Enviar búsqueda
Cargar
Whitepaper informatiebeveiliging in de zorg nen7510 herzien
•
0 recomendaciones
•
1,851 vistas
J
Jill Pluijmaekers-Lemmens
Seguir
Salud y medicina
Denunciar
Compartir
Denunciar
Compartir
1 de 16
Descargar ahora
Descargar para leer sin conexión
Recomendados
CPUs, Form Factor And Sockets
CPUs, Form Factor And Sockets
ricsanmae
The trusted computing architecture
The trusted computing architecture
G Prachi
Case study on Intel core i3 processor.
Case study on Intel core i3 processor.
Mauryasuraj98
PROCESSOR
PROCESSOR
Marlon Rabacca
Computer hardware
Computer hardware
Deepankar Gupta
Memory cards
Memory cards
Goa App
Embedded system ppt
Embedded system ppt
Vivek Chamorshikar
Parallel computing in india
Parallel computing in india
Preeti Chauhan
Recomendados
CPUs, Form Factor And Sockets
CPUs, Form Factor And Sockets
ricsanmae
The trusted computing architecture
The trusted computing architecture
G Prachi
Case study on Intel core i3 processor.
Case study on Intel core i3 processor.
Mauryasuraj98
PROCESSOR
PROCESSOR
Marlon Rabacca
Computer hardware
Computer hardware
Deepankar Gupta
Memory cards
Memory cards
Goa App
Embedded system ppt
Embedded system ppt
Vivek Chamorshikar
Parallel computing in india
Parallel computing in india
Preeti Chauhan
Motherboard Components
Motherboard Components
stooty s
ITE v5.0 - Chapter 2
ITE v5.0 - Chapter 2
Irsandi Hasan
Int. ceiling finishes
Int. ceiling finishes
Arissa Loh
PRIMARY STORAGE
PRIMARY STORAGE
Kak Yong
Central processing unit
Central processing unit
mariolinov
Presentation on Computer Processor
Presentation on Computer Processor
MoizAlSamad
Introduction of ram ddr3
Introduction of ram ddr3
Jatin Goyal
Intel’s core i7
Intel’s core i7
Chandresh Mahajan
Graphics Processing Unit by Saurabh
Graphics Processing Unit by Saurabh
Saurabh Kumar
Symmetric and Asymmetric Encryption.ppt
Symmetric and Asymmetric Encryption.ppt
HassanAli980906
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Joe Sylve
Presentation on - Processors
Presentation on - Processors
The Avi Sharma
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
JUSTthIS_Molen
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Jeroen Oversteegen
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
Av23
Av23
Rogier Posthuma
2007 beleidsdocument veilig_melden
2007 beleidsdocument veilig_melden
siegfried van hoek
Handreiking - Operator Security Plan
Handreiking - Operator Security Plan
NAVI
Whitepaper Ict In De Zorg
Whitepaper Ict In De Zorg
stijnvanderwalle
110217 Adam Presentatie
110217 Adam Presentatie
mr38schev
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
Stonefield bedrijfspresentatie
Stonefield bedrijfspresentatie
stonefield
Más contenido relacionado
La actualidad más candente
Motherboard Components
Motherboard Components
stooty s
ITE v5.0 - Chapter 2
ITE v5.0 - Chapter 2
Irsandi Hasan
Int. ceiling finishes
Int. ceiling finishes
Arissa Loh
PRIMARY STORAGE
PRIMARY STORAGE
Kak Yong
Central processing unit
Central processing unit
mariolinov
Presentation on Computer Processor
Presentation on Computer Processor
MoizAlSamad
Introduction of ram ddr3
Introduction of ram ddr3
Jatin Goyal
Intel’s core i7
Intel’s core i7
Chandresh Mahajan
Graphics Processing Unit by Saurabh
Graphics Processing Unit by Saurabh
Saurabh Kumar
Symmetric and Asymmetric Encryption.ppt
Symmetric and Asymmetric Encryption.ppt
HassanAli980906
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Joe Sylve
Presentation on - Processors
Presentation on - Processors
The Avi Sharma
La actualidad más candente
(12)
Motherboard Components
Motherboard Components
ITE v5.0 - Chapter 2
ITE v5.0 - Chapter 2
Int. ceiling finishes
Int. ceiling finishes
PRIMARY STORAGE
PRIMARY STORAGE
Central processing unit
Central processing unit
Presentation on Computer Processor
Presentation on Computer Processor
Introduction of ram ddr3
Introduction of ram ddr3
Intel’s core i7
Intel’s core i7
Graphics Processing Unit by Saurabh
Graphics Processing Unit by Saurabh
Symmetric and Asymmetric Encryption.ppt
Symmetric and Asymmetric Encryption.ppt
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Android Mind Reading: Android Live Memory Analysis with LiME and Volatility
