Mais conteúdo relacionado
Semelhante a Whitepaper informatiebeveiliging in de zorg nen7510 herzien (20)
Mais de Jill Pluijmaekers-Lemmens (7)
Whitepaper informatiebeveiliging in de zorg nen7510 herzien
- 1. Informatiebeveiliging
in de zorg –
NEN 7510 herzien
NEN 7510
Informatiebeveiliging binnen de gezondheidszorg is de afgelopen jaren uitgegroeid tot een belangrijk thema.
Het gezamenlijke doel is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle
informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden.
Om informatiebeveiliging in de zorg eenduidig te kunnen definiëren is in 2004 met de NEN7510- norm een
kader vastgesteld. NEN 7510 richt zich op zorginstellingen en andere organisaties die bij informatievoorziening
in de gezondheidszorg zijn betrokken, ongeacht de aard en de omvang van het bedrijfsproces.
Daarnaast zijn in 2005 drie verschillende toetsbare voorschriften opgesteld. In het toetsbaar voorschrift staat
een set van eisen waaraan zorgverleners zich kunnen spiegelen. Het toetsbaar voorschrift is opgesteld voor (1)
complexe organisaties, (2) samenwerkende organisaties en (3) solopraktijken.
Aangezien NEN-normen iedere 5 jaar herzien worden op actualiteit, is in oktober 2011 de NEN7510 herzien.
Het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg hebben zich in het
verleden op het standpunt gesteld dat alle zorgverleners aan deze norm moeten voldoen. Het ligt in de lijn der
verwachting dat deze toezichthouders dus ook (na enige tijd zullen gaan) verlangen dat zorgverleners aan deze
herziene normen (gaan) voldoen.
De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit
2005 (de toetsbare voorschriften). De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799,
die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging' (NEN-ISO-IEC 27002) in de
gezondheidszorg.
Informatiebeveiliging voor de gezondheidszorg
Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een
organisatie en voortdurend op een geschikte manier moet zijn beschermd. Informatiebeveiliging is het
waarborgen van de vertrouwelijkheid, integriteit en schikbaarheid van informatie.
Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de
informatievoorziening (een overal bereikbaar patiëntdossier) met bijzondere risico’s (soms levensbedreigend,
ProPharma © Pagina 1 van 16 22 november 2011
- 2. zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van bovengenoemde drie
aspecten van informatiebeveiliging.
De informatiebeveiliging in de gezondheidszorg moet zich uitstrekken over de grenzen van de onderscheiden
verantwoordelijkheidsdomeinen. Een patiënt heeft immers te maken met verschillende zorgverleners, in
eenmanspraktijken en in grote zorginstellingen, maar verlangt ‘naadloze’ zorg.
De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet op
de Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënt
een behandelingsovereenkomst, heeft hij/zij de plicht een dossier te voeren en rust op hem/haar een
geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan.
Niet alle gegevens in een zorgorganisatie behoeven eenzelfde beveiliging. In welke mate beschikbaarheid,
integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze
waarop deze wordt gebruikt en de risico’s waaraan deze wordt blootgesteld.
Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden
aspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor het
bepalen van de prioriteiten en noodzakelijke middelen.
Toepassingsgebied
De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam in
de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is uniek
en er bestaan grote verschillen tussen organisaties. Deze verschillen kunnen zich uiten in de manier waarop
processen zijn ingericht, in de vorm van informatieverwerking die wordt gebruikt of in de cultuur van mensen
die er werken. Er bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te
richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatie
moeten worden toegespitst.
De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, door middel van het geven van
richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie
moet treffen. De norm geeft een normatief raamwerk in de vorm van een Informatie Security Management
System (ISMS).
Het toepassingsgebied omvat de beveiliging van alle typen informatie in en informatie-uitwisseling tussen de
zorgorganisatie(s), en alle mogelijke vormen waarin informatie wordt weergegeven, vastgelegd en
overgedragen.
Opbouw norm
De norm is onderverdeeld in 11 hoofdstukken met beveiligingsmaatregelen
(in willekeurige volgorde):
1. Beveiligingsbeleid
2. Organisatie van informatiebeveiliging
3. Beheer van bedrijfsmiddelen
4. Personeel
5. Fysieke beveiliging en beveiliging van de omgeving
6. Beheer van communicatie– en bedieningsprocessen
7. Toegangsbeveiliging
8. Verwerving, ontwikkeling en onderhoud van informatiesystemen
9. Beheer van informatiebeveiligingsincidenten
10. Bedrijfscontinuïteitsbeheer
11. Naleving
Elk hoofdstuk bevat een beheersdoelstelling en een (of meer) beheersmaatregelen die kunnen worden
toegepast om de beheersdoelstelling te realiseren.
ProPharma © Pagina 2 van 16 22 november 2011
- 3. Doelstellingen en beheersmaatregelen
Beveiligingsbeleid
Een informatiebeveiligingsbeleid besteed aandacht aan beleid, maatregelen en procedures die ingaan op de
verantwoordelijkheden binnen de organisatie en procedures vastleggen binnen de organisatie op het gebied
van informatiebeveiliging.
Informatiebeveiligingsbeleid
Doelstelling: Richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de
bedrijfsmatige eisen en relevante wetten en voorschriften.
