Privacy- en informatiebeveiliging voor de zorg en de NEN 7510

Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit

2010

Onderzoek Zorgsector

Privacy-‐ en informatiebeveiliging voor de zorg en de NEN 7510

Een beschouwing op de NEN 7510 norm om bestuur en management van Zorginstellingen, toezichthouders en IT auditors inzicht te geven deze norm op een adequate wijze kunnen toepassen voor strategie en visie vorming, implementatie of toetsing.

Privacy-‐ en Informatiebeveiliging in de zorg en de NEN 7510

Lavalette, M.J.,Scriptie IT-‐Audit, VU Amsterdam, 2010

Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit

2010

Onderzoek Zorgsector

Privacy-‐ en informatiebeveiliging in de zorg en de NEN 7510

Ing. Marcel Lavalette CISA Mariendaal 101 7544 NH Enschede 053-‐4765971 [email protected] Studentennummer 1784692 Scriptie begeleider: Drs. C.J. Coumou

April 2010

© Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document

Pagina 3 van 69



Inhoudsopgave

Voorwoord......................................................................................................................... 6 1. Inleiding ........................................................................................................................ 7 1.1. Doel van dit onderzoek ........................................................................................................ 7 1.2. IT audit perspectief .............................................................................................................. 7 1.3. Reikwijdte ............................................................................................................................ 7 1.4. De onderzoeksaanpak .......................................................................................................... 7 1.4.1.

Leeswijzer ....................................................................................................................................... 8

2. Begrippenkaders............................................................................................................ 9 2.1. De context en het belang van informatiebeveiliging voor de zorg......................................... 9 2.2. Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen .............................................. 9 2.3. Wat is informatiebeveiliging............................................................................................... 12 2.3.1. 2.3.2.

Selectie van maatregelen.............................................................................................................. 12 Informatiebeveiliging als continu proces....................................................................................... 13

2.4.1. 2.4.2. 2.4.2.1. 2.4.2.2.

Risico’s.......................................................................................................................................... 13 Risicomanagement proces ............................................................................................................ 14 De risicoanalyse in het risicomanagement proces ......................................................................... 14 Code voor Informatiebeveiliging en het ISMS................................................................................ 15

2.4. IT, Risico’s, risicomanagement en de risicoanalyse ............................................................. 13

3. Normen en standaarden voor informatiebeveiliging.................................................... 17 3.1. De oorsprong, de Code voor Informatiebeveiliging............................................................. 17 3.1.1.

ISO 27799, de Europese norm voor de zorg ................................................................................... 18

3.4.1. 3.4.1.1. 3.4.1.2. 3.4.1.3. 3.4.1.4. 3.4.1.5.

NEN 7511, Toetsbare voorschriften ............................................................................................... 20 NEN 7511-‐1 voor complexe organisaties ....................................................................................... 20 NEN 7511-‐2 voor samenwerkingsverbanden ................................................................................. 20 NEN 7511-‐3 voor solopraktijken.................................................................................................... 20 NEN 7512 voor elektronische communicatie ................................................................................. 20 NEN 7513 vastlegging acties op elektronische patiëntendossiers .................................................. 20

3.2. NEN 7510, informatiebeveiligingsnorm voor de zorg .......................................................... 18 3.3. Verschil ISO 27001 en de NEN 7510 .................................................................................... 19 3.4. Certificeringsmogelijkheden voor de NEN 7510 .................................................................. 19

3.5. Ontwikkelingen in de NEN7510 in 2011 .............................................................................. 20

4. Toetsingsnorm of uitvoeringnorm ............................................................................... 21 4.1. Wat is een norm................................................................................................................. 21 4.2. Toetsingsnormen ............................................................................................................... 21 4.3. Uitvoeringsnormen (best practices).................................................................................... 21 4.4. Is de NEN7510 een uitvoeringsnorm of een toetsingsnorm? ............................................... 22 4.4.1.

Toetsingsnorm 2010 voor Ziekenhuizen ........................................................................................ 22

5. Strategische en bestuurlijke context ............................................................................ 23 5.1. Interne beheersing volgens COSO....................................................................................... 23 5.1.1. 5.1.2. 5.1.3.

IT Governance............................................................................................................................... 24 Enterprise risk management en de relatie met IT risicomanagement ............................................ 24 Volwassenheidsniveau van informatiebeveiliging......................................................................... 24

5.2. De Zorgbrede Governance Code ......................................................................................... 25 5.3. Het nieuwe zorgstelsel ....................................................................................................... 26


Pagina 4 van 69



5.3.1. 5.3.2.

Diagnosebehandelcombinaties (DBC’s) ......................................................................................... 27 Zorgleefplan en Zwaartepakketten (ZZP’s).................................................................................... 27

5.4.1. 5.4.2. 5.4.3.

De infrastructuur van het Landelijk EPD ........................................................................................ 28 GBZ Eisen...................................................................................................................................... 29 GBZ toetsing. ................................................................................................................................ 30

5.4. Het EPD .............................................................................................................................. 27

6. (privacy)wet-‐ en regelgeving........................................................................................ 32 6.1. Privacybeveiliging .............................................................................................................. 32 6.2. Wet Bescherming Persoonsgegevens (WBP)....................................................................... 32 6.2.1.

Wet Bescherming Persoonsgegevens en de zorg ........................................................................... 32

6.3. Grondwet........................................................................................................................... 35 6.4. Auteurswet ........................................................................................................................ 35 6.5. Computercriminaliteit ........................................................................................................ 35 6.6. Wet elektronische handtekeningen (WEH) ......................................................................... 36 6.7. Wet Toelating Zorginstellingen (WTZi) transparantie-‐eisen voor bestuur en toezicht ......... 37 6.8. Kwaliteitswet zorginstellingen (HKZ) .................................................................................. 37 6.9. Wet op de geneeskundige behandelingsovereenkomst (WGBO) ........................................ 38 6.10. Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) ................................. 39 6.11. Wet gebruik burgerservicenummer in de Zorg (Wbsn-‐z) ................................................. 39

7. IT risicomanagement ................................................................................................... 42 7.1. Borging van Informatiebeveiliging als proces volgens NEN 7510 ......................................... 42 7.1.1. 7.1.2.

Inrichten van een ISMS ................................................................................................................. 43 Risicoanalyse ................................................................................................................................ 45

7.2. Het 12 Stappenplan voor invoering van de NEN7510 .......................................................... 47 7.3. Risicomanagement toevoeging op het 12 Stappenplan....................................................... 49

8. Welke partijen toetsen op wat en met welke normenkaders? ..................................... 51 9. Conclusie ..................................................................................................................... 52 9.1. Overwegingen voor de zorgaanbieders .............................................................................. 52 9.2. IT audit overwegingen........................................................................................................ 53

10.

Discussie .......................................................................................................... 54

10.1. IT audit overwegingen bij certificering ............................................................................ 55

11.

Literatuurlijst, bronnen & interviews................................................................ 57

12.

Bijlage A, GBZ eisen en de NEN 7510 ................................................................ 58

13.

Bijlage B, Vergelijkingsmatrix NEN 7510 en ISO 27002 ...................................... 62

14.

Bijlage C, NVZ start-‐ en vervolg normen en het GBZ.......................................... 67


Pagina 5 van 69



Voorwoord Bestuurder of managers in de zorg zullen ongetwijfeld onderschrijven dat ICT niet meer weg te denken is in de bedrijfsvoering van hun organisatie. ICT biedt de mogelijkheden om de kwaliteit te verbeteren van zorgprocessen, de efficiency te verhogen en om kosten te besparen. Naast voordelen brengt het toepassen van ICT ook nadelen met zich mee. Door het toenemende gebruik neemt de afhankelijkheid toe. In sommige gevallen is deze afhankelijkheid zo groot dat bij uitval van de ICT enkele processen tot stilstand komen. Door de verwerking, opslag en communicatie van medische en patiëntinformatie in ketens, mobiele werkplekken, internet Portals en een EPD, nemen de risico’s toe op het gebied van inbreuken op de vertrouwelijkheid en de juistheid van informatie. Steeds vaker bereiken dergelijke incidenten de media en is reputatieschade een toenemende factor in de risicoafweging geworden. Op website barometers wordt steeds vaker de “performance” van instellingen bijgehouden1. Het is een kwestie van tijd dat informatiebeveiliging ook hier als graadmeter gehanteerd gaat worden. Concurrentie overwegingen, financieel rendement, efficiency, maatschappelijk belang en bescherming van de reputatie worden steeds vaker reden om risico’s te beheersen. In de praktijk wordt het beheersen van deze risico’s echter als complex ervaren. Het vraagt om materiekennis en verstand van zaken om een goede risicoafweging te kunnen maken en om normen en methodes goed toe te kunnen passen. Dit wordt versterkt door het feit dat er veel onduidelijkheid bestaat over de eisen waaraan men dient te voldoen en hoe de bestaande normen toe te passen. Dit alles maakt het beleidsmakers niet makkelijk om keuzes te maken en tot een beleid en strategie te komen voor informatiebeveiliging om te voldoen aan deze wir war van normen, wet-‐ en regelgeving en risico’s. Vanuit mijn werk als IT Risico-‐ en Compliance consultant heb ik de afgelopen jaren veel met bestuurders, Security Officers en IT managers gesproken in de zorg over privacy-‐ en informatiebeveiliging en business continuity. Velen blijken te worstelen met de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Moet men er nu wel of niet eraan voldoen, waarom en waaraan dan precies, op wat wordt getoetst, moet mijn leverancier NEN 7510 gecertificeerd zijn, hoe zit het met andere standaarden zoals ISO 27001 en wat is het verschil, kan ik gecertificeerd worden voor NEN 7510, wat is de relatie met het EPD en het GBZ? Dit zijn vragen die ik in de praktijk zoal tegenkom en de reden om dit onderzoek uit te voeren om dit eenduidig in kaart te brengen.

1

www.kiesbeter.nl


Pagina 6 van 69



1. Inleiding 1.1.

Doel van dit onderzoek

Het doel van dit onderzoek is om aan beleidsmakers in de zorg die informatie te vertrekken die noodzakelijk is om een beleid en strategie te bepalen om privacy-‐ en informatiebeveiliging effectief en efficiënt in te voeren op basis van de volgende uitgangspunten: 1. Strategische en bestuurlijke context 2. (Privacy)wet-‐ en regelgeving 3. IT Risicomanagement De reden waarom juist voor deze genoemde drie uitgangspunten is gekozen wordt in hoofdstuk 2.4.2.2 duidelijk gemaakt. In dit onderzoek wordt uitvoerig stilgestaan bij de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Dit onderzoek geeft derhalve ook antwoord op de volgende subvragen: 1) Wat is een norm en voldoet de NEN7510 aan die omschrijving? 2) Wat is de doelstelling en reikwijdte van de NEN7510 norm? 3) Voor welk van de genoemde drie uitgangspunten is de NEN7510 geschikt of verplicht, als toetsingsnorm of uitvoeringsnorm? 4) Welke alternatieven of combinaties met andere normen/standaarden bieden dezelfde zekerheid.

1.2.

IT audit perspectief

Toezichthouders en IT auditors worden door de inzichten van dit onderzoek in staat gesteld toetsingsnormen op een adequate wijze te hanteren of af te leiden zodat deze enerzijds aansluiten op een toetsingscriteria en anderzijds aansluiten op de doelstellingen en mogelijkheden van een zorginstelling.

1.3.

Reikwijdte

Voor dit onderzoek is er geen onderscheidt gemaakt in Cure of de Care instellingen of een specifieke sector. Het onderzoek is gedaan vanuit het perspectief van de zorgaanbieders en niet vanuit andere partijen zoals leveranciers, partijen die verantwoordelijk zijn voor de EPD infrastructuur of andere leveranciers of ketenpartijen.

1.4.

De onderzoeksaanpak

Dit onderzoek kenmerkt zich als een literatuurstudie naar definities en normen voor informatiebeveiliging, met name de NEN 7510 norm in het bijzonder, strategische en bestuurlijke aspecten, (privacy) wet-‐ en regelgeving en informatie op het gebied van risicomanagement en methoden van beoordelingen in de zorg. Er is onderzocht welke vormen van normen er zijn en aan welke vorm(en) de NEN7510 voldoet.


Pagina 7 van 69



Voor het verkrijgen van additionele informatie en het afstemmen van de bevindingen en conclusies zijn er diverse interviews gevoerd met vertegenwoordigers van het Nederlands Genootschap voor Huisartsen (NGH), de Nederlandse Vereniging voor Ziekenhuizen (NVZ), NICTIZ, een Academisch Ziekenhuis, certificerende instellingen en een IT hosting provider.

1.4.1. Leeswijzer 

 

  

  

De hoofdstukken 2, 3 en 4 geven inzicht in de definities van informatiebeveiliging, risicomanagement, de historie, achtergronden en uitleg over normen zoals de NEN 7510 norm en de verschijningsvormen van normen. Hoofdstuk 5, 6 en 7 gaan in op de genoemde drie uitgangspunten in hoofdstuk 1.1. De in hoofdstuk 1.2. genoemde subvragen 1 en 2 worden beantwoord in de hoofdstukken 3 en 4. Subvraag 3 wordt beantwoord in de hoofdstukken 5, 6 en 7 en subvraag 4 wordt beantwoord in de hoofdstukken 8 (conclusie) en 9 (discussie). Het IT audit perspectief wordt toegelicht in de conclusie Hoofdstuk 8 geeft een overzicht op de aspecten waarop getoetst wordt, of de NEN7510 noodzakelijk is of aan te bevelen en door welke toezichthoudende instanties; Hoofdstuk 9 geeft een conclusie weer in hoe NEN7510 toe te passen in relatie tot de drie invalshoeken en als toetsingsnorm of als implementatienorm; Hoofdstuk 10 geeft een discussie weer over de NEN7510 norm, de op handen zijnde revisie van de norm begin 2011, de relatie met de ISO 27799 norm en de relatie met het EPD en de drie invalshoeken; Bijlage A geeft een overzicht van de eisen die gesteld worden aan een Goed Beheerst Zorgsysteem (GBZ) in het kader van het EPD en vergelijkt deze eisen met de NEN 7510; Bijlage B geeft een overzicht van de onderwerpen van de NEN7510 norm in relatie tot ISO 27002 (Code voor Informatiebeveiliging); Bijlage C geeft een overzicht van de Start-‐ en vervolgnormen van de Nederlandse Vereniging voor Ziekenhuizen.


Pagina 8 van 69



2. Begrippenkaders Om de drietal invalshoeken, de Strategische en bestuurlijke context, (Privacy)wet-‐ en regelgeving en IT Risicomanagement op een juiste wijze te kunnen beoordelen worden eerst een aantal begrippen uitgelegd en de context van informatiebeveiliging en de zorg.

2.1.

De context en het belang van informatiebeveiliging voor de zorg

Voor de zorgsector is er een norm voor informatiebeveiliging, de NEN 7510 die in hoofdstuk 3 nader uitgelegd wordt. Sinds het ontstaan van deze NEN7510 norm in 2004 heeft de zorgsector de nodige ontwikkelingen doorgemaakt. Zo is er sinds 2005 de Zorgbrede Governance code, is er een nieuwe zorgstelsel geïntroduceerd, een nieuw financieel verantwoording-‐ en facturatieproces met zorgverzekeraars op basis van de diagnosebehandelcombinaties (DBC’s) en zorgzwaartepakketten (ZZP’s) geïntroduceerd, hebben veel instellingen nieuwe Patiënt of Cliënt informatiesystemen geïmplementeerd, is een kwaliteitssysteem verplicht gesteld (HKZ) en zijn er diverse regionale en landelijke ontwikkelingen op het gebied van een EPD. Daarnaast is in 2009 ook de wet gebruik BSN in de zorg (Bsn-‐z) geëffectueerd, hebben veel zorginstellingen al een “lokaal” variant van een elektronische patiënten-‐ of cliëntendossier en staan we wellicht aan de vooravond van de invoering van een landelijk patiënten-‐ of cliëntendossier. In het voorwoord zijn we al ingegaan op de toenemende automatisering, complexiteit in ketens en communicatie en de afhankelijkheid van IT in de zorg. Uitval, misbruik of openbaring van (privacy)informatie en informatiesystemen heeft in veel gevallen directe consequenties voor de kwaliteit van de zorg, kan tot levensbedreigende situaties leiden, de reputatie van een instelling schaden en consequenties hebben voor de vergoedingen van de verzekeraars. Het beheersen van risico’s die betrekking hebben op de IT-‐voorziening is hierdoor noodzakelijk geworden voor een goede bedrijfsvoering. Stringenter Wet-‐ en regelgeving zoals de Wbsn-‐z, privacy waarborgen en het aansluiten op een landelijke infrastructuur voor het Elektronisch patiëntendossier zal de noodzaak voor informatiebeveiliging en IT risicobeheersing alleen nog maar doen toenemen. De zorgsector is ook opener geworden. Steeds meer zorginstellingen nemen diensten af van externe services verleners zoals de Software as a Services aanbieders, hosting partijen, outsourcing aanbieders en externe partijen in de landelijke infrastructuur van het EPD. Dit wordt deels veroorzaakt door een sterkere drang naar efficiency en financieel rendement omwille van concurrentie doelstellingen. Een situatie die het gevolg is van de grotere marktwerking. Door de afhankelijkheid van derde partijen dient de zorg ook te kunnen steunen op het beveiligingsniveau van deze derde partijen. Inzicht in gehanteerde standaarden en normenkaders voor privacy-‐ en informatiebeveiliging wordt hierdoor steeds belangrijker.

2.2.

Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen

Om de noodzaak aan te tonen van privacy-‐ en informatiebeveiging is hier de samenvatting weergegeven van het rapport uit 2008 “Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm” van de Inspectiedienst voor de Gezondheidszorg. Weliswaar is dit niet representatief voor de gehele sector maar het geeft toch een goed beeld over de situatie en de wijze waarop een dergelijke toetsing heeft plaatsgevonden.


Pagina 9 van 69



Samenvatting: Naar aanleiding van de resultaten van het door de IGZ in 2004 gepubliceerde rapport ICT in ziekenhuizen is opnieuw onderzoek verricht naar de stand van de informatiebeveiliging in ziekenhuizen, mede vanwege de op handen zijnde invoering van delen van het Elektronisch Patiëntendossier en de bijbehorende toename van het gebruik van ICT bij de directe patiëntenzorg. Het onderzoek is nu uitgevoerd door de IGZ en het CBP onder twintig ziekenhuizen door middel van gesprekken met een vertegenwoordiger van de Raad van Bestuur, de afdeling ICT en de medische staf. Het doel van het onderzoek was het verkrijgen van een beeld van de stand van zaken van de implementatie van de NEN 7510 norm bij ziekenhuizen in het algemeen. Tevens werd de invulling van de informatiebeveiliging in de gekozen ziekenhuizen onderzocht en gecontroleerd of de getroffen maatregelen voldoen aan de relevante wet-‐ en regelgeving. Uit het onderzoek blijkt dat er vooral op technisch gebied in vergelijking met vier jaar geleden veel is verbeterd. Echter, zowel de leiding als de medewerkers zijn zich nog steeds onvoldoende bewust van de risico’s die gebruik van ICT in ziekenhuizen met zich meebrengt. Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen. Wat betreft de NEN 7510 norm blijkt dat de meeste ziekenhuizen nog niet aan deze norm voldoen. Zo is informatiebeveiliging bijvoorbeeld nog te weinig omgezet naar uitgewerkt beleid en wordt veel ‘in de praktijk’ geregeld. Een andere belangrijke bevinding is het ontbreken van bewustzijn bij medewerkers van het belang van informatiebeveiliging. Informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak. Van de twintig onderzochte ziekenhuizen blijkt bij negen ziekenhuizen dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (WBP), en dat evenmin is voldaan aan de voorwaarden om verantwoorde zorg te leveren zoals bedoeld in artikel 2 van de Kwaliteitswet zorg-‐ instellingen (KWZ). Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau. De twintig onderzochte ziekenhuizen zullen duidelijk moeten maken hoe zij wel aan een passend beveiligingsniveau gaan voldoen. Zij moeten aan het CBP en de IGZ een plan van aanpak leveren waaruit blijkt hoe zij dat gaan bereiken en op welke termijn zij dat bereikt zullen hebben. Indien de inhoud van het plan van aanpak (of het geheel uit-‐ blijven van een plan van aanpak) daartoe aanleiding geeft, zal handhavend worden opgetreden. De inspectie zal de overige ziekenhuizen in Nederland ook een plan van aanpak op laten stellen. Uit dit plan van aanpak moet blijken hoe deze ziekenhuizen aan de NEN 7510 norm gaan voldoen. Daarnaast zullen alle ziekenhuizen in 2010 aan de inspectie de resultaten moeten overleggen van een extern uitgevoerde audit, zoals in de NEN 7510 norm is bedoeld, waaruit blijkt wat het niveau van informatiebeveiliging op dat moment is. Zonodig zal op grond van het plan van aanpak een eerdere beoordeling door de inspectie plaatsvinden en handhavend worden opgetreden. Dat betekent dat bij onvoldoende planvorming om aan de totale NEN 7510 norm te voldoen, handhaving-‐ maatregelen ingezet zullen worden.

Tijdens het onderzoek is gebruikgemaakt van het instrument voor Toetsing van ICT in de zorg (TICTzorg instrument). Dit toetsingsinstrument is ontwikkeld om te beoordelen in hoeverre zorginstellingen voldoen aan de NEN 7510 norm. Het betreft een leidraad voor een interview, aan de hand waarvan verschillende onderdelen van de NEN 7510 norm aan bod komen. De


Pagina 10 van 69



onderzoekers die het instrument hanteerden, waren een medewerker van het CBP en een inspecteur van de IGZ. De IGZ en het CBP hebben zes onderdelen van de NEN 7510 norm gekozen als indicatoren voor de toestand van de informatiebeveiliging. Het onderzoek betreft dus niet een volledige toets aan de NEN 7510 norm. Tijdens het onderzoek zijn 6 van de 11 onderwerpen uit de NEN 7510 norm aan bod gekomen: • Organisatie. (Hfd. 6 uit NEN7510) • Externe partijen. (Hfd. 6.2 uit NEN7510) • Beveiligingseisen ten aanzien van personeel (Hfd. 8 uit NEN7510) • Toegangsbeveiliging. (Hfd. 11 uit NEN7510) • Naleving wetgeving. (Hfd. 14 uit NEN7510) • Beveiligingsincidenten. (Hfd. 15 uit NEN7510) • Onderwerpen die niet aan bod zijn gekomen zijn: • Beleid (Hfd. 5 uit NEN7510); • Beheer van middelen voor de informatievoorziening (Hfd. 7 uit NEN7510); • Fysieke beveiliging en beveiliging van de omgeving (Hfd. 9 uit NEN7510); • Operationeel beheer van informatie-‐ en communicatievoorzieningen (Hfd. 10 uit NEN7510); • Aanschaf, ontwikkeling en onderhoud van informatiesystemen (Hfd. 12 uit NEN7510); • Continuïteitsbeheer (Hfd. 13 uit NEN7510); Door het College Bescherming Persoonsgegevens (CBP) is in het kader van de privacybescherming getoetst aan de Wet Bescherming Persoonsgegevens (WBP). Het CBP heeft bij de toetsing van de beveiligingsmaatregelen aan art. 13 WBP de NEN 7510 norm als meetinstrument gebruikt. Het CBP stelt dat de NEN 7510 norm een gezaghebbende sectorale uitwerking is van art. 13 van de WBP; als een ziekenhuis voldoet aan de NEN 7510 norm, mag er van uit worden gegaan dat het ook voldoet aan de wettelijke bepaling. Andersom is dit geen volstrekt automatisme: een ziekenhuis kan ook op andere wijze aantonen dat de beveiliging in orde is, bijvoorbeeld door te voldoen aan de Code voor Informatiebeveiliging (ISO 17799) of een andere vergelijkbare standaard. De IGZ ziet deze normen (artikel 13 WBP voor privacybeveiliging en de NEN 7510 norm voor informatiebeveiliging) als een norm ter invulling van het begrip ‘verantwoorde zorg’ als bedoeld in de Kwaliteitswet zorginstellingen en de Wet BIG (hoofdstuk 6.10). De voorwaarden om verantwoorde zorg te kunnen verlenen, zijn bij voldoening aan de norm wat dit betreft dan aanwezig.


