Toetsingskader Informatieveiligheid in de Zorg Handleiding & Toetsingscriteria

Transcriptie

1 Toetsingskader Informatieveiligheid in de Zorg Handleiding & Toetsingscriteria Inhoud Voorwoord Doelstelling Opzet van de toetsingscriteria Gebruik van de toetsingscriteria Organisatie van een informatieveiligheidsaudit Uitvoering van een informatieveiligheidsaudit Gebruik van de BMTool Gebruikte afkortingen Bijlage A: Toetsingscriteria...i Bijlage B: Handreiking, verdieping en selectief gebruik...i Bijlage C: Documentatie en bewijsmateriaal...i Bijlage D: Wet- en regelgeving... iii Bijlage E: Interne en externe uitbesteding... ix Bijlage F: Eisen aan de assessor / auditor... xii Bijlage G: Projectorganisatie NIAZ/NOREA... xiii versie datum auteurs Bijzonderheden V0a nh+tk Toelichting uitgangspunten V nh+eva Toelichting hoofdstuk 4 en risicoanalyse en -beoordeling V tk Concept integrale toelichting V tk Ingekort; bijlage D wet- en regelgeving en E uitbesteding ingevoegd V tk e.a. Commentaren t/m Norea verwerkt V5a jb Commentaar VC NOREA verwerkt V5b jwj e.a. Taalkundig geredigeerd Beta nh+pk Afspraken met NNI (NEN) verwerkt T I. (NIAZ/NOREA) Toetsingskader Informatieveiligheid in de Zorg notice. Dit toetsingskader is een uitgave van NIAZ en NOREA. De auteursrechten hierop komen uitsluitend toe aan NIAZ en NOREA. Voor gebruik van teksten en/of normelementen uit de NEN7510:2011 is toestemming verkregen van het Nederlands Normalisatie instituut (NEN). Zie hierover T II. NIAZ/NOREA stelt het toetsingskader kosteloos en aan een ieder ter beschikking onder de Creative Commons licentie Naamsvermelding-NietCommercieel-GeenAfgeleideWerken 3.0 ( commons.org/licenses/by-nc-nd/3.0/nl/legalcode) : 1

2 Gebruiker is verplicht NIAZ/NOREA te noemen bij (verdere) openbaarmaking en verveelvoudiging van het toetsingskader; Gebruiker mag het toetsingskader zelf niet commercieel gebruiken of doorverkopen; betaalde sub-licentie is niet toegestaan; Gebruiker mag zonder toestemming van NIAZ/NOREA geen wijzigingen aanbrengen of afgeleide werken maken. Aanvullend geldt als licentie voorwaarde: Gebruiker is bij gebruik van het toetsingskader verplicht een afdoende licentie van NNI (NEN) te hebben op (openbaarmaking en verveelvoudiging van) de NEN 7510:2011; Het niet voldoen aan de hiervoor opgenomen licentievoorwaarden levert een inbreuk op auteursrecht op. T II. (NIAZ/NOREA en NNI (NEN) NEN7510:2011 notice. NEN 7510 en andere NEN normen zijn auteursrechtelijk beschermd. Het Toetsingskader Informatieveiligheid in de Zorg is gebaseerd op de NEN 7510:2011 naast andere relevante regelgeving. Met klem zij vermeld dat het Toetsingskader Informatieveiligheid in de Zorg deze norm (en gerelateerde normen, zoals de NEN 7512 en NEN 7513) niet vervangt. Het Toetsingskader Informatieveiligheid in de Zorg is een toepassingshandleiding voor NEN 7510 voor de zorginstellingen. NEN 7510 en gerelateerde normen zoals NEN 7512 en NEN 7513 beschrijven details voor implementatie en eisen wat betreft de procesinrichting. Die documenten dienen naast het Toetsingskader Informatieveiligheid in de Zorg te worden gebruikt. 2

3 Voorwoord De zorginstellingen staan de komende jaren voor de uitdaging om de informatieveiligheid op een steeds hoger niveau te brengen, dit niveau te borgen, voor continue verbetering te zorgen en de verbeteringen voor de patiënten, verwijzers en toezichthouders transparant te maken. De NEN7510 is de norm voor informatiebeveiliging in de zorg in Nederland. De in september 2011 vernieuwde NEN7510 integreert in één document drie internationale normen: de ISO die gaat over de inrichting en instandhouding van een information security management system, de ISO27002 die de bijbehorende beheersmaatregelen behandelt en de ISO die aanvullende beheersmaatregelen voor zorginstellingen aanreikt. Al tijdens de revisie van de NEN7510 door het Nederlands normalisatie instituut en de voorbereiding en uitvoering van informatiebeveiligingsaudits in de Nederlandse ziekenhuizen in opdracht van de inspectie gezondheidszorg (IGZ), bleek dat ziekenhuizen en auditoren behoefte hadden aan een landelijk toetsingskader met objectieve en open toetsingscriteria. Aan de hand van zo n kader zouden invoering en naleving van de NEN7510 in de instellingen zowel intern als door onafhankelijke derden getoetst moeten kunnen worden, waarna een instelling desgewenst geaccrediteerd of gecertificeerd zou kunnen worden. Het te ontwikkelen toetsingskader zou de informatieveiligheid en de patiëntveiligheid in de zorg helpen bevorderen en tegelijk naleving kunnen aantonen. Voor dit traject heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) begin 2010 de eerste stap gezet met een landelijk toetsingsreglement dat gebruikt is bij de uitvoering van de audits in 2010, de rapportage en de beoordeling door de IGZ. Al eerder bestond behoefte om op basis van objectieve toetsingsresultaten te kunnen benchmarken en om kennis en ervaring op het gebied van informatieveiligheid te kunnen delen. De universitaire medische centra (UMCs) introduceerden voor dit doel in 2004 de z.g. UMC-monitor. Eind 2010 is deze opgevolgd door de CIO benchmarktool voor informatiebeveiliging in profit- en non-profitorganisaties waaronder de zorg. Binnen dit werkveld hebben NIAZ en NOREA met als werktitel ZekereZorg3 het initiatief genomen om aansluitend op de NEN7510 een landelijk toetsingskader te ontwikkelen met objectieve toetsingscriteria voor informatieveiligheid in de zorg. NFU en NVZ hebben later bij deze ontwikkeling aangehaakt. De NEN7510:2011 is ook van toepassing op informatieverwerkende medische en medisch ondersteunende apparatuur. Dit werkgebied is bij de uitwerking meegenomen. Met dit toetsingskader, bestaande uit deze handleiding en de bijbehorende toetsingscriteria willen de deelnemers bijdragen aan het systematisch verbeteren van de informatieveiligheid in zorginstellingen. Informatie is veilig als deze op het juiste moment voor de juiste persoon beschikbaar is, integer (d.w.z. betrouwbaar is) en vertrouwelijk behandeld wordt. Informatie beveiligen is het middel, verbeteren van de veiligheid en kwaliteit van zorg is het hogere doel. De inspectie gezondheidszorg heeft aan NFU en NVZ laten weten dat, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmark-tool, zij het toezicht daarop zal afstemmen en bijvoorbeeld steekproefsgewijs zal toetsen 1. De volgende uitdaging wordt, rekening houdend met in komende landelijke en Europese wetgeving, dit toetsingskader aan te vullen en te verbreden met de privacybescherming. Informatiebeveiliging legt daar de basis voor maar privacybescherming gaat aanzienlijk verder, zeker gezien wat de komende jaren met betrekking tot gegevensuitwisseling en ketenzorg van de zorg verwacht wordt. 1 Zie brief IGZ aan NFU en NVZ dd. 25 april

