De toepasbaarheid van CobiT 5 in het kader van informatiebeveiliging in de gezondheidszorg

J.M. Spronck, Afstudeeropdracht IT-Auditing & Advisory, ESAA, 2015

De toepasbaarheid van CobiT 5 in het kader van informatiebeveiliging in de gezondheidszorg

Executive Master IT-Audit & Advisory

1 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


Auteur: drs. ing. Julien Spronck Studentnummer: 377325 Email: [email protected]; [email protected] Begeleider ESAA: Jan van Pasmooij RE RA RO Versie: 17 december 2014, definitief. Referaat: gebruik met bronvermelding toegestaan



Voorwoord In het kader van de Postdoctorale IT Audit & Advisory opleiding aan de Erasmus Universiteit heb ik een scriptieonderzoek uitgevoerd over informatiebeveiliging binnen de VVT, en dan specifiek met CobiT 5 als toepassingskader. Met ruime ervaring in de informatiebeveiliging in de zorg als consultant en auditor ligt dit onderwerp voor de hand, maar het was een toch goede gelegenheid om alle relevante variabelen na te gaan en dieper te graven dan je normaal doet. Informatiebeveiliging in de zorg is geen nieuw onderwerp voor onderzoek, enerzijds is er al veel geschreven over wetten, regels en normen en de mate waarin zorginstellingen daaraan voldoen. Anderzijds zijn deze onderzoek meestal gericht op ziekenhuizen en niet op de VVT. Daarbij wilde ik deze andere invalshoek combineren met een voor de VVT nieuw toepassingskader (CobiT 5).

Den Haag, december 2014 Julien Spronck



Samenvatting De VVT (verzorging, verpleging en thuiszorg) is constant in ontwikkeling en dit legt een grote druk op ITbeheerafdelingen. Zo is er bijvoorbeeld de transitie van een deel van de AWBZ naar de WMO voor gemeenten per 1 januari 2015, de introductie van DBC’s in verpleeghuizen en de steeds verder gaande invloed van ehealth. Al deze wijzigingen raken het informatiebeveiligingsbeleid en de uitvoering van dat beleid bij VVTorganisaties. Daarbij komt ook nog de invoering van de Europese privacyverordening die extra eisen stelt aan VVT-instellingen voor wat betreft informatiebeveiliging. IT-beheerafdelingen van VVT-instellingen worstelen al jaren met ondercapaciteit, IT-beheerraamwerken kunnen hierbij een ondersteunende rol spelen door processen te stroomlijnen, beslissingen te vereenvoudigen en best practices aan de hand te leggen. In de VVT zijn de meest gebruikte raamwerken BiSL, ITIL en ASL. Recent is de laatste grote versie van CobiT vernieuwd (versie 5) én deze is aangevuld met een aparte module op het vlak van informatiebeveiliging. Informatiebeveiliging moet als een integraal aspect van IT-beheer worden ingericht. Het doel van dit exploratieve onderzoek is te bepalen of CobiT 5 toegevoegde waarde heeft in het kader van informatiebeveiliging voor VVT-instellingen. Om dit te bepalen is er literatuuronderzoek gedaan naar de eisen op het gebied van informatiebeveiliging en de eigenschappen van de raamwerken. Vervolgens is dit getoetst in een empirisch onderzoek (interviews) met zes experts op het gebied van informatiebeveiliging, de VVT en beheerraamwerken. De conclusie is dat CobiT 5 toegevoegde waarde heeft in de praktijk omdat het enerzijds elementen beschrijft die de andere raamwerken niet ‘in scope’ hebben, de belangrijkste daarvan is dat CobiT 5 resultaten beschrijft en de andere raamwerken zijn meer gericht op procesondersteuning. Anderzijds is de internationale informatiebeveiligingsnorm ISO27001/27002 in CobiT 5 geïntegreerd en deze norm is de basis geweest voor de Nederlandse beveiligingsnorm NEN7510. Er wordt dus bij het gebruiken van CobiT 5 naar veel van dezelfde beheersmaatregelen gekeken wat het beheer tijd kan besparen. CobiT 5 is over de linie een goede aanvulling op ITIl, ASL en/of BiSL, des te meer omdat niet overal alle raamwerken worden gebruikt en CobiT 5 een breed geformuleerd raamwerk is. Een nadeel van CobiT 5 is dat een implementatie een grote investering is en het model wordt als complex gezien.



Inhoudsopgave Voorwoord .............................................................................................................................................. 3 Samenvatting ......................................................................................................................................... 4 Afkortingen ............................................................................................................................................ 7 Aanleiding onderzoek en onderzoeksvraag ...................................................................................... 8 Aanleiding van het onderzoek ........................................................................................................ 8 Onderzoeksvraag en aanvullende deelvragen ............................................................................. 9 Onderzoeksopzet .......................................................................................................................... 9 Hoofdstuk 1

Definitievorming en begrippenkaders ................................................................. 10

1.1 Data, gegevens, informatie en kennis ................................................................................. 10 1.2

Het begrip bewerken ......................................................................................................... 11

1.3

VVT ........................................................................................................................................ 11

1.4

Elektronische dossiers in de zorg ..................................................................................... 12

Hoofdstuk 2

3

Informatiebeveiliging ............................................................................................. 14

2.1

Wat is informatiebeveiliging? ........................................................................................... 14

2.2

Definitie en proces ............................................................................................................. 15

2.3

Informatiebeveiliging binnen de VVT .............................................................................. 16

Normen, weten regelgeving binnen de VVT ........................................................................ 18 3.1

Wet- en regelgeving ........................................................................................................... 18

3.1.1

Wet Bescherming Persoonsgegevens ....................................................................... 18

3.1.2

Europese Privacyverordening ................................................................................... 19

3.1.3

Wet Geneeskundige Behandelovereenkomst ......................................................... 20

3.1.4

Wet Gebruik Burgerservicenummer in de Zorg ..................................................... 20

3.2 Informatiebeveiligingsnormen binnen de VVT .................................................................... 21 3.2.1

NEN7510 ....................................................................................................................... 21

3.3.2 Inhoud van de NEN7510 ....................................................................................................... 22 3.3.1

Software conform NEN7510.......................................................................................... 22

3.4 Goed Beheerd Zorgsysteem ........................................................................................................ 23 3.5

Eisen aan informatiebeveiliging ............................................................................................ 25

Hoofdstuk 4 4.1

IT-beheer en raamwerken in de VVT .................................................................. 26

Inleiding................................................................................................................................ 26

4.2.1

Functioneel applicatiebeheer .................................................................................. 26

4.2.2 Functioneel beheer .......................................................................................................... 27 4.2.2

Technisch beheer........................................................................................................ 28



4.2.3

Technisch beheer .......................................................................................................... 28

4.2.4

Applicatiebeheer ........................................................................................................ 28

4.2.5

IT-beheer binnen de VVT .......................................................................................... 29

4.3

5

Raamwerken .................................................................................................................... 29

4.3.1

ITIL ................................................................................................................................. 29

4.3.2

BiSL ................................................................................................................................ 30

4.3.3

ASL ................................................................................................................................. 30

4.4

Eisen aan informatiebeveiliging t.b.v. IT-beheer .................................................................. 31

4.5

Oorzaken van beperkter beheer in VVT-instellingen ............................................................ 32

CobiT 5 ........................................................................................................................................... 34 5.1

Inleiding CobiT 5 .................................................................................................................... 34

5.2

Implementatie van CobiT ...................................................................................................... 34

5.3

CobiT 5 for Information Security ........................................................................................... 37

5.4

CobiT 5 en de andere raamwerken ....................................................................................... 39

Hoofdstuk 6

Onderzoeksmodel ......................................................................................................... 41

6.1 Conceptueel model ..................................................................................................................... 41 6.2

Casestudy .............................................................................................................................. 42

6.3

Dataverzameling.................................................................................................................... 42

6.3.1 Hoofdstuk 7 7.1

Interviews ...................................................................................................................... 44 Resultaten, conclusies en aanbevelingen...................................................................... 45

Onderzoeksresultaten ........................................................................................................... 45

7.1.1 7.1.2

Stand van zaken huidig IT-beheer en informatiebeveiliging. ........................................ 45 Implementatie CobiT 5 ...................................................................................................... 47

7.1.3

Europese privacyverordening........................................................................................ 48

7.2

Conclusie ............................................................................................................................... 48

7.3

Beperkingen en aanbevelingen ............................................................................................. 49

Bijlage 1

Inhoudsopgave NEN7510 .................................................................................................. 50

Bijlage 2

Inleidende vragenlijst interviews ...................................................................................... 54

Literatuur ............................................................................................................................................... 55



Afkortingen BSN

Burgerservicenummer

CBP

College Bescherming Persoonsgegevens

EMD

Elektronisch medicatiedossier

EPD

Elektronisch patiëntdossier

EKD

Elektronisch kind Dossier

GBZ

Goed Beheerd Zorgsysteem

LSP

Landelijk schakelpunt

NEN

Nederlands Normalisatieinstituut

NICTIZ

Nationaal ICT Platform in de Zorg

SBV-Z

Sectorale berichten voorziening in de zorg

SLA

Service Level Agreement

UZI

Unieke Zorgverleners Identificatie

WBGO

Wet Geneeskundige Behandelovereenkomst

WBP

Wet bescherming persoonsgegevens

Wbsn-z

Wet gebruik burgerservicenummer in de zorg

WID

Wettelijk Identificatie Document

XIS

Zorginformatiesysteem

ZIS

Zorginformatiesysteem



Aanleiding onderzoek en onderzoeksvraag Aanleiding van het onderzoek De gezondheidszorg is constant in ontwikkeling en onder continue politieke invloed. In onderzoeken op het gebied van de gezondheidszorg, ook bij auditstudies, wordt relatief vaak als onderzoeksobject één of meerdere ziekenhuizen genomen, ook wel de Cure genoemd. Echter, de Care en dan specifiek de VVT (Verpleging, verzorging- en thuiszorg) staat de komende jaren voor grotere hervormingen dan de ziekenhuizen. Alleen al in 2014 is er de voorbereiding van de transitie van de AWBZ naar de WMO voor gemeenten, de introductie van DBC’s in verpleeghuizen, bezuinigingen in de thuiszorg, de ontmanteling van vier van de tien zorgzwaartepakketten binnen de verzorgingshuizen en de steeds verder gaande invloed van ehealth. De verwachting is dat de hervormingsdrift van de overheid hier niet op zal houden. Zorginstellingen worden niet langer alleen gefinancierd op basis van verrichtingen en de bijbehorende parameters, maar op basis van werkelijke productie uitgedrukt in DBC’s (Diagnose Behandeling Combinaties) of Zorgzwaartepakketten. Deze veranderingen hebben niet alleen een grote invloed op de financieringswijze van een zorginstelling, maar eveneens een grote impact op de automatiseringsomgeving van deze instellingen. Een gemiddelde zorginstelling die intramurale en extramurale zorg levert beschikt al snel over meer dan twintig verschillende applicaties, wat door de benodigde koppelingen resulteert in een zeer complex applicatielandschap met verschillende beheerprocedures. Naast de sterk wijzigende financieringsstructuur hebben zorginstellingen de eis om elektronische (klant)dossiers in te voeren, medicatie elektronisch te beheren en softwareleveranciers bieden hun diensten steeds meer alleen aan als Clouddienst aan de zorginstellingen. Tegelijkertijd moeten de zorginstellingen voldoen aan vereisten zoals neergelegd in de NEN7510 (informatiebeveiliging in de zorg), de WBP, de WGBO (Wet op Geneeskundige Behandeling) en de Europese privacyverordening zodra die is geaccordeerd. Daarnaast is het voor de accountantscontrole en de interne beheersing een harde eis om te kunnen steunen op geautomatiseerde controles, m.a.w. de organisatie moet op al deze vlakken ‘in control zijn’. De Inspectie voor de Gezondheidszorg heeft aangekondigd dat informatiebeveiliging een van de speerpunten wordt met ingang van 2014 en dat zorginstellingen daarop intensief worden gecontroleerd. Als automatiseringsdeskundige ziet de auteur dat veel VVT-instellingen hard werken aan bovengenoemde aspecten. Echter, juiste en eenduidige IT-beheerprocedures ontbreken nog te vaak. Hierdoor blijkt regelmatig voor of tijdens de accountantscontrole dat de procedures voor applicatiemanagement een onvoldoende basis bieden om op te steunen. Momenteel worden BiSL, ITIL en in mindere mate ASL gebruikt als applicatiebeheerraamwerken. In theorie zouden met deze beheerstandaarden de IT beheerprocedures goed kunnen worden ingericht. Echter, informatiemanagers en applicatiebeheerders vinden het complex om met meerdere raamwerken te werken en op basis daarvan een integraal beheerraamwerk op te stellen. In de praktijk komt het dan ook regelmatig voor de dat raamwerken niet holistisch worden ingezet maar gefragmenteerd: voor zorginformatiesysteem X gebruikt de zorginstelling BiSL en voor het financiële pakket Y wordt ITIL gebruikt. Het beheer is dus nog erg op applicaties ingericht in plaats van op bedrijfsprocessen, zoals de raamwerken bedoeld zijn. Een integraal raamwerk kan leiden tot eenvoudigere en tegelijkertijd juiste en eenduidige IT-beheerprocedures, of in ieder geval een deel van het beheersprobleem verminderen. 8 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


Informatiebeveiliging geldt immers voor de gehele organisatie en het gehele applicatielandschap. COBIT 5 is een weinig gebruikt raamwerk in de gezondheidszorg, het wordt vaak als te groot en complex gezien. Maakt onbekend onbemind? Het doel van dit onderzoek is niet a priori bestaande raamwerken te vervangen, maar te onderzoeken of en in hoeverre COBIT 5 toegevoegde waarde biedt als intern beheersmodel van ITgerelateerde processen binnen VVT-instellingen, specifiek binnen het domein van informatiebeveiliging. De relatie tussen COBIT en governance valt binnen de scope van dit onderzoek voor zover het van belang is voor de IT-beheerscomponenten. Governance an sich binnen VVT-instellingen is niet het onderzoeksobject van dit referaat.

Onderzoeksvraag en aanvullende deelvragen Op basis van de aanleiding van het onderzoek is de onderstaande onderzoeksvraag geformuleerd: (FAB) binnen de Nederlandse

Biedt COBIT 5 toegevoegde waarde als beheersmodel voor het IT-beheer van VVT-instellingen binnen het domein van informatiebeveiliging?

ezondheidszorg?

Om een antwoord te kunnen geven op de geformuleerde onderzoeksvraag dienen de volgende deelvragen beantwoord te worden: 1. Welke rol speelt informatiebeveiliging binnen de VVT? 2. Wat is IT-beheer? 1.1 Welke beheerraamwerken worden gebruikt binnen de VVT? 1.2 Wat zijn de belangrijkste oorzaken waarom de procedures voor IT-beheer voor de VVT-instellingen als onvoldoende wordt ervaren (specifiek op het vlak van informatiebeveiliging)? 3. Welke wetten en normeringen t.a.v. informatiebeveiliging zijn van toepassing binnen de VVT? 3.1 Welke typologie is van toepassing t.a.v. beheer op het gebied van informatiebeveiliging bij VVTinstellingen? 3.2 Hoe verhoudt de typologie zich tot de beheerraamwerken? 3.3 Welke toevoegingen zijn benodigd aan de beheerraamwerken om informatiebeveiliging afdoende te beheren? 4. Wat is COBIT 5? 5. Voldoet COBIT 5 aan bovengenoemde eisen van de VVT-instellingen op het gebied van informatiebeveiliging? 6. Welke aanpassingen zijn noodzakelijk om COBIT 5 toegevoegde waarde te geven?