Pagina 11 van 69


2.3.


Wat is informatiebeveiliging

De definitie van informatiebeveiliging in de NEN 7510 norm is de volgende: Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken. Informatiebeveiliging is volgens de NEN7510 gericht op de aspecten: 1. vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname; 2. integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; 3. beschikbaarheid: het zekerstellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers. Behalve deze elementaire aspecten komen bij informatiebeveiliging ook de volgende zekerheidsbegrippen aan de orde: 4. onweerlegbaarheid: het waarborgen dat het vastleggen van gegevens of het verzenden van een bericht niet kan worden ontkend; 5. verantwoordelijkheid: het waarborgen dat van gegevens en verwerkingen van gegevens steeds vaststaat wie daarvoor welke verantwoordelijkheid draagt; 6. authenticiteit: het zekerstellen dat gegevens, informatiediensten, organisaties en gebruikers van de juiste identiteit zijn voorzien; 7. betrouwbaarheid: het waarborgen van overige kwaliteitseisen ten aanzien van informatie, de bron ervan, de route die de gegevens volgen en verwerkingen die erop plaatsvinden. Met de aspecten 4, 5, 6 en 7 wordt over het algemeen de “controleerbaarheid” bedoeld om achteraf de toegang en transacties te kunnen verifiëren. Het begrip ‘informatie’ is in de NEN 7510 norm niet nader uitgelegd. Informatie is volgens de ‘van Dale’: kennis die iemand bereikt. Info, kondschap, achtergrondinformatie, beeldmateriaal, desinformatie, inside-‐information, mededeling, procesinformatie, propaganda, stof, tele-‐ informatie, toelichting, zero-‐informatie verstrekking van kennis of inzicht. Uit het feit dat informatiebeveiliging zich op zulke verschillende zaken richt, valt af te leiden dat informatiebeveiliging een veelzijdige discipline is2 en dit vraagt om een integrale aanpak. Hierbij is het juist van belang dat informatiebeveiliging geen “IT feestje” wordt. Immers informatie is meer dan alleen digitale informatie en behelst dus ook het gesproken woord, faxen, geprinte documenten etc.

2.3.1. Selectie van maatregelen Risico’s die kunnen leiden tot incidenten of calamiteiten zijn bepalend voor het nemen van maatregelen. Het is belangrijk bij het selecteren van maatregelen een balans te vinden tussen organisatorische en technische maatregelen. Hierbij dient de gebruiker zo min mogelijk gehinderd te worden bij het uitvoeren van zijn of haar taken. Maatregelen dienen proportioneel en in balans te zijn met de beschikbare middelen, de kosten, de organisatie, de cultuur, de medewerkers en de stand der techniek. Organisatorische maatregelen zoals screening, richtlijnen, gedragscodes met sanctiebepalingen bij overtreding, risicobewustzijn en goede instructies kunnen compenserend zijn voor technische maatregelen. Het 2

‘Informatiebeveiliging onder controle’ van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit.


Pagina 12 van 69



beveiligingsniveau van medische informatie , patiënt-‐ en cliëntinformatie dient echter altijd hoog te zijn.

2.3.2. Informatiebeveiliging als continu proces Doordat organisaties en hun omgeving veranderen, veranderen ook de risico’s en de eisen en randvoorwaarden die vanuit de organisatie aan informatiebeveiliging worden gesteld3. Door informatiebeveiliging als proces te borgen zijn we instaat de effectiviteit van de maatregelen te meten en te evalueren. Hierdoor kunnen we daar waar nodig bijsturen, en indien nodig, nieuwe maatregelen selecteren. Hierdoor wordt het beveiligingsniveau continu verbeterd. De NEN7510 norm gaat uit van deze procesborging en maakt hier ook de relatie met de ISO 90014 norm (hoofdstuk 6.8) op basis van de Plan-‐Do-‐Check-‐Act cyclus van Deming.

2.4.

IT, Risico’s, risicomanagement en de risicoanalyse

Onder IT kunnen we informatie (gegevens) onderscheiden, informatiesystemen en de IT beheer organisatie. Met informatiesystemen bedoelen we technische systemen zoals servers, applicaties en (communicatie)infrastructuren. Hiertoe behoren ook de externe dienstverlening zoals bijvoorbeeld uitbestede software ontwikkeling, ge-‐outsourced beheer, het extern hosten van servers en applicaties bij Datacenters of Applicaties Service provider (ASP) en Software as a Service (SaaS) dienstverleners.

2.4.1. Risico’s Het toepassen van IT brengt risico’s met zich mee. Als we deze niet beheersen kan dit de kwaliteit van de zorg beïnvloeden of de privacy van een patiënt schaden. Risico’s kunnen betrekking hebben op de uitval, misbruik, openbaring of foutief gebruik van informatie en informatievoorzieningen. Voorbeelden van risico’s zijn het ongeautoriseerd inzien van patiënt-‐ en cliëntgegevens door onbevoegden, misbruik van toegangsmiddelen zoals de UZI-‐pas, het uitvallen van planningssystemen waardoor medewerkers hun werkzaamheden niet meer kunnen uitvoeren, de uitval van centrale communicatie-‐ en IT faciliteiten waardoor de communicatie 3

Informatiebeveiliging onder controle van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit norm voor een kwaliteitsmanagement systeem

4


Pagina 13 van 69



of (camera)bewaking uitvalt of schade door “oude” computer virussen en wormen doordat beschikbare updates niet geïnstalleerd zijn.

2.4.2. Risicomanagement proces Risicomanagement omvat alle activiteiten die erop zijn gericht om risico’s die een organisatie loopt bij het bereiken van haar doelstellingen, te beheersen5. Hierbij gaat het er vooral om het identificeren van de risico’s de we lopen, welke risico’s we acceptabel vinden en welke maatregelen we moeten treffen om de schade of impact ervan bij optreden te voorkomen of tot een acceptabel niveau te beheersen. In de risicoafweging spelen ook strategische of bestuurlijke aspecten een belangrijke rol alsmede eisen die voortkomen uit geldende wet-‐ en regelgeving6. De risicoafweging is een belangrijke stap in de ‘Plan’ fase van het informatiebeveiligingsproces. Deze stap is in de NEN7510 norm onderbelicht. Dit in tegenstelling tot de Code voor Informatiebeveiliging, waar de NEN7510 norm van is afgeleid. Het ontbreken van deze borging in de NEN 7510 is een belangrijk gemis en in de hoofdstukken 3.2 en 7 zullen we hier nader op ingaan.

2.4.2.1. De risicoanalyse in het risicomanagement proces Eén van de belangrijkste stappen in het risicomanagementproces is de risicoanalyse. In de risicoanalyse wordt op basis van een Afhankelijkheidsanalyse de betrouwbaarheidseisen in kaart gebracht per systeem. In hoofdstuk 7 zullen we nader ingaan op de A&K-‐analyse. Wat volgt op de A&K-‐analyse is de risicoafweging. In deze stap worden de afwegingen gemaakt welke risico’s we willen beheersen en de mate waarin. De NEN 7510 norm noemt het risicomanagement proces niet als onderdeel van de beleidsfase, de ‘Plan’ fase, maar noemt de risicoanalyse wel als middel om betrouwbaarheidseisen in kaart te brengen voor informatiesystemen. Zo dient er bijzondere aandacht te worden besteed aan medische apparatuur waarin gegevens van patiënten worden verwerkt bij het proces van diagnose en behandeling. Hiervoor wordt het “Hulpmiddel Leidraad A&K Analyse” meegeleverd die ook in hoofdstuk 7 aan bod zal komen. 5

Risicomanagement voor security en facilitymanagers, Drs. Cees Coumou ISMS beschrijving van ISO 27001

6


Pagina 14 van 69



2.4.2.2. Code voor Informatiebeveiliging en het ISMS De volgende uitgangspunten zijn voor een goede risicoafweging randvoorwaardelijk volgens de Code voor Informatiebeveiliging (hoofdstuk 3.1.): !"!#$%&'$"()*+,,-.*,,/) Om informatiebeveiliging als proces te borgen dient volgens de Code voor Informatiebeveiliging een Information Security Management Systeem (ISMS) ingericht te !""#$%%&'()( worden. Dit systeem beschrijft het proces dat om risico’s te onderkennen, af te wegen en m aatregelen te selecteren. Vervolgens dient de werking regelmatig getoetst te *+,(-.,(/01(2.31(40,56-,5-+7(705(--1(+-/(.1(7-(.189:;05.-<-4-.+.6.16(7-(9:601.,05.-(6--1(-:1,5.6-(8.101=.>+-( ,=?07-(;06(59-<:-16-1(-1@98(7-(9:601.,05.-(1.-5(.1(4-:+-6-1?-.7(;06(<:-16-1A(( worden en te worden geëvalueerd op de volgende uitgangspunten: 1)!""#$%%&'(B( rekening houdt met eisen voor de bedrijfsvoering; 2) evenals eisen uit wet-‐ of regelgeving en contractuele verplichtingen voor beveiliging; 3)%-1(4-:C0=?5.16(/01(2.31(705(.1(6-40+(401(--1(-:1,5.6(<-4-.+.6.16,.1=.7-15(D(290+,(?0=/.16(401(7-(C-<,.5-( is afgestemd op het strategische kader van de organisatie voor het risicobeheer 401(7-(9:601.,05.-(C00:9E(20/-+.3/-(5:01,0=5.-,(C9:7-1(F.56-49-:7(G-H=9;;-:=-I(D(-:(;-1,-1(<-,=?./<00:( waarin het ISMS7 wordt vastgesteld en bijgehouden. <-?9:-1(5-(2.31(7.-(6-9-8-17(2.31(.1(7-(:-+-4015-(E:9=-7F:-,(9;(7-(6-49+6-1(-:401(5-(;.1.;0+.,-:-1A(

(

Het ISMS volgens de Code voor Informatiebeveiliging 7>AE K15-:-,5-7 P0:5.-,( $-+016H( ?-<<-17-1(

J-5(KLML(( %,50<+.,? %,50<+.,? 40,5,5-++-1 ( KLML KLML

8;

J-5(KLML(.;E+-;-1H( K;E+-;-15(017 K;E+-;-15(017 ( 5-:-1(-1(F.549-:-1 9E-:05-(5?-(KLML 9E-:05-(5?-(KLML

J-5(KLML(<.3?9F7-1(( M0.150.1(017 M0.150.1(017 ( 9D?( -1(4-:<-5-:-1 ( .;E:94-(5?-(KLML .;E:94-(5?-(KLML

J-5(KLML(<-C0/-1( M91.59:(017 ( M91.59:(017 -1(<-99:7-+-1 ( :-4.-C(5?-(KLML :-4.-C(5?-(KLML KLML

%.,-1(-1(( K189:;05.91( 4-:C0=?5.16-1(( ,-=F:.5Q( 5A0A4A(.189:;05.-H( :-RF.:-;-15,( <-4-.+.6.16( 017(-SE-=505.91,

K15-:-,5-7 P0:5.-,( $-+016H( ?-<<-17-1(

(G=DJ(

$-?--:7-(( M0106-7( .189:;05.-H( <-4-.+.6.16(( ,-=F:.5Q

123445)-)6)78(9#:;<=>)?;=3=@AB?);@)$%C%#@5;D=BB=E) Om deze reden is in het kader van dit onderzoek gekozen om de volgende drie aspecten uit te werken voor privacy-‐ en informatiebeveiliging met behulp van de NEN 7510 norm in 7>AE)FG=?)$%C%)HAB?B?=>>=EI) J-5(40,5,5-++-1(401(KLMLH<-+-.7N(H79-+,5-++.16-1N(HE:9=-,,-1(-1( te richten op basis van een risicoafweging: HE:9=-7F:-,(7.-(:-+-4015(2.31(499:(?-5(:.,.=9<-?--:(-1(4-:<-5-:.16(401(7-( .189:;05.-<-4-.+.6.16N(5-1-.17-(:-,F+505-1(5-(+-4-:-1(7.-(.1(  De strategische en bestuurlijke context 94-:--1,5-;;.16(2.31(;-5(0+6-;-1-(<-+-.7,+.31-1(-1(79-+,5-++.16-1(401(7-(  (Privacy)wet-‐ en regelgeving 9:601.,05.-A(  IT Risicomanagement 8;)FG=?)$%C%) J-5(.;E+-;-15-:-1(-1(F.549-:-1(401(KLMLH<-+-.7N(H<-?--:,;005:-6-+-1N(( 2:@>=:=E?=5=E)=E) HE:9=-,,-1(-1(HE:9=-7F:-,A( Hierbij zal ook aandacht worden besteedt aan het nieuwe zorgstelsel en het EPD. In de 42?H;=5=EI)

volgende hoofdstukken proberen we voor elk van deze uitgangspunten een antwoord te (G=DJ)FG=?)$%C%) geven in de mate waarin en $-99:7-+-1(-1N(499:294-:(401(59-E0,,.16N(;-5-1(401(E:9=-,E:-,505.-,(5-1( de wijze waarop de NEN7510 norm hierbij een rol speelt.

D;E?5;>=5=E)=E)K=;;5<=>=EI)

9E2.=?5-(401(KLMLH<-+-.7N(H79-+,5-++.16-1(-1(H-:40:.16(F.5(7-(E:0/5.3/N(-1( :0EE9:506-(401(7-(:-,F+505-1(001(7-(7.:-=5.-(5-:(<-99:7-+.16A(

9D?)FG=?)$%C%)K2LG;4<=E)=E) H=5K=?=5=EI)

O9::.6-:-17-(-1(E:-4-15.-4-(;005:-6-+-1(1-;-1N(9E(<0,.,(401(7-( :-,F+505-1(401(7-(.15-:1-(KLMLH0F7.5(-1(7-(7.:-=5.-<-99:7-+.16(98(017-:-( :-+-4015-(.189:;05.-N(9;(=915.1F-(4-:<-5-:.16(401(?-5(KLML(5-( <-C-:/,5-++.6-1A(

(

7

0) Information Security Management System volgens de Code van Informatiebeveiliging

Dit document is door NEN onder licentie verstrekt aan: / This document has been supplied under license by NEN to: PinkRoccade J. Verkerk 2006/10/10 © Copyright: Alle rechten zijn voorbehouden aan de auteur vGetronics an dit document Pagina 15 van 69



Plaatsen we het ISMS en risicomanagement in het geheel van informatie beveiliging dan kunnen we dit als volgt weergeven:

Het risicomanagement proces is dus belangrijk voor de “Plan” fase voor het Informatiebeveiliging proces. Risicomanagement heeft een belangrijke koppeling met de ‘Check’ en ‘Act’ fase. In deze fases vindt de toetsing op de effectiviteit van de maatregelen en evaluatie plaats. Om een goede controle uit te voeren is het belangrijk dat het risicoafwegingsproces goed is uitgevoerd en dat de gemaakte keuzes en de overwegingen daarbij zijn vastgelegd. In het evaluatie proces dient er gekeken te worden of de organisatie niet zodanig veranderd is dat er nieuwe risico’s zijn ontstaan die tot bijstelling van de maatregelen moet leiden. Dit geldt ook voor veranderende of nieuwe wet-‐ en regelgeving.


Pagina 16 van 69



3. Normen en standaarden voor informatiebeveiliging 3.1.

De oorsprong, de Code voor Informatiebeveiliging

De eerder genoemde Code voor Informatiebeveiliging is de Nederlandse versie van de internationale standaard voor informatiebeveiliging, ISO/IEC 17799. Deze heeft zijn oorspong in de British Standard 7799 (BS7799). De ISO 17799 standaard bestond uit twee delen: deel 1 betreft een set best practices (maatregelen) en deel 2 de beschrijving van het Information Security Management System (ISMS) om risicomanagement en informatiebeveiliging als een proces volgens de Plan-‐Do-‐Check-‐Act cyclus van Deming te borgen (hoofdstuk 2.4.2.2). Certificering is mogelijk volgens deze standaard op het ISMS, dus deel 2 van ISO17799. Sinds 2006 is deze ISO 17799 standaard opgegaan in twee nieuwe standaarden. Het oude deel 2 uit de ISO 17799 standaard is ISO 27001 gaan heten en deel 1 uit de ISO 17799 standaard is opgegaan in ISO 27002. Certificering is net als bij ISO 17799 alleen mogelijk op het ISMS dat in ISO 27001 is beschreven. Oud Nieuw

De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. De Code voor Informatiebeveiliging kent de volgende 11 hoofdstukken: 1. 2. 3. 4. 5.

Beveiligingsbeleid; Beveiligingsorganisatie; Classificatie en beheer van bedrijfsmiddelen; Beveiligingseisen ten aanzien van personeel; Fysieke beveiliging en beveiliging van de omgeving;

6.

Beheer van communicatie-‐ en bedieningsprocessen; 7. Toegangsbeveiliging; 8. Ontwikkeling en onderhoud van systemen; 9. Incidentmanagement; 10. Continuïteitsmanagement (Business Continuity Management); 11. Naleving;

In de huidige versie van de ISO 27001 standaard worden 133 beheersingsmaatregelen beschreven. Afhankelijk van de risicoafweging die in het ISMS gemaakt zijn worden deze geselecteerd en eventueel geconcretiseerd met maatregelen uit de NEN 7510 of andere standaarden of normen zoals ISO 27002. Deze vrijheid biedt ISO 27001.


Pagina 17 van 69



3.1.1. ISO 27799, de Europese norm voor de zorg In Europees verband is als toevoeging op de ISO 27001 en 27002 standaard een ISO 27799 standaard ontwikkeld voor de zorg. Deze standaard schrijft voor welke maatregelen uit de ISO 27002 standaard geselecteerd moeten worden en hoe indien het een zorginstelling betreft.

Zorginstellingen die ervoor kiezen om deze lijn te volgen moeten een Information Security Management System (ISMS) implementeer volgens de ISO 27001 standaard.

3.2.

NEN 7510, informatiebeveiligingsnorm voor de zorg

De NEN 7510 norm vindt zijn oorsprong in de ISO 17799 standaard en bestaat sinds 2004 (NEN 7510:2004) en kent een specifieke aanscherping op het gebied van zorgelementen. Hierbij heeft de norm extra aandacht aan de beheersing van de toegang tot gegevens en bescherming van patiëntinformatie. De NEN7510 kent de volgende hoofdstukken; 1. 2. 3. 4. 5.

Beveiligingsbeleid; Organiseren van informatiebeveiliging; Beheer van middelen voor de informatievoorziening; Beveiligingseisen ten aanzien van personeel; Fysieke beveiliging en beveiliging van de omgeving;

6.

Operationeel beheer van ICT-‐ voorzieningen; 7. Toegangsbeveiliging; 8. Aanschaf, ontwikkeling en onderhoud van systemen; 9. Continuïteitsbeheer; 10. Naleving; 11. Beveiligingsincidenten;

De norm zich richt zicht zowel op de individuele hulpverlener tot grote complexe instellingen. Bij deze norm worden voor een aantal verschillende organisatietypen implementatie handboeken geleverd en toetsbare voorschriften die in hoofdstuk 3.4.1. worden toegelicht.


Pagina 18 van 69


3.3.


Verschil ISO 27001 en de NEN 7510

In de praktijk ontstaat er nog wel eens verwarring over ISO 27001 en de NEN 7510. Dit is dan ook vooral te wijden aan het feit dat de NEN 7510 norm ontstaan is uit de ISO 17799 maar niet is gebaseerd op de volledige ISO 17799. Die bestaat immers uit twee delen, deel I en II zoals we in hoofdstuk 3.1 hebben kunnen zien. De NEN 7510 is alleen gebaseerd op deel I. Het Information Security Management System (ISMS) uit deel II van ISO 17799 is niet uitgewerkt in de NEN 7510 norm. Er is dus geen relatie tussen ISO 27001 en de NEN 7510.

Als we NEN 7510 willen vergelijken met een actuele norm, dan moeten we dit vergelijken met de opvolger van deel I uit ISO 17799, namelijk ISO 27002 en niet ISO 27001.

3.4.

Certificeringsmogelijkheden voor de NEN 7510

Het is mogelijk om zich te certificeren volgens de ISO 27001 standaard waarbij in de scope de NEN7510 is opgenomen als gehanteerde maatregelenset. Hierbij is de aard van de instelling bepalend welk toetsbaar voorschrift is gehanteerd is (hoofdstuk 3.4.1) Er zijn certificerende instellingen die een volledig “NEN 7510” certificaat afgeven. Deze volgen echter de beschreven opzet met een ISMS op basis van ISO 27001 in combinatie met de NEN 7510. Inhoudelijk is er geen verschil. In het ene geval heet het een ISO 27001 certificaat op basis van een ISMS en met de NEN 7510 in de scope opgenomen, in het andere geval heet het een NEN 7510 certificaat dat feitelijk gebaseerd is op een ISO 27001 opzet op basis van een ISMS.


Pagina 19 van 69



3.4.1. NEN 7511, Toetsbare voorschriften Naast de NEN7510 norm zijn er ook toetsbare voorschriften. Deze documenten geven een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter, toegeschreven op complexe organisaties in de zorg (bijv. Ziekenhuizen), samenwerkingsverbanden, solopraktijken.

3.4.1.1. NEN 7511-‐1 voor complexe organisaties Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de complexe organisaties in de zorg zoals (academische)ziekenhuizen, GGD en GGZ instellingen etc.

3.4.1.2. NEN 7511-‐2 voor samenwerkingsverbanden Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de samenwerkingsverbanden in de zorg.

3.4.1.3. NEN 7511-‐3 voor solopraktijken Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor solopraktijken in de zorg.

3.4.1.4. NEN 7512 voor elektronische communicatie Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn.

3.4.1.5. NEN 7513 vastlegging acties op elektronische patiëntendossiers NEN7513 betreft de vastleggen van acties op elektronische patiëntendossiers. Voor veilige zorg is het essentieel dat gegevens in het dossier integer zijn. Daarbij bevat het dossier in de aard van de registratie zeer privacygevoelige gegevens. Om deze twee redenen, vastgelegd in wettelijke bepalingen, is het van belang te allen tijde te kunnen achterhalen wie toegang heeft gehad tot het dossier.

3.5.

Ontwikkelingen in de NEN7510 in 2011

De NEN7510 norm bestaat sinds 2004 en zoals eerder al vastgesteld is de norm afgeleid van de oude ISO 17799 standaard (deel 1). Sinds 2006 is deze ISO 17799 (deel 1 en 2) opgevolgd door ISO 27001 en 27002. Op dit moment is de NEN7510 in revisie. Eind 2010 of begin 2011 wordt deze revisie verwacht en zal de huidige NEN7510:2004 opgevolgd worden door NEN7510: 2011. Deze nieuwe versie van de NEN zal naar alle waarschijnlijkheid gebaseerd zijn op een ISMS en risicomanagement benadering. Hierdoor zal de NEN 7510:2011 een certificeerbaar karakter krijgen. Naar verwachting zullen meer zorginstellingen zich vanaf 2011 laten certificeren volgens de NEN 7510. Voor huidige NEN 7510 certificaten of instellingen die zich nu willen laten certificeren volgens de NE 7510:2004 norm heeft dit geen consequenties aangezien zij dit enkel kunnen nadat zij een ISMS hebben ingericht en een risicomanagement benadering volgens op basis van de ISO 27001 standaard zoals in hoofdstuk 3.4 is beschreven. Dit is feitelijk een tussenoplossing naar een certificeerbare standaard wat de NEN 7510:2011 zal gaan worden.


