerd middels een Audit. In deze audit wordt gekeken naar de juistheid en volledigheid van het beleid maar ook de toepassing en nalevering daarvan binnen de organisatie. Eventuele bevindingen worden adequaat opgepakt waardoor er continu wordt gewerkt aan het verbeteren van de informatiebeveiliging binnen Qlic. Ook vinden er periodieke controles plaats.

Eenmaal per jaar controleert een externe auditor LRQA middels een fysiek bezoek steekproefgewijs de werking en toepassing van het ISMS. Eens per 3 jaar vindt een complete her-audit plaats waarbij wordt gekeken of Qlic de certificering mag behouden.

Bewustwording

Bij indiensttreding van een nieuwe medewerker wordt de medewerker bekend gemaakt met de afspraken, regels en het beleid omtrent kwaliteit en informatiebeveiliging. Alle handboeken staan beschreven in een online portal (ISMS). Medewerkers ontvangen een samenvatting en in de eerste weken wordt uitgebreid stil gestaan bij informatiebeveiliging binnen de organisatie.

Ook na indiensttreding vinden met grote regelmaat bewustwordingstrainingen plaats waarbij aandacht wordt besteed aan de belangrijkste (actuele) onderwerpen op het gebied van informatiebeveiliging.

Fysieke beveiliging

Zowel het datacenter als het kantoor van Qlic voldoen aan strenge fysieke beveiliging om ongewenste toegang te voorkomen. Denk daarbij aan een duidelijk sleutelplan, goede sloten, een alarminstallatie, camera beveiliging en een toegangsdeur die altijd (ook tijdens kantooruren) gesloten is. Belangrijke data staat op extra beveiligde en afgesloten plekken. Zichtbare maar ook onzichtbare maatregelen bieden een optimale bescherming.

Digitale beveiliging

Digitale beveiliging is bij het ontwikkelen van software misschien wel het meest belangrijke. Qlic heeft een een grote hoeveelheid aan beleid en maatregelen om ongewenste toegang of datalekken te voorkomen. Zo is er een helder wachtwoordbeleid waarin is vastgelegd waar wachtwoorden aan moeten voldoen. Wachtwoorden worden opgeslagen en gedeeld middels een beveiligde digitale wachtwoordkluis en een rechtensysteem zorgt dat medewerkers alleen toegang hebben tot data en systemen waar ze ook daadwerkelijk bij moeten. Wachtwoorden worden nooit verstuurd via e-mail maar altijd via een beveiligde omgeving. Er zijn duidelijke afspraken over veilige manieren van communiceren en de IT omgeving is goed beveiligd middels een MDM-oplossing, antivirus, managed netwerk apparatuur en firewalls en een geforceerd update beleid van apparatuur. Qlic heeft heldere afspraken over thuiswerken en er zijn tal van richtlijnen en afspraken over bijvoorbeeld laptopgebruik.

Veilig ontwikkelen

Het ontwikkelen van software gebeurt zo veilig mogelijk. We hanteren het principe “Privacy-by-design” en “Privacy-by-default”. Medewerkers krijgen een uitgebreide onboarding en tussentijdse training waarbij ze bekend worden met veel voorkomende veiligheidsrisico’s (OWASP Top 10).

Een selectie uit onze maatregelen:

Alle code wordt door een andere developer nagekeken (Core-review).
Code wordt altijd opgeslagen in een versie-beheer systeem (Gitlab).
Ontwikkelaars werken nooit alleen op een project.
Er is veel aandacht voor de OWASP top10 .
We werken met een duidelijke OTAP straat (een aparte omgeving voor het testen)
We testen de applicatie waar mogelijk automatisch (Unit-test).

Meten en verbeteren

Zowel de processen als belangrijke metrics met betrekking tot uptime en perfomance worden actief gemeten en in de gaten gehouden. Een lijst aan vastgestelde KPI’s wordt dagelijks / wekelijks gemeten, bekeken en geëvalueerd. Denk daarbij aan zaken als server performance en uptime, maar ook aan KPI’s met betrekking tot de bedrijfscontinuïteit zoals klanttevredenheid, medewerkerstevredenheid en liquiditeit en declarabelheid. Op verschillende processen en KPI’s staan actieve monitors ingesteld die ons automatisch melding geven bij afwijkingen.