Presentation on - Processors
Presentation on - Processors
Similar a Whitepaper informatiebeveiliging in de zorg nen7510 herzien
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
JUSTthIS_Molen
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Jeroen Oversteegen
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
Av23
Av23
Rogier Posthuma
2007 beleidsdocument veilig_melden
2007 beleidsdocument veilig_melden
siegfried van hoek
Handreiking - Operator Security Plan
Handreiking - Operator Security Plan
NAVI
Whitepaper Ict In De Zorg
Whitepaper Ict In De Zorg
stijnvanderwalle
110217 Adam Presentatie
110217 Adam Presentatie
mr38schev
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
Stonefield bedrijfspresentatie
Stonefield bedrijfspresentatie
stonefield
Flexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorg
Paul Leenards
Algemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
Les 2 Informatieverzorging
Les 2 Informatieverzorging
Mediena Business School
Health Insights voor uw EPD-ZIS: ChipSoft HiX bij Rivas Zorggroep
Health Insights voor uw EPD-ZIS: ChipSoft HiX bij Rivas Zorggroep
healthinsights
Oplossing zakelijke dienstverlening
Oplossing zakelijke dienstverlening
Evelien Verkade
Traceabilityinde gezondheidszorg medischehulpmiddelen1 0
Traceabilityinde gezondheidszorg medischehulpmiddelen1 0
GS1 Nederland
Icuro
Icuro
Sven Vanderwegen
Folder privacy-wetgeving primair onderwijs
Folder privacy-wetgeving primair onderwijs
Herman Boersma
Zorg en ict
Zorg en ict
Frank Aarts
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
Similar a Whitepaper informatiebeveiliging in de zorg nen7510 herzien
(20)
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Hypotheekbond - CBP 2013 richtsnoeren beveiliging persoonsgegevens - College ...
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Av23
Av23
2007 beleidsdocument veilig_melden
2007 beleidsdocument veilig_melden
Handreiking - Operator Security Plan
Handreiking - Operator Security Plan
Whitepaper Ict In De Zorg
Whitepaper Ict In De Zorg
110217 Adam Presentatie
110217 Adam Presentatie
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Stonefield bedrijfspresentatie
Stonefield bedrijfspresentatie
Flexibilisering van het werken in de zorg
Flexibilisering van het werken in de zorg
Algemene informatie RI&E privacy
Algemene informatie RI&E privacy
Les 2 Informatieverzorging
Les 2 Informatieverzorging
Health Insights voor uw EPD-ZIS: ChipSoft HiX bij Rivas Zorggroep
Health Insights voor uw EPD-ZIS: ChipSoft HiX bij Rivas Zorggroep
Oplossing zakelijke dienstverlening
Oplossing zakelijke dienstverlening
Traceabilityinde gezondheidszorg medischehulpmiddelen1 0
Traceabilityinde gezondheidszorg medischehulpmiddelen1 0
Icuro
Icuro
Folder privacy-wetgeving primair onderwijs
Folder privacy-wetgeving primair onderwijs
Zorg en ict
Zorg en ict
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Más de Jill Pluijmaekers-Lemmens
Kaart propharma 2012
Kaart propharma 2012
Jill Pluijmaekers-Lemmens
Aanmeldingsformulier ´veranderingen in de awbz´
Aanmeldingsformulier ´veranderingen in de awbz´
Jill Pluijmaekers-Lemmens
PerCura Detachering brochure
PerCura Detachering brochure
Jill Pluijmaekers-Lemmens
Presentatie richtlijn overdracht van medicatiegegevens EKC-ers
Presentatie richtlijn overdracht van medicatiegegevens EKC-ers
Jill Pluijmaekers-Lemmens
Verantwoordelijkheden v1.1
Verantwoordelijkheden v1.1
Jill Pluijmaekers-Lemmens
Proces van medicatieoverdracht v1.1
Proces van medicatieoverdracht v1.1
Jill Pluijmaekers-Lemmens
Medicatieoverzicht versie 1.1
Medicatieoverzicht versie 1.1
Jill Pluijmaekers-Lemmens
Más de Jill Pluijmaekers-Lemmens
(7)
Kaart propharma 2012
Kaart propharma 2012
Aanmeldingsformulier ´veranderingen in de awbz´
Aanmeldingsformulier ´veranderingen in de awbz´
PerCura Detachering brochure
PerCura Detachering brochure
Presentatie richtlijn overdracht van medicatiegegevens EKC-ers
Presentatie richtlijn overdracht van medicatiegegevens EKC-ers
Verantwoordelijkheden v1.1
Verantwoordelijkheden v1.1
Proces van medicatieoverdracht v1.1
Proces van medicatieoverdracht v1.1
Medicatieoverzicht versie 1.1
Medicatieoverzicht versie 1.1
Whitepaper informatiebeveiliging in de zorg nen7510 herzien
1.