Onderzoeksopzet In dit onderzoek is het onderstaande (vierstappen)model gebruikt: -

Planning;

-

Vooronderzoek (literatuuronderzoek, conceptueel model);

-

Veldwerk, toetsen conceptueel model;

-

Rapportage.

De validatie van het conceptuele model heeft plaatsgevonden middels interviews met zes informatiemanagers en/of applicatiebeheerders bij VVT-instellingen. 9 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


Hoofdstuk 1

Definitievorming en begrippenkaders

In dit hoofdstuk staan vier paragraven met uiteenzettingen die relevant zijn voor de inhoud, leesbaarheid en afkadering van dit referaat.

1.1 Data, gegevens, informatie en kennis In de informatiebeveiliging worden normen gehanteerd waarbij de relevante entiteiten (1) data, (2) gegevens, (3) informatie en ten slotte (4) kennis de ene keer wel en de andere keer niet inwisselbaar worden gebruikt, maar waarbij de inhoudelijke betekenis kan verschillen. Er kan dus snel begripsverwarring optreden bij het interpreteren en hanteren van de desbetreffende norm. In de NEN7510 bijvoorbeeld, die geheel om informatiebeveiliging draait, is het kernbegrip ‘informatie’ niet nader geoperationaliseerd. Onderstaand een uiteenzetting m.b.t. het verband tussen data, gegevens, informatie en kennis. “Data is a set of specific, objective facts or simple observations. Standing alone, such facts have no intrinsic meaning, but can be easily captured, transmitted, and stored electronically” (Davenport, 1997, p.9). Data kan worden weergegeven in de vorm van letters en/ of cijfers. Uit deze definitie blijkt dat data voor mensen geen referentiekader heeft. Gegevens hebben dat wel: gegevens zijn data die het systeem (de gebruiker, het informatiesysteem, de organisatie) begrijpt: betekenisvolle data. Als gegevens nieuwswaarde hebben voor het systeem en een betekenis in een bepaalde situatie aan die gegevens wordt toegekend, is er sprake van informatie. Die betekenis kan per situatie verschillen: dezelfde gegevens kunnen in verschillende situaties andere informatie opleveren. Uit het feit dat informatie nieuwswaarde oplevert volgt logischerwijs dat informatie een beperkte geldigheidswaarde heeft aangezien gegevens voor het systeem informatie maar één keer nieuwswaarde kan hebben (Hendriks, 1999). Met andere woorden: informatie is geen informatie meer zodra het informatie bleek te zijn. Weggeman (2003) betoogt dat informatie datgene is wat een verandering in kennis teweegbrengt. Het verband met kennis is nu gelegd. Kennis is datgene wat mensen in staat stelt met informatie om te kunnen gaan en om van data tot informatie te kunnen komen. Door kennis kunnen mensen continue informatiestromen ordenen en op basis daarvan beslissingen nemen of voorspellingen doen. Kennis is dus een menselijk eigenschap en geen variabele van informatie.

Figuur 1: klassieke visie informatieproces versus moderne visie informatieproces.



Om verdere begripsverwarring te voorkomen is in dit referaat in het geval van bronvermeldingen gebruik gemaakt van de originele term. In alle andere gevallen wordt in lijn met bovenstaande uiteenzetting met het begrip informatie in dit referaat ook data en/of gegevens omvat. Kennis valt buiten de scope van dit onderzoek.

Informatie is betekenisvolle data met nieuwswaarde voor de gebruiker en/of de organisatie

1.2

Het begrip bewerken

In dit referaat komt het begrip ‘bewerken’ (synoniem: verwerken) regelmatig voor. Hiermee worden o.a. de volgende handelingen met informatie bedoeld, opgenomen uit de Europese Privacyverordening (95/46/EG). Dit is geen uitputtende opsomming: -

Verzamelen;

-

Wijzigen,

-

Bijwerken;

-

Ordenen;

-

Raadplegen;

-

Terbeschikkingstellen;

-

Met elkaar in verband brengen;

-

Wissen of vernietigen van gegevens.

De verwerker is ‘de natuurlijke of rechtspersoon, de overheidsinstantie, die dienst of enig ander orgaan die, respectievelijk dat ten behoeve van de verantwoordelijke persoonsgegevens verwerkt.’ (Duthler & Biesheuvel, 2013, p.17). Specifiek i.h.k.v. informatiebeveiliging is van belang dat het ‘simpelweg’ raadplegen van informatie ook als relevante handeling gedefinieerd is.

1.3

VVT

De term VVT staat voor ‘verpleeghuiszorg, verzorgingshuiszorg en thuiszorg’. Verpleeg- en verzorgingshuiszorg is langdurige zorg die binnen een zorginstelling wordt geleverd, vaak wordt dit ook aangeduid als ‘intramuraal’. Thuiszorg is langdurige zorg die niet intramuraal wordt geleverd maar in de thuissituatie. Dit wordt vaak ‘extramuraal’ genoemd. Thuiszorg en verpleeg- en verzorgingshuiszorg kent de onderstaande domeinen: -

Begeleiding;

-

Persoonlijke verzorging;

-

Verpleging;

-

Huishoudelijke verzorging;

-

Behandeling (bijvoorbeeld revalidatie).

Het VVT landschap bevindt zich in een verschuiving waarbij de financiering van huishoudelijke- en persoonlijke verzorging en verpleging vanuit het rijk naar de gemeenten worden verschoven (WMO) en tegelijkertijd worden geriatrische behandelingen vanuit het ziekenhuis naar verpleeghuizen verplaatst. 11 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


1.4

Elektronische dossiers in de zorg

Door de opkomst van Elektronische Patiënten Dossiers (EPD) zijn zorgprocessen afhankelijker zijn geworden van het gebruik van IT. De term EPD wordt meestal gehanteerd in ziekenhuizen en de Geestelijke Gezondheids Zorg, in apotheken wordt de term Apotheek Informatie Systeem (AIS) gebezigd, huisartsen hebben een Huisarts Informatie Systeem (HIS) en de jeugdzorg gebruikt een Elektronisch Kind Dossier (EKD). In de VVT wordt het gebruikte informatiesysteem vaak Elektronisch Cliënten Dossier genoemd (ECD) genoemd omdat over cliënten in plaats van patiënten wordt gesproken. Om de terminologie in te dammen is de term XIS in het leven geroepen, waarbij de X inwisselbaar kan worden geïnterpreteerd voor een bepaald InformatieSysteem, al naar gelang in welke sector de persoon opereert. Als een arts, psycholoog of psychiater in dienst van de VVT-instelling hoofdbehandelaar is van een persoon dan wordt meestal de term patiënt aangehouden; dit is in het verpleeghuis per definitie het geval. In een verzorgingshuis of in de thuiszorg hoeft dat niet zo te zijn, dan kan dat namelijk ook de lokale huisarts zijn. In essentie doen al deze informatiesystemen echter hetzelfde. De termen ECD,EPD of XIS en cliënt of /patiënt worden in dit referaat inwisselbaar gebruikt. De definitie van een ECD is (Albers, 2008, p.10): “Een ECD is een patiëntendossier, dat als specifiek informatiesysteem is ontworpen om zorgverleners te ondersteunen door het verstrekken van toegang tot de volledige en nauwkeurige gegevens van een client, medische waarschuwingen, herinneringen, klinische beslissingsondersteunende systemen, verwijzingen naar medische kennis en andere hulpmiddelen.” In veel gevallen is een ECD niet het volledige en juiste dossier van de cliënt c.q. patiënt. Dit heeft drie oorzaken: -

Het is niet mogelijk of toegestaan om alle relevante clientinformatie te digitaliseren en vervolgens in een ECD te integreren. Een voorbeeld hiervan is receptuur die wordt uitgeschreven voor opiaten (bijvoorbeeld morfine), dit mag vanwege fraude en de verslavingsgevoeligheid alleen hardcopy worden uitgeschreven en bewaard.

-

Relevante medische clientinformatie moet 15 jaar na ontslag/overlijden worden bewaard, clientinformatie die niet medisch relevant is moet 5 jaar na ontslag/overlijden worden bewaard. 15 jaar geleden kwamen de eerste ECD’s in opkomst en uit die periode er is nog veel hardcopy informatie beschikbaar die niet is gedigitaliseerd, of deze is wel al gedigitaliseerd maar niet integraal in het ECD ingevoerd.

-

Er wordt in Nederland met verschillende externe koppelingen gewerkt waarbij clientinformatie tussen verschillende instanties wordt uitgewisseld. De meest aansprekende is waarschijnlijk het landelijke EPD, wat in afgezwakte vorm is doorgegaan nadat het oorspronkelijk voor iedere Nederlander was bedoeld. Maar er zijn nog meer voorbeelden te noemen zoals VeCoZo (Veilige Communicatie in de Zorg) waarbij laboratoriumuitslagen en indicaties worden uitgewisseld.

Informatiebeveiliging gaat dus verder dan alleen het ECD en ook dan het digitale domein binnen VVTinstellingen, maar een ECD is altijd een vitaal onderdeel van informatiebeveiliging binnen VVT-instellingen. De zorg kent één EPD generatie model, Gartner onderscheidt hierin vijf generaties EPD-systemen die beginnen met eenvoudige systemen voor inzage van patiëntengegevens tot complete geïntegreerde systemen voor alle gedefinieerde zorgprocessen. (Ouvry, 2005).



Figuur 2: ontwikkelfasen ECD/EPD De vijf EPD generaties zijn als volgt te typeren: 1e generatie: de kijkdoos ECD’s zijn ‘kijkdozen’ waarin informatie uit verschillende bronnen kan worden ingezien, bijvoorbeeld data uit laboratoria. Er is alleen sprake van eenrichtingsverkeer: van databank naar behandelaar. 2e generatie: de documenteerder Naast een ‘kijkdoos’ is het 2e generatie ECD ook een dossier waar de arts of patiënt (maar meestal alleen de arts) ook informatie aan toevoegt, zoals over de medische handelingen die bij een patiënt worden verricht. In dit geval is het ECD een plaats waar zowel data wordt verzameld en wordt bewerkt. 3e generatie: de helper Artsen kunnen het proces dat de patiënt doorloopt stap voor stap volgen. Ze worden ook wel multidisciplinaire EPD’s genoemd, omdat er informatie vanuit verschillende stappen en daarmee disciplines in het dossier terug te vinden is. Zorgverleners worden met deze EPD’s bovendien geholpen om medische standaarden toe te passen. De meeste ECD’s in Nederland binnen de VVT zijn van de 3e generatie. 4e generatie: de collega De vierde generatie ECD’s kunnen medische kennis koppelen aan het specifieke ziektebeeld van een patiënt. Op deze manier adviseren deze ECD’s per patiënt over bijvoorbeeld medicijngebruik en gewenste (be)handelingen. Deze systemen maken het mogelijk dat andere beroepsgroepen een deel van de taken van de arts of specialist overneemt doordat zij bij zowel diagnose als behandeling ‘gecoacht’ worden door het EPD. Deze generatie ECD’s is nu in opkomst. 5e generatie: de mentor Deze ECD’s bestaan alleen nog in de ontwerpfase, maar moeten in de nabije toekomst in staat zijn om rekening te houden met zowel de specifieke situatie van een patiënt als met de ervaring en kennis van de hulpverlener die het ECD gebruikt. Op basis hiervan kunnen deze ECD’s behandelaren en patiënten, nog beter dan 4e generatie systemen, helpen beslissingen te nemen over behandelingen.



Hoofdstuk 2

Informatiebeveiliging

In dit hoofdstuk wordt antwoord gegeven op de eerste deelvraag van de probleemstelling: -

2.1

Welke rol speelt informatiebeveiliging binnen de VVT?

Wat is informatiebeveiliging?

Informatiebeveiliging heeft het doel om informatie(systemen)en informatiestromen binnen en buiten organisaties te beveiligen, om zodoende de continuïteit van de organisatie te waarborgen. Indien er incidenten zijn dan moet de schade hiervan worden geminimaliseerd of gemitigeerd. Er zijn drie kwaliteitsaspecten die binnen het vakgebied met informatiebeveiliging worden geassocieerd: -

Vertrouwelijkheid

Informatie is alleen observeerbaar / toegankelijk voor degenen met de juiste rechten.

-

Beschikbaarheid

Informatie is beschikbaar & bruikbaar + systemen kunnen aanvallen weerstaan & direct herstellen/vermijden van gebreken.

-

Integriteit

Informatie is volledig, accuraat en beschermd tegen niet geautoriseerde wijzigingen.

Deze drie aspecten worden ook vaak aangeduid als CIA, wat staat voor Confidentiality, Integrity en Availability.

Figuur 3: Informatiebeveiliging conform CIA

Andere aspecten die naast de ‘traditiele drie’ van belang zijn bij informatiebeveiliging zijn: -

Verantwoordelijkheid. Waarbogen dat van de desbetreffende informatie continu vaststaat wie verantwoordelijk is voor de bewerking.

-

Onweerlegbaarheid. Het vastleggen of wijzigen van informatie kan niet worden ontkend en bewezen.

-

Authenticiteit. Waarborgen dat bewerkers (ook organisaties) van de juiste identiteit zijn voorzien.

-

Betrouwbaarheid. Het waarborgen van kwaliteitseisen ten aanzien van informatie, de bron daarvan en de bewerkingen.

Met bovenstaande aspecten wordt vaak de controleerbaarheid van informatie bedoeld, omdat hiermee achteraf de toegang en de handelingen kunnen worden getoetst.



Ten slotte wordt er in bepaalde gevallen een extra aspect aan informatiebeveiliging toegevoegd: -

Compliance. Alle informatie wordt behandeld conform (Europese & Nederlandse) wetgeving /regelgeving + conform interne bedrijfsregels.

Compliancy wordt een steeds grotere factor gezien de weten regelgeving die eisen stelt aan informatiebeveiliging die verder gaat dan bovenstaande drie componenten vanuit de eisen die sec de organisatie stelt. Denk bijvoorbeeld aan de Europese Privacyverordening of de Meldplicht Datalekken.

2.2

Definitie en proces

De definitie ten aanzien van informatiebeveiliging die in dit referaat wordt gehanteerd is de volgende [ISO/IEC 27002:2005]: “Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of beschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn.” Informatiebeveiliging vormt volgens de code voor informatiebeveiliging (ISO 27002) een cyclisch proces waarin vier fasen kunnen worden onderkend. Risicomanagement is integraal onderdeel van informatiebeveiliging conform de Plan-Do-Check-Act cyclus. Aanvullend aan de Plan-Do-Check-Act-cyclus is een zesstappenmodel gevormd om de informatiebeveiliging in organisaties in te bedden.

Figuur 4: Informatiebeveiligingsproces binnen organisaties Beleid en organisatie Tijdens de eerste stap ‘Beleid & Organisatie’ wordt het voor informatiebeveiligingsbeleid opgesteld. Het beleid is opgebouwd uit beleidsuitgangspunten die nader zijn uitgewerkt in relevante beveiligingsrichtlijnen. Het beleid voor informatiebeveiliging van de VVT-organisatie heeft als doel de beschikbaarheid, de integriteit en 15 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


de vertrouwelijkheid van de handmatige en geautomatiseerde gegevensverwerking te waarborgen, in overeenstemming met het belang dat de informatievoorziening heeft voor het functioneren voor de organisatie.