Bij Qlic werken we in een vaste cyclus aan verbetering. Incidenten, afwijkingen op metingen, KPI’s, klachten, klantenfeedback, medewerkersfeedback, beleid en trends worden periodiek besproken en indien gewenst worden adequaat maatregelen genomen ter verbetering van het beleid of ter voorkoming in de toekomst.

Incidenten

Incidenten met betrekking tot informatiebeveiliging, eventuele datalekken, kwetsbaarheden maar ook operationele incidenten worden door alle medewerkers gesignaleerd en vastgelegd in een register. Incidenten worden adequaat opgepakt en besproken en indien nodig worden aanvullende maatregelen genomen ter verbetering of voorkoming in de toekomst. Periodiek wordt gekeken naar trends met betrekking tot incidenten wat kan leiden tot verbetering van het ISMS.

De drempel voor het melden van een incident is laag en medewerkers worden continu gewezen op het belang van registratie.

Feedback en klachten

Bij Qlic leren we graag van medewerkers en klanten. Bij elke release wordt de klant gevraagd om feedback. Deze feedback wordt in het team besproken en waar mogelijk worden verbetering aangebracht in de processen. Bij de ontwikkeling van software vindt periodiek een feedback-gesprek plaats en onze werkwijze (SCRUM) zorgt voor een continue cyclus van feedback.

Ook klachten worden collectief besproken waarbij vooral wordt gekeken naar het voorkomen van vergelijkbare klachten in de toekomst. Bij Qlic doen we er alles aan om te zorgen dat klanten tevreden zijn. Toch niet tevreden? Laat het ons weten, dan zoeken we samen naar een passende oplossing.

Beleidsverklaring
Het beleid van Qlic beschrijft de gecontroleerde wijze waarop de kwaliteit van de activiteiten van Qlic op het gebied van webbased oplossingen zoals CRM-pakketten, ERP-systemen, urenregistratiemodules, facturatieoplossingen of klantenportalen.

Daartoe heeft Qlic heeft een samenhangend stelsel van maatregelen opgesteld dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen.

Informatiebeveiliging is gericht op het realiseren van een optimaal niveau van beveiliging. Dit optimum wordt bereikt door een zorgvuldige afweging van kosten en baten.

Het informatiebeveiligingsbeleid is van toepassing op de gehele organisatie. Het informatiebeveiligingsbeleid is ook van toepassing op de gegevensuitwisseling (leveranciers en klanten) van het bedrijf met andere organisaties. Het beleid richt zich op onze eigen medewerkers, tijdelijk personeel en op personeel dat door derden wordt ingezet om diensten te verlenen aan onze organisatie.

De directie is eindverantwoordelijk voor het informatiebeveiligingsbeleid en heeft dit beleid vastgesteld.

Uitgangspunten informatiebeveiliging Qlic

Bij de toepassing van informatiebeveiliging binnen Qlic worden de volgende uitgangspunten gehanteerd:

1. Qlic streeft ernaar aantoonbaar te voldoen aan de norm ISO 27001:2017 norm.

1. Qlic voldoet aan alle, van toepassing zijnde, wet- en regelgeving.

1. Beveiliging van informatie is een onderdeel van de integrale managementverantwoordelijkheid. Alle onderdelen van Qlic hebben hiertoe verantwoordelijkheden voor informatiebeveiliging toegewezen en vastgelegd.

1. Wanneer (onderdelen van) Qlic samenwerkingsverbanden aangaan met externe partijen, hetzij inhoudelijk, hetzij voor de ontwikkeling of het beheer van de informatievoorziening, wordt nadrukkelijk aandacht besteed aan informatiebeveiliging. Afspraken hierover worden schriftelijk vastgelegd en op de naleving hiervan wordt toegezien.

1. De bedrijfsprocessen, informatiesystemen en gegevensverzamelingen van alle onderdelen van Qlic zijn volgens een gestructureerde methode geclassificeerd naar de aspecten beschikbaarheid, integriteit en vertrouwelijkheid.

1. Bij de aanname, tijdens het dienstverband en in geval van ontslag van medewerkers wordt nadrukkelijk aandacht besteed aan de betrouwbaarheid van medewerkers en aan de waarborging van de vertrouwelijkheid van informatie.

