Toetsingskader Informatieveiligheid in de Zorg Handleiding & Toetsingscriteria

Maat: px
Weergave met pagina beginnen:

Download "Toetsingskader Informatieveiligheid in de Zorg Handleiding & Toetsingscriteria"

Transcriptie

1 Toetsingskader Informatieveiligheid in de Zorg Handleiding & Toetsingscriteria Inhoud Voorwoord Doelstelling Opzet van de toetsingscriteria Gebruik van de toetsingscriteria Organisatie van een informatieveiligheidsaudit Uitvoering van een informatieveiligheidsaudit Gebruik van de BMTool Gebruikte afkortingen Bijlage A: Toetsingscriteria...i Bijlage B: Handreiking, verdieping en selectief gebruik...i Bijlage C: Documentatie en bewijsmateriaal...i Bijlage D: Wet- en regelgeving... iii Bijlage E: Interne en externe uitbesteding... ix Bijlage F: Eisen aan de assessor / auditor... xii Bijlage G: Projectorganisatie NIAZ/NOREA... xiii versie datum auteurs Bijzonderheden V0a nh+tk Toelichting uitgangspunten V nh+eva Toelichting hoofdstuk 4 en risicoanalyse en -beoordeling V tk Concept integrale toelichting V tk Ingekort; bijlage D wet- en regelgeving en E uitbesteding ingevoegd V tk e.a. Commentaren t/m Norea verwerkt V5a jb Commentaar VC NOREA verwerkt V5b jwj e.a. Taalkundig geredigeerd Beta nh+pk Afspraken met NNI (NEN) verwerkt T I. (NIAZ/NOREA) Toetsingskader Informatieveiligheid in de Zorg notice. Dit toetsingskader is een uitgave van NIAZ en NOREA. De auteursrechten hierop komen uitsluitend toe aan NIAZ en NOREA. Voor gebruik van teksten en/of normelementen uit de NEN7510:2011 is toestemming verkregen van het Nederlands Normalisatie instituut (NEN). Zie hierover T II. NIAZ/NOREA stelt het toetsingskader kosteloos en aan een ieder ter beschikking onder de Creative Commons licentie Naamsvermelding-NietCommercieel-GeenAfgeleideWerken 3.0 (http://creative commons.org/licenses/by-nc-nd/3.0/nl/legalcode) : 1

2 Gebruiker is verplicht NIAZ/NOREA te noemen bij (verdere) openbaarmaking en verveelvoudiging van het toetsingskader; Gebruiker mag het toetsingskader zelf niet commercieel gebruiken of doorverkopen; betaalde sub-licentie is niet toegestaan; Gebruiker mag zonder toestemming van NIAZ/NOREA geen wijzigingen aanbrengen of afgeleide werken maken. Aanvullend geldt als licentie voorwaarde: Gebruiker is bij gebruik van het toetsingskader verplicht een afdoende licentie van NNI (NEN) te hebben op (openbaarmaking en verveelvoudiging van) de NEN 7510:2011; Het niet voldoen aan de hiervoor opgenomen licentievoorwaarden levert een inbreuk op auteursrecht op. T II. (NIAZ/NOREA en NNI (NEN) NEN7510:2011 notice. NEN 7510 en andere NEN normen zijn auteursrechtelijk beschermd. Het Toetsingskader Informatieveiligheid in de Zorg is gebaseerd op de NEN 7510:2011 naast andere relevante regelgeving. Met klem zij vermeld dat het Toetsingskader Informatieveiligheid in de Zorg deze norm (en gerelateerde normen, zoals de NEN 7512 en NEN 7513) niet vervangt. Het Toetsingskader Informatieveiligheid in de Zorg is een toepassingshandleiding voor NEN 7510 voor de zorginstellingen. NEN 7510 en gerelateerde normen zoals NEN 7512 en NEN 7513 beschrijven details voor implementatie en eisen wat betreft de procesinrichting. Die documenten dienen naast het Toetsingskader Informatieveiligheid in de Zorg te worden gebruikt. 2