Beoordeling risico De beveiligingsbehoefte wordt bepaald door de risico’s die de organisatie loopt. De beoordeling van beveiligingsrisico’s vindt plaats aan de hand van drie aspecten: 1. De waarschijnlijkheid van het plaatsvinden van een beveiligingsincident; 2. De schade voor de organisatie die ontstaat als gevolg van het optreden van dat beveiligingsincident; 3. De kosten van beveiligingsmaatregelen om het risico van het beveiligingsincident tot een aanvaardbaar niveau te reduceren. Het resultaat van de beoordeling bepaalt voor welke beveiligingsrisico’s en met welke prioriteit, maatregelen moeten worden getroffen. Maatregelen Vanuit de beoordeling worden maatregelen bepaald, maatregelen bestaan uit algemene maatregelen (om een minimumniveau te garanderen) en specifieke maatregelen (afhankelijk van de risicoclassificatie van een specifiek onderdeel van de informatievoorziening). Bij deze maatregelen wordt onderscheid gemaakt in organisatorische, logische en fysieke maatregelen. Per maatregel wordt bepaald of en in hoeverre preventie detectie, repressie en correctie of een combinatie hiervan wordt toegepast. De getroffen maatregelen worden geëvalueerd, om te bepalen of op onderdelen niet teveel maatregelen dan wel te weinig of onjuiste maatregelen zijn getroffen. Implementatie In deze fase wordt het vastgestelde beleid, dat heeft geresulteerd in concrete maatregelen, binnen de organisatie geïmplementeerd. Bij het implementeren van deze maatregelen vindt impliciet een beoordeling plaats van de haalbaarheid en toereikendheid. In deze fase blijkt of de praktische uitvoering van de maatregelen aansluit op de theorie in de voorgaande fasen.

Bewaking Informatiebeveiliging is de verantwoordelijkheid voor het management, dit houdt ook in dat de bewaking van maatregelen ook bij leidinggevenden ligt. De leidinggevenden dienen ervoor zorg te dragen dat de in het beleid geformuleerde beleidsuitgangspunten, en daaraan gekoppeld de maatregelen, als integraal onderdeel van hun organisatievoering is meegenomen. Evaluatie en audit Het informatiebeveiligingsbeleid en de beveiligingsmaatregelen worden periodiek geëvalueerd en indien nodig aangepast. Bevindingen en aanbevelingen vanuit de evaluatie en audit worden meegenomen in de processtap ‘Beleid & Organisatie’.

2.3

Informatiebeveiliging binnen de VVT

Informatiebeveiliging binnen VVT-instellingen implementeren en handhaven is geen sinecure. De ontwikkelingen in het digitale vakgebied gaan razendsnel en de medewerkers eisen steeds vaker technologie die hun werk vergemakkelijkt.



Informatiebeveiliging binnen VVT-organisaties wordt op drie onderdelen ingericht:

Gedrag en cultuur

Structuur en Processen

Technologie

Figuur 5: Organisatieaspecten Informatiebeveiliging in VVT-instellingen In de praktijk merkt de auteur dat vooral de peiler ‘technologie’ de meeste aandacht krijgt, omdat deze waarschijnlijk het makkelijkste te implementeren is. Denk bijvoorbeeld aan een firewall of mechanismen om devices op afstand te wissen na diefstal. Structuur en processen zijn noodzakelijk om de afspraken op te zetten en te borgen (bijvoorbeeld informatiebeveiligingsbeleid). Cultuur en gedrag is de meeste ‘softe’ control en hierbij kan gedacht worden aan het niet delen van wachtwoorden en een clean desk policy.



3

Normen, weten regelgeving binnen de VVT

In dit hoofdstuk wordt antwoord gegeven op de onderstaande deelvragen van de probleemstelling: - Welke normeringen t.a.v. informatiebeveiliging zijn van toepassing binnen de VVT? - Welke typologie is van toepassing t.a.v. applicatiebeheer op het gebied van informatiebeveiliging bij VVTinstellingen? In dit hoofdstuk zijn de relevante raamwerken en de bijbehorende weten regelgeving beschreven die van toepassing is voor informatiebeveiliging binnen de VVT. Hierin wordt onderscheid gemaakt tussen wetten en regels (paragraaf 3.1) en normeringen (paragraaf 3.2).

3.1

Wet- en regelgeving

De Inspectie voor de Gezondheidszorg (IGZ) heeft in 2004 besloten de IT in de zorg nader te onderzoeken (Overkleeft, 2005). De IGZ heeft bij een eerste onderzoek van de IT in de zorg geconstateerd dat zorginstellingen onvoldoende aandacht schenken aan de risico's die de toepassing van IT met zich meebrengt. Een van de hoofdoorzaken hiervan is dat informatiebeveiliging nog te veel een zaak is van specialisten en behandelaren, die te weinig aandacht hebben voor het geheel. Bovendien is het lijnmanagement en zijn de directies te weinig bij het proces van beveiligen van vitale informatie betrokken (Wel, 2006). Deze conclusies zijn in de jaren daarna getoetst bij verschillende VVT-instellingen (ook GGZ en jeugdzorg) en ook daar kwamen dezelfde problemen naar boven. De IGZ heeft daarom besloten vanaf 2014 informatiebeveiliging als een speerpunt te benoemen bij audits. De NEN7510 wordt daarbij gebruikt als zgn. veldnorm, dit betekent dat deze norm an sich niet verplicht is maar wel als toetsingskader wordt aangenomen en als minimumeis geldt waaraan VVT-instellingen moeten voldoen. Informatiebeveiliging gaat voor een deel over personen, in de VVT zijn dat cliënten, medewerkers en eventuele externen. In Nederland is op moment van schrijven de Wet Bescherming Persoonsgegevens (WBP) het belangrijkste instrument waarin de rechten en plichten van persoonsgegevens zijn vastgelegd.

3.1.1 Wet Bescherming Persoonsgegevens In de WBP wordt een persoonsgegeven gedefinieerd als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Het beste voorbeeld is wellicht het BSN (zie paragraaf 3.1.3) of de naam van een individu, maar dit kan bijvoorbeeld ook een emailadres zijn of de combinatie van een postcode en huisnummer. Een XIS bevat dus in de basis heel veel persoonsgegevens, des te meer omdat cliënten in behandeling haast altijd gekoppeld zijn aan medewerkers. De verwerking van persoonsgegevens (zie paragraaf 1.2) is in deze wet gedefinieerd als: “elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”. In artikel 8 van de WBP staat een aantal eisen geformuleerd t.a.v. het verwerken van gegevens, deze mogen alleen worden verwerkt indien aan de onderstaande voorwaarden is voldaan: 

de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;





de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;



de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;



de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;



de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt;



de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

In artikel 9 lid 4 wordt gesteld dat “de verwerking van persoonsgegevens achterwege blijft voor zover een geheimhoudingsplicht uit hoofde van ambt, beroep of wettelijk voorschrift daaraan in de weg staat”. In artikel 21 wordt gespecificeerd voor onder andere hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is. Voorwaarde hiervoor is dat de gegevens alleen mogen worden verwerkt door personen die uit hoofde van ambt, beroep of wettelijk voorschrift, dan wel krachtens een overeenkomst tot geheimhouding zijn verplicht. Hoe kan een VVT-instelling goed overweg gaan met deze eisen? In artikel 13 van de WBP staat dat: ‘passende technische en organisatorische maatregelen getroffen moeten worden om persoonsgegevens te beveiligen tegen verlies of tegen onrechtmatige verwerking. Wat in een specifieke situatie als passend kan worden aangemerkt is niet op voorhand aan te geven.’ VVT-instellingen zijn dus aangewezen op aanvullende handreikingen waarin de informatiebeveiliging staat gestipuleerd. Deze normen zijn beschreven in paragraaf 3.2.

3.1.2 Europese Privacyverordening De WBP is door veel organisaties lange tijd gezien als een extra last, maar wel eentje die niet heel serieus genomen hoefde te worden. Omdat sancties slechts sporadisch werden uitgedeeld en het CPB als controlerende instantie onderbezet is, is de handhaving van de WBP gericht op uitwassen. Dit veranderde echter in januari 2012 toen door de Europese Commissie een voorstel is gepubliceerd voor een privacyverordening. Deze verordening biedt op bepaalde punten lastenverlichting, maar door de boot genomen worden de regels voor de verwerking van persoonsgegevens aangescherpt en gecombineerd met boetes tot 2% van de jaaromzet bij niet voldoen aan de aangescherpte regels. De verwachting is dat in 2016 of 2017 de privacyverordening in werking zal treden. In deze paragraaf worden de belangrijkste elementen beschreven die van belang zijn voor het IT-beheer VVTinstellingen op het vlak van informatiebeveiliging. Een kernpunt is ‘privacy by design’ en ‘privacy by default’, dit verplicht de verantwoordelijke om bij aanschaf en/of ontwikkeling van software, de inrichting van databases en, meer algemeen, de inrichting van een ITsysteem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn 19 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie. Dit wordt gecombineerd met het principe van dataminimalisatie. Enkel de persoonsgegevens die nodig zijn om het vastgestelde doel te bereiken mogen worden verwerkt. Cliënten van VVT-instellingen krijgen recht op inzage, correctie en verwijdering van persoonsgegevens. Niet alleen moeten contracten hierop worden aangepast, dit vraagt veel van beheerafdelingen want dit is technisch zeer lastig zo niet onmogelijk in bijvoorbeeld OTAP-inrichtingen gekoppeld aan geautomatiseerde backupsystemen. Verder worden VVT-instellingen verplicht een privacybeleid te voeren, gekoppeld aan een nieuwe rol: de functionaris voor de gegevensbescherming. Deze functionaris ziet onder meer toe op de uitvoering en toepassing van het privacybeleid van de organisatie en van verschillende bepalingen van de verordening. Conform de verordening moet worden gedocumenteerd welke verwerkingen hebben plaatsgevonden en hierover moet in heldere en duidelijke taal met de cliënten over worden gecommuniceerd. Als laatste voert de privacyverordening een meldplicht in voor datalekken, uitgangspunt is dat ieder datalek zo spoedig mogelijk wordt gemeld aan het CBP en, als er negatieve gevolgen zijn voor de cliënten, eveneens aan de betrokkenen. Al met al hebben deze wijzigingen grote gevolgen voor het IT-beheer van zorginstellingen, hetzij direct omdat aanpassingen moeten worden gemaakt, hetzij indirect omdat er vanuit de business-kant aanvragen zullen komen voor informatieverstrekkingen.

3.1.3 Wet Geneeskundige Behandelovereenkomst In de WBP is bepaald dat vastleggingen alleen plaatsvinden indien VVT-instellingen tot geheimhouding verplicht zijn op basis van beroep of overeenkomst. Op welke basis worden deze vastleggingen verricht? In de WGBO wordt in artikel 454 gestipuleerd dat de zorgverlener een dossier in een XIS nricht met betrekking tot de behandeling van de patiënt. De behandeling is gebaseerd op de overeenkomst inzake geneeskundige behandeling. Volgens artikel 446 van de WGBO is de overeenkomst inzake geneeskundige behandeling de overeenkomst waarbij een natuurlijke persoon of een rechtspersoon, de hulpverlener, zich in de uitoefening van een geneeskundig beroep of bedrijf tegenover een ander, de opdrachtgever, verbindt tot het verrichten van handelingen op het gebied van de geneeskunst, rechtstreeks betrekking hebbende op de persoon van de opdrachtgever of van een bepaalde derde. De WGBO bepaalt hierbij in artikel 457 dat aan ‘anderen dan de patiënt’ geen inlichtingen worden verstrekt, behalve met de expliciete toestemming van de patiënt. In het tweede lid van artikel 457 is beschreven dat met ‘anderen dan de patiënt’ niet zijn begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en de vervanger van de hulpverlener. Uit dit artikel volgt dat indien de informatie in het patiëntendossier met derden wordt gedeeld dit uitsluitend kan indien dit voor de behandelingovereenkomst noodzakelijk is danwel met toestemming van de patiënt.

3.1.4 Wet Gebruik Burgerservicenummer in de Zorg WBP artikel 24 stelt: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald. Bij Wet Gebruik Burgerservicenummer in de Zorg (Wbsn-z) van 1 juni 2009 is



het gebruik van het burgerservicenummer verplicht. Hierbij is de verplichting ingegaan voor de VVT-instelling om het nummer in het EPD op te nemen nadat afdoende identificatie van de patiënt heeft plaatsgevonden. Een VVT-organisatie die contact heeft met een patiënt/cliënt, zal die patiënt/cliënt derhalve moeten identificeren door het bepalen van diens landelijke patiëntnummer (BSN) en wellicht authentiseren door het controleren van het Wettelijk Identificatie Document (WID).

3.2 Informatiebeveiligingsnormen binnen de VVT In deze paragraaf volgt een uiteenzetting van de relevante informatiebeveiligingsnormeringen zoals deze verplicht zijn gesteld in de VVT.

3.2.1 NEN7510 Het NEN (Nederlands Normalisatie Instituut) heeft in 2004 de eerste Nederlandse norm NEN 7510 ‘Medische informatica - Informatiebeveiliging in de zorg - Algemeen’ gepubliceerd. Deze norm is gebaseerd op de ‘code voor informatiebeveiliging’ (gepubliceerd als NEN-ISO/IEC 17799 en nu aangeduid als NEN-ISO/IEC 27001 en 27002) en toegesneden op de Nederlandse gezondheidssector. De eerder genoemde Code voor Informatiebeveiliging is de Nederlandse versie van de internationale standaard voor informatiebeveiliging, ISO/IEC 17799. Deze heeft zijn oorsprong in de British Standard 7799 (BS7799). De ISO 17799 standaard bestond uit twee delen: het eerste deel betreft een set maatregelen en het tweede deel bevat de beschrijving van het Information Security Management System (ISMS) om risicomanagement en informatiebeveiliging als een proces volgens de Plan-Do-Check-Act cyclus van Deming te borgen. In 2005 zijn de Nederlandse normen NEN 7511-1, 7511-2 en 7511-3 gepubliceerd, een nadere uitwerking van NEN7510 met een voorschrijvend en toetsbaar karakter voor resp.: - De complexe organisaties in de zorg; - De samenwerkingsverbanden in de zorg; - De solopraktijken in de zorg. Deze aanvullende normen zijn voor bepaalde VVT-instellingen van toepassing, maar niet voor de meeste en worden daardoor voor de rest van dit onderzoek buiten de scope gehouden. In 2010 is de NEN7513 gepubliceerd, deze norm bevat aanwijzingen met betrekking tot logging: het vastleggen van acties die plaatsvinden in het (landelijke) EPD, zodat achterhaald kan worden wie zich wanneer toegang heeft verschaft tot het dossier en welke mutaties dit tot gevolg heeft gehad. Het doel van de totstandkoming van NEN 7510 was oorspronkelijk om bewustzijn te creëren in de zorgsector betreffende informatiebeveiliging en om daarnaast toepassing van de norm beter hanteerbaar te maken. Onder informatiebeveiliging in de zorg wordt hierbij verstaan, in lijn met paragraaf 2.1: het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die nodig is om patiënten verantwoorde zorg te kunnen bieden. Naast het borgen van deze kwaliteitscriteria, vereist de norm ook dat maatregelen op controleerbare wijze zijn ingericht voordat kan worden gesproken van adequate informatiebeveiliging. Binnen het kader van de norm moeten zorginstellingen voor het betreffende proces de relevant geachte informatiebeveiliging specificeren, inclusief de daarbij behorende maatregelen. 21 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


Vaak wordt de NEN7510 norm opgevat als een restrictieve norm, die verplicht tot het invoeren van 133 zgn. beheersmaatregelen. Echter, de beschreven maatregelen zijn best practices op basis waarvan iedere zorginstelling zelf de specifieke norm moet vaststellen. Er is dus geen sprake van een verplichting, maar het gaat om een keuze, waardoor een pragmatische invoering mogelijk wordt. Niet de norm, de auditor of de informatiebeveiliger bepaalt, maar het management, zelfs al wordt de norm opgelegd. (Zijlstra, 2010).

