Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg Normelementen (titel)

Normelementen (tekst)

Toetsingscriteria

Blijkt uit: interviews, observaties

zwaaarw.

zwaaarw.

zwaaarw.

ter plaatse of techniekinstellingen, bevestigd door (e-) documenten zoals b.v.

4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem voor De organisatie moet een ISMS inrichten. a. De organisatie beschikt over een ISMS om de informatieveiligheid informatiebeveiliging: ISMS structureel te waarborgen en om de kansen op en gevolgen van schade als gevolg van informatieincidenten voor patiënten, organisatie en andere stakeholders te beperken. b. Het ISMS heeft betrekking op zowel digitale als analoge informatie en informatieverwerking. c. Het ISMS functioneert op basis van een samenhangend en geïntegreerd stelsel van technische, operationele, procedurele en juridische maatregelen en bijbehorend gedrag. d. Het ISMS belegt taken, verantwoordelijkheden en bevoegdheden (zie 4.2.1), omvat risicomanagement en -beoordeling (zie 4.4.1) met directiebeoordeling (zie 4.5.3), geeft structuur bij de uitvoering en naleving van beheersmaatregelen (zie 5.1.1 t/m 15.3.2) en draagt bij de gestelde doelen te realiseren. 4.2 Directieverantwoordelijkheid 4.2.1 Toewijzen De directie moet verantwoordelijkheden a. De directie heeft de verantwoordelijkheden voor inrichting, verantwoordelijkheden ten aanzien van het ISMS toewijzen. instandhouding en doorontwikkeling van het ISMS centraal, en voor de uitvoering en naleving van de beheersmaatregelen, en voor het toezicht op en rapportage over de uitvoering binnen de organisatie decentraal belegd. b. Deze verantwoordelijkheden zijn bij de betrokkenen bekend. 4.2.2 Actieve betrokkenheid De directie moet bewijs kunnen leveren a. De directie heeft opdracht gegeven voor het inrichten van het ISMS van haar betrokkenheid met betrekking (zie 4.2.1 en 4.2.3) en de opzet en inrichting van het ISMS vastgesteld tot het vaststellen, implementeren, (zie 4.3). uitvoeren, controleren, beoordelen, b. De directie neemt waar nodig met betrekking tot de implementatie bijhouden en verbeteren van het ISMS. zelf besluiten of ziet er op toe dat deze genomen worden (zie 4.4.1 t/m 3). c. De directie voert structureel een beoordeling (managementreview) uit om de informatiebeveiliging te beoordelen en de werking van het ISMS te verbeteren (zie 4.5.1 en 4.5.3d). d. De directie laat waar nodig aanvullende maatregelen treffen en/of geeft verbeteropdrachten (zie 4.6.1 t/m 4). e. De directie draagt het nut en noodzaak van veilige informatie en nut en noodzaak van informatiebeveiliging intern en extern uit (zie 4.7.1). 4.2.3 Stuurgroep De directie kan worden ondersteund a. De directie laat zich indien nodig ondersteunen en adviseren door door een stuurgroep. een stuurgroep of commissie of ander gremium met vertegenwoordigers van de intern betrokken disciplines (security officer, staf, ICT, facilitair bedrijf, lijnmanagement en gebruikers).

Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober 2012

Handboek ISMS, handleidingen van toepassing op ISMS, plan van aanpak voor de informatiebeveiliging.

Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven.

Mandaatregeling; programma, plan van aanpak, verslagen van managementreviews, projectopdrachten, verslagen, notulen, besluitenlijsten.

Agenda's, verslagen, adviezen.

1 van 35

Normelementen (titel)


Toetsingscriteria

Blijkt uit: interviews, observaties ter plaatse of techniekinstellingen, bevestigd door (e-) documenten zoals b.v.

De directie moet het ISMS vaststellen

zwaaarw.

4.3 PLAN: het ISMS vaststellen 4.3 Vaststellen ISMS

zwaaarw.

4.4 DO: het ISMS implementeren en uitvoeren\ 4.4.1 Implementeren en uitvoeren De organisatie moet het ISMS ISMS implementeren en uitvoeren.

a. De directie heeft de scope van de informatiebeveiliging bepaald. b. De directie heeft de opzet en inrichting van het ISMS vastgesteld (zie ook Norm 3.1.1 en 3.1.2). c. De directie heeft beleid vastgesteld met betrekking tot de wijze van risicobeoordeling, het identificeren van risico‘s, het analyseren en beoordelen van risico’s, het bepalen van opties voor de behandeling van risico’s en de beheersdoelstellingen (zie ook 4.2.2a). d. De directie heeft beleid vastgesteld voor het classificeren van de informatie ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. e. De directie heeft procedures vastgesteld voor het ISMS met betrekking tot het uitvoeren van risicoanalyse en beoordeling, de keuze van maatregelen, het accepteren van restrisico’s, het in stand houden en verbeteren van het ISMS (zie 4.4.1). f. De directie heeft een verklaring van toepasselijkheid vastgesteld voorafgaand aan de implementatie vanhet ISMS

Notulen RvB / directie, beleidsdocumenten, plannen van aanpak, verklaring van toepasselijkheid

a. De organisatie gebruikt een systematiek voor het classificeren van informatie en bedrijfsmiddelen voor het op maat inzetten en toepassen van beheersmaatregelen. b. De organisatie voert, gegeven weten regelgeving, de classificatie en de kwetsbaarheden van de instelling, periodiek en waar nodig incidenteel risicoanalyse(s) en -beoordeling(en) uit en houdt de hiertoe benodigde gegevens actueel. c. De organisatie volgt bij risicomanagement en -beoordeling een systematische werkwijze (zie ook normtekst NEN 7510:2011 paragraaf 3.1.1 en 3.1.2; extern document): 1. Identificeren van de middelen binnen de scope en het belang (waarde) van de middelen, 2. Identificeren van de bedreigingen, 3. Identificeren van de kwetsbaarheden / zwakheden, 4. Beoordelen van de risico’s (kans x mogelijk gevolg en/of schade) voor de patiënt en/of organisatie, 5. Bepalen van de behandeling van elk risico: behandelen (voor maatregelen zie 5.1.1. t/m 15.3.2), aanvaarden, vermijden of overdragen, 6. Vastleggen van de beheersdoelstellingen, reeds genomen en nog te nemen beheersmaatregelen, d. De organisatie heeft verband gelegd tussen de resultaten van de risicobeoordeling en de te nemen beheersmaatregelen en heeft de beheersmaatregelen geclassificeerd naar generieke (baseline) en specifieke maatregelen.

Programma, meerjarenplan voor het ISMS, risicoanalyses en -beoordelingen, notulen, besluitenlijsten.


2 van 35



Toetsingscriteria


e.Of de organisatie is, in geval van een eerste toetsing, doende de gekozen beheersmaatregelen uit te voeren (zie 5.1.1 t/m 15.3.2). e.Of de organisatie heeft, in geval van een latere toetsing, de gekozen beheersmaatregelen grotendeels uitgevoerd en verbetert deze, waar zij, gegeven de resultaten van de risicoanalyse, een substantiële extra bijdrage leveren aan het niveau van de informatiebeveiliging. f. De organisatie beschikt over een meerjarenplan voor de maatregelen die moeten worden uitgevoerd en waarvan de voortgang wordt bewaakt. g. De organisatie heeft door middel van voortgangsbewaking zicht op reeds genomen en nog te nemen maatregelen. 4.4.2 Beschikbaar stellen van a. De directie stelt de benodigde middelen ter beschikking om de De organisatie moet vaststellen welke middelen (voor het ISMS) middelen nodig zijn en deze benodigde gestelde eisen te realiseren, rekening houdend met weten regelgeving, de stand der techniek, het budgettair beleid van de middelen beschikbaar stellen om: organisatie en de uitkomsten van de risicoanalyse (zie ook 4.1 en a) een ISMS vast te stellen, te 4.2.2). implementeren, uit te voeren, te controleren, te beoordelen, bij te houden en te verbeteren; b) te bewerkstelligen dat procedures voor informatiebeveiliging de eisen van de bedrijfsvoering ondersteunen; c) eisen uit weten regelgeving en contractuele verplichtingen voor beveiliging te identificeren en na te leven; d) een geschikt niveau van beveiliging te handhaven door correcte toepassing van alle geïmplementeerde beheersmaatregelen; e) wanneer dat nodig is beoordelingen uit te voeren en op geschikte wijze te handelen naar de resultaten van deze beoordelingen; en f) waar nodig de doeltreffendheid van het ISMS te verbeteren. 4.4.3 Training, bewustzijn en De organisatie moet bewerkstelligen dat a. Binnen de organisatie beschikken medewerkers met specifieke bekwaamheid voor het ISMS alle werknemers aan wie taken bij de inrichting, instandhouding en doorontwikkeling van het verantwoordelijkheden zijn toegewezen ISMS (zie ook 4.2.1) over relevante kennis en ervaring en worden die in het ISMS zijn gedefinieerd, waar nodig (bij)geschoold (zie 4.2.1a en 8.2.2). afdoende bekwaam zijn om de vereiste taken uit te voeren 4.5 CHECK: het ISMS monitoren en beoordelen 4.5.1 Het ISMS monitoren en De directie moet het ISMS monitoren en a. De directie houdt actief toezicht om de werking van het ISMS te

zw aa

zwaaarw.

zwaaarw.



Instellingsbeleid, beveiligingsbeleid, begroting, personele- en capaciteitsplanning, taak- en functiebeschrijvingen, functionele specificaties, overeenkomsten, externe beoordelingen (waaronder audits).

Trainings- en opleidingsplan. Tijdverantwoording, taak- en functiebeschrijvingen.

Verslagen van

3 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

zwaaarw.

zwaaarw.

beoordelen

beoordelen.

kunnen bijsturen. b. De directie voert structureel een directiebeoordeling (managementreview) uit om de informatieveiligheid te beoordelen en de werking van het ISMS te verbeteren (zie ook 4.2.2 en 4.5.3d). 4.5.2 Interne ISMS-audits a. De organisatie toetst de werking van het ISMS aan beleid en De organisatie moet met geplande tussenpozen interne ISMS-audits normen in de zorg en aan het landelijk toetsingskader. uitvoeren om vast te stellen of de b. De organisatie toetst volgens een consistente werkwijze de uitvoering en naleving van de beheersmaatregelen (zie 5.1.1 t/m beheersdoelstellingen, 15.3.2) aan beleid en normen in de zorg (minimaal aan dit beheersmaatregelen, processen en procedures: toetsingskader). a) voldoen aan de eisen van deze norm c. De organisatie volgt een planning voor interne audits (waaronder die en relevante wetten of voorschriften; voor informatiebeveiliging en voor administratieve organisatie en interne beheersing) en beschikt over rapportages van interne audits en b) voldoen aan de geïdentificeerde eisen voor informatiebeveiliging; verbeterplannen. c) doeltreffend zijn geïmplementeerd en worden bijgehouden; en d) naar verwachting presteren. 4.5.3 Directiebeoordeling van het ISMS De directie moet het ISMS van de a. De organisatie evalueert periodiek de actualiteit van de risico’s, het organisatie met geplande tussenpozen te voeren beleid, de geschiktheid, passendheid en doeltreffendheid en beoordelen (bijvoorbeeld eenmaal per werking van het ISMS. b. De organisatie benoemt welke risico's verder moeten worden jaar), om te bewerkstelligen dat dit beperkt en welke kwetsbaarheden moeten worden verholpen. continu geschikt, passend en doeltreffend is. Deze beoordeling moet c. De organisatie heeft een plan van aanpak en een planning met betrekking tot de verbeterpunten opgesteld (zie ook 4.6.1 t/ 4.6.4). het onderzoeken van kansen voor d. De directie voert structureel een beoordeling (managementreview) verbetering omvatten alsmede de noodzaak van wijzigingen in het ISMS, uit om de informatieveiligheid te beoordelen en de werking van het ISMS te verbeteren gebaseerd op de resultaten van a. t/m c. (zie waaronder het 4.5.1). informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen.De resultaten van de beoordelingen moeten duidelijk worden gedocumenteerd en er moeten registraties worden bijgehouden. 4.6 ACT: het ISMS onderhouden en verbeteren 4.6.1 Algemeen De directie moet het ISMS onderhouden a. De directie draagt zorg voor het onderhouden en verbeteren van het en verbeteren. ISMS (zie 4.2.2, 4.4.2, 4.5.1 en 4.5.3d). b. De organisatie maakt het onderhoud en de verbetering van het ISMS zichtbaar (zie 4.6.2). 4.6.2 Continue verbetering De organisatie moet continu de a. De organisatie voert (aansluitend op 4.5.3c) het plan van aanpak uit doeltreffendheid van het ISMS voor continue verbetering van de informatieveiligheid en de werking verbeteren door gebruikmaking van het van het ISMS. informatiebeveiligingsbeleid, de b. De organisatie analyseert informatieveiligheidsincidenten op basis informatiebeveiligings-doelstellingen, van opgetreden bedreigingen en/of niet voldoende effectieve


managementreviews, managementrapportages, dashboard Interne en externe auditrapporten met bevindingen en onderbouwing (waaronder landelijke audit 2010), evt. reacties IGZ, aantoonbare best practices, mondelinge toelichtingen, auditplanning.

Rapportage aan RvB en RvT, verslagen van managementreviews, overzicht risico's en kwetsbaarheden, (aanvullend) plan van aanpak tekortkomingen en verbeterpunten, verbeterplannen, registraties

Plannen van aanpak.

Jaarverslag (recent), afgeronde projecten, voortgangsrapportages, proces met betrekking tot incidentmelding en -opvolging,

4 van 35



Toetsingscriteria


zwaaarw.

auditresultaten, analyse van gecontroleerde gebeurtenissen, corrigerende en preventieve maatregelen en de directiebeoordeling.

4.6.3 Corrigerende maatregelen

zwaaarw.

4.6.4 Preventieve maatregelen

zwaaarw.

4.7 Documentatie van het ISMS 4.7.1 Algemeen

zw aa

zwaaarw.

4.7.2 Beheersing van documenten

4.7.3 Beheersing van registraties

maatregelen. c. De organisatie voert interne audits uit op het ISMS of laat externe audits uitvoeren (zie 4.5.2). d. De organisatie kan aantonen aan continue verbetering te werken aan de hand van genomen maatregelen, afgeronde projecten, voortgangsrapportages, incidentanalyse en -opvolging, tussentijdse risicoanalyse en interne en externe auditresultaten. e. De organisatie rapporteert over de voortgang en verbetering en maakt bij de rapportage waar mogelijk en zinvol gebruik van informatieveiligheidsindicatoren. De organisatie moet maatregelen treffen a. De organisatie neemt naar aanleiding van informatie-incidenten om de oorzaak van afwijkingen van de aanvullende maatregelen of stelt bestaande maatregelen bij om ISMS-eisen op te heffen om herhaling te herhaling te voorkomen (zie ook 4.6.2d). voorkomen. De organisatie moet maatregelen a. De organisatie stelt aanvullende maatregelen vast of stelt vaststellen om de oorzaak van bestaande maatregelen bij naar aanleiding van interne en externe mogelijke afwijkingen van de ISMSontwikkelingen (waaronder weten regelgeving en voortschrijdend eisen op te heffen om te voorkomen dat inzicht), resultaten van de risicoanalyse en -beoordeling om de ze zich voordoen. informatieveiligheid en de werking en doeltreffendheid van het ISMS te verbeteren. Preventieve maatregelen moeten zijn afgestemd op de gevolgen van de mogelijke problemen.

incidentenrapportages met oorzaak-gevolg-analyse, tussentijdse risicoanalyses, trendrapportage vanuit interne en externe auditrapportages.