Pagina 20 van 69



4. Toetsingsnorm of uitvoeringnorm In dit hoofdstuk gaan we in op een tweetal verschijningsvormen van normen, de toetsingsnorm en uitvoeringsnorm. In sommige gevallen kan een norm zowel voor uitvoering als toetsing gehanteerd worden.

4.1.

Wat is een norm

Om de werkelijkheid te kunnen vergelijken met een criterium waarover vooraf afspraken zijn gelegd is het nodig deze criteria vast te leggen. 8 Normen zijn documenten waarin deze afspraken zijn vastgelegd. Deze afspraken kunnen gehanteerd worden als norm voor een beoordeling over een object of als norm voor een implementatie van een object.

4.2.

Toetsingsnormen

Aan de hand van toetsingsnormen wordt een object beoordeeld. Deze beoordeling heeft een aantal kenmerken: • er is sprake van een audit (beoordeling), die plaatsvindt aan de hand van vooraf gestelde normen welke op een deskundige, onafhankelijke en onpartijdige manier dient te worden uitgevoerd. • verschillende objecten worden onderscheiden, die als gemeenschappelijk kenmerk hebben dat al deze objecten raakvlakken hebben met de inrichting van bijvoorbeeld de informatievoorziening in een geautomatiseerde omgeving zoals de bijvoorbeeld de gebruikersorganisatie, de ontwikkelingsorganisatie en de informatiesystemen. Om een toetsingsnorm, zoals de NEN7510, goed te kunnen hanteren dient deze eerst concreet gemaakt te worden en vertaald te worden naar de situatie. 9 Hiervoor moeten we weten welke risico’s we moeten afdekken, welke wet-‐ en regelgeving van toepassing is en wat de strategische en bestuurlijke context is.

4.3.

Uitvoeringsnormen (best practices)

Bij uitvoeringsnormen worden bepaalde voorschriften gegeven waaraan men zich dient te houden in het kader van de uitvoering van zijn werkzaamheden. In het geval van de NEN 7510 norm voor informatiebeveiliging hanteren we deze norm met als doel om informatiebeveiliging in te richten op basis van een bewezen methode, standaard of afspraken. Op deze wijze volgen we een werkwijze die grote kans van slagen heeft om de doelstellingen te realiseren. Bij de NEN 7510 norm worden voor diverse verschillende typen organisaties handboeken beschikbaar gesteld die gehanteerd kunnen worden bij het implementeren van de norm. Zo zijn er bijlagen beschikbaar met voorbeeld teksten voor contracten met derden, een voorbeeld gedragscode en bijvoorbeeld een voorbeeld beleid maar elke instelling is vrij hier zijn eigen invulling aan te geven. In NEN 7511-‐1 staat over de NEN 7510 norm vermeld dat het een veldnorm10 betreft. Dat betekent dat men die moet volgen en dat men alleen beargumenteerd mag afwijken.” Een veldnorm is een gezamenlijke meetlat van de betrokken (veld)partijen. Ook de handboeken 8

Definitie van een norm uit het boek “Inleiding EDP auditing” van Jan van Praat en Hans Suerink. “Inleiding EDP-‐auditing” van Jan van Praat hen Hans Suerink 10 Begrip dat genoemd wordt in het toetsbaar voorschrift NEN 7511-‐1 9


Pagina 21 van 69



11

maken onderdeel uit van de veldnorm. Het begrip veldnorm word overigens uitsluitend in het toetsbaar voorschrift NEN 7511-‐1 genoemd en niet in de NEN 7510 norm zelf of in en de andere NEN 7511-‐2 en 7511-‐3 toetsbare voorschriften.

4.4.

Is de NEN7510 een uitvoeringsnorm of een toetsingsnorm?

Technisch gezien is de NEN7510 norm een uitvoeringsnorm. De NEN 7510 norm stelt daarover zelf:  Net als ISO/IEC 17799 en de Code voor Informatiebeveiliging is ook NEN 7510 nog een raamwerk dat nadere specificering behoeft om toetsbaar te worden.  Deze Nederlandse norm voor informatiebeveiliging beschrijft welke soorten maatregelen de leiding binnen organisaties moet treffen om via een gecontroleerd proces op adequate wijze met (medische) gegevens om te gaan. Het uitgangspunt van de NEN7510 normcommissie is geweest om te streven naar een voorschrift dat niet alleen gebiedt en handhaaft, maar ook de weg wijst.12 De NEN7511 normen (7511-‐1, 7511-‐2 en 7511-‐3) hebben een voorschrijvend, toetsbaar karakter. Voorschrijvend is te verbinden aan een uitvoeringsnorm. Een toetsbaar karakter geeft de indruk dat het hanteerbaar is als een toetsingsnorm. Echter hiervoor is het toetsingskader nog te algemeen en dient eerst afgekaderd te worden voordat hier een toetsingsnorm van af te leiden is. Deze werkwijze heeft het IGZ en het CBP ook toegepast zoals toegelicht in hoofdstuk 2.5. We moeten concluderen dat de NEN 7510 norm in de huidige opzet vooral een norm is die de weg wijst, en derhalve het beste als uitvoeringsnorm gehanteerd kan worden.

4.4.1. Toetsingsnorm 2010 voor Ziekenhuizen De ziekenhuizen zijn op dit moment bezig met de voorbereiding voor de toetsing in 2010 als vervolg op de toetsing van 2007 (hoofdstuk 2.2). Geconstateerd is dat de ziekenhuizen nog een weg te gaan hebben om de informatiebeveiliging op orde te krijgen. Om deze reden wordt in 2010 niet getoetst op de volledige NEN7510 norm maar is er gekozen voor een normenkader dat aansluit op het plan van aanpak dat de ziekenhuizen moesten opleveren in 2009. Het normenkader dat door IGZ gehanteerd zal worden is gebaseerd op de zogenaamde start-‐ en vervolgnormen die door de Nederlandse Vereniging voor Ziekenhuizen zijn opgesteld. Deze norm is vermeld in bijlage C.

11

Er zijn handboeken voor de NEN7510 norm voor Ziekenhuizen, Fysiotherapie praktijken, huisartsen, Psychiatrische Ziekenhuizen, Streeklaboratoria, Thuiszorg en Ring Netwerken. 12 Uit het toetsbaar voorschrift NEN 7511-‐1 en de verwijzing hierin naar het begrip veldnorm


Pagina 22 van 69



5. Strategische en bestuurlijke context In dit hoofdstuk zullen we ons richten op de strategische en bestuurlijke context als eerste van de in hoofdstuk 2.2 genoemde drie uitgangspunten van dit onderzoek. Hierbij zullen we stilstaan bij de algemene Governance aspecten, de Zorgbrede Governance Code, het nieuwe zorgstelsel en het EPD.

5.1.

Interne beheersing volgens COSO

Zorginstellingen zijn organisaties met een belangrijke maatschappelijke verantwoordelijkheid en dienen derhalve goed bestuurd te worden. Corporate Governance, oftewel “Goed bestuur” in de zorg dient ervoor te zorgen dat de organisatie de patiënt/cliënt en zijn/haar gerechtvaardige wensen en behoeften bij de zorgverlening centraal stelt. De geleverde zorg dient te voldoen aan eigentijdse kwaliteitseisen. Voor het besturen van de organisatie geldt in algemene zin dat de continuïteit van de organisatie sterk afhankelijk is van de kwaliteit van de besluitvorming binnen een organisatie, alsmede de wijze waarop aan deze besluiten uitvoering wordt gegeven13. Een belangrijk aspect van de Corporate Governance is de interne beheersing. Volgens het COSO14-‐rapport op het gebied van interne controle is de definitie van Internal Control: Interne beheersing is een proces, dat uitgevoerd wordt door het bestuur van een organisatie, directie en management en ander personeel, dat ontworpen is om een redelijke mate van zekerheid te bieden ten aanzien van het realiseren van doelstellingen ten aanzien van:  Operations: effectiviteit en efficiency van de organisatie;  Financial Reporting: betrouwbaarheid van de financiële rapportage;  Compliance: voldoen aan van toepassing zijnde wet-‐ en regelgeving. In 2004 is er in COSO II een organisatiedoelstelling bijgekomen  Strategic: bereiken van de strategische doelstellingen Belangrijk in het COSO model is dat voor de genoemde doelstellingen een 7-‐tal lagen een onderlinge samenhang hebben om tot interne beheersing te komen. Hierbij is veel aandacht om risico’s te identificeren, te beoordelen en keuzes te maken om deze risico’s te beheersen)  Beheersingsmaatregelen zoals bijvoorbeeld functiescheiding en risk response (preventieve, detectieve en correctieve maatregelen)  Informatie en communicatie (de informatie die het management nodig heeft om te kunnen besturen, te beheersen en zich te kunnen verantwoorden)  Monitoring (om de continuïteit te waarborgen van de interne beheersingsmaatregelen)  De risico-‐inschatting of de beoordeling van de geïdentificeerde risico’s (waarschijnlijkheid dat risico zich zal voordoen en de gevolgen indien het zich voordoet)

13

Inrichten en beheersen van organisaties van drs. R.M.J. Christiaanse RA en J.C. van Praat RE RA Committee of Sponsoring Organisations of the Treadway Commission, Internal Control – Integrated Framework, september 1992. 14


Pagina 23 van 69



5.1.1. IT Governance Om IT op een juiste wijze te kunnen besturen is het inbedden van de zogeheten General IT Controls noodzakelijk. Deze beheersingsmaatregelen zijn de maatregelen die ervoor zorgen dat IT juist beheerd wordt. In de regel worden vaak de volgende IT processen bedoeld: Helpdesk, Configuratiebeheer, Probleembeheer, Wijzigingsbeheer, Incidentenbeheer, Programmatuurbeheer en distributie15. Hierbij dienen we in ogenschouw te nemen dat informatiebeveiliging een bredere scope heeft dan alleen IT.

IT Governance stelt in het kader van de NEN 7510 norm gezien vanuit een zorginstelling geen expliciete eis. Om informatiebeveiliging op een juiste wijze in te bedden in de IT en IT beheerorganisatie is er een relatie met de General IT Controls. Belangrijkste processen die vanuit de General Control ook aandacht hebben in NEN 7510 zijn:  de Helpdesk (NEN 7510 Hfd. 15)  Configuratiebeheer (NEN 7510 Hfd. 7)  Operationeel beheer van informatie en communicatievoorzieningen (NEN 7510 Hfd. 10)  Wijzigingsbeheer (NEN 7510 hfd 12.5)  Toegangsbeveiliging (NEN 7510, hfd 11)

5.1.2. Enterprise risk management en de relatie met IT risicomanagement Als er gesproken wordt over Enterprise Risk Management dan hebben we het in de regel over interne beheersing volgens het COSO II model. Organisaties die de interne beheersing op orde hebben worden als “In Control” gezien. Er is een sterke relatie tussen risicomanagement in algemene bestuurlijke zin (Corporate Governance) en risicomanagement ten aanzien van IT (IT Governance). Omdat Corporate Governance en ook informatiebeveiliging een bredere scope hebben dan alleen IT, moeten we concluderen dat we ons voor informatiebeveiliging niet kunnen beperken tot alleen IT risicomanagement maar risicomanagement integraal moeten borgen.

5.1.3. Volwassenheidsniveau van informatiebeveiliging Voor het maken van een beleid en strategie is het belangrijk te weten waar de organisatie staat. Dit beeld kan in kaart worden gebracht door de volwassenheid vast te stellen. De mate van volwassenheid van een organisatie bepaald in grote lijnen de wijze waarop met informatiebeveiliging wordt omgegaan in het algemeen. Dit kan in kaart gebracht worden ook voor de informatiebeveiliging of de IT beheerorganisatie. Er zijn meerdere modellen om de volwassenheid in kaart te brengen zoals het Capability Maturity Model (CMM)16 of bijvoorbeeld het model van de Instituut Nederlandse Kwaliteit (INK). In de regel geldt dat hoe hoger het niveau, des te groter de kans dat informatiebeveiliging op de juiste wijze is of kan worden ingebed in de bedrijfsvoering. Het niveau geeft aan hoe een organisatie bijvoorbeeld omgaat met standaarden en 15

Informatie uit “Operationeel beheer van Informatiesystemen van Sander Koppens en Bas Meyberg” Ontwikkeld door door het Carnegie Mellon Software Engineering Institute (SEI)

16


Pagina 24 van 69



(beveiligings)processen als geheel. Als een organisatie een hoog volwassenheidsniveau heeft betekent dit dat het voorwerk dat moet worden verricht rondom informatiebeveiliging geringer is in vergelijking met een organisatie waar dit niveau lager is. Dit kan vooral het geval zijn bij grotere organisaties waar verschillende onderdelen zelfstandig functioneren en bijvoorbeeld verspreid zijn over verschillende locaties en/of voortkomen uit fusies. Organisaties met een hoger volwassenheidsniveau zijn ook beter in staat goede afspraken vast te leggen met leveranciers (SLA’s). Als voorbeeld geven we hier de vijf niveau’s weer van het CMM model op basis waarop de informatiebeveiliging beoordeeld kan worden: 1) Initial, is chaotisch en ad hoc. Problemen worden pas opgelost als ze zich stellen. Dit is het niveau dat iedere organisatie aankan. 2) Repeatable, is het niveau waarbij de organisatie zover geprofessionaliseerd is (bijvoorbeeld door het invoeren van projectmanagement) dat bij het ontwikkelproces gebruik wordt gemaakt van de kennis die eerder is opgedaan. Beslissingen worden dus genomen op basis van ervaring. 3) Defined, is het niveau waarbij de belangrijkste processen zijn gestandaardiseerd. 4) Managed, is het niveau waarbij de kwaliteit van het ontwikkelproces wordt gemeten zodat het kan worden bijgestuurd. 5) Optimizing, is het niveau waarbij het ontwikkelproces als een geoliede machine loopt en er alleen maar sprake is van fijnafstemming (de puntjes op de i).

5.2.

De Zorgbrede Governance Code

Door de ontwikkelingen in Governance Codes voor transparant en maatschappelijk verantwoord bestuur en de toenemende brancheoverstijgende samenwerking ontstond ook binnen de sector de behoefte aan een Zorgbrede Governancecode17. Sinds het verslagjaar 2006 zijn de jaardocumenten Maatschappelijke verantwoording (Care en Cure) wettelijk verplicht. Hierdoor is de inzet van vele en belastende vormen van extern overheidstoezicht sterk verminderd. Deze code dient te worden opgevat als een samenbundeling van moderne, en inmiddels breed gedragen, algemene opvattingen in de zorg over goed bestuur, toezicht en verantwoording. De code richt zich op de kwaliteit van het bestuur, de kwaliteit van het toezicht daarop, de interactie tussen Raad van Bestuur en Raad van Toezicht en tenslotte op het op gepaste wijze betrekken van belanghebbenden bij het beleid van de zorgorganisatie. De code is gebaseerd op de “pas toe of leg uit”-‐regel en het is dit uitgangspunt dat alle betrokken zorgorganisaties voldoende ruimte biedt voor een in de praktijk goed bruikbare governance(code). In de praktijk komt het erop neer dat de raad van Bestuur eindverantwoordelijk is voor het besturen van de organisatie en verantwoordelijk voor de realisatie van de doelstellingen, de strategie en het beleid en de daaruit voorvloeiende resultatenontwikkeling. De Raad van Bestuur is ook verantwoordelijk voor het beheersen van de risico’s verbonden aan de activiteiten van de zorgorganisatie en voor de financiering van de zorgorganisatie. De verantwoording, rapportage en het bespreken van de interne risicobeheersing-‐ en controle systemen geschiedt door het Raad van Bestuur met de Raad van Toezicht. Hierbij dient opgemerkt te worden dat de externe accountant bij voorkeur geen advieswerkzaamheden verricht voor de zorgorganisatie en maakt – 17

In BoZ-‐verband opgestelde Zorgbrede Governance Code 2005


Pagina 25 van 69



indien dit in het te controleren boekjaar wel is gebeurd– in het verslag over de jaarrekening melding van de in dat jaar verrichte advieswerkzaamheden. De Zorgbrede Governance Code18 stelt in relatie tot de NEN7510 norm geen expliciete eisen. Echter in de Zorgbrede Governance Code wordt volgende gesteld ten aanzien van de maatschappelijke verantwoording: 1. De zorgorganisatie realiseert als zorgonderneming met een bijzondere maatschappelijke verantwoordelijkheid, verantwoorde en resultaatgerichte zorg. Zij draagt daarbij zorg voor een doelmatige en transparante bedrijfsvoering. 2. Het feit dat de zorgorganisatie een zorgonderneming met een bijzondere maatschappelijke verantwoordelijkheid is, blijkt uit het hanteren van (tenminste) de volgende uitgangspunten: a) de zorgorganisatie stelt de patiënt/cliënt en diens gerechtvaardigde wensen en behoeften bij de zorgverlening centraal; b) de zorgverlening geschiedt zodanig dat de daartoe beschikbaar staande middelen zo effectief en doelmatig mogelijk worden aangewend; c) de door of vanuit de zorgorganisatie geleverde zorg voldoet aan eigentijdse kwaliteitseisen. Hierbij dient er ook verantwoording afgelegd te worden aan belanghebbende ten aanzien van onder andere: • De zorgorganisatie legt jaarlijks aan alle belanghebbenden verantwoording af middels een openbare publicatie over het in het verslagjaar gevoerde beleid en over de (totale) in dat jaar geleverde prestaties. De inhoud van deze verantwoording sluit aan op de eisen die in het Raamwerk Maatschappelijke Verantwoording3 zijn vastgelegd. • De Raad van Bestuur is verantwoordelijk voor de kwaliteit, de juistheid en de volledigheid van de jaarlijkse verantwoording. De Raad van Toezicht ziet er op toe dat de Raad van Bestuur deze verantwoordelijkheid vervult. De jaarlijkse verantwoording bevat, waar noodzakelijk, een bestuursverklaring De invoering van de NEN 7510 norm, aangevuld met het risicomanagement proces, zal bijdragen aan de doelstellingen voor goed bestuur en dit aantoonbaar maken.

5.3.

Het nieuwe zorgstelsel

Op 1 januari 2006 is een nieuw ziektekostenstelsel ingevoerd. Een belangrijke drijfveer voor de invoering is om ervoor te zorgen dat er concurrentie komt in de gezondheidszorg, om de snel stijgende kosten te beteugelen. De zorgverzekeraar is een belangrijke ketenpartij geworden in de waardeketen van een zorgaanbieder. Het is goed mogelijk dat zij zorgaanbieder kosten in rekening brengen in het geval de zorgverlener of –instellingen in gebreke is of blijft op het gebied van privacy-‐ of informatiebeveiliging. Voor 1-‐1-‐2006 werden de Diagnosebehandelcombinaties (DBC’s) vergoed door het Ministerie VWS en nu wordt dit vergoed door de Zorgverzekeraars. Hieraan zijn in 2007 ook de Zorgleefplan en Zwaartepakketten (ZZP’s) toegevoegd voor de Care instellingen. 18

Informatie uit de Zorgbrede Governance Code 2005


Pagina 26 van 69



5.3.1. Diagnosebehandelcombinaties (DBC’s) Een DBC is een weergave van alle activiteiten en verrichtingen die een patiënt in het ziekenhuis doorloopt gedurende een vastgestelde periode (voor een chronische aandoening wordt voor deze periode 1 jaar gebruikt). Een DBC beschrijft met vier codes (zorgtype, zorgvraag, diagnose, behandeling) met welke klacht en hoe een patiënt het ziekenhuis binnenkomt, welke diagnose er gesteld is, en het beschrijft de voorgenomen behandeling. Ziekenhuizen mogen alleen tarieven in rekening brengen voor DBC's. De invoering van de DBC heeft als doel het financieel inzicht en de eenduidigheid in de registratie te vergroten. Een minimale voorwaarde voor goed inzicht is een juiste en volledige registratie.

5.3.2. Zorgleefplan en Zwaartepakketten (ZZP’s) Het CIZ (centraal indicatie orgaan) beoordeelt hoeveel zorg en/of ondersteuning iemand nodig heeft. Dit is in de vorm van een indicatie. Een indicatie geeft ‘toegang' tot bijvoorbeeld een zorgcentrum. Wanneer een vorm van verblijf nodig is, wordt de indicatie ingedeeld in tien verschillende Zorgleefplan en Zorgzwaartepakketten (ZZP’s). Een zorgorganisatie krijgt geld om zorg te leveren op basis van de ZZP's. Sommige uren worden direct aan de cliënt geleverd en andere uren worden bijvoorbeeld van meerdere cliënten samen genomen om daar een activiteit van te organiseren. DBC’s en ZZP’s vereisen in relatie tot de NEN7510 norm geen expliciete eisen. DBC’s en ZZP’s vereisen wel een juiste en volledige registratie. Om deze te kunnen realiseren kan de NEN 7510 norm zeker bijdragen. Met name hoofdstuk 8 uit de norm “Beveiligingseisen t.a.v. Personeel” biedt veel handreikingen op het gebied van bewustwording, taakuitvoering, autorisatiebeheer. Ook hoofdstukken voor Beheer van informatiemiddelen (Hfd. 7), Toegangsbeveiliging (Hfd. 11), continuïteitsbeheer (Hfd. 13) en Naleving (Hfd. 14) zijn van belang. Het uitvoeren van de Afhankelijkheid en Kwetsbaarheid analyse zal inzicht geven in de betrouwbaarheidseisen die de processen stellen aan de betrokken informatiesystemen die betrekking hebben op de DBC’s en ZZP’s.

5.4.

Het EPD

Met de aankondiging van het Elektronische Patiënten (Cliënten) Dossier is de NEN7510 weer op de agenda van menig bestuur van een zorginstelling terecht gekomen (Care en Cure). Dit is met name veroorzaakt door de invoering van het BSN-‐z en de hiermee gepaard gaande wetgeving (hoofdstuk 6.11). De beveiliging van het landelijk EPD is niet eenvoudig. Dit komt omdat we te maken hebt met verschillende systemen: de systemen van de zorgverleners, het landelijk schakelpunt en de communicatienetwerken en alle partijen die hierbij betrokken zijn. Dit zijn overigens niet allemaal zorginstellingen. Het EPD bestaat uit een landelijke infrastructuur dat hierna uitgelegd wordt. Ook hier geldt de regel dat de beveiliging net zo goed is als de zwakste schakel. Via het EPD zullen in eerste instantie medicatiegegevens (EMD) en huisartsgegevens worden uitgewisseld. Toegang tot medicatiegegevens is beschikbaar voor apothekers, specialisten, ziekenhuisapothekers en huisartsen. Toegang tot huisartsgegevens is beperkt tot huisartsen.


