Nederlandse Zorgautoriteit. Rapport van bevindingen inzake een evaluatie van. Drie Plannen van Aanpak

Rijndijk 235 2394 CD Hazerswoude Nederland Telefoon +31 (0)71 3416911 Email [email protected]

Nederlandse Zorgautoriteit

Rapport van bevindingen inzake een evaluatie van Drie Plannen van Aanpak

Definitieve versie: 1.00

Opdrachtgever Auteur

Kwaliteitscontrole Rapportnummer Classificatie Status Datum Bestandsnaam

A. van der Laan Nederlandse Zorgautoriteit R. Paans Noordbeek B.V. J.E. Fasten K.C. Schoon A.J. Stroo NZAPVA6-1 Ongeclassificeerd Definitief 16 februari 2016 Rapport NZa Evaluatie Plannen 2015

KvK nummer BTW nummer

Rijnland 33265070 NL8203.45.180.B01

1 van 38

Nederlandse Zorgautoriteit Evaluatie van Drie Plannen van Aanpak

Colofon Opdrachtgever

Mevrouw A. van der Laan Hoofd Strategie & Bestuursondersteuning Nederlandse Zorgautoriteit

Contactpersoon

J.E. Fasten BEc RE QSA CISA Manager IT Audit Telefoon 06 13 76 49 76 Email [email protected]

Afzendergegevens

Noordbeek B.V. Rijndijk 235 2394 CD Hazerswoude http://www.noordbeek.com/

Auteurs

R. Paans J.E. Fasten K.C. Schoon

Kwaliteitscontrole

A.J. Stroo

2 van 38


Inhoud 1.

Inleiding ................................................................................................................................. 4 1.1. Plannen van Aanpak ...................................................................................................... 4 1.2. Doelstelling en hoogte van de lat .................................................................................. 4

2.

Management Samenvatting: Conclusie .............................................................................. 5

3.

Toetsing aan de doelstellingen in de Plannen van Aanpak (december 2014) .................. 7 3.1. HRM .............................................................................................................................. 7 3.2. Integriteit ....................................................................................................................... 9 3.3. ICT en Informatiebeveiliging ...................................................................................... 11

4.

Toetsing aan de aanbevelingen in de initiële onderzoeken (2014) .................................. 15 4.1. HRM ............................................................................................................................ 15 4.2. Integriteit ..................................................................................................................... 16 4.3. ICT en informatiebeveiliging ...................................................................................... 19

5.

Effectenmeting onder de medewerkers............................................................................. 22 5.1. Effectenmeting HRM .................................................................................................. 23 5.2. Effectenmeting Integriteit............................................................................................ 24 5.3. Effectenmeting IV & IB .............................................................................................. 25

6.

Advies voor verdere verbeteringen bij IV & IB ............................................................... 26 6.1. Herprioriteren en clusteren van de actiepunten voor IV & IB .................................... 27 6.2. Uitbreiden van de omvang van de organisatie voor IV & IB ...................................... 29 6.3. Sluitende PDCA-cyclus conform VIR/BIR voor In Control Verklaring .................... 30 6.4. Automatische provisioning voor autorisatiebeheer ..................................................... 30 6.5. Actualisering van het beleid voor zeer gevoelige informatie ...................................... 31

7.

Advies voor de evaluatie aan het einde van 2016 ............................................................. 32

8.

Opdrachtomschrijving en opdrachtuitvoering ................................................................ 33 8.1. De onderzoeksvraag .................................................................................................... 33 8.2. Scope ........................................................................................................................... 33 8.3. De onderzoeksaanpak .................................................................................................. 33 8.4. Het onderzoeksteam .................................................................................................... 34 8.5. Ondertekening ............................................................................................................. 35

Bijlage A Lijst van geraadpleegde documentatie ........................................................................ 36 A.1 HRM ............................................................................................................................ 36 A.2 Integriteit ..................................................................................................................... 37 A.3 Informatievoorziening en informatiebeveiliging ......................................................... 38

3 van 38


1.

Inleiding De NZa bepaalt welke zorg aanbieders in rekening mogen brengen en wat de zorg (maximaal) mag kosten. Daarnaast is de NZa toezichthouder op alle zorgmarkten in Nederland, zowel van zorgaanbieders als van verzekeraars, zowel op curatieve markten als op de markten voor langdurige zorg. De onafhankelijke Commissie Borstlap (doc 41) heeft in september 2014 een rapport uitgebracht naar het intern functioneren van de NZa. De Commissie deed aanbevelingen om de organisatie te professionaliseren. Andersson Elffers Felix (doc 42) en accountantskantoor Flynth (doc 44) hebben in opdracht van het Ministerie van VWS rapporten uitgebracht over het functioneren van de Wmg en de NZa en over het declaratiebeleid van de NZa. Parallel hieraan heeft de NZa het bureau Mazars (doc 9) een IT-audit laten uitvoeren naar informatiebeveiliging en het bureau Berenschot (doc 8) het compliance- en integriteitsbeleid laten onderzoeken.

1.1.

Plannen van Aanpak Op 18 december 2014 heeft de NZa drie Plannen van Aanpak aangeboden aan het Ministerie van VWS. Deze plannen hebben betrekking op professionalisering van het HRM-beleid, integriteit en informatievoorziening en informatiebeveiliging. De NZa heeft aangekondigd de uitwerking van de drie Plannen van Aanpak te evalueren. Hiertoe laat de NZa eind 2015 een eerste tussenevaluatie uitvoeren van de realisatie van de verschillende onderdelen door het bureau Noordbeek. Dit rapport is het resultaat van deze tussenevaluatie, die als doelstelling heeft:  Er dient te worden vastgesteld of alle activiteiten die zijn toegezegd in de Plannen van Aanpak daadwerkelijk zijn uitgevoerd, zijn gepland of om moverende redenen zijn vervallen of aangepast. Bij deze oordeelsvorming staat het gewenste resultaat van de geplande maatregelen voorop en niet zozeer de maatregelen zelf;  Er dient een tweede meting te worden voorbereid, uit te voeren aan het einde van 2016, waarin wordt getoetst of alles is bestendigd in beleid en gedrag.

1.2.

Doelstelling en hoogte van de lat De Raad van Bestuur heeft ons verzocht bij de evaluatie de lat hoog te leggen. Gezien de positie van de NZa binnen regulering en het houden van toezicht, is het niet voldoende om te gaan voor een middelmatige inrichting. Naar de mening van de opdrachtgever moet de NZa excelleren op de gebieden HRM-beleid, integriteit en informatievoorziening en informatiebeveiliging. Wij hebben deze randvoorwaarde meegenomen bij het verzamelen van bewijsmateriaal en bij het beoordelen van de al getroffen en de nog te treffen maatregelen.

4 van 38


2.

Management Samenvatting: Conclusie Wij constateren dat over de gehele linie veel werk is verzet door de NZa en dat bij veel acties de gewenste doelen zijn bereikt. Er is sprake van een brede verhoging van de kwaliteit van de HRprocessen, de integriteitsborging en de de informatiebeveiliging.” Bij HRM zijn op een na alle doelstellingen conform het Plan van Aanpak HRM gerealiseerd. Dit betreft onder andere de versterking van de HRM-functie, betere informatievoorziening, aanvullende opleiding en training van HR-medewerkers, trainingen voor management en medewerkers, afschaffing van de vlootschouw, een nieuwe HR-cyclus per januari 2016 en de integratie van DBC-O binnen de NZA. Het nog openstaande actiepunt bij HRM is het volledig invulling geven aan de ontwikkeling van een HR-strategieplan en de Strategische Personeelsplanning. Dit wordt in 2016 opgepakt, nu de nieuwe missie, visie en besturingsfilosofie zijn vastgesteld. Bij Integriteit zijn alle doelstellingen het Plan van Aanpak Integriteit gerealiseerd. Dit betreft onder andere de Gedragscode Integriteit, de integriteitsfunctionaris, het Meldpunt Integriteit, de vertrouwenspersonen, de dilemmabesprekingen, de informatievoorziening, registratie van nevenfuncties en een onderzoeksprotocol. Bij het Plan van Aanpak Informatievoorziening en Informatiebeveiliging (IV & IB) heeft een herijking van de planning plaatsgevonden. De NZa heeft in 2014 en 2015 prioriteit gegeven aan het treffen van maatregelen die het snelst bijdragen aan het veiliger maken van de IT-faciliteiten. Hierbij hebben de meest effectieve maatregelen terecht voorrang gekregen, waarmee de barrière voor kwaadwillenden in aanzienlijke mate is verhoogd. Hierdoor is de NZa aan het einde van 2015 aanzienlijk meer ‘in control’ met informatiebeveiliging dan aan het begin van 2014. Tevens is de governance en organisatie voor IV & IB nu volledig ingericht en operationeel, met de CIO als lid van de Raad van Bestuur, de CISO, de Functionaris voor de Gegevensbescherming, informatiebeveiligers etc. De belangrijkste openstaande actiepunten voor IV & IB betreffen het formaliseren van de Plan-Do-Check-Act-cyclus voor het Information Security Management System, het sluitend maken van autorisatiebeheer en het verder afronden van de technische maatregelen. Uit onze waarnemingen blijkt dat acties uit drie Plannen van Aanpak voortvarend en doelgericht zijn opgepakt. Wij hebben het gerealiseerde stelsel van maatregelen beoordeeld in opzet en bestaan, en deels in werking, en onze bevindingen in dit rapport uitgewerkt. Bij de volgende evaluatie aan het einde van 2016 wordt de volledige opzet en werking beoordeeld, via een toetsing of alles is bestendigd in beleid en gedrag. Uit onze effectenmeting bij medewerkers blijkt dat door hen op een aantal punten een verbetering is geconstateerd ten opzichte van de situatie in 2013, naast een breed gedragen gevoel van tevredenheid over de huidige cultuur binnen de NZa. Wij merken wel dat medewerkers zelf minder enthousiast zijn over ‘weer een meting’, gezien alle aandacht die al aan de onderwerpen is besteed. Op onze uitnodiging aan 45 medewerkers voor de anonieme meting is in eerste instantie slechts door 6 personen positief gereageerd. Na verbreding van de groep en herinneringen, is door 26 van de 60 uitgenodigde medewerkers geparticipeerd bij de effectenmeting, dus een 43% responsie. In dit rapport hebben wij de gegeneraliseerde waarnemingen opgenomen van de effectenmeting. Wij hebben ook een aantal individuele boodschappen ontvangen. Die boodschappen

5 van 38


zijn geanonimiseerd en mondeling overgebracht aan de opdrachtgever, op een dusdanig wijze dat de bron niet herleidbaar is. Op basis van onze natuurlijke adviesfunctie als IT-auditors willen wij de volgende adviezen voor Informatievoorziening en Informatiebeveiliging (IV & IB) onder de aandacht van de NZa brengen in het belang van verdere profesionalisering (zie het hoofdstuk over ‘Advies voor verdere verbeteringen voor IV & IB’): 1. Het herprioriteren en clusteren van de actiepunten voor IV & IB; 2. Het uitbreiden van de omvang van de organisatie voor IV & IB; 3. Het inrichten van een sluitende PDCA-cyclus conform VIR/BIR als basis voor de jaarlijkse In Control Verklaring; 4. Automatische provisioning voor autorisatiebeheer; 5. Het actualiseren van het beleid voor zeer gevoelige gegevens.