Beheersmaatregel: De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren,
te publiceren en kenbaar te maken aan alle werknemers en relevante externe
partijen.
Beheersmaatregel: Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het
optreden van een omvangrijk informatiebeveiligingsincident, of zodra zich
belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat
het geschikt, toereikend en doeltreffend blijft.
Organisatie van informatiebeveiliging
De leiding van een zorginstelling is verantwoordelijk voor de beveiliging van patiëntgegevens en andere
vertrouwelijke informatie die door de organisatie wordt verwerkt. Dit is in het bijzonder van belang voor
organisaties die afhankelijk zijn van diensten van derden. Effectieve coördinatie is ook een essentieel onderdeel
van het beheer van informatiebeveiliging. Een en ander vereist een toegesneden en robuuste infrastructuur voor
informatiebeveiliging.
De interne organisatie
Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie.
Beheersmaatregel: De directie behoort informatiebeveiliging binnen de organisatie actief te
ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet
verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.
Beheersmaatregel: Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen
en functies behoren activiteiten voor informatiebeveiliging te coördineren.
Beheersmaatregel: Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn
gedefinieerd. Organisaties die patiëntgegevens verwerken behoren de
verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te
wijzen.
Beheersmaatregel: Er behoort een goedkeuringsproces voor nieuwe middelen voor de
informatievoorziening te worden vastgesteld en geïmplementeerd.
Beheersmaatregel: Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de
organisatie aan beveiliging van informatie, behoren in een
geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze
overeenkomst behoren regelmatig te worden beoordeeld.
Beheersmaatregel: Er behoren geschikte contacten met relevante overheidsinstanties (bijvoorbeeld
politie, brandweer) te worden onderhouden.
Beheersmaatregel: Er behoren geschikte contacten met speciale belangengroepen of andere
specialistische platforms voor beveiliging en professionele organisaties te worden
onderhouden.
Beheersmaatregel: De benadering van de organisatie voor het beheer van informatiebeveiliging en de
implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid,
processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met
geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen
voordoen in de implementatie van de beveiliging.
ProPharma © Pagina 3 van 16 22 november 2011
- 4. De externe organisatie
Doelstelling: Beveiligen van de informatie en informatievoorziening van de organisatie handhaven
waartoe externe partijen toegang hebben of die door externe partijen worden
verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.
Beheersmaatregel: De risico’s voor de informatie en informatievoorziening van de organisatie vanuit
bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden
geïdentificeerd en er behoren geschikte beheersmaatregelen te worden
geïmplementeerd voordat toegang wordt verleend.
Beheersmaatregel: Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat
klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de
organisatie.
Beheersmaatregel: In overeenkomsten met derden waarbij toegang tot, het verwerken van,
communicatie van of beheer van informatie of informatievoorziening van de
organisatie, of toevoeging van producten of diensten aan informatievoorziening
waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn
opgenomen.
Beheer van bedrijfsmiddelen
Informatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening worden
gebruikt. Het begrip ‘middelen’ wordt hierbij ruim opgevat en omvat zowel gegevens en zaken die daaraan
direct zijn gerelateerd, als overige voorzieningen die bij de informatievoorziening worden gebruikt.
Verantwoordelijkheid voor bedrijfsmiddelen
Doelstelling: Bereiken en handhaven van een adequate beveiliging van bedrijfsmiddelen van de
organisatie.
Beheersmaatregel: Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een
inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.
Beheersmaatregel: Alle informatie en bedrijfsmiddelen die verband houden met de
informatievoorziening behoren een ‘verantwoordelijke’ te hebben georganiseerd. De
verantwoordelijke is een persoon of entiteit met een
managementverantwoordelijkheid voor het beheersen van productie, ontwikkeling,
onderhoud, gebruik en beveiliging van de bedrijfsmiddelen.
Beheersmaatregel: Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor
aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met
informatievoorziening.
Classificatie van informatie
Doelstelling: Bewerkstelligen dat informatie een passend niveau van bescherming krijgt.
Beheersmaatregel: Informatie behoort te worden geclassificeerd met betrekking tot de waarde,
wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Beheersmaatregel: Er behoren geschikte, samenhangende procedures te worden ontwikkeld en
geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het
classificatiesysteem dat de organisatie heeft geïmplementeerd. Alle
informatiesystemen die patiëntgegevens verwerken behoren de gebruikers te wijzen
op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn.
Documenten met patiëntgegevens behoren van het kenmerk “vertrouwelijk” te zijn
voorzien.
Personeel
Enkele belangrijke punten ten aanzien van het personeel is om voorafgaand aan het dienstverband de
achtergrond te verifiëren, de verantwoordelijkheden omtrent informatiebeveiliging duidelijk te maken en dat er
tijdens het dienstverband naar deze verantwoordelijkheden wordt gehandeld en de juiste procedures in acht
worden genomen door het personeel omtrent informatiebeveiliging.
Voorafgaand aan het dienstverband
ProPharma © Pagina 4 van 16 22 november 2011
- 5. Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun
verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij worden
overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te
verminderen.
Beheersmaatregel: De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en
externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en
gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de
organisatie.