3 Voorwoord De zorginstellingen staan de komende jaren voor de uitdaging om de informatieveiligheid op een steeds hoger niveau te brengen, dit niveau te borgen, voor continue verbetering te zorgen en de verbeteringen voor de patiënten, verwijzers en toezichthouders transparant te maken. De NEN7510 is de norm voor informatiebeveiliging in de zorg in Nederland. De in september 2011 vernieuwde NEN7510 integreert in één document drie internationale normen: de ISO die gaat over de inrichting en instandhouding van een information security management system, de ISO27002 die de bijbehorende beheersmaatregelen behandelt en de ISO die aanvullende beheersmaatregelen voor zorginstellingen aanreikt. Al tijdens de revisie van de NEN7510 door het Nederlands normalisatie instituut en de voorbereiding en uitvoering van informatiebeveiligingsaudits in de Nederlandse ziekenhuizen in opdracht van de inspectie gezondheidszorg (IGZ), bleek dat ziekenhuizen en auditoren behoefte hadden aan een landelijk toetsingskader met objectieve en open toetsingscriteria. Aan de hand van zo n kader zouden invoering en naleving van de NEN7510 in de instellingen zowel intern als door onafhankelijke derden getoetst moeten kunnen worden, waarna een instelling desgewenst geaccrediteerd of gecertificeerd zou kunnen worden. Het te ontwikkelen toetsingskader zou de informatieveiligheid en de patiëntveiligheid in de zorg helpen bevorderen en tegelijk naleving kunnen aantonen. Voor dit traject heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) begin 2010 de eerste stap gezet met een landelijk toetsingsreglement dat gebruikt is bij de uitvoering van de audits in 2010, de rapportage en de beoordeling door de IGZ. Al eerder bestond behoefte om op basis van objectieve toetsingsresultaten te kunnen benchmarken en om kennis en ervaring op het gebied van informatieveiligheid te kunnen delen. De universitaire medische centra (UMCs) introduceerden voor dit doel in 2004 de z.g. UMC-monitor. Eind 2010 is deze opgevolgd door de CIO benchmarktool voor informatiebeveiliging in profit- en non-profitorganisaties waaronder de zorg. Binnen dit werkveld hebben NIAZ en NOREA met als werktitel ZekereZorg3 het initiatief genomen om aansluitend op de NEN7510 een landelijk toetsingskader te ontwikkelen met objectieve toetsingscriteria voor informatieveiligheid in de zorg. NFU en NVZ hebben later bij deze ontwikkeling aangehaakt. De NEN7510:2011 is ook van toepassing op informatieverwerkende medische en medisch ondersteunende apparatuur. Dit werkgebied is bij de uitwerking meegenomen. Met dit toetsingskader, bestaande uit deze handleiding en de bijbehorende toetsingscriteria willen de deelnemers bijdragen aan het systematisch verbeteren van de informatieveiligheid in zorginstellingen. Informatie is veilig als deze op het juiste moment voor de juiste persoon beschikbaar is, integer (d.w.z. betrouwbaar is) en vertrouwelijk behandeld wordt. Informatie beveiligen is het middel, verbeteren van de veiligheid en kwaliteit van zorg is het hogere doel. De inspectie gezondheidszorg heeft aan NFU en NVZ laten weten dat, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmark-tool, zij het toezicht daarop zal afstemmen en bijvoorbeeld steekproefsgewijs zal toetsen 1. De volgende uitdaging wordt, rekening houdend met in komende landelijke en Europese wetgeving, dit toetsingskader aan te vullen en te verbreden met de privacybescherming. Informatiebeveiliging legt daar de basis voor maar privacybescherming gaat aanzienlijk verder, zeker gezien wat de komende jaren met betrekking tot gegevensuitwisseling en ketenzorg van de zorg verwacht wordt. 1 Zie brief IGZ aan NFU en NVZ dd. 25 april

4 1. Doelstelling Het toetsingskader ondersteunt het toetsen van en rapporteren over de kwaliteit van de informatieveiligheid van zorginstellingen. Door dit consistent en over een langere periode te doen kunnen instellingen continue verbetering op het gebied van de informatieveiligheid bewerkstelligen. Het toetsingskader: - is voor verschillende doeleinden te gebruiken en ondersteunt verschillende onderzoeksvormen, zelfevaluatie (self-assessment) en onafhankelijke audits door derden in de care, cure en GGZ; - bevordert uniforme handzame, bruikbare rapportages die de opvolging van tekortkomingen en verbeterpunten kunnen ondersteunen; - draagt zodoende bij de (informatie)veiligheid in de instelling te vergroten en compliancy met NEN7510 aan te tonen; - vormt, in geval van een voldoende verklaring / assurance, een basis voor verdere accreditatie of certificering; - maakt het mogelijk bevindingen en scores te gebruiken voor benchmarking; - maakt het mogelijk met bevindingen, tekortkomingen, verbeteringen en scores van opeenvolgende audits in de tijd gezet, ontwikkeling en verbetering op het gebied van informatieveiligheid aan te tonen. De toetsingscriteria zijn een hulpmiddel en: - volgen opzet en structuur van de NEN7510:2011 en sluiten daarmee aan op internationale normen, standaarden en ontwikkelingen; - gaan uit van risicomanagement (ISO 27001) als basis voor het nemen van beveiligingsmaatregelen (ISO en ISO 27799); - vullen aan en verdiepen de informatieveiligheid in het zorgproces met in het verlengde de patiëntveiligheid; - zijn binnen de instelling bruikbaar voor en door verschillende doelgroepen, zodat ieder het eigen aandeel in de informatiebeveiliging kan uitvoeren en bewaken; - zijn te gebruiken in situaties waar zorginstellingen overeenkomsten willen sluiten met derden, bijvoorbeeld met leveranciers van software en hardware, ICT-diensten, netwerkdiensten, application providers en bewerkers van persoonsgegevens. Samenvattend, deze handleiding en de toetsingscriteria vormen een samenhangend stelsel ter bevordering van: - de informatieveiligheid in zorginstellingen en de (continue) verbetering daarvan; - een zorgvuldige uitvoering van diverse toetsen; - consistentie in de toepassing van toetsingscriteria en onderzoeksrapportages. 2. Opzet van de toetsingscriteria Norm als basis De norm voor informatiebeveiliging in de zorg vormt uitgangspunt. De norm geeft aan wat moet en wat behoort. Het overzicht met de beheersmaatregelen en toetsingscriteria (bijlage A) vermeldt van elk normelement de titel en de beheersmaatregel. De volledige normtekst 2 bevat, aanvullend op de beheersmaatregelen, aandachtspunten en aanbevelingen voor de implementatie en overige informatie. Toetsingscriteria De toetsingscriteria sluiten direct aan op de norm en zijn bedoeld als hulpmiddel om door middel van onderzoek (variërend van zelfevaluatie tot onafhankelijke externe audit): - de inrichting en werking van het information security management system (ISMS) te toetsen; - de stand van zaken m.b.t. de implementatie van de beveiligingsmaatregelen te beoordelen; 2 NEN7510:2011 Informatiebeveiliging in de zorg (NEN oktober 2011), 4

