#Privacypost: Handvatten voor omgaan met risico’s in de toeleveringsketen

#Privacypost: Handvatten voor omgaan met risico’s in de toeleveringsketen

Jij gaat er toch ook vanuit dat niemand je hotelkamer binnenloopt en dat je je auto veilig kan parkeren? Mogelijk schakelt het hotel hiervoor andere bedrijven in voor een goed pasjessysteem en bewaking van de parkeerplaats. Er zijn dan veel bedrijven aan het werk om jou een prettige vakantie te bezorgen.   Zo werkt het in de zorg ook. Als organisatie maak je gebruik van een EPD-leverancier. Deze EPD-leverancier maakt op zijn beurt ook weer gebruik van verschillende leveranciers, zoals een datacentrum. Zo ontstaat een hele keten, de zogenaamde toeleveringsketen. Als klant van je EPD leverancier merk je daar niet veel van. Maar als bij het datacentrum een storing uitbreekt, waardoor jouw EPD leverancier geen beschikbaarheid kan leveren en jouw EPD tijdelijk niet te gebruiken is, heb je daar wel degelijk last van. Het is dus belangrijk om zicht en grip te houden op risico’s rondom cybersecurity in deze keten. Dat is in de praktijk vaak lastig. Het NCSC (Nationaal Cyber Security Centrum) heeft veel tips en handvatten gepresenteerd. We delen een aantal handvatten met je. Een belangrijke stap is het creëren van overzicht.    

Tip 1: zorg voor een actueel overzicht van je belangrijke informatie
Denk aan personeelsinformatie of een klantendatabase, maar ook laptops. Vaak houdt je ICT-afdeling hier een overzicht van bij.  

Tip 2: maak een leveranciersoverzicht
Verschillende afdelingen gebruiken verschillende leveranciers, bijvoorbeeld het EPD voor het primaire proces of een applicatie voor ondersteunende afdelingen communicatie of HRM. Vaak biedt het crediteurenoverzicht van de inkoopafdeling een belangrijke bron van informatie. Vraag hen eens.

Tip 3: classificeer en prioriteer je leveranciers
Een goed startpunt is vaak om te bedenken welke leveranciers toegang hebben tot je vertrouwelijke systemen en data. Maar ook: welke leveranciers zijn kritisch voor het primaire of kritische (bedrijfs)proces?

Tip 4: ken, doorzie en begrijp je belangrijkste leveranciers
Onze belangrijkste tip van Zorgnetoost is: ga periodiek het gesprek aan met de security expert van je leverancier. Vraag hem of waar risico’s bestaan, maar ook wat ontwikkelingen zijn. Ook biedt dit een goed moment om kennis en ervaring uit te wisselen.

Ben je klaar voor meer tips? Lees dan de factsheet ‘omgaan met risico’s in de toeleveringsketen’ van het NCSC. Een aanrader wat ons betreft.