De documentatie moet registraties van directiebesluiten omvatten, bewerkstelligen dat maatregelen herleidbaar zijn tot besluiten en beleid van de directie en bewerkstelligen dat de geregistreerde resultaten reproduceerbaar zijn.

Blauwdruk voor het ISMS, handboek ISMS, handleidingen, beleidsplan, continuïteitsplan, interne richtlijnen, risicoanalyses en beoordelingen, plannen van aanpak, periodieke voortgangsrapportages, rapportages voor en verslagen van directiebeoordelingen / managementreviews.

a. De organisatie overlegt als bewijsmateriaal relevante documenten waaruit blijkt dat de inrichting, instandhouding en doorontwikkeling van het ISMS aansluit bij het beleid van de organisatie. Bewijsmateriaal is b.v.: - blauwdruk ISMS, - beleidsplan en interne richtlijnen, - risicoanalyse en -beoordeling, - (aanvullend) plan van aanpak, - periodieke voortgangsrapportage, - managementreview (rapportage en verslag), - continuïteitsplan. b. De organisatie kan aantonen dat de resultaten niet van toeval afhankelijk zijn, maar een structurele basis hebben. Documenten die door het ISMS worden a. Medewerkers belast met de instandhouding en verbetering van het vereist, moeten worden beschermd en ISMS (zie 4.2.1) en/of met de uitvoering van beheersmaatregelen beheerst. hebben toegang tot de meest actuele versie van de voor hen relevante documenten om de toegewezen taken te kunnen uitvoeren en verantwoording af te leggen (zie ook 15.1.3). Er moeten registraties worden a. De organisatie benoemt de registraties die zij nodig acht om de


Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen.

Zie hierboven 4.1 t/m 4.7.1.

Rapporten, recent jaarverslag

5 van 35



Toetsingscriteria


vastgesteld en bijgehouden om te kunnen bewijzen dat de eisen van het ISMS worden nageleefd en dat het ISMS doeltreffend wordt uitgevoerd.

doeltreffendheid van het ISMS te kunnen vaststellen. b. De organisatie houdt deze registraties bij (zie ook 4.7.2).

met betrekking tot incidentmeldingen.

a. De directie stelt het beleidsdocument vast om kaders mee te geven bij de uitwerking en uitvoering van de informatiebeveiliging. b. De directie communiceert het beleid naar alle medewerkers en alle relevante externe partijen. c. De directie legt de besluitvorming en datering van het beleidsdocument aantoonbaar vast.

Beleidsdocument voor de informatiebeveiliging, privacyreglement, verslagen, besluitvormingsproces.

a. De organisatie evalueert met geplande tussenpozen en na grote informatieincidenten en bij belangrijke wijzingen in de interne en externe omgeving (waaronder de weten regelgeving) de relevante onderdelen van het informatiebeveiligingsbeleid.

Revisies beleidsdocument en/of richtlijnen.

Zie 4.2.1 toewijzen verantwoordelijkheden ISMS en 4.2.2 actieve betrokkenheid directie.

Taak- en functiebeschrijvingen, aanstellingsbrieven, agenda's, verslagen, adviezen.

a. De directie heeft specifieke taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging en privacybescherming belegd bij een information security officer (ISO) en/of een functionaris gegevensbescherming (FG) of een daarmee vergelijkbare functionaris. b. Vertegenwoordigers met relevante functies en rollen (waaronder de ISO en FG) voeren gecoördineerd, via samenwerkingsverbanden en overlegstructuren, de activiteiten met betrekking tot

Samenstelling eventuele stuurgroep of commissie, samenwerkingsverbanden en overlegstructuren, verslagen, overleggen.

Deze registraties moeten worden beschermd en beheerst.

zwaaarw.

5 Beveiligingsbeleid 5.1 Informatiebeveiligingsbeleid 5.1.1 Beleidsdocument voor informatiebeveiliging

zwaaarw.

zwaaarw.

zwaaarw.

5.1.2 Beoordeling van het informatiebeveiligingsbeleid

De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen (ISO 27799; NVZ 2010) Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. (ISO 27799; NVZ 2010)

6 Organisatie van informatiebeveiliging 6.1 Interne organisatie 6.1.1 Betrokkenheid van de directie bij De directie behoort informatiebeveiliging informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010) 6.1.2 Coördinatie van Vertegenwoordigers uit verschillende informatiebeveiliging delen van de organisatie met relevante rollen en functies behoren activiteiten voor informatiebeveiliging te coördineren. (ISO 27799)


6 van 35



Toetsingscriteria


informatiebeveiliging uit. a. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging vastgesteld en toegewezen met als doel de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens en overige informatie in de bedrijfsprocessen binnen en buiten de organisatie te waarborgen. b. De organisatie heeft met betrekking tot bedrijfsprocessen of administraties of registraties waarin persoonsgegevens worden bewerkt, een lijnmanager als proceseigenaar en, in de zin van de Wbp, als houder van de registratie aangewezen en heeft de registratie aangemeld bij het CBP of een interne functionaris gegevensbescherming. 6.1.4 Goedkeuringsproces voor Er behoort een goedkeuringsproces a. De organisatie heeft een goedkeuringsproces vastgesteld voor het middelen voor de voor nieuwe middelen voor de invoeren van nieuwe middelen (apparatuur, software, infrastructuur, informatievoorziening informatievoorziening te worden diensten) voor de informatievoorziening. vastgesteld en geïmplementeerd. b. De organisatie volgt bij het invoeren van nieuwe middelen voor de informatievoorziening het vastgestelde goedkeuringsproces (zie verder 10.1.2, 10.3.1, 10.3.2, 12.1.1, 12.4.3, 12.5.1, 12.5.2 en 12.5.4). 6.1.5 Geheimhoudings-overeenkomst Eisen voor vertrouwelijkheid die een a. De organisatie stelt in lijn met weten regelgeving (Wbp, Wgbo, weerslag vormen van de behoefte van Wbig) geheimhoudingsovereenkomsten vast. de organisatie aan beveiliging van b. De organisatie ziet er op toe dat alle medewerkers en derden de informatie behoren in een relevante geheimhoudingsovereenkomst ondertekenen of dat de geheimhoudingsovereenkomst te geheimhoudingsplicht op een andere manier rechtskracht krijgt. worden vastgesteld. Deze eisen en c. De organisatie controleert periodiek, mede in verband met deze overeenkomst behoren regelmatig wijzigingen in de wetgeving, de geschiktheid van de overeenkomsten. te worden beoordeeld. d. De organisatie controleert periodiek de naleving van de (ISO 27799) overeenkomsten. 6.1.6 Contact met overheidsinstanties Er behoren geschikte contacten met a. De organisatie onderhoudt contact en overlegt met die relevante overheidsinstanties te worden overheidinstanties die wet en regelgeving opstellen, kunnen adviseren onderhouden. of die toezicht houden. 6.1.7 Contact met speciale Er behoren geschikte contacten met a. De organisatie onderhoudt contact met en overlegt met belangengroepen speciale belangengroepen of andere organisaties, instellingen en instanties op het vakgebied specialistische platforms voor informatiebeveiliging, die kunnen informeren, adviseren of beveiliging en professionele ondersteunen. organisaties te worden onderhouden. 6.1.8 Onafhankelijke beoordeling van De benadering van de organisatie voor a. De organisatie laat zich (aan de hand van de toetsingscriteria) op informatiebeveiliging het beheer van informatiebeveiliging en het gebied van informatiebeveiliging periodiek of na significante de implementatie daarvan (d.w.z. wijzigingen in het ISMS of in de uitvoering, toetsen door een beheersdoelstellingen, onafhankelijke derde partij. beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande

zwaaarw.

zwaaarw.

6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging

Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.(NVZ 2010)Organisaties die patiëntgegevens verwerken behoren de verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te wijzen.(ISO 27799)


Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven.

Goedkeuringsproces, procesbeschrijvingen, aanbestedingsprocedures, inkoopprocedures, vrijgaveprocedures, besluitenlijsten. CAO, arbeidsovereenkomsten inkoopovereenkomsten en bijlagen.

Overzichtslijsten, verslagen.

Abonnementen en lidmaatschappen, deelname aan symposia, forumdiscussies. Toetsingsreglement 2010 NVZ, onafhankelijke auditrapportages (b.v. in kader jaarrekening en/of landelijke audit 2010).

7 van 35



Toetsingscriteria


tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.

zwaaarw.

6.2 Externe partijen 6.2.1 Identificatie van risico's die De risico's voor de informatie en betrekking hebben op externe partijen informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.(ISO 27799)

zwaaarw.

6.2.2 Beveiliging in de omgang met klanten

6.2.3 Beveiliging in overeenkomsten met een derde partij

a. De organisatie beschikt over een actuele inventarisatie van uitbestedingen aan en gegevensuitwisseling met externe partijen (derden) met omschrijving van functie en plaats binnen de bedrijfsprocessen. b. De organisatie voert risicoanalyses uit vóórdat externe partijen toegang krijgen tot (patiënt)gegevens, IT-voorzieningen en medische apparatuur. Op basis van deze risicoanalyses zijn relevante beheersmaatregelen getroffen. c. De organisatie stelt zeker dat externe partijen de gegevens niet voor enig ander doel kunnen kopiëren of gebruiken. d. De organisatie stelt bij elke uitbesteding of gegevensuitwisseling vast wie in het kader van Wbp de verantwoordelijke respectievelijk de bewerker is. e. De organisatie bewaakt dat de bewerker hetzelfde niveau van beveiliging garandeert als de verantwoordelijke instelling. f. De organisatie beschikt over een registratie van verleende toegang inclusief logging. g. De organisatie stelt (aansluitend op b.) externe partijen op de hoogte van de geïdentificeerde risico's. h. De externe partij heeft in de eigen organisatie deze risico's geadresseerd. Alle geïdentificeerde beveiligingseisen a. De organisatie voert aantoonbaar risicoanalyses uit voordat externe behoren te worden geadresseerd klanten toegang wordt verleend tot de informatie en/of ITvoordat klanten toegang wordt verleend voorzieningen (zie ook 6.2.1.a) . tot de informatie of bedrijfsmiddelen van b. De organisatie beschikt over een actuele inventarisatie (registratie) de organisatie. van verleende toegang (incl. logging) aan externe klanten met duidelijke omschrijving van de aard van de toegang (zie ook 6.2.1. f). c. De organisatie heeft met klanten contractuele afspraken met betrekking tot informatiebeveiligingsaspecten gemaakt. d. De organisatie wijst klanten aantoonbaar op de risico's van het gebruik van de IT-voorzieningen en de eigen verantwoordelijkheid daarbij. In overeenkomsten met derden waarbij a. De organisatie contracteert diensten in het kader van toegang tot, het verwerken van, informatievoorziening volgens een vaste procedure waarbij eisen en communicatie van of beheer van afspraken met meetbare criteria worden vastgelegd in een informatie of informatievoorziening van onderliggende service level agreement (SLA) (zie ook 10.2.1 t/m 10.2.3). de organisatie, of toevoeging van producten of diensten aan b. De organisatie volgt voor wijzigingen in de overeenkomsten met


Aanbestedingsprocedure, inkoopprocedures, risicoanalyse en beoordelingen, contracten met externe partijen, service level agreements (SLA's).

Overeenkomsten en bijlagen, reglementen, procedures.

Aanbestedingsprocedure, inkoopprocedures, overeenkomsten met externe partijen (SLA's).

8 van 35



Toetsingscriteria


informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen. (ISO 27799)

7 Beheer van bedrijfsmiddelen 7.1 Verantwoordelijkheid voor bedrijfsmiddelen 7.1.1 Inventarisatie van Alle bedrijfsmiddelen behoren duidelijk bedrijfsmiddelen te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.

7.1.2 Verantwoordelijken voor de bedrijfsmiddelen

Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een 'verantwoordelijke' te hebben binnen de organisatie.

7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen

Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening.

betrekking tot dienstverlening, criteria en rapportering een wijzigingsprocedure die waarborgt dat deze niet eenzijdig worden doorgevoerd. c. De organisatie legt afspraken met betrekking tot gepland onderhoud en de gevolgen voor beschikbaarheid van systemen in overeenkomsten schriftelijk vast.

a. De organisatie heeft beleid voor de classificatie met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid van de informatie (zie 7.2.1) en bepaalt afhankelijk daarvan het belang van de informatieverwerkende bedrijfsmiddelen. b. De organisatie heeft beleid voor het identificeren, classificeren en inventariseren van de bedrijfsmiddelen voor de informatieverwerking en -opslag. Hierbij wordt rekening gehouden met onder andere gebruik in het (zorg)proces, drager van gegevens, waarde, mate van vervangbaarheid, beheer, storingsopvolging. c. De organisatie heeft de bedrijfsmiddelen conform het beleid geïnventariseerd en geclassificeerd waarbij voor elk bedrijfsmiddel een verantwoordelijke (eigenaar) is vastgesteld. Dit kan ook een derde partij zijn. d. De organisatie heeft informatieverwerkende apparatuur en software vallend onder de Wet Medische Hulpmiddelen als zodanig gekenmerkt. Voor zover voor deze bedrijfsmiddelen CE certificering is vereist vormen de uitgebrachte certificaten onderdeel van de inventarisatie. e. De organisatie voert de classificatie en inventarisatie periodiek uit. Zie 6.1.3b toewijzing verantwoordelijkheden beveiliging en 7.1.1 inventarisatie bedrijfsmiddelen.

a. De organisatie heeft kaders om de kwaliteit van de informatie te waarborgen (waaronder de administratieve organisatie en interne beheersing AO/IB). b. De organisatie heeft kaders voor de omgang met informatie om de vertrouwelijkheid te waarborgen. c. De organisatie heeft kaders en beleid voor de inzet van eigen en gehuurde informatieverwerkende bedrijfsmiddelen inclusief informatieverwerkende medische techniek. d. De organisatie heeft, conform de kaders onder a, het verwerken,


Inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software).

Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven, inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Kaders voor de AO/IB, privacyreglement, reglementen, (b.v. omgang met onderzoeksgegevens, cameratoezicht), richtlijnen (b.v. omgang met mobiele apparatuur, traceren en terughalen apparatuur), service level agreements,

9 van 35



Toetsingscriteria


controleren, opslaan en vrijgeven van informatie gedocumenteerd en overeenkomsten. geïmplementeerd. e. De organisatie heeft, conform de kaders onder b, regels voor de omgang met vertrouwelijke informatie gedocumenteerd en geïmplementeerd. f. De organisatie heeft, conform de kaders onder c, de vrijgave, het gebruik en het beheer van informatieverwerkende bedrijfsmiddelen gedocumenteerd en geïmplementeerd. g. Taken en verantwoordelijkheden betreffende rollen voor het gebruik en beheer van applicaties zijn (in de applicaties) gedefinieerd en schriftelijk (in overeenkomsten) vastgelegd. zwaaarw.

7.2 Classificatie van informatie 7.2.1 Richtlijnen voor classificatie

zwaaarw.

7.2.2 Labeling en verwerking van informatie

Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie. (ISO 27799). Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.Alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers, bijvoorbeeld via een inlogboodschap, te wijzen op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk “vertrouwelijk” te zijn voorzien.(ISO 27799)

8 Personeel 8.1 Voorafgaand aan het dienstverband 8.1.1 Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en te worden gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.

a. De organisatie heeft op basis van 7.1.1.a de informatie in de bedrijfsprocessen geclassificeerd vastgesteld en ingevoerd.

Classificatieschema's.

Procedures, checklijsten. a. De organisatie hanteert vaste kenmerken (z.g. attributen) om de classificatie en het gebruik van de informatie voor en door bevoegden inzichtelijk te maken. b. De organisatie voorziet de informatie(drager) van de relevante kenmerken (attributen / fysieke kenmerken). c. De organisatie volgt procedures om bevoegde personen en medewerkers aan de hand van deze kenmerken inzage te geven tot de relevante informatie en de gegevens conform de toegekende bevoegdheden (create, read, update, delete execute) te verwerken (zie verder 1.1.1 t/m 12.6.1).

a. De organisatie heeft (aansluitend op 6.1.3. ) M75voor alle functies Taak- en functiebeschrijvingen, en rollen van de medewerkers, die betrokken zijn bij de verwerking, de richtlijnen en protocollen, instandhouding van de kwaliteit en de vertrouwelijke omgang met incidentenregistratie. informatie, specifieke taken met bijbehorende verantwoordelijkheden en bevoegdheden gedefinieerd.


10 van 35



Toetsingscriteria


zwaaarw.

8.1.2 Screening

zwaaarw.

8.1.3 Arbeidsvoorwaarden

8.2 Tijdens het dienstverband 8.2.1 Directieverantwoordelijkheid

Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's. (ISO 27799) Als onderdeel van hun contractuele verplichtingen behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en hun arbeidscontract te ondertekenen. In dit contract behoren hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging te zijn vastgelegd (NVZ 2010) Een organisatie die patiëntgegevens verwerkt behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het informatiebeveiligingsbeleid van de organisatie. (ISO 27799).

zwaaarw .

De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie. 8.2.2 Bewustzijn, opleiding en training Alle werknemers van de organisatie en, ten aanzien van informatiebeveiliging voorzover van toepassing, ingehuurd personeel en externe gebruikers,

a. De organisatie heeft beleid voor het screenen van nieuwe Procedures, checklijsten, medewerkers waarbij ondermeer rekening wordt gehouden met de verklaring omtrent gedrag vertrouwenspositie van de medewerker. (registratie). b. De organisatie verifieert afhankelijk van het beleid tenminste de identiteit, de vorige aanstelling en van zorgverleners de BIGregistratie. c. De organisatie vraagt afhankelijk van het beleid naar een verklaring omtrent gedrag. d. De organisatie hanteert afhankelijk van het beleid een uitvraagprocedure voor het navragen bij referenten. CAO, arbeidsovereenkomsten, a. De organisatie hanteert procedures voor de indiensttreding van geheimhoudingsverklaringen, vaste en tijdelijke medewerkers (al dan niet in loondienst). indiensttredingformulieren. b. Medewerkers (al dan niet in loondienst) tekenen een geheimhoudingsverklaring tenzij hierin op andere wijze is voorzien. c. De organisatie informeert nieuwe medewerkers bij indiensttreding over het veilig omgaan met informatie en het beschermen van privacy en over mogelijke sancties (disciplinair proces). d. De organisatie maakt voor ingehuurd personeel en voor bepaalde functiegroepen (b.v. onderzoekers) met de medewerker aanvullende afspraken met betrekking tot de intellectuele eigendom.

a. De directie legt het (informatie-) veiligheidsbeleid op aan eigen en ingehuurde medewerkers en aan externe gebruikers. b. De directie laat toezien op de naleving van het (informatie-) veiligheidsbeleid door eigen en ingehuurd personeel (zie ook 15.2.1).

Portefeuilleverdeling directie, awarenesscampagne.

a. De organisatie heeft de uitvoering van de werkprocessen en de informatieverwerking geborgd in richtlijnen, procedures, protocollen, standard operating procedures (SOP’s) en ondersteunende techniek.

Beleidsdocument, scholings- en trainingsprogramma.


11 van 35



Toetsingscriteria


8.2.3 Disciplinaire maatregelen

behoren geschikte training(en) en regelmatige bijscholing te krijgen met betrekking tot naleving van beleid en procedures van de organisatie, voorzover relevant voor hun functie. (NVZ 2010) Een organisatie die patiëntgegevens verwerkt behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien. (ISO 27799) Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.

b. Richtlijnen, procedures, protocollen en instructies zijn voor bevoegde en bekwame medewerkers beschikbaar en worden periodiek geactualiseerd. c. De organisatie heeft voor gebruikers werkinstructies voor apparatuur en systemen opgesteld om een juist gebruik te bevorderen en om fouten te voorkomen (voor beheerders zie 10.1.1). d. De leiding ziet er op toe dat medewerkers in het gebruik worden getraind (bekwaam zijn). e. De organisatie besteedt in het werkoverleg of anderszins periodiek aandacht aan informatieveiligheid, informatiebeveiliging en privacybescherming op de werkplek (uitwerking van 4.4.3)

a. De organisatie heeft een sanctiebeleid met betrekking tot Sanctiebeleid, medewerkers die al dan niet bewust inbreuken veroorzaken op de personeelshandboek, informatiebeveiliging, privacybescherming en intellectuele eigendom arbeidsovereenkomsten. en know how. b. De organisatie hanteert bij inbreuken een disciplinair proces en doet zo nodig aangifte.

8.3 Beëindiging of wijziging van dienstverband 8.3.1 Beëindiging van De verantwoordelijkheden bij verantwoordelijkheden beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen.

8.3.2 Retournering van bedrijfsmiddelen

zwaaarw.

8.3.3 Intrekken van toegangsrechten

a. De organisatie heeft voor eigen en ingehuurde medewerkers en Procedures, overeenkomsten, extern personeel procedures voor de wijziging van functie, rol, fysieke steekproeven. locatie en plaats in de organisatie. b. De organisatie heeft procedures voor uitdiensttreding van eigen medewerkers en het beëindigen van contracten van ingehuurde medewerkers. Alle medewerkers, ingehuurd personeel a. Eigen medewerkers leveren bij uitdiensttreding en ingehuurde Checklijsten, inventarislijsten. en externe gebruikers behoren alle medewerkers leveren bij beëindigen van de overeenkomst alle aan bedrijfsmiddelen van de organisatie die hen uitgereikte bedrijfsmiddelen in. ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst. a. De organisatie heeft een procedure met betrekking tot fysieke en De toegangsrechten van alle Procedures, checklijsten, logische toegangsrechten (waaronder die voor netwerkdiensten, zie personeelsbestanden, werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT- 11.4.1). technische maatregelen. voorzieningen behoren te worden b. De organisatie wijzigt de fysieke en logische toegangsrechten van ingetrokken bij beëindiging van het medewerkers direct bij elke wisseling van functie en/of werkplek van de medewerker. dienstverband, het contract of de overeenkomst, of behoren na wijziging c. De organisatie beëindigt de fysieke en logische toegangsrechten van medewerkers direct of zo snel mogelijk bij einde dienstverband of te worden aangepast. (ISO 27799) einde opdracht. d. De organisatie kan in uitzonderlijke gevallen en specifieke situaties


12 van 35



Toetsingscriteria


zwaaarw.

hiervan afwijken. 9 Fysieke beveiliging en beveiliging van de omgeving 9.1 Beveiligde ruimten 9.1.1 Fysieke beveiliging van de Er behoren toegangsbeveiligingen omgeving (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) te worden aangebracht om ruimten waar zich informatie en IT-voorzieningen bevinden te beschermen. Dit geldt in het bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar informatiesystemen met patiëntgegevens zijn opgesteld. (ISO 27799; NVZ 2010)

zwaaarw.

9.1.2 Fysieke toegangsbeveiliging

Zoneringsbeleid, bestekken, bouwtekeningen.

Aansluitend op 9.1.1. en 9.1.2. a. Medewerkers sluiten afsluitbare werkruimtes waar mogelijk tussentijds en zeker na werktijd af. Hierop vindt toezicht plaats. b. De organisatie bewaart informatiedragers (waaronder documenten) afhankelijk van type en classificatie op veilige plaatsen en treft aanvullende maatregelen tijdens transport. c. De organisatie archiveert originelen van informatiedragers op veilige plaatsen en draagt waar nodig zorg voor beheerde kopieën. d. De organisatie beschikt over noodprocedures voor toegang tot afgesloten ruimtes. e. Medewerkers kennen de noodprocedures in geval van calamiteiten. f. Lijnmanagement laat periodiek deze noodprocedures oefenen. a. De organisatie heeft de omgevingsrisico's in kaart gebracht. b. De organisatie past bij ontwerp van nieuwe en het ingrijpend verbouwen van bestaande gebouwen risicoanalyse toe. c. De organisatie bouwt en verbouwt conform de vigerende weten regelgeving op dit gebied en is daarbij onderhevig aan toezicht.

Bestekken, bouwtekeningen, sleutelplannen.

9.1.4 Bescherming tegen bedreigingen Er behoort fysieke bescherming tegen van buitenaf schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast. (NVZ 2010) 9.1.5 Werken in beveiligde ruimten Er behoren een fysieke bescherming en a. De organisatie beschikt over beleid en maatregelen om de fysieke richtlijnen voor werken in beveiligde toegang tot apparatuur, hulpmiddelen en informatiedragers daar waar

zwaa arw.

zwaaarw.

zwaaarw.

9.1.3 Beveiliging van kantoren, ruimten en faciliteiten

Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. (NVZ 2010) Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast. (NVZ 2010)

a. De organisatie heeft een zoneringsbeleid voor de omgeving, gebouwen en ruimtes. b. De organisatie beschikt over beveiliging voor terreinen, gebouwen en ruimtes waarbij rekening is gehouden met verschillende niveaus van fysieke beveiliging en toegangsverlening. c. De organisatie heeft de eisen ten aanzien van veilige omgeving beschreven (met betrekking tot inbraak, brand, water, interferentie) waarbij de eisen mede zijn gerelateerd aan de opgestelde al dan niet medische apparatuur en van de informatie die verwerkt en opgeslagen wordt. d. De organisatie heeft voor ruimtes met informatie(opslag) en (informatieverwerkende) apparatuur aanvullende maatregelen getroffen. a. De organisatie verleent personen (patiënten, medewerkers, externen en bezoekers) fysiek toegang waarbij de toegang gekoppeld is aan de zonering, de werkplek, de functie en/of rol en/of status en desgewenst aan specifieke toegangsbevoegdheden.


Bouwtekeningen, sleutelplannen, observaties.

Bouwvoorschriften, bestekken, vergunningen, controlerapporten toezichthoudende instanties.

Bouwvoorschriften, bestekken, richtlijnen en procedures.

13 van 35



Toetsingscriteria


9.1.6 Openbare toegang en gebieden voor laden en lossen

9.2 Beveiliging van apparatuur 9.2.1 Plaatsing en bescherming van apparatuur

9.2.2 Nutsvoorzieningen

9.2.3 Beveiliging van kabels

zwaaarw.

9.2.4 Onderhoud van apparatuur

zwaaarw.

9.2.5 Beveiliging van apparatuur buiten het terrein

ruimten te worden ontworpen en toegepast. (NVZ010) Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen. Apparatuur behoort zo te worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau. Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en onderbrekingen van andere nutsvoorzieningen te beperken. Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd.

nodig te beperken tot de toegang voor bevoegde personen en/of medewerkers. a. De organisatie heeft (aansluitend op 9.1.2.a) maatregelen getroffen Observatie ter plaatse. om onbevoegde toegang tot informatie en informatiesystemen vanuit publiek toegankelijke ruimtes te voorkomen.

a. De organisatie heeft, rekening houdend met informatieclassificatie Richtlijnen, observaties. (zie 7.2.1), richtlijnen voor het fysiek beveiligen van apparatuur (waaronder ook mobiele) om verstoring van (zorg)processen, verlies of onbevoegd gebruik of misbruik van gegevens te voorkomen.

a. De organisatie heeft voorzieningen om de continuïteit van de nutsvoorzieningen ten behoeve van de (zorg)processen en ondersteunende informatie- en communicatiesystemen zeker te stellen. a. De organisatie heeft voorzieningen om signalen via datacommunicatiekabels te beschermen tegen interferentie, interceptie om de vertrouwelijkheid en integriteit van de informatie te waarborgen. b. De organisatie heeft voorzieningen om voedings- en datacommunicatiekabels te beschermen tegen beschadiging (of diefstal) om verstoring te voorkomen. Apparatuur behoort op correcte wijze te a. De organisatie beschikt over richtlijnen voor de planning en worden onderhouden, om te uitvoering van preventief en correctief onderhoud en het testen van al waarborgen dat de apparatuur in goede dan niet medische apparatuur, netwerken en informatiediensten. staat verkeert en de geleverde b. Voor het onderhoudsproces is een verantwoordelijke aangesteld. informatiediensten beschikbaar blijven. (NVZ 2010) Apparatuur buiten de terreinen behoort a. De organisatie heeft maatregelen getroffen om onbevoegd gebruik, te worden beveiligd waarbij rekening beschadiging of verlies van apparatuur buiten de (terreinen van de) wordt gehouden met de diverse risico's organisatie te voorkomen. van werken buiten het terrein van de b. De organisatie heeft maatregelen getroffen voor organisatie. gegevensverwerkende apparatuur om onbevoegde toegang en wijziging of vernietiging van gegevens te voorkomen. Een organisatie die patiëntgegevens verwerkt behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die


Continuïteitsplannen, stroomtests, verslagen.

Externe normen en voorschriften, interne richtlijnen, bestekken, observatie per plaatse.