Informatiebeveiliging
in de zorg – NEN 7510 herzien NEN 7510 Informatiebeveiliging binnen de gezondheidszorg is de afgelopen jaren uitgegroeid tot een belangrijk thema. Het gezamenlijke doel is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Om informatiebeveiliging in de zorg eenduidig te kunnen definiëren is in 2004 met de NEN7510- norm een kader vastgesteld. NEN 7510 richt zich op zorginstellingen en andere organisaties die bij informatievoorziening in de gezondheidszorg zijn betrokken, ongeacht de aard en de omvang van het bedrijfsproces. Daarnaast zijn in 2005 drie verschillende toetsbare voorschriften opgesteld. In het toetsbaar voorschrift staat een set van eisen waaraan zorgverleners zich kunnen spiegelen. Het toetsbaar voorschrift is opgesteld voor (1) complexe organisaties, (2) samenwerkende organisaties en (3) solopraktijken. Aangezien NEN-normen iedere 5 jaar herzien worden op actualiteit, is in oktober 2011 de NEN7510 herzien. Het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg hebben zich in het verleden op het standpunt gesteld dat alle zorgverleners aan deze norm moeten voldoen. Het ligt in de lijn der verwachting dat deze toezichthouders dus ook (na enige tijd zullen gaan) verlangen dat zorgverleners aan deze herziene normen (gaan) voldoen. De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit 2005 (de toetsbare voorschriften). De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799, die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging' (NEN-ISO-IEC 27002) in de gezondheidszorg. Informatiebeveiliging voor de gezondheidszorg Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Informatiebeveiliging is het waarborgen van de vertrouwelijkheid, integriteit en schikbaarheid van informatie. Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatievoorziening (een overal bereikbaar patiëntdossier) met bijzondere risico’s (soms levensbedreigend, ProPharma © Pagina 1 van 16 22 november 2011
2.
zeer privacygevoelig). De
gezondheidszorg vraagt daarom een specifieke weging van bovengenoemde drie aspecten van informatiebeveiliging. De informatiebeveiliging in de gezondheidszorg moet zich uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen. Een patiënt heeft immers te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt ‘naadloze’ zorg. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënt een behandelingsovereenkomst, heeft hij/zij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan. Niet alle gegevens in een zorgorganisatie behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico’s waaraan deze wordt blootgesteld. Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor het bepalen van de prioriteiten en noodzakelijke middelen. Toepassingsgebied De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is uniek en er bestaan grote verschillen tussen organisaties. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van informatieverwerking die wordt gebruikt of in de cultuur van mensen die er werken. Er bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatie moeten worden toegespitst. De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, door middel van het geven van richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie moet treffen. De norm geeft een normatief raamwerk in de vorm van een Informatie Security Management System (ISMS). Het toepassingsgebied omvat de beveiliging van alle typen informatie in en informatie-uitwisseling tussen de zorgorganisatie(s), en alle mogelijke vormen waarin informatie wordt weergegeven, vastgelegd en overgedragen. Opbouw norm De norm is onderverdeeld in 11 hoofdstukken met beveiligingsmaatregelen (in willekeurige volgorde): 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie– en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10. Bedrijfscontinuïteitsbeheer 11. Naleving Elk hoofdstuk bevat een beheersdoelstelling en een (of meer) beheersmaatregelen die kunnen worden toegepast om de beheersdoelstelling te realiseren. ProPharma © Pagina 2 van 16 22 november 2011
3.
Doelstellingen en beheersmaatregelen Beveiligingsbeleid Een
informatiebeveiligingsbeleid besteed aandacht aan beleid, maatregelen en procedures die ingaan op de verantwoordelijkheden binnen de organisatie en procedures vastleggen binnen de organisatie op het gebied van informatiebeveiliging. Informatiebeveiligingsbeleid Doelstelling: Richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften. Beheersmaatregel: De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen. Beheersmaatregel: Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident, of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. Organisatie van informatiebeveiliging De leiding van een zorginstelling is verantwoordelijk voor de beveiliging van patiëntgegevens en andere vertrouwelijke informatie die door de organisatie wordt verwerkt. Dit is in het bijzonder van belang voor organisaties die afhankelijk zijn van diensten van derden. Effectieve coördinatie is ook een essentieel onderdeel van het beheer van informatiebeveiliging. Een en ander vereist een toegesneden en robuuste infrastructuur voor informatiebeveiliging. De interne organisatie Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie. Beheersmaatregel: De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. Beheersmaatregel: Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor informatiebeveiliging te coördineren. Beheersmaatregel: Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. Organisaties die patiëntgegevens verwerken behoren de verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te wijzen. Beheersmaatregel: Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd. Beheersmaatregel: Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie, behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld. Beheersmaatregel: Er behoren geschikte contacten met relevante overheidsinstanties (bijvoorbeeld politie, brandweer) te worden onderhouden. Beheersmaatregel: Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. Beheersmaatregel: De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. ProPharma © Pagina 3 van 16 22 november 2011
4.