6 van 38


3.

Toetsing aan de doelstellingen in de Plannen van Aanpak (december 2014) Ieder Plan van Aanpak bevat de doelstellingen die de NZa wil realiseren. In dit hoofdstuk toetsen wij onze waarnemingen tegen deze doelstellingen zoals vermeld in de Plannen van Aanpak. In het volgende hoofstuk toetsen wij tegen de nulmeting die in 2014 door de Commissie Borstlap en diverse bureaus is uitgevoerd.

3.1.

HRM

Doelstellingen in het Plan van Aanpak HRM De NZa heeft een visie ontwikkeld op de gewenste ontwikkeling van medewerkers, de arbeidsverhoudingen, arbeidsvoorwaarden en de wijze waarop men onderling met elkaar omgaat, zoals respect voor elkaars mening, feedback geven etc. In het Plan van Aanpak HRM (doc34) staan de volgende uitgangspunten voor HRM:  HRM adviseert en ondersteunt. Medewerkers kunnen altijd binnenlopen met vragen over hun rechtspositie, opleidingen en coaching, conflictsituaties, hun werkrelatie met hun manager of binnen hun team, en andere relevante HR-zaken;  HRM is transparant. Zij is open over (de ontwikkeling van) het HR-beleid en nodigt medewerkers actief uit om daar feedback op te geven;  HRM toetst. Zij heeft een belangrijke rol om consistentie over de directies heen te bewaken, te bevorderen en te borgen. Medewerkers moeten gelijk worden behandeld. Rode draden worden zichtbaar gemaakt en besproken tot op het hoogste niveau. Voor 2015 gelden volgens dit Plan van Aanpak HRM de volgende prioriteiten ten aanzien van het HRM-beleid: 1. Managementontwikkeling; 2. Personeelsontwikkeling; 3. Werkdruk; 4. Strategische personeelsplanning; 5. Het begeleiden van verandertrajecten.

Deze visie is uitgewerkt in 16 actiepunten, die wij in detail hebben getoetst. Toetsing In september 2014 is de organisatie dusdanig aangepast dat de HRM-afdeling rechtstreeks rapporteert aan de voorzitter van de Raad van Bestuur. Hierdoor is de voorzitter aangesloten bij de ontwikkeling en uitvoering van het HRM-beleid en de uitvoering van het Plan van Aanpak HRM. Voor het uitgangspunt 1 hebben wij waargenomen dat de NZa een trainingsprogramma heeft opgezet voor managementontwikkeling, waarbij leidinggevenden en waarnemende managers hebben geparticipeerd. Er is door de NZa aandacht besteed aan de profielen van directeuren en unit-

7 van 38


managers, aan het wervings- en beoordelingsproces voor leidinggevenden en aan de ‘span of attention’. Dit laatste heeft onder andere geleid tot de richtlijn dat de omvang van een unit dient te worden beperkt tot maximaal 18 medewerkers. Het realiseren van uitgangspunt 2 manifesteert zich via twee paden. Enerzijds hebben de HRmedewerkers zelf trainingen en opleidingen doorlopen. Anderzijds is de informatievoorziening over de dienstverlening door HRM verbeterd, zijn cursussen gesprekstechnieken georganiseerd voor medewerkers, zijn de werkoverleggen geëvalueerd en waar nodig bijgesteld, en is de HRcyclus herzien. In het kader van uitgangspunt 3 is een onderzoek uitgevoerd naar werkdruk en een plan van aanpak opgesteld. Hierbij is het uitgangspunt te werken met aandacht voor individuele situaties waarin de werkdruk door een medewerker als te hoog wordt ervaren. Wij signaleren dat door de organisatiewijziging nog geen volledige invulling is gegeven aan de ontwikkeling van een HR-strategieplan en de Strategische Personeelsplanning conform het uitgangspunt 4. Dit wordt in 2016 opgepakt, nu de organisatiewijziging per 1 januari 2016 is afgerond. In 2015 zijn de nieuwe missie, visie en besturingsfilosofie vastgesteld die de basis vormen voor het Meerjaren Strategisch Beleidsplan en de Strategisch Personeelsplanning. Uitgangspunt 5 betreft het begeleiden van verandertrajecten. In 2015 betrof dit bijvoorbeeld de integratie van DBC-O binnen de NZa. Wij hebben tijdens de interviews vernomen dat de HRMafdeling hierbij direct heeft geschakeld met de Raad van Bestuur, met management van zowel NZa en DBC-O, met de medezeggenschap en met andere relevante stakeholders. HRM heeft hierbij zowel aandacht getoond voor de ‘harde’ kant, zoals arbeidsvoorwaarden, als de ‘zachte’ kant, zoals samenwerking en individuele medewerkers. In de trainingen die de HRM-adviseurs volgen is aandacht besteed aan het versterken van de rol van ‘change agent’. Oordeel Naar onze mening heeft de NZa in 2015 in opzet en bestaan concreet invulling gegeven aan de uitgangspunten 1, 2, 3 en 5 voor HRM, en is het uitgangspunt 4 met betrekking tot de strategische personeelsplanning nog onderhanden.

8 van 38


3.2.

Integriteit

Doelstellingen in het Plan van Aanpak Integriteit Het Plan van Aanpak Integriteit (doc 35) is aan het einde van 2014 opgesteld. Hierin staat als visie:  Voor de NZa is het essentieel dat de integriteit van de organisatie en haar medewerkers boven elke twijfel is verheven. De NZa kiest voor een duurzaam integriteitsbeleid, dat niet alleen bekend is maar ook echt leeft bij alle medewerkers;  Integriteit moet worden (uit)gedragen door de hele organisatie. Betrokkenheid van vertegenwoordigers van alle directies bij het opstellen, uitvoeren, evalueren en aanpassen van regels is daarom van belang. De doelstelling is dat integriteit zo is geïnstitutionaliseerd dat dit onderdeel is van de trots van iedere medewerker op de organisatie;  De integriteitsregels moeten duidelijk en toegankelijk zijn;  Regels zijn nodig, maar de belangrijkste component voor integriteit is gedrag. Gedrag van medewerkers zelf, maar zeker ook goed voorbeeldgedrag van de Raad van Bestuur en het management is nodig om medewerkers te motiveren eveneens integer te handelen. Goed voorbeeldgedrag betekent ook elkaar aanspreken op wat wel en niet goed gaat en dilemma’s bespreekbaar maken;  Integriteit is een continu proces. Als organisatie moet men blijven leren. Integriteitseisen zijn onderhevig aan veranderingen, zowel door externe als interne factoren. Bewaking van de regels en het waar nodig aanscherpen of bijsturen heeft de aandacht. Uitwisseling van best practices met collega toezichthouders is hiervoor van belang.

Deze visie is in het Plan van Aanpak Integriteit uitgewerkt in 26 actiepunten. Wij hebben deze actiepunten getoetst op realisatie en effect, namelijk of de gewenste maatregelen in opzet en bestaan zijn ingevoerd. Toetsing De basis voor het realiseren van de visie is de Gedragscode Integriteit. Deze is naar onze mening op een zorgvuldige wijze ontwikkeld en samengesteld in goed en soms intensief overleg met alle betrokken partijen, inclusief de Ondernemingsraad, die hier ook formeel mee heeft ingestemd. De Gedragscode is gecommuniceerd op 24 augustus 2015 en is per 1 januari 2016 van kracht geworden. Er is een Meldpunt Integriteit ingericht, wat is gecommuniceerd op 4 december 2015. Tevens is via intranet gecommuniceerd op 22 december 2015 en 4 januari 2016 over de Gedragscode, en is het van kracht worden van de Gedragscode besproken tijdens de managementbijeenkomst NZactueel op 11 januari 2016. Daarna hebben de unitmanagers de medewerkers ingelicht. De NZa heeft de vereiste integriteitsorganisatie ingericht, bestaande uit een integriteitsfunctionaris en vertrouwenspersonen (drie intern en een extern), plus een Meldpunt Integriteit. Wij hebben de integriteitsfunctionaris en twee vertrouwenspersonen gesproken over hun opleidingen, de in-

9 van 38


vulling van hun taken, de inrichting van de procedures en de samenwerking met andere toezichthouders. Wij zijn van mening dat de NZa op dit moment over een capabele en goed ingerichte integriteitsorganisatie beschikt om de bovenstaande visie te realiseren. De activiteiten van het Plan van Aanpak Integriteit zijn naar onze mening op een zorgvuldige wijze uitgevoerd, inclusief het houden van informatiebijeenkomsten, het stimuleren van het bewustzijn en het bespreekbaar maken van integriteitsdilemma’s door de organisatie van dilemmabesprekingen voor alle medewerkers, communicatie via intranet, het actualiseren van de registratie van nevenfuncties, het inrichten van een meldprocedure voor vermoedens van integriteitsschendingen, het ontwikkelen van een onderzoeksprotocol etc. Oordeel Onze conclusie is dat in opzet en bestaan is voldaan aan de doelstellingen en de visie zoals die is verwoord in het Plan van Aanpak Integriteit.