Onderhoudsplanning, onderhoudsprotocollen, logboeken.

Risicoanalyses, functionele en technische specificaties, observaties.

14 van 35



Toetsingscriteria


zwaaarw.

9.2.6 Veilig verwijderen of hergebruiken van apparatuur

9.2.7 Verwijdering van bedrijfseigendommen

gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al of niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort. (ISO 27799) Wanneer apparatuur die opslagmedia bevat wordt verwijderd, behoort de organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur worden vernietigd of op veilige wijze worden overschreven.(ISO 27799) Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen.

a. De organisatie heeft maatregelen getroffen om programmatuur en/of Procedures, checklijsten, gegevens op af te voeren apparatuur of op gegevensdragers en/of de technische maatregelen. gegevensdragers zelf, op betrouwbare wijze buiten gebruik te stellen of te (laten) vernietigen (zie ook 10.7.2).

a. Medewerkers nemen alleen met voorafgaande toestemming Gedragscode, procedures. bedrijfsmiddelen (waaronder software) of gegevens mee om te voorkomen dat (zorg) processen kunnen worden verstoord of vertrouwelijkheid wordt geschonden door het ontbreken van informatie of bedrijfsmiddelen.

10 Beheer van communicatie- en bedieningsprocessen 10.1 Bedieningsprocedures en verantwoordelijkheden 10.1.1 Gedocumenteerde Bedieningsprocedures behoren te bedieningsprocedures worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben.

zwaaarw.

10.1.2 Wijzigingsbeheer

a. De organisatie heeft voor functioneel en technisch beheerders bedieningsprocedures voor apparatuur en systemen vastgesteld om juist functioneren te bevorderen en verstoringen of fouten te voorkomen. b. Relevante bedieningsprocedures zijn voor bevoegde medewerkers (gebruikers) beschikbaar en toegankelijk en worden periodiek geactualiseerd. c. De organisatie heeft voor gebruikers bedieningsprocedures voor apparatuur en systemen vastgesteld om juist gebruik te bevorderen en fouten te voorkomen. d. De bedieningsprocedures zijn voor bevoegde medewerkers (gebruikers) beschikbaar en toegankelijk en worden periodiek geactualiseerd. Wijzigingen in de informatievoorziening a. De organisatie voert wijzigingen aan informatiesystemen en ICTen informatiesystemen behoren te infrastructuur volgens een wijzigingsbeheerprocedure uit. Vaste worden beheerst met een formeel en elementen in deze procedure zijn: gestructureerd proces dat niet - procesbeschrijving op hoofdlijnen, onbedoeld afbreuk doet aan de - beschrijving van de taken, verantwoordelijkheden en bevoegdheden informatievoorziening en de continuïteit voor wijzigingsbeheer, van de zorg. - beschrijving van de activiteiten voor wijzigingsbeheer, (ISO 27799; NVZ 2010) - vastlegging en goedkeuring van wijzigingsverzoeken, - planning en ontwerp, bouwen en testen en goedkeuren van wijzigingen,


Bedieningsprocedures (voor beheerders en gebruikers).

Richtlijnen, procedures, verslaglegging .

15 van 35



Toetsingscriteria


zwaaarw.


- communicatie en implementatie van wijzigingen (met eigenaar, beheerder en gebruikers), - evaluatie en sluiten van wijzigingen en bijwerken van (technische) documentatie, - monitoring van en rapportage over wijzigingsbeheer. b. De organisatie voert waar nodig / mogelijk bij deze stappen securitychecks uit. c. Deze procedures worden toegepast op respectievelijk: operating systemen, pakketten, eigen systemen en instellingen van werkstations. d. Deze procedures zijn voor de onder c. genoemde gebieden geïmplementeerd en worden gevolgd. 10.1.3 Functiescheiding Taken en a. De organisatie heeft met betrekking tot de bedieningsprocessen verantwoordelijkheidsgebieden behoren specifieke taken en verantwoordelijkheidsgebieden gescheiden om te worden gescheiden om gelegenheid onbevoegde of onbedoelde wijzigingen of misbruik van voor onbevoegde of onbedoelde bedrijfsmiddelen en gegevens te voorkomen. wijziging of misbruik van de b. De organisatie heeft specifieke taken en bedrijfsmiddelen van de organisatie te verantwoordelijkheidsgebieden gescheiden om onbevoegde verminderen. specificatie en aanschaf van bedrijfsmiddelen en informatie te voorkomen. 10.1.4 Scheiding van faciliteiten voor De organisatie behoort omgevingen a. De organisatie heeft de ontwikkeling, het testen en accepteren van ontwikkeling, testen en productie aanpassingen van (onderdelen van) informatiesystemen gescheiden voor ontwikkeling, testen en voor instructiedoeleinden, gescheiden te van de productieomgeving om onbevoegde toegang en/of onbedoelde wijzigingen in het productiesysteem te voorkomen. houden van de productieomgeving (fysiek of virtueel) om het risico van b. De organisatie beschikt over criteria waaraan voldaan moet zijn, onbevoegde toegang tot of wijzigingen voordat wijzigingen worden doorgevoerd vanuit de ontwikkelomgeving, in het productiesysteem te via de testomgeving, via de acceptatieomgeving naar de verminderen.(ISO 27799) productieomgeving. 10.2 Beheer van de dienstverlening door een derde partij 10.2.1 Dienstverlening Er behoort te worden bewerkstelligd dat a. De organisatie heeft (aansluitend op 6.2.3) het belang en het niveau de beveiligingsmaatregelen, definities van beveiliging alsmede de uitvoering daarvan met de externe partij van dienstverlening en niveaus van besproken en vastgelegd in de schriftelijke overeenkomst inclusief dienstverlening zoals vastgelegd in de bijlagen. overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en actueel worden gehouden door die derde partij. 10.2.2 Controle en beoordeling van De diensten, rapporten en registraties a. De organisatie controleert en beoordeelt de dienstverlening door dienstverlening door een derde partij die door de derde partij worden externe partijen periodiek en daar waar nodig tussentijds. geleverd, behoren regelmatig te worden gecontroleerd en te worden beoordeeld. 10.2.3 Beheer van wijzigingen in Wijzigingen in de dienstverlening door a. De organisatie heeft (aansluitend op 6.2.3) in de overeenkomst met dienstverlening door een derde partij derden, waaronder het bijhouden en externe partijen afspraken gemaakt over het wijzigen van de


Taak- en functiebeschrijvingen, procedures.

ICT-architectuur, protocollen, bevoegdheden, technische maatregelen.

Overeenkomsten en bijlagen, service level agreements.

Rapportages, verslagen.

Wijzigingsprocedures, uitkomsten risicoanalyses,

16 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

zwaaarw.

10.3 Systeemplanning en -acceptatie 10.3.1 Capaciteitsbeheer

verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en processen en met heroverweging van risico's.

dienstverlening en de verdere afspraken en over de wijze waarop deze addenda bij overeenkomsten, wijzigingen worden aangekondigd en geaccordeerd, rekening houdend overzicht geaccordeerde met de mogelijke gevolgen voor de beveiliging en de beschikbaarheid wijzigingen. van systemen. b. De organisatie maakt voorafgaand aan zo'n wijziging een (beperkte) risicoanalyse en -beoordeling vanuit oogpunt van continuïteit en neemt waar nodig aanvullende maatregelen.

Het gebruik van middelen behoort te worden gecontroleerd en te worden afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen met het oog op de vereiste systeemprestaties.

Capaciteitsplanningen, meeten monitoringtechnieken, rapportages.

a. De organisatie bewaakt het actueel gebruik en technisch functioneren van informatiesystemen en rapporteert met betrekking tot gebruik en prestaties. b. De organisatie stelt, rekening houdend met toekomstige ontwikkelingen, verwachtingen en planningen op met betrekking tot toekomstig gebruik en toekomstige prestaties. c. De organisatie treft tijdig maatregelen om de vereiste systeemprestaties te realiseren. 10.3.2 Systeemacceptatie De organisatie behoort acceptatiecriteria a. De organisatie hanteert in de wijzigingsprocedure acceptatiecriteria vast te stellen voor nieuwe voor nieuwe informatiesystemen, upgrades en nieuwe versies (zie informatiesystemen, upgrades en 10.1.2). nieuwe versies en behoort geschikte testen uit te voeren voorafgaand aan de acceptatie.(ISO 27799) 10.4 Bescherming tegen kwaadaardige programmatuur en ‘mobile code’ 10.4.1 Maatregelen tegen Er behoren maatregelen te worden a. De organisatie heeft beschermingsmaatregelen getroffen om kwaadaardige programmatuur getroffen voor detectie, preventie en kwaadaardige software (waaronder virus, spyware en andere herstel om te beschermen tegen malware) te detecteren en de gevolgen hiervan te mitigeren. virussen en andere kwaadaardige b. De organisatie heeft beschermingsmaatregelen getroffen tegen programmatuur en er behoren geschikte andere inbreuken die de informatieveiligheid kunnen aantasten zoals: maatregelen te worden getroffen om het hacken, phishing, social engineering enz. risicobewustzijn van de gebruikers te c. De organisatie houdt de beschermingsmaatregelen up to date vergroten. conform de nieuwste definities en inzichten en logt detectie en (ISO 27799; NVZ 2010) verwijdering van kwaadaardige software. d. De organisatie controleert periodiek de werking van de beschermingsmaatregelen en herstelt waar nodig de negatieve gevolgen van kwaadaardige software en andere inbreuken. e. De organisatie informeert de gebruikers over schadelijke software en mogelijke risico's (aansluitend op 8.2.2.). 10.4.2 Maatregelen tegen ‘mobile Als gebruik van ‘mobile code’ is a. De organisatie voert beleid ten aanzien van softwaredistributie, het code’ toegelaten, behoort de configuratie te toestaan en gebruiken van 'mobile code' en zo ja welke categorieën bewerkstelligen dat de geautoriseerde 'mobile code'. ‘mobile code’ functioneert volgens een b. De organisatie heeft maatregelen getroffen om ongewenste duidelijk vastgesteld beveiligingsbeleid, distributie en gebruik te voorkomen (zie 10.4.1).


Functionele en technische specificaties, acceptatiecriteria, vrijgave-adviezen.

Gedragsregels,specifieke software, rapportages, procedure incidentmelding en opvolging.

Beleidsdocument, technische maatregelen.

17 van 35



Toetsingscriteria


en behoort te worden voorkomen dat onbevoegde ‘mobile code’ wordt uitgevoerd. (NVZ 2010)

zwaaarw.

10.5 Back-up en herstel 10.5.1 Reservekopieën (back-ups)

10.6 Beheer van netwerkbeveiliging 10.6.1 Maatregelen voor netwerken

10.6.2 Beveiliging van netwerkdiensten

Er behoren stelselmatig back-upkopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde backupbeleid.(NVZ 2010)Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens backupkopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen.(ISO 27799)

a. De organisatie heeft beleid met betrekking tot het veilig stellen van Beleidsdocument, procedures, gegevens en programmatuur in het geval van incidenten en systeeminstellingen, logging, calamiteiten. Het beleid houdt rekening met de maximale uitvalsduur overeenkomsten. (MUD) en het maximaal toegestaan gegevensverlies (MGV) (zie 14.1.1 t/m 5). b. De organisatie heeft maatregelen getroffen om gegevens en programmatuur conform dit beleid veilig te stellen (zie 14.1.1 t/m 5). c. De organisatie test het terugzetten van gegevens en programmatuur aan de eisen die hiervoor zijn vastgelegd in het beleid (zie 14.1.1 t/m 5). d. In geval van verzoek tot verwijdering van persoonsgegevens moeten deze uit de backup of tijdens de backup-restore cyclus worden verwijderd (een restore mag er niet toe leiden dat (persoons-) gegevens die in de productieomgeving zijn verwijderd weer worden teruggezet). e. De organisatie legt in geval van gegevensverwerking door derden a t/m d. contractueel vast.

Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd. Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten.

a. De organisatie beschikt over een intern en extern netwerkontwerp Netwerkontwerp, dat gebaseerd is op risicoanalyse. overeenkomsten (SLA's) en b. De organisatie beheert een beveiligd netwerk rekening houdend met bijlagen. beveiligingseisen die zijn gesteld rond de gegevensverwerking en dienstverlening. c. De organisatie verifieert of iedere betrokken derde partij het eigen aandeel in de beveiliging kan leveren.

zw aa

10.7 Behandeling van media 10.7.1 Beheer van verwijderbare media Er behoren procedures te zijn vastgesteld voor het beheer van verwijderbare media. 10.7.2 Verwijdering van media Alle gegevens op verwijderbare media

a. De organisatie adresseert (aansluitend op 6.2.3 en 10.6.1) in Netwerkontwerp, overeenkomsten met betrekking tot de levering van netwerkdiensten overeenkomsten (SLA's) en ondermeer de beveiligingskenmerken, niveaus van dienstverlening en bijlagen. beheerseisen.

a. De organisatie heeft richtlijnen en procedures voor het beheer van Richtlijnen, procedures. al dan niet verwijderbare gegevensdragers (media), waaronder ook randapparatuur en mobiele datadragers (zie ook 8.3.2 en 10.8.5). a. De organisatie heeft procedures voor het innemen en afvoeren van Procedures, overeenkomsten,


18 van 35



Toetsingscriteria


10.7.3 Procedures voor de behandeling van informatie

zwaaarw.

Media die patiëntgegevens bevatten behoren fysiek te worden beveiligd. Op de staat en locatie van media met patiëntgegevens behoort controle te worden uitgeoefend. (ISO 27799)

10.7.4 Beveiliging van systeemdocumentatie

10.8 Uitwisseling van informatie 10.8.1 Beleid en procedures voor informatie-uitwisseling zwaaarw.

behoren op veilige wijze te worden overschreven of de media behoren te worden vernietigd wanneer deze niet meer nodig zijn, overeenkomstig formele procedures. (ISO 27799) Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik.

Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang.

verwijderbare en mobiele gegevensdragers. rapportages, certificaten, b. De organisatie verwijdert d.m.v. gangbare technieken alle gegevens observatieverslagen. en programmatuur op deze gegevensdragers (zie ook 9.2.6). c. In geval van uitvoering van a. en/of b. door derden stelt de organisatie vast of deze dit naar behoren uitvoeren. a. De organisatie heeft in (hogerliggend) beleid de doelen van de te onderscheiden gegevensverwerkingen vastgelegd (zie ook 4.3). b. De organisatie heeft - per verwerking - beleid voor de behandeling en opslag van gegevens en gegevensdragers rekening houdend met classificatie (7.2.1., 7.2.2 en AV23), toegang en bevoegdheden (11.1.1 t/m 11.4.7). c. De organisatie heeft overzicht wie verantwoordelijk is voor de verwerking en wie de gegevens en/of gegevensdragers beheert (7.1.1 en 7.1.2). d. De organisatie heeft procedures om in geval van verwerking van persoonsgegevens betrokkenen recht op inzage, wijziging en vernietiging te geven (binnen wettelijke kaders). e. De organisatie beperkt waar mogelijk de toegang met technische en organisatorische hulpmiddelen (fysiek en/of logisch). f. De organisatie ziet toe op juiste naleving van de maatregelen en de staat en de locatie van de gegevensdragers. a. De organisatie stelt systeemdocumentatie, zoals beheerhandleidingen, servicedocumentatie en parameterinstellingen, enz. aan bevoegde medewerkers beschikbaar en schermt deze af voor onbevoegden.

a. De organisatie heeft beleid voor het beschikbaar stellen en/of het uitwisselen van gegevens binnen de organisatie en met derden. b. Het beleid geeft aan welke soorten gegevens in aanmerking komen voor uitwisseling, met welke partijen (zorginstellingen, leveranciers en andere externen) en voor welk doel gegevens worden uitgewisseld en welke voorwaarden gelden bij welke soorten gegevens. c. De organisatie heeft overzicht welk (medisch of niet medisch) apparaat of installatie welke informatie ontsluit en op welke wijze deze informatie wordt uitgewisseld (ondermeer via koppelingen, verbindingen, protocollen, portals, in the cloud). 10.8.2 Uitwisselings-overeenkomsten Er behoren overeenkomsten te worden a. De organisatie heeft de verantwoordelijkheden en bevoegdheden vastgesteld voor de uitwisseling van voor het beschikbaar stellen en veilig uitwisselen van gegevens (en informatie en programmatuur tussen de programmatuur) vanuit de verschillende registraties / verwerkingen organisatie en externe partijen. met derden belegd. b. De organisatie legt de afspraken vast in een overeenkomst met de derde partij waarin de verantwoordelijkheden, rechten en plichten van Er behoren formeel beleid, formele procedures en formele beheersmaatregelen te zijn vastgesteld om de uitwisseling van informatie via het gebruik van alle typen communicatiefaciliteiten te beschermen.(NVZ 2010)


Beleidsdocument, privacyreglement, classificatiesystematiek, procedures, e-mail en internetprotocollen, overzichtlijst registraties (verwerkingen), overzichtslijst functioneel beheerders.

Technische maatregelen voor systeemtoegang, autorisatiematrices.

Beleidsdocument, classificatiesystematiek, procedures, overeenkomsten.

Overzichtslijsten (leveranciers, bewerkers, derden partijen), overeenkomsten, technische beveiligingsmaatregelen, procedures.

19 van 35



Toetsingscriteria


zwaaarw.

10.8.3 Fysiek transport van media

10.8.4 Elektronische berichtenuitwisseling

10.8.5 Systemen voor bedrijfsinformatie

10.9 Diensten voor e-commerce 10.9.1 E-commerce

zwaaarw.

10.9.2 Onlinetransacties

beide partijen eenduidig beschreven zijn en waarin is opgenomen hoe gegevensuitwisseling veilig tot stand komt en hoe inzage en bewerking van de gegevens door bevoegden is geregeld. c. Beide partijen controleren de integriteit van de uit te wisselen gegevens en hebben procedures om niet integere gegevens te herstellen. Media die informatie bevatten, behoren a. De organisatie heeft richtlijnen voor de omgang met te worden beschermd tegen gegevensdragers (media) tijdens transport binnen en buiten de onbevoegde toegang, misbruik of organisatie. corrumperen tijdens transport buiten de b. De organisatie voorziet waar nodig en mogelijk in technische fysieke begrenzing van de organisatie. hulpmiddelen om de toegang tot informatie op de gegevensdragers (media) te voorkomen. c. De organisatie communiceert de richtlijnen en maatregelen naar de interne en externe medewerkers en ziet toe op naleving (ze ook 15.2.1). Informatie die een rol speelt bij a. De organisatie beveiligt uitwisseling van elektronische berichten om elektronische berichtuitwisseling behoort kwaliteit en vertrouwelijkheid te beschermen (zie 10.8.1 en 10.8.2). op geschikte wijze te worden beschermd. (NVZ 2010) Beleid en procedures behoren te a. De organisatie heeft (aansluitend op 10.8.1 en 10.8.2) kaders en worden ontwikkeld en te worden richtlijnen voor koppelingen tussen systemen onderling en voor de geïmplementeerd om informatie te externe gegevensuitwisseling. beschermen die een rol speelt bij de b. De organisatie heeft de rechten met betrekking tot onderlinge koppeling van systemen voor maatwerkkoppelingen in eigendom verkregen of anderszins zeker bedrijfsinformatie. gesteld. Informatie die een rol speelt bij ecommerce en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie. Informatie die een rol speelt bij onlinetransacties behoort te worden beschermd om herhaling van transacties, onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen.

Richtlijnen, procedures, technische hulpmiddelen.

Richtlijnen, classificatiesystematiek, technische beschermingsmaatregelen. Beleidsdocument, kaders, richtlijnen, escrowovereenkomsten, aansluitvoorwaarden.

a. De organisatie voorziet in maatregelen om met betrekking tot Toegangsbeveiliging van (zorg)diensten onbevoegde wijziging of openbaarmaking van portals, penetratietesten, prijsopgaven, opdrachten, overeenkomsten en facturen te voorkomen. rapportages.

a. De organisatie voorziet in administratieve en technische controles Procedures, technische om bij online transacties de identiteit van de betrokken partijen en de maatregelen, logging, auditjuistheid en volledigheid van de overgedragen gegevens of berichten trails, observaties. te verifiëren. b. De organisatie voorziet in workflow en administratieve controles om de juiste routing zeker te stellen. c. De organisatie voorziet in beschermende maatregelen om onbevoegde wijziging, openbaarmaking, duplicatie of weergave van gegevens of berichten te voorkomen.


20 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

10.9.3 Openbaar beschikbare informatie

(NVZ 2010) De betrouwbaarheid van de informatie die beschikbaar wordt gesteld op een openbaar toegankelijk systeem behoort te worden beschermd om onbevoegde modificatie te voorkomen.

a. De organisatie heeft procedures om publieke informatie (zie 7.2.1 en 7.2.2) vrij te geven en de actualiteit en betrouwbaarheid van de informatie te waarborgen. b. De organisatie voorziet publieke informatie van identificerende gegevens. c. De organisatie heeft beschermende maatregelen getroffen om onbevoegde modificatie te voorkomen. Openbaar beschikbare zorginformatie (te onderscheiden van patiëntgegevens) d. De organisatie is in staat eerdere versies van die informatie te raadplegen. behoort systematisch te worden gearchiveerd. (ISO 27799) Van openbaar beschikbare zorginformatie behoort de bron of auteur te zijn vermeld. (ISO 27799)

10.10 Controle 10.10.1 Aanmaken audit-logbestanden Er behoren audit-logbestanden te worden aangemaakt waarin activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden vastgelegd. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. 10.10.2 Controle van systeemgebruik Er behoren procedures te worden vastgesteld om het gebruik van ITvoorzieningen te controleren. Het resultaat van de controleactiviteiten behoort regelmatig te worden beoordeeld. 10.10.3 Bescherming van informatie in Logfaciliteiten en informatie in logbestanden logbestanden behoren te worden beschermd tegen inbreuk en onbevoegde toegang.

10.10.4 Logbestanden van

internetsite, intranet, folders, jaarverslagen.

a. De organisatie legt voor systemen waar de gegevensverwerking dat Richtlijnen met betrekking tot vereist en tenminste voor systemen die persoonsgegevens verwerken, logging, bewaartermijnen, audit-logbestanden aan. observaties. b. De organisatie legt gegevens vast met betrekking tot reguliere en afwijkende gebruikers- en beheerders activiteiten en afwijkende systeemgebeurtenissen. c. De organisatie bewaart de audit-logbestanden conform een door de organisatie vastgestelde bewaartermijn. a. De organisatie heeft richtlijnen, criteria en procedures voor het beoordelen van het systeemgebruik. b. De organisatie volgt deze procedures, controleert de uitvoering daarvan periodiek en neemt zo nodig actie. c. De organisatie bewaart de controleverslagen conform een door de organisatie vastgestelde bewaartermijn. a. De organisatie heeft maatregelen getroffen om de toegang tot de logging te beperken tot bevoegde personen en wijziging of onbedoelde overschrijving van logging te voorkomen. b. De organisatie logt de toegang tot de logging (zie ook NEN7513)

De logging van informatiesystemen voor het verwerken van patiëntgegevens behoort te zijn beveiligd en niet te manipuleren. (ISO 27799) Activiteiten van systeemadministrators Zie 10.10.1 aanmaken audit logbestanden.


Richtlijnen, criteria, procedures, controleverslagen.

Procedures, technische maatregelen, logbestanden.

Richtlijnen met betrekking tot

21 van 35



Toetsingscriteria


administrators en operators 10.10.5 Registratie van storingen

zwaaarw.

zwaaarw.

10.10.6 Synchronisatie van systeemklokken

en systeemoperators behoren in logbestanden te worden vastgelegd. Storingen behoren in logbestanden te worden vastgelegd en te worden geanalyseerd en er behoren geschikte maatregelen te worden genomen.

logging, bewaartermijnen, observaties. a. De organisatie registreert (ver)storingen bij de informatieverwerking, ICT-architectuur, OTAPstoringen in informatieverwerkende apparatuur en infrastructuur en omgevingen, richtlijnen, storingen ten gevolge van andere beveiligingsinbreuken. procedures, b. De organisatie analyseert deze gebeurtenissen. autorisatiematrices, technische maatregelen, verslaglegging. c. De organisatie treft passende maatregelen (aansluitend op 13.1.1 en 13.1.2) om de (ver)storingen op te heffen. Restoreprocedures, De klokken van alle relevante a. De organisatie gebruikt een betrouwbare bron voor tijd en datum observaties. voor het accuraat vastleggen van logging-gebeurtenissen. informatiesystemen binnen een b. De organisatie past tijdsynchronisatie toe voor systeemklokken van organisatie of beveiligingsdomein (zorg-) informatiesystemen die tijdkritische (zorg-) activiteiten behoren te worden gesynchroniseerd met een overeengekomen nauwkeurige ondersteunen en samen met andere organisaties worden uitgevoerd. c. De organisatie heeft maatregelen getroffen om te zorgen dat ingeval tijdsbron. van herstelacties enz. geen (grote) tijdswijzigingen worden Zorginformatiesystemen die tijdkritische doorgevoerd. zorgactiviteiten ondersteunen behoren te voorzien in synchronisatie om mogelijke tijdverschillen tussen verschillende registraties van activiteiten te signaleren en te corrigeren. (ISO 27799)

11 Toegangsbeveiliging 11.1 Bedrijfseisen ten aanzien van toegangsbeheersing 11.1.1 Toegangsbeleid Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. (NVZ 2010) Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele, ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet te komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg. (ISO 27799) 11.2 Beheer van toegangsrechten van gebruikers

a. De organisatie heeft in het beleid per registratie / verwerking regels voor de toegang tot en verwerking van informatie vastgelegd die aangeven hoe vigerende weten regelgeving en professionele en ethische richtlijnen (waaronder van de KNMG) met betrekking tot de toegang tot en verwerking van gegevens worden geïnterpreteerd en geïmplementeerd. b. De organisatie heeft op basis hiervan en op basis van de classificatie (7.2.1 en 7.2.2) per registratie / verwerking voor de systemen beschreven wie toegang hebben en tot welke (selectie van) gegevens en op basis waarvan en de bevoegdheden om die gegevens in te zien en/of te verwerken. c. Voor de verwerking van persoonsgegevens heeft de organisatie regels hoe de rechten met betrekking tot inzage, wijziging en vernietiging van gegevens over betrokkenen worden gehonoreerd en geïmplementeerd.


Beleidsdocument, beleidsregels, procedures, taakkaarten, systeeminstellingen, observaties.

22 van 35



Toetsingscriteria


zwaaarw.

11.2.1 Registratie van gebruikers

11.2.2 Beheer van speciale bevoegdheden

11.2.3 Beheer van gebruikerswachtwoorden

zwaaarw.

zwaaarw.

11.2.4 Beoordeling van toegangsrechten van gebruikers

Er behoren formele procedures voor het registreren en afmelden van gebruikers te zijn vastgesteld, alsmede voor het verlenen en intrekken van toegangsrechten tot alle informatiesystemen en -diensten.(NVZ 2010)Een organisatie die patiëntgegevens verwerkt, behoort te waarborgen dat toegang tot systemen die patiëntgegevens verwerken deel uitmaakt van een formele gebruikersregistratieprocedure. Deze procedure behoort te waarborgen dat de mate van vereiste authenticatie bij een gebruiker in overeenstemming is met het resulterende niveau van toegang.(ISO 27799) De toewijzing en het gebruik van speciale bevoegdheden behoren te worden beperkt en beheerst.

De toewijzing van wachtwoorden behoort met een formeel beheerproces te worden beheerst.

De organisatie behoort de toegangsrechten van gebruikers, met inbegrip van de gebruikersregistraties en details daarbinnen, regelmatig te beoordelen in een formeel proces om zich te vergewissen dat ze compleet en nauwkeurig zijn en dat toegang nog steeds is gewenst. (ISO 27799) 11.3 Verantwoordelijkheden van gebruikers 11.3.1 Gebruik van wachtwoorden Gebruikers behoren goede beveiligingsgewoontes in acht te nemen bij het kiezen en gebruiken van wachtwoorden.

a. De organisatie hanteert bij de registratie van verschillende soorten Richtlijnen, procedures, gebruikers procedures om toegangsrechten en bevoegdheden tot het observaties, audittrails. netwerk, besturingssystemen, applicaties, informatie en externe gegevensuitwisseling toe te kennen of te wijzigen (zie ook 11.6.1). b. De organisatie kan aansluitend rechten toekennen voor mobiele apparatuur en telewerken. c. De organisatie hanteert bij de uitdiensttreding en/of het beëindigen van de opdracht procedures voor het z.s.m. intrekken van toegangsrechten en -bevoegdheden d. De organisatie heeft procedures om betrokkenen toegang te geven tot de eigen persoonsgegevens. e. De organisatie heeft richtlijnen voor noodprocedures (bypassing) en bewaakt het gebruik middels een audittrail.

a. De organisatie heeft procedures om ten behoeve van het functioneel en technisch beheer van systemen aan beheerders speciale bevoegdheden toe te kennen. b. De betrokken medewerkers zijn met de specifieke taken bekend. c. Uitvoering van de specifieke taken en gebruik van de speciale bevoegdheden worden gelogd. d. De leiding ziet toe op de naleving en blokkeert de bevoegdheden (tijdelijk) wanneer gebruik niet (langer) noodzakelijk is. a. De organisatie heeft vaste procedures voor het aanvragen, toekennen en wijzigen van gebruikerswachtwoorden. b. De beheerder verifieert bij de aanvraag en bij het resetten van wachtwoorden de identiteit en authenticeert de aanvrager. a. De organisatie beoordeelt periodiek dat toegangsrechten en bevoegdheden van de medewerkers actueel en conform het beleid zijn (zie 11.1.1).

a. Lijnmanagement wijst de medewerkers op het belang van het gebruik van adequate wachtwoorden en bijbehorend gedrag. b. De organisatie dwingt waar mogelijk technisch het gebruik van sterke wachtwoorden af en van periodieke vernieuwing.