4 1. Doelstelling Het toetsingskader ondersteunt het toetsen van en rapporteren over de kwaliteit van de informatieveiligheid van zorginstellingen. Door dit consistent en over een langere periode te doen kunnen instellingen continue verbetering op het gebied van de informatieveiligheid bewerkstelligen. Het toetsingskader: - is voor verschillende doeleinden te gebruiken en ondersteunt verschillende onderzoeksvormen, zelfevaluatie (self-assessment) en onafhankelijke audits door derden in de care, cure en GGZ; - bevordert uniforme handzame, bruikbare rapportages die de opvolging van tekortkomingen en verbeterpunten kunnen ondersteunen; - draagt zodoende bij de (informatie)veiligheid in de instelling te vergroten en compliancy met NEN7510 aan te tonen; - vormt, in geval van een voldoende verklaring / assurance, een basis voor verdere accreditatie of certificering; - maakt het mogelijk bevindingen en scores te gebruiken voor benchmarking; - maakt het mogelijk met bevindingen, tekortkomingen, verbeteringen en scores van opeenvolgende audits in de tijd gezet, ontwikkeling en verbetering op het gebied van informatieveiligheid aan te tonen. De toetsingscriteria zijn een hulpmiddel en: - volgen opzet en structuur van de NEN7510:2011 en sluiten daarmee aan op internationale normen, standaarden en ontwikkelingen; - gaan uit van risicomanagement (ISO 27001) als basis voor het nemen van beveiligingsmaatregelen (ISO en ISO 27799); - vullen aan en verdiepen de informatieveiligheid in het zorgproces met in het verlengde de patiëntveiligheid; - zijn binnen de instelling bruikbaar voor en door verschillende doelgroepen, zodat ieder het eigen aandeel in de informatiebeveiliging kan uitvoeren en bewaken; - zijn te gebruiken in situaties waar zorginstellingen overeenkomsten willen sluiten met derden, bijvoorbeeld met leveranciers van software en hardware, ICT-diensten, netwerkdiensten, application providers en bewerkers van persoonsgegevens. Samenvattend, deze handleiding en de toetsingscriteria vormen een samenhangend stelsel ter bevordering van: - de informatieveiligheid in zorginstellingen en de (continue) verbetering daarvan; - een zorgvuldige uitvoering van diverse toetsen; - consistentie in de toepassing van toetsingscriteria en onderzoeksrapportages. 2. Opzet van de toetsingscriteria Norm als basis De norm voor informatiebeveiliging in de zorg vormt uitgangspunt. De norm geeft aan wat moet en wat behoort. Het overzicht met de beheersmaatregelen en toetsingscriteria (bijlage A) vermeldt van elk normelement de titel en de beheersmaatregel. De volledige normtekst 2 bevat, aanvullend op de beheersmaatregelen, aandachtspunten en aanbevelingen voor de implementatie en overige informatie. Toetsingscriteria De toetsingscriteria sluiten direct aan op de norm en zijn bedoeld als hulpmiddel om door middel van onderzoek (variërend van zelfevaluatie tot onafhankelijke externe audit): - de inrichting en werking van het information security management system (ISMS) te toetsen; - de stand van zaken m.b.t. de implementatie van de beveiligingsmaatregelen te beoordelen; 2 NEN7510:2011 Informatiebeveiliging in de zorg (NEN oktober 2011), 4

5 - de uitvoering en naleving van de beveiligingsmaatregelen te toetsen. De beheersmaatregelen geven aan wat moet of behoort en nog moet worden uitgevoerd en hebben betrekking op de plan-fase in de PDCA-cyclus. De toetsingscriteria beschrijven het waarneembare resultaat van de uitvoering (de do-fase) dat intern of onafhankelijk beoordeeld kan worden (check) wordt en daarna verder kan worden verbeterd (act). Voor alle normelementen zijn volgens een vast format toetsingscriteria uitgeschreven. Tabel 1: opzet toetsingscriteria Normelement toetsingscriteria / audit-objecten Bewijsmateriaal bevindingen score NEN7510 Eén tot zeven criteria per normelement Gesprekken observaties, Vrije tekst van de 1-4 Met als basisstructuur: actor + handeling + resultaat documenten, assessor / auditor of n.v.t. + evt. handreiking (algemeen en med.apparatuur) technische maatregelen. + evt. verdieping voor werkplekbezoeken / observaties Het is de verantwoordelijkheid van het management van de zorginstelling om zorg te dragen voor de implementatie van een gedocumenteerd en deugdelijk stelsel van beveiligingsmaatregelen dat is toegesneden op de bedrijfsvoering en informatieverwerking van de zorginstelling. Het is de verantwoordelijkheid van de onderzoeker om voldoende werkzaamheden (bijvoorbeeld kennisname van documentatie, gesprekken, observaties en eigen waarnemingen en toetsing van technische beveiligingsmaatregelen) uit te voeren ter onderbouwing van zijn onderzoek. De toetsingscriteria geven de onderzoeker een beschrijving van de te onderzoeken onderwerpen, vaak aan de hand van meerdere toetsingscriteria per normelement, op basis waarvan de onderzoeker zijn conclusie, bevindingen en/of aanbevelingen in een rapportage kan baseren. Overlap De integratie van een informatieveiligheidsmanagementsysteem en van informatiebeveiligingsmaatregelen in één norm met daarop aansluitend één reeks toetsingscriteria geeft soms de indruk van doublures. Bij nauwkeurig lezen blijken pas verschillen. Ook zijn toetsingscriteria vergelijkbaar geformuleerd; dat kan ook de indruk wekken van een doublure, hoewel het kernwoord dan verschilt. Bepaalde veiligheidsmaatregelen zijn vergelijkbaar of overlappen elkaar. Hoofdstuk 15, dat betrekking heeft op naleving, grijpt veelvuldig terug op eerdere normelementen en toetsingscriteria. Tenslotte worden in één document, gesprek of observatie vaak meerdere normelementen geadresseerd. Deze ogenschijnlijke doublures en functionele overlapping in de norm en toetsingscriteria maken de beoordeling voor intern betrokken stafmedewerkers en interne en onafhankelijke auditoren er niet eenvoudiger op.. Periodiek De toetsingscriteria stellen regelmatig dat de organisatie periodiek een bepaalde actie uitvoert. Deze formulering is gekozen om de instelling enige ruimte te geven, maar ook de verplichting om aan de auditor uit te leggen welke frequentie de instelling hanteert om het beoogde resultaat te kunnen leveren. Handreikingen en verdieping Voor een deel van de normelementen zijn de toetsingscriteria direct duidelijk. Voor een deel wordt onder de kop handreiking en verdieping achtergrondinformatie gegeven om eventuele misverstanden bij het interpreteren te voorkomen. Voor de normelementen die van toepassing zijn op informatieverwerkende medische apparatuur wordt aanvullende toelichting meegegeven. Voor een aantal normelementen worden onder de noemer aanvulling patiënt- en informatieveiligheid extra aandachtspunten meegegeven om te gebruiken bij werkplekbezoeken of zelfevaluatie door het werkplekmanagement in de instelling. Handreiking en verdieping zijn te vinden in bijlage B. Bewijsmateriaal 5