10 van 38


3.3.

ICT en Informatiebeveiliging

Doelstellingen in het Plan van Aanpak IV & IB In het Plan van Aanpak voor Informatievoorziening en Informatiebeveiliging (IV & IB) (doc 36) wordt een visie genoemd, die wij hier in kernachtige aanbevelingen weergeven: 1. Voor een goede informatievoorziening moet de ICT-architectuur en infrastructuur op een hoger plan worden gebracht; 2. Voor goede informatiebeveiliging is de volledige invoering van een Information Security Management System conform de standaard ISO/IEC 27001:2013 (ISMS/27001) nodig; 3. De aard van de data en informatie waar de NZa mee werkt is deels vertrouwelijk en soms zelfs zeer vertrouwelijk. De eisen aan de kwaliteit van de beveiliging om ongeoorloofd gebruik te voorkomen zijn daardoor hoog. Daarvoor is het gewenst dat een van de leden van de Raad van Bestuur de rol van Chief Information Officer (CIO) vervult; 4. De NZa werkt niet op een eiland, maar in intensieve relatie met zorgpartijen en met (semi-)overheidsinstellingen. De NZa hecht aan kennisdeling en samenwerking en wil informatie die zich daarvoor leent ontsluiten voor andere partijen. Hiertoe wordt het overleg en de samenwerking met stakeholders geïntensiveerd; 5. De NZa bevindt zich in een dynamische omgeving. Regels veranderen, steeds meer data is openbaar en steeds meer organisaties werken met data. De NZa wil daarop inspelen en flexibel zijn. Het informatiebeleid is daarom cyclisch van aard en wordt continue getoetst op relevantie en actualiteit.

Het Plan van Aanpak IV & IB omschrijft 36 acties om de visie te kunnen realiseren. Deze acties zijn door ons in detail getoetst. Herijking van de planning voor de realisatie van het Plan van Aanpak IV & IB In 2015 zijn concrete planningen gemaakt voor deze acties en kostenramingen. De meest urgente acties om de systemen en informatie van de NZa te beveiligen zijn uitgevoerd. In november en december 2015 is een herprioritering uitgevoerd, op basis van een meer concreet dreigingsbeeld en de resultaten van onderzoeken door Fox-IT. Hierbij hebben de meest effectieve maatregelen terecht voorrang gekregen. De nieuwe planning voor IV & IB is vastgelegd in de notitie ‘Reactie naar aanleiding van Fox-IT-onderzoeken’ (doc 70) aan het GMT van de NZa op 16 november 2015 en in het ‘Jaarplan informatiebeveiliging 2016’ (doc 54) van 22 december 2015. Aan het begin van 2016 is de ‘Tijdsplanning Q1 en Q2 autorisatiebeheer’ (doc 71) opgesteld met een planning voor verbetering van autorisatiebeheer en het invoeren van dataclassificatie in de eerste helft van 2016. Wij hebben de tijdschema’s van het ‘Jaarplan informatiebeveiliging 2016’ en de ‘Tijdsplanning Q1 en Q2 autorisatiebeheer’ gebruikt voor de toetsing van de voortgang en de effecten van de 36 acties.

11 van 38


Toetsing Wij starten de bespreking van onze oordeelsvorming met de vermelding dat de barrière voor kwaadwillenden door de gedurende 2014 en 2015 gerealiseerde acties in aanzienlijke mate is verhoogd. Wij waarderen de inzet van competente externe partijen bij penetratietesten en scans, evenals de bewaking van het externe verkeer, de compromise assessment, het Intrusion Detection System (IDS), het veilige uitwisselingsportaal, de poortjes in de hal, de nieuwe procedure voor het melden van bezoekers etc. Hierdoor is de NZa aan het einde van 2015 aanzienlijk meer ‘in control’ met informatiebeveiliging dan aan het begin van 2014.

Plan van Aanpak aanbeveling 1. Voor een goede informatievoorziening moet de ICT-architectuur en infrastructuur op een hoger plan worden gebracht.

Met betrekking tot aanbeveling 1 voor het verbeteren van de ICT-architectuur en infrastructuur stellen het ‘Jaarplan informatiebeveiliging 2016’ en de ‘Tijdsplanning Q1 en Q2 autorisatiebeheer’ dat met dataclassificatie en autorisatieregels wordt gestart in Q1 2016, gericht op een uitrol in Q3 en Q4 2016. De security eisen voor beheer en projecten staan op de planning voor Q3 en Q4 2016. In het ‘Jaarplan informatiebeveiliging 2016’ ontbreken nog bepaalde acties zoals het installeren van een Intrusion Prevention System en segmentering en zonering van het netwerk. Deze technische acties zijn ingrijpend en kunnen in feite pas worden opgepakt bij de komende aanbesteding voor de ICT-dienstverlening, aangezien de hiervoor vereiste maatregelen niet passen binnen de bestaande infrastructuur en de huidige afspraken met de ICT-dienstverleners. Volgens het Plan van Aanpak IV & IB wordt gestreefd naar ‘sluitend autorisatiebeheer voor instroom, doorstroom en uitstroom’. Bij de NZa worden momenteel de juiste stappen gezet om de kwaliteit van het autorisatiebeheerproces op een hoger niveau te krijgen. Het blijkt echter dat er sprake is van enige vervuiling bij het bestaande autorisatiebeheer. Zo bestaan er nog oude accounts, is er sprake van een handmatig proces waarbij menselijke fouten optreden en worden accounts niet altijd aangepast bij functiewisselingen. Er zijn twee statussen, namelijk ‘in dienst’ of ‘uit dienst’, maar er is bijvoorbeeld geen status voor ‘non-actief’ etc. De NZa beschikt nog niet over een verschillenanalysesysteem waarmee verschillen tussen de autorisaties in de SOLL (de gewenste toekenning) en de IST (de echte toekenning in de systemen) kan worden vastgesteld. Er is een start gemaakt met een handmatige schoning, maar dat is op basis van best effort en gezond verstand. Inmiddels is besloten een pakket aan te schaffen voor autorisatiebeheer, dat in Q1 2016 wordt geïnstalleerd. Het woord ‘sluitend’ impliceert echter ook betrokkenheid van lijnmanagement binnen de directies, wat op dit moment nog niet duidelijk is belegd. Wij hebben waargenomen dat het beleid voor de inrichting van de infrastructuur van de NZa actualisering behoeft gezien de zeer gevoelige informatie die momenteel op verschillende plaatsen binnen de NZa wordt gebruikt. Naar onze mening is een kritische beschouwing nodig of de huidige wijze van opslag van gevoelige informatie nog past bij het huidige takenpakket van de NZa.

12 van 38


Plan van Aanpak aanbeveling 2. Voor goede informatiebeveiliging is de volledige invoering van een Information Security Management System conform de standaard ISO/IEC 27001:2013 (ISMS/27001) nodig.

Aanbeveling 2 is vooral gericht op het certificeren tegen de standaard ISO/IEC 27001:2013 en de daarbij behorende inrichting van het Information Security Management System voor de 27001 (ISMS/27001). In het ‘Jaarplan informatiebeveiliging 2016’ is dit niet als een aparte activiteit opgenomen, ondanks dat er materieel wel een aantal stappen zijn gezet conform een ISMS. Er loopt nog een discussie over de keuze tussen het voldoen aan de 27001 of zich conformeren aan de rijksbrede standaard ‘Baseline Informatiebeveiliging Rijksdienst, Tactisch Normenkader (BIR/TNK:2012). Wij komen hierop terug bij ons advies voor verdere verbeteringen verderop in dit rapport.

Plan van Aanpak aanbeveling 3. De aard van de data en informatie waar de NZa mee werkt is deels vertrouwelijk en soms zelfs zeer vertrouwelijk. De eisen aan de kwaliteit van de beveiliging om ongeoorloofd gebruik te voorkomen zijn daardoor hoog. Daarvoor is het gewenst dat een van de leden van de Raad van Bestuur de rol van Chief Information Officer (CIO) vervult.

Aanbeveling 3 is gericht op de organisatorische bezetting voor informatiebeveiliging. Wij hebben waargenomen dat deze volledig is gerealiseerd met de benoeming van de CIO tot lid van de Raad van Bestuur, de CISO, de Functionaris voor de Gegevensbescherming, de informatiebeveiligers etc. Tevens zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd. Dit deel van de organisatie is operationeel.

Plan van Aanpak aanbeveling 4. De NZa werkt niet op een eiland, maar in intensieve relatie met zorgpartijen en met (semi-)overheidsinstellingen. De NZa hecht aan kennisdeling en samenwerking en wil informatie die zich daarvoor leent ontsluiten voor andere partijen. Hiertoe wordt het overleg en de samenwerking met stakeholders geïntensiveerd.

Aanbeveling 4 betreft kennisdeling en samenwerking met zorgpartijen en met (semi-)overheidsinstellingen. Deels is dit gerelateerd aan bewustzijn van de betrokken medewerkers met betrekking tot het afwegen of verzoeken voor informatie wel of niet moeten worden gehonoreerd. Het verbeteren van het bewustzijn voor informatiebeveiliging staat als een doorlopende actie in het ‘Jaarplan informatiebeveiliging 2016’. Tevens vallen onder deze aanbeveling de Service Level Agreements (SLA’s) met de ICT-dienstverleners en de bewerkersovereenkomsten met de leveranciers. Wij hebben waargenomen dat op dit vlak concrete acties zijn ondernomen.