1. Qlic voert een actief beleid om het beveiligingsbewustzijn van management en medewerkers te stimuleren.

1. Qlic beschikt over gedragsregels voor het gebruik van (algemene) informatievoorzieningen. Op de naleving van deze gedragsregels wordt toegezien.

1. Bij overtreding van de regelgeving voor informatiebeveiliging en/of relevante wettelijke bepalingen kan de directie een sanctie opleggen conform hetgeen hierover met betrekking tot op non-actiefstelling, disciplinaire straffen, en beëindiging van het dienstverband is vastgelegd in relevante overeenkomsten.

1. Bij Qlic zijn maatregelen getroffen voor de fysieke beveiliging van mensen en middelen, waaronder vertrouwelijke informatie en apparatuur waarop deze informatie is opgeslagen.

1. Bij Qlic zijn maatregelen getroffen voor de beveiliging en het beheer van de operationele informatie- en communicatievoorzieningen. Maatregelen tegen allerlei vormen van kwaadaardige programmatuur (computervirussen, spam, spyware, etc.) vormen hiervan een belangrijk onderdeel.

1. Bij Qlic zijn maatregelen getroffen waardoor is gewaarborgd dat alleen geautoriseerde medewerkers gebruik kunnen maken van de informatie- en communicatievoorzieningen.

1. Bij ontwikkeling en aanschaf van informatiesystemen wordt in alle fasen van het aanschaf- of ontwikkelingsproces nadrukkelijk aandacht besteed aan informatiebeveiliging.

1. Bij Qlic zijn adequate maatregelen getroffen waardoor de beschikbaarheid van de bedrijfsprocessen en de hierbij gebruikte informatie(systemen) is gewaarborgd, zowel in normale als in buitengewone omstandigheden.

1. Als onderdeel van het beleidsproces voor informatiebeveiliging wordt binnen Qlic door interne en externe partijen toegezien op de naleving van het informatiebeveiligingsbeleid.

1. Qlic beschikt over middelen voor het melden en afhandelen van beveiligingsincidenten. De evaluatie van de afhandeling van beveiligingsincidenten wordt benut voor de verbetering van informatiebeveiliging.

Indien Qlic persoonlijke gezondheidsinformatie verwerkt, garandeert het dat onderwijs en training over informatiebeveiliging wordt gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en -procedures worden verstrekt aan alle medewerkers en, indien relevant, derden, contractanten, onderzoekers e.d. die persoonlijke gezondheidsinformatie (kunnen) verwerken. Alle werknemers van Qlic en, waar relevant, derden en/of contractanten, worden gewezen op disciplinaire processen en gevolgen van schendingen van informatiebeveiliging.

De directie van Qlic ziet het als haar verantwoordelijkheid om het managementsysteem voor informatiebeveiliging op een effectieve en economisch verantwoorde wijze uit te voeren en in stand te houden. Doel van het systeem is om de organisatie van Qlic goed te laten functioneren zodat aan de eisen van klanten en belanghebbenden kan worden voldaan en het systeem kritisch te blijven beoordelen om zodoende nog beter aan de eisen van de klanten te voldoen.

Verder wordt gestreefd naar het continu verbeteren van het systeem, de procedures en processen, het bewaken en eventueel verhogen van de klanttevredenheid, en het voldoen aan de eisen van klanten en belanghebbenden en van toepassing zijnde wet- en regelgeving.

Het beleid voor informatiebeveiliging wordt met geplande tussenpozen, minimaal eenmaal per jaar of als zich significante veranderingen of een ernstig beveiligingsincident voordoen, beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

Hiermee is de basis gelegd voor de continuïteit van de onderneming.

Concrete doelstellingen worden vastgelegd in de directiebeoordeling dat jaarlijks wordt opgesteld.

Alle medewerkers van Qlic die worden genoemd in het handboek, zijn verantwoordelijk voor de uitvoering van de in het handboek beschreven kwaliteitsborgingeisen. Teneinde aan een en ander te kunnen voldoen worden de medewerkers hieromtrent getraind.

Door te werken met goed opgeleid personeel dat in staat is haar vak goed te verstaan tracht Qlic de eisen van de opdrachtgevers te kunnen vertalen in de organisatie. Hiermede is de basis gelegd voor de continuïteit van de onderneming.

Het coördineren, realiseren en onderhouden van het kwaliteitsborgingssysteem is opgedragen aan de Operations Manager.

Namens,

Directie Qlic