5 - de uitvoering en naleving van de beveiligingsmaatregelen te toetsen. De beheersmaatregelen geven aan wat moet of behoort en nog moet worden uitgevoerd en hebben betrekking op de plan-fase in de PDCA-cyclus. De toetsingscriteria beschrijven het waarneembare resultaat van de uitvoering (de do-fase) dat intern of onafhankelijk beoordeeld kan worden (check) wordt en daarna verder kan worden verbeterd (act). Voor alle normelementen zijn volgens een vast format toetsingscriteria uitgeschreven. Tabel 1: opzet toetsingscriteria Normelement toetsingscriteria / audit-objecten Bewijsmateriaal bevindingen score NEN7510 Eén tot zeven criteria per normelement Gesprekken observaties, Vrije tekst van de 1-4 Met als basisstructuur: actor + handeling + resultaat documenten, assessor / auditor of n.v.t. + evt. handreiking (algemeen en med.apparatuur) technische maatregelen. + evt. verdieping voor werkplekbezoeken / observaties Het is de verantwoordelijkheid van het management van de zorginstelling om zorg te dragen voor de implementatie van een gedocumenteerd en deugdelijk stelsel van beveiligingsmaatregelen dat is toegesneden op de bedrijfsvoering en informatieverwerking van de zorginstelling. Het is de verantwoordelijkheid van de onderzoeker om voldoende werkzaamheden (bijvoorbeeld kennisname van documentatie, gesprekken, observaties en eigen waarnemingen en toetsing van technische beveiligingsmaatregelen) uit te voeren ter onderbouwing van zijn onderzoek. De toetsingscriteria geven de onderzoeker een beschrijving van de te onderzoeken onderwerpen, vaak aan de hand van meerdere toetsingscriteria per normelement, op basis waarvan de onderzoeker zijn conclusie, bevindingen en/of aanbevelingen in een rapportage kan baseren. Overlap De integratie van een informatieveiligheidsmanagementsysteem en van informatiebeveiligingsmaatregelen in één norm met daarop aansluitend één reeks toetsingscriteria geeft soms de indruk van doublures. Bij nauwkeurig lezen blijken pas verschillen. Ook zijn toetsingscriteria vergelijkbaar geformuleerd; dat kan ook de indruk wekken van een doublure, hoewel het kernwoord dan verschilt. Bepaalde veiligheidsmaatregelen zijn vergelijkbaar of overlappen elkaar. Hoofdstuk 15, dat betrekking heeft op naleving, grijpt veelvuldig terug op eerdere normelementen en toetsingscriteria. Tenslotte worden in één document, gesprek of observatie vaak meerdere normelementen geadresseerd. Deze ogenschijnlijke doublures en functionele overlapping in de norm en toetsingscriteria maken de beoordeling voor intern betrokken stafmedewerkers en interne en onafhankelijke auditoren er niet eenvoudiger op.. Periodiek De toetsingscriteria stellen regelmatig dat de organisatie periodiek een bepaalde actie uitvoert. Deze formulering is gekozen om de instelling enige ruimte te geven, maar ook de verplichting om aan de auditor uit te leggen welke frequentie de instelling hanteert om het beoogde resultaat te kunnen leveren. Handreikingen en verdieping Voor een deel van de normelementen zijn de toetsingscriteria direct duidelijk. Voor een deel wordt onder de kop handreiking en verdieping achtergrondinformatie gegeven om eventuele misverstanden bij het interpreteren te voorkomen. Voor de normelementen die van toepassing zijn op informatieverwerkende medische apparatuur wordt aanvullende toelichting meegegeven. Voor een aantal normelementen worden onder de noemer aanvulling patiënt- en informatieveiligheid extra aandachtspunten meegegeven om te gebruiken bij werkplekbezoeken of zelfevaluatie door het werkplekmanagement in de instelling. Handreiking en verdieping zijn te vinden in bijlage B. Bewijsmateriaal 5