13 van 38


Plan van Aanpak aanbeveling 5. De NZa bevindt zich in een dynamische omgeving. Regels veranderen, steeds meer data is openbaar en steeds meer organisaties werken met data. De NZa wil daarop inspelen en flexibel zijn. Het informatiebeleid is daarom cyclisch van aard en wordt continue getoetst op relevantie en actualiteit.

Het cyclisch evalueren en herijken van het beleid voor informatiebeveiliging is genoemd als aanbeveling 5. Dit is essentieel in het kader van de benodigde PDCA-cyclus. Hiermee wordt volgens het ‘Jaarplan informatiebeveiliging 2016’ gestart in Q2 2016. Oordeel Naar onze mening heeft de NZa terecht een herprioritering toegepast op de 36 acties in het Plan van Aanpak IV & IB door eerst de barrière voor kwaadwillenden in aanzienlijke mate te verhogen. Dit heeft wel als gevolg dat een aantal andere acties niet volgens de oorspronkelijke planning, maar volgens de nieuwe tijdschema’s van het ‘Jaarplan informatiebeveiliging 2016’ en de ‘Tijdsplanning Q1 en Q2 autorisatiebeheer’ worden opgepakt. De acties die nog zijn voorzien in het kader van de aanbevelingen 1 (vooral dataclassificatie en autorisatiebeheer), 4 (bewustzijn) en 5 (informatiebeveiligingsbeleid) zijn op adequate wijze opgenomen in de plannen voor 2016. Bij aanbeveling 1 missen wij nog de Security Architectuur en met name een aanpak voor meer granulariteit bij de toegangsbeheersing voor de zeer vertrouwelijke informatie binnen de NZa, zoals die nu op de schijven is opgeslagen. Voor dit punt en aanbeveling 2 (Information Security Management System) geven wij specifieke adviezen in het hoofdstuk ‘Adviezen voor verdere verbetering’ verderop in dit rapport. Wij bevestigen dat aanbeveling 3 (organisatorische bezetting) volledig is gerealiseerd, hetgeen een belangrijke basis is voor de overige acties.

14 van 38


4.

Toetsing aan de aanbevelingen in de initiële onderzoeken (2014) In het vorige hoofdstuk hebben wij de effecten van de activiteiten getoetst aan de doelstellingen in de Plannen van Aanpak. In dit hoofdstuk toetsen wij aan de aanbevelingen die voortvloeien uit de onderzoeken van de Commissie Borstlap, accountantskantoor Flynth, bureau Berenschot en bureau Mazars, die de oorspronkelijke nulmeting vormen.

4.1.

HRM

Aanbevelingen van de Commissie Borstlap De commissie Borstlap (doc 41) concludeert in september 2014 dat er bij de NZa een investering nodig is in het beleid op HRM en de organisatorische inbedding van HRM. HRM moet een steviger positie bij het management en de directeuren krijgen en effectief tegenspraak bieden. Voor de investering in HRM doet Borstlap vijf specifieke aanbevelingen: 1. Versterk de HRM-functie op alle niveaus, in het bijzonder de rol van HRM-functionarissen naar de leiding en maak de HRM-rol voor de medewerkers zichtbaar; 2. Stuur op voldoende diversiteit binnen de managementteams van alle directies, zodat een juiste balans bestaat tussen prestatie- en mensgerichte managementstijlen. Maak dit expliciet onderdeel van de werving en beoordeling van de managers bij de NZa; 3. Corrigeer de negatieve bijeffecten van het geldende HRM-model van de vlootschouw en het kwadranten-model: stigmatisering, eenzijdigheid naar zichtbare prestaties, te geringe waardering van de niet-high-potentials en onvoldoende transparantie over de uitkomsten. Besteed gerichte aandacht aan diegenen die achterblijven en de dynamiek van de NZa moeilijk kunnen volgen; 4. Stimuleer binnen de organisatie een cultuur van openheid, waarin verschillende expertises en conflicterende inzichten aangemoedigd worden, ook om misstanden tijdig op het spoor te komen en maatregelen te kunnen nemen; 5. Benoem vertrouwenspersonen en draag hun mandaat uit.

Toetsing Met betrekking tot aanbeveling 1 heeft de NZa de geplande acties uitgevoerd voor de versterking van de HRM-functie, zoals het laten rapporteren aan de voorzitter van de Raad van Bestuur, betere informatievoorziening, aanvullende opleiding en training van HR-medewerkers. Voor aanbeveling 2 zijn trainingen georganiseerd voor management, onder andere via de RedZebra Groep. De profielen voor managers zijn aangepast met meer aandacht voor empathisch vermogen en leiderschap. De balans tussen prestatie- en mensgerichte managementstijlen wordt meegenomen bij de werving van managers. Bij aanbeveling 3 is de vlootschouw is afgeschaft en is een nieuwe HR-cyclus ontwikkeld. De ontwikkeling is afgerond in augustus 2015 en de nieuwe HR-cyclus is per 1 januari 2016 operationeel. Hierin zijn tevens aspecten opgenomen uit het Plan van Aanpak Integriteit, zoals aandacht voor nevenfuncties.

15 van 38


De aanbevelingen 4 en 5 overlappen met activiteiten die zijn uitgewerkt in het Plan van Aanpak Integriteit, zoals de training met de dilemmabesprekingen, de inrichting van het Meldpunt Integriteit en de inrichting van de integriteitsorganisatie bestaande uit de integriteitsfunctionaris en de vier vertrouwenspersonen. Daarnaast heeft de NZa trainingen georganiseerd voor medewerkers in gesprekstechnieken en het bewustzijn voor integriteitsdilemma’s gestimuleerd via dilemmabesprekingen. Oordeel Naar onze mening heeft de NZa in opzet en bestaan voldaan aan de bovenstaande vijf aanbevelingen van de Commissie Borstlap. 4.2.

Integriteit

Aanbevelingen van de Commissie Borstlap De Commissie Borstlap (doc 41) constateert in september 2014 dat binnen de NZa onduidelijkheid bestaat over de rol en het mandaat van de vertrouwenspersonen. De commissie geeft aan dat de positie van de vertrouwenspersonen in formele zin correct is maar dat de organisatie hen in staat moet stellen meer tegenkracht te ontwikkelen richting leidinggevenden en doet daarom de volgende aanbeveling:  Benoem krachtige, gezaghebbende interne en externe vertrouwenspersonen en draag hun mandaat uit.

Toetsing De NZa heeft vier vertrouwenspersonen (drie intern en een extern) benoemd. Wij hebben twee vertrouwenspersonen gesproken over hun opleidingen, de invulling van hun taken en de inrichting van de procedures. Wij zijn van mening dat de NZa op dit moment over capabele vertrouwenspersonen beschikt met een duidelijk omschreven mandaat. Tevens zijn wij van mening dat er in voldoende mate over hun bestaan en rollen is gecommuniceerd via intranet, het personeelsblad NZavoorts, de managementbijeenkomst NZactueel etc. Oordeel Naar onze mening is in opzet en bestaan voldaan aan de aanbeveling van de Commissie Borstlap.

16 van 38


Aanbevelingen van de het accountantskantoor Flynth Het accountantskantoor Flynth (doc 44) heeft in opdracht van het Ministerie van VWS in september 2014 gekeken naar het gedrag van de NZa rond deelname aan congressen en declaraties. Flynth constateert dat bij de NZa op alle aspecten van het onderzoek regelgeving aanwezig is, maar dat het beleid ruimte biedt. Flynth doet daarom de volgende aanbevelingen: 1. Stel een duidelijk beleid op voor de deelname aan congressen etc. Operationaliseer dit beleid in een duidelijke procedure die regelt waarom wordt deelgenomen, wie dit beslist, hoe de kosten worden gedragen en wie mee mag; 2. Toon meer openheid en transparantie door alle declaraties en gemaakte reis- en verblijfskosten van het bestuur te publiceren; 3. Scherp de procuratie aan voor deze declaraties en geef de afdeling Financiën en Control een duidelijke rol in de toetsing van de regels. Rapporteer daarover expliciet in de tussentijdse informatievoorziening.

Toetsing Met betrekking tot aanbeveling 1 is via de PID Integriteit (doc 30) een aantal Regelingen benoemd. In deze Regelingen kunnen alleen aspecten van integriteit worden opgenomen waarvoor een wettelijke basis aanwezig is. Dit betreft bijvoorbeeld nevenwerkzaamheden en geschenken. Voor andere aspecten, zoals een relatie op het werk en werkzaamheden van personen in de directe privéomgeving, bestaat er echter geen wettelijke basis. Vandaar dat in de PID Integriteit is gekozen om alle normen uiteindelijk te bundelen in één integrale Gedragscode Integriteit. Deze verving de voorheen bestaande ‘Integriteitscode NZa’. Het voordeel van één Gedragscode boven afzonderlijke regelingen is de duidelijkheid, vindbaarheid en het voorkomen van duplicatie zoals voor de definities, sanctionering, registratie etc. Oordeel Naar onze mening zijn alle door Flynth genoemde aspecten verwerkt in de Gedragscode Integriteit en in de conform de aanbevelingen 2 en 3 ingerichte overige procedures voor openheid, transparantie, procuratie en rapportage over declaraties. Hiermee is in opzet en bestaan voldaan aan de aanbevelingen van Flynth.

17 van 38


Aanbevelingen van de het bureau Berenschot Het bureau Berenschot (doc 8) heeft op verzoek van de NZa in september 2014 een onderzoek uitgevoerd naar het compliance- en integriteitsbeleid van de organisatie. Hierbij is gekeken naar het formele normenkader, de gang van zaken in de praktijk en is een vergelijking gemaakt met collega-toezichthouder ACM. Er is onderzoek gedaan naar een viertal thema’s, namelijk belangenverstrengeling en omgang met de markt, melden van vermoedens van misstanden, financiën en gebruik van bedrijfsmiddelen, en inrichting compliance- en integriteitsinfrastructuur. Berenschot concludeert dat de NZa de benodigde regelgeving op orde heeft, maar dat de organisatie op een aantal punten is achtergebleven bij de nadere uitwerking ervan. Berenschot doet daarom de volgende aanbevelingen: 1. Vul de bestaande regels aan en werk ze verder uit; 2. Maak integriteit bespreekbaar in de HR-cyclus en ga de dialoog aan over regels en de toepassing ervan; 3. Versterk de integriteitsorganisatie (vertrouwenspersonen en ‘compliance officer’); 4. Ontwikkel een eigen, duurzaam integriteitsbeleid.

