Informatiebeveiliging                      in de zorg –                                    NEN 7510 herzienNEN 7510Informa...
zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van bovengenoemde drieaspecten van informati...
Doelstellingen en beheersmaatregelenBeveiligingsbeleidEen informatiebeveiligingsbeleid besteed aandacht aan beleid, maatre...
De externe organisatieDoelstelling:            Beveiligen van de informatie en informatievoorziening van de organisatie ha...
Doelstelling:            Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun                    ...
Fysieke beveiliging en beveiliging van de omgevingFysieke beveiliging van omgeving, gebouwen, ruimten en apparatuur van ee...
Beheersmaatregel:        Apparatuur en programmatuur van de organisatie mogen niet zonder toestemming                     ...
Bescherming tegen kwaadaardige programmatuur en ‘mobile code’Doelstelling:          Beschermen van de integriteit van prog...
Beheersmaatregel:        Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op                   ...
ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de                         eisen die het we...
Beheersmaatregel:        Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers-              ...
patiëntgegevens verwerken moeten alle patiëntgegevens gecontroleerd van de juiste                         patiëntidentific...
Beheer van informatiebeveiligingsincidentenHet niet naleven van beleid ten aanzien van informatiebeveiliging, storingen of...
Beheersmaatregel:        Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden                     ...
Beheersmaatregel:         Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd om                 ...
Deze whitepaper is geschreven door mw. Jill Pluijmaekers, directeur, en dhr. Rudy Willems, junior adviseur bijProPharma ad...
Upcoming SlideShare
Loading in …5
×

Whitepaper informatiebeveiliging in de zorg nen7510 herzien

2,975 views

Published on

Published in: Health & Medicine
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,975
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
136
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Whitepaper informatiebeveiliging in de zorg nen7510 herzien

  1. 1. Informatiebeveiliging in de zorg – NEN 7510 herzienNEN 7510Informatiebeveiliging binnen de gezondheidszorg is de afgelopen jaren uitgegroeid tot een belangrijk thema.Het gezamenlijke doel is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alleinformatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden.Om informatiebeveiliging in de zorg eenduidig te kunnen definiëren is in 2004 met de NEN7510- norm eenkader vastgesteld. NEN 7510 richt zich op zorginstellingen en andere organisaties die bij informatievoorzieningin de gezondheidszorg zijn betrokken, ongeacht de aard en de omvang van het bedrijfsproces.Daarnaast zijn in 2005 drie verschillende toetsbare voorschriften opgesteld. In het toetsbaar voorschrift staateen set van eisen waaraan zorgverleners zich kunnen spiegelen. Het toetsbaar voorschrift is opgesteld voor (1)complexe organisaties, (2) samenwerkende organisaties en (3) solopraktijken.Aangezien NEN-normen iedere 5 jaar herzien worden op actualiteit, is in oktober 2011 de NEN7510 herzien.Het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg hebben zich in hetverleden op het standpunt gesteld dat alle zorgverleners aan deze norm moeten voldoen. Het ligt in de lijn derverwachting dat deze toezichthouders dus ook (na enige tijd zullen gaan) verlangen dat zorgverleners aan dezeherziene normen (gaan) voldoen.De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit2005 (de toetsbare voorschriften). De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799,die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging (NEN-ISO-IEC 27002) in degezondheidszorg.Informatiebeveiliging voor de gezondheidszorgInformatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor eenorganisatie en voortdurend op een geschikte manier moet zijn beschermd. Informatiebeveiliging is hetwaarborgen van de vertrouwelijkheid, integriteit en schikbaarheid van informatie.Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan deinformatievoorziening (een overal bereikbaar patiëntdossier) met bijzondere risico’s (soms levensbedreigend,ProPharma © Pagina 1 van 16 22 november 2011
  2. 2. zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van bovengenoemde drieaspecten van informatiebeveiliging.De informatiebeveiliging in de gezondheidszorg moet zich uitstrekken over de grenzen van de onderscheidenverantwoordelijkheidsdomeinen. Een patiënt heeft immers te maken met verschillende zorgverleners, ineenmanspraktijken en in grote zorginstellingen, maar verlangt ‘naadloze’ zorg.De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet opde Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënteen behandelingsovereenkomst, heeft hij/zij de plicht een dossier te voeren en rust op hem/haar eengeheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan.Niet alle gegevens in een zorgorganisatie behoeven eenzelfde beveiliging. In welke mate beschikbaarheid,integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijzewaarop deze wordt gebruikt en de risico’s waaraan deze wordt blootgesteld.Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheidenaspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor hetbepalen van de prioriteiten en noodzakelijke middelen.ToepassingsgebiedDe Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam inde gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is unieken er bestaan grote verschillen tussen organisaties. Deze verschillen kunnen zich uiten in de manier waaropprocessen zijn ingericht, in de vorm van informatieverwerking die wordt gebruikt of in de cultuur van mensendie er werken. Er bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in terichten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatiemoeten worden toegespitst.De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, door middel van het geven vanrichtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatiemoet treffen. De norm geeft een normatief raamwerk in de vorm van een Informatie Security ManagementSystem (ISMS).Het toepassingsgebied omvat de beveiliging van alle typen informatie in en informatie-uitwisseling tussen dezorgorganisatie(s), en alle mogelijke vormen waarin informatie wordt weergegeven, vastgelegd enovergedragen.Opbouw normDe norm is onderverdeeld in 11 hoofdstukken met beveiligingsmaatregelen(in willekeurige volgorde): 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Personeel 5. Fysieke beveiliging en beveiliging van de omgeving 6. Beheer van communicatie– en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10. Bedrijfscontinuïteitsbeheer 11. NalevingElk hoofdstuk bevat een beheersdoelstelling en een (of meer) beheersmaatregelen die kunnen wordentoegepast om de beheersdoelstelling te realiseren.ProPharma © Pagina 2 van 16 22 november 2011
  3. 3. Doelstellingen en beheersmaatregelenBeveiligingsbeleidEen informatiebeveiligingsbeleid besteed aandacht aan beleid, maatregelen en procedures die ingaan op deverantwoordelijkheden binnen de organisatie en procedures vastleggen binnen de organisatie op het gebiedvan informatiebeveiliging.InformatiebeveiligingsbeleidDoelstelling: Richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften.Beheersmaatregel: De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen.Beheersmaatregel: Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident, of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.Organisatie van informatiebeveiligingDe leiding van een zorginstelling is verantwoordelijk voor de beveiliging van patiëntgegevens en anderevertrouwelijke informatie die door de organisatie wordt verwerkt. Dit is in het bijzonder van belang voororganisaties die afhankelijk zijn van diensten van derden. Effectieve coördinatie is ook een essentieel onderdeelvan het beheer van informatiebeveiliging. Een en ander vereist een toegesneden en robuuste infrastructuur voorinformatiebeveiliging.De interne organisatieDoelstelling: Beheren van de informatiebeveiliging binnen de organisatie.Beheersmaatregel: De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.Beheersmaatregel: Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor informatiebeveiliging te coördineren.Beheersmaatregel: Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd. Organisaties die patiëntgegevens verwerken behoren de verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te wijzen.Beheersmaatregel: Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd.Beheersmaatregel: Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie, behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld.Beheersmaatregel: Er behoren geschikte contacten met relevante overheidsinstanties (bijvoorbeeld politie, brandweer) te worden onderhouden.Beheersmaatregel: Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.Beheersmaatregel: De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.ProPharma © Pagina 3 van 16 22 november 2011
  4. 4. De externe organisatieDoelstelling: Beveiligen van de informatie en informatievoorziening van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.Beheersmaatregel: De risico’s voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.Beheersmaatregel: Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.Beheersmaatregel: In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of informatievoorziening van de organisatie, of toevoeging van producten of diensten aan informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.Beheer van bedrijfsmiddelenInformatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening wordengebruikt. Het begrip ‘middelen’ wordt hierbij ruim opgevat en omvat zowel gegevens en zaken die daaraandirect zijn gerelateerd, als overige voorzieningen die bij de informatievoorziening worden gebruikt.Verantwoordelijkheid voor bedrijfsmiddelenDoelstelling: Bereiken en handhaven van een adequate beveiliging van bedrijfsmiddelen van de organisatie.Beheersmaatregel: Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.Beheersmaatregel: Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een ‘verantwoordelijke’ te hebben georganiseerd. De verantwoordelijke is een persoon of entiteit met een managementverantwoordelijkheid voor het beheersen van productie, ontwikkeling, onderhoud, gebruik en beveiliging van de