6 Naast de toetsingscriteria worden in de kolom blijkt uit voorbeelden gegeven van bewijsmateriaal waarnaar de auditor kan vragen of dat via observatie kan worden vastgesteld. Een overzicht is te vinden in bijlage C Scoringsmethodiek De onderzoeker gebruikt de toetsingscriteria en bevindingen om een conclusie of oordeel te kunnen geven. Het oordeel kan mede in een cijfer worden uitgedrukt; de toe te passen scoringsmethodiek gaat uit van een 4-puntschaal (zie tabel 2). De eerste kolom in tabel 2 toont de PDCA-scoringsmethodiek 3 die bij de landelijke audits is toegepast. Een vergelijkbare methodiek gaat uit van volwassenheidsniveaus (maturity levels). Deze methodiek, het capability maturity model (CMM) wordt in de BMTool en in de zorg (IZEP, COMPAZ) toegepast en gaat uit van een 5-puntsschaal. De omschrijving van de volwassenheidsniveaus is in de tweede kolom weergeven. Op de schaal van 1 tot en met 4 levert scoren aan de hand van maturitylevels vergelijkbare waarden als scoren met de PDCA-scoringsmethodiek. Maturity-level 5 (vooruitstrevend) wordt in de praktijk vrijwel nooit gerealiseerd; gebruik van de volledige 5-punts-schaal bood geen toegevoegde waarde. In de audit-wereld wordt met de begrippen: opzet, bestaan, werking en doeltreffendheid ook een 4- puntsschaal gebruikt die spoort met de twee voorgaande methodieken. Voor zelfevaluatie zijn alle methodieken bruikbaar. Wanneer bij een audit de ene methode in een bepaalde situatie niet voldoende uitsluitsel geeft, lukt dat met de andere dat vaak wel. Een Register Edp-auditor is te allen tijde verplicht opvolging te geven aan de vigerende richtlijnen van de NOREA. Deze richtlijnen hebben betrekking op het doel en de aard van het onderzoek of audit, de reikwijdte, diepgang van werkzaamheden en rapportage. Het staat de EDP Auditor evenwel vrij om bijvoorbeeld naast de verplichte toepassing van de richtlijn Assurance opdrachten zijn oordeel ook te weer te geven in een score afgeleid uit onderstaande tabel. Tabel 2: Wijze van scoren score PDCA cyclus CMM volwassenheidsniveau EDP-auditing n.v.t. Het onderwerp is niet van toepassing (gemotiveerd / onderbouwd). n.v.t. 1 Plan: Er zijn afspraken maar deze zijn (nog) niet vastgelegd of afspraken zijn vastgelegd maar de implementatie ervan is slechts beperkt uitgevoerd. 2 Do: Afspraken zijn vastgelegd en de implementatie ervan is grotendeels uitgevoerd. 3 Check & Act: Uitvoering en naleving van de vastgelegde afspraken zijn eenmalig geëvalueerd en waar nodig zijn de plannen bijgesteld. 4 Control: Uitvoering en naleving van de vastgelegde afspraken zijn periodiek geëvalueerd, doeltreffend gebleken, geborgd en worden indien nog nodig bijgesteld Ontkennend (initial) Problemen worden pas opgelost als ze zich stellen (ad-hoc). Het niveau dat iedere organisatie aankan. Reactief (repeatable) Het niveau waarbij de organisatie zover is geprofessionaliseerd (bijvoorbeeld door het invoeren van projectmanagement) dat bij het ontwikkelproces gebruik wordt gemaakt van de kennis die eerder is opgedaan. Beslissingen worden genomen op basis van ervaring. Bureaucratisch (defined) Het niveau waarbij de belangrijkste processen zijn gestandaardiseerd. Proactief (managed) Het niveau waarbij de kwaliteit van het ontwikkelproces wordt gemeten zodat het kan worden bijgestuurd. Opzet Bestaan Werking Doeltreffendheid 3 In gebruik bij NIAZ 6

