Cursusdag ICT-standaarden in de zorg
Nieuwegein, 20 mei 2014
Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC
Inhoud • • • • •
Toelichting informatiebeveiliging Toelichting NEN 7510 Overige relevante normen Informatiebeveiliging Erasmus MC Afsluiting
Toelichting informatiebeveiliging
Wat is informatiebeveiliging? (1) Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf.
Beschikbaarheid
Integriteit
Vertrouwelijkheid
Wat is informatiebeveiliging? (2) Identificatie en authenticatie
Autorisatie Role based Access control
Waarom informatiebeveiliging? •
Patiëntveiligheid
•
Beschikbaarheid, integriteit, vertrouwelijkheid
•
Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. IGZ en CBP)
•
Wet- en regelgeving (WGBO, WBP, NEN7510)
•
Voorkoming van (financiële) schade
•
Bescherming van het imago van de organisatie
Wet- en regelgeving - WBP • Art. 13: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.” • Patiëntgegevens zijn zogenaamde ‘bijzondere gegevens’ • Art. 21 WBP geeft regels voor de verwerking van patiëntgegevens (o.a. geheimhouding)
Wet- en regelgeving - WGBO • Wet op de Geneeskundige Behandelingsovereenkomst (art. 446 t/m 468 Burgerlijk Wetboek) • Behandelrelatie patiënt – zorgverlener staat centraal • Regelt onder andere: – Dossierplicht zorgverlener (art. 454) – Rechten patiënt (inzage, afschrift, aanvulling, correctie, afscherming, verwijdering en vernietiging) – Beperking toegang dossier – Vertrekking patiëntgegevens t.b.v. statistisch en wetenschappelijk onderzoek
Wetgeving – Europese privacywetgeving • Bestaande ‘EU Data Protection Directive • Nieuwe ‘EU General Data Protection Directive’ – Privacy by default/design – Privacy Impact Assessment (PIA) – Profiling – ‘Het recht om vergeten te worden’ – Financiële sancties (1-5% bruto omzet)
Toelichting NEN 7510
Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse
Risicoanalyse Risicoanalyse
Inventariseer de informatiemiddelen
Bepaal de waarde van de informatiemiddelen en afhankelijkheden ertussen
Inventariseer de Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen
Beoordeel de risico’s
Bepaal af te dekken risico’s Kies de maatregelen Restrisico aanvaarden? Nee Ja Informatiebeveilligingsbeleid
Informatiebeveiligingsplan
Information Security Management System (ISMS) Plan Interested Parties
Het Establish ISMS Establish vaststellen ISMS ISMS
Belanghebbenden
Do
Eisen Information en verwachtingen security t.a.v.requirements informatiebeveiliging and expectations
Interested Parties
Het ISMS implemenImplement Implementand and teren en the uitvoeren operate ISMS operate the ISMS
Het ISMS bijhouden Maintain and Maintain and en verbeteren improve the ISMS improve the ISMS
Het Monitor ISMS bewaken Monitorand and enreview beoordelen reviewthe ISMS theISMS ISMS Check
Belanghebbenden
Act
Managed Beheerde informatiesecurity beveiliging
NEN 7510 - beheersmaatregelen • • • • • • • • • • •
Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitsbeheer Naleving
Voorbeeld beheersmaatregel • 11.1.1 Toegangsbeleid • Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. • Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele, ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg.
Samenstelling NEN 7510 • Combinatie van: – Organisatorische maatregelen – Technische maatregelen – Fysieke maatregelen
• Gericht op: – – – –
Bedrijfsprocessen Informatievoorziening Infomatietechnologie Geautomatiseerd en niet-geautomatiseerd
Certificatieschema NEN7510 • Voorkomt van wildgroei schema’s • Stimuleert implementatie NEN7510 • Bevordert transmurale zorg met ICT
• Vergroot zekerheid inzet externe partijen
Overige relevante normen • NEN 7512, Vertrouwensbasis voor gegevensuitwisseling (in revisie) • NEN 7513, Logging – Vastleggen van actie op elektronische patiëntdossiers • NEN 7521, Toegang tot patiëntgegevens – Grondslagen voor uitwisseling (in ontwikkeling) • ……..