De externe organisatie Doelstelling:
Beveiligen van de informatie en informatievoorziening van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd. Beheersmaatregel: De risico’s voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Beheersmaatregel: Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie. Beheersmaatregel: In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of informatievoorziening van de organisatie, of toevoeging van producten of diensten aan informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen. Beheer van bedrijfsmiddelen Informatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening worden gebruikt. Het begrip ‘middelen’ wordt hierbij ruim opgevat en omvat zowel gegevens en zaken die daaraan direct zijn gerelateerd, als overige voorzieningen die bij de informatievoorziening worden gebruikt. Verantwoordelijkheid voor bedrijfsmiddelen Doelstelling: Bereiken en handhaven van een adequate beveiliging van bedrijfsmiddelen van de organisatie. Beheersmaatregel: Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. Beheersmaatregel: Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een ‘verantwoordelijke’ te hebben georganiseerd. De verantwoordelijke is een persoon of entiteit met een managementverantwoordelijkheid voor het beheersen van productie, ontwikkeling, onderhoud, gebruik en beveiliging van de bedrijfsmiddelen. Beheersmaatregel: Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening. Classificatie van informatie Doelstelling: Bewerkstelligen dat informatie een passend niveau van bescherming krijgt. Beheersmaatregel: Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. Beheersmaatregel: Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. Alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers te wijzen op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk “vertrouwelijk” te zijn voorzien. Personeel Enkele belangrijke punten ten aanzien van het personeel is om voorafgaand aan het dienstverband de achtergrond te verifiëren, de verantwoordelijkheden omtrent informatiebeveiliging duidelijk te maken en dat er tijdens het dienstverband naar deze verantwoordelijkheden wordt gehandeld en de juiste procedures in acht worden genomen door het personeel omtrent informatiebeveiliging. Voorafgaand aan het dienstverband ProPharma © Pagina 4 van 16 22 november 2011
5.
Doelstelling:
Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen. Beheersmaatregel: De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie. Beheersmaatregel: Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico’s. Beheersmaatregel: Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en ondertekenen van hun arbeidscontract. In dit contract behoren hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging te zijn vastgelegd. Een organisatie die patiëntgegevens verwerkt, behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het informatie beveiligingsbeleid van de organisatie. Tijdens het dienstverband Doelstelling: Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen. Beheersmaatregel: De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie. Beheersmaatregel: Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie. Een organisatie die patiëntgegevens verwerkt, behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien. Beheersmaatregel: Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd. Beëindiging of wijziging van dienstverband Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers de organisatie ordelijk verlaten respectievelijk hun dienstverband ordelijk wijzigen. Beheersmaatregel: De verantwoordelijkheden bij beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen. Beheersmaatregel: Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst. Beheersmaatregel: De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT-voorzieningen behoren te worden ingetrokken bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast. ProPharma © Pagina 5 van 16 22 november 2011
6.
Fysieke beveiliging en
beveiliging van de omgeving Fysieke beveiliging van omgeving, gebouwen, ruimten en apparatuur van een zorginstelling is noodzakelijk ter voorkoming van verstoring van de informatievoorziening, diefstal van gegevens en bezittingen en onveilige situaties voor patiënten, bezoekers, eigen en externe medewerkers. Dit vergt bijzondere aandacht, want zorginstellingen zijn in veel gevallen vrij toegankelijk. Beveiligde ruimten Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie. Beheersmaatregel: Er behoren toegangsbeveiligingen te worden aangebracht om ruimten te beschermen waar zich informatie en IT-voorzieningen bevinden. Dit geldt in het bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar informatiesystemen met patiëntgegevens zijn opgesteld. Beheersmaatregel: Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. Beheersmaatregel: Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast. Beheersmaatregel: Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast. Beheersmaatregel: Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden ontworpen en toegepast. Beheersmaatregel: Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen. Beveiliging van apparatuur Doelstelling: Het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten. Beheersmaatregel: Apparatuur behoort zo te worden geplaatst en beschermd dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau. Beheersmaatregel: Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en onderbrekingen van andere nutsvoorzieningen te beperken. Beheersmaatregel: Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd. Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven. Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven. Beheersmaatregel: Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico’s van werken buiten het terrein van de organisatie. Een organisatie die patiëntgegevens verwerkt, behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al dan niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort. Beheersmaatregel: Wanneer apparatuur wordt verwijderd die opslagmedia bevat, behoort de organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur worden vernietigd of op veilige wijze worden overgeschreven. ProPharma © Pagina 6 van 16 22 november 2011
7.