Toetsing De aanbevelingen 1 en 4 van Berenschot over de regels, de integriteitsorganisatie en het integriteitsbeleid vallen samen met aanbevelingen van Borstlap en Flynth, die hierboven al zijn besproken. Berenschot adviseert in aanbeveling 2 integriteit bespreekbaar te maken in de HR-cyclus. Wij hebben waargenomen dat aandacht voor de dialoog over de integriteitsregels en de toepassing daarvan in 2015 is opgenomen in de HR-cyclus. De door Berenschot in aanbeveling 3 voorgestelde ‘compliance officer’ is vormgegeven via de functie van de integriteitsfunctionaris. Wij hebben met deze functionaris gesproken en gedurende ons gehele onderzoek met haar contact gehad voor het verzamelen van documentatie, het geven van nadere toelichtingen op de procedures, het uitleggen van de diverse stappen binnen het project etc. Tevens hebben wij waargenomen dat het Meldpunt Integriteit is ingericht. Wij zijn van mening dat de functie van integriteitsfunctionaris op een capabele wijze is ingevuld. Oordeel Naar onze mening is in opzet en bestaan voldaan aan de vier aanbevelingen van Berenschot.

18 van 38


4.3.

ICT en informatiebeveiliging De commissie Borstlap, het bureau Andersson Elffers Felix en bureau Mazars hebben vanuit verschillende invalshoeken constateringen en aanbevelingen gedaan om de Informatievoorziening en Informatiebeveiliging (IV & IB) van de NZa te verbeteren. De onderzoekers schetsen een beeld waarin de beheersing en beveiliging van informatie in de jaren voorafgaand op het najaar van 2014 op veel aspecten voldoet, maar ook nog tekortkomingen vertoont, waardoor het geheel als ontoereikend is beoordeeld in hun rapportages.

Aanbevelingen van de Commissie Borstlap De Commissie Borstlap (doc 41) komt in september 2014 tot de conclusie dat de beveiliging op papier toereikend, is maar dat de normen onvoldoende leven. Daarom doet de commissie een drietal specifieke aanbevelingen: 1. Waarborg op alle niveaus de gedragsregels inzake het ICT-gebruik met inbegrip van expliciete sancties bij overtreding van de regels; 2. Maak ICT-beveiliging expliciet onderdeel van de werving en beoordeling van managers bij de NZa; 3. Benoem krachtige, gezaghebbende security officers, die direct rapporteren aan de algemene leiding.

Toetsing Wij hebben waargenomen dat in 2014 en 2015 het bewustzijn over informatiebeveiliging is toegenomen door een reeks van ondernomen acties. Hierbij referen wij aan two-factor-authentication, de beveiligde laptop, de poortjes in de hal, de nieuwe meldprocedure voor bezoekers, het veilige uitwisselportaal etc. Dit is een partiële invulling van de aanbevelingen 1 en 2. Bij aanbeveling 3 hebben wij waargenomen dat de organisatie voor informatiebeveiliging volledig is ingericht met de CIO als lid van de Raad van Bestuur, de CISO, de Functionaris voor de Gegevensbescherming en de informatiebeveiligers. Oordeel Naar onze mening is in opzet en bestaan grotendeels voldaan aan de drie aanbevelingen van Borstlap, waarbij voor de aanbevelingen 1 en 2 nog niet alle detailacties volledig zijn uitgevoerd of gepland. Wij komen hierop terug in het hoofdstuk Advies voor verdere verbeteringen verderop in dit rapport. Tevens blijkt dat voor een aantal actiepunten inmiddels de werking is gerealiseerd, zoals voor de organisatorische invulling, veel technische maatregelen etc.

19 van 38


Aanbevelingen van het bureau Andersson Elffers Felix Het bureau Andersson Elffers Felix (AEF) (doc 42) concludeert in september 2014 dat de NZa in haar bedrijfsvoering in een groot aantal opzichten in control is en dat de informatievoorziening grotendeels op orde is. Echter, AEF geeft ook aan dat de bedrijfsvoering op een aantal punten kwetsbaar is. Het Plan van Aanpak IV & IB (doc 36) heeft de bevinding van AEF samengevat tot:  De benadering van de informatievoorziening door de NZa is nogal instrumenteel, waarbij het strategisch belang van deze onderwerpen in brede zin binnen de organisatie wordt onderschat. De ontwikkelingen op het gebied van ICT vinden op te grote afstand plaats van de primaire processen, waardoor het risico bestaat dat applicaties niet voldoen aan de behoeften van toekomstige gebruikers.

Toetsing Wij hebben waargenomen dat de NZa de bevinding van AEF serieus heeft opgepakt, door de CIO te benoemen tot lid van de Raad van Bestuur. Hiermee benadrukt de NZa het strategisch belang van informatievoorziening en in het verlengde daarvan informatiebeveiliging. Naar onze mening heeft de NZa deze bevinding van AEF in opzet en bestaan gemitigeerd.

Aanbevelingen van het bureau Mazars Uit de IT-audit die het bureau Mazars (doc 9) in september 2014 heeft afgerond, komen volgens het Plan van Aanpak IV & IB (doc 36) de volgende aanbevelingen: 1. Op het niveau van de IT-architectuur en IT-infrastructuur (de IT-werkelijkheid) zijn aanvullende maatregelen noodzakelijk. Het geplande Informatie Security Management Systeem conform de standaard ISO/IEC 27001:2013 (ISMS/27001) is nog niet ingevoerd en geoperationaliseerd; 2. Om gegevensverzamelingen intern te kunnen delen en hergebruiken is een complex en moeilijk te beheersen autorisatiemechanisme ontstaan. Daarbij zijn de uitgangspunten niet gebaseerd op het ‘need to know’ principe.

Toetsing Met betrekking tot aanbeveling 1 adviseren wij verderop dat de 27001 minder past bij de NZa als gebruikersorganisatie en dat compliance met het Rijks-breed gedragen VIR/BIR meer voor de hand ligt.

20 van 38


Aanbeveling 2 wordt deels door de NZa gerealiseerd door de lopende handmatige schoning van de autorisaties en de opdracht voor de levering en installatie van UMRA als systeem voor de registratie en uitrol van autorisaties. Hiermee wordt een eerste stap gezet voor een betere beheersing van het autorisatiebeheerproces. Oordeel Naar onze mening is in opzet en bestaan deels voldaan aan aanbeveling 2 van Mazars, waarbij nog niet alle detailacties volledig zijn uitgevoerd of gepland. Wij komen hierop terug in het hoofdstuk Advies voor verdere verbeteringen verderop in dit rapport.

21 van 38


5.

Effectenmeting onder de medewerkers Er zijn 78 activiteiten uitgewerkt in de drie Plannen van Aanpak. Naast de bovenstaande klassieke SOLL-IST-GAP-analyse, is het effect gemeten van deze activiteiten zoals dit wordt waargenomen op de werkvloer, dus gericht op de perceptie van de medewerkers. Hierbij is gewerkt met een enquêteformulier met 46 stellingen. Deze zijn gericht op de door NZa gewenste kernresultaten. Bij iedere stelling wordt een rapportcijfer gevraagd voor de periode rond 2013 en een rapportcijfer voor de situatie nu, per resultaatgebied. Daarnaast is bij iedere stelling vrije ruimte voor opmerkingen of toelichtingen opgenomen in het formulier. De stellingen zijn vooraf in concept afgestemd met de NZa. Noordbeek heeft zelf een aselecte steekproef getrokken van 60 medewerkers en managers. De omvang van de steekproef is 13% van de medewerkers. Deze zijn door Noordbeek gelijkmatig verdeeld over alle onderdelen van de organisatie in het kader van representativiteit. De geselecteerde medewerkers zijn uitgenodigd voor een van de drie door Noordbeek georganiseerde workshops, die zijn gehouden op een niet-NZa-locatie. Vooraf is het enquêteformulier toegezonden ter voorbereiding. Bij de workshops zijn met 8 medewerkers de vragen doorgenomen. In totaal heeft Noordbeek 26 ingevulde formulieren ontvangen ter verwerking. Ter verificatie van de betrouwbaarheid van de waarneming zijn eerst 20 formulieren verwerkt en vervolgens de laatste 6 toegevoegd. Bij deze laatste invoer bleek dat de uitslagen nauwelijks meer veranderden. Dit is een indicatie dat de steekproef van een voldoende omvang is. De analyse van de rapportcijfers is anoniem uitgevoerd en de resultaten zijn weergegeven in spider diagrams, zodat de verbetering of verslechtering visueel zichtbaar wordt.

22 van 38


5.1.

Effectenmeting HRM

Zowel bij de bespreking als vanuit de enquêtes komt het beeld naar voren dat men tevreden is met HRM voor de reguliere ondersteuning die men van een HRM-afdeling mag verwachten. Dit gold in de oude situatie en eveneens op dit moment. De rapportcijfers liggen gemiddeld tussen de 7 en 8. Er zijn opmerkingen dat de affaire in het begin van 2014 binnen bepaalde units sporen heeft achtergelaten, waarbij het tijd kost voordat deze wonden zijn geheeld. Daarbij is opgemerkt dat men vertrouwen heeft dat de huidige Raad van Bestuur actief bezig is de sfeer te herstellen.

23 van 38


5.2.

