Praktische tips voor informatiebeveiliging – Back-ups

Dit is deel 2 van een reeks van artikelen over dit onderwerp met praktische, laagdrempelige tips voor meer bewustwording over informatiebeveiliging in de tandartspraktijk. Dit tweede artikel gaat in op het onderwerp van back-ups.

Bewustwording

In mei 2018 gaat de Algemene verordening gegevensbescherming (AVG) in, waarmee de regels rond de bescherming van persoonsgegevens worden aangescherpt. De verordening eist dat praktijken organisatorische en technische maatregelen moeten hebben genomen om aan deze regels te voldoen. In de praktijk blijkt dat informatiebeveiliging voor 80% te maken heeft met mensen en organisatie. Oftewel, de bewustwording binnen het team om veilig te werken is van grote invloed op goede informatiebeveiliging.

Stappen

Globaal doorloopt iedere tandarts / praktijkhouder de volgende stappen in het proces naar een goede informatiebeveiliging.

• Stap 1: Vergroten bewustwording praktijkhouder
• Stap 2: Inventariseren huidige risico’s en ‘lekken’
• Stap 3: Vergroten bewustwording team
• Stap 4: Invoeren (en naleven) van technische en organisatorische maatregelen
• Stap 5: Controle op naleving van de maatregelen

De eerste stap rondom de bewustwording is direct de belangrijkste in het geheel. Naast de investering in het voorvoeren van diverse technische en organisatorische maatregelen is een goede informatiebeveiliging gebaat bij een goede naleving ervan. En aangezien het hele team binnen de tandartsenpraktijk in aanraking komt met patiëntengegevens, vraagt dit dus om bewustwording van alle medewerkers. Iets wat vanuit de praktijkhouder (als leider) moet worden ‘aangejaagd’.

5 Praktische tips rondom back-ups

Onderstaande tips gaan in op het hebben en uitvoeren van back-ups. Binnen data zijn (persoons)gegevens opgeslagen. Globaal is bijbehorend risico dat de gegevens verloren gaan, gestolen worden of op straat komen te liggen. Wat kan betekenen dat de praktijk niet kan doordraaien of er sprake is van een datalek.

Tip 1: Toepassing van de ‘3 – 2 – 1 strategie’ voor back-ups

Een 3 – 2 – 1 back-up strategie betekent het volgende: Er zijn tenminste 3 back-ups, waarvan 2 lokaal maar op verschillende mediums, en tenminste 1 back-up staat offsite. De volgende drie back-ups zijn hier een voorbeeld van:

1. Op locatie
   Bijvoorbeeld een back-up, die opgeslagen is op een back-up station in de praktijk. Dit is een online opslag.
2. Remote locatie
   Bijvoorbeeld opslag van de back-up in een cloud oplossing. Dit is eveneens online.
3. Offline
   Bijvoorbeeld de back-up op een fysieke harde schijf, die afgesloten is van het internet.

Er is geen perfect back-up systeem, maar deze strategie is zeer volledig en een goede start voor de meeste organisaties. Rekening houdend met de diverse accidenten en calamiteiten, die zich kunnen voordoen.

Tip 2: Versleutelde back-ups

Met het versleutelen van alle data op een back-up is het risico van een datalek bijna volledig gereduceerd. Indien een versleutelde back-up namelijk op straat komt te liggen, kunnen de gegevens niet gelezen en misbruikt worden. Er is dan ook geen sprake van een datalek.

Tip 3: Veilige opslag van back-ups

Een back-up moet zorgen voor continuïteit voor de praktijk, indien zich bijvoorbeeld een crash van de server voordoet. Echter, deze extra opslag moet uiteraard wel veilig worden opgeslagen om een datalek te voorkomen. Indien de back versleuteld is, is dit risico nihil. Echter, niet-versleutelde back-ups dienen te allen tijde veilig te worden opgeslagen. Bijvoorbeeld in een gesloten kluis (in geval van een fysieke back-up) of in een veilige cloud oplossing.

Tip 4: Juiste frequentie van back-ups

Bij voorkeur wordt dagelijks een back-up uitgevoerd. Een back-up kan zelf ook verloren raken, waardoor de continuïteit van de praktijk in direct gevaar is. Daarom is het wenselijk ook altijd een back-up van de back-up te hebben. Om deze reden is het niet wenselijk de dagelijkse back-up direct de volgende dag te overschrijven. Er wordt bij voorkeur een back-up schema opgezet, waarbij er voor alle weekdagen een back-up wordt gemaakt. En er eenmaal per week een volledige back-up wordt gemaakt. Bij een volledige back-up worden alle data volledig opgeslagen op de back-up. Daar tegenover staat een incrementele back-up, waarop alleen de aanpassingen en aanvullingen worden opgeslagen op de back-up. Deze laatste vraagt minder opslagruimte en -duur. Echter, er zijn vele keuzes te maken in het back-up schema, die dus voornamelijk worden bepaald door de beschikbare opslag ruimte en de back-up snelheid.

Tip 5: Testen van het terugzetten

Het maken van een back-up is primair bedoeld om de continuïteit van de praktijk te waarborgen. Deze waarborg vraagt niet alleen om te testen of de back-up zelf succesvol is uitgevoerd, maar ook om periodiek het terugzetten van een back-up te testen. Het back-up medium kan namelijk beschadig raken of data kan ‘corrupted’ raken. Dit is data met onbedoelde fouten erin die zijn opgetreden tijdens het overschrijven of opslaan ervan. Advies is bijvoorbeeld jaarlijks de ‘restore procedure’ te testen. In geval het worst case scenario zich daadwerkelijk voordoet, wil je als praktijk alle garantie hebben, dat de ingerichte back-up procedure ook daadwerkelijk werkt. Dit weet je alleen door het ook volledig – inclusief de ‘restore procedure’ – te testen.

Tot slot

Met dit artikel is beoogd de bewustwording te vergroten rondom het onderwerp van back-ups. Het beschreven stappenplan geeft duidelijk aan, dat een grotere bewustwording binnen het gehele team moet gelden. Maar dat dit altijd begint met de leidende rol van de praktijkhouder als ‘aanjager’ van meer bewustwording.

Dit artikel is ontstaan uit een samenwerking tussen Karel Keers (Keers Applied Electronics) en Sjoerd Kuiken (Kuiken Praktijkmanagement).

Lees ook: Praktisch tips voor informatiebeveiliging in de praktijk