Beheersmaatregel:
Apparatuur en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. Beheer van communicatie- en bedieningsprocessen Goed beheer van voorzieningen is van belang voor informatiebeveiliging. Het vastleggen van procedures en verantwoordelijkheden moet een correcte en veilige bediening van ICT-voorzieningen zo veel mogelijk waarborgen. De integriteit en beschikbaarheid van apparatuur, gegevens en gegevensverwerkende diensten en communicatiediensten moet worden beschermd om het risico van beveiligingsincidenten tot een minimum te beperken. Controle en logging behoren tot de belangrijkste maatregelen ter beveiliging van patiëntgegevens. Effectieve controle en logging kunnen misbruik van zorginformatiesystemen of patiëntinformatie helpen ontdekken en maken het mogelijk op te treden tegen gebruikers die misbruik maken van hun bevoegdheden. Bedieningsprocedures en verantwoordelijkheden Doelstelling: Waarborgen van een correcte en veilige bediening van IT-voorzieningen. Beheersmaatregel: Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben. Beheersmaatregel: Wijzigingen in de informatievoorziening en informatiesystemen behoren te worden beheerst met een formeel en gestructureerd proces dat niet onbedoeld afbreuk doet aan de informatievoorziening en continuïteit van zorg. Beheersmaatregel: Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen. Beheersmaatregel: De organisatie behoort omgevingen voor ontwikkeling, testen en voor instructiedoeleinden, gescheiden te houden van de productieomgeving (fysiek of virtueel) om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen. Beheer van de dienstverlening door een derde partij Doelstelling: Geschikt niveau van informatiebeveiliging en dienstverlening implementeren en bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door een derde partij. Beheersmaatregel: Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en actueel worden gehouden door die derde partij. Beheersmaatregel: De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld. Beheersmaatregel: Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging van risico’s. Systeemplanning en –acceptatie Doelstelling: Het risico van systeemstoringen tot een minimum beperken. Een voorafgaande planning en voorbereiding zijn noodzakelijk om afdoende capaciteit en beschikbaarheid van middelen te waarborgen die nodig zijn om de vereiste systeemprestaties te leveren. Beheersmaatregel: Het gebruik van middelen dient te worden gecontroleerd en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen met het oog op de vereiste systeemprestaties. Beheersmaatregel: De organisatie behoort acceptatiecriteria vast te stellen voor nieuwe informatiesystemen, upgrades en nieuwe versies en behoort geschikte testen uit te voeren voorafgaand aan de acceptatie. ProPharma © Pagina 7 van 16 22 november 2011
8.
Bescherming tegen kwaadaardige
programmatuur en ‘mobile code’ Doelstelling: Beschermen van de integriteit van programmatuur en informatie. Beheersmaatregel: Er behoren maatregelen te worden getroffen voor detentie, preventie en herstel om te beschermen tegen virussen en andere kwaadaardige programmatuur en om het risicobewustzijn van gebruikers te vergroten. Beheersmaatregel: Als gebruik van ‘mobile code’ is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd. Back-up en herstel Doelstelling: Handhaven van de integriteit en beschikbaarheid van informatie Beheersmaatregel: Er behoren stelselmatig back-up kopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde back-up beleid. Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens back-up kopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen. Beheer van netwerkbeveiliging Doelstelling: Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur. Beheersmaatregel: Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Beheersmaatregel: Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten. Behandeling van media Doelstelling: Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten. Beheersmaatregel: Er behoren procedures te zijn vastgesteld voor het beheer van verwijderde media. Beheersmaatregel: Alle gegevens op verwijderbare media behoren op veilige wijze te worden overschreven of de media behoren te worden vernietigd wanneer deze niet meer nodig zijn overeenkomstig formele procedures. Beheersmaatregel: Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaring of misbruik. Media met patiëntgegevens behoren te worden beveiligd en op deze beveiliging dient controle te worden uitgevoerd. Beheersmaatregel: Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang. Uitwisseling van informatie Doelstelling: Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit. Beheersmaatregel: Er behoren formeel beleid, formele procedures en beheersmaatregelen te zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen. Beheersmaatregel: Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. Beheersmaatregel: Media die informatie bevatten, behoren te worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie. ProPharma © Pagina 8 van 16 22 november 2011
9.
Beheersmaatregel:
Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op geschikte wijze te worden beschermd. Beheersmaatregel: Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie. Diensten voor e-commerce Doelstelling: Bewerkstelligen van de beveiliging van diensten voor e-commerce, en veilig gebruik ervan. Beheersmaatregel: Informatie die een rol speelt bij e-commerce en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie. Beheersmaatregel: Informatie die een rol speelt bij onlinertransacties behoort te worden beschermd om herhaling van transacties, onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen. Beheersmaatregel: De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen. Controle Doelstelling: Ontdekken van onbevoegde informatieverwerkingsactiviteiten Beheersmaatregel: Er behoren audit-logbestanden te worden aangemaakt, waarin activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden vastgelegd. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Beheersmaatregel: Er behoren procedures te worden vastgelegd om het gebruik van IT-voorzieningen te controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden beoordeeld. Beheersmaatregel: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen inbreuk en onbevoegde toegang. De logging van informatiesystemen voor het verwerken van patiëntgegevens behoort te zijn beveiligd en niet te manipuleren. Beheersmaatregel: Activiteiten van systeemadministrators en systeemoperators behoren in logbestanden te worden vastgelegd. Beheersmaatregel: Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte maatregelen te worden genomen. Beheersmaatregel: De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Zorginformatiesystemen die tijdkritische zorgactiviteiten ondersteunen behoren te voorzien in synchronisatie om mogelijke tijdsverschillen tussen verschillende registraties van activiteiten te signaleren en daarvoor te corrigeren. Toegangsbeveiliging Toegangsbeveiliging moet ervoor zorgen dat toegang tot voorzieningen en gegevens wordt verleend aan gebruikers die daartoe zijn gerechtigd en wordt geweigerd aan anderen. Het doel is te waarborgen dat het lezen, toevoegen, wijzigen en verwijderen van gegevens en programmatuur alleen door bevoegden en gecontroleerd kan plaatsvinden. Het belang en de wensen van de patiënt moeten hierin worden betrokken. Bedrijfseisen ten aanzien van toegangsbeheersing Doelstelling: Beheersen van de toegang tot informatie. Beheersmaatregel: Er behoort toegangsbeleid te worden vastgelegd, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele, ProPharma © Pagina 9 van 16 22 november 2011
10.
