Zie (ontwerp) NEN7510:2010 Informatiebeveiliging in de Zorg H6.2 externe partijen, H14 bedrijfscontinuïteitsbeheer, H12.2.2 verwijzing naar GAMP5, GAMP5 appendix M2 Supplier Assessment. Kortom, waarom en hoe het moet en kan is duidelijk, nu alleen nog een opdrachtgever met een budget die zijn verantwoordelijkheid neemt.

er is hiervoor een speciale SaaS Escrow ontwikkeld

Bij eencontract met asp of saas organisatie zal ins de SLA naast de beveiliging, beschikbaarheid veel aandacht besteedt moeten worden aan de financiële stabiliteit van de organisatie inclusief de daarbij behorende monitoring middels rapportages. Ook Escrow regelingen zijn niet voldoende , maar uitwijk en overdracht bij bedrijfsbeeindiging dient verzekerd te zijn. Kortom dit is een kompleet ander spek dan gewone software dienstverlening.

Prima reactie Gert-Jan. Ik heb NICTIZ al enkele jaren geleden aangegeven, dat GBZ en ZSP onvoldoende is. Je moet stabiliteit en continuiteit van de organisatie vaststellen. Dit betekent, dat je ook heel goed naar de financien moet kijken, maar ook naar de volwassenheid van de organisatie. Ik heb zelf geconstateerd, dat Infotechn. nog lang geen volwassen serviceorganisatie was. Financieel heb ik geen onderzoek gedaan. een leverancier van producten en projecten is echt een andere organsiatie als een ASP/SaaS-leverancier.

Ik krijg de indruk dat “de wereld nogal naief is” op dit onderdeel.
– ZSP keur gaat alleen over de technische/organisatorische beveiliging van het netwerk. Certificaat zegt dus niets over de financiele gezondheid
– Een veilig netwerk is slechts en klein deel van de totale data beveiliging en verantwoordelijkheid
– De zorginstelling is altijd verantwoordelijk voor de data & beveiliging: Dat is niet uit te besteden of te verleggen