3.3.2 Inhoud van de NEN7510 De NEN7510 kent de volgende hoofdstukken met daarbij aangegeven hoeveel beheersmaatregelen eronder vallen; 

Beveiligingsbeleid 2;



Organiseren van informatiebeveiliging 11;



Beheer van middelen voor de informatievoorziening 5;



Beveiligingseisen ten aanzien van personeel 9;



Fysieke beveiliging en beveiliging van de omgeving 13;



Operationeel beheer van ICT‐voorzieningen 32;



Toegangsbeveiliging 25;



Aanschaf, ontwikkeling en onderhoud van systemen 16;



Incidentenbeheer 5;



Continuïteitsbeheer 5;



Naleving 19.

Op basis van de Plan-Do-Check-Act cyclus kan de NEN7510 als onderstaand worden ingedeeld: Fase

Processtappen

Hoofdstukken uit NEN7510

Plan

Opstellen informatiebeveiligingsplan Risicoanalyse

H5. Beveiligingsbeleid H6. Organiseren van informatiebeveiliging

Opstellen informatiebeveiligingsplan Do

Implementatie van maatregelen

H7. Beheer van middelen H8. Beveiligingseisen t.a.v. personeel H9. Fysieke beveiliging H10. Operationeel beheer H11. Toegangsbeveiliging H12. Aanschaf, ontwikkeling en onderhoud H13. Continuitsbeheer H15. Beveiligingsincidenten

Check

Evaluatie en controle

H14. Naleving

Act

implementatie van verbetermaatregelen

H7. t/m 15

Figuur 6: Hoofdstukken uit NEN7510 versus P-D-C-A cyclus. Gezien de grootte van de norm en het feit dat het recht om de NEN7510 door het NEN per gebruikende organisatie wordt verstrekt is de norm niet integraal in dit referaat overgenomen. Wel is in bijlage 1 de indeling van de NEN7510 weergegeven zodat een beeld van de opbouw en de indeling wordt gevormd.

3.3.1 Software conform NEN7510 De zorginstelling dient zelf te voldoen aan de NEN 7510 voor wat betreft aangeschafte software van bijvoorbeeld een XIS. De VVT-instelling stelt een pakket van eisen op en legt dit voor bij de 22 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


softwareleverancier. De leverancier moet, via specificaties, kunnen aantonen dat hij kan voldoen aan de gestelde eisen maar dit blijft de uiteindelijke verantwoordelijkheid van de VVT-instelling. Het gebeurt wel steeds vaker dat softwareleveranciers zich laten certificeren conform NEN7510 als strategisch verkoopargument, dit is echter geen verplichting.

3.4 Goed Beheerd Zorgsysteem Tot de komst van het landelijke EPD was in de Nederlandse zorg geen typologie beschikbaar die een verband aanbracht tussen het beheren van XIS’en en de daaraan gerelateerde benodigde informatiebeveiliging. Doordat de landelijke EPD een informatiebeveiligingsrisico teweegbracht voor alle Nederlanders, heeft het Nictiz een richtlijn uitgebracht waarin de eisen geformuleerd staan waaraan zorginstellingen (inclusief VVT-instellingen) moeten voldoen voor aansluiting op het landelijke EPD. De eisen waaraan een zorginstelling moet voldoen wordt een Goed Beheerd Zorgsysteem (GBZ) genoemd. Het Nictiz staat voor Nationaal ICT instituut in de Zorg. Het Nictiz is als onderaannemer van het Ministerie van VWS en daarmee het landelijke expertisecentrum dat ontwikkeling van ICT in de zorg in Nederland faciliteert.

Algemeen bekend is dat het landelijke EPD door de Eerste kamer is geannuleerd, maar in kleinere vorm is doorgegaan als LSP, het Landelijke Schakel Punt. De techniek hiervan is hetzelfde als van het landelijke EPD alleen is de aansluiting van deelnemende organisaties niet verplicht maar optioneel. Twee praktische voorbeelden in het kader van dit onderzoek: -

het LSP wordt gebruikt om dossiers vanuit het XIS van de huisarts naar het XIS van het verzorgingshuis te versturen en vice versa.

-

het LSP wordt gebruikt om medicatie van bewoners via het XIS van het verpleeghuis geautomatiseerd naar het XIS van de apotheker te versturen.

GBZ’en kunnen in aard en omvang verschillen. Qua aard kan een GBZ bijvoorbeeld een enkele XIS-applicatie bevatten zoals een HIS bij een huisarts of een verzameling een verzameling XIS’en bij een ziekenhuis. Een gemiddelde VVT-instelling zal één tot en met drie XIS’en beheren. Een GBZ wordt onder andere gedefinieerd als (Nictiz, 2014): 

een XIS-applicatie of een verzameling van XIS-applicaties,



inclusief bijbehorende patiëntdossiers,



die ter beschikking staat van één zorgaanbieder (VVT-instelling),



die landelijk patiëntgegevens kan uitwisselen via het LSP,



inclusief de voorzieningen die waarborgen dat alleen bevoegden toegang krijgen tot patiëntgegevens,



inclusief de gebruiks- en beheerprocedures voor de gebruikers en beheerders van bovengenoemde voorzieningen.

De eisen die worden gesteld aan een GBZ vallen uiteen in drie categorieën: 1.

Applicatie-eisen waaraan iedere XIS-applicatie binnen een GBZ moet voldoen. Het gaat hier vooral om functies die een XIS-applicatie moet kunnen uitvoeren in opdracht van een gebruiker of na ontvangst van een bericht van het LSP.

2.

Implementatie-eisen waaraan een GBZ moet voldoen. Het gaat hier vooral om de kwaliteiten die een GBZ met de geïmplementeerde XIS-applicaties, compleet met alle benodigde voorzieningen en koppelingen met andere systemen binnen een zorgaanbieder, voortdurend moet kunnen leveren.



3.

Exploitatie-eisen waaraan een GBZ moet voldoen. Het gaat hier vooral om de gebruiks- en beheerprocedures die een GBZ in staat stellen diensten te leveren aan de buitenwereld, zoals bijvoorbeeld patiënten.

De eisen die het Nictiz heeft geformuleerd voor het GBZ zijn hetzelfde gebleven en vormen daardoor voor dit onderzoek een goed kader om een vergelijk te maken tussen informatiebeveiliging en beheer binnen VVTinstellingen. De eisen die het Nictiz aan een GBZ op het vlak van informatiebeveiliging stelt, zijn als volgt: 1.

Berichtuitwisseling: het XIS moet patiëntgegevens uitwisselen met de LSP volgens beveiligde technieken en protocollen;

2.

Beveiliging: het XIS moet toegang tot patiëntgegevens beperken tot gebruikers van beveiligde UZI-passen;

3.

Beschikbaarheid: het XIS moet 7 dagen per week, 24 uur per dag beschikbaar zijn met zeer beperkte uitval wegens storing of onderhoud;

4.

De XIS moet berichten van de ZIM binnen bepaalde tijd verwerken en beantwoorden,

5.

Capaciteit: bijv. de XIS moet in staat zijn alle berichten van de ZIM te verwerken,

6.

Betrouwbaarheid: bijv. de XIS moet op bepaalde wijze omgaan met foutsituaties die optreden in de berichtuitwisseling met de ZIM,

7.

Actualiteit: bijv. nieuwe patiëntgegevens moeten tijdig worden aangemeld bij de verwijsindex van de ZIM,

8.

Beheer: bijv. beheerders moeten de werking van de XIS bewaken en zonodig corrigeren.

Omdat bovenstaande set van normen nog behoorlijk openstaan tot interpretatie is er een aanvullende set van voorwaarden gevormd die minimaal moeten worden behaald voor toegang tot het LSP: 

Er is een aangewezen persoon/afdeling die belast is met de informatiebeveiliging (b.v. kwaliteitsfunctionaris).



De VVT-instelling heeft een risicoanalyse uitgevoerd.



Op basis van risicoanalyse, norm en mogelijkheden is er een beleidsplan informatiebeveiliging gemaakt. Daarin staan de plannen voor de komende drie jaar in inhoud en tijd uitgewerkt.



Op basis van beleidsplan worden de hoog risico punten in het eerste jaar in uitvoering genomen.



De backup routine is in orde.



Beschikbaarheid en snelheid van systemen is gegarandeerd voor 99,5%.



Firewall inclusief onderhoud.



Actuele virusscanner.



Technische achterdeuren zijn gesloten.



Geen onbeveiligde toegang tot systemen.



Ruimtes voldoe aan eisen (brand, stroom enz).



Autorisatie van personen, die toegang mogen hebben tot de gegevens, is op orde.



Wijzigingen wachtwoorden minimaal 1 x per 26 weken, blokkeer wachtwoord na x keer proberen.



Restore procedure hoofdsystemen wordt minimaal 1 x per 2 jaar getest en gedocumenteerd.



Bewustwording personeel is opgestart, is onder de aandacht van ieder personeelslid.

Een vergelijk tussen de GBZ en de NEN7510 leert dat de NEN7510 een uitgebreidere set van eisen stelt aan beheer binnen VVT-instellingen. Dit levert dus de vreemde situatie op dat de NEN7510 enerzijds strengere 24 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


normen stelt aan VVT-instellingen en voor alle VVT-instellingen van toepassing is, maar dat in de praktijk de GBZ als norm wordt gebruikt om toegang te verkrijgen tot het LSP en deze norm minder ver gaat dan de NEN7510. Dat toont tegelijkertijd de relevantie van dit onderzoek aan: aan welke eisen moet een VVTinstelling voldoen en hoe kan dat optimaal plaatsvinden?

3.5

Eisen aan informatiebeveiliging

In dit onderzoek worden op basis van de literatuurstudie onderstaande variabelen meegenomen als verplichte eisen op het gebied van informatiebeveiliging waaraan een VVT-instelling moet voldoen:

-

De NEN7510.

-

De WGBO

-

De WBP

-

De Wsbz-n

De Europese privacyverordening is nog niet in werking en is daarom geen verplichte norm, echter deze wordt gezien het belang in de toekomst wel meegenomen in het empirische onderzoek.



Hoofdstuk 4

IT-beheer en raamwerken in de VVT

In dit hoofdstuk wordt antwoord gegeven op de onderstaande deelvragen van de probleemstelling: - Wat is IT-beheer? - Welke IT-beheerraamwerken worden gebruikt binnen de VVT? - Wat zijn de belangrijkste oorzaken waarom de procedures voor beheer voor de VVT-instellingen als onvoldoende wordt ervaren (specifiek op het vlak van informatiebeveiliging)? - Welke toevoegingen zijn benodigd aan de beheerraamwerken om informatiebeveiliging afdoende te beheren?

4.1

Inleiding

Beheer is een ‘hot topic’ in de VVT, door de steeds verder gaande informatisering in de zorg is een goede beheerafdeling onontbeerlijk. Er heeft de laatste jaren een steeds verder gaande digitalisering plaatsgevonden waardoor het primaire, maar ook het administratieve en financiële proces volledig steunt op informatiesystemen. Denk bijvoorbeeld aan het elektronische klant- of patiëntendossier waar niet alleen de medewerker, maar ook de klant en zelfs de mantelzorger toegang tot wil. Aan de andere kant gaan de facturen vanuit de zorginstelling volledig gedigitaliseerd en beveiligd via Vecozo naar de zorgkantoren en zorgverzekeraars. In dit hoofdstuk wordt een definitie gevormd wat beheer is binnen de VVT en welke rol het speelt in de informatiebeveiliging. Beheer is een containerbegrip. Stel een willekeurige VVT-organisatie of een afdeling daarbinnen de vraag wat applicatie- of functioneel beheer inhoudt en steeds weer wordt een andere invulling gegeven aan dit begrip. Opvallend hierbij is dat in veel gevallen de nadruk ligt op de IT-organisatie en de bijbehorende procedures, zoals ASL of ITIL en niet vanuit het primaire proces wordt geredeneerd. Deze spraakverwarring wordt versterkt doordat er verschillende soorten beheer worden gehanteerd binnen het vakgebied en dat zie je ook in VVT-instellingen: -

Functioneel (applicatie)beheer;

-

Technisch beheer;

-

Applicatiebeheer.

Onderstaand worden de verschillen uiteengezet en kom ik tot een definitie en scope die wordt gehanteerd binnen het onderzoek.

4.2.1 Functioneel applicatiebeheer Functioneel applicatiebeheer is de brug tussen de eindgebruikers en de ICT binnen organisaties, daartoe richt het zich onder meer op de operationele beheerprocessen. Functioneel applicatiebeheer zorgt ervoor dat de gebruikte applicaties binnen een organisatie doen wat de gebruikers nodig hebben, en ondersteunt de gebruikers bij veranderingen. Hierbij is functioneel applicatiebeheer een onmisbare schakel bij Business-IT alignment. De definitie van Business-IT alignment is zoals Moody (2003, p.31) het omschrijft: ‘’Managing the resources such as people, technology, and outside resources to provide a set of IT-services and capabilities that are in line with the needs and priorities of the businesses’’.



Het doel van functioneel applicatiebeheer is om maximale grip te verkrijgen op de IT binnen de organisatie en om de leveranciersafhankelijk te minimaliseren. Het is daarbij belangrijk om afspraken te maken en procedures vastleggen; wie is waarvoor verantwoordelijk. BiSL is in de VVT het standaard framework in het functioneel applicatiebeheer. Functioneel applicatiebeheer heeft hierin vier kerntaken: 1. Zorgen voor ongestoord en optimaal gebruik van de applicaties; 2. Vertalen van businesswensen in gewenste en noodzakelijke wijzigingen; 3. Behartigen van het belang van de business in (IT-)projecten; 4. Zorgen voor het probleemloos in produktie-nemen van nieuwe en gewijzigde applicaties. Looijen (1997) heeft met zijn drievoudig beheermodel de basis gelegd voor de visie op beheer in Nederland. Er is in dit model een splitsing gemaakt tussen functioneel beheer en applicatiebeheer. De essentie ervan is dat voor wat betreft IT-beheer drie deelgebieden worden onderkend: functioneel, technisch en applicatiebeheer. De driedeling legt ook de basis voor de functiescheiding tussen vraag (demand) en aanbod (supply), één van de primaire governance-principes.

Figuur 7: Functioneel-, technisch- en applicatiebeheer

4.2.2 Functioneel beheer Functioneel beheer is de beheervorm die alle beheertaken omvat die nodig zijn in het kader van het gebruik van informatiesystemen. Omdat gebruik zich richt op de functionaliteit zoals het invoeren, verkrijgen, transporteren en opslaan van gegevens, wordt gesproken van functioneel beheer. Door het uitvoeren van het proces ‘functioneel beheer', zal een organisatie er voor moeten zorgdragen dat de functionaliteit van een informatiesysteem, die in het kader van het ‘gebruik' centraal staat, in stand wordt gehouden. Met andere worden, dit proces ondersteunt het gebruik van de functionaliteiten van de systemen, het evalueert het gebruik en het reageert op onvolkomenheden en nieuwe wensen die tot wijzigingen kunnen leiden. De directe relatie tot gebruik dwingt organisaties er min of meer toe, het functioneel beheer neer te leggen bij de gebruikerszijde. Functioneel beheer kan binnen een VVT-instelling op drie niveau’s worden uitgevoerd: strategisch, tactisch en operationeel. 27 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


De definitie van functioneel beheer die in dit onderzoek wordt gehanteerd is als volgt:

Alle activiteiten die voor en bij de gebruikers nodig zijn voor het doelmatig doen functioneren van een applicatie en het aangepast houden van de applicaties aan de behoeften van de gebruiker.

