NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag
SMASH en CIHN in cijfers i. ii. iii. iv. v. vi. vii. viii.
3 huisartsenposten/1 call center 4 visitewagens 690 huisartsen (incl. waarnemers) 64 doktersass. (triagisten/ postassistenten) 15 VS en 4 VS i.o. 15 MA (Visites) patiëntenbestand van 700.000 162.000 contacten/per jaar
2 huisartsenposten/ 1 call center 4 visiteauto’s 450 huisartsen (incl. waarnemers) 85 doktersass. (triagisten, suda, hoda, coda)
435.000 patiënten 127.000 contacten per jaar
- 42% telefonische consulten 41% telefonische consulten - 51% consulten (incl. 20.000 zelfverwijzers) 49% consulten (incl. 2200 zelfverwijzers) - 7% visites 10% visites
Inhoud 1. 2. 3. 4. 5. 6.
Doel van IB De Norm Projectplan Borging continuïteit (going concern) Vragen Stellingen
Wat is het? Informatiebeveiliging is een samenhangend stelsel van procedures en maatregelen dat er op gericht is de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Systeem en vooral menselijk gedrag!!
Waarom?
Waarom IB? Veilige zorg voor patiënten wordt omschreven als: het (nagenoeg) ontbreken van (de kans op) aan de patiënt toegebrachte schade (lichamelijk en/of psychisch) ontstaan door het niet volgens de professionele standaard handelen van hulpverleners en/of door tekortkomingen van het zorgsysteem. Bron: CBO
Uitgangspunten: 1. Professioneel handelen; 2. Streven naar het ontwerpen van een veilig systeem waardoor fouten worden voorkomen of niet meer leiden tot (onherstelbare) schade.
Veilig zorgsysteem = afhankelijk van medische informatie
En ook… Meer bewustwording van de maatschappelijke, financiële en politieke risico’s die incidenten met zich meebrengen; • Informatie is onderdeel van onze core business: medische dossiers (BIV) • Niet goed beveiligen van informatie kan ernstige imagoschade of directe schade opleveren voor de instelling. • Strenge eisen vanuit stakeholders (ZV, CBP, patiëntverenigingen) • Wetgever die steeds strengere eisen stelt die bovendien voorzien gaan worden van forse boeteclausules
De norm: NEN 7510 Volgens deze norm waarborgt een optimale informatiebeveiliging de beschikbaarheid, integriteit en vertrouwelijkheid van de (medische) informatie. I.
Beschikbaarheid betekent dat informatie(systemen) beschikbaar zijn op de juiste momenten. II. Integriteit betekent het waarborgen van de correctheid en de volledigheid van de informatieverwerking (dossiervorming). III. Vertrouwelijkheid betekent dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
Projectplan Stap 1: Projectteam; Zorg voor betrokkenheid, ondersteuning en goedkeuring van RvB/MT voor initiëren IBMS project en goede projectstructuur Stap 2: Bestudeer de NEN 7510 Stap 3: Verklaring van toepasselijkheid Stap 4: Bepaal het beleid voor informatiebeveiliging Stap 5: Stel een methode voor risicobeoordeling vast Stap 6: Identificeer, analyseer en beoordeel de risico’s Stap 7: Bepaal de beheersmaatregelen en -doelstellingen voor de risicobehandeling Stap 8: Maak het definitieve IBMS implementatieplan Stap 9: Train het personeel en wijs middelen toe Stap 10: Voer interne audits, directiebeoordelingen en verbeteringen uit Stap 11: Start het certificatietraject tijdig en overweeg een proefaudit
Stap 1: Project(team) I. II. III. IV. V.
Verantwoordelijke (security officer); Coördineerde rol (security coördinator); Incident manager; Lijnmanagers; Vakinhoudelijke kennis.
SMASH = ‘Stuurgroep IB’: directeur, coördinator IB, IT service manager, teamleiders en externe consultant. CIHN = NEN projectgroep: directeur, kwaliteitsfunctionaris, ICT-adviseur, P&O functionaris, locatiemanagers
Stap 2: de Norm 5. Beveiligingsbeleid 6. Organisatie van informatiebeveiliging 7. Beheer van Bedrijfsmiddelen 8. Personeel 9. Fysieke beveiliging en beveiliging van de omgeving 10. Beheer van communicatie- en bedieningsprocessen 11. Toegangsbeveiliging 12. Verwerving, ontwikkeling en onderhoud van informatiesystemen 13. Beheer van informatiebeveiligingsincidenten 14. Bedrijfscontinuïteitsbeheer 15. Naleving
Stap 3: Verklaring van Toepasselijkheid NEN7510:2011 Selectie van beheersmaatregelen
Geselecteerd? Ja
Nee
Argumentatie uitsluiting
Ja
7. Beheer van Bedrijfsmiddelen 7.1 Verantwoordelijkheid voor bedrijfsmiddelen 7.1.1 Inventarisatie van bedrijfsmiddelen 7.1.2 Verantwoordelijken voor de bedrijfsmiddelen 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen 8. Personeel 8.1 Voorafgaand aan het dienstverband 8.1.1 Rollen en verantwoordelijkheden 8.1.2 Screening. 8.1.3 Arbeidsvoorwaarden 10.3 Systeemplanning en -acceptatie 10.3.1 Capaciteitsbeheer 10.3.2 Systeemacceptatie
Uitsluiting geaccepteerd?