7 3. Gebruik van de toetsingscriteria Integrale veiligheid Integrale veiligheid in de zorg omvat de veiligheidsgebieden patiëntveiligheid, medewerkerveiligheid fysieke veiligheid en informatieveiligheid. De veiligheidsmanagementsystemen (VMS-sen) in de vier gebieden zijn gebaseerd op risicomanagement en qua opzet vergelijkbaar. De NEN7510:2011 combineert in één document zowel opzet, inrichting en werking van het ISMS als de veiligheidsmaatregelen om de informatievoorziening te beveiligen. De combinatie van norm + toetsingkader maakt het mogelijk objectief vast te stellen dat een instelling: - veilig met informatie omgaat en de kansen op en gevolgen van informatie-incidenten zo veel mogelijk weet te beperken en de veiligheid continue verbetert; - het ISMS heeft geïmplementeerd in lijn met hoofdstuk 4 NEN7510; - relevante beveiligingsmaatregelen heeft geïmplementeerd in lijn met hoofdstuk 5 t/m 15 NEN7510 en toeziet op de naleving; - met betrekking tot inrichting, instandhouding en continue verbetering van het ISMS een bepaald volwassenheidsniveau heeft bereikt. Op basis hiervan valt een uitspraak te doen over: de doeltreffendheid van het ISMS, de mate waarin informatie binnen de instelling veilig is (d.w.z. beschikbaar, integer en vertrouwelijk rekening houdend met classificatie) en de wijze waarop de directie in control is. Risicoanalyse en beveiligingsmaatregelen Risicoanalyse en -beoordeling vormen een essentieel onderdeel in elk VMS. Risicoanalyse en - beoordeling leveren de basis om proactief standaard maatregelen (baseline s) te bepalen en daar waar nodig op maat aanvullende maatregelen te nemen. Bij informatiebeveiliging speelt de classificatie van de informatie een belangrijke rol. Figuur 1: Information security management system Aan de hand van de NEN7510 kan de instelling op het gebied van informatieveiligheid structureel een risicoanalyse en -beoordeling uitvoeren 4. Het gaat kort gezegd om: - Identificeren van relevante informatieverwerkende processen, bijbehorende informatiestromen en bijbehorende middelen om informatie vast te leggen, te verwerken en op te slaan; - Bepalen van de waarde van de informatie c.q. de informatieverwerkende middelen en benoemt eventuele afhankelijkheden; - Identificeren van relevante bedreigingen en bijbehorende risico s voor de patiënt en/of de organisatie Identificeren relevante kwetsbaarheden en bijbehorende risico s; - Inventariseren van reeds genomen en nog te nemen beveiligingsmaatregelen; 4 Zie ook normtekst NEN7510 paragraaf 4.4.1; zie toetsingscriteria a. t/m d. 7

8 - Per bedreiging kwetsbaarheid beoordelen van de risico s met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid; - Per risico bepalen van de te volgen strategie: vermijden, accepteren, beperken, overdragen; - Bepalen van de beveiligingsmaatregelen die nodig zijn voor risicobehandeling; - Bepalen van de risicodekking van de reeds genomen maatregelen; - Bepalen van de (prioriteit van) de nog te nemen maatregelen om het restrisico tot het beoogde niveau te beperken; - Vastleggen van de beveiligingsdoelstellingen en de reeds genomen en nog te nemen beveiligingsmaatregelen in een informatiebeveiligingsbeleid en/of een plan van aanpak. De instelling legt op deze wijze beredeneerd verband tussen de uitkomsten van de risicoanalyse en -beoordeling en de reeds genomen en nog te nemen beveiligingsmaatregelen. Daarbij zal in het algemeen prioriteit gegeven worden aan implementatie van die maatregelen die de grootste bijdrage leveren aan het beperken van de grootste risico s. Door de uitkomsten van de risicoanalyse en beoordeling te koppelen aan de bevindingen vanuit de zelfevaluatie of de onafhankelijke audit met betrekking tot de uitvoering en naleving van die maatregelen, ontstaat inzicht in de mate waarin de instelling het beleid, de doelstellingen en het plan van aanpak op het gebied van informatieveiligheid heeft gerealiseerd en al in control is en in de tekortkomingen, aandachtspunten en verbeterpunten die een volgende periode aandacht vragen. Bij zelfevaluatie of een onafhankelijke audit zijn de aansluiting tussen opzet en inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen de eerste zaken die getoetst behoren te worden. Integratie met andere audits Zorginstellingen hebben te maken met uiteenlopende instellingsbrede audits (NIAZ, JCI, ISO, NTA, HKZ) die in algemene zin de kwaliteit en veiligheid toetsen. Daarnaast zijn er specifieke audits, zoals de NEN7510, die focussen op één aandachtsgebied. Vanuit de instelling gezien overlappen deze audits elkaar. Selectief gebruik De NEN7510:2011 is met 15 hoofdstukken, 151 normelementen en bijna 150 pagina s tekst en uitleg nogal omvangrijk. Van de normelementen hebben 18 betrekking op het eigenlijke informatieveiligheids-managementsysteem en 133 op de onderliggende beheermaatregelen. Het is zaak de toetsingscriteria doordacht en selectief te gebruiken. Wanneer geen volledige audit gewenst is kan, vergelijkbaar met de landelijke audit 2010 op basis van het toetsingsreglement van de NVZ, worden volstaan met z.g. zwaarwegende normelementen. Als zwaarwegend zijn geselecteerd: de normelementen die moeten (betrekking hebbend op het ISMS), de normelementen uit de landelijke audit 2010 en de normelementen met aanvulling vanuit de ISO specifiek bedoeld voor de zorg. De spreadsheetversie behorend (bijlage B) bevat selectiekolommen die het de auditor mogelijk maken op verschillende manieren voor deel-audits relevante toetsingscriteria te selecteren en om te bepalen welke partijen binnen de instelling voor een bepaald onderwerp kunnen worden bevraagd. Er is te selecteren op: - zwaarwegende normelementen; - soort: zorginstelling / zorgverlener (care, cure, GGZ); - marktpartij / leverancier waarmee overeenkomsten worden gesloten m.b.t.: software, hardware, ICT-onderhoudsdiensten, netwerkdiensten, application providers en gegevensbewerkers; - binnen de instelling naar betrokken stafafdelingen en diensten: directie, kwaliteit en veiligheid, HRM, patiëntenadministratie, facilitair, ICT /instrumentele dienst; de werkplekken binnen de zorg en daarbuiten; - relevantie voor informatieverwerkende medische en medisch ondersteunende apparatuur; - relevantie voor informatiegebruik in het zorgproces (patiëntveiligheid); - relevantie voor (jaarrekening)controles door de interne / externe accountant; - relevantie voor mogelijke audits op het gebied van privacybescherming (Wbp). 8