bedrijfsmiddelen.Beheersmaatregel: Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening.Classificatie van informatieDoelstelling: Bewerkstelligen dat informatie een passend niveau van bescherming krijgt.Beheersmaatregel: Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.Beheersmaatregel: Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd. Alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers te wijzen op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk “vertrouwelijk” te zijn voorzien.PersoneelEnkele belangrijke punten ten aanzien van het personeel is om voorafgaand aan het dienstverband deachtergrond te verifiëren, de verantwoordelijkheden omtrent informatiebeveiliging duidelijk te maken en dat ertijdens het dienstverband naar deze verantwoordelijkheden wordt gehandeld en de juiste procedures in achtworden genomen door het personeel omtrent informatiebeveiliging.Voorafgaand aan het dienstverbandProPharma © Pagina 4 van 16 22 november 2011
  5. 5. Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen.Beheersmaatregel: De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.Beheersmaatregel: Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico’s.Beheersmaatregel: Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en ondertekenen van hun arbeidscontract. In dit contract behoren hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging te zijn vastgelegd. Een organisatie die patiëntgegevens verwerkt, behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het informatie beveiligingsbeleid van de organisatie.Tijdens het dienstverbandDoelstelling: Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen.Beheersmaatregel: De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie.Beheersmaatregel: Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voor zover relevant voor hun functie. Een organisatie die patiëntgegevens verwerkt, behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien.Beheersmaatregel: Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.Beëindiging of wijziging van dienstverbandDoelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers de organisatie ordelijk verlaten respectievelijk hun dienstverband ordelijk wijzigen.Beheersmaatregel: De verantwoordelijkheden bij beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen.Beheersmaatregel: Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst.Beheersmaatregel: De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT-voorzieningen behoren te worden ingetrokken bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast.ProPharma © Pagina 5 van 16 22 november 2011
  6. 6. Fysieke beveiliging en beveiliging van de omgevingFysieke beveiliging van omgeving, gebouwen, ruimten en apparatuur van een zorginstelling is noodzakelijk tervoorkoming van verstoring van de informatievoorziening, diefstal van gegevens en bezittingen en onveiligesituaties voor patiënten, bezoekers, eigen en externe medewerkers. Dit vergt bijzondere aandacht, wantzorginstellingen zijn in veel gevallen vrij toegankelijk.Beveiligde ruimtenDoelstelling: Het voorkomen van onbevoegde fysieke toegang tot, schade aan of verstoring van het terrein en de informatie van de organisatie.Beheersmaatregel: Er behoren toegangsbeveiligingen te worden aangebracht om ruimten te beschermen waar zich informatie en IT-voorzieningen bevinden. Dit geldt in het bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar informatiesystemen met patiëntgegevens zijn opgesteld.Beheersmaatregel: Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten.Beheersmaatregel: Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast.Beheersmaatregel: Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast.Beheersmaatregel: Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde ruimten te worden ontworpen en toegepast.Beheersmaatregel: Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen.Beveiliging van apparatuurDoelstelling: Het voorkomen van verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de bedrijfsactiviteiten.Beheersmaatregel: Apparatuur behoort zo te worden geplaatst en beschermd dat risico’s van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau.Beheersmaatregel: Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en onderbrekingen van andere nutsvoorzieningen te beperken.Beheersmaatregel: Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd.Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven.Beheersmaatregel: Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven.Beheersmaatregel: Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico’s van werken buiten het terrein van de organisatie. Een organisatie die patiëntgegevens verwerkt, behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al dan niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort.Beheersmaatregel: Wanneer apparatuur wordt verwijderd die opslagmedia bevat, behoort de organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur worden vernietigd of op veilige wijze worden overgeschreven.ProPharma © Pagina 6 van 16 22 november 2011