Pagina 27 van 69



5.4.1. De infrastructuur van het Landelijk EPD

Deze landelijke infrastructuur bestaat uit de volgende dimensies: • Het landelijk schakelpunt (het LSP) • Bedrijven die zorg dragen voor het communicatienetwerk • Systemen van de Zorgverleners Wat hierbij belangrijk is dat het EPD uit diverse partijen bestaat en dat deze partijen elk hun verantwoordelijkheid hebben voor het EPD en privacy-‐ en informatiebeveiliging. Het EPD is opgebouwd op een landelijke basisinfrastructuur (AORTA). Via de landelijke basisinfrastructuur AORTA kunnen de informatiesystemen van de zorgaanbieders met elkaar communiceren. Binnen deze infrastructuur zijn de volgende onderdelen en begrippen van belang: • Het burgerservicenummer (BSN). Het BSN is een landelijk uniek identificerend nummer waarover elke burger die is ingeschreven bij een gemeente, beschikt. Het BSN zal ook in de zorg gebruikt gaan worden: zorgaanbieders, indicatieorganen en zorgverzekeraars moeten vanaf 1 juni 2009 het BSN gebruiken in hun administratie, in hun onderlinge communicatie over patiënten en in het declaratieverkeer. • De Sectorale Berichten Voorziening in de Zorg (SBV-‐Z). De SBV-‐Z is de digitale toegangspoort tot de Beheervoorziening BSN, een voorziening die verantwoordelijk is voor de uitgifte en het beheer van het BSN en voor verificatiediensten over het BSN. • De Unieke Zorgverlener Identificatie (UZI). Om de privacy van de patiënt te waarborgen, moet worden vastgesteld wie toegang zoekt tot informatie over de patiënt en of diegene bevoegd is om de informatie in te zien. Het UZI-‐register introduceert hiervoor voor alle zorg-‐ aanbieders en indicatieorganen een elektronisch paspoort: de UZI-‐pas en het UZI-‐servercertificaat. Het UZI-‐register is de organisatie die de unieke identificatie van zorgaanbieders in Nederland mogelijk maakt en maakt deel uit van het CIBG. • Het landelijk schakelpunt (LSP).Het LSP maakt een veilige, landelijke elektronische uitwisseling van patiëntinformatie mogelijk. Via het LSP kan actuele patiëntinformatie opgevraagd worden uit de op het LSP aangesloten zorginformatiesystemen van ziekenhuizen, apotheken en huisartsenposten en -‐ praktijken. • Zorgserviceproviders (ZSP). Een zorgserviceprovider (ZSP) is een marktpartij die een beveiligde verbinding aanbiedt tussen het GBZ van de zorgaanbieder en het LSP. • Zorginformatiesystemen (XIS). XIS is de algemene afkorting voor de zorginformatiesystemen waarvan de zorgaanbieders gebruik maken. Bijvoorbeeld: huisartsen informatiesysteem (HIS), (ziekenhuis)apotheek informatiesysteem ((Z)AIS) en ziekenhuis informatiesysteem (ZIS). • Het goed beheerd zorgsysteem (GBZ). Zorginformatiesystemen en zorgaanbieders die aangesloten willen worden op het LSP moeten voldoen aan de applicatie-‐, implementatie-‐ en exploitatie-‐eisen van een goed beheerd zorgsysteem (GBZ).

De verbinding tussen de zorginformatiesystemen van de zorgaanbieders loopt via een landelijk datacommunicatienetwerk (DCN). Dit netwerk ontstaat door netwerken van


Pagina 28 van 69



commerciële aanbieders van internetdiensten onderling te koppelen. Deze commerciële dienstverleners moeten zich kwalificeren als zorgserviceprovider (ZSP). Uitgangspunt is dat de opslag van patiëntgegevens bij de zorginformatiesystemen blijft. Binnen deze infrastructuur wordt gewerkt met vertrouwelijke en privacygevoelige gegevens van patiënten. Een zorgaanbieder die via het LSP patiëntgegevens wil uitwisselen, moet zich dan ook identificeren. Dit kan met een UZI-‐pas, een soort elektronisch paspoort. Aan de hand van de informatie op de UZI-‐pas ziet het LSP erop toe dat de informatie alleen wordt verschaft aan zorgaanbieders die bevoegd zijn om gegevens in te zien en alleen die informatie te zien krijgen waarvoor ze bevoegd zijn. Het LSP legt vast welke zorgaanbieder inzage heeft gehad; dit heet logging. Logging heeft als doel om achteraf te kunnen bepalen of de inzage gerechtvaardigd is. Bovenstaande informatie komt uit het Handboek “Landelijk Elektronisch Patiënten Dossier” van het informatiepunt BSN in de zorg en landelijk EPD19.

Er is geen expliciete eis voor de NEN7510 norm. Dit vergt echter wel wat toelichting. Onder een goed beheerd zorgsysteem (GBZ) vallen immers de applicatiesystemen die een EPD functionaliteit bieden. Hieronder vallen ook de apparatuur, eigen infrastructuur, eigen beheer-‐ en gebruikersorganisatie maar ook de contracten voor beheer en onderhoud door de ICT leverancier. Een zorginformatiesysteem is pas een goed beheerd zorgsysteem als het voldoet aan de applicatie-‐, implementatie-‐ en beheereisen die aan een GBZ worden gesteld. Het zorginformatiesysteem vormt in combinatie met de omgeving waarin het geïmplementeerd is en de organisatorische maatregelen rondom het gebruik en beheer (exploitatie), het GBZ.

5.4.2. GBZ Eisen •

De organisatie dient over beleid te beschikken en maatregelen te hebben geïimplementeert om gegevens in het informatiesysteem beschikbaar, correct en afgeschermd te houden voor onbevoegden. Hieronder vallen ook procedures voor het gebruik van het BSN en het dossierbeheer.

19

Informatie uit Handboek “Landelijk Elektronisch Patiënten Dossier” van het informatiepunt BSN in de zorg en landelijk EPD.”


Pagina 29 van 69



• • •

• • •

•

•

• •

In de eigen organisatie dient een verantwoordelijke aangewezen te zijn die zorgt voor het blijvend voldoen aan de GBZ-‐eisen. Medewerkers dienen opgeleid te zijn voor het werken met het landelijk EPD en bij de werkplekken dienen gebruikersinstructies beschikbaar te zijn. De aanbieder dient ervoor te zorgen dat medewerkers over instructies te beschikken hoe te handelen indien een patiënt zijn gegevens wil afschermen in het patiëntdossier van de zorgaanbieder. De aanvraag, beheer van UZI-‐passen dient zorgvuldig te geschieden. Afspraken met externe partijen die GBZ-‐eisen realiseren dienen contractueel vastgelegd te zijn. Het is de taak van de zorgaanbieder een ICT leverancier te selecteren die typegekwalificeerd is. Daarnaast dient de netwerkprovider (voor communicatiediensten) aan de vereiste ZSP-‐kwalificatie te voldoen. Er dienen voldoende maatregelen getroffen te zijn rondom beschikbaarheid en beheer (het systeem dient 7x24 uur beschikbaar en aangesloten te zijn op het landelijk schakelpunt zodat patiëntdossiers geraadpleegd kunnen worden). Ook het toezicht op het gebruik van de UZI-‐pas en het gebruik van het EPD door de eigen medewerkers dient geregeld te zijn. Hierbij dient het ook aantoonbaar te zijn wie inzage heeft gehad in welke patiëntendossier van de zorgadministratie. Ook de informatieverstrekking en het vragen om toestemming voor raadplegingen aan patiënten dient geregeld te zijn. Er dienen regelmatige controles uitgevoerd te worden of de patiëntgegevens aangemeld zijn bij het landelijk EPD. De registratie van incident of probleem meldingen rond het EPD dient geregeld te zijn en er dient toegang te zijn tot de eerstelijnshelpdesk van het EPD.

5.4.3. GBZ toetsing. In Bijlage A. “GBZ eisen en de NEN 7510” is de relatie weergegeven tussen de GBZ eisen en de NEN 7510.20 We zouden kunnen stellen dat door te voldoen aan de NEN 7510 we automatisch ook voldoen aan de GBZ eis. Noodzakelijk is het echter niet, zolang er maar voldaan wordt aan de GBZ eisen. Nictiz, als verantwoordelijke van de Aorta infrastructuur wenst alleen partijen toe te laten die de keten veiligheid en kwaliteit niet in gevaar brengen. Hiervoor zijn de GBZ eisen als basiseis opgesteld. Een toetsing op basis van deze GBZ eis is er nog niet maar wel in ontwikkeling. Er zijn onder andere wel afspraken gemaakt met bijvoorbeeld de Nederlandse Vereniging voor Ziekenhuizen en het Nederlands Huisartsen Genootschap voor aansluitvoorwaarden. Hierbij is vooral de scope van een GBZ belangrijk. Onder een GBZ vallen:  Organisatie (gebruikers en beheer) o De zorgaanbieder zorgt (in samenspraak met de leverancier) dat een aantal organisatorische aanpassingen zijn voorbereid en kunnen worden ingericht om op het LSP te kunnen aansluiten 20

Informatie uit de NEN7511-‐1, Bijlage B, (informatief), Relatie met de voorschriften voor een Goed Beheerd Zorgsysteem (GBZ) zoals gedefinieerd door NICTIZ


Pagina 30 van 69





Techniek (gekwalificeerde Informatiesystemen, de zogenaamde Type Gekwalificeerde systemen, XIS) o Hierbij gaat het niet uitsluitend om de functionele en technische eisen van het XIS, maar ook om de procedurele eisen bij het gebruik door de zorgverleners en de beheerders

Een deel van een GBZ behoort dus toe aan een leverancier van een zorginformatiesysteem en een deel aan de kant van de zorginstelling. Bij het inrichten van een GBZ zullen er grenzen (afbakening) aan een GBZ gesteld moeten worden om de beheersbaarheid te kunnen garanderen over die elementen die ook daadwerkelijk behoren tot een GBZ en er geen onnodige maatregelen getroffen worden voor systemen die er niet toe doen. Om aan te sluiten om de AORTA-‐infrastructuur dient de deelnemer (huisarts of bijvoorbeeld een ziekenhuis):  een deelnemersovereenkomst af te sluiten om toegang te krijgen en gebruik te maken van de AORTA-‐infrastructuur van NICTIZ  een Eigen Verklaring af te geven waarin de deelnemer verklaart dat het GBZ volgens de eisen is ingericht, functioneert en blijft functioneren conform de eisen voor het GBZ. Nictiz heeft aangegeven periodiek en steekproefsgewijs een schouwing te kunnen uitvoeren op een GBZ.


Pagina 31 van 69



6. (privacy)wet-‐ en regelgeving (privacy)wet-‐ en regelgeving is het tweede uitgangspunt dat in deze handreiking is uitgewerkt en een belangrijke stap is in de risicoafweging. Het onderstaande overzicht geeft kort en bondig inzicht in de (mogelijke) van toepassing zijnde wet-‐ en regelgeving en de relatie met informatiebeveiliging voor de zorg. Bij sommige wet-‐ en regelgeving zullen we uitvoeriger stilstaan dan bij andere.

6.1.

Privacybeveiliging

In hoofdstuk 2.1 hebben we kunnen zien dat het één van de betrouwbaarheidsaspecten voor informatiebeveiliging het aspect “vertrouwelijkheid” is. Privacy beveiliging is een aspect dat we kunnen plaatsen onder het betrouwbaarheidsaspect en is van toepassing waneer we persoonsgegevens (patiënt of cliëntinformatie) verwerken. Voor het verwerken of bewerken van deze gegevens hebben we in Nederland te maken met de Wet Bescherming Persoonsgegevens.

6.2.

Wet Bescherming Persoonsgegevens (WBP)

Deze wet geeft regels voor een zorgvuldige omgang met de persoonsgegevens. Sinds 1 september 2001 is de WBP van kracht. De WBP heeft betrekking op de verwerking van persoonsgegevens. Onder de verwerking van deze gegevens wordt het hele traject van opslag tot vernietiging van gegevens verstaan. De wet geeft aan wat de rechten zijn van iemand van wie gegevens worden gebruikt en wat de plichten zijn van de instanties of bedrijven die gegevens gebruiken. De WBP stelt eisen aan de verwerking van persoonsgegevens: o Er moet een relatie zijn tussen vastgelegde gegevens en een doel. Ander gebruik van voor dit doel is niet toegestaan tenzij de betrokken burger toestemming heeft gegeven voor het gebruik van zijn gegevens. o mag niet meer gegevens verwerken dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld o mag de gegevens niet langer bewaren dan noodzakelijk, o moet passende technische en organisatorische maatregelen treffen om de gegevens te beschermen. o moet de verwerking in veel gevallen melden (zie hieronder); o moet de betrokken burger in principe altijd informeren over de gegevensverwerking. Het College Bescherming Persoonsgegevens (CBP) controleert of bedrijven en instanties zich aan de WBP houden. Alle instanties die gegevens verwerken dienen dit aan te melden bij het College Bescherming Persoonsgegevens (CBP), tenzij een onafhankelijke functionaris hier toezicht op houdt. De WBP geeft ook aan welke organisatorische en technische maatregelen moeten worden genomen om de gegevens te beveiligen. Dit is nodig om verlies of onrechtmatige verwerking tegen te gaan. Mocht de verwerking van gegevens zijn uitbesteed, dan dient deze derde partij in deze maatregelen te voorzien.

6.2.1. Wet Bescherming Persoonsgegevens en de zorg Het CBP heeft tijdens het onderzoek uit hoofdstuk 2.5 gesteld dat met name Artikel 13 nageleefd dient te worden.


Pagina 32 van 69



Artikel 13 Wet bescherming persoonsgegevens 21normeert de beveiliging van persoons-‐ gegevens en luidt als volgt: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligings-‐ niveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.” Hierbij kan het volgende worden opgemerkt. Technische en organisatorische maatregelen dienen cumulatief te worden getroffen. Zij behoren daarbij een onderling samenhangend en afgestemd stelsel te vormen. o Onder technische maatregelen kunnen worden geschaard de logische en fysieke maatregelen in en rondom de informatiesystemen (zoals toegangscontroles, vastlegging van gebruik en back-‐up). o Onder organisatorische maatregelen kunnen worden geschaard maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens (zoals toekenning en deling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen).

In het begrip 'passende' ligt besloten dat de beveiliging in overeenstemming is met de stand van de techniek. Het begrip 'passend’ ' duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de aard van de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levens-‐ sfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is in het algemeen geen verplichting om steeds de zwaarste beveiliging te nemen. Er moet sprake zijn van een adequate beveiliging. Ter beoordeling van de maatregelen die moeten worden getroffen moet dus rekening worden gehouden met een aantal aspecten, waaronder de risico’s die de verwerking en de aard van de te beschermen gegevens met zich brengen. Hier komt ook weer het belang van het risicomanagementproces naar voren. In casu is sprake van persoonsgegevens betreffende de gezondheid, waarop het medisch beroepsgeheim van toepassing is. De beveiliging van dergelijke persoonsgegevens moet voldoen aan de hoogste normen. De maatregelen die moeten worden getroffen zijn tevens afhankelijk van de stand van de techniek en de kosten van de tenuitvoerlegging van de maatregelen. Daarnaast bepaalt deze wet ook welke informatie wij aan patiënten, cliënten of betrokkenen moeten verstrekken en hoe omgegaan moet worden met het inzagerecht van de patiënt. In de zorg komt het voor dat medische dossiers gebruikt kunnen worden door een waarnemend (huis)arts of specialist of dat deze besproken worden met andere zorgverleners voor zover zij betrokken zijn bij de behandeling. Patiënten en cliënten moeten toestemming geven indien hun persoonsgegevens gebruikt worden voor bijvoorbeeld klachtregistratie, statistieken, medisch onderwijs of wetenschappelijk onderzoek (tenzij geanonimiseerd). In de WBP en de WGBO is het inzage recht geregeld van de patiënt/cliënt. 21

Informatie uit de Wet Bescherming Persoonsgegevens.


Pagina 33 van 69



Dit is vastgelegd in artikel 34 van de WPB, waarin de zorgaanbieder verplicht wordt gesteld de patient/client op de hoogte te stellen als zijn of haar persoonsgegevens vertrekt worden aan een derde of opgenomen worden in een regionaal of landelijk dossier. In de WPB wordt de geheimhoudingsplicht afgedwongen van het behandelend personeel en worden eisen gesteld aan de verwerking, bewaarplicht en beveiliging van deze informatie waartoe de patiënt/cliënt toestemming voor heeft gegeven. Gegevens die digitaal zijn vastgelegd moeten worden beschermd door autorisaties en bevoegdheden volgens de Wet Bescherming Persoonsgegevens. De WBP stelt expliciete eisen voor het beveiligen van persoonsgegevens in relatie tot de zorg, medische en patiëntgegevens. Hierin is ook het beroepsgeheim en geheimhoudingspicht geborgen. Opmakende uit de hiervoor genoemde eisen voortkomende uit de WBP kunnen we het volgende stellen. Wet-‐ en regelgeving dient een belangrijk uitgangspunt te zijn in de risicoafweging voor het vaststellen van beleid en maatregelen. Concrete maatregelen die af te leiden zijn uit de WBP betreffen:  Gegevens moeten geclassificeerd worden (betrouwbaarheidseisen dienen in kaart te zijn gebracht en het in kaart brengen van risico’s is hiervoor noodzakelijk).  Gegevens dienen vernietigd te worden indien de bewaartermijn overschreden is.  Hierbij dient het eigenaarschap en recht tot inzage en logging van inzage ingeregeld te zijn ten aanzien van patiëntinformatie behorende bij zijn of haar medisch dossier.  Het doel van vastlegging dient beschreven te zijn en informatie die tot discriminatie leiden mogen niet worden vastgelegd.  In het geval van medische en privacygevoelige informatie dienen de best mogelijke maatregelen genomen te worden rekening houdende met de stand der techniek en kosten: o technische maatregelen logische en fysieke maatregelen in en rondom de informatiesystemen (zoals toegangscontroles, vastlegging van gebruik en back-‐up). NEN 7510 Hfd. 9, 10, 11 en 13. o organisatorische maat-‐ regelen kunnen worden geschaard maatregelen voor de inrichting van de organisatie en voor het verwerken van persoonsgegevens (zoals toekenning en deling van verantwoordelijkheden en bevoegdheden, instructies, trainingen en calamiteitenplannen). NEN 7510 Hfd. 6, 7, 8 en 13) De bescherming van persoonsgegevens is als volgt geborgen in de NEN 7510 norm: 14.1.4 Bescherming van persoonsgegevens Naleving van de privacywetgeving verlangt een sluitend overzicht van verwerkingen van persoonsgegevens. Dit is een verbijzondering van hetgeen in hoofdstuk 7 aangaande het beheer van gegevens en overige middelen is gesteld. De verantwoordelijke voor de gegevens moet zorgen voor implementatie van de wettelijke voorschriften in maatregelen en procedures en voor stelselmatige controle op de naleving daarvan.


Pagina 34 van 69


6.3.


Grondwet

Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Er wordt mee bedoeld, dat persoonsgegevens niet zomaar mogen worden vastgelegd en verstrekt. Deze wet relateert in zekere mate aan de WBP (Wet bescherming persoonsgegevens). Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel dat het briefgeheim onschendbaar is in alle gevallen en het telefoon-‐ en telegraafgeheim, dat niet geldt voor hen die door de wet zijn aangewezen. De overheid is in bijzondere gevallen bevoegd om deze onschendbaarheid op te heffen. Mogelijke redenen zijn criminele en vergelijkbare activiteiten. Deze wet voorziet niet in nieuwe communicatiemiddelen zoals e-‐mail. Deze wet vereist met betrekking tot de NEN7510 norm geen expliciete eisen. Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Er wordt mee bedoeld, dat persoonsgegevens niet zomaar mogen worden vastgelegd en verstrekt. Deze wet relateert in zekere mate aan de WBP (Wet bescherming persoonsgegevens).

6.4.

Auteurswet

De Auteurswet 1912 bevat artikelen over het auteursrecht. De wet heeft niet alleen betrekking op documenten, videobeelden maar ook op software. Het kopiëren van programmatuur wordt niet gezien als inbreuk op het auteursrecht. Ook het analyseren van software kan niet worden gezien als schending van het auteursrecht. Dit laatste mag alleen gedaan worden door een gebruiker of beheerder met rechtmatige toegang en mag alleen als doel hebben het testen of verbeteren van de programmatuur. Deze wet wordt niet volledig internationaal erkend. Dit levert als probleem op dat het niet voorziet in de rechten van digitale werken. In de meeste gevallen geldt de wet van het land waarin het is gepubliceerd. Deze wet is geborgen in de NEN7510 norm 14.1.2 Intellectueel eigendom Er moeten passende maatregelen worden getroffen om te waarborgen dat wordt voldaan aan de wettelijke beperkingen met betrekking tot het gebruik van materiaal waarop intellectuele eigendomsrechten rusten, zoals auteursrecht, octrooirechten of handelsmerken.

6.5.

Computercriminaliteit

Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worden waarbij het gebruik van ICT middelen een wezenlijke rol spelen bij het misdrijf. Er zijn geen wetten die hier uitsluitend over gaan, maar in het Wetboek van strafrecht (Sr) zijn wel vele artikelen opgenomen met betrekking tot computercriminaliteit. Hieronder vallen: vernieling en onbruikbaar maken, aftappen van gegevens, Denial-‐of-‐Service (verstikkingsaanval), computervredebreuk, diensten afnemen zonder betalen en zogenoemde malware


Pagina 35 van 69



(kwaadaardige software) Artikel 138a lid 1 Sr gaat specifieker in op het onderwerp computervredebreuk. Hierin worden genoemd: het doorbreken van een beveiliging, gebruik maken van een technische ingreep, valse signalen of een valse sleutel en het aannemen van een valse hoedanigheid als voorbeelden van computervredebreuk. Deze categorieën zijn niet bedoeld als volledige taxonomie, er kan best overlap tussen zitten. De norm stelt ten opzichte van de wet computercriminaliteit het volgende: 14.1.5 Voorkomen van misbruik van voorzieningen Voor het gebruik van middelen voor de informatievoorziening van een zorginstelling voor andere dan de beoogde doeleinden moet toestemming worden verkregen van de leiding. De rechtmatigheid van het bewaken van het gebruik van voorzieningen moet op basis van juridisch advies worden bepaald. Het gebruik van een computer voor ongeautoriseerde doeleinden kan strafbaar zijn volgens de wet op de computercriminaliteit. Alle gebruikers moeten daarom op de hoogte zijn van de exacte reikwijdte van hun geautoriseerde toegang.

6.6.

Wet elektronische handtekeningen (WEH)

In 3:15a lid 4 van het Burgerlijk Wetboek wordt een elektronische handtekening beschreven als een pakket dat bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch geassocieerd zijn met andere elektronische gegevens en die worden gebruikt als middel voor authenticiteit te garanderen. De Wet elektronische handtekeningen (WEH) (een wet die de Boeken 3 en 6 van het Burgerlijk Wetboek wijzigt) biedt mogelijkheden om op elektronische wijze met de burger te communiceren. De WEH biedt meer duidelijkheid over elektronische handtekeningen zoals onder andere pincode, biometrie, dynamische handtekening (digitale pen), ondertekening van de elektronische belastingaangifte, calculators die worden ingezet bij het Internetbankieren of een elektronisch ondertekend uittreksel dat door de Kamer van Koophandel wordt uitgegeven. De NEN7510 norm stelt in het hoofdstuk 12.3.1 Beleid ten aanzien van cryptografische middelen: Elektronische handtekeningen Elektronische handtekeningen vormen een middel om de authenticiteit en integriteit van elektronische documenten te waarborgen. Ze kunnen worden gebruikt wanneer er een noodzaak bestaat om te verifiëren wie een elektronisch document heeft ondertekend en te controleren of de inhoud van het ondertekende document is gewijzigd, zoals bijvoorbeeld een elektronisch patiëntendossier. Onweerlegbaarheid In situaties waar mogelijk geschillen over het al dan niet plaatsvinden van een gebeurtenis of handeling kunnen ontstaan, bijvoorbeeld een geschil over het gebruik van een elektronische handtekening in een medicatieopdracht, moet gebruik worden gemaakt van een dienst die de onweerlegbaarheid kan aantonen. Dit kan bewijsmateriaal opleveren ter onderbouwing van de vraag of en onder wiens verantwoordelijkheid een bepaalde gebeurtenis of handeling heeft plaatsgevonden.