6 Naast de toetsingscriteria worden in de kolom blijkt uit voorbeelden gegeven van bewijsmateriaal waarnaar de auditor kan vragen of dat via observatie kan worden vastgesteld. Een overzicht is te vinden in bijlage C Scoringsmethodiek De onderzoeker gebruikt de toetsingscriteria en bevindingen om een conclusie of oordeel te kunnen geven. Het oordeel kan mede in een cijfer worden uitgedrukt; de toe te passen scoringsmethodiek gaat uit van een 4-puntschaal (zie tabel 2). De eerste kolom in tabel 2 toont de PDCA-scoringsmethodiek 3 die bij de landelijke audits is toegepast. Een vergelijkbare methodiek gaat uit van volwassenheidsniveaus (maturity levels). Deze methodiek, het capability maturity model (CMM) wordt in de BMTool en in de zorg (IZEP, COMPAZ) toegepast en gaat uit van een 5-puntsschaal. De omschrijving van de volwassenheidsniveaus is in de tweede kolom weergeven. Op de schaal van 1 tot en met 4 levert scoren aan de hand van maturitylevels vergelijkbare waarden als scoren met de PDCA-scoringsmethodiek. Maturity-level 5 (vooruitstrevend) wordt in de praktijk vrijwel nooit gerealiseerd; gebruik van de volledige 5-punts-schaal bood geen toegevoegde waarde. In de audit-wereld wordt met de begrippen: opzet, bestaan, werking en doeltreffendheid ook een 4- puntsschaal gebruikt die spoort met de twee voorgaande methodieken. Voor zelfevaluatie zijn alle methodieken bruikbaar. Wanneer bij een audit de ene methode in een bepaalde situatie niet voldoende uitsluitsel geeft, lukt dat met de andere dat vaak wel. Een Register Edp-auditor is te allen tijde verplicht opvolging te geven aan de vigerende richtlijnen van de NOREA. Deze richtlijnen hebben betrekking op het doel en de aard van het onderzoek of audit, de reikwijdte, diepgang van werkzaamheden en rapportage. Het staat de EDP Auditor evenwel vrij om bijvoorbeeld naast de verplichte toepassing van de richtlijn Assurance opdrachten zijn oordeel ook te weer te geven in een score afgeleid uit onderstaande tabel. Tabel 2: Wijze van scoren score PDCA cyclus CMM volwassenheidsniveau EDP-auditing n.v.t. Het onderwerp is niet van toepassing (gemotiveerd / onderbouwd). n.v.t. 1 Plan: Er zijn afspraken maar deze zijn (nog) niet vastgelegd of afspraken zijn vastgelegd maar de implementatie ervan is slechts beperkt uitgevoerd. 2 Do: Afspraken zijn vastgelegd en de implementatie ervan is grotendeels uitgevoerd. 3 Check & Act: Uitvoering en naleving van de vastgelegde afspraken zijn eenmalig geëvalueerd en waar nodig zijn de plannen bijgesteld. 4 Control: Uitvoering en naleving van de vastgelegde afspraken zijn periodiek geëvalueerd, doeltreffend gebleken, geborgd en worden indien nog nodig bijgesteld Ontkennend (initial) Problemen worden pas opgelost als ze zich stellen (ad-hoc). Het niveau dat iedere organisatie aankan. Reactief (repeatable) Het niveau waarbij de organisatie zover is geprofessionaliseerd (bijvoorbeeld door het invoeren van projectmanagement) dat bij het ontwikkelproces gebruik wordt gemaakt van de kennis die eerder is opgedaan. Beslissingen worden genomen op basis van ervaring. Bureaucratisch (defined) Het niveau waarbij de belangrijkste processen zijn gestandaardiseerd. Proactief (managed) Het niveau waarbij de kwaliteit van het ontwikkelproces wordt gemeten zodat het kan worden bijgestuurd. Opzet Bestaan Werking Doeltreffendheid 3 In gebruik bij NIAZ 6

7 3. Gebruik van de toetsingscriteria Integrale veiligheid Integrale veiligheid in de zorg omvat de veiligheidsgebieden patiëntveiligheid, medewerkerveiligheid fysieke veiligheid en informatieveiligheid. De veiligheidsmanagementsystemen (VMS-sen) in de vier gebieden zijn gebaseerd op risicomanagement en qua opzet vergelijkbaar. De NEN7510:2011 combineert in één document zowel opzet, inrichting en werking van het ISMS als de veiligheidsmaatregelen om de informatievoorziening te beveiligen. De combinatie van norm + toetsingkader maakt het mogelijk objectief vast te stellen dat een instelling: - veilig met informatie omgaat en de kansen op en gevolgen van informatie-incidenten zo veel mogelijk weet te beperken en de veiligheid continue verbetert; - het ISMS heeft geïmplementeerd in lijn met hoofdstuk 4 NEN7510; - relevante beveiligingsmaatregelen heeft geïmplementeerd in lijn met hoofdstuk 5 t/m 15 NEN7510 en toeziet op de naleving; - met betrekking tot inrichting, instandhouding en continue verbetering van het ISMS een bepaald volwassenheidsniveau heeft bereikt. Op basis hiervan valt een uitspraak te doen over: de doeltreffendheid van het ISMS, de mate waarin informatie binnen de instelling veilig is (d.w.z. beschikbaar, integer en vertrouwelijk rekening houdend met classificatie) en de wijze waarop de directie in control is. Risicoanalyse en beveiligingsmaatregelen Risicoanalyse en -beoordeling vormen een essentieel onderdeel in elk VMS. Risicoanalyse en - beoordeling leveren de basis om proactief standaard maatregelen (baseline s) te bepalen en daar waar nodig op maat aanvullende maatregelen te nemen. Bij informatiebeveiliging speelt de classificatie van de informatie een belangrijke rol. Figuur 1: Information security management system Aan de hand van de NEN7510 kan de instelling op het gebied van informatieveiligheid structureel een risicoanalyse en -beoordeling uitvoeren 4. Het gaat kort gezegd om: - Identificeren van relevante informatieverwerkende processen, bijbehorende informatiestromen en bijbehorende middelen om informatie vast te leggen, te verwerken en op te slaan; - Bepalen van de waarde van de informatie c.q. de informatieverwerkende middelen en benoemt eventuele afhankelijkheden; - Identificeren van relevante bedreigingen en bijbehorende risico s voor de patiënt en/of de organisatie Identificeren relevante kwetsbaarheden en bijbehorende risico s; - Inventariseren van reeds genomen en nog te nemen beveiligingsmaatregelen; 4 Zie ook normtekst NEN7510 paragraaf 4.4.1; zie toetsingscriteria a. t/m d. 7

8 - Per bedreiging kwetsbaarheid beoordelen van de risico s met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid; - Per risico bepalen van de te volgen strategie: vermijden, accepteren, beperken, overdragen; - Bepalen van de beveiligingsmaatregelen die nodig zijn voor risicobehandeling; - Bepalen van de risicodekking van de reeds genomen maatregelen; - Bepalen van de (prioriteit van) de nog te nemen maatregelen om het restrisico tot het beoogde niveau te beperken; - Vastleggen van de beveiligingsdoelstellingen en de reeds genomen en nog te nemen beveiligingsmaatregelen in een informatiebeveiligingsbeleid en/of een plan van aanpak. De instelling legt op deze wijze beredeneerd verband tussen de uitkomsten van de risicoanalyse en -beoordeling en de reeds genomen en nog te nemen beveiligingsmaatregelen. Daarbij zal in het algemeen prioriteit gegeven worden aan implementatie van die maatregelen die de grootste bijdrage leveren aan het beperken van de grootste risico s. Door de uitkomsten van de risicoanalyse en beoordeling te koppelen aan de bevindingen vanuit de zelfevaluatie of de onafhankelijke audit met betrekking tot de uitvoering en naleving van die maatregelen, ontstaat inzicht in de mate waarin de instelling het beleid, de doelstellingen en het plan van aanpak op het gebied van informatieveiligheid heeft gerealiseerd en al in control is en in de tekortkomingen, aandachtspunten en verbeterpunten die een volgende periode aandacht vragen. Bij zelfevaluatie of een onafhankelijke audit zijn de aansluiting tussen opzet en inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen de eerste zaken die getoetst behoren te worden. Integratie met andere audits Zorginstellingen hebben te maken met uiteenlopende instellingsbrede audits (NIAZ, JCI, ISO, NTA, HKZ) die in algemene zin de kwaliteit en veiligheid toetsen. Daarnaast zijn er specifieke audits, zoals de NEN7510, die focussen op één aandachtsgebied. Vanuit de instelling gezien overlappen deze audits elkaar. Selectief gebruik De NEN7510:2011 is met 15 hoofdstukken, 151 normelementen en bijna 150 pagina s tekst en uitleg nogal omvangrijk. Van de normelementen hebben 18 betrekking op het eigenlijke informatieveiligheids-managementsysteem en 133 op de onderliggende beheermaatregelen. Het is zaak de toetsingscriteria doordacht en selectief te gebruiken. Wanneer geen volledige audit gewenst is kan, vergelijkbaar met de landelijke audit 2010 op basis van het toetsingsreglement van de NVZ, worden volstaan met z.g. zwaarwegende normelementen. Als zwaarwegend zijn geselecteerd: de normelementen die moeten (betrekking hebbend op het ISMS), de normelementen uit de landelijke audit 2010 en de normelementen met aanvulling vanuit de ISO specifiek bedoeld voor de zorg. De spreadsheetversie behorend (bijlage B) bevat selectiekolommen die het de auditor mogelijk maken op verschillende manieren voor deel-audits relevante toetsingscriteria te selecteren en om te bepalen welke partijen binnen de instelling voor een bepaald onderwerp kunnen worden bevraagd. Er is te selecteren op: - zwaarwegende normelementen; - soort: zorginstelling / zorgverlener (care, cure, GGZ); - marktpartij / leverancier waarmee overeenkomsten worden gesloten m.b.t.: software, hardware, ICT-onderhoudsdiensten, netwerkdiensten, application providers en gegevensbewerkers; - binnen de instelling naar betrokken stafafdelingen en diensten: directie, kwaliteit en veiligheid, HRM, patiëntenadministratie, facilitair, ICT /instrumentele dienst; de werkplekken binnen de zorg en daarbuiten; - relevantie voor informatieverwerkende medische en medisch ondersteunende apparatuur; - relevantie voor informatiegebruik in het zorgproces (patiëntveiligheid); - relevantie voor (jaarrekening)controles door de interne / externe accountant; - relevantie voor mogelijke audits op het gebied van privacybescherming (Wbp). 8

