Risicoanalyse Informatiebeveiliging (NEN 7510)
Versie 1.0.0 - maart 2026
Dit document bevat de risicoanalyse conform NEN 7510, gericht op de bescherming van informatie-assets binnen Remedice.
1. Methodiek
Risico's worden geevalueerd op basis van:
- BIV-classificatie per asset (Beschikbaarheid, Integriteit, Vertrouwelijkheid)
- Dreigingsmodellering op basis van NEN 7510 Bijlage A
- Risicoscore: Kans (1-5) x Impact (1-5). Acceptabel: <= 6, Aandacht: 7-12, Onacceptabel: >= 13
2. Asset-inventaris en BIV-classificatie
| Asset | Beschrijving | B | I | V |
|---|---|---|---|---|
| Patientgegevens (medicatiebeoordeling) | Naam, geboortedatum, medicatie, CI, allergieen, labwaarden | M | H | H |
| Analyseresultaten | STOPP-NL, ACB, dubbelmedicatie, etc. | M | H | H |
| Chatgegevens (Atlas) | Berichten, bronnen, optioneel gepseudonimiseerde patientcontext (leeftijdsbucket, geslacht, medicatie, CI's, labwaarden) voor RAG-retrieval | L | M | M |
| Accountgegevens medewerkers | Naam, e-mail, rollen, authenticatie | M | H | H |
| OIDC-koppelingen (ZORG-ID/Google/Apple) | Provider en subject-identifier (UserOidcIdentity) |
L | H | M |
| Authenticatie-secrets | Wachtwoord-hashes, TOTP-secrets | L | H | H |
| Audit logs | Beveiligings- en toegangsgebeurtenissen | M | H | M |
| Facturatiegegevens | KvK, adres, e-mail | L | M | M |
| Applicatie-infrastructuur | Servers, database, cache, S3 | H | H | M |
| Versleutelingssleutels | FIELD_ENCRYPTION_KEY, KMS keys | L | H | H |
B = Beschikbaarheid, I = Integriteit, V = Vertrouwelijkheid. L = Laag, M = Middel, H = Hoog.
3. Dreigingen en risicobeoordeling
3.1 Externe dreigingen
| # | Dreiging | BIV | Kans | Impact | Score | Maatregelen | Restscore |
|---|---|---|---|---|---|---|---|
| N1 | Phishing / gestolen credentials | V | 3 | 4 | 12 | Verplichte 2FA (TOTP), rate limiting, audit logging mislukte logins, security awareness | 4 |
| N2 | Brute-force aanval op authenticatie | V | 2 | 4 | 8 | Rate limiting (10/min login, 5/min TOTP), account lockout, audit logging | 3 |
| N3 | SQL-injectie of applicatie-exploit | V, I | 2 | 5 | 10 | Django ORM (geparametriseerde queries), inputvalidatie, CSRF-bescherming, regelmatige updates | 3 |
| N4 | DDoS-aanval | B | 2 | 3 | 6 | AWS infrastructuur, auto-scaling, rate limiting | 3 |
| N5 | Ransomware | B, I | 2 | 5 | 10 | Dagelijkse backups, gescheiden backup-opslag (S3), incidentresponsplan | 4 |
| N6 | Man-in-the-middle aanval | V | 1 | 4 | 4 | TLS 1.2+, HSTS, certificate pinning (mobiel) | 2 |
| N7 | Social engineering | V | 3 | 3 | 9 | 2FA, beveiligingsbewustzijn, uitnodigingsgebaseerd accountbeheer | 4 |
3.2 Interne dreigingen
| # | Dreiging | BIV | Kans | Impact | Score | Maatregelen | Restscore |
|---|---|---|---|---|---|---|---|
| N8 | Onbevoegde toegang door medewerker apotheek | V | 2 | 4 | 8 | RBAC, audit logging, least privilege, permission gating in UI | 4 |
| N9 | Opzettelijk datamisbruik door insider | V, I | 1 | 5 | 5 | Audit logging (HIGH-severity), geheimhouding, accountdeactivatie, beperkte admin-toegang | 3 |
| N10 | Onjuiste data-invoer door gebruiker | I | 3 | 3 | 9 | Inputvalidatie, ATC-verrijking via G-Standaard, handmatige correctiemogelijkheid | 4 |
| N19 | Verkeerd geadresseerde interne uitnodiging geeft verkeerde persoon toegang | V | 2 | 5 | 10 | Patientdata-toegang vereist een RBAC-permissie plus step-up (verse tweede factor binnen 30 minuten); uitnodiging via SHA256-gehasht token met 7 dagen geldigheid; HIGH-severity audit logging; intrekken en deactiveren van accounts | 4 |
3.3 Leveranciersrisico's
| # | Dreiging | BIV | Kans | Impact | Score | Maatregelen | Restscore |
|---|---|---|---|---|---|---|---|
| N11 | Datalek bij AWS (incl. Bedrock/Transcribe) | V | 1 | 5 | 5 | DPA, ISO 27001/27017/27018, SOC 2, veldversleuteling (data onleesbaar zonder key), Bedrock zero-retention en geen modeltraining, EU-region eu-central-1 |
2 |
| N12 | Datalek bij Google (Cloud Text-to-Speech, TTS-only) | V | 1 | 3 | 3 | DPA, SCCs, uitsluitend werkafspraken-podcast-script (geen patientdata) naar Google | 2 |
| N13 | Uitval AWS-regio | B | 1 | 4 | 4 | Dagelijkse backups, S3-replicatie, disaster recovery plan | 3 |
| N14 | Stripe datalek | V | 1 | 2 | 2 | PCI-DSS Level 1, geen kaartnummers opgeslagen door Remedice | 1 |
3.4 Technische risico's