  7. 7. Beheersmaatregel: Apparatuur en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.Beheer van communicatie- en bedieningsprocessenGoed beheer van voorzieningen is van belang voor informatiebeveiliging. Het vastleggen van procedures enverantwoordelijkheden moet een correcte en veilige bediening van ICT-voorzieningen zo veel mogelijkwaarborgen. De integriteit en beschikbaarheid van apparatuur, gegevens en gegevensverwerkende diensten encommunicatiediensten moet worden beschermd om het risico van beveiligingsincidenten tot een minimum tebeperken. Controle en logging behoren tot de belangrijkste maatregelen ter beveiliging van patiëntgegevens.Effectieve controle en logging kunnen misbruik van zorginformatiesystemen of patiëntinformatie helpenontdekken en maken het mogelijk op te treden tegen gebruikers die misbruik maken van hun bevoegdheden.Bedieningsprocedures en verantwoordelijkhedenDoelstelling: Waarborgen van een correcte en veilige bediening van IT-voorzieningen.Beheersmaatregel: Bedieningsprocedures behoren te worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.Beheersmaatregel: Wijzigingen in de informatievoorziening en informatiesystemen behoren te worden beheerst met een formeel en gestructureerd proces dat niet onbedoeld afbreuk doet aan de informatievoorziening en continuïteit van zorg.Beheersmaatregel: Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.Beheersmaatregel: De organisatie behoort omgevingen voor ontwikkeling, testen en voor instructiedoeleinden, gescheiden te houden van de productieomgeving (fysiek of virtueel) om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen.Beheer van de dienstverlening door een derde partijDoelstelling: Geschikt niveau van informatiebeveiliging en dienstverlening implementeren en bijhouden in overeenstemming met de overeenkomsten voor dienstverlening door een derde partij.Beheersmaatregel: Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en actueel worden gehouden door die derde partij.Beheersmaatregel: De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en beoordeeld.Beheersmaatregel: Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en –processen en met heroverweging van risico’s.Systeemplanning en –acceptatieDoelstelling: Het risico van systeemstoringen tot een minimum beperken. Een voorafgaande planning en voorbereiding zijn noodzakelijk om afdoende capaciteit en beschikbaarheid van middelen te waarborgen die nodig zijn om de vereiste systeemprestaties te leveren.Beheersmaatregel: Het gebruik van middelen dient te worden gecontroleerd en afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen met het oog op de vereiste systeemprestaties.Beheersmaatregel: De organisatie behoort acceptatiecriteria vast te stellen voor nieuwe informatiesystemen, upgrades en nieuwe versies en behoort geschikte testen uit te voeren voorafgaand aan de acceptatie.ProPharma © Pagina 7 van 16 22 november 2011
  8. 8. Bescherming tegen kwaadaardige programmatuur en ‘mobile code’Doelstelling: Beschermen van de integriteit van programmatuur en informatie.Beheersmaatregel: Er behoren maatregelen te worden getroffen voor detentie, preventie en herstel om te beschermen tegen virussen en andere kwaadaardige programmatuur en om het risicobewustzijn van gebruikers te vergroten.Beheersmaatregel: Als gebruik van ‘mobile code’ is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde ‘mobile code’ functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, en behoort te worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd.Back-up en herstelDoelstelling: Handhaven van de integriteit en beschikbaarheid van informatieBeheersmaatregel: Er behoren stelselmatig back-up kopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde back-up beleid. Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens back-up kopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen.Beheer van netwerkbeveiligingDoelstelling: Bewerkstelligen van de bescherming van informatie in netwerken en bescherming van de ondersteunende infrastructuur.Beheersmaatregel: Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd.Beheersmaatregel: Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.Behandeling van mediaDoelstelling: Voorkomen van onbevoegde openbaarmaking, modificatie, verwijdering of vernietiging van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.Beheersmaatregel: Er behoren procedures te zijn vastgesteld voor het beheer van verwijderde media.Beheersmaatregel: Alle gegevens op verwijderbare media behoren op veilige wijze te worden overschreven of de media behoren te worden vernietigd wanneer deze niet meer nodig zijn overeenkomstig formele procedures.Beheersmaatregel: Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaring of misbruik. Media met patiëntgegevens behoren te worden beveiligd en op deze beveiliging dient controle te worden uitgevoerd.Beheersmaatregel: Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang.Uitwisseling van informatieDoelstelling: Handhaven van beveiliging van informatie en programmatuur die wordt uitgewisseld binnen een organisatie en met enige externe entiteit.Beheersmaatregel: Er behoren formeel beleid, formele procedures en beheersmaatregelen te zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.Beheersmaatregel: Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen.Beheersmaatregel: Media die informatie bevatten, behoren te worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie.ProPharma © Pagina 8 van 16 22 november 2011