4.2.2 Technisch beheer

4.2.2.1 Onderscheid functioneel beheer en functioneel applicatiebeheer Wat is nu het verschil tussen functioneel beheer en functioneel applicatiebeheer? Functioneel Beheer richt zich niet sec op een oplossing (bijvoorbeeld software) maar op de informatiebehoefte. Voor Functioneel Beheer kan een raamwork als BiSL uitkomst bieden met handvatten voor het efficiënt en effectief inrichten van de informatievoorziening. Functioneel applicatiebeheer (de functionele eisen en wensen ten aanzien van informatisering) is een onderdeel van functioneel beheer, maar is ook een onderdeel van het vakgebied van IT Service management (technisch- en applicatiebeheer). Functioneel applicatiebeheer beperkt zich tot de rol van de applicatie in de informatievoorziening en houdt zich niet bezig met andere elementen van de informatievoorziening binnen de gebruikersorganisatie. Functioneel beheer is daarmee dus een bredere vorm van functioneel applicatiebeheer waarbij ook niet geïnformatiseerde variabelen die vorm geven aan de informatievoorziening binnen het aandachtsgebied worden meegenomen. Beide vormen van beheer zijn van toepassing binnen VVT-instellingen.

4.2.3 Technisch beheer Technisch beheer omvat als beheervorm de taken die nodig zijn voor het installeren, accepteren en operationeel maken en houden van informatiesystemen en technische infrastructuren. Hieronder valt ook het optimaliseren van de verwerkingsprocessen en het aanbrengen van wijzigingen in de technische infrastructuur als gevolg van fouten, uitbreiding of vervanging. Het technische beheer is met name gericht op het technische platform, bestaande uit apparatuur met bijbehorende basisprogrammatuur, en de operationalisering van de hierop gebouwde informatiesystemen. Voor alle drie genoemde beheervormen zijn de volgende taakgebieden gedefinieerd op de drie besturingsniveaus: - Strategisch: het formuleren van richtlijnen en doelstellingen per beheertype en zorgen voor samenhang met andere beheereenheden. - Tactisch: het concretiseren van de strategische richtlijnen en doelstellingen naar technische en personele middelen op het operationele niveau en het coördineren hiervan. - Operationeel: het uitvoeren van de taken die vallen binnen de specifieke beheertaakgebieden.

4.2.4 Applicatiebeheer Applicatiebeheer is verantwoordelijk voor de instandhouding van de applicatieprogrammatuur en de gegevensbanken. Instandhouding van applicaties houdt in het aanbrengen van de wijzigingen, testen en opleveren van nieuwe versies van applicaties. Instandhouding van gegevensbanken houdt hier in het wijzigen en testen van de gegevensmodellering en –structuren. Voorbeelden van taken van applicatiebeheer zijn het ontwikkelen van applicaties, onderhouden van ontwerpen en het uitvoeren van testen.



4.2.5 IT-beheer binnen de VVT Voor elk van de genoemde beheertypen is, ook binnen de VVT, een methode voorhanden die verdere invulling geeft aan het inrichten van processen en de wijze waarop deze samenhangen. Dit zijn: - ITIL (IT Infrastructure Library) voor technisch beheer of de exploitatie van IT; - BiSL (Business information Systems Library) voor functioneel beheer; - ASL (Application Services Library) voor applicatiebeheer; Deze raamwerken zijn niet geïntegreerd in, of onderdeel van de NEN7510. Informatiebeveiliging is van toepassing op het gehele IT-domein binnen VVT-instellingen en dus op functioneel beheer, technisch beheer en applicatiebeheer. Hieruit volgt logischerwijs dat de frameworks behorende bij de beheertypen ook van toepassing zijn v.w.b. informatiebeveiliging. Van de andere kant moet informatiebeveiliging in het IT-beheer worden geïntegreerd om zodoende juist en volledig te worden geïmplementeerd binnen organisaties. Als informatiebeveiliging wordt geïmplementeerd zonder borging in het bestaande IT-beheer bestaat het risico dat het onvolledig gebeurt of dat er geen gebruik wordt gemaakt van de best practices waardoor efficientievoordelen worden gemist.

4.3

Raamwerken

Als binnen de VVT raamwerken worden gebruikt ter ondersteuning van het beheer dan zijn het ITIl, BiSL en/of ASL. Vanwege die bekendheid met de materie worden de drie genoemde raamwerken kort besproken, in combinatie met de onderlinge relaties en de bijbehorende typologie.

4.3.1 ITIL ITIL staat voor Information Technology Infrastructure Library en is afkomstig van de Britse overheid sinds de jaren 80 van de vorige eeuw. ITIL is een hulpmiddel voor het inrichten van servicemanagement-processen binnen (IT)-organisaties. Het reikt handvatten aan voor het planmatig en gecontroleerd aanbieden van ITservices binnen de organisatie. De nadruk hierbij ligt op activiteiten in het infrastructuurbeheerdomein. ITIL wordt internationaal toegepast.

Figuur 8: ITIl 29 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


ITIL is te typeren als een proces/organisatiemodel gericht op beheer- en exploitatieprocessen binnen het ITprocesdomein. ITIL is in haar best practices vooral gericht op het beheren van infrastructuren binnen organisaties, applicatiebeheer en functioneel beheer komen daarbij minder aan de orde. Hiervoor worden ASL en BiSL toegepast.

4.3.2 BiSL BiSL (Business Information Services Library) is een organisatorisch hulpmiddel om processen rondom de informatievoorziening (aan de kant van de business) in te richten en/of te verbeteren. Het faciliteert efficiënter werken, kostenbesparing door standaardisatie en betere communicatie met IT-leveranciers. Het is een typisch Nederlands model en breed geadopteerd door VVT-instellingen. De eigenaar van het model is de ASl-foundation. De methodiek beschrijft door best practices en op basis van een procesmodel de inrichting van het operationele functioneel beheer en het informatiemanagement. Op het operationele niveau gaat het om activiteiten als het vaststellen van de eisen aan de informatiesystemen, het testen en implementeren van nieuwe applicaties en het ondersteunen van eindgebruikers. Op richtinggevend niveau besteedt BiSL aandacht aan de aansluiting van de ICT op de organisatiebehoeften (Business-IT alignment) en de daaraan gekoppelde organisatorische aspecten van de informatievoorziening. BiSl is te typeren als een procesmodel met daaraan gekoppeld een verbetermodel. Het sluit onder meer aan op ITIL dat zich met name focust op de professionalisering van servicemanagement organisaties voor infrastructuurbeheer en op ASL, dat zich richt op de professionalisering van het applicatiebeheer.

Figuur 9: BiSL

4.3.3 ASL ASL staat voor Application Services Library en heeft tot doel applicatiebeheer te professionaliseren. Het is een hulpmiddel om applicatiebeheerprocessen in te richten en/of te verbeteren. Het heeft net als BiSl een Nederlandse basis maar wordt ook gebruikt in andere landen. 30 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


ASL bestaat uit een raamwerk (een procesmodel) en een bibliotheek van best practices op het gebied van applicatiebeheer. ASL heeft als doel bedrijfsprocessen optimaal te ondersteunen met informatiesystemen, gedurende de gehele levenscyclus van die bedrijfsprocessen. Hiertoe zijn in ASL processen gedefinieerd, niet alleen uitvoerend en sturend, maar ook richtinggevend.

Figuur 10: ASL ASL is net als BiSL te typeren als een procesmodel met een daaraan gekoppeld verbetermodel. ASL sluit onder aan op ITIL dat zich vooral focust op de professionalisering van de service management processen in organisaties voor infrastructuurbeheer en op BiSL, dat zich richt op de professionalisering van de vraagkant van IT (informatiemanagement en functioneel beheer).

4.4

Eisen aan informatiebeveiliging t.b.v. IT-beheer

Wat zijn op basis van hoofdstukken twee, drie en de voorgaande paragraven uit hoofdstuk vier de eisen die gesteld worden aan IT-beheerafdelingen (functioneel, applicatie en technisch) op het vlak van informatiebeveiliging? De belangrijkste processen die vanuit de IT-beheerorganisatie aandacht hebben vanuit de NEN7510 zijn: 

de Helpdesk



Het configuratiebeheer



Operationeel beheer van informatie- en communicatievoorzieningen



Wijzigingsbeheer/change management



Toegangsbeveiliging



Maatregelen voor beveiligde communicatie (SSL- verbindingen, gebruik van UZI-pas)



Scheiding van omgevingen - OTAP;



Maatregelen tegen kwaadaardige programmatuur;



Beheer van verwijderbare media;



Identificatie van apparatuur;





Onbeheerde gebruiksapparatuur.

Specifiek voor het gebruik van XIS’en volgt uit de GBZ en de NEN7510: 

Bedieningsprocedures applicaties;



Verandermanagement;



Identificatie van de gebruikers;



Authenticatiewijze van de gebruikers;



Beheer van identificatie-/authenticatiesystemen;



Inlogprocedures gebruikers intern en extern;



Het autorisatieprotocol;



Veilig gebruiken van Elektronische handtekeningen;



Automatisch uitloggen na bepaalde tijd.

Procedurele maatregelen die het beheer moet nemen zijn afgeleid uit de GBZ, de Wet Bescherming Persoonsgegevens, de Wet op de Geneeskundige Behandelovereenkomst en de Wbsn-z: 

Identificatie van de patiënt;



Het waarborgen rechten van de patiënt;



Toestemming verkrijgen van de patiënt;



Procedures om vast te stellen wie de rechtstreeks betrokkenen zijn bij de



behandelovereenkomst;



Vormen van het informatiebeveiligingsbeleid;



Procedures rond verlening van toegang aan personeel.

Ten slotte schrijft de NEN7510 een geïntegreerd risicomanagementproces voor conform Plan-Do-Check-Act waarbij alle genomen maatregelen op opzet, bestaan en werking moeten worden getoetst. Vanuit de Europese privacyverordening zijn de volgende eisen van belang: 1.

Privacy by default en privay by design;

2.

Het inzien, bijhouden en verwijderen van klantgegevens indien gevraagd;

3.

Dataminimalisatie;

4.

Datalekken detecteren, documenteren en communiceren.

4.5

Oorzaken van beperkter beheer in VVT-instellingen

Op basis van (1) eigen werkervaring, (2) de beantwoording van voorgaande onderzoeksvragen en (3) aangevuld met studies naar beheer in zorginstellingen (Gerrits, 2008 en Brink, 2009) zijn hier een aantal oorzaken geformuleerd waardoor beheerafdelingen van zorginstellingen moeite hebben met het borgen van informatiebeveiliging middels de raamwerken BiSL, ITIL en ASL. Dit is geen sluitende lijst. 

Automatisering krijgt onvoldoende draagvlak binnen de eigen organisatie. Er is ondercapaciteit en de kwaliteit van de beheerders is vaak onvoldoende om de complexe en snel veranderende materie om te zetten in effectief beleid.



Veel VVT-instellingen zijn gefuseerd uit reeds bestaande organisaties. Vanuit deze historie zijn er verschillende raamwerken en methodieken waarmee rekening moet worden gehouden.





VVT-instellingen dienen aan een groot aantal specifieke vereisten vanuit weten regelgeving te voldoen. Een aantal van deze vereisten heeft een directe invloed op de IT beheeromgeving van een organisatie, zoals deze genoemd zijn in hoofdstuk 3.



Er is een continue stroom van wijzigingen op het vlak van weten regelgeving, bijvoorbeeld de overgang van zorg van de AWBZ naar de WMO, de verplichting van het geautomatiseerd voorschijven van medicatie of de Europese privacyverordening. In vele gevallen zijn deze wijzigingen met terugwerkende kracht. Dit alles heeft een belangrijke invloed op de IT beheerorganisatie van een VVT-instelling. De genoemde beheerraamwerken hebben deze mutaties of niet in scope of zijn per definitie te laat met het implementeren daarvan.



Ontbreken van een geïntegreerd risicomanagementsysteem. Risico’s worden niet of te laat onderkend en niet beschreven waardoor calamiteiten vaak als een verrassing komen en er geen noodplan is. Er is dan ook te weinig lerend vermogen aanwezig om risicomanagement structureel neer te zetten.



Vaak ontbreken juist en volledige functieomschrijvingen. Het toekennen van rechten binnen XIS’en zou moeten gebeuren op basis van een functieomschrijving. Deze ontbreken echter en er is dus geen gedegen koppeling met de toe te kennen rechten.



Raamwerken worden gefragmenteerd gebruikt: ITIL voor onderdeel X en BiSL voor proces Y. Daardoor ontstaat er geen integraal IT-beheerraamwerk en zijn beheerders bezig met eigen procedures verzinnen om het werk gedaan te krijgen.



5

CobiT 5

In dit hoofdstuk wordt antwoord gegeven op de onderstaande deelvraag van de probleemstelling: -

5.1

Wat is COBIT 5?

Inleiding CobiT 5

CobiT staat voor Control Objectives for Information and related Technology. De eerste versie stamt uit 1992 en is ontwikkeld door ISACA (Information Systems Audit and Control Association) en het ITGI (IT Governance Institute). CobiT is een raamwerk voor IT-governance en managament gebaseerd op industriestandaarden en best practices. Net als ITIL is het een internationaal gebruikte norm en die die zin dus afwijkend van ASL en BiSL. De doelstelling van CobiT is het onderzoeken, ontwikkelen en publiceren van een algemene geaccepteerde set meetinstrumenten, indicatoren, processen en best practices die auditors, managers en gebruikers kunnen helpen bij het maximaliseren van de voordelen die informatietechnologie met zich meebrengt. ITIL is meer dan CobiT gericht op de uitvoering en besturing van beheerprocessen, CobiT kan in dat opzicht gezien worden als een IT-Governancemodel. Net als BiSL houdt CobiT zich bezig met de relatie met de klant en de business, al zit CobiT op meer bestuurlijk niveau en BiSL op functioneel beheerniveau. CobiT is sterk in het definiëren van beheersdoelstellingen voor functioneel beheer, het is echter minder sterk in het definiëren van de functioneel beheerprocessen en de definities van de uit te voeren taken en activiteiten. BISL biedt juist op deze gebieden goede aangrijpingspunten, maar is minder sterk in het definiëren van beheersdoelstellingen voor desbetreffende processen. CobiT 5 richt zich niet alleen op de IT-functie binnen organisaties maar beschouwt informatie en IT als variabelen zoals er binnen organisaties vele zijn en door de medewerkers moeten worden beheerd en beheerst. COBIT richt zich meer dan ITIl, BiSL en ASL op de wat-vraag dan op de hoe-vraag. Dit betekent concreet dat aanvullingen nodig zijn om invulling te geven aan de uit te voeren activiteiten. Hierbij is door Isaca aansluiting gezocht bij reeds aanwezige standaarden zoals ITIL. Door de aansluiting met verschillende operationele standaarden kan worden volstaan met één raamwerk, wat leidt tot transparantie en overzichtelijkheid. Als CobiT 5 is geïmplementeerd, dan kan het management erop vertrouwen dat de business-IT alignment in control is. CobiT is dus te typeren als een audit-, bestuur- en controlmodel voor IT processen binnen organisaties. In de ideale situatie helpt CobiT het management IT-investeringen in control houden gedurende de levenscyclus en monitoren of investeringen de verwachte benefits behalen. In de VVT wordt CobiT 5 weinig gebruikt omdat informatiemanagers het complex vinden. Het basismodel van CobiT kan vanuit drie invalshoeken bekeken worden: IT-processen, IT-resources en Information-criteria.