ethische, wettelijke en
patiëntgerelateerde eisen en tevens tegemoet komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg. Beheer van toegangsrechten van gebruikers Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot informatiesystemen voorkomen. Beheersmaatregel: Er behoren formele procedures voor het registreren en afmelden van gebruikers te zijn vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiediensten en –systemen. Beheersmaatregel: De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst. Beheersmaatregel: De toewijzing van wachtwoorden behoort met een formeel beheersproces te worden beheerst. Beheersmaatregel: De organisatie behoort de toegangsrechten van gebruikers, met inbegrip van de gebruikersregistraties en details daarbinnen, regelmatig te beoordelen in een formeel proces om zich te vergewissen dat ze compleet en nauwkeurig zijn en dat toegang nog steeds is gewenst. Verantwoordelijkheden van gebruikers Doelstelling: Voorkomen van onbevoegde toegang door gebruikers, en van beschadiging of diefstal van informatie en IT-voorzieningen. Beheersmaatregel: Gebruikers behoren goede beveiligingsgewoonten in acht te nemen bij het kiezen en gebruiken van wachtwoorden. Beheersmaatregel: Gebruikers behoren te bewerkstelligen dat onbeheerde apparatuur passend is beschermd. Beheersmaatregel: Er behoort een ‘clear desk’ – beleid en een ‘clear screen’ – beleid voor IT voorzieningen te worden ingesteld. Met een ‘clear desk’ en een ‘clear screen’– beleid worden de risico’s van onbevoegde toegang, verlies van en schade aan informatie tijdens en buiten kantooruren verminderd. Toegangsbeheersing voor netwerken Doelstelling: Het voorkomen van onbevoegde toegang tot netwerkdiensten Beheersmaatregel: Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn. Beheersmaatregel: Er behoren geschikte authenticatiemethoden te worden gebruikt om toegang van gebruikers op afstand te beheersen Beheersmaatregel: Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren. Beheersmaatregel: De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst. Beheersmaatregel: Groepen informatiediensten, gebruikers en informatiesystemen behoren op netwerken te worden gescheiden. Beheersmaatregel: Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen. Beheersmaatregel: Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen. Toegangsbeveiliging voor besturingssystemen Doelstelling: Voorkomen van onbevoegde toegang tot besturingssystemen Beheersmaatregel: Toegang tot besturingssystemen behoort te worden beheerst met een beveiligde inlogprocedure. ProPharma © Pagina 10 van 16 22 november 2011
11.
Beheersmaatregel:
Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers- ID) voor persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruikers te bewijzen, op basis van ten minste twee afzonderlijke kenmerken. Beheersmaatregel: Systemen voor wachtwoordbeheer behoren interactief te zijn en te bewerkstelligen dat wachtwoorden van geschikte kwaliteit gekozen worden. Beheersmaatregel: Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, behoort te worden beperkt en strikt te worden beheerst. Beheersmaatregel: Interactieve sessies behoren na een vastgestelde periode van inactiviteit automatisch ontoegankelijk te worden gemaakt. Beheersmaatregel: De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico. Toegangsbeheersing voor toepassingen en informatie Doelstelling: Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen Beheersmaatregel: Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel behoort te worden beheerst overeenkomstig het vastgestelde toegangsbeleid. Beheersmaatregel: Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid en/of om beschikbaarheid en/of om integriteit behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben. Draagbare computers en telewerken Doelstelling: Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en faciliteiten voor telewerken. Beheersmaatregel: Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico’s van het gebruik van draagbare computers en communicatiefaciliteiten. Beheersmaatregel: Er behoren beleid, operationele plannen en procedures voor telewerken te worden ontwikkeld en geïmplementeerd. Verwerving, ontwikkeling en onderhoud van informatiesystemen De ontwikkeling van de informatievoorziening brengt een combinatie met zich mee van aanschaf van producten, aanpassingen aan de specifieke situatie en invoeren van procedures. Bij de aanschaf van ontwikkeling en het onderhoud van informatiesystemen moet informatiebeveiliging in twee opzichten in acht worden genomen. Functionele eisen die informatiebeveiliging stelt, moeten worden meegenomen in het ontwerp en de ontwikkeling van informatiesystemen. Daarnaast moeten voor een veilig informatiesysteem ook de processen van ontwikkeling en onderhoud zelf voldoende worden beveiligd. Risicoanalyse en risicomanagement worden geïntegreerd tijdens de ontwikkeling en het onderhoud van informatiesystemen om tijdig, regelmatig en adequaat de beveiligingsbehoefte te analyseren en de maatregelen te bepalen om hieraan te voldoen. Beveiligingseisen voor informatiesystemen Doelstelling: Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen. Beheersmaatregel: In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen. Correcte verwerking in toepassingen Doelstelling: Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen. Beheersmaatregel: Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Informatiesystemen die ProPharma © Pagina 11 van 16 22 november 2011
12.