9 4. Organisatie van een informatieveiligheidsaudit Doel en resultaat Een informatieveiligheidsaudit heeft primair tot doel het: - beoordelen van het functioneren van het ISMS in de organisatie; - beoordelen van de kwaliteit en volledigheid van de risicoanalyse en beoordeling en de aansluiting daarvan op de beveiligingsmaatregelen; - beoordelen van de PDCA-cyclus en/of het volwassenheidniveau m.b.t. de beveiligingsmaatregelen; - beoordelen in welke mate de instelling (de raad van bestuur) in control is voor wat betreft beheersing en verbetering van de informatieveiligheid; - beoordelen in welke mate een veiligheidscultuur binnen de organisatie aanwezig is. Een onafhankelijk uitgevoerde audit kan onder bepaalden voorwaarden tot accreditering of certificering leiden. Werkvormen Afhankelijk van het doel en het beoogde resultaat van de audit zijn verschillende werkvormen mogelijk die elk door verschillende partijen en/of functionarissen kunnen worden uitgevoerd. Een audit is volledig uit te voeren, d.w.z voor de gehele instelling aan de hand van de volledige norm, of gedeeltelijk b.v. voor een deel van de instelling of een derde partij (leverancier / bewerker) of aan de hand van een deel van de norm. tabel 3: werkvormen Werkvorm Doel Uitvoering door Implementatie De toetsingscriteria kunnen door de instelling De zorginstelling worden gebruikt als leidraad / checklist Zelfevaluatie Self-assesment Onderzoek Bepalen stand van zaken en verbetering informatieveiligheid (volledig / gedeeltelijk) Managementreview op het ISMS Deelaudit in het kader van een algemene instellingsaudit Benchmarking (m.b.v. BMTool) ISO en FG 5 Stafmedewerkers en management Interne accountantsdienst Interne K&V-auditoren Auditoren uit andere zorginstellingen (peer to peer) Onderzoek Intern advies Extern advies Eigen medewerkers (zie boven) Onafhankelijke auditor / professional Interne audit Managementreview op het ISMS Interne accountantsdienst (eventueel met behulp van inhuur van externe deskundigheid) Accreditatie Periodiek accreditatie onderzoek NIAZ (eventueel met behulp van inhuur van externe deskundigheid) Assurance audit Externe assurance of certificering (kan tevens als basis dienen voor periodiek accreditatie onderzoek door NIAZ) Onafhankelijke Register EDP Auditor De zorginstelling doet er verstandig aan bij de opdrachtverlening duidelijke afspraken te maken over het doel van de audit, de scope, de diepgang van werkzaamheden en de rapportage. Tevens doet de zorginstelling er verstandig aan zich ervan rekenschap te geven dat een assuranceonderzoek meer diepgang van werkzaamheden met zich meebrengt (en dus tijdbesteding door de onderzoeker) dan een adviesopdracht (waarbij tevens de scope van de te onderzoeken onderwerpen kan worden gestuurd). Verantwoorde selectie Een volledige audit adresseert in principe alle normelementen met uitzondering van de normelementen die de organisatie niet van toepassing heeft verklaard. 5 information security officer, functionaris gegevensverwerking 9

10 Een audit kan gemotiveerd, rekening houdend met de resultaten van eerdere audits en de opvolging van tekortkomingen, worden beperkt. Voor een verantwoorde selectie wordt, rekening houdend met het aantal normelementen per hoofdstuk en criteria per normelement, bepaald welke normelementen c.q. toetsingscriteria: - moeten worden beoordeeld (verplicht); - bij voorkeur mede worden beoordeeld (van belang); - desgewenst kunnen worden overgeslagen. De motivering voor het uitvoeren van een beperkte audit wordt opgenomen en onderbouwd in de auditrapportage. Met de selectie zwaarwegend is de omvang van de audit te beperken tot plm. 80 normelementen (zie ook hoofdstuk 3: selectief gebruik). Voor benchmarken met de BMTool moeten de scores van alle normelementen bekend zijn. Al dan niet gecombineerde uitvoering De informatieveiligheidsaudit kan in combinatie met een integrale instellingsaudit, zoals b.v. een NIAZaudit, worden uitgevoerd. Het verdient voorkeur de informatieveiligheidsaudit daaraan voorafgaand uit te voeren en de rapportage met de bevindingen mee te nemen als bron document bij zo n instelllingsaudit 6. Bij een gelijktijdige uitvoering kunnen bijvoorbeeld de algemene toetsingscriteria worden beoordeeld door een instellingsauditor en de specifieke toetsingscriteria m.b.t. de informatieveiligheid door een auditor met ervaring op dat gebied. Omvang en duur De organisatie bepaalt in overleg met de auditor de voor de audit benodigde tijd door: - de scope te bepalen; UMC s kunnen b.v. het aantal medewerkers ingezet voor onderzoek en opleiding buiten beschouwing laten; - aan de hand van het aantal medewerkers, uitgedrukt in fte. aan de hand van bijgaande tabel globaal het aantal benodigde mandagen te bepalen+ de tabel geeft een indicatie - aanvullende overwegingen zoals (dis)locatie, complexiteit van de informatiehuishouding en ondersteunende techniek+ voorbereiding door de organisatie zelf, enzovoort. Tabel 4 het geeft op basis van praktijkervaringen een indruk van de inzet die nodig is om een adequate informatieveiligheidsaudit uit te voeren. Het aantal benodigde mandagen is te zien als zwaarwegend advies. tabel 4: inzet capaciteit Goede voorbereiding en afstemming op omliggende audits kan bijdragen de in te zetten capaciteit te beperken en vergroot de effectiviteit van de audit. Wanneer de organisatie gebruik maakt van externe gegevensverwerking valt dit binnen de scope van de audit. In de desbetreffende overeenkomsten moet dan zijn overeengekomen op welke wijze de derde partij aan kan tonen aan de norm c.q. aan de toetsingscriteria te voldoen, of de auditor zal de derde partij dan in de scope van de audit moeten meenemen (en dus eigen waarneming bij de derde partij moeten uit voeren). De organisatie kan vooraf met de auditor afspraken maken over steekproeven, interpretaties en rapportage over bevindingen. Aanbevolen wordt, om dubbel werk te voorkomen en de organisatie niet onnodig te belasten, vooraf afspraken te maken over het gebruik van relevante interne en externe auditrapporten, mits voldoende actueel. Auditteam Formatie (fte) dagen NIAZ heeft aangegeven een aan de hand van dit toetsingskader naar behoren uitgevoerde audit (zelfevaluatie, interne audit, peer-to-peer audit of uitgevoerd door een onafhankelijke derde) als bewijsmateriaal te accepteren voor het niveau van de informatiebeveiliging binnen de instelling. De instelling moet in dat geval volgens de PDCA-methodiek scoren. 10