5.2

Implementatie van CobiT

Zoals in de probleemstelling is toegelicht, richt dit onderzoek zich niet op IT-governance maar specifiek op informatiebeveiliging. Voor een deel is dat een kunstmatig onderscheid omdat informatiebeveiliging (in de praktijk) een goed geïmplementeerd governancesysteem nodig heeft om te functioneren. Maar dit onderscheid is gezien de complexiteit en scope van CobiT 5 aangebracht om sturing te geven aan het onderzoek. Binnen CobiT is er een onderscheid aangebracht tussen enerzijds governance en anderzijds management. Beide entiteiten zijn organisatorisch anders ingeregeld, omhelzen andere activiteiten en hebben een andere doelstelling zoals is weergegeven in onderstaand figuur: 34 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


Figuur 11: Governance versus Management in CobiT 5 Bij een implementatie van CobiT moet in alle gevallen gestart worden met aansluiting te zoeken bij de organisatiedoelstellingen. Een volledige implementatie van CobiT kan enkele jaren kan duren, afhankelijk van de grootte van de organisatie en het gekozen startpunt. In gevallen dat COBIT voor structuur moet zorgen in een bestaande organisatie, zal het project sneller zijn afgerond dan wanneer van scratch gestart wordt met het inrichten van een IT organisatie. Verder moet rekening gehouden worden met het ambitieniveau (maturity level) dat wordt nagestreefd. De betrokkenheid van alle stakeholders is noodzakelijk bij een implementatie van CobiT. Gelet op de structuur van CobiT is dit zeker het geval bij de aanvang van het project waarbij organisatiedoelstellingen worden vertaald naar IT doelstellingen. Zodra de implementatie van COBIT 5.0 wordt gekwalificeerd als een typisch IT project, dan is succes niet langer gegarandeerd. De IT-resources die CobiT 5 voorschrijft kunnen worden onderverdeeld in data, applicaties, technologie, faciliteiten en mensen. Om de organisatiedoelstellingen te realiseren dient de informatie voor het aansturen van de organisatie en haar bedrijfsprocessen te voldoen aan zeven kwaliteitscriteria: 1.

Effectiveness

2.

Efficiency

3.

Confidentiality

4.

Integrity

5.

Availability

6.

Compliance

7.

Reliability

Het CobiT 5-raamwerk beschrijft zeven zogenaamde enablers die gepaard gaan met een implementatie. Enablers zijn factors die individueel en gezamenlijk bepalen of en in hoeverre implementatie succesvol zal zijn.



Figuur 12: de enablers van CobiT 5 1.

Principles, policies and frameworks: principes, beleid en raamwerken zijn een middel om het gedrag in eenvoudige richtlijnen neer te zetten voor de dagelijkse sturing door het management.

2.

Processes: processen beschrijven een set van geordende practices en activiteiten om zodoende bepaalde doelen te bereiken. De processen leveren resultaten die bijdragen aan de ondersteuning van IT-gerelateerde doelen.

3.

Organisational structures: organisatiestructuren zijn de entiteiten binnen een organisatie die beslissen.

4.

Culture, ethics and behaviour: cultuur, ethiek en gedrag van individuen en van organisaties worden veelal onderschat als succesfactor in governance- en managementactiviteiten.

5.

Information: informatie is onmisbaar om de organisatie te besturen en in te richten bij het managen. Bij de operationele uitvoering van activiteiten is informatie een van de belangrijke producten die voortkomen uit de processen en daarmee uit de organisatie.

6.

Services, infrastructure and applications: services, infrastructuur en applicaties inclusief de techniek die nodig is om de informatie te verwerken en aan te bieden.

7.

People, skills and competencies: mensen, vaardigheden en competenties zijn gekoppeld aan medewerkers en zijn noodzakelijk om de activiteiten te volbrengen en om de juiste beslissingen te nemen bij corrigerende acties.

De drivers van CobiT 5 sluiten goed aan wat betreft inhoud en volledigheid bij de eisen die aan informatiebeveiligingsbeleid worden gesteld. De IT-resources worden beheerst door middel van de IT-processen die zijn verdeeld in ver domeinen: 1.

Align, Plan and Organise (PO);

2.

Build, Acquire and Implement (BAI);

3.

Deliver, Service and Support (DSS);

4.

Monitor, Evaluate and Asses (MEA).

Voor ieder van deze vier domeinen kent CobiT een aantal hoofddoelstellingen, deze worden hieronder genoemd voor zover ze van belang zijn voor de inhoud en/of verwerking van de processen van informatiebeveiliging conform de NEN7510 c.q. de ISO27001/27002.



Align, Plan and Organise APO01 Manage the IT Management framework APO02 Manage Strategy APO04 Manage Innovation APO07 Manage HRM APO09 Manage SLA’s APO10 Manage Suppliers APO11 Manage Quality APO12 Manage Risk APO13 Manage Security Build, Acquire and Implement BAI03 Manage Solutions Identification and Build BAI04 Manage Availability and Capacity BAI06 Manage Changes BAI07 Manage Change Acceptance BAI09 Manage Assets BAI10 Manage Configuration Deliver, Service and Support DSS01 Manage Operations DSS02 Manage Servicerequests and Incidents DSS03 Manage Problems DSS04 Manage Continuity DSS05 Security Services DSS06 Business Control Services Monitor, Evaluate and Asses MEA01 Performance and Conformance MEA02 System of Internal Control MEA03 Compliance with External Requirements

Voor alle bovengenoemde hoofddoelstellingen zijn in CobiT subdoelstellingen uitgewerkt en uitgebreide richtlijnen opgesteld voor het management en ook voor IT auditors. Per proces is beschreven welk doel het dient, met welke IT-doelen het verbonden is en hoe het gemeten kan worden ( de zgn. metrics). CobiT 5 vormt op deze manier een matrix van bij elkaar horende processen en op basis van deze best practices kan de organisatie de implementatie aanpakken. Het gaat buiten de scope van het onderzoek om de processen in detail uit te werken, bovenstaande opsomming biedt een beeld van de opbouw en inhoud van CobiT.

5.3

CobiT 5 for Information Security

Vanaf de vierde versie van CobiT uit 2005 is er een verband aangebracht met de code voor Informatiebeveiliging (ISO 27001/27002) door aan te sluiten bij de uitgangspunten hiervan in de CobiT Security Baseline. In dezelfde versie van CobiT werd ook aangesloten bij de ITIL uitgangspunten. De laatste grote revisie



stamt uit 2012 (versie 5) waarbij in hetzelfde jaar een addendum (professional guide) werd gepubliceerd: CobiT 5 for Information Security.

Figuur 13: De plaats van CobiT 5 for Information Security in de productfamilie. Zoals weergegeven is CobiT 5 for Information Security een addendum en geen vervanging van het bestaande raamwerk. Isaca stelt dat de belangrijkste elementen van informatiebeveiliging zijn verwerkt in drie processen: -

APO13 Manage Security;

-

DSS04 manage Continuity;

-

DSS05 Manage Security Services.

Om hier een verdieping in aan te brengen is Cobit 5 for Information Security uitgebracht. De toegevoegde waarde ten opzichte van CobiT 5 zit in een aantal variabelen: - De opbouw en werkwijze is hetzelfde als Cobit 5, de verdieping zit in hem in de diepgaande integratie met ISO27001/27002 voor wat betreft inhoud. - Voor dezelfde zeven enablers is voor wat betreft informatiebeveiliging beschreven welke invloed het heeft op informatiebeveiliging en vice versa. - Voor de bestaande processen uit CobiT 5 (zie de vorige paragraaf) is in vele gevallen beschreven (1) welke relevantie informatiebeveiliging heeft en (2) hoe dit op basis van een best practice beheerst kan worden. Aangezien deze addendum meer dan 200 pagina’s betreft worden niet alle details besproken, de auteur kan als IT-consultant/auditor in de informatiebeveiliging beamen dat dit een raamwerk is met een gedegen achtergrond in de bestaande informatiebeveiligingsraamwerken, en tegelijkertijd een sterke praktische inslag die prettig werkt. Als een vergelijk wordt gemaakt met de eisen aan informatiebeveiliging uit paragraaf 4.4 voor wat betreft aanwezigheid van maatregelen, dan zijn alle elementen in Cobit 5 for Information Security beschreven, behalve: -

Veilig gebruik van Elektronische handtekeningen;

-

Maatregelen voor beveiligde communicatie (SSL- verbindingen, gebruik van UZI-pas).

-

Identificatie van de patiënt;

-

Waarborgen rechten van de patiënt;



-

Verkrijgen van toestemming van de patiënt.

Dit is verklaarbaar aangezien het directe vereisten zijn uit Nederlandse wetten of regels. Geconcludeerd kan worden dat Cobit 5 met het addendum for Information Security een juist en volledig informatiebeveiligingsraamwerk biedt wat voor VVT-instellingen gebruikt kan worden voor het IT-beheer.

5.4

CobiT 5 en de andere raamwerken

Nu een beeld is gevormd van CobiT 5 in het algemeen en specifiek hoe CobiT 5 omgaat met informatiebeveiliging, kan een vergelijking worden opgemaakt met BiSL, ITIl en ASL. Op basis van het gedane literatuuronderzoek, eigen werkervaring van de auteur met de vier genoemde modellen en onderzoek van Van Os et al. (2005) is onderstaande vergelijkingsmatrix samengesteld op basis van aandachtsgebieden en activiteiten die bij informatiebeveiliging van belang zijn. Deze matrix is niet sluitend en over de exacte scoring kan op basis van inhoud en inschatting van de raamwerken worden gediscussieerd. Het doel van de matrix is niet een onweerlegbaar kader te vormen, maar wel om een holistisch beeld te vormen in het kader van de doelstelling van dit onderzoek: heeft CobiT 5 toegevoegde waarde? ASL

BiSL

ITIL

CobiT 5

Doelgroep binnen VVT-organisatie Gebruikers van IT (business) Ontwikkeling, onderhoud, beheer informatiesystemen

2 2

Hardware en netwerk

1 1

1

2

1

1

2

2

1

Aandachtsgebieden en activiteiten IT-alignment

2

2

Netwerkbeveiliging IT-beleid

2

Analyseren processen/KPI's

1

2

2 1

Risicomanagement

2

Uitbesteden applicatieontwikkeling Beheer en onderhoud applicaties

1 2

Beheer en onderhoud Informatievoorziening

2

1 2

Ontwikkelen applicaties

2

2

Changemanagement

2

1

Informatiebeveiliging integratie Testen informatiesystemen Figuur 14: vergelijkingsmatrix IT-beheerraamwerken

2 1

Beheer & onderhoud technische infrastructuur

Releasemanagement

2

2 2

1 2

2

1

2

2 2


1


De telling in de matrix is als volgt: nul punten tot en met twee punten. 

Nul punten worden niet weergegeven en dit betekent dat het raamwerk op basis van de beschreven eigenschappen en/of werking in de praktijk niet geschikt is of wordt toegepast voor dat specifieke aandachtsgebied of activiteit.



Eén punt betekent dat het raamwerk hiervoor gebruikt kan worden, maar het is niet waar het zwaartepunt of de specifieke kracht van het raamwerk ligt.



Twee punten betekent dat het raamwerk hier ten volle benut kan worden en dat het hiervoor is bedoeld en wordt toegepast in de praktijk van IT-beheer.

Het volgende beeld kan op basis hiervan worden gevormd: -

CobiT 5 is een breed inzetbaar raamwerk en levert over het algemeen een aanvulling op ITIl, BiSL en/of ASL. CobiT 5 richt zich niet specifiek op een bepaalde doelgroep van een beheerafdeling, maar is juist overal van toepassing. De andere drie modellen hebben ieder meer een eigen specialisatie.

-

Dit doet CobiT 5 specifiek op het gebied van risicomanagement, changemanagement en de integratie van informatiebeveiligingsraamwerken in het framework.

-

Doordat CobiT 5 van specifieke processen de wat-vraag beantwoord en de andere raamwerken zich meer richten op de hoe-vraag is de uitkomst bij gebruik van meer raamwerken dat een meer volledig beheerskader ontstaat ten bate van informatiebeveiliging.

-

Door de sterke link met het IT-beleid en de verwoording (en verantwoording) van de drivers levert het informatiemanagers en beheerders laagdrempelige tools om mee te werken.

In het empirische onderzoek wordt getoetst of de experts in het werkveld deze voorlopige conclusies onderschrijven en waar aanvullingen benodigd zijn om de raamwerken te vervolmaken.



Hoofdstuk 6

Onderzoeksmodel

6.1 Conceptueel model In voorgaande hoofdstukken zijn de onderzoeksvragen één tot en met vier beantwoord. De laatste twee onderzoeksvragen zijn: - Voldoet COBIT 5 aan bovengenoemde eisen van de VVT-instellingen op het gebied van informatiebeveiliging? - Welke aanpassingen zijn noodzakelijk om COBIT 5 toegevoegde waarde te geven? Op basis van de literatuur gecombineerd met de beantwoording van de voorgaande onderzoeksvragen is in onderstaand figuur het conceptueel model weergegeven van het empirisch onderzoek. De presumptie is dat CobiT 5 for Information Security een positieve correlatie heeft met de eisen die in de VVT worden gesteld op het vlak van informatiebeveiliging.

Figuur 15: conceptueel model empirisch onderzoek

Het doel van het theoriegerichte empirische onderzoek is toetsen of en in hoeverre dit zo is (onderzoeksvraag 5) en aanbevelingen formuleren om dit te verbeteren (onderzoeksvraag 6). Theoriegericht empirisch onderzoek kan worden verdeeld in twee vormen: kwantitatief en kwalitatief onderzoek. Het toetsen van de onderzoeksvragen met behulp van kwantitatief wordt bemoeilijkt door onderstaande twee oorzaken: 

Er is geen theoretisch onderbouwde methode beschikbaar om de effectiviteit c.q. werking (in de praktijk) van een informatiebeveiligingsraamwerk te meten. De body of knowledge wat betreft dit onderwerp bevat geen theoretisch onderbouwde meetmethode en zou praktisch gezien complex, zo niet onmogelijk zijn.



De onderzoeksvragen worden geacht onder gelijkblijvende omstandigheden (ceteris paribus) getoetst te worden. Dit is echter onmogelijkheid om bij het gegeven tijdsbestek als relatieve buitenstaander bij organisaties te doen, gezien de tijdsinvestering die benodigd zou zijn en het belang wat speelt voor de VVT-instellingen.

Opmerking: de Europese Privacyverordening is nog niet in werking getreden (en op moment van schrijven is onbekend of en wanneer dat gebeurt), dus deze variabele is niet als harde norm opgenomen in het conceptuele model. Wel is gedurende de interviews de komst van de Europese Privacyverordening integraal meegenomen om uitspraken te doen over de impact hiervan. 41 © Copyright: Alle rechten zijn voorbehouden aan de auteur(s) van dit document en Auditing.nl


In dit referaat is gekozen voor kwalitatief onderzoek. Kwalitatief onderzoek is interpretatief; de onderzoeker probeert te achterhalen hoe betrokkenen een fenomeen waarnemen, beleven, ervaren en er betekenis aan verlenen (Baarda et al., 2005).