Effectenmeting Integriteit

De actiepunten voor integriteit hebben geleid tot een substantiële verbetering op alle assen van onze meting. Dit onderwerp leeft binnen de gehele organisatie. Er zijn ook reacties ontvangen waaruit blijkt dat de medewerkers hun aandacht nu weer meer willen richten op hun eigen werkzaamheden. Dit blijkt ook uit de 43% responsie op onze enquête. Veel van de medewerkers die hebben afgezegd zijn tevreden met de huidige cultuur en vinden het niet nodig opnieuw hun mening daarover te geven.

24 van 38


5.3.

Effectenmeting IV & IB

Het onderwerp Informatievoorziening en Informatiebeveiliging (IV & IB) is door de NZa met veel energie aangepakt, wat leidt tot een substantiële verbetering op veel van de assen van onze meting. De ontvangen negatieve opmerkingen over Informatietechnologie (IT) betreffen vooral het dossierbeheersysteem CRM, dat als weinig gebruikersvriendelijk en traag wordt gezien, evenals sommige andere applicaties. Over de nieuwe beveiligde laptop en beveiligde voorzieningen is men over het algemeen tevreden, met kanttekeningen over het in de ogen van medewerkers te vaak invoeren van wachtwoorden en traagheid van Citrix. Wij hebben bij herhaling waardering vernomen over de CIO als nieuw lid van de Raad van Bestuur en de informatiebeveiligingsfunctionaris (CISO), die zichtbaar bezig zijn met verbeteracties.

25 van 38


6.

Advies voor verdere verbeteringen bij IV & IB Het Plan van Aanpak voor Informatievoorziening en Informatiebeveiliging (IV & IB) bevatte een ambitieuze aanpak, met zelf opgelegde deadlines die naar onze mening moeilijk haalbaar waren. Het op een adequate wijze verhogen van het niveau van informatiebeveiliging is een kwestie van lange adem, zeker gezien de achterstand die in het verleden was ontstaan. Men kan niet verwachten dat binnen een of twee jaar alles al aan de zelf opgelegde hoge norm voldoet. Op basis van onze natuurlijke adviesfunctie als IT-auditors willen wij graag de volgende adviezen voor IV & IB onder de aandacht van de NZa brengen in het kader van verdere professionalisering: 1. Het herprioriteren en clusteren van de actiepunten voor IV & IB; 2. Het uitbreiden van de omvang van de organisatie voor IV & IB; 3. Het inrichten van een sluitende PDCA-cyclus conform VIR/BIR als basis voor de jaarlijkse In Control Verklaring; 4. Automatische provisioning voor autorisatiebeheer; 5. Het actualiseren van het beleid voor zeer gevoelige informatie.

26 van 38


6.1.

Herprioriteren en clusteren van de actiepunten voor IV & IB Momenteel bevat het Plan van Aanpak IV & IB 36 actiepunten, waarvan de volgorde van uitvoering is vastgesteld in december 2014. Tussen diverse actiepunten bestaan onderlinge afhankelijkheden en er zijn duplicaties. Tevens zijn in 2014 en 2015 nieuwe inzichten ontstaan, onder andere over het dreigingsbeeld, door in die periode uitgevoerde audits door Fox-IT Securify. In de planningen zijn voor een aantal acties nieuwe data toegekend. Naar onze mening is het noodzakelijk een actuele, integrale planning op te stellen voor alle acties op het gebied van IV & IB, en die planning periodiek te actualiseren. Gebruikelijk is de acties te clusteren binnen stromen van activiteiten. Voor de NZa adviseren wij de volgende stromen:

Stroom van activiteiten

Actiepunt volgens Plan van Aanpak IV&IB uit 2014 1 24 verschillende informatiebeveiligingsmaatregelen zijn afgerond in 2014 1. Organisatie voor informatiebeveiliging, be- 3 Inrichten jaarlijks proces en opstellen In control Statement RvB leid en ISMS (PDCA):  Functies CIO, CISO, FG, Informatiebevei- 4 Aanscherping informatiebeveiligingsbeleid ligers, Rolbeheerders (deze zijn ingericht); 5a Inrichten structurele informatiebeveiliging, rollen  Beleid volgens VIR/BIR (kopiëren van en verantwoordelijkheden een rijksdienst of ZBO en op maat snij5b Implementeren ISMS den, Q3 2016, jaarlijks actualiseren);  Proces voor doorlopend risicomanagement 6 Beheren en actualiseren van het informatiebeveiligingsbeleid en richtlijnen (inrichten vanaf Q4 2016);  Jaarlijks het Verbeterplan IV & IB herij- 7 Bepalen lijnverantwoordelijkheid en data beveiliken en actualiseren als PDCA-cyclus gingsklassen in 9-vlaksmodel (vanaf Q1 2016); 8 Verwerken van alle maatregelen in nieuwe versie  Jaarlijkse In Control Verklaring op basis van informatiebeveiligingsplan van BIR en PDCA. 14 Ontwikkelen en uitrollen informatiebeveiliging Risk Control Framework (RCF) 15 Opzetten en uitvoeren RCF rapportages 16 Certificering tegen ISO 27001 35 Risicoanalyse gegevensuitwisseling met derden

27 van 38


Stroom van activiteiten 2 Security architectuur en dataclassificatie  Opstellen BIV-criteria. Dit is de Security Architectuur (kopiëren van rijksdienst of ZBO en op maat snijden, Q3 2016);  Opstellen Risico Applicatie Lijst (RAL, concept kopiëren, Q4 2016);  BIR en Secure Software Development van CIP gebruiken als baseline voor de procedurele en technische maatregelen (Q3 2016).

3

Autorisatiebeheer  Installeren UMRA (Q2 2016);  Automatische provisioning meenemen in komende aanbesteding (2017);  Verschillenanalyse en schoning (2016).

4

Operationeel en technisch informatiebeveiligingsbeheer  Prioriteren van activiteiten op basis van echte risico’s (dit gebeurt);  Uitvoeren van Privacy Impact Assessments (PIA’s) en BIR Analyses op applicaties, op basis van de RAL en actuele ontwikkelingen;  Treffen van maatregelen;  Doorlopend oog houden op activiteiten.

Actiepunt volgens Plan van Aanpak IV&IB uit 2014 2 Vaststellen datamodel met beveiligingsklassen 18 Vastgestelde beveiligingsklassen in systemen en databases doorvoeren 25 Security Architectuur opstellen, als onderdeel van de IT Architectuur 26 Security eisen en baselines opstellen voor applicaties en systemen 28 Eenduidig overzicht huidige IT & Security landschap (Applicaties, interfaces, systemen, netwerken, fysieke locaties en key functionaliteit, patches, updates) 9 Sluitend maken in-, door- en uitstroom t.b.v. autorisatiebeheer 17 Opzetten autorisatie beheer i.c.m. nieuwe beveiligingsklassen 21 Sterke authenticatie (2FA) voor externe toegang tot NZa gegevens (ook als vervanging tokens) 22 Borgen sluitende identificatie en autorisatie processen 19 Activeer auditing op applicaties en systemen 20 Automatiseren email encryptie voor uitwisseling van vertrouwelijke gegevens 23 Security eisen borgen in beheer en projecten 24 Analyseren van huidige (en waar nodig creëren van geanonimiseerde en gepseudonimiseerde) testdata 29 Inrichten Vulnerability management, en periodieke scans op het NZa netwerk 30 Borgen alle IT beheersprocessen en ITIL, BISL en ASL standaarden 31 Zonering en segmentering NZa netwerk en systemen inrichten 32 Inrichten Intrusion Detection, Monitoring en Prevention 33 Invoering van de nieuwe bewerkersovereenkomst in de contracten met de externe partijen 34 Invoeren security en risico rapportage en management 36 Risicoanalyse, implementatie en borging fysieke toegangsbeveiliging en procedures bij de NZa & leveranciers

28 van 38


Stroom van activiteiten Actiepunt volgens Plan van Aanpak IV&IB uit 2014 5 Bedrijfscontinuïteit: 12 Uitvoeren Business Impact Analyse (BIA)  BIA en BCM jaarlijks herijken met de bu- 13 Ontwikkelen Business Continuity Management, siness. incl. rapportage en monitoring 6 Incidentmanagement voor informatiebevei- 27 Borgen management proces voor informatie-incidenten liging:  Onder andere om te voldoen aan de Meldplicht Datalekken. 7 Awareness en communicatie 10 Verbeteren bewustzijn informatiebeveiliging 11 Ontwikkelen en toepassen e-learning informatiebeveiliging Wij adviseren de NZa aan het begin van 2016 een herijking uit te voeren van de plannen voor IV & IB, door deze te clusteren in activiteitenstromen. Iedere stroom moet een helder en realiseerbaar doel hebben, waarna de nog uit te voeren actiepunten voor IV & IB projectmatig kunnen worden gerealiseerd. Tevens adviseren wij de NZa in de loop van 2016 een tussenevaluatie te laten uitvoeren van de herijkte planning voor IV & IB, in het kader van het sluitend maken van de PDCA-cyclus die nodig is voor de jaarlijkse In Control Verklaring van de NZa. Via deze tussenevaluatie krijgt de Raad van Bestuur een terugkoppeling of de herijkte planning past bij de Rijks-brede aanpak. 6.2.

Uitbreiden van de omvang van de organisatie voor IV & IB De NZa heeft in 2015geïnvesteerd in extra menskracht voor informatiebeveiliging. Naar onze mening wordt door de beveiligers goed werk verricht, hetgeen ook is bevestigd tijdens onze interviews van andere medewerkers binnen de NZa in het kader van ons onderzoek. Als wij echter kijken naar het aantal zaken die nog moeten worden ingericht en ingeregeld voor informatiebeveiliging binnen de NZa, zoals in de bovenstaande sectie is gespecificeerd, adviseren wij ten sterkste nog een of twee extra experts op dit gebied aan te trekken. Hierbij denken wij aan een risico-expert voor het formaliseren en in standhouden van de gedachte van risico-gestuurd beveiligen conform VIR/BIR, het bijhouden van het risicoregister en het ondersteunen van de PDCA-cyclus in het kader van de jaarlijkse In Control Verklaring. Daarnaast denken wij aan een security architect voor onder andere het opzetten en onderhouden van de Security Architectuur, het beoordelen van Project Start Architecturen (PSA’s) en het uitrollen en onderhouden van de dataclassificaties.