Pagina 36 van 69



6.7. Wet Toelating Zorginstellingen (WTZi) transparantie-‐eisen voor bestuur en toezicht De Wet toelating zorginstellingen (WTZi) stelt regels voor een transparantere bestuursstructuur en een ordelijke bedrijfsvoering van zorginstellingen die verzekerde zorg (Zorgverzekeringswet, AWBZ) leveren. Om zorg te mogen leveren moeten zorginstellingen een toelating hebben. In dat geval dient de zorg zo op elkaar aan te sluiten dat het samenwerken geen afbreuk doet aan een beheerste en kwalitatief goede zorguitvoering. Daarbij leeft de zorginstelling de wet-‐ en regelgeving na en houdt rekening met maatschappelijke normen voor integer handelen. Deze wet vereist met betrekking tot de NEN7510 norm geen expliciete eis maar deze wet is geborgen in de Zorgbrede Governance Code. (zie hoofdstuk 5.1.1.)

6.8.

Kwaliteitswet zorginstellingen (HKZ)

De wet die de kwaliteit regelt in de zorg op basis van een Kwaliteitsmanagement systeem, het zogenaamde HKZ. Hiervoor is norm NPR-‐CEN/TS 15224 toepasbaar. Deze norm is een leidraad die voor de gezondheidszorg een interpretatie geeft hoe een kwaliteitsmanagement systeem op basis van de ISO 9001 norm te implementeren. !"#$%&!'()*+,--./-00,* Een dergelijk kwaliteitsmanagement systeem is als volgt weergegeven volgens de ISO 9001 en NPR-‐CEN/TS 15224 voor een HKZ: # ##

I&*1-*:"#;"%)"1"%-*.#;+*#0"1## 32+4-1"-1(C+*+."C"*1(D(1""C### ### N4+*1"*

!-%"'1-"J# # ;"%+*12&&%,"4-830"-,###

## N4+*1"*

K+*+."C"*1## ;+*#C-,,"4"*###

O-("*###

K"1-*.F#+*+4D("## "*#;"%)"1"%-*.###

L"+4-("%"*## ;+*#0"1## $%&,:'1### #

<*$:1###

K:3:>9=*##

P";%"J# # ,"*0"-,###

>:1$:1### M%&,:'1###

#

# # Q++%,"#1&";&"."*,"#+'1-;-1"-1"*## <*G&%C+1-"(1%&&C###

# ## ## *# # ## Ook het kwaliteitsmanagementproces volgens ISO 9001 en het HKZ is gebaseerd # op de Plan-‐Do-‐ 123445*+*6*789:;*<=>*::>*8?*?58@:AA:>*3:B=A::59*C=>=3:C:>DAEAD::C* Check-‐Act cyclus van Deming met als doel zich als organisatie te blijven verbeteren (zie ook !"#$%&'"()"*+,"%-*.#-*#,"#."/&*,0"-,(/&%.("'1&%#2&%,1#)"($%&3"*#"*#1&"."4-'01#-*#567#"*#)-84+."#96# hoofdstuk 2.4.2.2.) 0FG* #:;=D2:*C:D*H)I*J00.* Deze wet heeft in !"#0:-,-."#:-1.+;"*#;+*#<=>#?@@A#"*#<=>#?@@B#/-8*#&*12-33"4,#+4(#""*#(+C"*0+*."*,#."0""4#;+*#*&%C"*# relatie tot de NEN7510 norm geen eisen. Informatie en ;&&%#""*#32+4-1"-1(C+*+."C"*1(D(1""C6#E-8#/-8*#&*12&%$"*#&C#"43++%#++*#1"#;:44"*F#C++%#3:**"*#&&3# &*+G0+*3"4-83#;+*#"43++%#2&%,"*#.")%:-316#H&"2"4#,"#12""#-*1"%*+1-&*+4"#*&%C"*#""*#;"%('0-44"*,# informatiesystemen zijn echter onlosmakelijk verbonden met de kwaliteit van de zorg. Het &*,"%2"%$#"*#1&"$+((-*.(.")-",#0"))"*F#0"))"*#/"#""*#(&&%1."4-83"#(1%:'1::%F#&C#0:*#1&"$+((-*.#+4(# (+C"*0+*."*,#."0""4#1"#3:**"*#&*,"%(1":*"*6# borgen van informatiebeveiliging en risicomanagement is een voorwaarde voor het bieden <=>#?@@A#($"'-G-'""%1#"-("*#;&&%#""*#32+4-1"-1(C+*+."C"*1(D(1""C#,-"#3:**"*#2&%,"*#.")%:-31#;&&%# van kwaliteit in de zorg. -*1"%*"#1&"$+((-*.#,&&%#&%.+*-(+1-"(F#;&&%#'"%1-G-'+1-"F#&G#;&&%#'&*1%+'1:"4"#,&"4"-*,"*6#!"#*&%C#-(#."%-'01#


++*

Pagina 37 van 69



Veel instelling beschikken echter al over een HKZ certificaat en een kwaliteitsmanagementsysteem dat gebaseerd is op de Plan-‐Do-‐Check-‐Act cyclus van Deming. Ook informatiebeveiliging op basis van een ISMS is gebaseerd op eenzelfde cyclus (hoofdstuk 2.2.2.2) en hierbij is het mogelijk beide managementsystemen op elkaar aan te laten sluiten. Hierbij valt te denken aan het gebruik van een gezamenlijk documentmanagementsysteem, auditprogramma’s, combinatierollen van kwaliteitsmanagementfunctionarissen en rollen voor de informatiebeveiliging zoals een security officer, etc.

6.9.

Wet op de geneeskundige behandelingsovereenkomst (WGBO)

Enigszins onduidelijk is de actualiteit van de WGBO voor situaties in thuiszorg of zorg in zorgcentra. Daar is sprake van cliënten. De WGBO spreekt over patiënten. De WGBO regelt de relatie tussen patiënt en hulpverlener. De patiënt is opdrachtgever tot zorg. Zorg wordt in de wet gedefinieerd als onderzoek, het geven van raad en handelingen op het gebied van geneeskunst, die het doel hebben iemand van een ziekte te genezen, ziekte te voorkomen of de gezondheidstoestand te beoordelen. De wet bevat de volgende regels: • De plichten van de patiënt • Het recht van de patiënt op informatie • Het recht van de patiënt om geen informatie te willen • Het recht van de patiënt op inzage in zijn dossier • Het recht van de patiënt op bescherming van zijn privacy • De plicht van de zorgverlener informatie te verstrekken • De plicht van de zorgverlener een medisch dossier bij te houden • Bewaartermijn van het medisch dossier • De plicht van de zorgverlener de privacy van de patiënt te bewaren • Het recht van de zorgverlener om verzoeken van een patiënt te weigeren • Toestemming van de patiënt is vereist De NEN7510 norm stelt ten aanzien van de WGBO het volgende: Vanuit verschillende wetgeving (onder andere WGBO, Wet BIG, WBP, wet BOPZ) en de in ontwikkeling zijnde wet voor het Zorg Identificatie Nummer worden er bijzondere eisen aan de verwerking van medische gegevens gesteld. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Beroepen in de Individuele Gezondheidszorg (Wet BIG). Volgens de WGBO sluit de behandelaar met de patiënt een behandelings-‐ overeenkomst, heeft hij of zij daarbij de plicht een dossier te voeren en rust op hem of haar een geheimhoudingsplicht (beroepsgeheim). De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt “naadloze zorg”. De informatiebeveiliging moet zich dus uitstrekken over de


Pagina 38 van 69



grenzen van de onderscheiden verantwoordelijkheidsdomeinen. De WGBO verplicht zorgaanbieders persoonsgegevens te beschermen volgens de Wet Bescherming Persoonsgegevens. Hoewel beoefenaren van individuele beroepen in de gezondheidszorg de verwerking van persoonsgegevens van hun patiënten niet hoeven te melden, zijn zij wel verplicht om de persoonsgegevens van hun patiënten adequaat te beschermen. De WGBO is opgenomen in het Burgerlijk Wetboek (BW). Artikel 7:457 BW legt tevens de instelling waar een hulpverlener werkzaam is de zorgplicht op om het geheim te beschermen. Daarnaast is de geheimhoudingsplicht voor bijvoorbeeld maatschappelijk werkers geregeld in een beroepscode.22 Zie ook 5.1.3 inzake het EPD en 5.2.2. inzake de WBP Voor schendingen van de Kwaliteitswet zorginstellingen geldt een boete van 33.500 euro.

6.10.

Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)

De Wet Beroepen in de Individuele Gezondheidszorg (BIG) bevat regels voor de kwaliteit van de zorgverlening door beroepsbeoefenaren in de gezondheidszorg. De wet wil daarmee patiënten beschermen tegen ondeskundig en onzorgvuldig handelen door zorgverleners. De belangrijkste doelstelling van de Wet BIG is het scheppen van voor-‐ waarden voor het bevorderen en bewaken van de kwaliteit van de beroepsuitoefening in de individuele gezondheidszorg. Daarom staan er in de wet bepalingen over zaken als titelbescherming, registratie, voorbehouden handelingen en tuchtrecht. Als het nodig mocht blijken, kan de minister van VWS voor (categorieën van) solistisch werkende beroepsbeoefenaren ook andere kwaliteitsaspecten van de beroepsuitoefening regelen in uitvoeringsbesluiten. Enkele voorbeelden: administratie van patiëntendossiers, waarnemingsregeling en technische uitrusting van praktijkruimten. De Kwaliteitswet Zorginstellingen, van kracht sinds 1 april 1996, stelt soortgelijke eisen aan de kwaliteit van de zorg verleend door beroepsbeoefenaren werkzaam in organisatorische verbanden als instellingen en groepspraktijken. Deze wet stelt bijzondere vereisten aan de administratie van patiëntendossiers. Zie ook 5.2.10 inzake de WGBO en 5.1.3 inzake het EPD en 5.2.2. inzake de WBP

6.11.

Wet gebruik burgerservicenummer in de Zorg (Wbsn-‐z)

De Wbsn-‐z is al aan bod geweest in relatie tot het EPD. De Wbsn-‐z is een voorwaarde voor het invoeren van het landelijk elektronisch patiëntendossier: • Met het BSN kunnen persoonsgebonden gegevens doelmatig en betrouwbaar uitgewisseld worden binnen de overheid en tussen de overheid en burgers. Sinds de inwerkingtreding van de Wabb23 mogen overheidsinstanties voor de uitwisseling van persoonsgegevens gebruik maken van het BSN als persoonsgebonden nummer voor de burger. Voor de burger betekent dit dat deze in alle administraties van de overheid onder één en hetzelfde nummer bekend is, wat de communicatie met de overheid voor de burger eenvoudiger zal maken. 22

Informatie van het College Bescherming Persoonsgegevens inzake “Geheimhouding van medische gegevens” Wet Algemene Bepalingen BSN

23


Pagina 39 van 69



De Wbsn-‐z regelt dat ook binnen de zorgsector gebruik gemaakt kan worden van het BSN. Gebruik van het BSN in de zorg vermindert het aantal fouten bij het uitwisselen van financiële en medische gegevens. Het maakt ook het declareren eenvoudiger. Daarnaast voorkomt het persoonsverwisseling en geeft het betere bescherming tegen identiteitsfraude. • Na de inwerkingtreding van de Wbsn-‐z van 1 juni 2008 gold een overgangsperiode van een jaar waarna het BSN gebruikt moet worden door zorgaanbieders, indicatieorganen en zorgverzekeraars. Vanuit het wettelijk kader hebben we te maken met de volgende artikelen en relevante passages uit de Wbsn-‐z in relatie tot beveiliging  Artikel 8 o De zorgaanbieder neemt het burgerservicenummer van de cliënt in zijn administratie op bij het vastleggen van persoonsgegevens met betrekking tot de verlening van zorg.  Artikel 10 o Bij ministeriële regeling kan worden bepaald aan welke beveiligingseisen de gegevensverwerking, bedoeld in de artikelen 8 en 9, voldoet.  Artikel 11 o 1.Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over door zorgaanbieders te verwerken feiten of gegevens met betrekking tot cliënten van wie het vaststellen van de identiteit of het burgerservicenummer onmogelijk blijkt of een onevenredige inspanning kost. o 2.Bij of krachtens de algemene maatregel van bestuur, bedoeld in het eerste lid, kan worden bepaald aan welke beveiligingseisen de gegevensverwerking, bedoeld in het eerste lid, voldoet.  Artikel 15 o 1.Bij of krachtens algemene maatregel van bestuur worden regels gesteld over het opnemen, wijzigen en verwijderen van gegevens in onderscheidenlijk uit de in artikel 14 bedoelde registers van zorgaanbieders, indicatieorganen en zorgverzekeraars, alsmede over het beheer van de registers, in ieder geval wat betreft de beveiliging van persoonsgegevens en het toezicht op het functioneren van de registers. o 3.De beheerder van een register als bedoeld in artikel 14 verschaft aan een in het register ingeschreven zorgaanbieder, indicatieorganen en zorgverzekeraar op diens verzoek een middel waarmee deze ten behoeve van de raadpleging, bedoeld in artikel 7, eerste lid, toegang kan krijgen tot de voorzieningen, bedoeld in artikel 3, eerste lid, onder c en d, van de Wet algemene bepalingen burgerservicenummer. o 5.Bij of krachtens algemene maatregel van bestuur kunnen regels worden gesteld over de kenmerken, de aanvraag, de productie, de verstrekking, het beheer, de beveiliging, het gebruik en de intrekking van alsmede de vergoeding voor het middel. •


Pagina 40 van 69



Voor het WBsn-‐z is artikel 35 van de ‘Wet bescherming persoonsgegevens’ belangrijk. Volgens dit artikel heeft een patiënt/cliënt het recht om te weten welke zorgaanbieders, indicatieorganen en zorgverzekeraars zijn gegevens hebben geraadpleegd. Zo kan de cliënt inzicht krijgen in welke zorgaanbieder, indicatieorgaan of zorgverzekeraar zijn:  BSN heeft opgevraagd.  BSN heeft geverifieerd.  Persoonsgegevens heeft opgevraagd.  Identiteitsdocument heeft gecontroleerd op geldigheid(in omloop zijn). Daarbij gaat het alleen om persoonsgegevens en niet om medische gegevens. Zorginformatiesystemen voor zorgaanbieders dienen echter wel te zijn voorzien van het BSN Zorg Keurmerk. Dit keurmerk toont aan dat een zorginformatiesysteem op een juiste en gebruikersvriendelijke wijze het vaststellen van het BSN en de identiteit van een patiënt ondersteunt met behulp van de diensten van de SBV-‐Z. SBV-‐Z is onderdeel van een uitvoeringsorganisatie van het ministerie van VWS. Zorgaanbieders dienen er dus voor te zorgen dat de leveranciers voldoen aan dit keurmerk of dat eigen ontwikkelde software voldoet aan de voorwaarden voldoen om in aanmerking te komen voor het BSN Zorg Keurmerk. De NEN 7510 regelt dit in hoofdlijnen in het hoofdstuk 12 Aanschaf, ontwikkeling en onderhoud van informatiesystemen. De voorwaarden voor het BSN Zorg Keurmerk staan beschreven in het Programma van Eisen “BSN Zorg Keurmerk. De basis van dit programma van eisen zijn de ‘Gebruikerseisen BSN’, aangevuld met ervaringen opgedaan tijdens het uitvoeren van verschillende pilots. Het BSN Zorg Keurmerk kent de typen ‘Reguliere bevraging (RB)’ en ‘Reguliere bevraging/Initiële vulling (RB/IV)’. Het BSN Zorg Keurmerk van het type ‘RB’ toont aan dat het zorginformatiesysteem voldoet aan alle eisen met betrekking tot reguliere bevraging. Bij het type ‘RB/IV’ voldoet het zorginformatiesysteem aan alle eisen van zowel reguliere bevraging als initiële vulling. Het BSN Zorg Keurmerk plus (+) wordt toegekend wanneer ook alle aanbevelingen zijn overgenomen. Deze eisen zijn elektronisch te verkrijgen via www.infoepd.nl, het informatiepunt BSN in de zorg en landelijk EPD van .24

24

Informatie van NICTIZ (infoepd.nl) en het SBV-‐z


Pagina 41 van 69



7. IT risicomanagement In dit hoofdstuk gaan we in hoe we informatiebeveiliging als proces kunnen borgen volgens de NEN 7510 norm en hoe we IT risicomanagement als derde uitgangspunt hier op aan kunnen laten sluiten.

7.1.

Borging van Informatiebeveiliging als proces volgens NEN 7510

Zoals in hoofdstuk 2 al is aangegeven, is het van belang binnen de instelling gestructureerd aan-‐ dacht te gaan besteden aan informatiebeveiliging en hiervoor een proces in te richten. De Deming-‐cyclus bevat 4 fase die gehanteerd kunnen worden zoals in hoofdstuk 2.1. is beschreven. Deze vier fasen worden volgend de NEN 7510 norm als volgt nader worden gedefinieerd:25  Plan: analyseer de situatie, stel doelen en bedenk plannen om de doelen te bereiken; stel tevens vast aan welke randvoorwaarden (eisen) moet worden voldaan;  Do: voer de plannen uit en zorg dat aan relevante randvoorwaarden wordt voldaan;  Check: toets de feitelijke resultaten en beoordeel of die stroken met de bedoelingen en of aan de gestelde eisen wordt voldaan;  Act: corrigeer waar dingen fout gaan en stel de plannen zo nodig bij zodat het voortaan beter gaat. In de onderstaande tabel zijn de vier fasen van de Deming-‐cirkel geplaatst in de context van informatiebeveiliging en de NEN 7510 norm. Fase Processtappen Hoofdstukken uit de NEN7510 Plan

DO

   

Opstellen informatiebeveiligingsbeleid Risicoanalyse Opstellen Informatiebeveiligingsplan Implementatie van maatregelen

Check Evaluatie en controle Act

Implementatie van verbetermaatregelen

526. Beveiligingsbeleid 6. Organiseren van Informatiebeveiliging 7. Beheer van middelen 8. Beveiligingseisen t.a.v. personeel 9. Fysiekebeveiliging 10. Operationeel beheer 11. Toegangsbeveiliging 12. Aanschaf, ontwikkeling, onderhoud 13. Continuïteitsbeheer 15. Beveiligingsincidenten 5.1.2 Evaluatie en actualisering 14. Naleving Zie bij ‘Do’

25

Informatie uit het Handboek NEN7510 De Hoofdstukken 1 t/m 4 zijn inleidende hoofdstukken

26


Pagina 42 van 69



In de onderstaande tabel zijn de fase beschrijvingen van de NEN7510 en ISO 27001 weergegeven: Fase definitie volgens NEN 7510 Fase definitie volgens ISO 27001 Plan analyseer de situatie, stel doelen en Plan inzicht in de eisen van de organisatie ten bedenk plannen om de doelen te aanzien van informatiebeveiliging en de bereiken; stel tevens vast aan welke noodzaak voor het vaststellen van beleid randvoorwaarden (eisen) moet worden en doelstellingen voor voldaan informatiebeveiliging Do voer de plannen uit en zorg dat aan Do implementeren en uitvoeren van relevante randvoorwaarden wordt beheersmaatregelen om de risico's voor voldaan informatiebeveiliging voor de organisatie te beheren ten opzichte van de algemene bedrijfsrisico's van de organisatie Check toets de feitelijke resultaten en Check controleren en beoordelen van de beoordeel of die stroken met de prestaties en de doeltreffendheid van het bedoelingen en of aan de gestelde ISMS eisen wordt voldaan Act corrigeer waar dingen fout gaan en stel Act continue verbetering, gebaseerd op de plannen zo nodig bij zodat het objectieve meting voortaan beter gaat Het belangrijkste verschil zit in het feit dat bij de DO fase ISO 27001 uitgaat van een uitgevoerd risicomanagement proces in de ‘Plan’ fase. Dit wordt als randvoorwaardelijk gezien voor het borgen van informatiebeveiliging als proces op basis van een ISMS zoals in hoofdstuk 2.2.2.2 is beschreven.

7.1.1. Inrichten van een ISMS Om een ISMS te implementeren zijn volgens ISO 27001 de volgende stappen benodigd: a. Toepassingsgebied en grenzen van het ISMS vaststellen met betrekking tot kenmerken van de bedrijfsvoering, de organisatie, de locatie, bedrijfsmiddelen en technologie, waaronder gegevens over en rechtvaardiging van eventuele uitsluitingen van het toepassingsgebied. b. Beleid voor het ISMS vaststellen met betrekking tot kenmerken van bedrijfsvoering, organisatie, locatie, bedrijfsmiddelen en technologie dat: i. een raamwerk omvat voor het vaststellen van doelstellingen en dat in het algemeen richting geeft aan en beginselen voor maatregelen aanduidt ten behoeve van informatiebeveiliging; ii. rekening houdt met eisen voor de bedrijfsvoering evenals eisen uit wet-‐ of regelgeving en contractuele verplichtingen voor beveiliging; iii. is afgestemd op het strategische kader van de organisatie voor het risicobeheer waarin het ISMS wordt vastgesteld en bijgehouden; iv. criteria vaststelt aan de hand waarvan het risico wordt beoordeeld en door de directie is goedgekeurd. OPMERKING: Met betrekking tot deze internationale norm wordt het ISMS-‐beleid beschouwd als overkoepelend voor het beleid voor informatiebeveiliging. Deze


Pagina 43 van 69



beleidslijnen kunnen in één document worden beschreven. c. Vaststellen welke benadering voor risicobeoordeling wordt gekozen in de organisatie. i. Een methodologie voor risicobeoordeling vaststellen die is afgestemd op het ISMS, maar ook op de geïdentificeerde eisen voor beveiliging van bedrijfsinformatie en eisen uit wet-‐ en regelgeving. ii. Criteria ontwikkelen voor de aanvaarding van risico's en vaststellen welke risiconiveaus aanvaardbaar zijn. iii. De gekozen methoden voor risicobeoordeling moeten bewerkstelligen dat risicobeoordelingen vergelijkbare en herhaalbare resultaten leveren. d. Risico's identificeren. i. De bedrijfsmiddelen identificeren die binnen de reikwijdte van het ISMS vallen en wie de verantwoordelijke eigenaren van deze bedrijfsmiddelen zijn. ii. De bedreigingen voor deze bedrijfsmiddelen identificeren. iii. De zwakke plekken identificeren die vatbaar kunnen zijn voor de bedreigingen. iv. De mogelijke gevolgen identificeren die verlies van vertrouwelijkheid, integriteit en beschikbaarheid kunnen hebben voor de bedrijfsmiddelen. e. De risico's analyseren en beoordelen. i. Beoordelen welke schade de organisatie waarschijnlijk zal ondervinden als gevolg van een beveiligingsstoring, rekening houdend met de gevolgen als de vertrouwelijkheid, integriteit en beschikbaarheid van de bedrijfsmiddelen worden geschonden. ii. Beoordeling van de waarschijnlijkheid dat een beveiligingsstoring optreedt in het licht van de aanwezige bedreigingen en kwetsbaarheden, en gevolgen voor deze bedrijfsmiddelen, en de huidige getroffen beheersmaatregelen. iii. Een inschatting maken van de risiconiveaus. iv. Vaststellen of de risico's aanvaardbaar zijn of behandeling vereisen aan de hand van de criteria voor risicoaanvaarding die in 4.2.1c)2) zijn vastgesteld. f. Opties voor de behandeling van de risico's identificeren en beoordelen. Dit omvat maatregelen als: i. het toepassen van geschikte beheersmaatregelen, ii. bewust en objectief risico's aanvaarden, mits deze duidelijk voldoen aan het beleid van de organisatie en de criteria voor de aanvaarding van risico's (zie 4.2.1c)2)); iii. risico's vermijden; en iv. de desbetreffende bedrijfsrisico's overdragen aan anderen, bijv. verzekeringsmaatschappijen, leveranciers. g. Beheersdoelstellingen en maatregelen voor de behandeling van de risico's kiezen. Beheersdoelstellingen en beheersmaatregelen moeten worden gekozen en geïmplementeerd om te voldoen aan de eisen die zijn vastgesteld in de processen voor risicobeoordeling en risicobehandeling. Bij deze keuze moet rekening worden gehouden met de criteria voor het aanvaarden van risico's evenals eisen uit wet-‐ en regelgeving en contractuele verplichtingen. h. Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico's. i. Goedkeuring van de directie verkrijgen om het ISMS te implementeren en uit te voeren. OPMERKING: Met beheersmaatregelen worden hier bedoeld de beheersmaatregelen van de ISO 27002 standaard. In plaats hiervan kunnen ook maatregelen uit andere


Pagina 44 van 69



normen zoals de NEN 7510 norm gehanteerd worden of worden toegevoegd. Als optionele stap kan nog een stap J) worden toegevoegd indien de organisatie besluit tot certificering over te gaan volgens de ISO 27001 standaard. j) Een verklaring van toepasselijkheid opstellen. Deze verklaring is nodig om inzicht te krijgen in de beheersdoelstellingen en beheersmaatregelen die werden gekozen en de redenen voor hun keuze, welke zijn geïmplementeerd en de uitsluiting van eventuele beheersdoelstellingen en beheersmaatregelen en de rechtvaardiging voor deze uitsluiting.