Beheersmaatregel: Verificatie van de achtergrond van alle kandidaten voor een dienstverband,
ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd
overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en
behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie
waartoe toegang wordt verleend, en de waargenomen risico’s.
Beheersmaatregel: Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd
personeel en externe gebruikers de algemene voorwaarden te aanvaarden en
ondertekenen van hun arbeidscontract. In dit contract behoren hun
verantwoordelijkheden en die van de organisatie ten aanzien van
informatiebeveiliging te zijn vastgelegd. Een organisatie die patiëntgegevens
verwerkt, behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of
contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op
te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het
informatie beveiligingsbeleid van de organisatie.
Tijdens het dienstverband
Doelstelling: Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers
zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun
verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het
beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te
ondersteunen, en het risico van een menselijke fout te verminderen.
Beheersmaatregel: De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te
eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde
procedures van de organisatie.
Beheersmaatregel: Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd
personeel en externe gebruikers, behoren geschikte training en regelmatige
bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie,
voor zover relevant voor hun functie. Een organisatie die patiëntgegevens verwerkt,
behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn
geregeld voor alle medewerkers bij aanvang van het dienstverband en dat
regelmatige opfrissing van de kennis is voorzien.
Beheersmaatregel: Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die
inbreuk op de beveiliging hebben gepleegd.
Beëindiging of wijziging van dienstverband
Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers de
organisatie ordelijk verlaten respectievelijk hun dienstverband ordelijk wijzigen.
Beheersmaatregel: De verantwoordelijkheden bij beëindiging of wijziging van het dienstverband
behoren duidelijk te zijn vastgesteld en toegewezen.
Beheersmaatregel: Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle
bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij
beëindiging van hun dienstverband, contract of overeenkomst.
Beheersmaatregel: De toegangsrechten van alle werknemers, ingehuurd personeel en externe
gebruikers tot informatie en IT-voorzieningen behoren te worden ingetrokken bij
beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na
wijziging te worden aangepast.
ProPharma © Pagina 5 van 16 22 november 2011
- 6. Fysieke beveiliging en beveiliging van de omgeving
Fysieke beveiliging van omgeving, gebouwen, ruimten en apparatuur van een zorginstelling is noodzakelijk ter
voorkoming van verstoring van de informatievoorziening, diefstal van gegevens en bezittingen en onveilige
situaties voor patiënten, bezoekers, eigen en externe medewerkers. Dit vergt bijzondere aandacht, want
zorginstellingen zijn in veel gevallen vrij toegankelijk.
Beveiligde ruimten
Doelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van
het terrein en de informatie van de organisatie.
Beheersmaatregel: Er behoren toegangsbeveiligingen te worden aangebracht om ruimten te
beschermen waar zich informatie en IT-voorzieningen bevinden. Dit geldt in het
bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar
informatiesystemen met patiëntgegevens zijn opgesteld.
Beheersmaatregel: Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging,
om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.
Beheersmaatregel: Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden
ontworpen en toegepast.
Beheersmaatregel: Er behoort fysieke bescherming tegen schade door brand, overstroming,
aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke
calamiteiten te worden ontworpen en toegepast.
Beheersmaatregel: Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten
te worden ontworpen en toegepast.
Beheersmaatregel: Toegangspunten zoals gebieden voor laden en lossen en andere punten waar
onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien
mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te
voorkomen.
Beveiliging van apparatuur
Doelstelling: Het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen
en onderbreking van de bedrijfsactiviteiten.
Beheersmaatregel: Apparatuur behoort zo te worden geplaatst en beschermd dat risico’s van schade en
storing van buitenaf en de gelegenheid voor onbevoegde toegang worden
verminderd tot een vooraf door de organisatie bepaald niveau.
Beheersmaatregel: Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en
onderbrekingen van andere nutsvoorzieningen te beperken.
Beheersmaatregel: Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende
informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te
worden beschermd.
Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen
dat de apparatuur in goede staat verkeert en de geleverde informatiediensten
beschikbaar blijven.
Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen
dat de apparatuur in goede staat verkeert en de geleverde informatiediensten
beschikbaar blijven.
Beheersmaatregel: Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt
gehouden met de diverse risico’s van werken buiten het terrein van de organisatie.
Een organisatie die patiëntgegevens verwerkt, behoort te zorgen voor toestemming
voor elk gebruik buiten de instelling van medische apparaten die gegevens
registreren en/of doorgeven, met inbegrip van apparatuur die, al dan niet
permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste
uitrusting behoort.
Beheersmaatregel: Wanneer apparatuur wordt verwijderd die opslagmedia bevat, behoort de
organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte
programmatuur worden vernietigd of op veilige wijze worden overgeschreven.
ProPharma © Pagina 6 van 16 22 november 2011
- 7. Beheersmaatregel: Apparatuur en programmatuur van de organisatie mogen niet zonder toestemming
vooraf van de locatie worden meegenomen.
Beheer van communicatie- en bedieningsprocessen
Goed beheer van voorzieningen is van belang voor informatiebeveiliging. Het vastleggen van procedures en
verantwoordelijkheden moet een correcte en veilige bediening van ICT-voorzieningen zo veel mogelijk
waarborgen. De integriteit en beschikbaarheid van apparatuur, gegevens en gegevensverwerkende diensten en
communicatiediensten moet worden beschermd om het risico van beveiligingsincidenten tot een minimum te
beperken. Controle en logging behoren tot de belangrijkste maatregelen ter beveiliging van patiëntgegevens.