patiëntgegevens verwerken moeten
alle patiëntgegevens gecontroleerd van de juiste patiëntidentificatie voorzien. Beheersmaatregel: Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken. Beheersmaatregel: Er behoren eisen te worden vastgelegd en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen. Beheersmaatregel: Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. Daarnaast behoren informatiesystemen bij het presenteren van patiëntgegevens altijd voldoende identificerende gegevens te tonen om het de zorgverlener mogelijk te maken vast te stellen dat de patiëntgegevens de patiënt in kwestie betreffen. Cryptografische beheersmaatregelen Doelstelling: Beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie met behulp van cryptografische middelen Beheersmaatregel: Er behoort beleid te worden ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie. Beheersmaatregel: Er behoort sleutelbeheer te zijn vastgelegd ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie. Beveiliging van systeembestanden Doelstelling: Beveiliging van systeembestanden bewerkstelligen Beheersmaatregel: Er behoren procedures te zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen. Beheersmaatregel: Testgegevens behoren zorgvuldig te worden gekozen, beschermd en beheerst. Er behoren geen tot personen herleidbare patiëntgegevens te worden gebruikt als testgegevens. Beheersmaatregel: De toegang tot de broncode van programmatuur behoort te worden beperkt. Beveiliging bij ontwikkelings- en ondersteuningsprocessen Doelstelling: Beveiliging van toepassingsprogrammatuur en –informatie handhaven. Beheersmaatregel: De implementatie van wijzigingen behoort te worden beheerst door middel van formele procedures voor wijzigingsbeheer. Beheersmaatregel: Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie. Beheersmaatregel: Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden beperkt tot noodzakelijke wijzigingen, en alle wijzigingen behoren strikt te worden beheerst. Beheersmaatregel: Er behoort te worden voorkomen dat informatielekken ontstaan. Beheersmaatregel: Bij uitbestede ontwikkeling van programmatuur behoort de organisatie maatregelen te treffen ter waarborging van de kwaliteit van de ontwikkelde programmatuur. Beheer van technische kwetsbaarheden Doelstelling: Risico’s verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden. Beheersmaatregel: Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico’s. ProPharma © Pagina 12 van 16 22 november 2011
13.
Beheer van informatiebeveiligingsincidenten Het
niet naleven van beleid ten aanzien van informatiebeveiliging, storingen of fouten moeten volgens vastgelegde procedures worden aangepakt en via de juiste personen moeten de correcte maatregelen getroffen worden om deze incidenten op een correcte manier af te handelen en de procedures vervolgens hier op aanpassen, zodat de informatiebeveiliging wordt verbeterd. Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Doelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen. Beheersmaatregel: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. Beheersmaatregel: Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en –diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren. Beheer van informatiebeveiligingsincidenten en –verbeteringen Doelstelling: Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van nformatiebeveiligingsincidenten. Beheersmaatregel: Er behoren verantwoordelijkheden en procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen. Beheersmaatregel: Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gevolgd. Beheersmaatregel: Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk) behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgesteld. Bedrijfscontinuïteitsbeheer Bedrijfscontinuïteistbeheer wordt gevormd door een set van maatregelen en procedures met betrekking tot informatiebeveiliging, risicobeoordeling en continuïteitsplanning. Dit kan tot stand komen in een kader waarin wordt beschreven op welke manier de continuïteit geborgd is binnen de organisatie hoe de continuïteit continu wordt getest en beoordeeld om deze te garanderen. Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Doelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en tijdig herstel te bewerkstelligen. Beheersmaatregel: Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden waarbinnen de eisen voor informatiebeveiliging worden meegenomen die nodig zijn voor de continuïteit van de bedrijfsvoering. Beheersmaatregel: Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. Organisaties die patiëntgegevens verwerken, behoren een continuïteitsstrategie vast te stellen, te documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld. Beheersmaatregel: Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen. ProPharma © Pagina 13 van 16 22 november 2011
14.