7.1.2. Risicoanalyse In het voorgaande hoofdstuk over het ISMS en hoofdstuk 2.4.2.1 is het belang van de risicoanalyse in het risicomanagement proces toegelicht. Ook in hoofdstuk 7 van de NEN 7510 norm wordt gevraagd om het in kaart brengen van de betrouwbaarheidseisen van informatiesystemen in het kader van classificatie. Het meegeleverde hulpmiddel bij de NEN7510 norm “Hulpmiddel Leidraad AK Analyse” 27is in hoofdstuk 2.4.2.1 kort besproken. De bedoeling van deze A&K-‐analyse is dat in een aantal logische stappen systematisch de afhankelijkheden en kwetsbaarheden van een informatiesysteem in beeld kunnen worden gebracht, zodat tot een verantwoord niveau van informatiebeveiliging kan worden gekomen. Uitkomst van de afhankelijkheidsanalyse is een stelsel betrouwbaarheidseisen per informatiesysteem. Deze A&K-‐analyse wordt ook voorgeschreven door de overheid in het Voorschrift Informatiebeveiliging Rijksoverheid (VIR). De stappen die in het A&K-‐analyseproces worden genomen, zijn in het volgende schema weergegeven.

27

NEN7510 Hulpmiddel Leidraad A&K-‐analyse


Pagina 45 van 69



Een alternatief voor de A&K-‐analyse is de Business Impact Analyse (BIA’s) en Threads and Vulnerability assessments (TVA’s) van het Information Security Forum (ISF). Deze onafhankelijke internationale organisatie richt zich op het bieden van onderzoek en “best practices” voor zijn leden op het gebied van informatie beveiliging. De werkwijze is ook onderdeel van de ISO 27005 standaard voor Information Security Risk Management. Vooral de Business Impact Analyse wordt veel gebruikt in diverse organisaties en is ook in de zorg toepasbaar om betrouwbaarheidseisen in kaart te brengen. De keuze voor een risicomanagementmethode of een risicoanalyse wordt niet door de ISO 27001 standaard en de NEN 7510 norm voorgeschreven.


Pagina 46 van 69


7.2.


Het 12 Stappenplan voor invoering van de NEN7510

Om de implementatie volgens de NEN7510 goed vorm te geven zijn er in de implementatie handboeken voor 7511-‐1, -‐2 en -‐3 een 12 stappenplan uitgewerkt. Deze twaalf stappen kunnen een leidraad zijn voor het opzetten en invoeren van informatiebeveiliging op basis van de NEN7510 norm. Hieronder is het stappenplan van de 7511-‐1 weergegeven. De paragraaf verwijzingen hebben betrekking op de NEN 7511-‐1. 1) Stel IB-‐beleid op (paragraaf 5.1.1) Hoe eenvoudig zo’n eerste versie van IB-‐beleid ook mag zijn: zonder plan (beleid) zijn alle acties zonder st(ruct)uur. Dat kan variëren van het najagen van de verkeerde prioriteiten tot het handelen naar de waan van de dag. Gaandeweg zal het beleid verbeteren: het is een iteratief proces. De vijand van het goede is het beste: accepteer dat de beginversie onvolkomen is. Wijs uw leiding hier ook op en eis van hen ook steun als tegenstanders het argument van ‘niet goed genoeg’ te berde brengen in de hoop niets te hoeven doen. Bij dit handboek is een model informatiebeveiligingsbeleid 28opgenomen. 2) Stel vast wie waarvoor verantwoordelijk is (paragraaf 6.1.3) Als het al niet in het IB-‐beleid duidelijk is geworden, moet alsnog voor een ieder duidelijk zijn wie waarvoor verantwoordelijk is. Als niemand verantwoordelijk is voor onderwerp X, dan is ook niemand op onderwerp X aanspreekbaar. Vertrouw er niet op dat ‘iedereen’ zich wel verantwoordelijk voelt. Om te beginnen is dat inefficiënt (dubbel werk bijvoorbeeld) en bovendien zullen zich weinigen ook echt verantwoordelijk voelen als er iets fout gaat! 3) Zorg voor bewustwording, opleiding en training (paragraaf 8.2.2) Beveiligen is mensenwerk. Niet alleen voor het opstellen en bewaken van allerlei beveiligingsmaatregelen. Maar ook in de alledaagse naleving. Besef dat meer dan de helft van de informatiebeveiligingsincidenten wordt veroorzaakt door eigen medewerkers, meestal zonder kwade bedoelingen maar uit onkunde of onbenul. IB is 80% mensenwerk en 20% techniek. Bij dit handboek is een model communicatieplan29 opgenomen. 4) Neem maatregelen tegen kwaadaardige programmatuur (paragraaf 10.4.1) Gebeurt meer dan de helft van de informatiebeveiligingsincidenten door toe-‐ doen van eigen medewerkers, de rest gebeurt door ‘derden’. Inmiddels is een heuse ‘industrie’ ontstaan om met kwade bedoelingen IB te omzeilen. Gezondheidszorg is in toenemende mate een aantrekkelijke prooi. Vaak –en wellicht steeds vaker– wordt hierbij gebruik gemaakt van kwaadaardige programmatuur: virussen, wormen, spyware, trojaanse paarden en vele andere vormen van ‘malware’. Veel ellende is te voorkomen met maatregelen die kant-‐en-‐klaar te koop zijn. Voer vandaag nog in en zorg –net zo belangrijk– dat alle instrumenten om je te beschermen tegen kwaadaardige programmatuur ook up-‐to-‐date zijn en blijven. Bij dit handboek is een modelbeschrijving voor antivirusmaatregelen30 opgenomen. 5) Sluit overeenkomsten voor gegevensuitwisseling (paragraaf 10.8.2) In veel gevallen is de organisatie de ‘houder’ van gevoelige gegevens (bijvoor-‐ beeld patiëntgegevens). Daarvoor geldt een hele reeks aan voorwaarden en maatregelen. In de communicatie van diezelfde gevoelige gegevens met anderen, gelden voor de houder dezelfde voorwaarden en maatregelen nog steeds: ze houden echt niet op bij de voordeur... Het dragen van verantwoordelijkheden die uit IB voortvloeien is alleen mogelijk op basis van heldere afspraken met de communicatiepartners. Als er geen afspraken met therapeut X bestaan, is 28

Bijlage bij het Handboek NEN7510 Bijlage bij het Handboek NEN7510 30 Bijlage van het Handboek NEN7510 29


Pagina 47 van 69



6)

7)

8)

9)

10)

niets te zeggen over hoe betrouwbaar hij met ‘uw verantwoordelijkheden’ omgaat. De regel is eigenlijk simpel: geen afspraken dan ook geen gegevensuitwisseling. Beveilig de toegang tot systemen (paragrafen 11.2.2, .3, .4 en .6) Elke geregistreerde gebruiker dient een unieke gebruikersidentificatie te krijgen, die slechts persoonsgebonden dan wel persoonlijk mag worden gebruikt. Groepsaccounts en dergelijke zijn dus verboden! Met authenticatie kan een gebruiker ‘bewijzen’ dat hij degene is, die hij claimt te zijn. Er bestaan sterkere en zwakkere vormen van authenticatie. De norm vereist ten minste een wachtwoordsysteem als authenticatie. Zwakkere vormen zijn dus niet toegestaan, sterkere verdienen de voorkeur. Wanneer gekozen wordt voor een wachtwoordsysteem, dan wordt aangeraden om de norm NEN-‐ EN 1225131 toe te passen voor verdere uitwerking. In het proces van identificeren en authenticeren worden uiteraard systemen gebruikt die op hun beurt zeer goed, misschien wel bijzonder goed moeten worden beheerd en beveiligd. Het gaat om de sleutel van het sleutelkastje, zogezegd: als je die sleutel te pakken krijgt, krijg je de beschikking over alle sleutels! De organisatie dient er voor te zorgen dat ‘passende’ gewoontes worden gebruikt bij het kiezen en gebruiken van wachtwoorden, dat gebruikers niet elkaars identificatie-‐ en authenticatiemiddelen gebruiken en dat gebruikers niet hun identificatie-‐ en authenticatiemiddelen overdragen aan anderen. In dit handboek zijn modellen opgenomen voor het regelen van de toegang op afstand tot informatiesystemen, alsmede een model voor het beheer van gebruikersnamen en wachtwoorden. Ontwikkel en implementeer continuïteitsbeheer (paragraaf 13.1.3) IB is niet alleen beveiligen tegen inbreuk van buitenaf, maar ook anderszins zorgdragen dat informatievoorziening zo veel mogelijk ongestoord kan verlopen. Eén van de aspecten die hiertoe worden gerekend is continuïteit. Hierbij speelt een scala aan activiteiten als back-‐ups, noodstroom, uitwijkcentrum, redundantie etc. In dit handboek is een model continuïteitsplan 32 opgenomen. Hou rekening met intellectueel eigendom (paragraaf 14.1.2) Er zijn twee levengrote bezwaren tegen het gebruik van ‘geprivatiseerde’ software. Ten eerste is de herkomst veelal schimmig, waardoor eenvoudig kwaadaardige programmatuur kan binnensluipen. Ten tweede kunnen rechthebbenden bij vermoeden van inbreuk op intellectuele rechten, onmiddellijke inbeslagname vorderen van de apparatuur waarop de geprivatiseerde software zich bevindt (de continuïteit is dan ver zoek). Verder spelen andere risico’s als strafrechtelijke vervolging en reputatieschade. Beveilig bedrijfsdocumenten (paragraaf 14.1.3) Belangrijke bedrijfsdocumenten moeten worden beveiligd tegen verlies, vernietiging en vervalsing (denk hierbij aan accounting bestanden, declaraties, medische dossiers, daglijsten, transactielogbestanden, audit-‐ logbestanden en operationele procedures). Elektronisch opgeslagen gegevens moeten ‘digitaal duurzaam’ zijn, eventuele encryptiesleutels moeten ook worden bewaard en gege-‐ vens kunnen worden opgevraagd op een wijze die geschikt is voor juridische procedures. Bescherm persoonsgegevens (paragraaf 14.1.4) In het algemeen volgt de plicht tot bescherming van persoonsgegevens uit de Wet bescherming persoonsgegevens (WBP); in het bijzonder uit de Wet geneeskundige behandelingsovereenkomst (WGBO). Hoewel beoefenaren van individuele beroepen in de gezondheidszorg de verwerking van persoonsgegevens van hun patiënten niet hoeven te melden, zijn zij wel verplicht om de persoonsgegevens van hun patiënten adequaat te beschermen. Het College Bescherming Persoonsgegevens (CBP) heeft hiervoor materiaal beschikbaar.

31

Beveiligde gebruikeridentificatie voor de gezondheidszorg -‐ Beheer en veiligheid voor authenticatie door middel van wachtwoorden 32 Bijlage van het Handboek NEN7510


Pagina 48 van 69



11) Leef beveiligingsbeleid na (paragraaf 14.2.1) Tachtig procent van de beveiligingsincidenten wordt veroorzaakt door mensen. Zonder het organiseren van een vorm van controle zal men zich minder goed aan de regels houden. Verantwoordelijken voor de verschillende beveiligingsprocedures moeten ten eerste hun zaakjes goed voor elkaar hebben. En ten tweede moeten deze verantwoordelijken periodiek op een objectieve en onpartijdige wijze worden beoordeeld. In dit handboek is een modelprocedure opgenomen voor het bijwerken van het IB-‐beleid. 12) Rapporteer beveiligingsincidenten (paragraaf 15.2.1) Zonder rapportage van incidenten zal er niets kunnen worden geleerd en aangepast kunnen worden binnen de organisatie. Het rapporteren van (bijna) ongelukken behoort tot het reguliere professionele handelen. In dit handboek zijn modelprocedures opgenomen voor het afhandelen van incidenten.

7.3.

Risicomanagement toevoeging op het 12 Stappenplan

We hebben al eerder vastgesteld dat risicomanagement een voorwaarde is om het proces informatiebeveiliging goed te borgen. Deze stap ontbreekt in de NEN 7510 norm en ook in het hiervoor genoemde 12 stappenplan. Het geniet derhalve de voorkeur om risicomanagement op basis van een ISMS benadering toe te voegen aan dit stappenplan en deze extra stap als eerste uit te voeren. 1) Ontwikkel en implementeer een voor de organisatie passende risicomanagement methode met een passende risicoafweging toe met daarin de volgende kenmerken: a. rekening houdt met eisen voor de bedrijfsvoering evenals eisen uit wet-‐ of regelgeving en contractuele verplichtingen voor beveiliging; b. is afgestemd op het strategische kader van de organisatie voor het risicobeheer waarin het ISMS wordt vastgesteld en bijgehouden; c. criteria vaststellen aan de hand waarvan het risico wordt beoordeeld en door de directie is goedgekeurd. De risico beoordeling dient te bestaan uit de volgende stappen: • Risico’s identificeren • Risico’s analyseren en beoordelen • Opties voor de behandeling van de risico's identificeren en beoordelen • Beheersdoelstellingen en maatregelen voor de behandeling van de risico’s kiezen • Goedkeuring van de directie verkrijgen voor de voorgestelde overblijvende risico's. • Goedkeuring van de directie verkrijgen het ISMS te implementeren en uit te voeren.

Door deze toevoeging creëren we een logische stap waardoor de NEN7510 weer aansluit op de code voor informatiebeveiliging (ISO 17799 en ISO 27001) en wordt er meerwaarde gecreëerd door een risicoafwegingsproces in te richten in de “Plan” fase. Een positief effect dat deze stap zal hebben is dat het bestuur in het proces betrokken wordt wat de algehele risicobewustwording ten goede komt en om management draagvlag en ondersteuning te bewerkstelligen. Als we risicomanagement borgen in de NEN7510 norm krijgen we de volgende situatie:


Pagina 49 van 69



Deze aanpak biedt tevens de mogelijk de informatiebeveiliging te laten certificeren. Doorlopen we immers deze stap goed en de 12 andere stappen, dan voldoen we aan de voorwaarden van een ISMS volgens ISO 27001. Als we in de risicoafweging maatregelen selecteren uit de NEN 7510 norm en deze opnemen in de scope, dan is het mogelijk een ISO 27001 certificaat te behalen met NEN 7510 in de scope of een NEN 7510 certificaat (hoofdstuk 3.4).


Pagina 50 van 69



8. Welke partijen toetsen op wat en met welke normenkaders? Normen hebben normaliter geen verankering in de wetgeving in Nederland. Ook de NEN7510 norm is niet verankerd in de wetgeving. Toetsing en de wijze van toetsing is derhalve een zaak van de toezichthouders of certificerende instellingen. Het ministerie van Economische zaken heeft wel een aantal organisaties erkend om certificerende instellingen te accrediteren. Deze certificerende instellingen onderzoeken of organisaties, die daarom vragen, voldoen aan een specifieke en relevante norm. Dit geldt voor de ISO normen, zoals de ISO 27001 norm voor organisatie beveiliging. Dit geldt niet voor de NEN7510 norm. Deze norm wordt echter door de toezichthoudende instanties, het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ), gehanteerd voor het uitvoeren van audits bij onder andere Ziekenhuizen. In grote lijn kunnen we op basis van de drie uitgangspunten het volgende landschap schetsen: Verplicht of van Wie Op wat NEN7510 Strategische en toepassing Verplicht bestuurlijke context Interne beheersing IT Governance en de General IT Controls

Ja Nee. Wel als de bedrijfsvoering in grote mate afhankelijk is van IT Ja, voor aansluiting op het EPD op basis van een eigen verklaring

Accountant Accountant

Zorgbrede Governance Code ITIL

Nee Nee

Steekproef o.b.v. een GBZ schouwing

Programma van eisen voor een GBZ

Adviseerbaar of gelijksoortig

(privacy)wet-‐ en regelgeving

Wie

Op wat

NEN7510 Verplicht

Wet bescherming Persoonsgegevens Grondwet Auteurswet Computercriminaliteit Wet Elektronische Handtekening WTZi Kwaliteitswet zorginstellingen

Ja

CBP / IGZ

Art. 13

Ja Ja Ja Ja

n.v.t. n.v.t. n.v.t. n.v.t.

-‐ -‐ -‐ -‐

Ja of gelijksoortig Nee Nee Nee Nee

Ja Ja

WGBO

Ja

IGZ Certificerende instellingen IGZ

Kwaliteitsmanagement systeem o.b.v. een HKZ Naleving

Wet BIG Wbsn-‐z

Ja Ja

IGZ IGZ

Naleving Naleving

IT Risicomanagement

Wie

Op wat

NEN7510 Verplicht

ISO 27001

Nee

Certificerende instellingen

Nee, adviseerbaar voor zorginstellingen

start-‐ normen van de NVZ, gecombineerd met de ‘12 belangrijkste stappen’ uit de NEN 7511

Ja, ziekenhuizen

CPB en IGZ

Informatiebeveiligings-‐ management systeem (ISMS) en afgeleide norm op basis van de scope en de risicoafweging Genoemde afgeleide norm van de NVZ en NEN 7511 in de audit 2010.

Goed beheerst Zorgsysteem (GBZ)


Nee Nee Adviseerbaar of gelijksoortig Adviseerbaar of gelijksoortig

Adviseerbaar of gelijksoortig

Pagina 51 van 69



9. Conclusie 9.1.

Overwegingen voor de zorgaanbieders

De mate van afhankelijkheid van IT neemt steeds grotere vormen aan in de zorg waardoor de discussie over of een norm als de NEN 7510 wel of niet verplicht is wordt ingehaald door het feit dat privacy-‐ en informatiebeveiliging in het kader van goed bestuur, maatschappelijk belang, privacywaarborgen, continuïteit en het bieden van kwalitatieve zorg een noodzaak is geworden. Bestuurders van instellingen zullen vanuit hun Governance verplichtingen, wet-‐ en regelgeving en verantwoordelijkheden niet meer om risicomanagement, privacy-‐ en informatiebeveiliging heen kunnen. We moeten constateren dat de NEN 7510 norm, 6 jaar na uitkomen vooral een norm die de weg wijst, en derhalve het beste als uitvoeringsnorm gehanteerd dient te worden. Door het ontbreken van een ISMS en risicomanagement benadering is de norm in de huidige opzet niet als toetsingsnorm bruikbaar. Door toevoeging van een ISMS en risicomanagement is dit wel mogelijk, ook op basis van de huidige NEN 7510:2004, zich te certificeren. Geconstateerd is echter dat de zorg nog een weg te gaan heeft om privacy-‐ en informatiebeveiliging te waarborgen en risico’s te beheersen. Ontwikkelingen als het EPD kunnen niet wachten op een situatie dat instellingen die willen aansluiten voldoen aan de norm. Dit zou simpelweg te veel tijd kosten en de huidige NEN 7510 norm is hiervoor niet geschikt. Om deze reden zien we eigen normenkaders ontwikkeld worden door het NVZ, Nictiz en de NHG om een privacy-‐ en informatiebeveiliging te beoordelen of in het kader van aansluiting op het EPD. Zorgaanbieders die beginnen om privacy-‐ en informatiebeveiliging als proces te borgen doen er goed aan te kiezen voor een pragmatische aanpak zoals in hoofdstuk 7.3 is beschreven. Hierdoor wordt een risicomanagementbenadering als basis waarop risico’s beheerst kunnen gaan worden. Indien dit gebaseerd wordt op een voor de zorginstelling relevante strategische-‐ en bestuurlijke context en wet-‐ regelgeving worden automatisch de juiste maatregelen uit de NEN 7510 norm geselecteerd. Voor de invoering van deze maatregelen is een planmatige aanpak de beste insteek. Dit kan best een meerjarenplan zijn zodat nieuwe risico’s tot bijstelling van en plan kan blijven leiden. Belangrijk is te kiezen voor een geleidelijke invoering. Een procesbenadering op basis van een Plan-‐Do-‐Check-‐Act cyclus is immers een verbeterslag die niet in één keer gerealiseerd kan worden. Opmerking: Zorgaanbieders dienen bij het afnemen of uitbesteden van IT diensten aan marktpartijen zich niet blind te staren op een NEN 7510 certificaat van een dergelijke partij. De NEN 7510 norm is een norm voor zorgaanbieders en niet voor partijen buiten de zorg. Partijen die zich gecertificeerd hebben volgens de ISO 27001 standaard hebben al een ISMS volledig geïmplementeerd en een hoog beveiligingsniveau. Dergelijke partijen worden in het kader van hun certificaat, het ISMS en het hieruit voortvloeiende risicomanagement benadering verplicht om hun maatregelen af te stemmen op de beveiligingseisen van hun klanten en hun beveiligingsnormen. Het is sterk aan te bevelen voor zorgaanbieders zaken te doen met ISO 27001 gecertificeerde IT dienstverleners omdat deze al voldoen aan het beveiligingsniveau van


Pagina 52 van 69



de NEN 7510:2004 en de toekomstige NEN 7510:2011. Hierbij dient opgemerkt te worden dat zekerheid over het geboden beveiligingsniveau vastgelegd is in de zogeheten Verklaring van Toepasselijkheid die elk ISO 27001 gecertificeerde organisatie dient op te stellen. In deze verklaring staat de risicoafweging vermeld en de selectie van gekozen maatregelen alsmede een argumentatie indien een bepaalde maatregel als niet van toepassing is verklaard. Zorgaanbieders die zekerheid wensen te krijgen over het beveiligingsniveau van uitbestede diensten bij dienstverleners, die niet ISO 27001 of NEN 7510 gecertificeerd zijn, kunnen een gerichte audit laten uitvoeren op de naleving op een norm of SLA door de dienstverlener. Een dergelijke audit heeft een Third Party Mededeling (TPM) als resultaat mits de controle een positieve uitslag heeft en dient door een derde partij uitgevoerd te worden. De eindverantwoordelijkheid ligt ten alle tijde bij de zorgaanbieder. Het is daarom aan de zorgaanbieder om zekerheid te krijgen en aan te tonen dat de uitbestede diensten worden verricht volgens de norm.