Effectieve controle en logging kunnen misbruik van zorginformatiesystemen of patiëntinformatie helpen
ontdekken en maken het mogelijk op te treden tegen gebruikers die misbruik maken van hun bevoegdheden.
Bedieningsprocedures en verantwoordelijkheden
Doelstelling: Waarborgen van een correcte en veilige bediening van IT-voorzieningen.
Beheersmaatregel: Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden
en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.
Beheersmaatregel: Wijzigingen in de informatievoorziening en informatiesystemen behoren te worden
beheerst met een formeel en gestructureerd proces dat niet onbedoeld afbreuk doet
aan de informatievoorziening en continuïteit van zorg.
Beheersmaatregel: Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om
gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de
bedrijfsmiddelen van de organisatie te verminderen.
Beheersmaatregel: De organisatie behoort omgevingen voor ontwikkeling, testen en voor
instructiedoeleinden, gescheiden te houden van de productieomgeving (fysiek of
virtueel) om het risico van onbevoegde toegang tot of wijzigingen in het
productiesysteem te verminderen.
Beheer van de dienstverlening door een derde partij
Doelstelling: Geschikt niveau van informatiebeveiliging en dienstverlening implementeren en
bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door
een derde partij.
Beheersmaatregel: Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van
dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst
voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd
en actueel worden gehouden door die derde partij.
Beheersmaatregel: De diensten, rapporten en registraties die door de derde partij worden geleverd,
behoren regelmatig te worden gecontroleerd en beoordeeld.
Beheersmaatregel: Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en
verbeteren van bestaande beleidslijnen, procedures en maatregelen voor
informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt
gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen
en met heroverweging van risico’s.
Systeemplanning en –acceptatie
Doelstelling: Het risico van systeemstoringen tot een minimum beperken. Een voorafgaande
planning en voorbereiding zijn noodzakelijk om afdoende capaciteit en
beschikbaarheid van middelen te waarborgen die nodig zijn om de vereiste
systeemprestaties te leveren.
Beheersmaatregel: Het gebruik van middelen dient te worden gecontroleerd en afgestemd en er
behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen met
het oog op de vereiste systeemprestaties.
Beheersmaatregel: De organisatie behoort acceptatiecriteria vast te stellen voor nieuwe
informatiesystemen, upgrades en nieuwe versies en behoort geschikte testen uit te
voeren voorafgaand aan de acceptatie.
ProPharma © Pagina 7 van 16 22 november 2011
- 8. Bescherming tegen kwaadaardige programmatuur en ‘mobile code’
Doelstelling: Beschermen van de integriteit van programmatuur en informatie.
Beheersmaatregel: Er behoren maatregelen te worden getroffen voor detentie, preventie en herstel om
te beschermen tegen virussen en andere kwaadaardige programmatuur en om het
risicobewustzijn van gebruikers te vergroten.
Beheersmaatregel: Als gebruik van ‘mobile code’ is toegelaten, behoort de configuratie te
bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een
duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat
onbevoegde ‘mobile code’ wordt uitgevoerd.
Back-up en herstel
Doelstelling: Handhaven van de integriteit en beschikbaarheid van informatie
Beheersmaatregel: Er behoren stelselmatig back-up kopieën van informatie en programmatuur te
worden gemaakt en de herstelprocedure behoort regelmatig te worden getest,
overeenkomstig het vastgestelde back-up beleid. Een organisatie, die
patiëntgegevens verwerkt, behoort van alle patiëntgegevens back-up kopieën te
maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen.
Beheer van netwerkbeveiliging
Doelstelling: Bewerkstelligen van de bescherming van informatie in netwerken en bescherming
van de ondersteunende infrastructuur.
Beheersmaatregel: Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen
tegen bedreigingen en om beveiliging te handhaven voor de systemen en
toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt
getransporteerd.
Beheersmaatregel: Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle
netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke
overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden
geleverd als voor uitbestede diensten.
Behandeling van media
Doelstelling: Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of
vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.
Beheersmaatregel: Er behoren procedures te zijn vastgesteld voor het beheer van verwijderde media.
Beheersmaatregel: Alle gegevens op verwijderbare media behoren op veilige wijze te worden
overschreven of de media behoren te worden vernietigd wanneer deze niet meer
nodig zijn overeenkomstig formele procedures.
Beheersmaatregel: Er behoren procedures te worden vastgesteld voor de behandeling en opslag van
informatie om deze te beschermen tegen onbevoegde openbaring of misbruik.
Media met patiëntgegevens behoren te worden beveiligd en op deze beveiliging
dient controle te worden uitgevoerd.
Beheersmaatregel: Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang.
Uitwisseling van informatie
Doelstelling: Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld
binnen een organisatie en met enige externe entiteit.
Beheersmaatregel: Er behoren formeel beleid, formele procedures en beheersmaatregelen te zijn
vastgesteld om de uitwisseling van informatie via het gebruik van alle typen
communicatiefaciliteiten te beschermen.
Beheersmaatregel: Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van
informatie en programmatuur tussen de organisatie en externe partijen.