6.2

Casestudy

Kwalitatief onderzoek kan worden uitgevoerd met behulp van (enkel- of meervoudige) casestudies of kwalitatieve surveys. In dit onderzoek kan gesproken worden over een meervoudige casestudy met kenmerken van een kwalitatief survey. Een enkelvoudige casestudy heeft betrekking op één case wat in dit onderzoek niet van toepassing is aangezien er uitspraken worden gedaan over meerdere organisaties om zodoende een breed beeld te vormen. Bij meervoudige casestudies worden een klein aantal onderzoekseenheden in combinatie met een relatief groot aantal variabelen onderzocht. De gekozen cases kunnen worden gezien als representanten van gelijksoortige cases. Bij een kwalitatief survey worden opvattingen en betekenissen die mensen aan iets of iemand toekennen onder zo natuurlijk mogelijke omstandigheden beschreven om al doende een overzicht te vormen van de onderzoeksverschijnselen (Baarda et al., 2005). In dit onderzoek zijn de kenmerken van informatiebeveiliging op basis van erkende raamwerken uit relevante literatuur gedistilleerd.

6.3

Dataverzameling

Bij het selecteren van organisaties en respondenten moet aandacht worden besteed aan twee zaken. Ten eerste is dit een exploratief onderzoek en het is daarom raadzaam om respondenten met verschillende expertises te selecteren zodat een grotere spreiding kan worden gerealiseerd. Ten tweede bepaalt de doelstelling dat de respondenten kennis hebben van informatiebeveiliging, applicatiebeheerraamwerken en de VVT. Diepgaande kennis van CobiT 5 is niet benodigd om antwoord te geven op de vraag of het raamwerk meerwaarde biedt, gedurende de interviews is de kennis van CobiT 5 aan bod gekomen. Tegelijkertijd is kwalitatief onderzoek inspannend en moeten er veelal meerdere iteraties worden gemaakt om tot valide antwoorden te komen. In de oriënterende gesprekken met de respondenten is getoetst of de groepen waarin de respondenten opereren en kennis delen hoofdzakelijk voldoen aan bovenstaande eisen. Dit bleek, zover het was in te schatten het geval. Gedurende de interviews is verder niet gebleken dat er een kennistekort aanwezig was. Het empirische onderzoek is beperkt voor wat betreft het aantal respondenten. Om toch een uitspraak te kunnen doen die enigszins generaliseerbaar is naar VVT-instellingen in Nederland is gepoogd om wat betreft aantal cliënten en medewerkers, de doelgroepen aan wie zorg wordt geleverd en de geografische spreiding van de organisaties een brede spreiding te krijgen. Zoals in tabel 17 is aangegeven, hebben vertegenwoordigers van diverse VVT-instellingen meegedaan aan de interviews en zijn de uitkomsten van het onderzoek weliswaar niet statistisch generaliseerbaar, maar geven wel degelijk een inkijk in de populatie. Onderstaande materiedeskundigen op het gebied van VVT en informatiebeveiliging zijn geïnterviewd. Gezien de gevoeligheid die de zorg in het algemeen en ook informatiebeveiliging binnen de zorg momenteel met zich meedraagt, hebben de respondenten aangegeven geen moeite te hebben met naam en functie te worden genoemd als respondent, echter willen ze geen koppeling tussen de gegeven antwoorden en hun persoon c.q. organisatie. In de onderzoeksresultaten (hoofdstuk 7) is dit geanonimiseerd.



Organisatie

Geïnterviewde

Functie

Sensire

K. van Guilik

Informatie-analist

Espria

drs. P. Bruinik

Manager IT

Florence

M. Kat

Medewerker ICT-beheer

Zuidzorg

mr. drs. M. Overbeek

Interim IT-beheer

Surplus

drs. B. Gayadien

IT-controller

Savant drs. A. van den Hout Figuur 16: respondenten interviews.

Informatiemanager

In onderstaande tabel is een typologie weergegeven van de organisaties waarin de respondenten werkzaam zijn. Deze organisaties zijn aangemerkt als A, B, C etcetera om de anonimiteit van de respondenten te garanderen. Bij de onderzoeksresultaten (hoofdstuk 7) is per organisatie een gedetailleerde tabel weergegeven waarbij de onderzoeksvragen worden weergegeven. De

Aantal medewerkers Aantal cliënten Geografie

Financiering

A

B

C

D

E

F

500

3000

1200

60

550

1900

650

3500

1450

55

675

2200

Zuiden

Westen

Noord/oost

Oosten

Westen

Zuid/westen

AWBZ

AWBZ

AWBZ

AWBZ

AWBZ

AWBZ

WMO

WMO

WMO

PGB

WMO

WMO

Particulier

PGB

PGB Particulier

Zorgvormen

Doelgroep(en) zorg

Extramuraal

Extra + intramuraal

Extra + intramuraal

Extramuraal

Extra + intramuraal

Extra + intramuraal

Verzorging

Verzorging

Verzorging

Verpleging

Verzorging

Verzorging

Verpleging

Verpleging

Verpleging

Behandeling

Verpleging

Verpleging

HV*

HV

HV

HV

HV

Behandeling

Behandeling

Begeleiding

Behandeling

Begeleiding

Begeleiding

Revalidatie

Begeleiding

Figuur 17: typologie organisaties interviews. *HV staat voor huishoudelijke verzorging. De interviews hebben plaatsgevonden van 2 oktober 2014 t/m 30 oktober 2014. Met de respondenten is één face-to-face interview gehouden, de auteur kende de respondenten allen persoonlijk vanuit het werk en heeft specifiek deze respondenten benaderd om de volgende redenen: -

Alle respondenten zijn bekend met IT-beheerraamwerken vanuit studieachtergrond en het dagelijkse werk bij desbetreffende organisatie;

-

Allen zijn geïnteresseerd in nieuwe inzichten vanuit het IT-audit vakgebied ten aanzien van raamwerken en functioneel beheer;

-

Allen hebben de visie dat informatiebeveiliging integraal geborgd moet zijn in een beheercyclus en niet als ‘het zoveelste’ losstaande proces moet worden gezien.

De auteur heeft zes respondenten uitgekozen voor het empirische onderzoek en allen hebben geaccepteerd en aangegeven geïnteresseerd te zijn in de uitkomsten van het onderzoek.



De respondenten hebben van te voren een aantal bijlagen ontvangen: 

een vragenlijst ter voorbereiding (zie bijlage 2);



inhoudsopgave en inhoud CobiT 5 for Information Security;



overzicht raamwerken ITIL, BiSl, ASl en CobiT 5 conform paragraaf 5.4;



eisen gesteld aan informatiebeveiliging conform paragraaf 4.4.

6.3.1 Interviews Een interview is een mondelinge enquête waarin met een vragenlijst wordt gewerkt. Er worden verschillende soorten interviews onderscheiden naar gelang de mate waarin er word gewerkt met een uitgewerkte vragenlijst. De vier soorten mondelinge interviews die kunnen worden onderscheiden staan weergegeven in onderstaande tabel: Kenmerken Type interview Informal conversational

- Vragen worden bepaald door de loop van het interview. - Lijst met interview topics.

Interview guide

Standardized open-ended

- Volgorde en formulering bepaald door interviewer. - Volgorde vragen en formulering is vooraf vastgelegd. - Volgorde vragen en formulering is vooraf vastgelegd.

Closed fixed field response

- Ook antwoordcategorieën vastgelegd.

Figuur 18: soorten interviews (Vennix, 2004). In dit onderzoek is gebruik gemaakt van de interview guide. Dit type interview past het beste bij de complexe (niet specifiek gerichte) vraagstelling van dit onderzoek en biedt de flexibiliteit waarbij gegarandeerd is dat alle relevante vragen gesteld worden maar waarbij tegelijkertijd meerdere iteraties mogelijk zijn indien de geïnterviewde meer uitleg nodig heeft over één of meerdere vragen. Gezien de diversiteit van de organisaties (groot versus klein, gespecialiseerde zorgverlening versus generieke zorgverlening) verliep ieder interview inhoudelijk anders qua volgorde van de topicafhandeling. De ene respondent wist meer van raamwerk X en de andere van raamwerk Y. Het is de mening van de auteur dat de interviews geordend verliepen en de resultaten een juiste en volledige weerspiegeling vormen van hetgeen besproken is. De interviews duurden gemiddeld twee uur.



Hoofdstuk 7

Resultaten, conclusies en aanbevelingen

In dit afsluitende hoofdstuk worden de onderzoeksresultaten, de conclusie van het onderzoek, de aanbevelingen en tenslotte de beperkingen van het onderzoek gepresenteerd.

7.1

Onderzoeksresultaten

De belangrijkste resultaten van het empirische onderzoek worden in deze paragraaf weergegeven, er is een onderscheid gemaakt tussen drie onderdelen: -

Stand van zaken huidig IT-beheer en informatiebeveiliging;

-

Implementatie CobiT 5 for Information Security;

-

Europese privacyverordening.

7.1.1 Stand van zaken huidig IT-beheer en informatiebeveiliging. In onderstaande tabel zijn per organisatie de belangrijkste kenmerken en resultaten uit het empirisch onderzoek weergegeven. In de rest van deze paragraaf worden de uitkomsten toegelicht. A

B

C

D

E

F

Volwassenheid XIS

Niveau 3

Niveau 3

Niveau 3

Niveau 2

Niveau 3

Niveau 3

Aantal XIS'en

1

2

1

1

1

2

Privacy-incidenten in het verleden?

Nee

Ja

Nee

Ja

Nee

Nee

NEN7510

Quick-scan

Onvolledig

Quick-scan

Onvolledig

Onvolledig

Onvolledig

WBP

Onvolledig

Onvolledig

Onvolledig

Onvolledig

Onvolledig

Onvolledig

Europese privacyverordening

Niet in beeld

Niet in beeld

Niet in beeld

Niet in beeld

Niet in beeld

Niet in beeld

WGBO

Voltooid

Voltooid

Voltooid

Voltooid

Voltooid

Voltooid

Wbsn-z Moet IB onderdeel zijn van IT-beheerraamwerken? Risicomanagement Organisatiebreed geïmplementeerd?

Voltooid

Voltooid

Voltooid

Voltooid

Voltooid

Voltooid

Ja

Ja

Ja

Ja

Ja

Ja

Nee

Nee

Nee

Nee

Nee

Nee

Specifiek voor IB en/of IT?

IT en financieel

Nee

IT

Nee

Financieel en P&C cyclus

P&C cyclus

BiSL in gebruik

Ja, niet volledig

Ja

Ja

Ja, niet volledig

Ja

Ja

ITIL in gebruik

Ja

Nee

Ja

ASL in gebruik

Nee

Ja, niet volledig Ja

Ja

Nee

Ja, niet volledig Nee

Cobit5 in gebruik

Nee

Nee

Nee

Nee

Nee

Nee

CMM-I, DSDM

CMM-I, DSDM

Stand van zaken informatiebeveiliging

IT-beheer

Andere raamwerken

Nee Ja

Omvang IT-beheer in FTE

5

14

8

2

3

5

Afdelingen beheer

functioneel

functioneel

functioneel

functioneel

functioneel

functioneel

applicatie

technisch

technisch

applicatie

technisch

technisch

applicatie

applicatie

applicatie

applicatie

Figuur 19: resultaten empirisch onderzoek IT-beheer en informatiebeveiliging De meeste VVT-instellingen (vijf van de zes) bevinden zich op het volwassenheidsniveau 3 conform de EPDcurve van Gartner. Informatiebeveiliging conform de eisen die daaraan gesteld zijn, staat bij drie VVTorganisaties scherp op het netvlies. Twee daarvan zijn als gevolg van privacy-incidenten ‘op de vingers’ getikt



door de IGZ en als gevolg daarvan begonnen met het selecteren van een extern bureau voor implementatie van informatiebeveiliging. Geen van de zes instellingen heeft een certificaat/audit voor de NEN7510. De respondenten weten niet of dit in de nabije toekomst verplicht is, het Ministerie van VWS heeft aangegeven dat dit in 2016/2017 op de planning staat. Evenals de NEN7510 is de WBP niet volledig in opzet, bestaan en werking geïmplementeerd. De communicatie met klanten en personeel over informatiebeveiliging en de WBP-specifiek vindt plaats door middel van brochures die worden uitgereikt bij binnenkomst en via werkoverleg. Vijf organisaties maken gebruik van de website om hierover te publiceren. Geen van de organisaties heeft een holistisch risicomanagementproces. Vier organisaties doen aan risicomanagement, maar bij alle op andere vlakken dan informatiebeveiliging. De IT-beheer component wordt daarbij wel meegenomen. Dit is opvallend aangezien alle respondenten van mening zijn dat informatiebeveiliging integraal onderdeel moet zijn van het IT-beheer binnen hun organisatie, maar de eerste stap van informatiebeveiliging namelijk risicomanagement is bij geen organisatie geborgd. Wat betreft het gebruik van de raamwerken het volgende: -

Alle organisaties maken gebruik van BiSl;

-

Vier organisaties maken gebruik van ITIL;

-

Drie organisaties maken gebruik van ASL.

Alle organisaties hebben een afdeling functioneel beheer (met behulp van BiSL). Vier organisaties maken een onderscheid tussen technische beheer en applicatiebeheer, twee organisaties hebben deze functies samengevoegd als zijnde applicatiebeheer waarbij de technische component integraal wordt uitgevoerd. Twee organisaties maken daarnaast beide gebruik van aanvullende IT-beheerraamwerken: CMM-I en DSDM. Naar de mening van de respondenten maken de afdelingen geen volledig gebruik van het potentieel van de raamwerken, m.a.w. ze zijn nooit volledig geïmplementeerd en niet alle relevante medewerkers hebben het benodigde kennisniveau om het maximale uit het raamwerk te behalen. Uit de analyse van deze zes VVT-instellingen kan de voorzichtige conclusie worden getrokken dat er een positief verband is tussen de grootte van de instelling en de omvang van het beheer in FTE. Er lijkt ook een positief verband te zijn tussen de grootte van de organisatie en het aantal geïmplementeerde ITbeheerraamwerken. Toch geven alle respondenten aan dat er een gat zit tussen de verwachting en de praktijk: informatiebeveiliging moet integraal onderdeel zijn van IT-beheerraamwerken maar bij geen van de instellingen is informatiebeveiliging op basis van de vereiste onderdelen (NEN7510, WGBO, Wbsn-z en WBP) volledig geïmplementeerd. Hiermee lopen de organisaties risico’s bij een audit van de IGZ, het CPB of indien er privacy-incidenten zijn, wat ook bij twee instellingen heeft plaatsgevonden. Voor wat betreft de Wet op het BSN in de zorg: alle instellingen hebben dit geïmplementeerd in opzet, bestaan en werking. De WBGO is eveneens overal geïmplementeerd in opzet, bestaan en werking. De bestaande beheerraamwerken voldoen daar naar inzicht van de respondenten niet voldoende in, omdat het buiten de scope van de raamwerken ligt. Procedures en documentatie om deze twee wetten te implementeren is door de VVT-instellingen zelf of in samenwerking met externe partners opgesteld.



7.1.2 Implementatie CobiT 5 Drie respondenten hadden voor het interview kennis van CobiT 5. Gedurende de interviews heeft de onderzoeker de werkwijze van Cobit 5 inclusief het addendum voor informatiebeveiliging uitgelegd. In onderstaande tabel zijn per organisatie de kenmerkende resultaten uit het empirisch onderzoek weergegeven. In de rest van deze paragraaf worden de uitkomsten toegelicht. A

B

C

D

E

F

Ja

Nee

Ja

Nee

Nee

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Ja

Kennis van Cobit 5? Ja Biedt Cobit 5 toegevoegde waarde v.w.b. IB? Aanvullend op de bestaande raamwerken?