29 van 38


6.3.

Sluitende PDCA-cyclus conform VIR/BIR voor In Control Verklaring De NZa beschikt nog niet over een geformaliseerd Information Security Management System (ISMS). In het Plan van Aanpak IV & IB wordt een ISMS voorgesteld dat is gebaseerd op de standaard ISO/IEC 27001:2013. Naar onze mening zou de NZa echter niet moeten streven naar compliance met de 27001. De 27001 is primair bedoeld voor een ICT-dienstverlener en past minder bij een gebruikersorganisatie zoals de NZa. De NZa wil een In Control Verklaring afgeven conform de wensen van het Ministerie van VWS. Volgens de richtlijnen van de Interdepartementale Commissie Chief Information Officers (ICCIO) wordt voor zo een verklaring de voorkeur gegeven aan compliance met het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en de Baseline Informatiebeveiliging Rijksdienst, Tactisch Normenkader (BIR/TNK:2012). Met de verklaring wordt de mate van compliance met VIR/BIR aangegeven. Wij adviseren de NZa de al bestaande PDCA-cyclus te formaliseren tot een ISMS conform VIR/BIR, in plaats van een ISMS conform ISO/IEC 27001.

6.4.

Automatische provisioning voor autorisatiebeheer Momenteel worden goede stappen gezet met het verbeteren van het autorisatiebeheerproces, onder andere met de installatie van een autorisatiebeheersysteem (doc 60 en 71) en de handmatige schoning. Binnen de keten van handelingen blijft echter nog een zwakke schakel bestaan, namelijk de handmatige uitvoering van het beheerproces. Veel andere organisaties gaan over naar automatische provisioning, waarbij de opdrachten vanuit het autorisatiebeheersysteem zoveel mogelijk automatisch worden aangebracht. Dat verkleint de foutkans bij in-, door- en uitstroom van de medewerkers en draagt bij aan het voorkomen van vervuiling van de autorisaties. Wij adviseren de NZa een onderzoek te laten uitvoeren naar de mogelijkheden voor automatische provisioning.

30 van 38


6.5.

Actualisering van het beleid voor zeer gevoelige informatie Bij de NZa wordt met informatie gewerkt met verschillende niveaus van gevoeligheid, inclusief zeer vertrouwelijke informatie. Voor het verwerken en beschermen van zeer vertrouwelijke informatie kan men een vergelijking trekken met rechercheonderzoeken bij de politie of opsporingsafdelingen bij Inspecties, waarop artikel 9 ‘bepaald geval’ van de Wet politiegegevens (Wpg) van toepassing is. Artikel 9 geeft aan dat binnen een onderzoeksdossier verschillende submappen worden gevormd, ieder met een eigen autorisatieschema, zodat de onderzoeksleider in detail kan bepalen welk lid van het onderzoeksteam bij welke submap mag. Daarnaast moeten er procedures zijn om autorisaties tot zeer vertrouwelijke informatie te beheersen en daarop actief toezicht te houden. Voor de zeer gevoelige informatie zoals die op sommige plaatsen binnen de NZa wordt verwerkt is een Security Architectuur nodig. Hiervoor zijn voorbeelden beschikbaar bij de politie of de Inspecties. Wij adviseren de NZa een onderzoek te laten uitvoeren naar het gebruik van zeer vertrouwelijke informatie, de eisen en wensen vast te leggen om een met artikel 9 Wpg vergelijkbaar beveiligingsniveau te kunnen realiseren, en een pakketselectie uit te laten voeren.

31 van 38


7.

Advies voor de evaluatie aan het einde van 2016 De commissie Borstlap, het bureau Andersson Elffers Felix, het accountantskantoor Flynth, het bureau Berenschot en het bureau Mazars hebben in de loop van 2014 de nulmeting uitgevoerd voor HRM, Integriteit en IV & IB. Hun aanbevelingen zijn verder uitgewerkt in de drie Plannen van Aanpak, die in december 2014 zijn afgerond. Voor de externe evaluaties vormen deze documenten het ijkpunt voor het vaststellen van de door de NZa gemaakte voortgang bij het verbeterproces. Bij onze eerste evaluatie in december 2015 en januari 2016 hebben wij een onderzoeksdossier opgebouwd, bestaande uit 74 documenten en 18 door de geïnterviewden geaccordeerde vertrouwelijke gespreksverslagen. Tevens is geanonimiseerd de mening gemeten van een groep medewerkers via enquêtes en workshops. In dit rapport zijn de waargenomen resultaten getoetst tegen het bovengenoemde ijkpunt. Voor de volgende evaluatie, die staat gepland in december 2016, adviseren wij eerst de effectenmeting bij de medewerkers te herhalen. De reeds ontwikkelde enquêteformulieren zijn hiertoe een eerste voorbereiding, die kunnen worden uitgebreid en aangepast aan de actuele situatie aan het einde van 2016. Hierbij stellen wij voor de enquêtes op grotere schaal uit te voeren en te staven met aanvullende interviews of workshops met medewerkers binnen verschillende afdelingen over hun persoonlijke perceptie. De resultaten van deze enquête en perceptie-interviews worden vervolgens gebruikt ter voorbereiding van een aantal inhoudelijke diepte-interviews met de verantwoordelijken en betrokkenen voor HRM, Integriteit en IV & IB, gericht op opzet en werking van de inmiddels grotendeels ingerichte processen. Daaruit kunnen conclusies worden getrokken over de bestendigheid van de verbeteringen.

32 van 38


8.

Opdrachtomschrijving en opdrachtuitvoering Noordbeek heeft in november 2015 van de Nederlandse Zorgautoriteit (NZa) de opdracht gekregen om een evaluatie uit te voeren van de drie Plannen van Aanpak voor HRM, Integriteit en Informatievoorziening en Informatiebeveiliging.

8.1.

De onderzoeksvraag De onderzoeksopdracht luidt:  Analyseer en evalueer de drie Plannen van Aanpak en de daarin aangekondigde activiteiten op realiseerbaarheid en doeltreffendheid;  Controleer de aangekondigde activiteiten op hun voortgang, afronding of gemotiveerde doorhaling;  Neem een steekproef op de inmiddels behaalde resultaten en presenteer die op een visuele wijze (via spider diagrams), naast de gebruikelijke beschrijvende rapportage, zodat eventuele verbeteringen met betrekking tot de door NZa nagestreefde doelen duidelijk worden;  Bereid de tweede meting voor ter toetsing, aan het einde van 2016, of de maatregelen bestendigd zijn in beleid en gedrag.

8.2.

Scope De scope van het onderzoek omvat de volgende drie documenten van de NZa: 1. Plan van Aanpak HRM, 18 december 2014 (doc 34); 2. Plan van Aanpak Integriteit, 18 december 2014 (doc 35); 3. Plan van Aanpak Informatievoorziening en informatiebeveiliging, 18 december 2014 (doc 36).

8.3.

De onderzoeksaanpak Noordbeek is op 8 december 2015 gestart met de voorbereidingsfase, welke bestaat uit drie verkennende interviews, het opvragen van documentatie en het opstellen van vragenlijsten op basis van de drie Plannen van Aanpak en de daarin genoemde actiepunten. Daarbij zijn de inhoud en de boodschappen uit de rapporten Borstlap, AEF, Flynth, Mazars en Berenschot meegenomen. Ons onderzoek is primair gericht op de door de NZa gewenste resultaten en minder op de specifieke maatregelen, hoewel wij hun aanwezigheid in opzet hebben trachten te toetsen. De doelstellingen liggen op het vlak van verantwoord HRM met een cultuur van openheid, vastgelegd in 16 activiteiten, verantwoorde informatievoorziening en informatiebeveiliging, vastgelegd in 36 activiteiten, en een verantwoord integriteitsbeleid, vastgelegd in 26 activiteiten. In totaal zijn dit 78 activiteiten, die volgens de Plannen van Aanpak deels zijn gerealiseerd en deels nog moeten worden uitgevoerd. Deze 78 activiteiten zijn de SOLL-positie voor ons onderzoek. Via deskresearch en gebruikmakend van relevante normenkaders zoals BIR/TNK:2012, ISO/IEC 27001:2013 en NEN 571x, en wetgeving zoals de Wbp en Meldplicht Datalekken, zijn de vragenlijsten geconcipieerd voor het evaluatieonderzoek. Deze vragenlijsten zijn met de opdrachtgever afgestemd.

33 van 38


In overleg met de opdrachtgever is de lijst van de te interviewen medewerkers opgesteld. Wij hebben 19 inhoudelijke onderzoeksinterviews uitgevoerd tussen 8 december 2015 en 14 januari 2016. Van ieder interview zijn de hoofdpunten in een gespreksverslag uitgewerkt, dat eerst ter accordering is voorgelegd aan de geïnterviewde. Vervolgens is het verslag opgenomen in ons vertrouwelijke onderzoeksdossier, dat niet is gedeeld met de opdrachtgever. Onze waarnemingen via deskresearch en interviews vormen de IST-positie. Uit de vergelijking van de SOLL met de IST volgen de GAP’s, oftewel de bevindingen. Wij hebben deze gemotiveerd omschreven en, waar mogelijk, volgend uit onze natuurlijke adviesfunctie als auditors, aangevuld met een pragmatisch voorstel voor mogelijke mitigerende maatregelen per bevinding. Op deze wijze wordt de NZa gericht advies gegeven om, in het geval van een bevinding, stappen te zetten om het gewenste doel alsnog te behalen. Voor de effectenmeting bij de medewerkers is door Noordbeek zelf een aselecte steekproef getrokken uit het personeelsbestand van de NZa, namelijk 13% van het personeel. Hierbij zijn 60 medewerkers individueel benaderd met een vragenlijst en uitgenodigd voor een van de drie workshops met Noordbeek op een niet-NZa-locatie. Tijdens deze workshops heeft Noordbeek de vragen toegelicht en zelf de ingevulde vragenlijsten in ontvangst genomen. Verder zijn ingevulde vragenlijsten door Noordbeek per mail ontvangen. Op deze wijze is de anonimiteit van de betrokken medewerkers geborgd. Aan de hand van de beschouwde documentatie, de uitgevoerde interviews en de effectenmeting zijn de onderzoeksvragen beantwoord. De resultaten zijn vastgelegd in onze rapportage aan de opdrachtgever. Op 11 februari 2016 hebben wij de resultaten mondeling toegelicht aan de Raad van Bestuur van de NZa en de opdrachtgever. Wij hebben deze opdracht voor overeengekomen werkzaamheden uitgevoerd en hierover gerapporteerd conform de richtlijnen van de Nederlandse Orde van Register IT Auditors (NOREA). 8.4.