11 Adequate uitvoering van een volledige informatieveiligheidsaudit voor een grotere zorginstelling vraagt een team van twee auditoren. Minimaal 1 lid van het team behoort audit-ervaring te hebben in de gezondheidszorg. Voor eisen aan de auditor wordt verwezen naar bijlage F. Opdracht Rekening houdend met het voorgaande kan de opdracht voor de auditor zijn, aan de hand van het Toetsingskader Informatieveiligheid in de Zorg onderzoek uit te voeren, over de bevindingen m.b.t. opzet, bestaan werking en doeltreffendheid van het ISMS en de beheersmaatregelen te rapporteren, grote of kleinere tekortkomingen vast te stellen en zo mogelijk adviezen voor verbetering mee te geven. De opdracht moet mede aangeven of de audit veiligheidsgericht en/of compliancegericht en/of managementgericht is (zie hoofdstuk 6. punt 7 voor uitwerking) De rapportage moet de raad van bestuur en externe stakeholders met redelijke mate van zekerheid aangeven op welk niveau de informatiebeveiliging van de organisatie staat en of en zo ja waar zwakke plekken of kwetsbaarheden zijn waargenomen. Bij een dergelijke assuranceopdracht is overigens de richtlijn Assurance opdrachten van de NOREA van toepassing. Planningen fasering De organisatie kan, bijv. zes maanden voorafgaand aan een audit, een zelfevaluatie of een onafhankelijke proefbeoordeling laten uitvoeren om onvolkomenheden op te sporen en te verhelpen. De auditoren voeren binnen het overeengekomen aantal dagen de documentstudie, interviews en werkplek-bezoeken uit, inclusief het beoordelen en rapporteren. De globale resultaten worden direct na afronding van de audit gepresenteerd en besproken; de rapportage hoort binnen twee weken beschikbaar te zijn. Bij combinatie met een instellingsaudit is wenselijk dat opzet, planning en duur vergelijkbaar zijn. Een informatieveiligheidsaudit is uit te voeren in combinatie met een audit, specifiek gericht op de medische apparatuur. Een informatieveiligheidsaudit wordt in het algemeen in twee fasen uitgevoerd: fase 1: Voorbereiding: Bestuderen van de formele documenten, beleid, richtlijnen en procedures (voor zover niet geïntegreerd onderdeel van systemen) en bepalen van het programma voor de tweede fase fase 2: Uitvoering: Praktijktoetsing aan de hand van interviews, observaties, aanvullende documentatie en werkplekbezoeken inclusief terugkoppeling en rapportage. Rapportage en archivering De auditor legt een werkdossier aan met daarin o.a.: programma, onderzochte normelementen, gevoerde gesprekken, gespreksdeelnemers en de rapportage (concept en definitief). De auditor legt de bevindingen vast en rapporteert in een format waarvoor de toetsingscriteria de basisstructuur leveren (zie tabel 1). De rapportage bevat: - kerngegevens: organisatie, auditdata, auditoren, auditees, werklplekbezoeken, enz. - een managementsamenvatting, - verslagen van werkplekbezoeken, - per normelement de bevindingen, waar nodig onderbouwd met bewijsmateriaal, en de bijbehorende score (tabel 2); - vastgestelde grotere en/of kleinere tekortkomingen - eventueel adviezen m.b.t. verbeterpunten Aanvullende afspraken De auditrapportage is vertrouwelijk en blijft binnen de organisatie; een samenvatting kan extern ten behoeve van externe stakeholders worden vrijgegeven en desgewenst publiek worden gemaakt. 11

12 Opeenvolgende rapportages moeten vergelijkbaar zijn. De organisatie moet de opvolging van tekortkomingen en uitvoering van verbeterpunten in een volgende audit kunnen toetsen. Bij benchmarking worden alleen scores, met mogelijk een toelichting, uitgewisseld maar geen vertrouwelijke bevindingen of tekortkomingen. Na de audit kan tussentijdse beoordeling (surveillance) aan de orde zijn om de voortgang te monitoren en/of om zeker te stellen de dat certificering nog steeds geldig is. Accreditatie en Certificering Afhankelijk van hetgeen in de opdracht tussen de organisatie en auditor is overeengekomen en afhankelijk van de bevindingen van de auditor, kan de rapportage samen met een plan van aanpak voor vastgestelde tekortkomingen dienen als basis voor accreditatie of certificering. Een voldoende beoordeling zonder grote tekortkomingen kan reden zijn voor accreditering of certificering. Voorwaarden zijn dan: - toetsing aan de hand van de volledige norm of een door de auditor te bepalen verantwoorde selectie uit de normelementen, met voldoende zwaarte (minimaal alle zwaarwegende); - een voldoende positief resultaat van de beoordelingen (scores gemiddeld boven X,Y); - geen grote tekortkomingen vastgesteld; - een verbeterplan voor de opvolging van vastgestelde kleinere tekortkomingen, getoetst door een tweede auditor, anders dan degene die de audit heeft uitgevoerd. De certificerende of accrediterende instelling geeft op basis hiervan een inhoudelijk oordeel. Verschil van mening, klachten, bezwaar- en beroep De auditor geeft bevindingen op basis van bewijsmateriaal, gesprekken en observaties, aan de hand van de toetsingscriteria. Op basis van die bevindingen geeft de auditor een oordeel over de uitvoering van de PDCA-cyclus en/of het maturity level, uitgedrukt in een cijfer. De auditor kan met betrekking tot het ISMS en/of de veiligheidsmaatregelen tekortkomingen vaststellen en adviezen voor verbetering meegeven. Mogelijk stelt de auditor vast dat de organisatie op onderdelen (te) veel risico neemt of met de uitvoering van veiligheidsmaatregelen achter loopt op de state of the art. De organisatie zal toelichten waarom zij bepaalde niet-standaard veiligheidsmaatregelen niet of niet standaard heeft geïmplementeerd. De auditor behoort daarover geen inhoudelijk oordeel te geven anders dan over de werking of doeltreffendheid. Bij klachten over de wijze van auditen, het rapport of andere zaken die betrekking hebben op de audit is de klachten-, bezwaar- en beroepsprocedure van de auditorganisatie van toepassing. 5. Uitvoering van een informatieveiligheidsaudit De organisatie kan de informatieveiligheidsaudit aan de hand van deze handleiding door verschillende partijen met een duidelijke opdracht uit (laten) voeren: - zelfevaluatie: door de eigen ISO of FG samen met interne auditoren en lijnmanagement. - onafhankelijk: door ISO s of onafhankelijke auditoren uit andere instellingen (NIAZ-werkwijze) - onafhankelijk: door auditoren van een marktpartij. Om de werking van het ISMS en de uitvoering en naleving van de beveiligingsmaatregelen te beoordelen worden de volgende stappen uitgevoerd. 1. De onafhankelijke auditor informeert zich over de te beoordelen instelling: organisatiestructuur, omvang, locatie(s), IT-omgeving, zorgprocessen, enzovoort met als doel understanding the business. De auditor gebruikt o.a. het jaarverslag, het organogram en eventueel verkennende gesprekken met stakeholders in het ziekenhuis. De interne auditor is hiermee al bekend. 12