Het oogt groot en complex. Had al Wat zijn

kennis van Cobit 5

aandachtspunten?

maar is toch wennen aan de grootsheid.

Gezien interne reorganisatie ligt een aanvulend

strategisch raamwerk moeilijk, kernpunt van de omdat directe organisatie. resultaten worden verwacht. BiSl en ITIL zijn goede raamwerken,

Werken al met ITIL en aansluiting is goed.

Budget is beperkt IT is geen

maar de aasluiting is intern nog niet gerealiseerd. Cobit 5 kan hierbij van wezenlijk belang

en een IT-beheer ligt onder implementatie kost vuur en moet al te te vele tijd en dus veel doen met te geld. Zou een weinig middelen. langdurig traject moeten zijn.

RvB bestaat uit niet IT-minded mensen en het draagvlak voor investeringne is laag.

We zijn een kleine organisatie, direct resultaat is een harde pre.

zijn. Medewerkers van IT- IB wordt

De directie bestaat

Te weinig FTE voor

beheer hebben niet geimplementeerd

uit artsen en geeft

een aanvullend raamwerk.

de kennis om dit zelfstandig aan te

vanuit een eis en niet vanuit

geen prioriteit aan informatiebeveiligi

pakken.

meerwaarde.

ng

Beheer is intern

Te weinig FTE voor

MBO/HBO niveau,

een aanvullend

dit vraagt WO.

raamwerk.

RvB geeft geen

RvB geeft geen

prioriteit aan

prioriteit aan

informatiebeveiligi ng

informatiebeveiligi ng

Informatiebeveiligin g wordt gezien als een aparte taak en is beleged bij facilitair management

Intern wordt een

RvB geeft geen governance-project prioriteit aan opgestart, Cobit 5 informatiebeveiligi kan hierbij ng ondersteunen.

RvB geeft geen prioriteit aan informatiebeveiligi ng Lasting om de koppeling tussen de eisen van IB en Cobit 5 te maken.

De aanvulling voor informatiebeveiligi ng van Cobit 5 ziet er nog steeds groot en complex uit. Cobit 5 levert tools mee die wel snel kunnen worden ingezet, dit is een sterk punt.

In de VVT zijn naast IB veel andere Lasting om de

wijzigingen van belang, en Cobit 5

koppeling tussen de biedt op vele eisen van IB en vlakken Cobit 5 te maken. toegevoegde

RvB geeft geen

Doordat software, hardware en

prioriteit aan informatiebeveiligi ng

processen moeten worden beschreven wordt het een

waarde zoals financiele processen en logistiek.

groot project.

Aaanvullen van

BiSL en ASL

De changemanagement component van

raamwerken is moeilijk voor de beheerders. Cobit

beschrijven te weinig rondom IB, dus aanvullunde

Cobit 5 is niet aanwezig in andere raamwerken en is

5 biedt meerwaarde raamwerken zijn maar is moeilijk om handig maar zie de dit aan de andere meerwaarde op

dus aanvullend.

raamwerken te hangen.

De normen zijn helder beschreven,

Mederwerkers vinden raamwerken

er hoeft geen complex, dit is voor vertaalslag meer te Cobit 5 niet worden gemaakt. minder.

andere vlakken minder.

Figuur 20: resultaten empirisch onderzoek toegevoegde waarde Cobit 5



Onderstaande conclusies kunnen worden getrokken: -

De respondenten vonden het een volledig raamwerk en daardoor bruikbaar naast ITIl, BiSL of ASL;

-

Vooral het feit dat de eisen die in de NEN7510 voor een groot deel in CobiT 5 verweven zijn is een positieve factor i.v.m. de andere raamwerken. Dit werd door alle respondenten aangegeven.

-

De complexiteit van CobiT 5 is een negatieve factor. Raamwerken moeten uiteindelijk het beheer makkelijker maken en het implementeren van CobiT 5 is naar mening van de respondenten een grote investering v.w.b. tijd en daardoor ook kosten. Verder gaven vier respondenten aan dat ze twijfelen aan de capaciteit (kennis en kunde) van de eigen medewerkers om het raamwerk volledig te benutten.

-

Vijf van de zes respondenten geven aan te twijfelen aan het commitment binnen de organisatie om ’weer’ een raamwerk te implementeren wat draagvlak binnen de hele organisatie vereist. Een belangrijke factor hierbij is dat het management en de Raden van Bestuur en -Toezicht naar mening van alle respondenten over het algemeen niet voldoende IT-kennis hebben om ook daadwerkelijk hierop aan te sturen en high-level beslissingen te nemen.

Het levert een duaal beeld op: Cobit 5 maakt v.w.b. informatiebeveiliging een goede indruk, maar tegelijkertijd is het niveau van risicomanagement en informatiebeveiliging binnen de VVT-instellingen lager dan verwacht mag worden. Immers, er wordt niet voldaan aan de weten regelgeving op dit gebied.

7.1.3 Europese privacyverordening Voor wat betreft de Europese privacyverordening geldt dat er geen van de zes VVT-instellingen bezig is met voorbereidingen op de inwerkingtreding. Vanuit zichzelf konden de respondenten geen inhoudelijke aandachtspunten aangeven die impact heeft op het IT-beheer en/of informatiebeveiliging. Na het doorspreken van de impact van de verordening waren er bij alle VVT-organisaties problemen te voorzien na inwerkingtreding. De grootste problemen liggen bij privacy by design en privacy by default, aangezien de informatiebeveiliging niet in dat detailniveau is geïmplementeerd en softwareleveranciers hierin een eikpunt zijn maar ook nog niet betrokken zijn bij aanpassingen. Verder is het bij veel van de gebruikte XIS’en in de huidige staat niet mogelijk klanten te voorzien in de vereiste mate van gegevensverwijdering.

7.2

Conclusie

In de hoofdstukken twee tot en met vijf zijn begrippen zoals IT-beheer conform ITIl, BiSL, ASL en informatiebeveiliging uitgediept. Tevens zijn in deze hoofdstukken op hoofdlijnen de processen geschetst die het IT-beheer linkt aan informatiebeveiliging. Deze processen zijn vervolgens vertaald getoetst aan CobiT 5. Dit alles leidde tot interviews met experts op het gebied van IT-beheer in de VVT en informatiebeveiliging om een antwoord te kunnen geven op de centrale onderzoeksvraag: biedt COBIT 5 toegevoegde waarde als beheersmodel voor het IT-beheer van VVT-instellingen binnen het domein van informatiebeveiliging? Op basis van de literatuurstudie en het empirische onderzoek kan deze vraag positief worden beantwoord beantwoorden. CobiT 5 biedt met name toegevoegde waarde aan informatiebeveiliging voor IT-beheer omdat: -

Informatiebeveiliging conform de ISO27001/27002 geïntegreerd is in CobiT 5 en het aanvullende CobiT 5 for Information Security. De NEN7510, waar VVT-instellingen aan moeten voldoen, is ook op die norm gebaseerd dus is een efficiënte werkwijze voor het gebruik van (1) CobiT als IT-beheerraamwerk en (2) het implementeren en voldoen aan de informatiebeveiliging.

-

Informatiebeveiliging is niet op deze gedetailleerde wijze geïntegreerd in BiSL, ASL of ITIL.



-

CobiT 5 een aanvullende normenstellende visie heeft op IT-processen. CobiT 5 beschrijft in detail wat het resultaat moet zijn en de nadere raamwerken kunnen worden ingezet om de ‘hoe’ vraag in te vullen.

-

Uit de interviews blijkt dat er maar relatief weinig VVT-instellingen zijn die ASL, BiSL en ITIl volledig gebruiken, CobiT 5 kan hierdoor makkelijker een verbindende rol spelen en toegevoegde waarde bieden

-

CobiT 5 naadloos aansluit op ITIl en probleemloos kan samenwerken met ASL en BiSL.

-

CobiT 5 heeft een interne link met risicomanagement en dat is vereist vanuit de informatiebeveiliging. De andere raamwerken zijn hier minder diepgaand in. Bij geen van de instellingen is het risicomanagement geïmplementeerd.

Er zijn ook nadelen aan CobiT 5. Het eerste nadeel gaat op voor ieder raamwerk dat binnen een VVTorganisatie wordt geïmplementeerd. CobiT 5 op zich is namelijk niet een wondermiddel; het raamwerk kan enkel meerwaarde bieden indien het naadloos aansluit op de doelstellingen van de VVT-organisatie en het management er volledig in mee gaat. Uit de interviews blijkt dat implementaties van de bestaande raamwerken hierdoor zijn gehinderd. Verder is het implementeren van CobiT 5 een tijdrovende zaak gezien de impact en de complexiteit. CobiT 5 bevat niet de specifieke eisen die in Nederlandse wetten en regels zijn gesteld aan informatiebeveiliging binnen de VVT. Aanpassing van Cobit hieraan is niet realistisch omdat het een internationale best practice-raamwerk is. Praktischer zou het zijn dat VVT-instellingen die met CobiT 5 gaan werken het raamwerk aanvullen met deze normen. Wellicht dat Isaca tezijnertijd net zoals voor informatiebeveiliging ook een aanvulling maakt voor de Europese privacyverordening, anders zullen VVTinstellingen deze verordening ook zelf moeten aanvullen in hun raamwerken.

7.3

Beperkingen en aanbevelingen

Dit onderzoek is beperkt door een tweetal factoren welke besproken worden in deze paragraaf. Als eerste zijn de interviews zo open mogelijk benaderd om zovele mogelijk data te verzamelen. Hierdoor kunnen interpretaties aan de kant van de respondent en de onderzoeker de validiteit van de interviewdata hebben aangetast. Ten tweede kunnen de resultaten van dit onderzoek niet gegeneraliseerd worden naar alle IT-beheerafdelingen van VVT-instellingen. Het aantal van even cases is te laag om generaliseerbare uitspraken te doen over een breed concept zoals informatiebeveiliging en beheer. De cases zijn zo geselecteerd dat er verschillen bestonden op het gebied van organisatie-achtergrond en expertise en daardoor kan niet gesproken worden van algemeen geldende uitspraken. Meerdere casestudies of kwantitatief onderzoek zijn vereist om algemeen geldende uitspraken te kunnen doen. Gezien het belang van informatiebeveiliging in de zorg en het toenemend gebruik van raamwerken zou het zeer interessant zijn een grootschalige studie op te zetten naar de effectiviteit in de praktijk.



Bijlage 1

Inhoudsopgave NEN7510









Bijlage 2

Inleidende vragenlijst interviews

Inleiding interview o

Introductie interviewer

o

Introductie respondent

o

Uitleg doel van het onderzoek

o

Kenmerken organisatie/ afdeling van de respondent

Hoofdonderwerpen interview o

Welke normen hanteert uw organisatie t.a.v. informatiebeveiliging van elektronische en hardcopy gegevens?

o

Op welke wijze zijn de normen gecommuniceerd met het personeel?

o

Hoe vindt communicatie met patiënten plaats t.a.v. informatiebeveiliging?

o

Welke beheerraamwerken zijn in gebruik in uw organisatie of bij uw klanten?

o

Welk niveau van kennis heeft uzelf van deze raamwerken?

o

Welk volwassenheidsniveau van XIS’en conform de definitie van Gartner ziet u?

o

Welke problemen bent u tegengekomen bij de beheerraamwerken?

o

Bent u bekend met CobiT5?

o

Wat weet u van CobiT 5?

o

Werkt u met de enablers van CobiT 5 in uw organisatie uw bij uw klanten?

o

Wat weet u van de Wbsn-z?

o

Is deze geïmplementeerd in uw organisatie of bij uw klanten?

o

Welke variabelen van CobiT 5 hebben meerwaarde t.o.v. BiSL, ITIL en.of ASL?

o

Welke onderdelen van CobiT 5 bieden geen meerwaarde?

o

Heeft de patiënt ook inzicht in de gegevens?

o

In hoeverre maakt u of uw klanten gebruik van het burger service nummer?

o

Hoe wordt de WGBO in control gehouden?

o

Hoe is de toegang tot het eigen XIS of bij klanten geregeld?

o

Welke middelen worden gebruikt voor identificatie en authenticatie?

Afsluiting o

Documenten voor inhoudsanalyse

o

Mogelijkheid tot vragen stellen



Literatuur Boeken Baarda, De Goede & Teunissen. (2005). Basisboek Kwalitatief Onderzoek: handleiding voor het opzetten en uitvoeren van kwalitatief onderzoek. Groningen: Stenfert Kroese. Tweede, geheel herziene druk. Davenport, T. (1997). Information Ecology: Mastering the Information and Knowledge Environment. New York, Oxford University Press, 1997. Hendriks, P. (1999). Why Share Knowledge? The Influence of ICT on the Motivation for Knowledge Sharing. Knowledge and Process Management, Volume 6, Number 2, 91–100, 1999. Looijen, M. (1997). Beheer van informatiesystemen. Deventer: Kluwer Bedrijfsinformatie. Overkleeft, D. (2005). ‘NEN7510 Dé norm voor informatiebeveiliging in de zorg’. © 2005 NEN Gezondheidszorg, Delft Vennix, J. (2004). Praktijk van empirisch onderzoek. Faculteit der Managementwetenschappen, Radboud Universiteit Nijmegen: Nijmegen. Weggeman, M. (2003). Kennismanagement: de praktijk, derde druk. Schiedam: Scriptum. Wel, J.A. van der (2006). ‘Informatiebeveiliging in de zorg’. 1ste druk. Academic Service. Zijlstra, W. (2010). ‘Keuzes bij de invoering van NEN 7510 nader toegelicht’. © 2010 ZBC

Artikelen Albers, E.F. (2008). 'Adoption of an electronic health record: untangling a deadlock situation in four Dutch academic hospitals'. Conferentie IRIS 32, Molde Norway. 9 - 12 augustus 2009. Het Europees privacyrecht in beweging, Overzicht van actuele ontwikkelingen en mogelijke consequenties voor werkzaamheden van IT-auditors. Februari 2013. A.W. Duthler & A.J. Biesheuvel. Moody, K. W. (2003). New meaning to IT alignment. Information Systems Management, 20(4), 3035. Ouvry, A. (2005) 'Strategische overwegingen bij de keuze van een EPD voor een ziekenhuis'. © NTMA 120, juni 2005. Os, M. van et al. (2005). Modellen: wanneer wat. SPIder werkgroep Integrale SPI-strategieën.



Wetten, normen en standaarden -

De Wet Bescherming Persoonsgegevens (WBP)

-

Wbsn-z

-

WGBO

-

ISO 27001, ISO 27002 en ISO 27799

-

Europese Privacyverordening (95/46/EG).

Websites https://www.nictiz.nl/module/360/421/AORTA_GBx_PvE_Organisatie.pdf www.aslbislfoundation.org www.isaca.org https://www.axelos.com/itil http://www.best-managementpractice.com/gempdf/Aligning_COBITITILV3ISO27002_Bus_Benefit_9Nov08_Research.pdf

Scripties Brink, van den (2009). Veiligheid en privacy van elektronische patiëntgegevens. Gerrits (2008). BiSL/ ASL, het wondermiddel voor de IT beheerperikelen binnen de Nederlandse gezondheidszorg?


De toepasbaarheid van CobiT 5 in het kader van informatiebeveiliging in de gezondheidszorg

Recommend Documents