9 4. Organisatie van een informatieveiligheidsaudit Doel en resultaat Een informatieveiligheidsaudit heeft primair tot doel het: - beoordelen van het functioneren van het ISMS in de organisatie; - beoordelen van de kwaliteit en volledigheid van de risicoanalyse en beoordeling en de aansluiting daarvan op de beveiligingsmaatregelen; - beoordelen van de PDCA-cyclus en/of het volwassenheidniveau m.b.t. de beveiligingsmaatregelen; - beoordelen in welke mate de instelling (de raad van bestuur) in control is voor wat betreft beheersing en verbetering van de informatieveiligheid; - beoordelen in welke mate een veiligheidscultuur binnen de organisatie aanwezig is. Een onafhankelijk uitgevoerde audit kan onder bepaalden voorwaarden tot accreditering of certificering leiden. Werkvormen Afhankelijk van het doel en het beoogde resultaat van de audit zijn verschillende werkvormen mogelijk die elk door verschillende partijen en/of functionarissen kunnen worden uitgevoerd. Een audit is volledig uit te voeren, d.w.z voor de gehele instelling aan de hand van de volledige norm, of gedeeltelijk b.v. voor een deel van de instelling of een derde partij (leverancier / bewerker) of aan de hand van een deel van de norm. tabel 3: werkvormen Werkvorm Doel Uitvoering door Implementatie De toetsingscriteria kunnen door de instelling De zorginstelling worden gebruikt als leidraad / checklist Zelfevaluatie Self-assesment Onderzoek Bepalen stand van zaken en verbetering informatieveiligheid (volledig / gedeeltelijk) Managementreview op het ISMS Deelaudit in het kader van een algemene instellingsaudit Benchmarking (m.b.v. BMTool) ISO en FG 5 Stafmedewerkers en management Interne accountantsdienst Interne K&V-auditoren Auditoren uit andere zorginstellingen (peer to peer) Onderzoek Intern advies Extern advies Eigen medewerkers (zie boven) Onafhankelijke auditor / professional Interne audit Managementreview op het ISMS Interne accountantsdienst (eventueel met behulp van inhuur van externe deskundigheid) Accreditatie Periodiek accreditatie onderzoek NIAZ (eventueel met behulp van inhuur van externe deskundigheid) Assurance audit Externe assurance of certificering (kan tevens als basis dienen voor periodiek accreditatie onderzoek door NIAZ) Onafhankelijke Register EDP Auditor De zorginstelling doet er verstandig aan bij de opdrachtverlening duidelijke afspraken te maken over het doel van de audit, de scope, de diepgang van werkzaamheden en de rapportage. Tevens doet de zorginstelling er verstandig aan zich ervan rekenschap te geven dat een assuranceonderzoek meer diepgang van werkzaamheden met zich meebrengt (en dus tijdbesteding door de onderzoeker) dan een adviesopdracht (waarbij tevens de scope van de te onderzoeken onderwerpen kan worden gestuurd). Verantwoorde selectie Een volledige audit adresseert in principe alle normelementen met uitzondering van de normelementen die de organisatie niet van toepassing heeft verklaard. 5 information security officer, functionaris gegevensverwerking 9