13 Bijlage A met de toetsingscriteria geeft per normelement voorbeelden van relevant bewijsmateriaal om het ISMS en de veiligheidsmaatregelen te kunnen beoordele. Bijlage C bevat een overzichtslijst in alfabetische volgorde. 2. De auditor is bekend met of werkt zich in op de NEN7510:2011, het Toetsingskader Informatieveiligheid in de Zorg, de bijbehorende handreikingen en verdieping en deze handleiding (zie ook bijlage F eisen aan de auditor). 3. De auditor verkent het ISMS van de instelling met gebruik van (genormeerde) bronnen. Deze zijn soms expliciet als formeel document aanwezig en soms impliciet. Dat laatste kan blijken uit een of meerdere interviews, handelingen of uit systeemfunctionaliteit. Mits vastgelegd in een verslag of anderszins gedocumenteerd gelden deze dan eveneens als bron. Voor bepaalde normelementen zijn alleen aanvullende niet-genormeerde bronnen beschikbaar. Bronnen bij het beoordelen van het ISMS zijn bijvoorbeeld: - opzet en inrichting van het ISMS; - directiebeoordeling van het ISMS; - risicomanagement; - classificatiesystematiek; - meerjarenplan voor informatiebeveiliging; - risicobeoordelingen; - begrotingen / budgetten / resourceplanningen / taak- en functieomschrijvingen; - functieprofielen, trainings- en opleidingsplannen; - analyse van beveiligingsincidenten; - eerdere audits; plannen voor continue verbetering van het ISMS; - benoeming van de relevante registraties; - evaluaties na grote IB incidenten. 4. De auditor stelt vanuit de verkenning een definitieve lijst op met te interviewen personen en uit te voeren werkbezoeken, hij formuleert bijbehorende vragen, beschrijft uit te voeren deelwaarnemingen en te inspecteren documenten (zie ook hoofdstuk 3 selectief gebruik). 5. De auditor voert het veldwerk uit. De resultaten van (deel)waarnemingen (bevindingen) worden indien mogelijk door de auditor direct teruggekoppeld en bevestigd door zowel de geauditeerde als de auditor om latere discussie te vermijden. Als formele interviewverslagen worden gemaakt horen deze geautoriseerd te worden door de gespreksdeelnemers. 6. De auditor beoordeelt de aansluiting tussen de inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen De auditor kan pas een oordeel geven over de werking en doeltreffendheid van het ISMS wanneer bevindingen en scores m.b.t. de normelementen in de hoofdstukken 5 t/m 15 bekend zijn. 7. De auditor beoordeelt auditor de normelementen uit hoofdstuk 5 t/m 15 vanuit drie invalshoeken die al dan niet kunnen worden gecombineerd: a. Veiligheidsgericht: vanuit de mate waarin de maatregelen aantoonbaar bijdragen aan meer informatieveiligheid en/of informatie-incidenten helpen voorkomen of beperken. De auditor beoordeelt de werkzaamheid en doeltreffendheid van de onderzochte maatregelen. b. Compliancegericht: vanuit de mate waarin de maatregel voldoet aan de toetsingscriteria c.q. de norm; de auditor kijkt naar de uitvoering van de maatregelen en de daaraan in de norm expliciet opgenomen eisen. c. Managementgericht: vanuit de mate waarin de organisatie werkt naar de wil van de leiding, de leiding in control is en een verbetercultuur zichtbaar is; de auditor kijkt naar de mate waarin de organisatie werkt volgens het eigen beleid, afspraken en procedures en naar het toezicht en de wijze van bijsturing. Bij zelfevaluatie zijn de invalshoeken a. en c. het meest van belang. Genoemde invalshoeken kunnen in één audit gecombineerd worden. De auditor moet er dan rekening mee houden dat tekortkomingen ten aanzien van één van de drie invalshoeken niet altijd een gevolg 13

14 hebben voor de oordeelsvorming ten aanzien van de andere twee en dat een statement over control nog geen uitspraak hoeft te zijn over de veiligheid. Een gecombineerde audit leidt dus tot drie onderscheiden oordelen. 8. De auditor geeft een eerste oordeel over opzet en het bestaan van het ISMS en over de specifiek genormeerde onderdelen risicomanagement en directiebeoordeling. De auditor kan deze stap desgewenst uitstellen. 9. Aan de hand van de normelementen, de toetsingscriteria, de aangeleverde documentatie, de te interviewen personen en af te leggen werkplekbezoeken (uit stap 4) en rekening houdend met wat de organisatie m.b.t. het risicomanagement ten aanzien van de normelementen als behandelwijze heeft vastgesteld - de organisatie kan immers een normelement op basis van risicoafweging niet of deels of geheel implementeren volgt de auditor bij het beoordelen van de veiligheidsmaatregelen de indeling van de norm voert en bij elk hoofdstuk de volgende stappen uit: 9.1 Beoordeelt of het normelement / toetsingscriterium op basis van (een eerder gemaakte) risicoafweging al dan niet is uit te sluiten en als zwaarwegend moet worden gezien (zie ook hoofdstuk 3 selectief gebruik); 9.2 Gaat na of de organisatie voor dat normelement relevante veiligheidsmaatregelen heeft geïmplementeerd en naleeft (werking en doeltreffendheid). 9.3 Gaat na of sprake is van niet geïmplementeerde veiligheidsmaatregelen zonder argumentatie of risicobeoordeling. 9.4 Gaat na of de getroffen maatregelen waarneembaar en verifieerbaar zijn (middels interviews, waarnemingen, documenten). De auditor: - brengt dan in beeld welk (deel van) het element / criterium van toepassing is; - brengt in beeld welke onderdelen van toepassing zijn; - toetst aan de hand van het bewijsmateriaal of en in welke mate aan de betreffende toetsingscriteria (of onderdelen daarvan) wordt voldaan waarbij: expliciete genormeerde zaken aantoonbaar aanwezig moeten zijn; zo niet => noncomformiteit => score 0; impliciete zaken expliciet aantoonbaar zijn in de vorm van aanwezige rapportages, verslagen, functionaliteiten in systemen, enzovoort, => score 3 of 4; van overige impliciete zaken het bestaan kan worden aangetoond met interviews, collaborative inquiries, deelwaarnemingen => score 1 tot en met Gaat na of sprake is van mogelijke tekortkomingen en zo ja op welk gebied (zie stap 7): a. onveiligheid, b. nonconformiteit of c. gebrek aan control. 9.6 Koppelt de bevindingen terug indien dat het geval is; 9.7 Legt het resultaat vast door middel van rapportage van de bevindingen; 9.8 Meldt in de rapportage eventueel waargenomen tekortkomingen en geeft deze een oordeel mee: aandachtspunt, verbeterpunt, kleinere of grote tekortkoming mee. Aandachtspunten hierbij zijn: - Om vergelijkbaarheid van audits te vergroten is het raadzaam de uitkomsten aangaande het risicomanagement (toetsing van het ISMS) expliciet op te nemen in een bijlage bij het assurancerapport waarmee een soort Statement of Applicability ontstaat. - Aanbevolen wordt iedere materiële bevinding vanuit minstens twee controlemiddelen te staven. De auditor zal eventuele tegenstrijdigheden in interviews, tegenstrijdige waarnemingen en/of door het ontbreken van genormeerde documenten in eerste instantie trachten op te lossen of tenminste te verklaren. Wanneer tegenstrijdigheden afbreuk doen aan de opzet, bestaan en werking van het ISMS worden zijn gezien als non-conformiteit. Om impliciet en aanvullend bronmateriaal te kunnen beoordelen moet de auditor een combinatie maken van interviews, deelwaarnemingen. - De instelling kan impliciete en/of aanvullende bronnen ook expliciet hebben gemaakt in de vorm van vastgestelde documenten. De auditor kan hieraan vergelijkbare bewijskracht toekennen om tot een oordeel te komen. - Uitvoering van verbeterpunten en opvolging van tekortkomingen kunnen in een volgende audit worden getoetst. 14

