ID.1
Beheersdoelstelling
ID.2 Beheersmaatregel
Type maatregel
1
Beheersmaatregelen geven redelijke mate van zekerheid dat het zelfzorgplatform alle essentiële persoonlijke gegevens van de patiënt en zijn relaties kan registreren en wijzigen zodat het systeem gerichte acties uit kan voeren.
1.1
Configuratie
x
x
Basiseisen ZO! V4.0
Er is een gestandaardiseerde manier van het opslaan Configuratie van gezondheidskenmerken in het zelfzorgplatform. De gezondheidskenmerken bestaan ten minste uit: - Biometrische gegegevens (lengte, gewicht, (berekend) BMI, middelomtrek) - Ziekten en aandoeningen - Geneesmiddelenovergevoeligheden - Leefstijl en risicofactoren (bewegen, roken, voeding, ontspanning, cardiovasculaire risicofactoren) - Zelfzorgvaardigheden
x
x
Basiseisen ZO! V4.0
Er is een gestandaardiseerde manier van het opslaan van profielkenmerken in het zelfzorgplatform. De profielkenmerken bestaan ten minste uit: - Demografische gegevens (NAW, geboortedatum, geslacht, BSN) - Contactgegevens (telefoon, e-mail) - Verzekeringsgegevens (naam zorgverzekeraar, klantnummer)
Opzet Bestaan
Werking Bron
Bonus
- Opleiding en werk (hoogst genoten opleiding, dagelijkse werkzaamheden) 1 1.2
- Ontvangen vaccinaties
1
- Persoonlijke voorkeuren (donorcodicil, nietreanimerenverklaring, levenstestament) 1.3
Er is een gestandaardiseerde manier van het opslaan van behandelgegevens in het zelfzorgplatform. De behandelgegevens bestaan ten minste uit: - Geneesmiddelen (naam, vorm, sterkte, dosering) - Niet-medicamenteuze behandeling (soort, duur) - Hulpmiddelen
- Zelfzorgmiddelen (naam, vorm, sterkte, dosering)
1 Configuratie
x
x
Basiseisen ZO! V4.0
1
2
Beheersmaatregelen 2.1 geven redelijke mate van zekerheid dat toegang tot ICT-diensten en middelen wordt beperkt tot geautoriseerd gebruik door geautoriseerde gebruikers en beheerders.
Er is een actuele, gedocumenteerde en geaccordeerde Autorisatie (toegangs-) beveiligingsstandaard en autorisatiematrix. In deze autorisatie zijn de volgende rollen en achterliggende rechten beschreven: - Hoofdgebruiker/patiënt - Behandelaar - Beheerder
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
- Belangrijke derde
1
- Deskundige
1
- Andere hoofdgebruikers
1
2.2
Toegangsrechten worden uitgegeven aan gebruikers en beheerders na goedkeuring door de verantwoordelijke partij, cf de in de autorisatiematrix opgestelde rollen (RBAC model).
Procedureel
x
x
2.3
Iedere gebruiker op het platform beschikt over een uniek en naar de natuurlijke persoon herleidbaar account.
Procedureel
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
2.4
Het zelfzorgplatform beschikt over een adequaat Configuratie wachtwoordbeleid, waarbij wachtwoorden aan de volgende eisen voldoen: - Minimaal 6 karakters - Complexiteit van wachtwoord wordt afgedwongen - De laatste drie wachtwoorden kunnen niet worden hergebruikt - Blokkering account na aantal keer (n) foutief inloggen (n=maximaal 10)
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Two-factor authenticatie is ingericht voor het inloggen vanaf buiten het netwerk van het platform. Het initieel verstrekte wachtwoord dient bij de eerste inlogpoging te worden gewijzgd.
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
3
2.5
Periodiek worden toegangsrechten op actualiteit gecontroleerd en bevestigd door het verantwoordelijke management/systeembeheerder
Procedureel
x
x
2.6
Het systeem moet een gebruiker de mogelijkheid bieden een gebruikerssessie op vertrouwensniveau laag te starten door het invoeren van zijn gebruikersnaam en wachtwoord.