Procedures, autorisatiematrices, log-bestanden, taakfunctiebeschrijvingen.

Wachtwoordconventies, technische maatregelen.

Procedures, controlelijsten.

Gedragscode, technische instellingen, awareness campagne, verslaglegging werkoverleggen, observaties.

23 van 35



Toetsingscriteria


zwaaarw.

(NVZ 2010)

c. Lijnmanagement ziet toe op de naleving van adequate wachtwoorden. 11.3.2 Onbeheerde Gebruikers behoren te bewerkstelligen a. Gebruikers sluiten sessies - en bij voorkeur ook de werkruimte - af gebruikersapparatuur dat onbeheerde apparatuur passend is als zij informatieverwerkende apparatuur (PC / werkstation / systeem) beschermd. onbeheerd achterlaten. b. De organisatie voorziet, rekening houdend met werkbaarheid, in (logische) maatregelen om na bepaalde tijd de toegang tot niet in gebruik zijnde apparatuur te blokkeren (zie ook 11.3.3 en 11.5.5). 11.3.3 ‘Clear desk’- en ‘clear screen’- Er behoort een ‘clear desk’-beleid en a. De organisatie heeft gedragsregels met betrekking tot clear screen beleid een ‘clear screen’-beleid voor ITen clear desk beleid vastgesteld. voorzieningen te worden ingesteld.(NVZ b. Medewerkers binnen de organisatie weten de gedragsregels met 2010) betrekking tot clear screen en clear desk en leven deze na. c. Lijnmanagement ziet er op toe dat medewerkers het clear screen en clear desk beleid naleven en informatie en informatiedragers niet onbeheerd in onafgesloten ruimtes achterlaten. d. Lijnmanagement spreekt medewerkers en medewerkers spreken elkaar aan wanneer deze regels niet of onvoldoende worden nageleefd. 11.4 Toegangsbeheersing voor netwerken 11.4.1 Beleid ten aanzien van het Gebruikers behoort alleen toegang te a. De organisatie heeft (aansluitend op 11.1.) toegangsbeleid, kaders gebruik van netwerkdiensten worden verleend tot diensten waarvoor met betrekking tot de toegang tot netwerkdiensten voor interne en ze specifiek bevoegd zijn. externe medewerkers, patiënten en overige gebruikers. b. De organisatie treft binnen deze kaders organisatorische en technische maatregelen om de toegang tot de netwerkdiensten te beheersen. c. De organisatie heeft het autorisatiebeheer met betrekking tot netwerkdiensten zodanig ingericht dat autorisaties zijn afgestemd op de functie en/of rol(len) van de betrokken medewerker of gebruiker. d. De organisatie wijzigt zo nodig de autorisatie met betrekking tot netwerkdiensten bij wisseling van de functie, rol of werkplek van de medewerker (zie ook 8.3.3) of van de behandelrelatie met de patiënt. 11.4.2 Authenticatie van gebruikers bij Er behoren geschikte a. De organisatie voorziet, rekening houdend met de aard van de externe verbindingen authenticatiemethoden te worden activiteit en de eisen aan de gegevensuitwisseling, bij toegang op gebruikt om toegang van gebruikers op afstand in adequate toegangscontrole en adequaat beveiligde afstand te beheersen. verbindingen. 11.4.3 Identificatie van Automatische identificatie van a. De organisatie heeft de toegang tot (delen van) het interne netwerk netwerkapparatuur apparatuur behoort te worden zodanig ingericht dat aansluiten van onbekende apparatuur niet overwogen als methode om zonder meer mogelijk is. verbindingen vanaf specifieke locaties en apparatuur te authenticeren. 11.4.4 Bescherming op afstand van De fysieke en logische toegang tot a. De organisatie heeft een richtlijn voor toegang tot netwerkpoorten poorten voor diagnose en configuratie poorten voor diagnose en configuratie voor diagnose en configuratie. behoort te worden beheerst. b. De organisatie heeft maatregelen getroffen zodat deze


Beleidsdocument, instellingen, technische maatregelen, observaties

Gedragscode, gedragsregels, technische instellingen, veiligheidsrondes, observaties.

Toegangbeleid, classificatiesystematiek, autorisatieprocedures, autorisatiematrices, toestemmingsprofielen.

Toegangsbeleid, beleidsregels, technische beheersmaatregelen. Richtlijnen, technische eisen, technische beheersmaatregelen.

Richtlijnen, technische instellingen (op firewall en systemen).

24 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.


netwerkpoorten uitsluitend door geautoriseerde componenten of personen kunnen worden gebruikt. 11.4.5 Scheiding van netwerken Groepen informatiediensten, gebruikers a. De organisatie beschikt over afspraken met welke technieken en informatiesystemen behoren op groepen informatiediensten, gebruikers en informatieverwerkende netwerken te worden gescheiden. systemen (waaronder ook informatieverwerkende medische apparatuur) op netwerkniveau logisch en/of fysiek kunnen worden gescheiden en op welke wijze koppelvlakken kunnen worden aangebracht. 11.4.6 Beheersmaatregelen voor Voor gemeenschappelijke netwerken, a. De organisatie heeft, aan de hand van beleidsregels, voor netwerkverbindingen vooral waar deze de grenzen van de gebruikers de toegang tot externe netwerkdiensten en organisatie overschrijden, behoren de gegevensuitwisselingen beperkt (zie ook 9.2.6). toegangsmogelijkheden voor gebruikers te worden beperkt overeenkomstig het toegangsbeleid en de eisen van bedrijfstoepassingen. 11.4.7 Beheersmaatregelen voor Netwerken behoren te zijn voorzien van a. De organisatie hanteert (aansluitend op 11.1.1) instellingen voor netwerkroutering beheersmaatregelen voor berichtenverkeer en onderliggende netwerken routeringsinstellingen netwerkroutering om te bewerkstelligen om de toegang tot computerverbindingen en informatiestromen te dat computerverbindingen en beperken tot daar toe bevoegde gebruikers en processen. informatiestromen niet in strijd zijn met het toegangsbeleid voor de bedrijfstoepassingen. 11.5 Toegangsbeveiliging voor besturingssystemen 11.5.1 Beveiligde inlogprocedures Toegang tot besturingssystemen a. De organisatie verleent uitsluitend daartoe geautoriseerde technisch behoort te worden beheerst met een beheerders toegang tot (netwerk)besturingssystemen op need to have beveiligde inlogprocedure. basis of geeft de toegang indien noodzakelijk op verzoek vrij. (NVZ 2010) 11.5.2 Gebruikersidentificatie en Elke gebruiker behoort over een unieke a. Elke gebruiker binnen de organisatie logt in, op het netwerk en op authenticatie identificatiecode te beschikken de mailaccount en de gedeelde documenten in de kantooromgeving, (gebruikers-ID) voor persoonlijk gebruik, met een persoonlijke gebruikersnaam en een sterk wachtwoord. en er behoort een geschikte b. De organisatie maakt elke medewerker / gebruiker bevoegd voor die authenticatietechniek te worden verwerkingen en/of applicaties die noodzakelijk zijn ter ondersteuning gekozen om de geclaimde identiteit van van de werkzaamheden (zie ook 11.6.1). de gebruiker te bewijzen. c. Afhankelijk van de verwerking en/of de applicatie wordt bij het inloggen aanvullende authenticatie (in de zorg b.v. BIG-registratie) gevraagd. Informatiesystemen, die patiëntgegevens verwerken, behoren authenticatie toe te passen op basis van ten minste twee afzonderlijke kenmerken. (ISO 27799) 11.5.3 Systemen voor Systemen voor wachtwoordbeheer a. De organisatie zorgt dat vereiste wachtwoordconventies waar wachtwoordbeheer behoren interactief te zijn en te mogelijk door systeeminstellingen worden ondersteund en


ICT-architectuur, richtlijnen, gedocumenteerde technische en organisatorische afspraken.

Beleidsregels, penetratietesten, rapportages.

Stroomschema's, netwerktopografie, systeeminstellingen, netwerkinstellingen.

Procedures, logging, verificatie na afloop.

Beleidsregels voor wachtwoordgebruik, autorisatiematrices.

Wachtwoordconventies, technische

25 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

11.5.4 Gebruik van systeemhulpmiddelen

bewerkstelligen dat wachtwoorden van geschikte kwaliteit worden gekozen. Het gebruik van hulpprogrammatuur waarmee systeem- en toepassingsbeheersmaatregelen zouden kunnen worden gepasseerd, behoort te worden beperkt en strikt te worden beheerst. (ISO 27799)

afgedwongen.

Aanvullend op 11.5.1. a. De organisatie heeft beleid met betrekking tot beperken van het gebruik en beheersen van hulpprogrammatuur. b. De organisatie heeft overzicht van hulpprogrammatuur die gebruikt wordt bij inrichting, beheer en onderhoud van applicaties en infrastructuur. c. De organisatie kent aan functioneel beheerders en ICTmedewerkers op basis van specifieke rollen, specifieke bevoegdheden toe met betrekking tot gebruik van deze hulpprogrammatuur. d. Het lijnmanagement ziet er op toe dat het gebruik van de bevoegdheden beperkt blijft tot het doel waarvoor zij zijn toegekend. e. De organisatie logt de activiteiten van deze medewerkers en analyseert waar nodig de toepassing van de uitgevoerde handelingen. 11.5.5 Time-out van sessies Interactieve sessies behoren na een a. De organisatie heeft (aansluitend op 11.3.2) voorzieningen getroffen vastgestelde periode van inactiviteit om rekening houdend met de eisen vanuit de gegevensverwerking automatisch ontoegankelijk te worden en/of classificatie time-out mechanismen toe te passen om gemaakt. onbevoegde toegang tot informatie(systemen) en netwerkdiensten te voorkomen. 11.5.6 Beperking van verbindingstijd De verbindingstijd behoort te worden a. De organisatie blokkeert (aansluitend op 11.3.2 en 11.5.5) beperkt als aanvullende beveiliging voor netwerkverbindingen na een bepaalde periode, rekening houdend met toepassingen met een verhoogd risico. de eisen vanuit de gegevensverwerking en/of classificatie. 11.6 Toegangsbeheersing voor toepassingen en informatie 11.6.1 Beheersen van toegang tot Toegang tot informatie en functies van Aanvullend op 6.2.3, 10.8.2 en 11.1.1. informatie toepassingssystemen door gebruikers a. De organisatie heeft beleid met betrekking tot het uitwisselen van en ondersteunend personeel behoort te informatie met andere organisaties (ketenprocessen en netwerkzorg). worden beheerst overeenkomstig het b. De organisatie heeft voor intern gebruik in beleid en richtlijnen vastgestelde toegangsbeleid. aangegeven welke soorten informatie voor welke soorten (ISO 27799) functionarissen voor de uitvoering van hun functie noodzakelijk is. c. De organisatie hanteert een systematiek van functies met daaraan rollen gekoppeld en gebruikt de combinatie van functie + rol(len) voor het toekennen van algemene toegangsrechten en systeembevoegdheden. d. De organisatie kent de individuele medewerker / gebruiker op basis van functie + rol + plaats en positie in de organisatie, specifieke rollen en (systeem-) bevoegdheden (autorisaties) toe. e. De organisatie vraagt de betrokkene toestemming voor het delen van informatie waar dat nodig is. f. De organisatie kent uitzonderingsprocedures om van a. t/m e af te wijken indien de patiëntveiligheid dat eist. g. Het systeem heeft middelen voor de logging van activiteiten (invoer van gegevens, opslag van gegevens, verwerking van gegevens,


beheersmaatregelen. Beleidsdocument, overzichtslijst hulpapparatuur, procedures, logging, verificatie na afloop.

Beleidsregels, systeeminstellingen.

Beleidsregels, systeeminstellingen.

Beleidsregels, taakkaarten, autorisatie-matrices.

26 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

11.6.2 Isoleren van gevoelige systemen

Systemen met een bijzonder hoge gevoeligheid waar het gaat om vertrouwelijkheid en/of beschikbaarheid en/of integriteit behoren een eigen, vast toegewezen (geïsoleerde) computeromgeving te hebben. (NVZ 2010) 11.7 Draagbare computers en telewerken 11.7.1 Draagbare computers en Er behoort formeel beleid te zijn communicatievoorzieningen vastgesteld en er behoren geschikte beveiligingsmaatregelen te zijn getroffen ter bescherming tegen risico's van het gebruik van draagbare computers en communicatiefaciliteiten.

verzending en ontvangst van berichten, autorisatiebeheer, etc.). a. De organisatie heeft d.m.v. risicoanalyse en rekening houdend met de classificatie vastgesteld welke systemen "gevoelig" zijn. b. De organisatie brengt de systemen die zijn aangemerkt als "gevoelig" (vitaal of kritisch vanwege de beschikbaarheid, integriteit en/of vertrouwelijkheid van de gegevens) onder in een passende, afgeschermde omgeving.

a. De organisatie heeft kaders, richtlijnen en maatregelen om draagbare computers en communicatiefaciliteiten (mobiele apparatuur) in eigendom van de organisatie, medewerker of van derden (patiënten) veilig te gebruiken. b. De organisatie heeft de kaders, richtlijnen en maatregelen gecommuniceerd naar de gebruikers. c. De organisatie ziet toe op de naleving van de kaders, richtlijnen en maatregelen zoals bedoeld in 11.7.1.a en b. (zie ook 15.2.1) 11.7.2 Telewerken Er behoren beleid, operationele plannen a. De organisatie heeft (aansluitend op 11.7.1) richtlijnen en en procedures voor telewerken te procedures voor telewerken opgesteld en geïmplementeerd. worden ontwikkeld en geïmplementeerd. b. De organisatie ziet toe op de naleving van richtlijnen en procedures voor telewerken. 12 Verwerving, ontwikkeling en onderhoud van informatiesystemen 12.1 Beveiligingseisen voor informatiesystemen 12.1.1 Analyse en specificatie van In bedrijfseisen voor nieuwe a. De organisatie heeft vóór de aanschaf van informatieverwerkende beveiligingseisen informatiesystemen of uitbreidingen van apparatuur en systemen een risicoanalyse gemaakt met aandacht bestaande informatiesystemen behoren voor de functionele, technische, organisatorische en juridische ook eisen voor beveiligingsmaatregelen aspecten. te worden opgenomen. b. De organisatie heeft bij aanschaf van nieuwe en uitbreiding van bestaande informatiesystemen eisen en acceptatiecriteria ten aanzien van de informatiebeveiliging geformuleerd. c. De organisatie toetst bij de selectie aan de hand van het beveiligingsbeleid en de beveiligingsspecificaties in welke mate aan de eisen ten aanzien van de informatiebeveiliging wordt voldaan. d. De organisatie toetst vóór acceptatie de acceptatiecriteria met betrekking tot informatiebeveiliging. 12.2 Correcte verwerking in toepassingen 12.2.1 Validatie van invoergegevens Gegevens die worden ingevoerd in a. De organisatie controleert, rekening houdend met classificatie, toepassingen behoren te worden vooraf de integriteit (juistheid en betrouwbaarheid) van de in te voeren gevalideerd om te controleren dat deze (persoons) gegevens in de persoonsregistraties en in de overige gegevens juist en geschikt registraties die de bedrijfsvoering ondersteunen. zijn.Informatiesystemen die b. De organisatie valideert de in te voeren gegevens om te zorgen dat patiëntgegevens verwerken moeten alle zij juist, d.w.z actueel, volledig en geschikt zijn; waar nodig autoriseert patiëntgegevens gecontroleerd van de een bevoegde medewerker de ingevoerde gegevens (zie 10.1.3).