Beheersmaatregel: Media die informatie bevatten, behoren te worden beschermd tegen onbevoegde
toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van
de organisatie.
ProPharma © Pagina 8 van 16 22 november 2011
- 9. Beheersmaatregel: Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op
geschikte wijze te worden beschermd.
Beheersmaatregel: Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om
informatie te beschermen die een rol speelt bij de onderlinge koppeling van
systemen voor bedrijfsinformatie.
Diensten voor e-commerce
Doelstelling: Bewerkstelligen van de beveiliging van diensten voor e-commerce, en veilig gebruik
ervan.
Beheersmaatregel: Informatie die een rol speelt bij e-commerce en die via openbare netwerken wordt
uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten,
geschillen over contracten en onbevoegde openbaarmaking en modificatie.
Beheersmaatregel: Informatie die een rol speelt bij onlinertransacties behoort te worden beschermd om
herhaling van transacties, onvolledige overdracht, onjuiste routing, onbevoegde
wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of
weergave van berichten te voorkomen.
Beheersmaatregel: De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een
openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde
modificatie te voorkomen.
Controle
Doelstelling: Ontdekken van onbevoegde informatieverwerkingsactiviteiten
Beheersmaatregel: Er behoren audit-logbestanden te worden aangemaakt, waarin activiteiten van
gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden
vastgelegd. Deze logbestanden behoren gedurende een overeengekomen periode te
worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.
Beheersmaatregel: Er behoren procedures te worden vastgelegd om het gebruik van IT-voorzieningen te
controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden
beoordeeld.
Beheersmaatregel: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen
inbreuk en onbevoegde toegang. De logging van informatiesystemen voor het
verwerken van patiëntgegevens behoort te zijn beveiligd en niet te manipuleren.
Beheersmaatregel: Activiteiten van systeemadministrators en systeemoperators behoren in
logbestanden te worden vastgelegd.
Beheersmaatregel: Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd
en er behoren geschikte maatregelen te worden genomen.
Beheersmaatregel: De klokken van alle relevante informatiesystemen binnen een organisatie of
beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen
nauwkeurige tijdsbron. Zorginformatiesystemen die tijdkritische zorgactiviteiten
ondersteunen behoren te voorzien in synchronisatie om mogelijke tijdsverschillen
tussen verschillende registraties van activiteiten te signaleren en daarvoor te
corrigeren.
Toegangsbeveiliging
Toegangsbeveiliging moet ervoor zorgen dat toegang tot voorzieningen en gegevens wordt verleend aan
gebruikers die daartoe zijn gerechtigd en wordt geweigerd aan anderen. Het doel is te waarborgen dat het
lezen, toevoegen, wijzigen en verwijderen van gegevens en programmatuur alleen door bevoegden en
gecontroleerd kan plaatsvinden. Het belang en de wensen van de patiënt moeten hierin worden betrokken.
Bedrijfseisen ten aanzien van toegangsbeheersing
Doelstelling: Beheersen van de toegang tot informatie.
Beheersmaatregel: Er behoort toegangsbeleid te worden vastgelegd, gedocumenteerd en beoordeeld op
basis van bedrijfseisen en beveiligingseisen voor toegang. Een organisatie die
patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze
gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele,
ProPharma © Pagina 9 van 16 22 november 2011
- 10. ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de
eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de
beschikbaarheid van gegevens bij het verlenen van acute zorg.
Beheer van toegangsrechten van gebruikers
Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot
informatiesystemen voorkomen.
Beheersmaatregel: Er behoren formele procedures voor het registreren en afmelden van gebruikers te
zijn vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle
informatiediensten en –systemen.
Beheersmaatregel: De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt
en beheerst.
Beheersmaatregel: De toewijzing van wachtwoorden behoort met een formeel beheersproces te
worden beheerst.
Beheersmaatregel: De organisatie behoort de toegangsrechten van gebruikers, met inbegrip van de
gebruikersregistraties en details daarbinnen, regelmatig te beoordelen in een
formeel proces om zich te vergewissen dat ze compleet en nauwkeurig zijn en dat
toegang nog steeds is gewenst.
Verantwoordelijkheden van gebruikers
Doelstelling: Voorkomen van onbevoegde toegang door gebruikers, en van beschadiging of
diefstal van informatie en IT-voorzieningen.
Beheersmaatregel: Gebruikers behoren goede beveiligingsgewoonten in acht te nemen bij het kiezen en
gebruiken van wachtwoorden.
Beheersmaatregel: Gebruikers behoren te bewerkstelligen dat onbeheerde apparatuur passend is
beschermd.
Beheersmaatregel: Er behoort een ‘clear desk’ – beleid en een ‘clear screen’ – beleid voor IT
voorzieningen te worden ingesteld. Met een ‘clear desk’ en een ‘clear screen’– beleid
worden de risico’s van onbevoegde toegang, verlies van en schade aan informatie
tijdens en buiten kantooruren verminderd.
Toegangsbeheersing voor netwerken
Doelstelling: Het voorkomen van onbevoegde toegang tot netwerkdiensten
Beheersmaatregel: Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze
specifiek bevoegd zijn.