10 Een audit kan gemotiveerd, rekening houdend met de resultaten van eerdere audits en de opvolging van tekortkomingen, worden beperkt. Voor een verantwoorde selectie wordt, rekening houdend met het aantal normelementen per hoofdstuk en criteria per normelement, bepaald welke normelementen c.q. toetsingscriteria: - moeten worden beoordeeld (verplicht); - bij voorkeur mede worden beoordeeld (van belang); - desgewenst kunnen worden overgeslagen. De motivering voor het uitvoeren van een beperkte audit wordt opgenomen en onderbouwd in de auditrapportage. Met de selectie zwaarwegend is de omvang van de audit te beperken tot plm. 80 normelementen (zie ook hoofdstuk 3: selectief gebruik). Voor benchmarken met de BMTool moeten de scores van alle normelementen bekend zijn. Al dan niet gecombineerde uitvoering De informatieveiligheidsaudit kan in combinatie met een integrale instellingsaudit, zoals b.v. een NIAZaudit, worden uitgevoerd. Het verdient voorkeur de informatieveiligheidsaudit daaraan voorafgaand uit te voeren en de rapportage met de bevindingen mee te nemen als bron document bij zo n instelllingsaudit 6. Bij een gelijktijdige uitvoering kunnen bijvoorbeeld de algemene toetsingscriteria worden beoordeeld door een instellingsauditor en de specifieke toetsingscriteria m.b.t. de informatieveiligheid door een auditor met ervaring op dat gebied. Omvang en duur De organisatie bepaalt in overleg met de auditor de voor de audit benodigde tijd door: - de scope te bepalen; UMC s kunnen b.v. het aantal medewerkers ingezet voor onderzoek en opleiding buiten beschouwing laten; - aan de hand van het aantal medewerkers, uitgedrukt in fte. aan de hand van bijgaande tabel globaal het aantal benodigde mandagen te bepalen+ de tabel geeft een indicatie - aanvullende overwegingen zoals (dis)locatie, complexiteit van de informatiehuishouding en ondersteunende techniek+ voorbereiding door de organisatie zelf, enzovoort. Tabel 4 het geeft op basis van praktijkervaringen een indruk van de inzet die nodig is om een adequate informatieveiligheidsaudit uit te voeren. Het aantal benodigde mandagen is te zien als zwaarwegend advies. tabel 4: inzet capaciteit Goede voorbereiding en afstemming op omliggende audits kan bijdragen de in te zetten capaciteit te beperken en vergroot de effectiviteit van de audit. Wanneer de organisatie gebruik maakt van externe gegevensverwerking valt dit binnen de scope van de audit. In de desbetreffende overeenkomsten moet dan zijn overeengekomen op welke wijze de derde partij aan kan tonen aan de norm c.q. aan de toetsingscriteria te voldoen, of de auditor zal de derde partij dan in de scope van de audit moeten meenemen (en dus eigen waarneming bij de derde partij moeten uit voeren). De organisatie kan vooraf met de auditor afspraken maken over steekproeven, interpretaties en rapportage over bevindingen. Aanbevolen wordt, om dubbel werk te voorkomen en de organisatie niet onnodig te belasten, vooraf afspraken te maken over het gebruik van relevante interne en externe auditrapporten, mits voldoende actueel. Auditteam Formatie (fte) dagen NIAZ heeft aangegeven een aan de hand van dit toetsingskader naar behoren uitgevoerde audit (zelfevaluatie, interne audit, peer-to-peer audit of uitgevoerd door een onafhankelijke derde) als bewijsmateriaal te accepteren voor het niveau van de informatiebeveiliging binnen de instelling. De instelling moet in dat geval volgens de PDCA-methodiek scoren. 10

11 Adequate uitvoering van een volledige informatieveiligheidsaudit voor een grotere zorginstelling vraagt een team van twee auditoren. Minimaal 1 lid van het team behoort audit-ervaring te hebben in de gezondheidszorg. Voor eisen aan de auditor wordt verwezen naar bijlage F. Opdracht Rekening houdend met het voorgaande kan de opdracht voor de auditor zijn, aan de hand van het Toetsingskader Informatieveiligheid in de Zorg onderzoek uit te voeren, over de bevindingen m.b.t. opzet, bestaan werking en doeltreffendheid van het ISMS en de beheersmaatregelen te rapporteren, grote of kleinere tekortkomingen vast te stellen en zo mogelijk adviezen voor verbetering mee te geven. De opdracht moet mede aangeven of de audit veiligheidsgericht en/of compliancegericht en/of managementgericht is (zie hoofdstuk 6. punt 7 voor uitwerking) De rapportage moet de raad van bestuur en externe stakeholders met redelijke mate van zekerheid aangeven op welk niveau de informatiebeveiliging van de organisatie staat en of en zo ja waar zwakke plekken of kwetsbaarheden zijn waargenomen. Bij een dergelijke assuranceopdracht is overigens de richtlijn Assurance opdrachten van de NOREA van toepassing. Planningen fasering De organisatie kan, bijv. zes maanden voorafgaand aan een audit, een zelfevaluatie of een onafhankelijke proefbeoordeling laten uitvoeren om onvolkomenheden op te sporen en te verhelpen. De auditoren voeren binnen het overeengekomen aantal dagen de documentstudie, interviews en werkplek-bezoeken uit, inclusief het beoordelen en rapporteren. De globale resultaten worden direct na afronding van de audit gepresenteerd en besproken; de rapportage hoort binnen twee weken beschikbaar te zijn. Bij combinatie met een instellingsaudit is wenselijk dat opzet, planning en duur vergelijkbaar zijn. Een informatieveiligheidsaudit is uit te voeren in combinatie met een audit, specifiek gericht op de medische apparatuur. Een informatieveiligheidsaudit wordt in het algemeen in twee fasen uitgevoerd: fase 1: Voorbereiding: Bestuderen van de formele documenten, beleid, richtlijnen en procedures (voor zover niet geïntegreerd onderdeel van systemen) en bepalen van het programma voor de tweede fase fase 2: Uitvoering: Praktijktoetsing aan de hand van interviews, observaties, aanvullende documentatie en werkplekbezoeken inclusief terugkoppeling en rapportage. Rapportage en archivering De auditor legt een werkdossier aan met daarin o.a.: programma, onderzochte normelementen, gevoerde gesprekken, gespreksdeelnemers en de rapportage (concept en definitief). De auditor legt de bevindingen vast en rapporteert in een format waarvoor de toetsingscriteria de basisstructuur leveren (zie tabel 1). De rapportage bevat: - kerngegevens: organisatie, auditdata, auditoren, auditees, werklplekbezoeken, enz. - een managementsamenvatting, - verslagen van werkplekbezoeken, - per normelement de bevindingen, waar nodig onderbouwd met bewijsmateriaal, en de bijbehorende score (tabel 2); - vastgestelde grotere en/of kleinere tekortkomingen - eventueel adviezen m.b.t. verbeterpunten Aanvullende afspraken De auditrapportage is vertrouwelijk en blijft binnen de organisatie; een samenvatting kan extern ten behoeve van externe stakeholders worden vrijgegeven en desgewenst publiek worden gemaakt. 11