Overzichtslijst gevoelige systemen, technische afscherming informatiedomeinen, bouwkundige documentatie.

Awarenesscampagne, gedragsregels, folders, verslagen van werkoverleggen, interne auditrapporten.

Richtlijnen, procedures, interne auditrapporten

Rapportages van risicoanalyses, technische en functionele programma's van eisen, acceptatiecriteria.

Controleprocedures, steekproeven.

27 van 35



Toetsingscriteria


zwaaarw.

juiste patiëntidentificatie voorzien.(ISO 27799)

c. Waar nodig voorziet de organisatie invoervelden voor kritieke informatie van technische invoervalidatie; niet of foutief invullen wordt gesignaleerd. d. Tijdens de invoer van persoonsgebonden gegevens (patiëntgegevens) worden voldoende identificerende kenmerken uitgevraagd en meegegeven om vast te stellen dat de juiste gegevens bij de juiste persoon (patiënt) horen. e. De organisatie voorziet in technische en procedurele maatregelen om zeker te stellen dat zorgondersteunende systemen verschillende patiëntenidentificaties aan elkaar kunnen koppelen nadat is vastgesteld dat gegevens tot dezelfde patiënt behoren of kunnen ontkoppelen als dat niet het geval is. 12.2.2 Beheersing van interne Er behoren validatiecontroles te worden a. De organisatie valideert de gegevensverwerking binnen en tussen gegevensverwerking opgenomen in toepassingen om systemen om de kwalitiet van de (persoons)gegevens vast te stellen. eventueel corrumperen van informatie b. De organisatie valideert de gegevensverwerking binnen en tussen door verwerkingsfouten of opzettelijke systemen om eventuele verminking of verlies van (persoons)gegevens handelingen te ontdekken. door verwerkingsfouten of opzettelijke handelingen te detecteren teneinde herstel mogelijk te maken. c. De organisatie valideert de gegevensuitwisseling tussen systemen en gebruikers (interface) en de gegevensverwerking buiten systemen via handmatige procedures. 12.2.3 Integriteit van berichten Er behoren eisen te worden vastgesteld, a. De organisatie stelt eisen en implementeert beheersmaatregelen en geschikte beheersmaatregelen te om de authenticiteit van berichten vast te stellen en de integriteit van worden vastgesteld en te worden digitale en schriftelijke communicatie in processen en geïmplementeerd, voor het informatiestromen te beschermen. bewerkstelligen van authenticiteit en het beschermen van integriteit van berichten in toepassingen. 12.2.4 Validatie van uitvoergegevens Gegevensuitvoer uit een toepassing a. De organisatie heeft maatregelen getroffen om de authenticiteit, behoort te worden gevalideerd, om te integriteit en geschiktheid van de gegevensuitvoer te waarborgen, met bewerkstelligen dat de verwerking van name bij externe gegevensuitwisseling. opgeslagen gegevens op de juiste b. De organisatie stelt, in het geval gegevens onvolledig of onjuist manier plaatsvindt en geschikt is gezien blijken te zijn, de gebruiker of externe partij op de hoogte en laat de de omstandigheden.Informatiesystemen gegevens herstellen. c. Tijdens de uitvoer van persoonsgebonden gegevens behoren bij het presenteren van patiëntgegevens altijd voldoende (patiëntgegevens) worden voldoende identificerende kenmerken identificerende gegevens te tonen om meegegeven om de juiste gegevens toe te voegen aan het dossier van het de zorgverlener mogelijk te maken de juiste persoon. vast te stellen dat de patiëntgegevens de patiënt in kwestie betreffen.(ISO 27799) 12.3 Cryptografische beheersmaatregelen 12.3.1 Beleid voor het gebruik van Er behoort beleid te worden ontwikkeld a. De organisatie heeft, rekening houdend met classificatie, beleid voor


Validatiecontroles, controleprocedures, steekproeven.

Validatiescontroles, steekproeven.

Controleprocedures, steekproeven.

Beleid, classificatie-

28 van 35



Toetsingscriteria


cryptografische beheersmaatregelen

het gebruik van cryptografie en het bijbehorend sleutelbeheer vastgesteld. b. De organisatie past dit beleid toe, rekening houdend met weten regelgeving, bewaartermijnen en bruikbaarheid van toegepaste technieken op langere termijn en specifieke omstandigheden (zie ook 15.1.6). 12.3.2 Sleutelbeheer Er behoort sleutelbeheer te zijn a. De organisatie beschikt (aansluitend op 12.3.1) voor alle binnen de vastgesteld ter ondersteuning van het organisatie gebruikte versleuteltechnieken over procedures voor gebruik van cryptografische technieken sleutelbeheer om zeker te stellen dat versleutelde informatie binnen de organisatie. ontsleuteld kan worden. b. De organisatie stelt zeker dat uitsluitend bevoegde medewerkers / processen toegang hebben tot deze sleutels. 12.4 Beveiliging van systeembestanden 12.4.1 Beheersing van operationele Er behoren procedures te zijn a. De organisatie heeft (aansluitend op 10.1.2 en 10.1.4) procedures programmatuur vastgesteld om de installatie van voor de installatie van programmatuur op productiesystemen door programmatuur op productiesystemen daartoe bevoegde medewerkers. te beheersen. 12.4.2 Bescherming van testdata Testgegevens behoren zorgvuldig te a. De organisatie gebruikt bij het testen van geïnstalleerde worden gekozen, te worden beschermd programmatuur zodanig representatieve testgegevens dat en te worden beheerst. onvolkomenheden in de werking van de programmatuur zo goed mogelijk kunnen worden vastgesteld (zie 12.2.2). Er behoren geen tot personen b. De organisatie behandelt de testgegevens op een veilige en herleidbare patiëntgegevens te worden gecontroleerde wijze. gebruik als testgegevens (ISO 27799) 12.4.3 Toegangsbeheersing voor De toegang tot broncode van a. De organisatie beschermt de broncode van programmatuur tegen broncode van programmatuur programmatuur behoort te worden ongeautoriseerde toegang en wijzigingen verduidelijken. beperkt. 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen 12.5.1 Procedures voor De implementatie van wijzigingen Zie 10.1.2 wijzigingsbeheer, 10.1.4 scheiding van faciliteiten en 12.4.1 wijzigingsbeheer behoort te worden beheerst door middel beheersing operationele programmatuur. van formele procedures voor wijzigingsbeheer. 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem

en te worden geïmplementeerd voor het gebruik van cryptografische beheersmaatregelen voor de bescherming van informatie.

Bij wijzigingen in besturingssystemen behoren bedrijfskritische toepassingen te worden beoordeeld en te worden getest om te bewerkstelligen dat er geen nadelige gevolgen zijn voor de activiteiten of beveiliging van de organisatie.

Aanvullend op 10.1.2a. a. De organisatie voert bij het implementeren van grotere wijzigingen in besturingssystemen vooraf een risicoanalyse en -beoordeling uit om de effecten op de (bedrijfsgevoelige) informatiesystemen in kaart te brengen. b. De organisatie test de wijzigingen in besturingsystemen in de testomgeving. c. De organisatie treft preventieve maatregelen om de kans op verstoring van continuïteit te voorkomen. d. Een daartoe bevoegde functionaris geeft namens de directie op


systematiek, technische maatregelen.

Procedures, toegangsrechten van beheerders.

OTAP-omgevingen, procedures, autorisatiematrices. Testmethodieken, testplannen, testprotocollen.

Technische en procedurele maatregelen.

ICT-architectuur, OTAPomgevingen, richtlijnen, procedures, autorisatiematrices, technische maatregelen, verslaglegging. Risicoanalyses, testverslagen, vrijgavebesluiten.

29 van 35



Toetsingscriteria


basis van de bevindingen van de risicoanalyse en de testresultaten besturingssystemen vrij voor productie. 12.5.3 Restricties op wijzigingen in Wijzigingen in programmatuurpakketten a. De organisatie beperkt wijzigingen in programmatuurpakketten behoren te worden ontmoedigd, te (standaard)programmatuurpakketten tot een minimum. worden beperkt tot noodzakelijke b. De organisatie voert wijzigingen alleen na expliciete goedkeuring wijzigingen, en alle wijzigingen behoren van de desbetreffende verantwoordelijke door (zie 10.1.2). strikt te worden beheerst. c. De organisatie voert wijzigingen alleen op een geïdentificeerde kopie van de meest actuele versie van de broncode door (indien en voor zover de programmatuur dit toelaat). d. De organisatie neemt maatregelen om te zorgen dat ondersteuning van en/of beheer door leveranciers op gewijzigde programmatuur zeker is gesteld. e. De organisatie heeft alle wijzigingen vastgelegd. 12.5.4 Informatielekken Er behoort te worden voorkomen dat a. De organisatie heeft maatregelen genomen om de kans op informatielekken ontstaan. ongeautoriseerd vrijgeven of uitlekken van informatie zo klein mogelijk te maken. b. De organisatie informeert de medewerkers over de risico's van het ongeautoriseerd vrijgeven of (laten) uitlekken van gevoelige informatie (zie 8.2.2). c. De organisatie blokkeert ongeautoriseerde toegang en/of toegang tot gevoelige informatie voor niet specifiek bevoegde medewerkers. d. De organisatie voorkomt waar mogelijk het versturen van gevoelige informatie via open netwerken (bijvoorbeeld via email of webbrowser of mobiele apparatuur) of het meenemen via draagbare media. 12.5.5 Uitbestede ontwikkeling van Bij uitbestede ontwikkeling van a. De organisatie selecteert beargumenteerd leveranciers ondermeer programmatuur programmatuur behoort de organisatie op kwaliteit (en continuïteit) van de te leveren producten of diensten. maatregelen te treffen ter waarborging b. De organisatie formuleert technisch en functioneel kwaliteitseisen van de kwaliteit van de ontwikkelde aan de te leveren producten en aan de ontwikkelings- en programmatuur. onderhoudsdiensten, rekening houdend met behoud van functionaliteit en continuïteit op langere termijn. c. De organisatie voert (aansluitend op 6.2.1 t/m 3) voorafgaand aan het voornemen tot uitbesteding een risicoanalyse uit. d. De organisatie maakt (aansluitend op 10.2.1 t/m 6) bij het aangaan van overeenkomsten voor uitbesteding toetsbare afspraken over de uitvoering en het toezicht. e. De organisatie houdt toezicht op en controleert uitbestede ontwikkeling van programmatuur aan de hand van de onder b. en d. geformuleerde eisen. f De organisatie stelt (aansluitend op 6.2.3 en 8.2.3) de eigendomsrechten met betrekking tot broncodes en de ontwikkelde programmatuur zeker. 12.6 Beheer van technische kwetsbaarheden 12.6.1 Beheersing van technische Er behoort tijdig informatie te worden a. De organisatie bepaalt periodiek (zo nodig dagelijks)


Beleidsdocument, ICTarchitectuurprincipes, overzicht in gebruik zijnde applicaties en versies, versiebeheer.

Informatieclassificatie (i.h.b. publieke informatie), technische maatregelen, awareness, gedragsregels.

Inkoopbeleid, leveranciersmanagement, programma's van eisen, overeenkomsten en bijlagen.

Incidentmeldingen,

30 van 35



Toetsingscriteria


zwaaarw.

kwetsbaarheden

verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie blootstaat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen voor behandeling van daarmee samenhangende risico's.

13 Beheer van informatiebeveiligingsincidenten 13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken 13.1.1 Rapportage van Informatiebeveiligingsgebeurtenissen informatiebeveiligings-gebeurtenissen behoren zo snel mogelijk via de juiste leidinggevende niveaus te worden gerapporteerd. (NVZ 2010)

13.1.2 Rapportage van zwakke plekken Van alle werknemers, ingehuurd in de beveiliging personeel en externe gebruikers van informatiesystemen en -diensten behoort te worden geëist dat zij alle waargenomen of verdachte zwakke plekken in systemen of diensten registreren en rapporteren.

13.2 Beheer van informatiebeveiligingsincidenten en -verbeteringen 13.2.1 Verantwoordelijkheden en Er behoren verantwoordelijkheden en procedures procedures te worden vastgesteld om een snelle, doeltreffende en ordelijke reactie op informatiebeveiligingsincidenten te

kwetsbaarheden binnen de in gebruik zijnde informatiesystemen, onderliggende infrastructuur en netwerken. b. de organisatie gebruikt ter aanvulling rapportages uit de eigen incidentmelding en/of specifieke kwetsbaarheden-rapportages om kwetsbaarheden vast te stellen. c. De organisatie neemt tijdig (zo nodig acuut) maatregelen om de kwetsbaarheden weg te nemen en/of om de risico's zo veel als mogelijk te beperken. d. De organisatie gebruikt de uitkomsten van a. en b. en de maatregelen van c. om het informatieveiligheidsbewustzijn van medewerkers te bevorderen (zie ook 8.2.2.).

rapportages, proces van incidentopvolging, afhankelijkheids- en kwetsbaarheidsanalyses.

a. De organisatie hanteert definities voor informatie-incidenten (zie ook normtekst NEN 7510:2011 hoofdstuk 2; extern document). b. De organisatie heeft procedures voor het melden van informatieincidenten en het organiseren van opvolging. c. Medewerkers melden informatie-incidenten volgens procedures via geëigende kanalen. d. De organisatie legt informatie-incidenten afdelingsoverstijgend vast. e. De organisatie hanteert een disclosureprocedure in het geval een informatie-incident negatieve gevolgen heeft voor de behandeling en/of schade toebrengt aan de patiënt. a. De organisatie beschikt over procedures en/of contactpersonen om zwakke plekken en kwetsbaarheden in de informatieverwerking, de informatieverwerkende systemen en externe informatiediensten te melden om inbreuken te voorkomen. b. De organisatie beschikt over procedures en/of contactpersonen om informatieincidenten (waaronder ook privacy schendingen) en misstanden vertrouwelijk te kunnen melden om aanvullende maatregelen te kunnen nemen. c. Medewerkers zijn bekend met de vormen van melding en melden onveilige situaties en incidenten actief via de geëigende kanalen. d. Informatie over beveiligingskwetsbaarheden wordt door medewerkers van de (information / application service provider) dagelijks bijgehouden.