Autorisatie
x
x
2.7
Alle activiteiten van gebruikers worden gelogd in de database. Kenmerken welke dienen te worden gelogd zijn: - Account - Rol - Functie - Tijdstip - Uitgevoerde actie (inzien, toevoegen, wijzigen, verwijderen)
Autorisatie
x
x
x
Basiseisen ZO! V4.0
2.8
Alleen actoren die gemachtigd zijn door of namens de hoofdgebruiker/patiënt (zoals behandelaars) hebben buiten de patiënt toegang tot het dossier van een de patiënt. Koppelingen met andere systemen komen alleen tot stand met medeweten en toestemming van de hoofdgebruiker/patiënt. De systeembeheerder mag patiëntdata slechts inzien indien dit noodzakelijk is. Activiteiten van de systeembeheerder worden gelogd.
Autorisatie
x
x
x
Basiseisen ZO! V4.0
x
x
Beheersmaatregelen 3.1 geven redelijke mate van zekerheid dat het zelfzorgplatform een plannen-doen-controlerenaanpassencyclus ondersteunt teneinde de patiënt te ondersteunen bij het behalen van de gestelde doelen en het maken van gerichte keuzen.
Het systeem is - uitgaand van het persoonlijke profiel Configuratie van de patiënt - in staat om informatiedoelen, behandeldoelen en leefstijldoelen te helpen formuleren en bij behorende acties te plannen. Minimaal vast te leggen gegevens zijn: - Doelen - Afspraken (zorginhoudelijk)
- Acties (gekoppeld aan doelen)
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Basiseisen ZO! V4.0
Basiseisen ZO! V4.0 en Plan van Eisen generiek Individueel Zorgplan (NHG, NPCF en Vilans januari 2014)
1
aanpassencyclus ondersteunt teneinde de patiënt te ondersteunen bij het behalen van de gestelde doelen en het maken van gerichte keuzen.
4
Beheersmaatregelen geven redelijke mate van zekerheid dat het zelfzorgplatform de mogelijkheden biedt om uitkomsten van het zelfzorgproces zowel op individueel als groepsniveau te monitoren en terug te koppelen.
- Een actieplan of zorgagenda
1
3.2
Het systeem stimuleert het aanleren van vaardigheden, Configuratie ondersteunt het aanbieden van middelen die de gekozen doelen van zelfzorg of gedragsverandering bevorderen en ondersteunt persoonsgerichte coaching. Het systeem bevat of biedt toegang tot betrouwbare, actuele en begrijpelijke gezondheidsinformatie op maat (weten, doen, meten)
x
x
Basiseisen ZO! V4.0
3.3
Het platform kan op basis van de gemaakte afspraken en vooraf benoemde streefwaarden afwijkende trends en meetwaarden signaleren en daarvan een notificatie sturen aan relevante gebruikers. Minimaal vast te leggen gegevens zijn: - Instelbare streefwaarden - Feedback incl. advies en op te nemen actie (groen, oranje, rood) - Actielijst/actieplan - Reminderfunctie
Configuratie
x
x
Basiseisen ZO! V4.0
3.4
Het platform kan de resultaten van het proces van Configuratie zelfzorg en/of gedragsverandering inzichtelijk te maken. Op basis van deze resultaten kunnen doelen, acties en afspraken worden geëvalueerd. Dit vormt, zo nodig, de input voor een nieuwe cyclus, met doelen, acties en afspraken.
x
x
Basiseisen ZO! V4.0
3.5
Het platform bevat of heeft een koppeling met een eConsult module, een eAfspraak module en een eRecept module.