  9. 9. Beheersmaatregel: Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op geschikte wijze te worden beschermd.Beheersmaatregel: Beleid en procedures behoren te worden ontwikkeld en geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie.Diensten voor e-commerceDoelstelling: Bewerkstelligen van de beveiliging van diensten voor e-commerce, en veilig gebruik ervan.Beheersmaatregel: Informatie die een rol speelt bij e-commerce en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie.Beheersmaatregel: Informatie die een rol speelt bij onlinertransacties behoort te worden beschermd om herhaling van transacties, onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.Beheersmaatregel: De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen.ControleDoelstelling: Ontdekken van onbevoegde informatieverwerkingsactiviteitenBeheersmaatregel: Er behoren audit-logbestanden te worden aangemaakt, waarin activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden vastgelegd. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole.Beheersmaatregel: Er behoren procedures te worden vastgelegd om het gebruik van IT-voorzieningen te controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden beoordeeld.Beheersmaatregel: Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen inbreuk en onbevoegde toegang. De logging van informatiesystemen voor het verwerken van patiëntgegevens behoort te zijn beveiligd en niet te manipuleren.Beheersmaatregel: Activiteiten van systeemadministrators en systeemoperators behoren in logbestanden te worden vastgelegd.Beheersmaatregel: Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte maatregelen te worden genomen.Beheersmaatregel: De klokken van alle relevante informatiesystemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige tijdsbron. Zorginformatiesystemen die tijdkritische zorgactiviteiten ondersteunen behoren te voorzien in synchronisatie om mogelijke tijdsverschillen tussen verschillende registraties van activiteiten te signaleren en daarvoor te corrigeren.ToegangsbeveiligingToegangsbeveiliging moet ervoor zorgen dat toegang tot voorzieningen en gegevens wordt verleend aangebruikers die daartoe zijn gerechtigd en wordt geweigerd aan anderen. Het doel is te waarborgen dat hetlezen, toevoegen, wijzigen en verwijderen van gegevens en programmatuur alleen door bevoegden engecontroleerd kan plaatsvinden. Het belang en de wensen van de patiënt moeten hierin worden betrokken.Bedrijfseisen ten aanzien van toegangsbeheersingDoelstelling: Beheersen van de toegang tot informatie.Beheersmaatregel: Er behoort toegangsbeleid te worden vastgelegd, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele,ProPharma © Pagina 9 van 16 22 november 2011
  10. 10. ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg.Beheer van toegangsrechten van gebruikersDoelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot informatiesystemen voorkomen.Beheersmaatregel: Er behoren formele procedures voor het registreren en afmelden van gebruikers te zijn vastgesteld, voor het verlenen en intrekken van toegangsrechten tot alle informatiediensten en –systemen.Beheersmaatregel: De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst.Beheersmaatregel: De toewijzing van wachtwoorden behoort met een formeel beheersproces te worden beheerst.Beheersmaatregel: De organisatie behoort de toegangsrechten van gebruikers, met inbegrip van de gebruikersregistraties en details daarbinnen, regelmatig te beoordelen in een formeel proces om zich te vergewissen dat ze compleet en nauwkeurig zijn en dat toegang nog steeds is gewenst.Verantwoordelijkheden van gebruikersDoelstelling: Voorkomen van onbevoegde toegang door gebruikers, en van beschadiging of diefstal van informatie en IT-voorzieningen.Beheersmaatregel: Gebruikers behoren goede beveiligingsgewoonten in acht te nemen bij het kiezen en gebruiken van wachtwoorden.Beheersmaatregel: Gebruikers behoren te bewerkstelligen dat onbeheerde apparatuur passend is beschermd.Beheersmaatregel: Er behoort een ‘clear desk’ – beleid en een ‘clear screen’ – beleid voor IT voorzieningen te worden ingesteld. Met een ‘clear desk’ en een ‘clear screen’– beleid worden de risico’s van onbevoegde toegang, verlies van en schade aan informatie tijdens en buiten kantooruren verminderd.Toegangsbeheersing voor netwerkenDoelstelling: Het voorkomen van onbevoegde toegang tot netwerkdienstenBeheersmaatregel: Gebruikers behoort alleen toegang te worden verleend tot diensten waarvoor ze specifiek bevoegd zijn.Beheersmaatregel: Er behoren geschikte authenticatiemethoden te worden gebruikt om toegang van gebruikers op afstand te beheersenBeheersmaatregel: Automatische identificatie van apparatuur behoort te worden overwogen als methode om verbindingen vanaf specifieke locaties en apparatuur te authenticeren.Beheersmaatregel: De fysieke en logische toegang tot poorten voor diagnose en configuratie behoort te worden beheerst.Beheersmaatregel: Groepen informatiediensten, gebruikers en informatiesystemen behoren op netwerken te worden gescheiden.Beheersmaatregel: Voor gemeenschappelijke netwerken, vooral waar deze de grenzen van de organisatie overschrijden, behoren de toegangsmogelijkheden voor gebruikers te worden beperkt overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen.Beheersmaatregel: Netwerken behoren te zijn voorzien van beheersmaatregelen voor netwerkroutering om te bewerkstelligen dat computerverbindingen en informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen.Toegangsbeveiliging voor besturingssystemenDoelstelling: Voorkomen van onbevoegde toegang tot besturingssystemenBeheersmaatregel: Toegang tot besturingssystemen behoort te worden beheerst met een beveiligde inlogprocedure.ProPharma © Pagina 10 van 16 22 november 2011