15 10. De auditor scoort het resultaat / de bevindingen volgens de PDCA-scoringsmethodiek of het CMMvolwassenheidsniveau. - Als de bevindingen via twee of meer verschillende controlemiddelen zijn vastgesteld, is het normelement aanwezig en kan de score 3 of hoger zijn; - Als de bevindingen via slechts één controlemiddel zijn vastgesteld, is het normelement onvoldoende ingevuld, tenzij de auditor op basis van professional judgement besluit tot aanwezig. Het normelement kan niet hoger scoren dan een 2; - Als het normelement niet is uitgesloten en géén bevindingen zijn vast te stellen, is het (nog) niet aanwezig en wordt de score 1, waarbij blijkbaar het plan ontbreekt. Bij assuranceopdrachten is de EDP-auditor eraan gehouden om te voldoen aan richtlijn Assurance opdrachten van de NOREA. Het staat de EDP-auditor evenwel vrij om aanvullend zijn oordeel te vertalen naar de score conform tabel 2. 15

16 6. Gebruik van de BMTool Figuur 3: samenhang informatiebeveiligingsaudit, toetsingscriteria en BMTool De IGZ is bereid, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmarktool, het toezicht daarop af te stemmen en steekproefsgewijs te toetsen. Het CIO-platform heeft de BMTool laten ontwikkelen met als basis de ISO In de tool zijn de normelementen in principe één op één geformuleerd in de vorm van stellingen volgens het (Capability Maturity Model (CMM) met voor elk CMM-niveau één passende stelling. Enkele meer complexe normelementen zijn uitgewerkt in twee stellingen. De BMTool maakt gebruik van de ISO27002 terwijl in de NEN7510 drie ISO-normen zijn geïntegreerd. Voor zorginstellingen is een versie ontwikkeld met aanvullende stellingen 7. De organisatie bepaalt per normelement aan de hand van de stellingen op welk volwassenheidsniveau de informatiebeveiliging is georganiseerd of anders gezegd, in welke mate de organisatie in control is. De keuze veronderstelt onderbouwing en wordt in vrije tekst toegelicht. Het resultaat van een zelfevaluatie, peer-to-peer toetsing of onafhankelijke audit door een derde partij aan de hand van de landelijke toetsingscriteria is in eerste instantie een vertrouwelijke rapportage met o.a. per normelement bevindingen met daarop aansluitend één PDCA- of CMM-score, afhankelijk van wat de organisatie met de auditor overeengekomen is. Indien de organisatie alleen de Toetsingscriteria hanteert blijft het document uitsluitend binnen de instelling. Indien de organisatie ook gebruik wil maken van de vergelijkingsmogelijkheid van de BMtool dan kan worden volstaan met het overnemen van de score vanuit de Toetsingscriteria. Het gegeven dat PDCA-score s en CMM-levels tot en met niveau 4 over en weer in elkaars verlengde liggen en inhoudelijk vergelijkbaar zijn (zie tabel 2) geeft de mogelijkheid de score uit de rapportage direct over te nemen en in te voeren in de BMTool. De instelling kan daarbij in de BMTool verwijzen naar de achterliggende rapportage en de bevindingen desgewenst kort samenvatten, terwijl de rapportage zelf vertrouwelijk binnen de instelling kan blijven. De instelling kan een zelfevaluatie NEN7510 ook rechtstreeks uitvoeren aan de hand van de de BMTool. In dat geval wordt onderbouwing van de score (de bevindingen ) van wezenlijk belang. De bevindingen met bijbehorende onderbouwing moeten bij verantwoording naar IGZ of bij een instellingsaudit worden overlegd en worden, mits voldoende zorgvuldig uitgevoerd, in dat geval marginaal getoetst. 7 De NEN7510:2011 telt 28 normelementen voor het ISMS en 133 voor de beheersmaatregelen; het Toetsingskader Informatieveiligheid in de Zorg telt 51 toetsingscriteria voor het ISMS en 339 voor de beheersmaatregelen met een score van 1 t/m 4. De BMTool telt 141 stellingen voor de beheersmaatregelen; de BMTool zorg telt 25 stellingen voor het ISMS en 165 voor de beheersmaatregelen op vijf maturitylevels. 16

17 Gebruikte afkortingen BMTool BenchMark-tool BSN Burger ServiceNummer CIO Chief Information Officer CMM Capability Maturity Model COMPAZ Cultuur Onderzoek onder Medewerkers over Patiëntveiligheid in Ziekenhuizen. FG Functionaris Gegevensbescherming GGZ Geestelijke GezondheidsZorg ICT Informatie en Communicatie Techniek IGZ Inspectie GezondheidsZorg ISMS Information Security Management System ISO Information Security Officer ISO International Organisation for Standardisation IZEP Instrument voor Zelfevaluatie Patiëntveiligheidscultuur Kz Kwaliteitswet zorg NEN Nederlands Normalisatie Instituut NFU Nederlandse Federatie van Universitaire medische centra NIAZ Nederlands Instituut voor Accreditatie in de Zorg Norea Nederlandse orde van registeraccountants en EDP-auditors NVZ Nederlandse Vereniging van Ziekenhuizen PDCA Plan Do Check Act RE Register EDP Auditor, lid van de NOREA UMC Universitair Medisch Centrum VMS Veiligheids Management Systeem WBIG Wet Beroepen Individuele Gezondheidszorg Wbp Wet bescherming persoonsgegevens Wbsn-z Wet burgerservicenummer zorg Wgbo Wet op de geneeskundige behandelovereenkomst WMh Wet medische hulpmiddelen ZZ3 Zekere Zorg 3 17

18 Bijlage A: Toetsingscriteria Apart document (35 pagina s) voor normelementen en toetsingscriteria. Bijlage B: Handreiking, verdieping en selectief gebruik Spreadsheet met aparte kolomen voor handreikingen en verdieping. Selectief gebruik wordt mogelijk gemaakt met behulp van selectieknoppen in de spreadsheet. Bijlage C: Documentatie en bewijsmateriaal Aanbestedingsprocedures, Aansluitvoorwaarden. Aanstellingsbrieven, Abonnementen en lidmaatschappen, Acceptatiecriteria, Addenda bij overeenkomsten, Adviezen en aanbevelingen. Afhankelijkheids- en kwetsbaarheidanalyses. Agenda's, Algemeen beleid instelling (missie, visie strategie), Arbeidsovereenkomsten (modellen) Audithulpmiddelenlijst, Auditplanning. Auditprocedures, Auditprogramma's. Auditrapportages. Auditrapporten (externe w.o. landelijke audit 2010 met bevindingen en onderbouwing en eventuele reactie IGZ), Auditrapporten (interne audits). Auditsystemen, Audittestbestanden. Audittrails, Autorisatiematrices, Autorisatieprocedures, Awarenesscampagne, Bedieningsprocedures (voor beheerders en gebruikers). Begrotingen, Beheerprocessen, Beheersmaatregelen. Beleidsdocument voor de informatiebeveiliging, Beleidsdocumenten, Beleidsregels, Besluitenlijsten. Besluitvormingsproces. Best practices (gedocumenteerd), Bestekken, Bevoegdheden, Bewaartermijnen, Bewijsdossiers (indien aanwezig). Blauwdruk voor het ISMS, Bouwkundige documentatie. Bouwtekeningen, Bouwvoorschriften, CAO, Capaciteitsplanningen, Cashboard Certificaten, Checklijsten, Classificatieschema's. Classificatiesystematiek, Continuïteitplannen, Continuïteitsbeleid, Continuïteitsrichtlijnen, Continuïteits-testprogramma's, Continuïteitstrategie (beleidsdocument), Contractbeheer. Contracten met externe partijen, Controlelijsten. Controleplanning, Controleprocedures, Controlerapporten en internetprotocollen, Escalatieschema's. Escrowovereenkomsten, Externe beoordelingen (waaronder audits). Externe normen en voorschriften, Folders, Functionele en technische specificaties, Gedragscode, Gedragsregels Geheimhoudingsverklaringen, Goedkeuringsproces, Handboek ISMS, Handleidingen van toepassing op ISMS, Handleidingen, overig ICT-architectuur (principes), ICT-architectuur (schema s), Incidentenrapportages al dan niet met oorzaakgevolg-analyse, Incidentenregistratie. Incidentmeldingen, Indicatoren. Indiensttredingformulieren. Informatieclassificatie, Inkoopbeleid, Inkoopovereenkomsten en bijlagen. Inkoopprocedures, Internetsite, Intranetsite, Inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Jaarverslag (recent), Kaders voor de AO/IB, Leveranciersmanagement, Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v i