Beheersmaatregel: Er behoren geschikte authenticatiemethoden te worden gebruikt om toegang van
gebruikers op afstand te beheersen
Beheersmaatregel: Automatische identificatie van apparatuur behoort te worden overwogen als
methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren.
Beheersmaatregel: De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te
worden beheerst.
Beheersmaatregel: Groepen informatiediensten, gebruikers en informatiesystemen behoren op
netwerken te worden gescheiden.
Beheersmaatregel: Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de
organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te
worden beperkt overeenkomstig het toegangsbeleid en de eisen van
bedrijfstoepassingen.
Beheersmaatregel: Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering
om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd
zijn met het toegangsbeleid voor de bedrijfstoepassingen.
Toegangsbeveiliging voor besturingssystemen
Doelstelling: Voorkomen van onbevoegde toegang tot besturingssystemen
Beheersmaatregel: Toegang tot besturingssystemen behoort te worden beheerst met een beveiligde
inlogprocedure.
ProPharma © Pagina 10 van 16 22 november 2011
- 11. Beheersmaatregel: Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers-
ID) voor persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te
worden gekozen om de geclaimde identiteit van de gebruikers te bewijzen, op basis
van ten minste twee afzonderlijke kenmerken.
Beheersmaatregel: Systemen voor wachtwoordbeheer behoren interactief te zijn en te bewerkstelligen
dat wachtwoorden van geschikte kwaliteit gekozen worden.
Beheersmaatregel: Het gebruik van hulpprogrammatuur waarmee systeem- en
toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, behoort te
worden beperkt en strikt te worden beheerst.
Beheersmaatregel: Interactieve sessies behoren na een vastgestelde periode van inactiviteit automatisch
ontoegankelijk te worden gemaakt.
Beheersmaatregel: De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor
toepassingen met een verhoogd risico.
Toegangsbeheersing voor toepassingen en informatie
Doelstelling: Voorkomen van onbevoegde toegang tot informatie in toepassingssystemen
Beheersmaatregel: Toegang tot informatie en functies van toepassingssystemen door gebruikers en
ondersteunend personeel behoort te worden beheerst overeenkomstig het
vastgestelde toegangsbeleid.
Beheersmaatregel: Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid
en/of om beschikbaarheid en/of om integriteit behoren een eigen, vast toegewezen
(geïsoleerde) computeromgeving te hebben.
Draagbare computers en telewerken
Doelstelling: Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en
faciliteiten voor telewerken.
Beheersmaatregel: Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte
beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico’s van het
gebruik van draagbare computers en communicatiefaciliteiten.
Beheersmaatregel: Er behoren beleid, operationele plannen en procedures voor telewerken te worden
ontwikkeld en geïmplementeerd.
Verwerving, ontwikkeling en onderhoud van informatiesystemen
De ontwikkeling van de informatievoorziening brengt een combinatie met zich mee van aanschaf van
producten, aanpassingen aan de specifieke situatie en invoeren van procedures. Bij de aanschaf van
ontwikkeling en het onderhoud van informatiesystemen moet informatiebeveiliging in twee opzichten in acht
worden genomen. Functionele eisen die informatiebeveiliging stelt, moeten worden meegenomen in het
ontwerp en de ontwikkeling van informatiesystemen. Daarnaast moeten voor een veilig informatiesysteem ook
de processen van ontwikkeling en onderhoud zelf voldoende worden beveiligd. Risicoanalyse en
risicomanagement worden geïntegreerd tijdens de ontwikkeling en het onderhoud van informatiesystemen om
tijdig, regelmatig en adequaat de beveiligingsbehoefte te analyseren en de maatregelen te bepalen om hieraan
te voldoen.
Beveiligingseisen voor informatiesystemen
Doelstelling: Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.
Beheersmaatregel: In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande
informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden
opgenomen.
Correcte verwerking in toepassingen
Doelstelling: Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie
in toepassingen.
Beheersmaatregel: Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om
te bewerkstelligen dat deze gegevens juist en geschikt zijn. Informatiesystemen die
ProPharma © Pagina 11 van 16 22 november 2011
- 12. patiëntgegevens verwerken moeten alle patiëntgegevens gecontroleerd van de juiste
patiëntidentificatie voorzien.
Beheersmaatregel: Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel
corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te
ontdekken.
Beheersmaatregel: Er behoren eisen te worden vastgelegd en geschikte beheersmaatregelen te worden
vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het
beschermen van integriteit van berichten in toepassingen.
Beheersmaatregel: Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te
bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier
plaatsvindt en geschikt is gezien de omstandigheden. Daarnaast behoren
informatiesystemen bij het presenteren van patiëntgegevens altijd voldoende
identificerende gegevens te tonen om het de zorgverlener mogelijk te maken vast te
stellen dat de patiëntgegevens de patiënt in kwestie betreffen.
Cryptografische beheersmaatregelen
Doelstelling: Beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie met
behulp van cryptografische middelen
Beheersmaatregel: Er behoort beleid te worden ontwikkeld en geïmplementeerd voor het gebruik van
cryptografische beheersmaatregelen voor de bescherming van informatie.
Beheersmaatregel: Er behoort sleutelbeheer te zijn vastgelegd ter ondersteuning van het gebruik van
cryptografische technieken binnen de organisatie.