  11. 11. Beheersmaatregel: Elke gebruiker behoort over een unieke identificatiecode te beschikken (gebruikers- ID) voor persoonlijk gebruik, en er behoort een geschikte authenticatietechniek te worden gekozen om de geclaimde identiteit van de gebruikers te bewijzen, op basis van ten minste twee afzonderlijke kenmerken.Beheersmaatregel: Systemen voor wachtwoordbeheer behoren interactief te zijn en te bewerkstelligen dat wachtwoorden van geschikte kwaliteit gekozen worden.Beheersmaatregel: Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, behoort te worden beperkt en strikt te worden beheerst.Beheersmaatregel: Interactieve sessies behoren na een vastgestelde periode van inactiviteit automatisch ontoegankelijk te worden gemaakt.Beheersmaatregel: De verbindingstijd behoort te worden beperkt als aanvullende beveiliging voor toepassingen met een verhoogd risico.Toegangsbeheersing voor toepassingen en informatieDoelstelling: Voorkomen van onbevoegde toegang tot informatie in toepassingssystemenBeheersmaatregel: Toegang tot informatie en functies van toepassingssystemen door gebruikers en ondersteunend personeel behoort te worden beheerst overeenkomstig het vastgestelde toegangsbeleid.Beheersmaatregel: Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid en/of om beschikbaarheid en/of om integriteit behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben.Draagbare computers en telewerkenDoelstelling: Waarborgen van informatiebeveiliging bij het gebruik van draagbare computers en faciliteiten voor telewerken.Beheersmaatregel: Er behoort formeel beleid te zijn vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico’s van het gebruik van draagbare computers en communicatiefaciliteiten.Beheersmaatregel: Er behoren beleid, operationele plannen en procedures voor telewerken te worden ontwikkeld en geïmplementeerd.Verwerving, ontwikkeling en onderhoud van informatiesystemenDe ontwikkeling van de informatievoorziening brengt een combinatie met zich mee van aanschaf vanproducten, aanpassingen aan de specifieke situatie en invoeren van procedures. Bij de aanschaf vanontwikkeling en het onderhoud van informatiesystemen moet informatiebeveiliging in twee opzichten in achtworden genomen. Functionele eisen die informatiebeveiliging stelt, moeten worden meegenomen in hetontwerp en de ontwikkeling van informatiesystemen. Daarnaast moeten voor een veilig informatiesysteem ookde processen van ontwikkeling en onderhoud zelf voldoende worden beveiligd. Risicoanalyse enrisicomanagement worden geïntegreerd tijdens de ontwikkeling en het onderhoud van informatiesystemen omtijdig, regelmatig en adequaat de beveiligingsbehoefte te analyseren en de maatregelen te bepalen om hieraante voldoen.Beveiligingseisen voor informatiesystemenDoelstelling: Bewerkstelligen dat beveiliging integraal deel uitmaakt van informatiesystemen.Beheersmaatregel: In bedrijfseisen voor nieuwe informatiesystemen of uitbreidingen van bestaande informatiesystemen behoren ook eisen voor beveiligingsmaatregelen te worden opgenomen.Correcte verwerking in toepassingenDoelstelling: Voorkomen van fouten, verlies, onbevoegde modificatie of misbruik van informatie in toepassingen.Beheersmaatregel: Gegevens die worden ingevoerd in toepassingen behoren te worden gevalideerd om te bewerkstelligen dat deze gegevens juist en geschikt zijn. Informatiesystemen dieProPharma © Pagina 11 van 16 22 november 2011
  12. 12. patiëntgegevens verwerken moeten alle patiëntgegevens gecontroleerd van de juiste patiëntidentificatie voorzien.Beheersmaatregel: Er behoren validatiecontroles te worden opgenomen in toepassingen om eventueel corrumperen van informatie door verwerkingsfouten of opzettelijke handelingen te ontdekken.Beheersmaatregel: Er behoren eisen te worden vastgelegd en geschikte beheersmaatregelen te worden vastgesteld en geïmplementeerd, voor het bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen.Beheersmaatregel: Gegevensuitvoer uit een toepassing behoort te worden gevalideerd, om te bewerkstelligen dat de verwerking van opgeslagen gegevens op de juiste manier plaatsvindt en geschikt is gezien de omstandigheden. Daarnaast behoren informatiesystemen bij het presenteren van patiëntgegevens altijd voldoende identificerende gegevens te tonen om het de zorgverlener mogelijk te maken vast te stellen dat de patiëntgegevens de patiënt in kwestie betreffen.Cryptografische beheersmaatregelenDoelstelling: Beschermen van de vertrouwelijkheid, authenticiteit of integriteit van informatie met behulp van cryptografische middelenBeheersmaatregel: Er behoort beleid te worden