9.2.

IT audit overwegingen

Dit onderzoek heeft duidelijk gemaakt dat de materie in de zorg complex is en dat op het gebied van informatiebeveiliging er nog het nodige gedaan moet worden. Dit is met name de reden waarom de NEN 7510 niet als toetsingskader wordt gehanteerd. De praktijk staat nog veraf dan hetgeen opgenomen is vastgelegd in de norm. De huidige norm is vrijwel volledig gebaseerd op de volledige ISO 27002 maatregelenset met als aanvulling specifieke zorgelementen. Dit in tegenstelling tot de Europese norm voor de zorg, de ISO 27799, die aangeeft welke maatregelen uit de ISO 27002 standaard van toepassing zijn en hoe deze maatregelen toe te passen. Maatregelen dienen voort te komen uit een risicoafweging. In de hoofdstuk 2.2 hebben we hier uitvoerig bij stilgestaan. Deze risicoafweging is de basis om een norm voor toetsing te bepalen. Dit vergt kennis van de sector, processen, wet-‐ en regelgeving, strategische en bestuurlijke context en risico’s. Om deze reden heeft de NVZ besloten de audit van 2010 bij de ziekenhuizen uitsluitend door organisaties te laten uitvoeren die ervaring hebben in het adviseren van ziekenhuizen omtrent informatiebeveiliging. Bedrijven die advies geven bij een bepaald ziekenhuis kunnen echter bij ditzelfde ziekenhuis geen beoordeling doen zodat de slager zijn eigen vlees niet keurt. De gedachte hierbij is dat uitsluitend partijen met kennis van zaken in staat zijn een goede risicobeoordeling. Hierdoor zullen zij een normenkader in de juiste context plaatsen en niet als vinklijstje gaan hanteren. Vooral instellingen die laag scoren in het CMM volwassenheidsniveau (hoofdstuk 5.1.3.) zullen meer baat hebben bij IT Auditors die oog en begrip hebben voor het niveau waarin de organisatie zicht bevindt. Deze instellingen zijn meer gebaat bij bevindingen met een adviserend karakter dan louter bevindingen over hetgeen wat fout is. Ook de NHG kiest voor een dergelijke benadering bij het accrediteren van huisartsen of de Informatiebeveiliging bij de huisartsen. Ook zij stellen dat auditors met kennis van zaken van de beroepsgroep beter instaat zijn om de informatiebeveiliging op een juiste wijze in te schatten en te kunnen beoordelen.


Pagina 53 van 69



10. Discussie De Code voor Informatiebeveiliging wordt gehanteerd in allerlei organisaties, van ministeries, lokale overheid, handel, industrie, overheid en ook binnen de zorg. De standaard is breed geaccepteerd, zowel nationaal als internationaal. De standaard dient door elke organisatie in de risicoafweging toegesneden te worden op de eigen situatie. In de risicoafweging dient hierbij aandacht te zijn voor een risicomanagementbenadering, wet-‐ en regelgeving en de strategische en bestuurlijke context. Om binnen de Europese zorgsector deze risicoafweging en selectie van maatregelen al te maken is de ISO 27799 ontstaan voor de zorg. Deze ISO 27799 is een aanvulling op de ISO 27001 en 27002 standaard en kan niet opzichzelfstaand worden gehanteerd. De Nederlandse wet-‐ en regelgeving en situatie niet verwerkt is echter niet verwerkt in de risicoafweging. Om deze reden is in de huidige revisie van de NEN7510 gekozen voor een opzet die de ISO 27001, 27002 en ISO 27799 combineert in een nieuwe NEN 7510:2011 norm. Hierin is ook aandacht voor de Nederlandse wet-‐ en regelgeving en situatie. Hierbij wordt toegewerkt naar een opzet op basis van één normdocument. Voordelen van deze opzet zijn:  Eén normdocument door het verwerken van de ISO 27001, 27002 en ISO 27799 norm en de Nederlandse wet-‐ en regelgeving en situatie;  Integratie van een ISMS opzet en Risicomanagement benadering;  Zorgspecifieke norm. Nadelen van deze opzet zijn:  Omvangrijk document dat mogelijk hierdoor lastig te hanteren is. Dit is door een goede leeswijzer op te lossen;  Buiten de zorg of in internationale verbanden moeten partijen blijven uitleggen wat de norm is en welke relatie er is met de ISO 27002 maatregelen. Dit is op te lossen door in een leeswijzer de link te leggen tussen de norm en ISO 27001, 27002 en met name 27799. Externe dienstverleners die bijvoorbeeld ISO 27001 gecertificeerd zijn moeten aantonen dat hun beveiligingniveau en maatregelen afgestemd zijn op de ISO 27799;  De huidige actuele ISO 27002:2005 wordt naar alle waarschijnlijkheid in 2011 wordt opgevolgd. Het risico dat de nieuwe NEN norm opnieuw uit de pas gaat lopen met de ISO 27001 en 27002 is hierdoor zeker aanwezig;  Voor certificering dient een nieuw certificeringschema te worden opgezet. Een mogelijk alternatieve opzet voor Nederland is om de Europese ISO 27799 standaard te vervangen voor een Nederlandse variant. Deze variant zou de NEN 7511-‐2011 kunnen zijn. Voordelen van een dergelijke opzet zijn:  Opzet die gebruik maakt van een management systeem uit ISO 27001 en de maatregelenset uit ISO 27002 en de bijbehorende certificering. Met certificerende instellingen dient een afspraak gemaakt te worden dat een dergelijk certificaat NEN 7510:2011 moet heten;  Aanvullend op de ISO 27799 is de Nederlandse wet-‐ en regelgeving en situatie verwerkt;  De Basisset maatregelen kan in diverse varianten worden opgesteld; bijvoorbeeld voor Ziekenhuizen, verpleegtehuizen, apothekers, huisartsen etc. en voor elk van deze varianten kan een toetsingskader opgesteld worden;


Pagina 54 van 69





Aan de basisset maatregelen kan een extra toetsingskader worden toegevoegd waarin de GBZ eisen zijn verwerkt;  Instellingen die ook voldoen aan het GBZ krijgen dan een certificaat (ISO 27001 of NEN 7510 geheten) met in de scope een vermelding van de GBZ scope;  Beter onderhoudbaar bij wijzigingen aan ISO 27001 en ISO 27002;  Herkenbaarheid en transparantie in beveiligingsniveau buiten de zorg en in internationale verbanden. Nadeel van deze opzet is:  Er moeten meerdere normdocumenten, ISO 27001, ISO 27002 en NEN 7511:2011 worden gehanteerd. Dit kan opgelost worden door per sector een Implementatiehandboek te schrijven waarin deze drie normen daar waar nodig in opgenomen kunnen worden. !"#$%&''($

G*1CO#*1.+6% /#3*'0% F.*M*+3-.4*+%

5$7$8$%**+%&9:9%'*"%;*% ?@AB@??%.+%;*%/#5(*% *+%5(C5+**)%**+%DEF%

P(C5+**)%

DEF% /#3*'0%

!"#$%&''%$

23-./4516% ,-./01"/*+%

G5;*%5H%I10#C#*% J'00"1*6*)*+K%

N(5"3*M*1/% !"#

%$)*)&+(',%'(($ E0/.//*"%'00"1*6*)*+%-."% B=@@B$%
%$&'()*'*+"0C*% ,0+;75*M% &'()*'*+"0% F.*M*+3-./%

&'()*'*+"%

23-./4516%

,-./01"/*+% !"#

%$

10.1.

IT audit overwegingen bij certificering

Voor het certificeerbaar maken van de NEN 7510:2011 zijn wel afspraken nodig voor een certificeringschema. Indien gekozen wordt voor een NEN 7510-‐2011 norm waarin de ISO 27001, 27002 en 27799 in verwerkt zijn dient een nieuw certificeringschema opgesteld te worden. Indien gekozen wordt voor de alternatieve aanpak uit de discussie is dit niet nodig. Beide certificaten kunnen NEN 7510 certificaten genoemd worden. Met de certificerende instellingen dient hierover een afspraak te worden gemaakt. Certificerende instellingen zouden bijvoorkeur aangewezen moeten worden door de NEN of moeten aangesloten zijn bij de Nederlandse raad voor Accreditatie. Audits dienen uitgevoerd te worden door gecertificeerde ISO 27001 Lead Auditors of door NEN 7510 Lead Auditors. Deze laatste variant bestaat nog niet maar mogelijk kan de NEN in samenwerking met de certificerende instellingen tot een opleiding komen voor nieuwe Lead Auditors voor deze norm of een verdiepingsopleiding voor bestaande ISO 27001 Lead Auditors.


Pagina 55 van 69



Onafhankelijkheid In de Zorgbrede Governance Code is vastgelegd dat de externe accountant bij voorkeur geen advieswerkzaamheden verricht voor de zorgorganisatie. Ook de NVZ onderschrijft deze scheiding tussen audit en advies. Voor de audit in 2010 mag bij een ziekenhuis geen audit uitgevoerd worden door partijen die bij ditzelfde ziekenhuis advieswerkzaamheden hebben verricht (zie bijlage C). De NVZ houdt hiervan een registratie bij. Om de transparantie in een mogelijk NEN 7510 certificeringsproces te garanderen en de onafhankelijkheid van de IT auditor, is een scheiding tussen advies en toetsingswerk te adviseren zodat dit ook past in de geest van de Zorgbrede Governance Code.


Pagina 56 van 69



11. Literatuurlijst, bronnen & interviews Literatuur: • Inleiding EDP-‐auditing, Ten Hagen & Stam uitgevers 2004: Jan van Praat en Hans Suerink • IT Governance Mechanismen: Kluwer 2004: Prof. Dr. Wim Van Gremsbergen • Operationeel beheer van Informatiesystemen: Kluwer: Sander Koppens en Bas Meyberg • Informatiebeveiliging in de zorg: SDU uitgevers 2006: Mr. Drs. J.A. van der Wel • Informatiebeveiliging onder controle: Pearson Education Uitgeverij 2002: Prof. Dr. Edo Roos Lindgreen, Dr. Marcel Spruit en Dr.ir Paul Overbeek RE • Risicomanagement voor security-‐ en facilitymanagers, Kluwer 2003: drs. Cees Coumou CMC • Inrichten en beheersen van organisaties, Thiememeulenhoff 2005: Drs. R.M.J. Christiaanse RA en J.C. van Praat RE RA Normen en standaarden: • NEN normen 7510:2004, 7511-‐1, 7511-‐2, 7511-‐3, 7512 en 7513 • Implementatie Handboeken NEN 7510 • ISO 27001, ISO 27002 en ISO 27799 • ISO 9001 • Zorgbrede Governance Code • NPR-‐CEN/TS 15224 Overige bronnen: • Diverse wet-‐ en regelgeving teksten o De Wet Bescherming Persoonsgegevens (WBP) o Wbsn-‐z o Wet WGBO o Zorgleefplan en zwaartepakket (ZZP) o Wet BIG o Wils(on)bekwaamheid cliënt o Wet Klachtrecht Cliënten in de Zorgsector (WKCZ) en de Wet Medezeggenschap Cliënten zorginstellingen (WMCS) en de Kwaliteitswet Zorginstellingen o Wet Cliënt en Kwaliteit van Zorg o Wet Kwaliteit in de zorg • IGZ rapport “Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm” • Programma van Eisen voor een zorgserviceprovider (ZSP) • Programma van Eisen voor een Goed Beheerst Zorgsysteem (GBZ) • Concept Accreditatie eisen Huisartsen van het NHG • Informatie uit de NEN 7510 Klankbord commissie Interviews:  Carinke Buiting arts RI, Beleidsmedewerkster Nederlands Huisartsen Genootschap  Drs. Maarten Fischer, Beleidsmedewerker Nederlandse Vereniging voor Ziekenhuizen  Drs. Gé Klein Wolterink, Beleidsmedewerker Nictiz  Drs. Jan Willem Schoemaker CISSP, Security Officer Erasmus Medisch Centrum  De heer Ludo Baauw, directeur operations & business development Intermax Managed Hosting  Ing. Henry Dwars, BSI Management Systems


Pagina 57 van 69



12. Bijlage A, GBZ eisen en de NEN 7510

GBZ eis

NEN 7510 norm

De organisatie dient over beleid te beschikken en maatregelen te hebben geïimplementeert om gegevens in het informatiesysteem beschikbaar, correct en afgeschermd te houden voor onbevoegden. Hieronder vallen ook procedures voor het gebruik van het BSN en het dossierbeheer. In de eigen organisatie dient een verantwoordelijke aangewezen te zijn die zorgt voor het blijvend voldoen aan de GBZ-‐eisen.

05. Beveiligingsbeleid 5.1.1. de ondersteunende documentatie. 5.1.2. Evaluatie en actualisering

Geen eisen gesteld Medewerkers dienen opgeleid te zijn voor het werken met het landelijk EPD en bij de werkplekken dienen gebruikersinstructies beschikbaar te zijn.

Geen eisen gesteld De aanbieder dient ervoor te zorgen dat medewerkers over instructies te beschikken hoe te handelen indien een patiënt zijn gegevens wil afschermen in het patiëntdossier van de zorgaanbieder.

06. Organiseren van informatiebeveiliging 6.1.6 Samenwerking bij informatiebeveiliging Er behoren geschikte contacten te worden onderhouden met de leveranciers van informatiediensten en routeringdiensten, met als doel in geval van een incident: — snel de benodigde actie te kunnen ondernemen; — advies in te kunnen winnen. 07. Beheer van middelen voor de informatievoorziening. 08. Beveiligingseisen t.a.v. personeel 8.2.2. Bewustwording, opleiding en training voor informatiebeveiliging 09. Operationeel beheer van ICT-‐voorzieningen 10.1.1. Gedocumenteerde bedieningsprocedures 10. Fysieke beveiliging en beveiliging van de omgeving 11. Operationeel beheer van ICT-‐voorzieningen 10.8.1 Beleid voor gegevensuitwisseling Een zorgsysteem (GBZ) dat met een andere zorgsysteem (GBZ) buiten de instelling communiceert behoort dat te doen via de dienstverlening van gecertificeerde (basis)infrastructuuraanbieders. OPMERKING: Voor de uitwisseling van patiëntgegevens via de dienstverlening van gecertificeerde (basis)infrastructuuraanbieders is door NICTIZ reeds gekozen voor HL7v3. 10.8.2 Overeenkomsten Het contract met (gecertificeerde) leveranciers van informatiediensten en routeringdiensten behoort in ieder geval de minimaal noodzakelijk afspraken voor informatiebeveiliging te bevatten, zodat instellingen niet afzonderlijk overeenkomsten behoeven op te stellen met alle andere instellingen waarmee wordt gecommuniceerd. Eventueel kunnen instellingen onderling aanvullende afspraken maken. 10.8.4 Geautomatiseerde gegevensuitwisseling (tussen systemen) Bij uitwisseling met systemen buiten de instelling behoren de zorgsystemen elkaar wederzijds te authenticeren. Daarbij behoort gebruik te worden gemaakt van de diensten van een gecertificeerde PKI-‐


Pagina 58 van 69



aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgsystemen. Bij zeer vertrouwelijke zorginhoudelijke informatie behoort “end-‐to-‐end”-‐encryptie tussen de zorgsystemen plaats te vinden. 10.8.5 Elektronische communicatie (tussen personen) Een GBZ dat communiceert via gecertificeerde (basis)infrastructuuraanbieders behoort gebruik te maken van de diensten van een gecertificeerde PKI-‐aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgverleners en zorgverzekeraars. Ook voor e-‐mail kan gebruik worden gemaakt van deze beveiligingsdiensten om de afdoende maatregelen voor veilig gebruik te realiseren. 10.8.6 Transacties “online” (tussen personen en systemen) Voor een hoog niveau van beveiliging, zoals bijvoorbeeld bij transacties en zorginhoudelijke informatie-‐ uitwisseling tussen personen binnen de instelling en systemen buiten de instelling behoort gebruik te worden gemaakt van de diensten van een gecertificeerde PKI-‐aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgverleners en zorgverzekeraars, waarbij authenticatie van de zorgverlener met persoonlijke PKI-‐certificaten op een “hard token” plaats dient te vinden. 12. Toegangsbeveiliging 11.2.1 Registratie van gebruikers Gebruikers/zorgverleners van zorgsystemen die transactie en informatievragen bij systemen buiten de instelling behoren te zijn geregistreerd bij een gecertificeerde PKI-‐aanbieder voor de zorg. 11.2.2 Gebruikersidentificatie Gebruikers/zorgverleners van zorgsystemen die transacties en zorginhoudelijke informatie-‐uitwisseling verrichten met systemen buiten de instelling behoren gebruik te maken van de diensten van een gecertificeerde PKI-‐aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgverleners en zorgverzekeraars. Identificatie van deze gebruikers/zorgverlener behoort plaats te vinden met de door deze PKI-‐aanbieder uitgereikte unieke identificatie. 11.2.3 Keuze van authenticatiewijze Gebruikers/zorgverleners van zorgsystemen die transacties en zorginhoudelijke informatie-‐uitwisseling verrichten met systemen buiten de instelling behoren gebruik te maken van de diensten van een gecertificeerde PKI-‐aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgverleners en zorgverzekeraars. Authenticatie van deze gebruikers/zorgverleners behoort plaats te vinden met de door deze PKI-‐aanbieder uitgereikte certificaten met bijbehorend sleutelmateriaal op een “hard token”. 11.2.4 Beheer van identificatie-‐/authenticatiesystemen De instelling behoort procedures en regels vast te stellen voor het instellen, wijzigen en intrekken van authenticatiemiddelen voor zorgverleners verstrekt door een gecertificeerde PKI-‐aanbieder voor de zorg. Gebruikers behoren op de hoogte te worden gesteld hoe om te gaan met

De aanvraag, beheer van UZI-‐passen dient zorgvuldig te geschieden.


Pagina 59 van 69



Afspraken met externe partijen die GBZ-‐eisen realiseren dienen contractueel vastgelegd te zijn. Het is de taak van de zorgaanbieder een ICT leverancier te selecteren die typegekwalificeerd is. Daarnaast dient de netwerkprovider (voor communicatiediensten) aan de vereiste ZSP-‐ kwalificatie te voldoen. Er dienen voldoende maatregelen getroffen te zijn rondom beschikbaarheid en beheer (het systeem dient 7x24 uur beschikbaar en aangesloten te zijn op het landelijk schakelpunt zodat patiëntdossiers geraadpleegd kunnen worden).

deze authenticatiemiddelen . 11.2.7 Identificatie van apparatuur Bij uitwisseling met zorgsystemen buiten de instelling behoort gebruik te worden gemaakt van de unieke identificatie die wordt uitgereikt door een gecertificeerde PKI-‐aanbieder voor de zorg. 11.2.8 Authenticatie van apparatuur via netwerkverbindingen Bij uitwisseling met systemen buiten de instelling behoren de zorgsystemen elkaar wederzijds te authenticeren. Daarbij behoort gebruik te worden gemaakt van de diensten van een gecertificeerde PKI-‐ aanbieder voor de zorg met een gecontroleerde uitgifte van certificaten voor zorgsystemen. 11.3.3 Toegang tot gegevens en systemen Toegang door externe gebruikers behoort te worden geregeld via de autorisatiedienstverlening van gecertificeerde (basis)infrastructuuraanbieders. Elke applicatie op een GBZ behoort vast te leggen welke gegevens bij andere systemen/zorgverleners worden opgevraagd en welke gegevens aan andere systemen/zorgverleners worden geleverd. 13. Aanschaf, ontwikkeling en onderhoud van systemen 12.3.1 Beleid ten aanzien van het gebruik van cryptografie Het GBZ behoort certificaten en bijbehorende sleutelinformatie, uitgereikt door een gecertificeerde PKI-‐ aanbieder voor de zorg, zo te beschermen dat deze niet kunnen worden gekopieerd, gewijzigd of verwijderd zonder toestemming van de verantwoordelijke zorgaanbieder en/of systeembeheerder. 14. Continuïteitsbeheer 13.1.2 Bepaling van de continuïteitsstrategie In het contract met (gecertificeerde) leveranciers van informatiediensten en routeringdiensten behoren ook de eisen met betrekking tot de continuïteit te zijn vastgelegd waaraan de zorgsystemen van de instelling behoren te voldoen om te worden aangesloten op de infrastructuur van deze dienstenleveranciers. 14. Naleving

Ook het toezicht op het gebruik van de UZI-‐pas en het gebruik van het EPD door de eigen medewerkers dient geregeld te zijn. Hierbij dient het ook aantoonbaar te zijn wie inzage heeft gehad in welke patiëntendossier van de zorgadministratie. Ook de informatieverstrekking en het vragen om toestemming voor raadplegingen aan patiënten dient geregeld te zijn. Er dienen regelmatige controles uitgevoerd te worden of de patiëntgegevens aangemeld zijn bij het landelijk EPD. De registratie van incident of probleem meldingen 15. Beveiligingincidenten


Pagina 60 van 69



rond het EPD dient geregeld te zijn en er dient toegang te zijn tot de eerstelijnshelpdesk van het EPD.


Pagina 61 van 69



13. Bijlage B, Vergelijkingsmatrix NEN 7510 en ISO 27002

NEN7510

ISO 27002

5

Beveiligingsbeleid

5

Beveiligingsbeleid

5.1

Informatiebeveiligingsbeleid

5.1

Informatiebeveiligingsbeleid

5.1.1

Beleidsdocument voor informatiebeveiliging

5.1.1

Beleidsdocument voor informatiebeveiliging

5.1.2

Evaluatie en actualisering

5.1.2

Beoordeling van het informatiebeveiligingsbeleid

6

Organiseren van informatiebeveiliging

6

Organiseren van informatiebeveiliging

6.1

Interne organisatie

6.1

Interne organisatie

6.1.1

Bestuurlijke verankering

6.1.1.