Beheersmaatregel:
Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen en voor testen en onderhoud. Beheersmaatregel: Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geactualiseerd, om te bewerkstelligen dat ze actueel en doeltreffend blijven. Naleving Om te voldoen aan de wet en regelgeving moeten in een organisatie procedures worden geïmplementeerd, waarmee wordt bewerkstelligd dat informatie over patiëntgegevens of informatie waarop eigendomsrechten berusten, voldoende veilig worden bewaard of overeenkomstig de licentieovereenkomsten worden bewaard. Naleving van wettelijke voorschriften Doelstelling: Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen. Beheersmaatregel: Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie. Beheersmaatregel: Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten. Beheersmaatregel: Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Organisaties die patiëntgegevens verwerken, behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren. Beheersmaatregel: De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Behoudens wettelijke uitzonderingen behoort een zorginstelling toestemming te hebben van de patiënt voor het uitwisselen van zijn gegevens. Beheersmaatregel: Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken voor onbevoegde doeleinden. Beheersmaatregel: Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en voorschriften te worden gebruikt. Naleving van beveiligingsbeleid en –normen en technische naleving Doelstelling: Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie. Beheersmaatregel: Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en –normen. Beheersmaatregel: Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van implementatie van technische beveiligingsnormen. Overwegingen bij audits van informatiesystemen Doelstelling: Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als het gevolg van systeemaudits minimaliseren. ProPharma © Pagina 14 van 16 22 november 2011
15.
Beheersmaatregel:
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd om productsystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te bepreken. Beheersmaatregel: Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen. Conclusies Stel een beleidsplan op voor het informatiebeveiligingsbeleid binnen uw organisatie Het fundament voor een juiste inrichting van de informatiebeveiliging binnen uw organisatie ligt in een deugdelijk en juridisch waterdicht beleidsplan. In het beleidsplan dienen minimaal de volgende onderdelen te zijn opgenomen: - doel van informatiebeveiliging - werkingsgebied - verantwoordelijken inclusief omschrijving van taken, bevoegdheden en verantwoordelijkheden - bestaande maatregelen (eventueel splitsen naar ingevoerde maatregelen en geplande maatregelen) - controle en evaluatie Stel documenten op, implementeer procedures en handel conform protocollen U dient documenten en verslagen te bewaren waarmee u kunt aantonen welke maatregelen u heeft ingevoerd en op welk moment. Alle documenten, procedures en protocollen dienen dynamisch te zijn, begrijpelijk en met alle medewerkers besproken te zijn (hetgeen ook d.m.v. een circulaire kan gebeuren): - ICT reglement - checklist aanstelling nieuwe medewerker / vertrek medewerker - geheimhoudingsverklaring - checklist aanschaf van hardware, software en randapparatuur - formulier incidentenregistratie - procedure veilig computergebruik - procedure back-up - procedure digitaal archivering - overzicht van hardware, software en randapparatuur - continuïteitsplan - checklist bij uitbesteding van IT - toegangscontrole Colofon In deze whitepaper heeft u alles kunnen lezen over de herziene NEN-norm 7510. U kunt zelf een diagnose stellen of uw organisatie voldoet aan de belangrijkste eisen van NEN7510. Een volledige invoering van NEN7510 is een flinke klus. Sommige maatregelen zullen door de leverancier van de informatiesystemen uitgevoerd moeten worden, maar vele liggen ook in uw organisatie zelf. ProPharma wil u daarbij ondersteunen met een gerichte aanpak en een pakket hulpmiddelen. ProPharma beschikt over een aantal ervaren en enthousiaste adviseurs die dagelijks organisaties, instellingen en bedrijven ondersteunen bij het optimaliseren van hun bedrijfsprocessen, maar ook organisatieveranderingen realiseren. Onze aanpak bestaat uit drie stappen: 1. uitvoeren risicoanalyse 2. opstellen implementatieplan 3. invoeren maatregelen van de NEN7510 ProPharma stelt hulpmiddelen beschikbaar zoals een vragenlijst voor de risico-analyse, een voorbeeld van een implementatieplan en een toolkit met checklists en voorbeelddocumenten. Indien het wenselijk is aanvullende ondersteuning te bieden, dan is er de mogelijkheid één van onze adviseurs op interim-basis binnen uw organisatie tewerk te stellen. Wij willen onze expertise graag vrijblijvend aan u presenteren. Stuur een e-mail of neem telefonisch contact met ons op. Onze contactpersoon is mw. Jill Pluijmaekers. ProPharma © Pagina 15 van 16 22 november 2011
16.
Deze whitepaper is
geschreven door mw. Jill Pluijmaekers, directeur, en dhr. Rudy Willems, junior adviseur bij ProPharma advies- en projectmanagentbureau voor zorgverleners in de eerstelijns gezondheidszorg. ProPharma Eyserbosweg 1 6287 NA Eys Website: www.propharma.nl E-mail: info@propharma.nl Tel: 043 – 451 81 10 Fax : 043 – 451 81 11 ProPharma © Pagina 16 van 16 22 november 2011
Descargar ahora