ontwikkeld en geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie.Beheersmaatregel: Er behoort sleutelbeheer te zijn vastgelegd ter ondersteuning van het gebruik van cryptografische technieken binnen de organisatie.Beveiliging van systeembestandenDoelstelling: Beveiliging van systeembestanden bewerkstelligenBeheersmaatregel: Er behoren procedures te zijn vastgesteld om de installatie van programmatuur op productiesystemen te beheersen.Beheersmaatregel: Testgegevens behoren zorgvuldig te worden gekozen, beschermd en beheerst. Er behoren geen tot personen herleidbare patiëntgegevens te worden gebruikt als testgegevens.Beheersmaatregel: De toegang tot de broncode van programmatuur behoort te worden beperkt.Beveiliging bij ontwikkelings- en ondersteuningsprocessenDoelstelling: Beveiliging van toepassingsprogrammatuur en –informatie handhaven.Beheersmaatregel: De implementatie van wijzigingen behoort te worden beheerst door middel van formele procedures voor wijzigingsbeheer.Beheersmaatregel: Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te worden beoordeeld en getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie.Beheersmaatregel: Wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te worden beperkt tot noodzakelijke wijzigingen, en alle wijzigingen behoren strikt te worden beheerst.Beheersmaatregel: Er behoort te worden voorkomen dat informatielekken ontstaan.Beheersmaatregel: Bij uitbestede ontwikkeling van programmatuur behoort de organisatie maatregelen te treffen ter waarborging van de kwaliteit van de ontwikkelde programmatuur.Beheer van technische kwetsbaarhedenDoelstelling: Risico’s verminderen als gevolg van benutting van gepubliceerde technische kwetsbaarheden.Beheersmaatregel: Er behoort tijdig informatie te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico’s.ProPharma © Pagina 12 van 16 22 november 2011
  13. 13. Beheer van informatiebeveiligingsincidentenHet niet naleven van beleid ten aanzien van informatiebeveiliging, storingen of fouten moeten volgensvastgelegde procedures worden aangepakt en via de juiste personen moeten de correcte maatregelen getroffenworden om deze incidenten op een correcte manier af te handelen en de procedures vervolgens hier opaanpassen, zodat de informatiebeveiliging wordt verbeterd.Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekkenDoelstelling: Bewerkstelligen dat informatiebeveiligingsgebeurtenissen en zwakheden die verband houden met informatiesystemen zodanig kenbaar worden gemaakt dat tijdig corrigerende maatregelen kunnen worden genomen.Beheersmaatregel: Informatiebeveiligingsgebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd.Beheersmaatregel: Van alle werknemers, ingehuurd personeel en externe gebruikers van informatiesystemen en –diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren.Beheer van informatiebeveiligingsincidenten en –verbeteringenDoelstelling: Bewerkstelligen dat een consistente en doeltreffende benadering wordt toegepast voor het beheer van nformatiebeveiligingsincidenten.Beheersmaatregel: Er behoren verantwoordelijkheden en procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te bewerkstelligen.Beheersmaatregel: Er behoren mechanismen te zijn ingesteld waarmee de aard, omvang en kosten van informatiebeveiligingsincidenten kunnen worden gekwantificeerd en gevolgd.Beheersmaatregel: Waar een vervolgprocedure tegen een persoon of organisatie na een informatiebeveiligingsincident juridische maatregelen omvat (civiel of strafrechtelijk) behoort bewijsmateriaal te worden verzameld, bewaard en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgesteld.BedrijfscontinuïteitsbeheerBedrijfscontinuïteistbeheer wordt gevormd door een set van maatregelen en procedures met betrekking totinformatiebeveiliging, risicobeoordeling en continuïteitsplanning. Dit kan tot stand komen in een kader waarinwordt beschreven op welke manier de continuïteit geborgd is binnen de organisatie hoe de continuïteit continuwordt getest en beoordeeld om deze te garanderen.Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheerDoelstelling: Onderbreken van bedrijfsactiviteiten tegengaan en kritische bedrijfsprocessen beschermen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en tijdig herstel te bewerkstelligen.Beheersmaatregel: Er behoort een beheerd proces voor bedrijfscontinuïteit in de gehele organisatie te worden ontwikkeld en bijgehouden waarbinnen de eisen voor informatiebeveiliging worden meegenomen die nodig zijn voor de continuïteit van de bedrijfsvoering.Beheersmaatregel: Gebeurtenissen die tot onderbreking van bedrijfsprocessen kunnen leiden, behoren te worden geïdentificeerd, tezamen met de waarschijnlijkheid en de gevolgen van dergelijke onderbrekingen en hun gevolgen voor informatiebeveiliging. Organisaties die patiëntgegevens verwerken, behoren een continuïteitsstrategie vast te stellen, te documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld.Beheersmaatregel: Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen.ProPharma © Pagina 13 van 16 22 november 2011