Het onderzoeksteam De uitvoering van de werkzaamheden is verzorgd door:  Prof.dr.ir. R. Paans RE (Ronald), hoogleraar aan de Post Graduate Opleiding IT Audit, Compliance & Advisory van de Vrije Universiteit en directeur van Noordbeek;  J.E. Fasten BEc RE QSA CISA (Jerry), Manager IT Audit;  K.C. Schoon BICT EMITA QSA CISA (Keith), IT Auditor;  A.J. Stroo MSc (Arjen), IT Auditor. De eindverantwoordelijkheid voor de uitvoering van de opdracht berust bij ondergetekende, directeur van Noordbeek. Alle leden van het onderzoeksteam zijn fulltime in dienst van Noordbeek.

34 van 38


8.5.

Ondertekening Dit rapport is bedoeld voor het informeren van de Raad van Bestuur van de NZa en voor het verder verbeteren van de acties die volgen uit de drie Plannen van Aanpak. Wij eindigen met een woord van dank voor de geïnterviewden en de medewerkers die hebben geparticipeerd bij de effectenmeting, die naar onze mening op een open en transparante wijze alle door ons gevraagde informatie hebben verstrekt. Hazerswoude, 16 februari 2016

Prof.dr.ir. R. Paans RE Directeur van Noordbeek B.V.

35 van 38


Bijlage A

Lijst van geraadpleegde documentatie Dossier Nr. 32 33 34 35 36 37 38 39 40 41 42

43

44 45 46 47 48

A.1

Dossierstuk (Algemeen)

Datum

Brief VWS aan NZa: Verzoek actieplan Brief NZa aan VWS: NZa op koers, plannen van aanpak NZa Plan van Aanpak HRM NZa Plan van Aanpak Integriteit NZa Plan van Aanpak Informatievoorziening en informatiebeveiliging Brief NZa aan VWS: Plannen van aanpak NZa Organogrammen NZa 2015 en 2016 Werkprogramma en begroting NZa 2015 Brief VWS aan Tweede Kamer: Aanbieding rapport commissie Borstlap, evaluatie NZa-Wmg en nadere beoordeling bestuurskosten NZa Rapport Borstlap: Het rapport van de Onderzoekscommissie intern functioneren NZa Rapport Andersson Elffers Felix: Ordening en toezicht in de zorg, Evaluatie van de Wet Marktordening Gezondheidszorg (WMG) en de Nederlandse Zorgautoristeit (NZa) NZa Rapport Antonius: Rapport van de NZa als bedoeld in artikel 5:48, eerste lid, Awb, inzake het overtreden van artikel 35 Wmg door Stichting Antonius Ziekenhuis Nieuwegein Rapport Flynth: Rapport van onderzoek voor het ministerie van Volksgezondheid, Welzijn en Sport (VWS). Nr. 900/MB/1247 Tweede Kamer, verslag van de vaste commissie voor VWS op 25 juni 2015 Brief VWS aan Tweede Kamer: Kabinetsreactie NZa Brief VWS aan Tweede Kamer: Profiel voorzitter NZa Brief VWS aan interim-voorzitter NZa: Uw werkzaamheden

08-09-2014 01-12-2014 18-12-2014 18-12-2014 18-12-2014 11-03-2015 13-07-2015 28-10-2014 02-09-2014

Dossierstuk (HRM)

Datum

De HR-cyclus van de NZa, Jaargesprekken in het kader van HR en belonen Memo: Voorstel Strategische personeelsplanning Memo: Opbrengsten sessies strategische personeelsplanning Memo: Aanpak span of control / span of attention Memo: Trainingen gespreksvaardigheden medewerkers Memo: Stand van zaken PvA HRM: ’Evalueren werkoverleggen’ Plan van Aanpak 2015 Werkdruk, Versie 2 Overzicht: Acties uit PvA HRM, Stand van Zaken per 1 november 2015 Memo: Stand van zaken PvA HRM

18-06-2015

02-09-2014 02-09-2014

28-01-2014

02-09-2014 25-06-2015 02-04-2015 02-02-2015 24-06-2014

HRM Dossier Nr. 10 11 12 13 14 15 16 17 18

04-03-2015 21-05-2015 18-03-2015 08-04-2015 26-05-2015 02-04-2015 01-11-2015 08-06-2015

36 van 38


Dossier Nr. 19 20 21 22 23 24 26 27 28 29 65 67

A.2

Dossierstuk (HRM)

Datum

Overzicht: Stukken ten behoeve van Evaluatie Plan van Aanpak HRM Memo: Stand van zaken PvA HRM: ‘Betere informatievoorziening dienstverlening HRM’ Schouten & Nelissen: Trainingsdag ‘Assertief communiceren’ Verslag Periodiek Medisch Onderzoek NZa 2015 Memo: Voortgang werkplan HRM augustus 2015 Werkdrukonderzoek: Weerslag van de interviews InternetSpiegel en Effectory: NZa Medewerkersonderzoek Overzicht gevolgde opleidingen 2015: Mede in het kader van het Plan van Aanpak HRM Voorstel Management Ontwikkeling binnen de NZa RedZebra Groep: Voorstel programma Leidinggevenden Programma Vitaliteitsweek januari 2016 MD in plan van aanpak HRM - Red Zebra inzet 2015

02-12-2015 23-03-2015

Dossierstuk (Integriteit)

Datum

Gedragscode integriteit, Professionele verantwoordelijkheid bij de NZa Vertrouwelijk Berenschot: Inventarisatie compliance- en integriteitsbeleid NZa Programma: Dag van de integriteit – Managementontwikkeling NZa Project Inititation Document (PID): Uitvoering Plan van Aanpak Integriteit Intranet berichten: Integriteitsfunctionaris NZavoorts, Vertrouwenspersonen bieden een luisterend oor, titelpagina en blz. 9, Nummer 20, jaargang 6, december 2015 Intranet, Stand van zaken Gedragscode integriteit NZa screenshots Youforce over registratie nevenwerkzaamheden Declaraties en publicatie bestuurskosten Raad van Bestuur Toelichting dienstreizen en verblijfskosten binnenland Mails over vertrouwelijke bestanden van vertrouwenspersonen

01-09-2015 19-09-2015

20-08-2015 28-08-2015 27-08-2015 11-11-2014 23-06-2015 03-12-2015 03-12-2015 21-10-2014 08-01-2016 21-10-2014

Integriteit Dossier Nr. 4 8 25 30 31 49 50 62 63 64 66

05-02-2015 29-01-2015 18-12-2015 01-12-2015 24-08-2015 11-01-2016 26-03-2015 14-01-2016 22-01-2016

37 van 38


A.3

Informatievoorziening en informatiebeveiliging Dossier Nr. 1 2 3 5 6 7 9 51 52 53 54 55 56 57 58 59 60 61 68 69 70 71 72 73 74 75

Dossierstuk (IV en IB)

Datum

Fox IT: NZa Eindrapportage onderzoek informatiebeveiliging. Nr. PR150307. Versie 1.1 Fox IT: NZa Informatiebeveiligingsplan, oktober 2015. Vertrouwelijk memo: Stand van zaken IB&IV Foxcert, Fox IT: Project Scotch Collins, Finding report. Nr. PR-150276 Securify: Werkplek en Internetkoppelvlak, beveiligingsonderzoek. Concept versie 0.06. Memo: Stand van zaken IB/IV oktober 2015. Vertrouwelijk Mazars: EDP Audit Informatiebeveiliging NZa. Versie 1.0. NZa informatiebeveiligingsplan 2015-2017 v1.0 NZA Economische PVA FTE - Q1 details Start v61 NZA Economische PVA FTE - Q1 details v40 - in het PVA Jaarplan IB 2016 Dreigingsprofiel Fysieke toegangsbeveiliging Bewerkers persoonsgegevens RvB & GMT Meldpuntdatalekken def Offerte UMRA Nederlandse Zorgautoriteit 2015 129 NZa Opdrachtverlening aanschaf en implementatie UMRA Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) Voortgangsrapportage februari 2013 – november 2014 Uitwerking implementatie maatregelen nav rapport Borstlap v002 BIA - Bedrijfscontinuïteit analyse directies NZa (6 documenten) CISO Reactie op Fox-IT onderzoeken Tijdsplanning Q1 en Q2 autorisatiebeheer ISMS-handboek DBC-O, versie 1.0 Handboek Regie NZa, Sourcing IT NZa 2012-2016, versie 1.9 Programma IV&IB, Opdracht, resultaten en verwachtingen Regelingen gegevensuitwisselingen

22-09-2015 15-10-2015 23-10-2015 16-10-2015 13-05-2015 29-10-2015 01-08-2015 31-12-2014 14-04-2015 05-01-2015 22-12-2015 23-11-2015 02-12-2015 04-12-2015 08-12-2015 09-12-2015 07-01-2016 01-11-2014 05-03-2015 29-10-2015 16-11-2015 26-01-2016 01-03-2012 31-03-2011 28-08-2015 04-12-2015

38 van 38

Nederlandse Zorgautoriteit. Rapport van bevindingen inzake een evaluatie van. Drie Plannen van Aanpak

Recommend Documents