door Ronald Bon - Chief Information Security Officer

Waarom is een TPM-verklaring belangrijk bij implementatie van een gehost CS-Zorgportaal?

U overweegt om uw zorgportaal onder te brengen in de hostingomgeving van een ICT-leverancier. Daarbij kijkt u onder meer of de leverancier in het bezit is van een Third Party Mededeling, of kortweg TPM-verklaring. Maar waarom is dit zo belangrijk?

Wat is een TPM-verklaring?

De Third Party Mededeling wordt ook wel Derdenverklaring of TPM genoemd. Een onafhankelijk auditor geeft deze af en het is het bewijs dat de kwaliteit en beheersing van de ICT-dienstverlening aantoonbaar in orde is.

Wanneer krijgt u hiermee te maken?

U krijgt hiermee te maken wanneer u een leverancier zoekt die voor u een beveiligde webomgeving opzet waarin gebruik gemaakt wordt van een DigiD-koppeling, bijvoorbeeld voor toegang tot een zorgportaal. Aan de hand van verschillende criteria, wordt de set van beveiligingsmaatregelen en -procedures beoordeelt volgens de actuele eisen en wetgeving. Het doel is om te toetsen of de omgeving optimaal beveiligd is.

Waarvoor heeft ICTZ een TPM-verklaring?

Overweegt u de keuze voor hosting van het CS-Zorgportaal? Dan is het feit dat ICTZ in het bezit is van de verklaring voor u relevant.

Wij hebben een standaard ontwikkeld voor de technische inrichting van de infrastructuur van het CS-Zorgportaal die draait in onze hostingomgeving. Deze moet voldoen aan de ‘Norm ICT-beveiligingsassessments DigiD 2.0’ van Logius. Onze auditor heeft onze standaard inrichting beoordeeld met een positief resultaat en daarvoor een TPM-verklaring afgegeven. Omdat deze goedgekeurde standaard de basis vormt voor élke inrichting, is bij een DigiD-audit al een aanzienlijk deel succesvol afgerond op het moment dat u deze TPM-verklaring kunt overleggen.

Wat betekent het voor u?

Het laten auditen van de infrastructuur is een veelomvattend proces. Er is veel kennis nodig van de technische details van de inrichting en u moet weten hoe u de eisen in de praktijk toepast. Dankzij de ICTZ-standaard wordt uw omgeving al direct volgens actuele normen opgezet én bijgehouden. Want als normen aangepast worden, dan weten wij precies hoe wij uw technische inrichting moeten aanpassen om blijvend te kunnen voldoen. Deze kennis hoeft u daarom niet zelf in huis te halen.

Wat moet u zelf nog doen?

De TPM-verklaring van ICTZ geldt voor het technische deel van de inrichting. De inrichting van de software moet nog wel jaarlijks geaudit worden, daar bent u zelf verantwoordelijk voor. Maar het feit dat voor de technische kant van het CS-Zorgportaal binnen enkele werkdagen groen licht gegeven kan worden, betekent dat de implementatie van het portaal veel minder tijd hoeft te kosten.

Hoe gaat het verkrijgen van de TPM-verklaring in zijn werk?

Het kost slechts enkele werkdagen om een TPM-verklaring voor uw inrichting te krijgen. Enige voorwaarde is dat wij de getekende SLA-overeenkomst en verwerkersovereenkomst aan onze auditor moeten overleggen. De TPM-verklaring is een standaard onderdeel van de hostingoplossing voor het CS-Zorgportaal en brengt voor u geen extra kosten met zich mee.