Standaarden en organisaties • ISO/TC 215, WG4, Privacy and Security • CEN/TC 251, WG6, Health care, Security, Privacy, Quality and Safety • ISO270xx (Information security) • ISO27799 (ISM in Health using ISO 27002) • ISO22301, Requirements BCMS • ISO22313, Guidance BCMS • ISO31000, Risk management • Cobit, ITIL, BSIL, ASL, etc.
Informatiebeveiliging in het Erasmus MC
Missie Erasmus MC
Het Erasmus MC staat voor een gezonde bevolking en excellente zorg door onderzoek en onderwijs. Het Erasmus MC is erkend leidend in innovaties voor gezondheid en zorg.
Toelichting Erasmus MC • • • •
Onderdelen Erasmus MC - centrumlocatie Erasmus MC - Sophia Kinderziekenhuis Erasmus MC - Daniël den Hoed Kliniek Erasmus MC - faculteit
• • • • •
Kengetallen Aantal klinische bedden: 1.300 Aantal polikliniekbezoeken: 530.000 p.j. Aantal operatiekamers: 30 Aantal medewerkers: 11.000 Aantal studenten: 3.000
Uitgangspunten informatiebeveiliging Erasmus MC • Iedereen heeft een rol bij informatiebeveiliging – integrale managementverantwoordelijkheid • Gestructureerde aanpak • NEN-normen 7510, 7512 en 7513 en wet- en regelgeving • Stimuleren beveiligingsbewustzijn bij management en medewerkers • Aandacht voor informatiebeveiliging bij ontwikkeling en beheer van informatiesystemen • Gedragscode voor medewerkers, inclusief sancties • Toezicht op naleving • Samenwerking met andere partijen, waaronder andere UMC’s, NVZ en het NCSC
Managementsysteem voor informatiebeveiliging Beleidsvorming
Monitoring, evaluatie en controle
Implementatie
RisicoAnalyse
Planvorming
Organisatie informatiebeveiliging Erasmus MC Lijnmanagement Coördinator Informatiebeveiliging
Portefeuillehouder RvB CISO / IT Security Officer Functionaris Gegevensbescherming Computer Emergency Response Team Audit Overige betrokkenen Diverse overlegvormen
Controle en rapportage via P&C-cyclus
De rol van de ‘Security Officer’ • Beheer informatiebeveiligingsbeleid, richtlijnen en standaarden • Coördineren van de implementatie van informatiebeveiliging • Communicatie en voorlichting
• Evaluatie, rapportage en advies
Communicatiecampagnes • • • • • • • • •
Presentaties management Personeelsblad Intranet Posters Toelichting in werkoverleg Introductie nieuwe medewerkers Controle van werkplekken Social engineering Meting van resultaten door enquête
Tien geboden voor informatiebeveiliging Houd wachtwoorden geheim Berg vertrouwelijke informatie op Beveilig uw werkplek bij (tijdelijke) afwezigheid Verstrek geen vertrouwelijke informatie ongecontroleerd aan derden Gebruik internet en e-mail op een goede manier Pas op bij het downloaden van bestanden, gebruik geen illegale programmatuur
Wees je bewust wat je doet met social media Meld een beveiligingsincident aan de helpdesk, leidinggevende of Coördinator Informatiebeveiliging Wees voorzichtig met mobiele apparatuur (laptop, USB-stick, etc.)
Sla gegevens op op het netwerk of zorg anders voor een goede back-up
Controle werkplekken
Tot slot (1) Valkuilen en aandachtspunten • Management commitment • Beveiliging is niet populair • Verantwoordelijkheid in de lijn • Balans vinden in risico en gebruikersgemak • Balans vinden in continuïteit versus privacy • Het is een zaak van lange adem, vereist continue aandacht
Tot slot (2) Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC, Universitair Medisch Centrum Rotterdam 's-Gravendijkwal 230 Postbus 2040 3000 CA Rotterdam Tel 010 - 703 67 61 E-mail
[email protected] Internet www.erasmusmc.nl
Tot slot (3)