Ga naar inhoud

Leiderschap en rollen (NEN 7510-1, H5)

Versie 1.0.0 - juni 2026

Dit document legt het commitment van het topmanagement vast, het informatiebeveiligingsbeleid op hoofdlijnen, en de rollen, verantwoordelijkheden en bevoegdheden voor informatiebeveiliging. Het voldoet aan hoofdstuk 5 van NEN 7510-1:2024 en aan de beheersmaatregelen A.5.2, A.5.3 en A.5.4.

Status

Certificering tegen NEN 7510-1 is in voorbereiding. Het beleid en de rolverdeling hieronder zijn vastgesteld; de bijbehorende periodieke beoordelingen worden via de management review uitgevoerd.

1. Commitment van het topmanagement (H5.1)

Remedice is een eenmanszaak. De eigenaar vervult de rol van topmanagement (directie) en draagt de eindverantwoordelijkheid voor informatiebeveiliging. Het topmanagement toont leiderschap en betrokkenheid door:

  • het informatiebeveiligingsbeleid en de doelstellingen vast te stellen en af te stemmen op de strategische richting van Remedice;
  • te waarborgen dat de eisen van het ISMS worden geintegreerd in de processen (ontwikkeling, deployment, incidentbeheer);
  • de benodigde middelen beschikbaar te stellen (tijd, tooling, externe expertise waar nodig);
  • het belang van informatiebeveiliging te communiceren;
  • de beoogde resultaten van het ISMS te bewaken via monitoring en management review;
  • continue verbetering te bevorderen.

Het topmanagement accepteert de restrisico's zoals vastgelegd in de risicoanalyse.

2. Informatiebeveiligingsbeleid (H5.2)

Het topmanagement heeft een informatiebeveiligingsbeleid vastgesteld dat:

  • passend is voor het doel van de organisatie;
  • het kader biedt voor het vaststellen van de informatiebeveiligings-doelstellingen;
  • een verbintenis bevat om aan de van toepassing zijnde eisen te voldoen;
  • een verbintenis bevat tot continue verbetering van het ISMS.

Het beleid is uitgewerkt in Informatiebeveiligingsbeleid, is beschikbaar als gedocumenteerde informatie, wordt gecommuniceerd binnen de organisatie en is op verzoek beschikbaar voor belanghebbenden (apotheken, auditoren). Het beleid wordt ten minste eenmaal per jaar en na elke significante beveiligingsgebeurtenis beoordeeld (A.5.1).

3. Rollen, verantwoordelijkheden en bevoegdheden (H5.3, A.5.2)

NEN 7510 (A.5.2) eist dat ten minste een persoon verantwoordelijk is voor informatiebeveiliging.

Rol Ingevuld door Verantwoordelijkheid
Topmanagement (directie) Eigenaar Remedice Vaststellen beleid en doelstellingen, middelen, restrisico-acceptatie, management review
Verantwoordelijke informatiebeveiliging (security officer / ISMS-eigenaar) Eigenaar Remedice Inrichten en onderhouden ISMS, risicobeoordeling, incidentcoordinatie, rapportage aan topmanagement
Ontwikkeling en beheer Eigenaar Remedice Veilige ontwikkeling, deployment, technische beheersmaatregelen
Verwerkingsverantwoordelijke (apotheek) Klant Interne autorisatie, gebruikersbeheer, beroepsgeheim, melden incidenten

In de huidige eenmanszaak worden deze rollen door een persoon vervuld. De verantwoordelijke voor informatiebeveiliging rapporteert (in deze constructie aan zichzelf als topmanagement) over de prestaties van het ISMS via de jaarlijkse management review, die als gedocumenteerde informatie wordt vastgelegd.

4. Functiescheiding (A.5.3)

Functiescheiding is in een eenmanszaak structureel beperkt: een persoon ontwikkelt, deployt en beheert. Dit is een bewust geaccepteerd restrisico (zie risicoanalyse, interne dreigingen). Compenserende maatregelen:

  • Infrastructure-as-Code (Terraform) met peer-review-discipline: wijzigingen zijn herleidbaar en reproduceerbaar, niet ad hoc op de console.
  • Audit logging van alle handelingen met HIGH-severity op gevoelige acties.
  • Geautomatiseerde poorten in CI (bandit, ruff, tests) die menselijke fouten afvangen onafhankelijk van de ontwikkelaar.
  • Beperkte, herleidbare productietoegang via tijdelijke ECS-taken voor onderhoud in plaats van permanente toegang.

Bij de eerste medewerker wordt functiescheiding ingevoerd: scheiding van ontwikkel- en goedkeuringsrollen en van beheer van productietoegang. Dit is vastgelegd in Personeelsbeveiliging.

5. Managementverantwoordelijkheden (A.5.4)

Het management eist dat alle personen die onder het gezag van Remedice werken informatiebeveiliging toepassen overeenkomstig dit beleid, de onderwerpspecifieke beleidsregels en de procedures. Dit wordt geborgd via de arbeidsovereenkomst en het bewustwordingsprogramma (zie Competentie & bewustwording) zodra er personeel is.

6. Review

Dit document wordt jaarlijks herzien tijdens de management review, of eerder bij wijziging van de organisatiestructuur (bijvoorbeeld de eerste medewerker of omzetting naar een B.V.).