Beveiliging van systeembestanden
Doelstelling: Beveiliging van systeembestanden bewerkstelligen
Beheersmaatregel: Er behoren procedures te zijn vastgesteld om de installatie van programmatuur op
productiesystemen te beheersen.
Beheersmaatregel: Testgegevens behoren zorgvuldig te worden gekozen, beschermd en beheerst. Er
behoren geen tot personen herleidbare patiëntgegevens te worden gebruikt als
testgegevens.
Beheersmaatregel: De toegang tot de broncode van programmatuur behoort te worden beperkt.
Beveiliging bij ontwikkelings- en ondersteuningsprocessen
Doelstelling: Beveiliging van toepassingsprogrammatuur en –informatie handhaven.
Beheersmaatregel: De implementatie van wijzigingen behoort te worden beheerst door middel van
formele procedures voor wijzigingsbeheer.
Beheersmaatregel: Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te
worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen
zijn voor de activiteiten of beveiliging van de organisatie.
Beheersmaatregel: Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden
beperkt tot noodzakelijke wijzigingen, en alle wijzigingen behoren strikt te worden
beheerst.
Beheersmaatregel: Er behoort te worden voorkomen dat informatielekken ontstaan.
Beheersmaatregel: Bij uitbestede ontwikkeling van programmatuur behoort de organisatie maatregelen
te treffen ter waarborging van de kwaliteit van de ontwikkelde programmatuur.
Beheer van technische kwetsbaarheden
Doelstelling: Risico’s verminderen als gevolg van benutting van gepubliceerde technische
kwetsbaarheden.
Beheersmaatregel: Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden
van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan
dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte
maatregelen te worden genomen voor behandeling van daarmee samenhangende
risico’s.
ProPharma © Pagina 12 van 16 22 november 2011
- 13. Beheer van informatiebeveiligingsincidenten
Het niet naleven van beleid ten aanzien van informatiebeveiliging, storingen of fouten moeten volgens
vastgelegde procedures worden aangepakt en via de juiste personen moeten de correcte maatregelen getroffen
worden om deze incidenten op een correcte manier af te handelen en de procedures vervolgens hier op
aanpassen, zodat de informatiebeveiliging wordt verbeterd.
Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken
Doelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband
houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig
corrigerende maatregelen kunnen worden genomen.
Beheersmaatregel: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste
leidinggevende niveaus te worden gerapporteerd.
Beheersmaatregel: Van alle werknemers, ingehuurd personeel en externe gebruikers van
informatiesystemen en –diensten behoort te worden geëist dat zij alle waargenomen
of verdachte zwakke plekken in systemen of diensten registreren en rapporteren.
Beheer van informatiebeveiligingsincidenten en –verbeteringen
Doelstelling: Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast
voor het beheer van nformatiebeveiligingsincidenten.
Beheersmaatregel: Er behoren verantwoordelijkheden en procedures te worden vastgesteld om een
snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te
bewerkstelligen.
Beheersmaatregel: Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van
informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gevolgd.
Beheersmaatregel: Waar een vervolgprocedure tegen een persoon of organisatie na een
informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk)
behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd
overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn
vastgesteld.
Bedrijfscontinuïteitsbeheer
Bedrijfscontinuïteistbeheer wordt gevormd door een set van maatregelen en procedures met betrekking tot
informatiebeveiliging, risicobeoordeling en continuïteitsplanning. Dit kan tot stand komen in een kader waarin
wordt beschreven op welke manier de continuïteit geborgd is binnen de organisatie hoe de continuïteit continu
wordt getest en beoordeeld om deze te garanderen.
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
Doelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen
beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of
rampen en tijdig herstel te bewerkstelligen.
Beheersmaatregel: Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te
worden ontwikkeld en bijgehouden waarbinnen de eisen voor informatiebeveiliging
worden meegenomen die nodig zijn voor de continuïteit van de bedrijfsvoering.
Beheersmaatregel: Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren
te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van
dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. Organisaties
die patiëntgegevens verwerken, behoren een continuïteitsstrategie vast te stellen, te
documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder
bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal
toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld.
Beheersmaatregel: Er behoren plannen te worden ontwikkeld en geïmplementeerd om de
bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van
informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na
onderbreking of uitval van kritische bedrijfsprocessen.
ProPharma © Pagina 13 van 16 22 november 2011
- 14. Beheersmaatregel: Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden
gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor
informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te
stellen en voor testen en onderhoud.
Beheersmaatregel: Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geactualiseerd,
om te bewerkstelligen dat ze actueel en doeltreffend blijven.
Naleving
Om te voldoen aan de wet en regelgeving moeten in een organisatie procedures worden geïmplementeerd,
waarmee wordt bewerkstelligd dat informatie over patiëntgegevens of informatie waarop eigendomsrechten
berusten, voldoende veilig worden bewaard of overeenkomstig de licentieovereenkomsten worden bewaard.
Naleving van wettelijke voorschriften
Doelstelling: Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of
contractuele verplichtingen, en van enige beveiligingseisen.
Beheersmaatregel: Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de
benadering van de organisatie in de naleving van deze eisen, behoren expliciet te
worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk
informatiesysteem en voor de organisatie.
Beheersmaatregel: Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen
dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele
verplichtingen voor het gebruik van materiaal waarop intellectuele
eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop
intellectuele eigendomsrechten berusten.