| # | Dreiging | BIV | Kans | Impact | Score | Maatregelen | Restscore |
|---|---|---|---|---|---|---|---|
| N15 | Verlies versleutelingssleutel | V, B | 1 | 5 | 5 | Key management via AWS KMS, key rotation, backup van FIELD_ENCRYPTION_KEY | 3 |
| N16 | Database-corruptie | I, B | 1 | 5 | 5 | Dagelijkse backups, PostgreSQL WAL, transaction isolation | 2 |
| N17 | Cross-tenant data lekkage | V | 1 | 5 | 5 | Schema-isolatie (django-tenants), ORM-afscherming, integratietests | 2 |
| N18 | Onbeheerst uitgaand verkeer vanuit publieke subnets (geen NAT Gateway) | V, B | 2 | 3 | 6 | Strikte security groups (egress least-privilege, geen inkomend verkeer behalve via de load balancer); een org-niveau SCP weigert publieke ingress buiten poort 80/443; IaC-beheerd. Geen integratie vereist source-IP-allowlisting. SG-equivalentie ten opzichte van private-subnet-met-NAT gedocumenteerd (zie 5.2). | 3 |
4. Statement of Applicability (SoA)
De volgende NEN 7510 Bijlage A-controlfamilies zijn van toepassing:
| Controlfamilie | Status | Implementatie |
|---|---|---|
| A.5 Informatiebeveiligingsbeleid | Geimplementeerd | Dit document + beveiligingsbeleid |
| A.6 Organisatie van informatiebeveiliging | Geimplementeerd | Verantwoordelijkheden gedefinieerd |
| A.7 Beveiliging van personeel | Geimplementeerd | Geheimhouding, awareness |
| A.8 Beheer van bedrijfsmiddelen | Geimplementeerd | Asset-inventaris hierboven |
| A.9 Toegangsbeheer | Geimplementeerd | Zie toegangsbeleid |
| A.10 Cryptografie | Geimplementeerd | Fernet (AES-128-CBC), TLS 1.2+, AWS KMS (AES-256-GCM) |
| A.11 Fysieke beveiliging | N.v.t. | Gedelegeerd aan AWS (SOC 2, ISO 27001) |
| A.12 Beveiliging van bedrijfsvoering | Geimplementeerd | Wijzigingsbeheer, logging, malwareprotectie (AWS) |
| A.13 Communicatiebeveiliging | Geimplementeerd | Zie communicatiebeveiliging |
| A.14 Acquisitie/ontwikkeling/onderhoud | Geimplementeerd | IEC 62304, code review, CI/CD |
| A.15 Leveranciersrelaties | Geimplementeerd | DPAs, subverwerkersregister |
| A.16 Incidentmanagement | Geimplementeerd | Datalekkenprotocol |
| A.17 Bedrijfscontinuiteit | Geimplementeerd | Backups, disaster recovery |
| A.18 Naleving | Geimplementeerd | Dit compliancedossier |
5. Restrisico-acceptatie
Na implementatie van alle maatregelen zijn alle restrisicoscores <= 4 (acceptabel). De directie van Remedice accepteert de restrisico's. De verwerkingsverantwoordelijke (apotheek) wordt via deze documentatie geinformeerd over het restrisicoprofiel.
5.1 Bewuste risicoacceptatie: WebLogin strikte modus
De WebLogin-functionaliteit (QR-gebaseerde device-registratie) heeft optionele strikte validatie van user-agent en IP-adres. Deze zijn bewust uitgeschakeld in productie (WEBLOGIN_STRICT_UA=False, WEBLOGIN_STRICT_IP=False).
Reden: Mobiele netwerken wisselen regelmatig van IP-adres (carrier-grade NAT, WiFi/4G-switching). Strikte IP-validatie leidt tot veel fout-negatieve afwijzingen, wat de bruikbaarheid ernstig vermindert.
Compenserende maatregelen: - TOTP-verificatie verplicht bij elke WebLogin-sessie - Device trust via HMAC challenge-response - Rate limiting op WebLogin-endpoints (start: 10/min, status: 120/min, confirm: 30/min) - Audit logging van alle WebLogin-pogingen - Automatische sessie-expiratie
5.2 Bewuste risicoacceptatie: geen NAT Gateway
De productie- en staging-omgeving draaien zonder NAT Gateway. Alle Fargate-taken (backend, celery, scraper-runner) staan in publieke subnets met assignPublicIp en strikte security groups.
Reden: een NAT Gateway voegt vaste maandkosten en een extra failure-mode toe zonder beveiligingswinst op deze schaal. Geen enkele integratie vereist source-IP-allowlisting; uitgaand verkeer loopt rechtstreeks via de internet gateway over IPv4 en IPv6.
Compenserende maatregelen: - Security groups met least-privilege egress, geen inkomend verkeer behalve via de load balancer - Infrastructure-as-Code beheert alle SG-regels, peer-reviewed bij wijziging - Geen langdurige inkomende verbindingen op de taken zelf - Trigger om alsnog een NAT Gateway toe te voegen is gedocumenteerd: een partner die expliciet source-IP-whitelisting eist
6. Review
Deze risicoanalyse wordt jaarlijks herzien, of eerder bij:
- Wezenlijke wijzigingen in de technische architectuur
- Nieuwe dreigingsinformatie
- Beveiligingsincidenten
- Wijzigingen in het subverwerkerlandschap