Beleid en richtlijnen, procedures, incidentmeldingen, rapportages, indicatoren.

a. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden voor het opvolgen (identificeren, verwerken, rapporteren en escaleren) van informatieincidenten belegd, waarbij een manager is benoemd als proceseigenaar en een medewerker als procesbeheerder.


Meldingsprocedures, registratiesystemen, rapportages, awarenesscampagne.

Procedures, overeenkomsten, rapportages.

31 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

bewerkstelligen.

b De organisatie heeft procedures voor het opvolgen van incidenten vastgesteld en ondersteunt deze met een registratie die waarborgt dat informatieincidenten worden gecategoriseerd, geclassificeerd en doeltreffend binnen de organisatie en/of buiten de organisatie door derden worden opgevolgd. c. De organisatie bewaakt de opvolging van incidenten door derden en toetst deze aan gemaakte support-afspraken in de overeenkomsten (zie ook 10.2.1) . 13.2.2 Leren van Er behoren mechanismen te zijn a. De organisatie analyseert informatie-incidenten, hun gevolgen en de Rapportages, aanbevelingen. informatiebeveiligings-incidenten ingesteld waarmee de aard, omvang en opvolging en rapporteert periodiek over de bevindingen (zie 13.2.1) b. De organisatie gebruikt de bevindingen voor het treffen van kosten van informatiebeveiligingsincidenten kunnen aanvullende en/of preventieve beveiligingsmaatregelen, het verbeteren van de veiligheid en het vergroten van het veiligheidsbewustzijn. worden gekwantificeerd en gevolgd. 13.2.3 Verzamelen van bewijsmateriaal Waar een vervolgprocedure tegen een a. De organisatie heeft richtlijnen voor het vastleggen van mogelijk Bewijsdossiers (indien persoon of organisatie na een bewijsmateriaal om bij inbreuken sancties te kunnen nemen of aanwezig). informatiebeveiligingsincident juridische vervolgprocedures te kunnen instellen. maatregelen omvat (civiel of strafrechtelijk) behoort bewijsmateriaal te worden verzameld en gepresenteerd overeenkomstig de voorschriften voor bewijs die voor het relevante rechtsgebied zijn vastgelegd. 14 Bedrijfscontinuïteitsbeheer 14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer 14.1.1 Informatiebeveiliging opnemen Er behoort een beheerd proces voor a. De organisatie beschikt over een actuele continuïteitsstrategie die Beheerproces, beleid, in het proces van bedrijfscontinuïteit in de gehele gebaseerd is op risicoanalyse en periodiek wordt geëvalueerd (zie 4.3 richtlijnen, noodprocedures, bedrijfscontinuïteitsbeheer organisatie te worden ontwikkeld en en 4.4.1). workarounds. bijgehouden waarbinnen de eisen voor b. De organisatie beschikt daarvan afgeleid over beleid, richtlijnen en informatiebeveiliging worden procedures om de continuïteit van de bedrijfsvoering en de meegenomen die nodig zijn voor de bedrijfsprocessen te waarborgen. continuïteit van de bedrijfsvoering. c. De organisatie stelt op basis hiervan continuïteitsplannen voor de (ISO 27799; NVZ 2010) informatievoorziening op en evalueert deze periodiek (zie 14.1.4). 14.1.2 Bedrijfscontinuïteit en a. De organisatie heeft binnen de continuïteitsstrategie, rekening Continuïteitstrategie Gebeurtenissen die tot onderbreking risicobeoordeling houdend met classificatie, een maximaal toegelaten uitvalsduur (MUD) (beleidsdocument), werkwijzen van bedrijfsprocessen kunnen leiden, en een maximaal toelaatbaar gegevensverlies (MGV) gedefinieerd. voor risicoanalyse, rapporten behoren te worden geïdentificeerd, b. De organisatie voert (op strategisch, tactisch en operationeel met betrekking tot tezamen met de waarschijnlijkheid en niveau) risicoanalyses uit op gebeurtenissen die kunnen leiden of die risicoanalyses, meetwaarden / de gevolgen van dergelijke onderbrekingen en hun gevolgen voor geleid hebben tot ingrijpende verstoring van de continuïteit van prestaties met betrekking tot informatiebeveiliging. bedrijfsprocessen. MUD en MGV. (NVZ 2010) Organisaties die patiëntgegevens verwerken behoren een continuïteitsstrategie vast te stellen, te


32 van 35



Toetsingscriteria


zwaaarw.

14.1.3 Continuïteitsplannen en informatievoorziening

zwaaarw.

14.1.4 Kader voor de bedrijfscontinuïteitsplanning

14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen

documenteren, in te voeren en te onderhouden. Hierin behoort voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) te worden vastgesteld. (ISO 27799) Er behoren plannen te worden ontwikkeld en geïmplementeerd om de bedrijfsactiviteiten te handhaven of te herstellen en om de beschikbaarheid van informatie op het vereiste niveau en in de vereiste tijdspanne te bewerkstelligen na onderbreking of uitval van kritische bedrijfsprocessen. (ISO 27799; NVZ 2010)

Er behoort een enkelvoudig kader voor bedrijfscontinuïteitsplannen te worden gehandhaafd om te bewerkstelligen dat alle plannen consistent zijn, om eisen voor informatiebeveiliging op consistente wijze te behandelen en om prioriteiten vast te stellen voor testen en onderhoud. (NVZ 2010) Bedrijfscontinuïteitsplannen behoren regelmatig te worden getest en geactualiseerd, om te bewerkstelligen dat ze actueel en doeltreffend blijven.

15 Naleving 15.1 Naleving van wettelijke voorschriften 15.1.1 Identificatie van toepasselijke Alle relevante wettelijke en wetgeving regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de

a. De organisatie heeft als onderdeel van de continuïteitsplannen (zie 14.1.1a) (nood)procedures en workarounds ontwikkeld en geïmplementeerd om in geval van ICT-verstoring en/of andere verstoringen de continuïteit van de (kritische) bedrijfsprocessen zo ver als mogelijk te handhaven en de oorza(a)k(en) van verstoring zo snel mogelijk weg te nemen. b. De organisatie heeft voorzieningen om de bereikbaarheid van en communicatie met medewerkers die over specifieke kennis beschikken zeker te stellen. c. Medewerkers met kennis van vitaal belang zorgen er ten aller tijde voor bereikbaar te zijn. Zie 14.1.1 continuïteitsbeheer en 14.1.3 continuïteitsplannen.

Continuïteitsplannen, continuïteits-testprogramma's, escalatieschema's.

Beheerproces, beleid, richtlijnen, continuïteitsplannen, noodprocedures, workarounds, continuïteits-testprogramma's.

a. De organisatie test periodiek de doeltreffendheid van de technische Continuïteitplannen, en organisatorische maatregelen, de werking van de noodprocedures noodprocedures, service level en de effectiviteit van de continuïteitsplannen. agreements. b. De organisatie neemt zo nodig aanvullende technische en organisatorische maatregelen, stelt waar nodig de noodprocedures en de continuïteitsplannen bij.

a. De organisatie heeft een actueel schriftelijk overzicht van weten regelgeving, overige richtlijnen en normen die relevant zijn voor veilige informatieverwerking en gegevensuitwisseling in de zorg. b. De organisatie heeft relevante weten regelgeving daar waar nodig vertaald naar intern beleid en richtlijnen en informatieclassificatie. c. De organisatie heeft een actueel overzicht van de relevante contractuele verplichtingen met betrekking tot leveranciers van producten of diensten en derden betrokken bij externe


Beleidsdocument, privacyreglement, overzichtslijst weten regelgeving, classificatiesystematiek, contractbeheer.

33 van 35



Toetsingscriteria


zwaaarw.

zwaaarw.

organisatie. 15.1.2 Intellectuele eigendomsrechten Er behoren geschikte procedures te (Intellectual Property Rights, IPR) worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten.

gegevensuitwisseling (waaronder bewerkers). a. De organisatie heeft beleid ten aanzien van verwerving en gebruik van materiaal en programmatuur waarop intellectuele eigendomsrechten van derden berusten, waaronder software en licenties (zie ook 12.5.5). b. De organisatie legt de daaruit voortvloeiende verplichtingen vast, toetst het rechtmatig gebruik en komt de verplichtingen na. c De organisatie heeft afgedwongen dat contractpartners de verplichtingen met betrekking tot intellectuele eigendomsrechten van andere partijen nakomen en de organisatie vrijwaart voor eventuele aanspraken van de rechthebbende. d. De organisatie maakt bij in- en uitdiensttreding met medewerkers zo nodig afspraken over intellectuele eigendomsrechten. 15.1.3 Bescherming van a. De organisatie hanteert richtlijnen en procedures voor de Belangrijke registraties behoren te bedrijfsdocumenten totstandkoming, identificering en archivering van (al dan niet formele) worden beschermd tegen verlies, documenten en voor de fysieke en logische beveiliging daarvan (zie vernietiging en vervalsing, overeenkomstig wettelijke en ook 7.2.1 en 2). b. De organisatie hanteert richtlijnen en procedures voor de regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen. totstandkoming, archivering en naslag van beleid, richtlijnen, procedures en protocollen die noodzakelijk zijn voor adequate en (NVZ 2010) veilige uitvoering van de bedrijfsprocessen. Organisaties die patiëntgegevens verwerken behoren ervoor te zorgen dat c. De organisatie evalueert en reviseert richtlijnen, procedures en tot een persoon herleidbare gegevens protocollen periodiek. d. De organisatie hanteert relevante bewaartermijnen voor formele niet langer worden bewaard dan bedrijfsdocumenten. noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren. (ISO 27799) 15.1.4 Bescherming van gegevens en Bescherming van gegevens en privacy a. De organisatie heeft maatregelen getroffen ter bescherming van geheimhouding van behoort te worden bewerkstelligd vertrouwelijke persoonsgegevens en overige vertrouwelijke informatie persoonsgegevens (zie ook 8.1.2, 8.1.3, 8.2.1, 8.2.2, 9.1.1 en 9.2.1). overeenkomstig relevante wetgeving, voorschriften en indien van toepassing b. De organisatie hanteert richtlijnen en procedures waarin is contractuele bepalingen.(NVZ vastgelegd onder welke omstandigheden toestemming wordt verleend 2010)Behoudens wettelijke voor het uitwisselen van persoonsgegevens.c. De organisatie heeft uitzonderingen, behoort een een regeling voor het melden en opvolgen van privacy-incidenten. zorginstelling toestemming te hebben van de patiënt voor het uitwisselen van zijn gegevens(ISO 27799) 15.1.5 Voorkomen van misbruik van Gebruikers behoren ervan te worden Aanvullend op 13.1 rapportage van informatiebeveiligingsIT-voorzieningen weerhouden IT-voorzieningen te gebeurtenissen en zwakke plekken:


Beleid, reglement, overeenkomsten, licenties.

Richtlijnen, procedures, systemen.

Privacyreglement, gedragsregels, procedures.

Gedragscode, checklist beoordelingsgesprek,

34 van 35



Toetsingscriteria


gebruiken voor onbevoegde doeleinden. a. De organisatie heeft een gedragscode (fair use policy) voor het omgaan, verwerken en gebruiken van informatie en informatievoorzieningen. b. Medewerkers spreken elkaar onderling aan op de naleving. c. Management ziet toe op de naleving (zie 15.2.1). 15.1.6 Voorschriften voor het gebruik Cryptografische beheersmaatregelen Zie 12.3.1 cryptografie. van cryptografische behoren overeenkomstig alle relevante beheersmaatregelen overeenkomsten, wetten en voorschriften te worden gebruikt. 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving 15.2.1 Naleving van beveiligingsbeleid Managers behoren te bewerkstelligen a. De organisatie heeft een ISMS ingericht (zie 4.1 t/m 4.7.3). en -normen b. De organisatie beschikt over informatiebeveiligingsbeleid dat mede dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen is afgestemd op relevante weten regelgeving en normen (zie 5.1.1 en correct worden uitgevoerd om naleving 5.1.2). te bereiken van beveiligingsbeleid en - c. De organisatie heeft mede op basis van risicoanalyse passende beheersmaatregelen getroffen (zie 6.1.1 t/m 15.3.2) normen. d. De organisatie voert een auditprogramma uit dat, aansluitend op het ISMS, de werking en doeltreffendheid van de beheersmaatregelen toetst. e. De organisatie ziet op deze wijze toe op de naleving van het informatieveiligheidsbeleid. 15.2.2 Controle op technische Informatiesystemen behoren regelmatig a. De organisatie heeft een controleplan om de implementatie en naleving te worden gecontroleerd op naleving naleving van technische beveiligingsnormen te controleren. van implementatie van technische b. De organisatie voert het controleplan periodiek uit en rapporteert beveiligingsnormen. over de bevindingen aan het management, de interne auditor en de information security officer. 15.3 Overwegingen bij audits van informatiesystemen 15.3.1 Beheersmaatregelen voor Eisen voor audits en andere activiteiten a. De organisatie plant controles om de uitvoering (performance) van audits van informatiesystemen waarbij controles worden uitgevoerd op ondersteunende productiesystemen te toetsen, zoveel mogelijk af op productiesystemen, behoren zorgvuldig de uitvoering van de bedrijfsprocessen en neemt waar nodig te worden gepland en goedgekeurd om maatregelen om het risico van verstoring tot een minimum te het risico van verstoring van beperken. bedrijfsprocessen tot een minimum te beperken. 15.3.2 Bescherming van Toegang tot hulpmiddelen voor audits a. De organisatie heeft een volledig overzicht van de hulpmiddelen audithulpmiddelen voor audits van van informatiesystemen behoort te voor controles en audits van informatiesystemen. informatiesystemen worden beschermd om mogelijk misbuik b. De organisatie heeft de hulpmiddelen afgeschermd voor niet of compromittering te voorkomen. bevoegden. c. De organisatie stelt de hulpmiddelen veilig, logt de toegang tot de hulpmiddelen, stelt de logging veilig. d. De organisatie detecteert eventuele wijzigingen aan de hulpmiddelen.


verslagen van werkoverleggen, observaties.

Beleid, classificatiesystematiek, technische maatregelen.

Auditprogramma, auditrapportages.

Technische veiligheidsspecificaties, controleprocedures.

Productieplanning, controleplanning, auditprogramma's.

Hulpmiddelenlijst, auditprocedures, systemen, testbestanden.

35 van 35

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Recommend Documents