Systeembeheer is uitbesteed; IB maakt deel uit van 6.2.3, 10.2 en 12.5.5.
Nee
Stap 4: Beleid voor informatiebeveiliging (en alle onderliggende relevante documenten) • • • • •
Relevante wet- en regelgeving Fysieke en digitale toegang Autorisatie en logging Selectie en beoordeling leveranciers Bedrijfsmiddelen, eigenaarschap, beheer
Stap 5,6,7: Risicomanagement
Risicoanalyse
De BIA (Business Impact Analysis)
Stap 8 Implementatieplan • Kennis • Vaardigheden • Gedrag
9. Training en middelen
Stap 10: IB activiteiten 1. 2. 3. 4.
Interne audits Incident management Gedrag en bewustwording medewerkers Continu verbeteren (nieuwe risico’s en maatregelen, up to date houden documenten. Leveranciersbeoordeling, directiebeoordeling)
Stap 11: De externe audit
Voorbeeld externe audit agenda Openingsvergadering met het management: uitleg geven over de omvang van de audit, de audit methodiek en rapportage. Management & organisatie Beleid en doelstellingen informatiebeveiliging; directiebeoordeling; corrigerende maatregelen; procesverbetering en preventieve maatregelen; continu verbeteren. IB prestatie-indicatoren; beoordeling effectiviteit van de informatiebeveiliging, Informatiebeveiligingsbeleid, verantwoordelijkheden, coördinatie, externe partijen (Teamleider) 8. Personeel 7. Beheer van bedrijfsmiddelen,
2de auditor 15. Naleving 10. Beheer communicatie en bedieningsprocessen
Risicoanalyse, VVT 11. Logische toegangsbeveiliging
6.2 Organisatie van informatiebeveiliging – externe partijen – overeenkomsten
Mondelinge terugkoppeling van de bevindingen tot nu toe Bezoek 1 callcenter of huisartsenpost
Bezoek 3 callcenter of huisartsenpost
Bezoek 2 callcenter of huisartsenpost
Bezoek 4 callcenter of huisartsenpost
Dag 2 Teamleider
2de auditor
Rapportage vorige dag 9. Fysieke beveiliging
12. Verwerving, ontwikkeling en onderhoud van informatiesystemen
13. Beheer van informatiebeveiligingsincidenten
14 Bedrijfscontinuïteitsbeheer
4.7 Documentatie ISMS
4.5.2 Interne audit en de verbetercyclus
Eindbespreking met het management: een samenvatting van de bevindingen en de aanbevelingen.
Samenvatting
Lessons learned ü ü ü ü
ü ü ü
Veiligheid versus werkbaarheid (laat je een computer na 5 minuut automatisch uitloggen/locken?) Betrek de eindgebruiker bij veiligheidsvraagstukken, zodat de werkbaarheid gegarandeerd blijft Maak medewerkers bewust dat informatiebeveiliging onderdeel is van veilige zorg De veilige keuze moet de makkelijke keuze zijn. Veilig werken moet onderdeel zijn van de cultuur: “medewerkers moeten veilig willen werken” Continue aandacht is van belang en zorg dat mensen snappen waarom iets niet mag of kan (anders krijg je work-arounds) Redeneer vanuit je eigen perspectief: “wat zou je doen als het jouw gegevens waren?” Uitbesteden heeft zijn voordelen
Tips Werken met 7510: https://www.werkenmetnen7510.nl/normen/nen7510/7510_sec_foreword_kop
BDO Zorg Informatie Beveiligingsscan 2015 http://www.bdo.nl/nl/branches/zorg/uploads/bdo%20zorg_infob eveiligingsscan_2015.pdf Gebruik maken van wat al elders ontwikkeld is!
Ergernis of hulpmiddel? Voor de CIHN: Medische/persoonlijke gegevens zijn in veilige handen; medewerkers zijn zich bewust van het feit dat zij zorgvuldig om moeten gaan met gegevens van anderen en handelen daar naar. Bewust omgaan met risico’s en maatregelen nemen om te voorkomen Restrisico’s zijn inzichtelijk en worden geaccepteerd.
Voor SMASH: NEN 7510 biedt een leidraad en vertrouwensbasis voor veilige omgang met informatie in de gezondheidszorg.
Vragen