Configuratie
x
x
Basiseisen ZO! V4.0
4.1
De patiënt en zijn zorgverlener kunnen met behulp van Configuratie het zelfzorgplatform ontwikkelingen en trends volgen van biometrische meetwaarden op basis van de eDiabetes-kernset.
x
x
Basiseisen ZO! V4.0
4
5
Beheersmaatregelen geven redelijke mate van zekerheid dat het zelfzorgplatform de mogelijkheden biedt om uitkomsten van het zelfzorgproces zowel op individueel als groepsniveau te monitoren en terug te koppelen.
4.2
Door een zorgplatform gebruikte meetwaarden kunnen Configuratie van een betekenis worden voorzien. Dit kan via een waardering door de zorgverlener, een waardering door een geautomatiseerd kennissysteem, door patiënt en zorgverlener overeengekomen grenswaarden met daaraan gekoppeld een specifieke actie. Een zorgplatform ondersteunt door middel van deze toegekende betekenis vroege opsporing van complicaties en monitoring van de voortgang van zelfzorgacties waarbij meetbare streefwaarden zijn geformuleerd. Een platform kan gevraagd en ongevraagd notificaties versturen aan patiënt en/of zorgverlener bij het overschrijden van ingestelde grenswaarden en/of het bereiken van bepaalde streefwaarden. Wanneer er sprake is van invoer van nieuwe meetgegevens of het toekennen van een nieuwe of aanvullende betekenis dan worden deze ter kennisname gepresenteerd aan de patiënt en/of zorgverlener.
x
x
Basiseisen ZO! V4.0
4.3
Het platform kan (geanonimiseerd) rapporten verzorgen Reporting op verzoek van patiënt en/of zorgverlener waarin (meet)gegevens worden getoond op basis van één of meer gemeenschappelijke kenmerken van een groep patiënten die gebruik maken van het zelfzorgplatform. Het platform biedt hiertoe de mogelijkheid om via eigen gedefinieerde query's rapporten te exporteren waarbij de persoonskenmerken bij de export zijn geanonimiseerd/versleuteld.
x
x
Basiseisen ZO! V4.0
Er is een actueel, gedocumenteerd en door het management geaccordeerd beveiligingsontwerp aanwezig voor het zelfzorgplatform, inclusief het accorderen door het management van niet afgedekte (rest)risico’s. Het beveiligingsontwerp wordt jaarlijks geëvalueerd en indien noodzakelijk bijgesteld.
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen & NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
Beheersmaatregelen 5.1 geven redelijke mate van zekerheid dat alle risico’s voor de vertrouwelijkheid, integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten worden geadresseerd.
Procedureel
integriteit, beschikbaarheid en controleerbaarheid van de ICT-diensten worden geadresseerd. 5.2
Apparatuur is zo geplaatst en beschermd dat risico's Procedureel van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau. De technische infrastructuur bevindt zich op Nederlands grondgebied en valt derhalve onder Nederlandse jurisdictie. (NB: In overeenstemming met Europese regelgeving is dataopslag in een lidstaat van de Europese Unie hiermee gelijk te stellen)
x
x
NEN 7510 Basiseisen ZO! V4.0
5.3
Toegang tot de applicatie en gegevens vindt plaats via Procedureel een Demilitarised Zone (DMZ) waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke
x
x
NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
5.4
Om vast te stellen dat het platform authentiek is, wordt Procedureel gebruikt gemaakt van en Secure HTTP (HTTPS) verbinding op basis van een certificaat, dat is gecertificeerd door een Certificate Authority (CA) onder de root van de Staat der Nederlanden.
x
x
NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
5.5
Jaarlijks vindt een vulnerabilityscan plaats op de netwerkinfrastructuur van de webapplicatie teneinde kwetsbaarheden bloot te leggen. Bevindingen met een hoog risico worden direct opgevolgd.
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen & NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
5.6
Beveiligingsincidenten (intern en extern) worden geregistreerd, geanalyseerd en indien noodzakelijk opgevolgd.
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen & NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
6
Beheersmaatregelen geven redelijke mate van zekerheid dat de geleverde ICT-diensten aan de overeengekomen beleidspunten, dienstenniveaus en beheersdoelstellingen voldoen.