  14. 14. Beheersmaatregel: Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen en voor testen en onderhoud.Beheersmaatregel: Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geactualiseerd, om te bewerkstelligen dat ze actueel en doeltreffend blijven.NalevingOm te voldoen aan de wet en regelgeving moeten in een organisatie procedures worden geïmplementeerd,waarmee wordt bewerkstelligd dat informatie over patiëntgegevens of informatie waarop eigendomsrechtenberusten, voldoende veilig worden bewaard of overeenkomstig de licentieovereenkomsten worden bewaard.Naleving van wettelijke voorschriftenDoelstelling: Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen.Beheersmaatregel: Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.Beheersmaatregel: Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten.Beheersmaatregel: Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. Organisaties die patiëntgegevens verwerken, behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren.Beheersmaatregel: De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen. Behoudens wettelijke uitzonderingen behoort een zorginstelling toestemming te hebben van de patiënt voor het uitwisselen van zijn gegevens.Beheersmaatregel: Gebruikers behoren ervan te worden weerhouden IT voorzieningen te gebruiken voor onbevoegde doeleinden.Beheersmaatregel: Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en voorschriften te worden gebruikt.Naleving van beveiligingsbeleid en –normen en technische nalevingDoelstelling: Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie.Beheersmaatregel: Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en –normen.Beheersmaatregel: Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van implementatie van technische beveiligingsnormen.Overwegingen bij audits van informatiesystemenDoelstelling: Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als het gevolg van systeemaudits minimaliseren.ProPharma © Pagina 14 van 16 22 november 2011
  15. 15. Beheersmaatregel: Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd om productsystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te bepreken.Beheersmaatregel: Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbruik of compromittering te voorkomen.ConclusiesStel een beleidsplan op voor het informatiebeveiligingsbeleid binnen uw organisatieHet fundament voor een juiste inrichting van de informatiebeveiliging binnen uw organisatie ligt in eendeugdelijk en juridisch waterdicht beleidsplan. In het beleidsplan dienen minimaal de volgende onderdelen tezijn opgenomen: - doel van informatiebeveiliging - werkingsgebied - verantwoordelijken inclusief omschrijving van taken, bevoegdheden en verantwoordelijkheden - bestaande maatregelen (eventueel splitsen naar ingevoerde maatregelen en geplande maatregelen) - controle en evaluatieStel documenten op, implementeer procedures en handel conform protocollenU dient documenten en verslagen te bewaren waarmee u kunt aantonen welke maatregelen u heeft ingevoerden op welk moment. Alle documenten, procedures en protocollen dienen dynamisch te zijn, begrijpelijk en metalle medewerkers besproken te zijn (hetgeen ook d.m.v. een circulaire kan gebeuren): - ICT reglement - checklist aanstelling nieuwe medewerker / vertrek medewerker - geheimhoudingsverklaring - checklist aanschaf van hardware, software en randapparatuur - formulier incidentenregistratie - procedure veilig computergebruik - procedure back-up - procedure digitaal archivering - overzicht van hardware, software en randapparatuur - continuïteitsplan - checklist bij uitbesteding van IT - toegangscontroleColofonIn deze whitepaper heeft u alles kunnen lezen over de herziene NEN-norm 7510. U kunt zelf een diagnosestellen of uw organisatie voldoet aan de belangrijkste eisen van NEN7510. Een volledige invoering vanNEN7510 is een flinke klus. Sommige maatregelen zullen door de leverancier van de informatiesystemenuitgevoerd moeten worden, maar vele liggen ook in uw organisatie zelf. ProPharma wil u daarbij ondersteunenmet een gerichte aanpak en een pakket hulpmiddelen. ProPharma beschikt over een aantal ervaren enenthousiaste adviseurs die dagelijks organisaties, instellingen en bedrijven ondersteunen bij het optimaliserenvan hun bedrijfsprocessen, maar ook organisatieveranderingen realiseren. Onze aanpak bestaat uit driestappen:1. uitvoeren risicoanalyse2. opstellen implementatieplan3. invoeren maatregelen van de NEN7510ProPharma stelt hulpmiddelen beschikbaar zoals een vragenlijst voor de risico-analyse, een voorbeeld van eenimplementatieplan en een toolkit met checklists en voorbeelddocumenten. Indien het wenselijk is aanvullendeondersteuning te bieden, dan is er de mogelijkheid één van onze adviseurs op interim-basis binnen uworganisatie tewerk te stellen.Wij willen onze expertise graag vrijblijvend aan u presenteren. Stuur een e-mail of neem telefonisch contactmet ons op. Onze contactpersoon is mw. Jill Pluijmaekers.ProPharma © Pagina 15 van 16 22 november 2011
  16. 16. Deze whitepaper is geschreven door mw. Jill Pluijmaekers, directeur, en dhr. Rudy Willems, junior adviseur bijProPharma advies- en projectmanagentbureau voor zorgverleners in de eerstelijns gezondheidszorg.ProPharmaEyserbosweg 16287 NA EysWebsite: www.propharma.nlE-mail: info@propharma.nlTel: 043 – 451 81 10Fax : 043 – 451 81 11ProPharma © Pagina 16 van 16 22 november 2011

×