19 Licenties. Logbestanden. Logboeken. Logging, Managementrapportages, Mandaatregeling; Meerjarenplan voor het ISMS, Meet- en monitoringtechnieken, Meldingsprocedures, Netwerkinstellingen. Netwerkontwerp, netwerk-topografie, Noodprocedures, Notulen en besluitenlijsten. Notulen raad van bestuur / directie, Observatieverslagen. Onderhoudsplanning, Onderhoudsprotocollen, Organisatieschema, OTAP-omgevingen, Overeenkomsten met externe partijen (met bijlagen) Overleggen. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Overzicht geaccordeerde wijzigingen Overzicht in gebruik zijnde applicaties en versies, Overzicht risico's en kwetsbaarheden, Overzichtslijst functioneel beheerders. Overzichtslijst gevoelige systemen, Overzichtslijst hulpapparatuur, Overzichtslijst registraties (verwerkingen), Overzichtslijst wet- en regelgeving, Overzichtslijsten leveranciers, bewerkers, derden partijen Penetratietesten, Personeelsbestand, Personeelshandboek, Personele- en capaciteitsplanning, Plan van aanpak (2009 in opdracht IGZ) Plan van aanpak tekortkomingen en verbeterpunten, Plan van aanpak voor de informatiebeveiliging. Portefeuilleverdeling directie, Privacyreglement, Procedure incidentmelding en -opvolging. Procedure logging, Procesbeschrijvingen, Productieplanning, Programma's van eisen, Projecten (lopend en afgerond, opdrachten, verslagen), Rapportages aan raad van bestuur en raad van toezicht Rapportages en verslagen managementreviews. Rapportages van risicoanalyses, Rapportages, overig Rapportages met betrekking tot incidentmeldingen. Regels voor wachtwoordgebruik, Registraties (verwerkingen) Registratiesystemen, Reglementen (b.v. omgang met onderzoeksgegevens, cameratoezicht), Restoreprocedures, Revisies van beleidsdocumenten en/of richtlijnen. Richtlijnen, interne Richtlijnen, procedures en protocollen, Risicoanalyses en -beoordelingen, Samenstelling eventuele stuurgroep of commissie, Samenwerkingsverbanden Sanctiebeleid, Scholings- en trainingsprogramma. Service level agreements (SLA's). Sleutelplannen, Specifieke software, Steekproeven. Stroomschema's, Stroomtests, Systeeminstellingen, Taak- en functiebeschrijvingen, Technische afscherming informatiedomeinen, Technische beheersmaatregelen. Technische beheersmaatregelen. Technische beschermingsmaatregelen. Technische beveiligingsmaatregelen, Technische eisen, Technische en functionele programma's van eisen, Technische en organisatorische afspraken. (gedocumenteerd) Technische en procedurele maatregelen. Technische hulpmiddelen. Technische instellingen (w.o. firewall en systemen). Technische maatregelen (w.o. voor systeemtoegang), Technische veiligheidsspecificaties, c Testmethodieken, Testplannen, Testprotocollen. Testverslagen, Tijdverantwoording, Toegangbeleid, Toegangsbeveiliging van portals, Toegangsrechten van beheerders. Toestemmingsprofielen van patiënten, Toezichthoudende instanties. Trainings- en opleidingsplannen. Trendrapportages Tussentijdse risicoanalyses, Uitkomsten / meetwaarden / prestaties met betrekking tot MUD en MGV. Uitkomsten risicoanalyses, Validatiecontroles, Veiligheidsrondes, Verbeterplannen, Vergunningen, Verklaring omtrent gedrag (registratie). Verklaring van toepasselijkheid Versiebeheer. Verslagen managementreviews, Verslagen werkoverleggen, Voortgangsrapportages, Vrijgave-adviezen. Vrijgavebesluiten. Vrijgaveprocedures, Wachtwoordconventies, Werkwijzen voor risicoanalyse, Wijzigingsprocedures, Workarounds, Zoneringsbeleid, Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v ii

20 Bijlage D: Wet- en regelgeving Considerans Normelement/beheersmaatregel NEN7510:2011 luidt als volgt Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie. In de norm wordt niet nader uitgewerkt welke wet en regelgeving en contractuele verplichtingen worden bedoeld. En derhalve wordt dit niet nader geconcretiseerd. Het is in het kader van het opstellen van een toetsbare en concrete norm noodzakelijk dat de relevante wet- en regelgeving wordt geïdentificeerd en vervolgens geconcretiseerd. In ZekereZorg3 is de volgende wet- en regelgeving als base line geïdentificeerd 8 : Wet op de geneeskundige behandelingsovereenkomst (Wgbo), Wet BIG, Wet Medische hulpmiddelen, Kwaliteitswet Zorginstellingen, Wet bescherming persoonsgegevens Wet gebruik BSN in de zorg 1. Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) 1.1 Doel Deze wet regelt de relatie tussen patiënt en hulpverlener (artsen, verpleegkundigen, orthopedagogen, psychologen, verloskundigen, fysiotherapeuten, logopedisten, orthopedagogen et cetera). Wanneer een patiënt de hulp van een zorgverlener inroept, ontstaat een geneeskundige behandelingsovereenkomst tussen hen. De patiënt is opdrachtgever tot zorg, hetgeen gedefinieerd wordt als: onderzoek, het geven van raad en handelingen op het gebied van de geneeskunst, die het doel hebben iemand van een ziekte te genezen, ziekte te voorkomen of de gezondheidstoestand te beoordelen, of het verlenen van verloskundige bijstand. De WGBO is van dwingend recht, dat wil zeggen dat zorgverleners (of zorgverlenende instanties) en patiënten onderling geen afspraken kunnen maken die in strijd zijn met de WGBO. 1.2 Het recht van de patiënt op informatie Een patiënt heeft recht op informatie, in begrijpelijke taal, over zijn/haar ziekte, de behandeling, de gevolgen en risico's van die behandeling en over eventuele alternatieve behandelingen. De zorgverlener zal, als dat gewenst en noodzakelijk is, de informatie schriftelijk geven, zodat de patiënt die nog eens rustig kan nalezen. Als de zorgverlener denkt dat bepaalde informatie bij de patiënt slecht zal vallen, dan is dat geen reden om de patiënt deze informatie niet te geven. Alleen als naar het oordeel van de zorgverlener het geven van bepaalde informatie ernstig nadeel voor de patiënt zal opleveren, dan verstrekt hij die informatie niet. De zorgverlener is wel verplicht dit met een andere zorgverlener te overleggen. Als een patiënt zegt bepaalde informatie niet te willen, dan krijgt hij die informatie niet, tenzij dit ernstig nadeel voor hemzelf of anderen oplevert, dan krijgt de patiënt toch die informatie van de zorgverlener Het recht van de patiënt op inzage in zijn dossier Van iedere patiënt wordt een medisch dossier bijgehouden. Hierin staan alle gegevens die betrekking hebben op de behandeling. Omdat het dossier gaat over zijn/haar lichaam en gezondheid kunnen patiënten deze uiteraard inzien, met uitzondering van de gegevens die niet over henzelf gaan. Op de 8 Thans blijven buiten beschouwing: i) Wet Cliëntenrechten zorg (Wcz). Dit wetsvoorstel is aanhangig bij de Tweede Kamer. Na inwerkingtreding kunnen de toetsingscriteria, c.q. kan deze handleiding worden aangepast. ii) Regels rondom Goed beheerd Zorgsysteem. Dit vanwege het sneuvelen van de invoering van het LSP in de Eerste Kamer in mei 2011, iii) Zorgbrede governance code, iv) Zorgverzekeringswet, v) Wet marktordening gezondheidszorg. Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v iii