Betrokkenheid van de directie bij informatiebeveiliging

6.1.2

Coördinatie van de informatiebeveiliging

6.1.2

Coördinatie van de informatiebeveiliging

6.1.3

6.1.3

6.1.4

Toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging Goedkeuring van middelen voor de informatievoorziening

6.1.4

Toewijzing en vastlegging van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor IT-‐voorzieningen

6.1.5

Geheimhoudingsovereenkomst

6.1.5

Contact met officiële instanties

6.1.6

Contact met overheidsinstanties

6.1.6

Samenwerking bij informatiebeveiliging

6.1.7

Contact met speciale belangengroepen

6.1.7

Onafhankelijke beoordeling van informatiebeveiliging

7.1.8

Onafhankelijke beoordeling van informatiebeveiliging

6.2

Externe partijen

6.2

Externe partijen

6.2.1

Identificeren van risico's bij betrokkenheid van externe partijen

6.2.1

Identificatie van risico's die betrekking hebben op externe partijen

6.2.2

Beveiligingsvoorwaarden in contracten

6.2.2

Beveiliging behandelen in de omgang met klanten

6.2.3

Beveiliging behandelen in overeenkomsten met een derde partij

7

Beheer van middelen voor de informatievoorziening

7

Beheer van bedrijfsmiddelen

7.1

Verantwoordelijkheid voor de middelen

7.1

Verantwoordelijkheid voor bedrijfsmiddelen

7.1.1

Overzicht van de middelen

7.1.1

Inventarisatie van bedrijfsmiddelen

7.1.2

Verantwoordelijken voor de middelen

7.1.2

Eigendom van bedrijfsmiddelen

7.1.3

Aanvaardbaar gebruik van bedrijfsmiddelen

7.2

Classificatie van gegevens

7.2

Classificatie van informatie

7.2.1

Richtlijnen voor de classificatie

7.2.1

Richtlijnen voor classificatie

7.2.2

“Labelen” en behandelen van gegevens

7.2.2

Labeling en verwerking van informatie

8

Beveiligingseisen ten aanzien van personeel

8

Beveiliging van personeel

8.1

Beveiligingseisen bij het aannemen van personeel

8.1

Voorafgaand aan het dienstverband

8.1.1

Functies en verantwoordelijkheden

8.1.1

Rollen en verantwoordelijkheden

8.1.2

“Screening”

8.1.2

Screening

8.1.3

Arbeidscontract

8.1.3

Arbeidsvoorwaarden

8.1.4

Zwijgplicht en geheimhoudingsverklaring

8.2

Taakuitvoering

8.2

Tijdens het dienstverband

8.2.1

Verantwoordelijkheden van de leiding

8.2.1

Directieverantwoordelijkheid

8.2.2

Bewustwording, opleiding en training voor informatiebeveiliging

8.2.2

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

8.2.3

Disciplinaire maatregelen

8.2.3

Disciplinaire maatregelen

8.3

Einde van de aanstelling

8.3

Beëindiging of wijziging van dienstverband

8.3.1

Verantwoordelijkheden bij vertrek van medewerkers

8.3.1

Beëindiging van verantwoordelijkheden

8.3.2

Risico van toegang tot gegevens

Geborgen in risicomanagementproces


Pagina 62 van 69



8.3.3

Teruggeven van voorzieningen

8.3.2

Retournering van bedrijfsmiddelen

8.3.4

Intrekken van toegangsrechten

8.3.3

Blokkering van toegangsrechten

9

Fysieke beveiliging en beveiliging van de omgeving

9

Fysieke beveiliging en beveiliging van de omgeving

9.1

Beveiligde ruimten

9.1

Beveiligde ruimten

9.1.1

Fysieke beveiliging van de omgeving

9.1.1

Fysieke beveiliging van de omgeving

9.1.2

Fysieke toegangsbeveiliging

9.1.2

Fysieke toegangsbeveiliging

9.1.3

Beveiliging van kantoren, ruimten en voorzieningen

9.1.3

Beveiliging van kantoren, ruimten en faciliteiten

9.1.4

Werken in beveiligde ruimten

9.1.4

Bescherming tegen bedreigingen van buitenaf

9.1.5

Afzonderlijke ruimten voor laden en lossen van goederen

9.1.5

Werken in beveiligde ruimten

9.2

Beveiliging van apparatuur

9.1.6

Openbare toegang en gebieden voor laden en lossen

9.2.1

Het plaatsen en beveiligen van apparatuur

9.2

Beveiliging van apparatuur

9.2.3

Stroomvoorziening

9.2.1

Plaatsing en bescherming van apparatuur

9.2.4

Beveiliging van kabels

9.2.2

Nutsvoorzieningen

9.2.5

Onderhoud van apparatuur

9.2.3

Beveiliging van kabels

9.2.6

Veilig afvoeren en hergebruik van apparatuur

9.2.4

Onderhoud van apparatuur

9.3

Algemene beveiligingsmaatregelen

9.2.5

Beveiliging van apparatuur buiten het terrein

9.3.1

“Clear desk” en “clear screen policy”

9.2.6

Veilig verwijderen of hergebruiken van apparatuur

9.3.2

Meenemen of verzenden van bedrijfseigendommen

9.2.7

Verwijdering van bedrijfseigendommen

10

Operationeel beheer van informatie -‐ en communicatievoorzieningen

10

Beheer van communicatie-‐ en bedieningsprocessen

10.1

Bedieningsprocedures en verantwoordelijkheden

10.1

Bedieningsprocedures en verantwoordelijkheden

10.1.1

Gedocumenteerde bedieningsprocedures

10.1.1

Gedocumenteerde bedieningsprocedures

10.1.2

Beheer van wijzigingen

10.1.2

Wijzigingsbeheer

10.1.3

Functiescheiding

10.1.3

Functiescheiding

10.1.4

Scheiden van omgevingen

10.1.4

Scheiding van faciliteiten voor ontwikkeling, testen en productie

10.2

Uitbesteding

10.2

Beheer van de dienstverlening door een derde partij

10.2.1

Levering van diensten

10.2.1

Dienstverlening

10.2.2

Volgen en bewaken

10.2.2

Controle en beoordeling van dienstverlening door een derde partij

10.2.3

Aansturen van wijzigingen

10.2.3

Beheer van wijzigingen in dienstverlening door een derde partij

10.3

Systeemplanning en -‐acceptatie

10.3

Systeemplanning en -‐acceptatie

10.3.1

Capaciteitsbeheer

10.3.1

Capaciteitsbeheer

10.3.2

Systeemacceptatie

10.3.2

Systeemacceptatie

10.4

Bescherming tegen kwaadaardige programmatuur

10.4

Bescherming tegen virussen en ‘mobile code’

10.4.1

Maatregelen tegen kwaadaardige programmatuur

10.4.1

Maatregelen tegen virussen

10.5

“Back-‐up”

10.4.2

Maatregelen tegen ‘mobile code’

10.5.1

Reservekopieën

10.5

Back-‐up

10.6

Netwerkbeheer

10.5.1

Reservekopieën maken (back-‐ups)

10.6.1

Maatregelen voor netwerken

10.6

Beheer van netwerkbeveiliging

10.6.2

Beveiliging van netwerkdiensten

10.6.1

Maatregelen voor netwerken

10.7

Behandeling en beveiliging van media

10.6.2

Beveiliging van netwerkdiensten

10.7.1

Beheer van verwijderbare media

10.7

Behandeling van media

10.7.2

Afvoer van media

10.7.1

Beheer van verwijderbare media

10.7.3

Behandeling van media

10.7.2

Verwijdering van media

10.7.4

Beveiliging van systeemdocumentatie

10.7.3

Procedures voor de behandeling van informatie

10.8

Uitwisseling van gegevens

10.7.4

Beveiliging van systeemdocumentatie

10.8.1

Beleid voor gegevensuitwisseling

10.8

Uitwisseling van informatie

10.8.2

Overeenkomsten

10.8.1

Beleid en procedures voor informatie-‐uitwisseling

10.8.3

Beveiliging van media onderweg

10.8.2

Uitwisselingsovereenkomsten

10.8.4

Geautomatiseerde gegevensuitwisseling (tussen systemen)

10.8.3

Fysieke media die worden getransporteerd


Pagina 63 van 69



10.8.5

Elektronische communicatie (tussen personen)

10.8.4

Elektronisch berichtenuitwisseling

10.8.6

Transacties “online” (tussen personen en systemen)

10.8.5

Systemen voor bedrijfsinformatie

10.8.7

Kantoorsystemen

10.9

Diensten voor e-‐commerce

10.8.8

Publiek toegankelijke informatie

10.9.1

E-‐commerce

10.9.2

Onlinetransacties

10.9.3

Openbaar beschikbare informatie

10.10

Controle

10.10.1 Aanmaken audit-‐logbestanden

10.10.2 Controle van systeemgebruik

10.10.3 Bescherming van informatie in logbestanden

10.10.4 Logbestanden van administrators en operators

10.10.5 Registratie van storingen

10.10.6 Synchronisatie van systeemklokken

11

Toegangsbeveiliging

11

Toegangsbeveiliging

11.1

Eisen ten aanzien van toegangsbeveiliging

11.1

Bedrijfseisen ten aanzien van toegangsbeheersing

11.1.1

Beleid ten aanzien van toegangsbeveiliging

11.1.1

Toegangsbeleid

11.2

Identificatie en authenticatie

11.2

Beheer van toegangsrechten van gebruikers

11.2.1

Registratie van gebruikers

11.2.1

Registratie van gebruikers

11.2.2

Gebruikersidentificatie

11.2.2

Beheer van speciale bevoegdheden

11.2.3

Keuze van authenticatiewijze

11.2.3

Beheer van gebruikerswachtwoorden

11.2.4

Beheer van identificatie-‐/authenticatiesystemen

11.2.4

Beoordeling van toegangsrechten van gebruikers

11.2.5

Inlogprocedures

11.3

Verantwoordelijkheden van gebruikers

11.2.6

Gebruik van wachtwoorden en authenticatiemiddelen

11.3.1

Gebruik van wachtwoorden

11.2.7

Identificatie van apparatuur

11.3.2

Onbeheerde gebruikersapparatuur

11.2.8

Authenticatie van apparatuur via netwerkverbindingen

11.3.3

‘Clear desk’-‐ en ‘clear screen’-‐beleid

11.2.9

Onbeheerde gebruikersapparatuur

11.4

Toegangsbeheersing voor netwerken

11.2.10 “Time-‐out” voor werkstations

11.4.1

Beleid ten aanzien van het gebruik van netwerkdiensten

11.2

Autorisatie en toegangscontrole

11.4.2

Authenticatie van gebruikers bij externe verbindingen

11.3.1

Autorisatieregels

11.4.3

Identificatie van netwerkapparatuur

11.3.2

Autorisatieproces

11.4.4

Bescherming op afstand van poorten voor diagnose en configuratie

11.3.3

Toegang tot gegevens en systemen

11.4.5

Scheiding van netwerken

11.3.4

Bijzondere bevoegdheden en systeemhulpmiddelen

11.4.6

Beheersmaatregelen voor netwerkverbindingen

11.3.5

Controle op toegangsrechten

11.4.7

Beheersmaatregelen voor netwerkroutering

11.4

Toegangsbeveiliging voor netwerken

11.5

Toegangsbeveiliging voor besturingssystemen

11.4.1

Beleid ten aanzien van het gebruik van netwerkdiensten

11.5.1

Beveiligde inlogprocedures

11.4.2

Scheiding in netwerken

11.5.2

Gebruikersidentificatie en -‐authenticatie

11.4.3

Beheer van netwerkverbindingen

11.5.3

Systemen voor wachtwoordbeheer

11.4.4

Systeemconfiguratie en -‐diagnose op afstand

11.5.4

Gebruik van systeemhulpmiddelen

11.5

Mobiele computers en telewerken

11.5.5

Time-‐out van sessies

11.5.1

Mobiele computers

11.5.6

Beperking van verbindingstijd

11.5.2

Telewerken

11.6

Toegangsbeheersing voor toepassingen en informatie

11.6.1

Beperken van toegang tot informatie

11.6.2

Isoleren van gevoelige systemen

11.7

Draagbare computers en telewerken

11.7.1

Draagbare computers en communicatievoorzieningen

11.7.2

Telewerken

12

Aanschaf, ontwikkeling en onderhoud van informatiesystemen

12

Verwerving, ontwikkeling en onderhoud van informatiesystemen


Pagina 64 van 69



12.1

Beveiligingseisen voor systemen

12.1

Beveiligingseisen voor informatiesystemen

12.1.1

Analyse en specificatie van beveiligingseisen

12.1.1

Analyse en specificatie van beveiligingseisen

12.2

Beveiliging in toepassingssystemen

12.2

Correcte verwerking in toepassingen

12.2.1

Validatie van invoergegevens

12.2.1

Validatie van invoergegevens

12.2.2

Validatie van de interne gegevensverwerking

12.2.2

Beheersing van interne gegevensverwerking

12.2.3

Validatie van uitvoergegevens

12.2.3

Integriteit van berichten

12.2.4

Authenticatie van berichten

12.2.4

Validatie van uitvoergegevens

12.3

Cryptografische beveiliging

12.3

Cryptografische beheersmaatregelen

12.3.1

Beleid ten aanzien van het gebruik van cryptografie

12.3.1

Beleid voor het gebruik van cryptografische beheersmaatregelen

12.4

Beveiliging van systeembestanden

12.3.2

Sleutelbeheer

12.4.1

Beheersing van operationele programmatuur

12.4

Beveiliging van systeembestanden

12.4.2

Beveiliging van toetsgegevens

12.4.1

Beheersing van operationele programmatuur

12.4.3

Toegangsbeveiliging tot bronbestanden voor programmatuur

12.4.2

Bescherming van testdata

12.5

Beveiliging bij ontwikkel -‐ en ondersteuningsprocessen

12.4.3

Toegangsbeheersing voor broncode van programmatuur

12.5.1

Procedures voor het beheer van wijzigingen

12.5

Beveiliging bij ontwikkelings-‐ en ondersteuningsprocessen

12.5.2

Controle naar aanleiding van wijzigingen in het besturingssysteem

12.5.1

Procedures voor wijzigingsbeheer

12.5.3

Restricties op wijzigingen in programmatuurpakketten

12.5.2

12.5.4

Verborgen communicatiekanalen

12.5.3

Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem Restricties op wijzigingen in programmatuurpakketten

12.5.5

Uitbestede ontwikkeling van programmatuur

12.5.4. Uitlekken van informatie

12.5.5

Uitbestede ontwikkeling van programmatuur

12.6

Beheer van technische kwetsbaarheden

12.6.1

Beheersing van technische kwetsbaarheden

13

Continuïteitsbeheer

14

Bedrijfscontinuïteitsbeheer

13.1.1

Het proces van continuïteitsbeheer

14.1.1

13.1.2

Bepaling van de continuïteitsstrategie

14.1.2

Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer Bedrijfscontinuïteit en risicobeoordeling

13.1.3

14.1.3

13.1.4

Ontwikkelen en implementeren van continuïteitsvoorzieningen en -‐ plannen Structuur voor continuïteitsplannen

14.1.4

Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging Kader voor de bedrijfscontinuïteitsplanning

13.1.5

Toetsen, bijwerken en evalueren van continuïteitsplannen

14.1.5

Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen

14

Naleving

15

Naleving

14.1.1

Specificatie van relevante wetgeving

15.1.1

Identificatie van toepasselijke wetgeving

14.1.2

Intellectueel eigendom

15.1.2

Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)

14.1.3

Beveiliging van bedrijfsdocumenten

15.1.3

Bescherming van bedrijfsdocumenten

14.1.4

Bescherming van persoonsgegevens

15.1.4

Bescherming van gegevens en geheimhouding van persoonsgegevens

14.1.5

Voorkomen van misbruik van voorzieningen

15.1.5

Voorkomen van misbruik van IT-‐voorzieningen

14.1.6

Voorschriften betreffende cryptografie

15.1.6

14.2

15.2

14.2.1

Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten Naleving beveiligingsbeleid

Voorschriften voor het gebruik van cryptografische beheersmaatregelen Naleving van beveiligingsbeleid en -‐normen en technische naleving

15.2.1

Naleving van beveiligingsbeleid en -‐normen

14.2.2

Controle op naleving van technische normen

15.2.2

Controle op technische naleving

14.3

Systeemaudits

15.3

Overwegingen bij audits van informatiesystemen

14.3.1

Beveiligingsmaatregelen bij systeemaudits

15.3.1

Beheersmaatregelen voor audits van informatiesystemen

14.3.2

Beveiliging van hulpmiddelen voor systeemaudits

15.3.2

Bescherming van hulpmiddelen voor audits van informatiesystemen

15

Beveiligingsincidenten

13

Beheer van informatiebeveiligingsincidenten

13.1

14.1

Aspecten van continuïteitsbeheer

14.1

Naleving van de wettelijke voorschriften

15.1


Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer

Naleving van wettelijke voorschriften

Pagina 65 van 69



15.1

Bewaking

13.1

15.1.1

Vastleggen van beveiligingsrelevante activiteiten

13.1.1

Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken Rapportage van informatiebeveiligingsgebeurtenissen

15.1.2

Bewaken van systeemgebruik

13.1.2

Rapportage van zwakke plekken in de beveiliging

15.1.3

Logboek

13.2

Beheer van informatiebeveiligingsincidenten en -‐verbeteringen

15.1.4

Storingen

13.2.1

Verantwoordelijkheden en procedures

15.1.5

Synchronisatie van systeemklokken

13.2.2

Leren van informatiebeveiligingsincidenten

15.1.6

Verzamelen van bewijsmateriaal

13.2.3

Verzamelen van bewijsmateriaal

15.2

Melden van incidenten en zwakke plekken

15.2.1

Het rapporteren van beveiligingsincidenten

15.2.2

Het rapporteren van zwakke plekken in de beveiliging

15.3

Afhandeling en verbeteringen na incidenten

15.3.1

Verantwoordelijkheden en procedures

15.3.2

Lering trekken uit incidenten


Pagina 66 van 69



14. Bijlage C, NVZ start-‐ en vervolg normen en het GBZ Onderstaande informatie is beschikbaar gesteld door de NVZ. NEN 7510 – startnormen Voor het kunnen ondertekenen van de GBZ verklaring moet men aan een aantal minimale eisen voldoen. Onderdeel van de GBZ eis is de NEN 7510. Maar de norm bestaat uit meer dan 650 items en als je ze zuiver leest dan ben je voorlopig wel een paar jaar en een paar miljoen kwijt aan de realisering. Prachtig natuurlijk maar ook praktisch niet uitvoerbaar. Uiterste consequentie zou zijn dat een ziekenhuis niet aan kan sluiten op het LSP. Daarom is het goed om een set aan gegevens uit de NEN 7510 naar voren te halen waarmee vastgesteld kan worden dat men in voldoende mate voldoet en blijft voldoen aan dit onderdeel van de GBZ eis. De NEN-‐norm moet niet gezien worden als een berg die alleen door de meest gefortuneerde en getrainde mensen gehaald kan worden maar als een wandeling in heuvelachtig terrein die iedereen met een beetje conditie en wat tijd kan afleggen. Daarom hieronder een voorstel van punten die ingevuld moeten zijn om als start te kunnen zeggen dat men voldoet aan dit deel van de GBZ eis. NEN 7510 is in eerste instantie een proces van informatiebeveiliging. Informatiebeveiliging is een doorlopend iets waarbij men jaar in jaar uit aandacht heeft voor het onderwerp, verbeteringen doorvoert en bij herhaling controleert, informeert, evalueert en stappen zet. GBZ – NEN -‐ startnorm Er is een aangewezen persoon/afdeling die belast is met de informatiebeveiliging (b.v kwaliteitsfunctionaris). De instelling heeft een risicoanalyse uitgevoerd (laten uitvoeren). Als instrument kan men ook de NVZ monitor NEN 7510 gebruiken en deze invullen, ook bijzonder goed voor het bijhouden en aantoonbaar maken van de voortgang door de jaren heen en de stand ten opzichte van collega ziekenhuizen. Op basis van risicoanalyse, norm en mogelijkheden is er een beleidsplan informatiebeveiliging gemaakt. Daarin staan de plannen voor de komende drie jaar in inhoud en tijd uitgewerkt. Op basis van beleidsplan worden de hoog risico punten in het eerste jaar in uitvoering genomen. De volgende punten dienen in ieder geval goed ingevuld te zijn:  Backup routine is in orde.  Beschikbaarheid en snelheid van systemen gegarandeerd voor 99,5%.  Firewall inclusief onderhoud.  Actuele virusscanner.  Technische achterdeuren zijn gesloten (huur een hacker).  Geen onbeveiligde toegang tot systemen.  Ruimtes voldoen aan eisen (brand, stroom enz).  Autorisatie van personen die toegang mogen hebben tot de gegevens is op orde.  Wijzigingen wachtwoorden minimaal 1 x per 26 weken, blokkeer ww na x keer proberen.  Restore procedure hoofdsystemen wordt minimaal 1 x per 2 jaar getest en gedocumenteerd (plan dit met je leverancier).  Bewustwording personeel is opgestart, is onder de aandacht van ieder personeelslid  (gebruik pakket NVZ en schaf evt. diensten erbij aan).


Pagina 67 van 69



 Indien u gegevens on-‐line beschikbaar stelt aan derden dient beveiliging en  verantwoordelijkheid voldoende geregeld te zijn. Vervolg -‐ Instemming VWS √ -‐ Enquête ziekenhuizen √ -‐ Afstemming IGZ √ -‐ Instemming Nictiz GBZ-‐NEN startnorm √ -‐ Aanschaf campagne bewustwording ziekenhuispersoneel door NVZ √ NEN 7510 -‐ Vervolgnormen 2010 Voor 2009 heeft de NVZ vereniging van ziekenhuizen (NVZ) startnormen NEN 7510 opgesteld als hulpmiddel bij het bepalen van de prioriteit t.b.v. informatiebeveiliging. Veel ziekenhuizen hebben aangegeven dat zij een voortzetting van een dergelijke overzichtelijke lijst met aanbevelingen gewenst vinden. Onderstaande lijst is tot stand gekomen in overleg met een aantal ziekenhuizen, adviseurs NEN 7510 en IGZ en heeft de instemming van VWS en Nictiz. Deze lijst sluit aan op de lijst ‘startnormen NEN 7510’ en moet gehanteerd worden als voortzetting op die lijst. Indertijd was de norm nog een vereiste vanuit de GBZ eisen, nu is het een eis op basis van de wet BSN in de Zorg. U dient de lijst te gebruiken uitgaande van een goede kennis van de NEN 7510 en deze in redelijkheid op uw organisatie toe te passen.  De zaken in het plan informatiebeveiliging zoals opgesteld en gerapporteerd aan de inspectie in 2008/2009 zijn of worden conform planning opgepakt, kijk uw plan hierop na!  Verantwoordelijkheid informatiebeveiliging binnen RvB is belegd en uitgewerkt naar de organisatie.  Awareness opstartcampagne is afgerond in 2010.  Voortzetting awareness personeel, o.a. met breder terugkoppeling van gevonden tekortkomingen, b.v. vanuit de meldingen of vanuit een mystery guest,  Er is een procedure vastgesteld voor het melden van beveiligingsincidenten, deze is geïmplementeerd en in werking en de organisatie weet dat zij beveiligingsincidenten moet melden.  In het arbeidscontract (of CAO)/Inhuurovereenkomsten is de verantwoordelijkheid van de werknemer op het gebied van informatiebeveiliging vastgelegd, iedereen die nieuw in dienst komt (ook tijdelijk) wordt hiervan op de hoogte gesteld.  Autorisatie van personen wordt zo nodig verder verfijnd, gestreefd moet worden naar volledige afschaffing van groepsaccounts voor alle functies waar privacy gevoelige informatie wordt gebruikt (dit is niet altijd overal haalbaar).  Niet gebruikte systemen dienen nooit onbeheerd achtergelaten te worden, systeem locken.  Ethische hack met gangbare technieken laten uitvoeren vanuit de ‘buitenwereld’ waaronder een thuiswerker.  Voorbereiding van realisering van tweede MER, te gebruiken als uitwijkcentrum voor alle vitale ICT toepassingen van de instelling. Uiterlijke realisering in 2011.  Er is een proces van calamiteitenbeheer (combinatie van preventieve en herstelmaatregelen) geïmplementeerd om verstoring als gevolg van calamiteiten en beveiligingsincidenten tot een aanvaardbaar niveau te beperken. Restore procedure van vitale ICT zoals ZIS, EPD, Laboratoria e.d. is geoefend en draaiboeken opgesteld.  De verantwoordelijkheden en de procedures zijn vastgelegd waardoor er voldoende controle is op alle wijzigingen aan apparatuur, programmatuur en procedures.


Pagina 68 van 69





Audit informatiebeveiliging (door betrouwbare externe partij) laten uitvoeren en rapportage aan inspectie opsturen. De betrouwbare derde partij kan niet de eigen accountant zijn of de opsteller van de eerdere risicoanalyse, juist de onafhankelijke blik heeft een meerwaarde in de rapportage.


Pagina 69 van 69

Privacy- en informatiebeveiliging voor de zorg en de NEN 7510

Recommend Documents