5.7
Het systeem sluit de gebruikerssessie automatisch af wanneer: - de applicatie gedurende een bepaalde tijd niet is gebruikt - de sessie gedurende een bepaalde in te stellen tijd open staat.
Configuratie
x
x
Basiseisen ZO! V4.0
5.8
Patientgegevens kunnen uitsluitend door bevoegd gebruikers worden gedownload, waarbij de export van gegevens beperkt blijft tot één patient.
Autorisatie
x
x
Basiseisen ZO! V4.0
5.9
De systeembeheerder analyseert maandelijks of de Procedureel meest recente securitypatches zijn geïnstalleerd. Indien afwijkingen worden geconstateerd, worden deze opgevolgd.
x
x
6.1
De geleverde ICT-diensten en de daarbij horende Procedureel voorwaarden (beleidspunten, dienstenniveaus, beheersdoelstellingen en geautoriseerde ontvangers van ICT-diensten) worden ondubbelzinnig overeengekomen in een Service Level Agreement (SLA) in overeenstemming met de afspraken met klantorganisaties.
x
x
6.2
Er wordt maandelijks gerapporteerd over de gerealiseerde dienstenniveaus en beheersdoelstellingen in een Service Level Report (SLR)
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
6.3
Jaarlijks vindt evaluatie van de SLA met de klantorganisaties plaats op basis van de SLR's en indien noodzakelijk wordt de SLA bijgesteld.
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen & NCSC ICTBeveiligingsrichtlijnen voor webapplicaties
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
7
8
Beheersmaatregelen geven redelijke mate van zekerheid dat de ICTdiensten in het geval van een calamiteit tijdig herstelbaar te zijn.
7.1
Er is een actueel, gedocumenteerd en door het management geaccordeerd continuïteitsplan voor de ICT-diensten. Hierin staat beschreven welke eisen er worden gesteld ten aanzien van back-up, alsmede disaster recovery.
Procedureel
x
x
7.2
Jaarlijks wordt het continuïteitsplan getest in overeenstemming met onderliggende testplannen.
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
7.3
Jaarlijks wordt het continuïteitsplan geëvalueerd, zonodig geactualiseerd en door het management geaccordeerd.
Procedureel
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
7.4
Back-ups worden uitgevoerd conform continuïteitsplan, Procedureel er wordt gemonitord op het verloop van back-ups en bij afwijking vindt opvolging plaats.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
7.5
Er vindt jaarlijks een restoretest plaats van het platform Procedureel op basis van een bestaande back-up.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Beheersmaatregelen 8.1 geven redelijke mate van zekerheid dat wijzingen in de software beheerst worden doorgevoerd.
Wijzigingen worden vooraf geautoriseerd en getest. Na Procedureel akkoord van de gebruikersorganisatie in de acceptatietest wordt de wijziging in productie genomen.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
In het wijzigingenproces wordt voor ontwikkelling, test en acceptatie gebruik gemaakt van geheel van de productieomgeving, gescheiden omgevingen. Ontwikkelaars en testers hebben geen toegang tot de productieomgeving.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
8.2
Procedureel
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
9
Beheersmaatregelen geven redelijke mate van zekerheid dat incidenten tijdig, volledig en doeltreffend worden afgehandeld.
9.1
Voor alle typen incidenten is een formeel en bereikbaar Procedureel loket ingesteld.
x
x
9.2
Incidenten worden systematisch geregistreerd, Procedureel geclassificeerd op impact en urgentie, en geprioriteerd in overeenstemming met de afspraken over het dienstenniveau.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
9.3
Een incident wordt afgesloten nadat is vastgesteld dat Procedureel alle vereiste gegevens zijn ingevuld en nadat de melder heeft bevestigd dat het incident is opgelost.
x
x
x
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen
Maximale aantal bonuspunten
Norea Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen & Basiseisen ZO! V4.0
9