Beheersmaatregel: Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en
vervalsing overeenkomstig wettelijke en regelgevende eisen, contractuele
verplichtingen en bedrijfsmatige eisen. Organisaties die patiëntgegevens verwerken,
behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer
worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking
van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de
gegevens, danwel door anonimiseren of pseudonimiseren.
Beheersmaatregel: De bescherming van gegevens en privacy behoort te worden bewerkstelligd
overeenkomstig relevante wetgeving, voorschriften en indien van toepassing
contractuele bepalingen. Behoudens wettelijke uitzonderingen behoort een
zorginstelling toestemming te hebben van de patiënt voor het uitwisselen van zijn
gegevens.
Beheersmaatregel: Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken
voor onbevoegde doeleinden.
Beheersmaatregel: Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante
overeenkomsten, wetten en voorschriften te worden gebruikt.
Naleving van beveiligingsbeleid en –normen en technische naleving
Doelstelling: Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de
beveiligingsnormen van de organisatie.
Beheersmaatregel: Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun
verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van
beveiligingsbeleid en –normen.
Beheersmaatregel: Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van
implementatie van technische beveiligingsnormen.
Overwegingen bij audits van informatiesystemen
Doelstelling: Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring
als het gevolg van systeemaudits minimaliseren.
ProPharma © Pagina 14 van 16 22 november 2011
- 15. Beheersmaatregel: Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd om
productsystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het
risico van verstoring van bedrijfsprocessen tot een minimum te bepreken.
Beheersmaatregel: Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden
beschermd om mogelijk misbruik of compromittering te voorkomen.
Conclusies
Stel een beleidsplan op voor het informatiebeveiligingsbeleid binnen uw organisatie
Het fundament voor een juiste inrichting van de informatiebeveiliging binnen uw organisatie ligt in een
deugdelijk en juridisch waterdicht beleidsplan. In het beleidsplan dienen minimaal de volgende onderdelen te
zijn opgenomen:
- doel van informatiebeveiliging
- werkingsgebied
- verantwoordelijken inclusief omschrijving van taken, bevoegdheden en verantwoordelijkheden
- bestaande maatregelen (eventueel splitsen naar ingevoerde maatregelen en geplande maatregelen)
- controle en evaluatie
Stel documenten op, implementeer procedures en handel conform protocollen
U dient documenten en verslagen te bewaren waarmee u kunt aantonen welke maatregelen u heeft ingevoerd
en op welk moment. Alle documenten, procedures en protocollen dienen dynamisch te zijn, begrijpelijk en met
alle medewerkers besproken te zijn (hetgeen ook d.m.v. een circulaire kan gebeuren):
- ICT reglement
- checklist aanstelling nieuwe medewerker / vertrek medewerker
- geheimhoudingsverklaring
- checklist aanschaf van hardware, software en randapparatuur
- formulier incidentenregistratie
- procedure veilig computergebruik
- procedure back-up
- procedure digitaal archivering
- overzicht van hardware, software en randapparatuur
- continuïteitsplan
- checklist bij uitbesteding van IT
- toegangscontrole
Colofon
In deze whitepaper heeft u alles kunnen lezen over de herziene NEN-norm 7510. U kunt zelf een diagnose
stellen of uw organisatie voldoet aan de belangrijkste eisen van NEN7510. Een volledige invoering van
NEN7510 is een flinke klus. Sommige maatregelen zullen door de leverancier van de informatiesystemen
uitgevoerd moeten worden, maar vele liggen ook in uw organisatie zelf. ProPharma wil u daarbij ondersteunen
met een gerichte aanpak en een pakket hulpmiddelen. ProPharma beschikt over een aantal ervaren en
enthousiaste adviseurs die dagelijks organisaties, instellingen en bedrijven ondersteunen bij het optimaliseren
van hun bedrijfsprocessen, maar ook organisatieveranderingen realiseren. Onze aanpak bestaat uit drie
stappen:
1. uitvoeren risicoanalyse
2. opstellen implementatieplan
3. invoeren maatregelen van de NEN7510
ProPharma stelt hulpmiddelen beschikbaar zoals een vragenlijst voor de risico-analyse, een voorbeeld van een
implementatieplan en een toolkit met checklists en voorbeelddocumenten. Indien het wenselijk is aanvullende
ondersteuning te bieden, dan is er de mogelijkheid één van onze adviseurs op interim-basis binnen uw
organisatie tewerk te stellen.
Wij willen onze expertise graag vrijblijvend aan u presenteren. Stuur een e-mail of neem telefonisch contact
met ons op. Onze contactpersoon is mw. Jill Pluijmaekers.
ProPharma © Pagina 15 van 16 22 november 2011
- 16. Deze whitepaper is geschreven door mw. Jill Pluijmaekers, directeur, en dhr. Rudy Willems, junior adviseur bij
ProPharma advies- en projectmanagentbureau voor zorgverleners in de eerstelijns gezondheidszorg.
ProPharma
Eyserbosweg 1
6287 NA Eys
Website: www.propharma.nl
E-mail: info@propharma.nl
Tel: 043 – 451 81 10
Fax : 043 – 451 81 11
ProPharma © Pagina 16 van 16 22 november 2011