12 Opeenvolgende rapportages moeten vergelijkbaar zijn. De organisatie moet de opvolging van tekortkomingen en uitvoering van verbeterpunten in een volgende audit kunnen toetsen. Bij benchmarking worden alleen scores, met mogelijk een toelichting, uitgewisseld maar geen vertrouwelijke bevindingen of tekortkomingen. Na de audit kan tussentijdse beoordeling (surveillance) aan de orde zijn om de voortgang te monitoren en/of om zeker te stellen de dat certificering nog steeds geldig is. Accreditatie en Certificering Afhankelijk van hetgeen in de opdracht tussen de organisatie en auditor is overeengekomen en afhankelijk van de bevindingen van de auditor, kan de rapportage samen met een plan van aanpak voor vastgestelde tekortkomingen dienen als basis voor accreditatie of certificering. Een voldoende beoordeling zonder grote tekortkomingen kan reden zijn voor accreditering of certificering. Voorwaarden zijn dan: - toetsing aan de hand van de volledige norm of een door de auditor te bepalen verantwoorde selectie uit de normelementen, met voldoende zwaarte (minimaal alle zwaarwegende); - een voldoende positief resultaat van de beoordelingen (scores gemiddeld boven X,Y); - geen grote tekortkomingen vastgesteld; - een verbeterplan voor de opvolging van vastgestelde kleinere tekortkomingen, getoetst door een tweede auditor, anders dan degene die de audit heeft uitgevoerd. De certificerende of accrediterende instelling geeft op basis hiervan een inhoudelijk oordeel. Verschil van mening, klachten, bezwaar- en beroep De auditor geeft bevindingen op basis van bewijsmateriaal, gesprekken en observaties, aan de hand van de toetsingscriteria. Op basis van die bevindingen geeft de auditor een oordeel over de uitvoering van de PDCA-cyclus en/of het maturity level, uitgedrukt in een cijfer. De auditor kan met betrekking tot het ISMS en/of de veiligheidsmaatregelen tekortkomingen vaststellen en adviezen voor verbetering meegeven. Mogelijk stelt de auditor vast dat de organisatie op onderdelen (te) veel risico neemt of met de uitvoering van veiligheidsmaatregelen achter loopt op de state of the art. De organisatie zal toelichten waarom zij bepaalde niet-standaard veiligheidsmaatregelen niet of niet standaard heeft geïmplementeerd. De auditor behoort daarover geen inhoudelijk oordeel te geven anders dan over de werking of doeltreffendheid. Bij klachten over de wijze van auditen, het rapport of andere zaken die betrekking hebben op de audit is de klachten-, bezwaar- en beroepsprocedure van de auditorganisatie van toepassing. 5. Uitvoering van een informatieveiligheidsaudit De organisatie kan de informatieveiligheidsaudit aan de hand van deze handleiding door verschillende partijen met een duidelijke opdracht uit (laten) voeren: - zelfevaluatie: door de eigen ISO of FG samen met interne auditoren en lijnmanagement. - onafhankelijk: door ISO s of onafhankelijke auditoren uit andere instellingen (NIAZ-werkwijze) - onafhankelijk: door auditoren van een marktpartij. Om de werking van het ISMS en de uitvoering en naleving van de beveiligingsmaatregelen te beoordelen worden de volgende stappen uitgevoerd. 1. De onafhankelijke auditor informeert zich over de te beoordelen instelling: organisatiestructuur, omvang, locatie(s), IT-omgeving, zorgprocessen, enzovoort met als doel understanding the business. De auditor gebruikt o.a. het jaarverslag, het organogram en eventueel verkennende gesprekken met stakeholders in het ziekenhuis. De interne auditor is hiermee al bekend. 12

13 Bijlage A met de toetsingscriteria geeft per normelement voorbeelden van relevant bewijsmateriaal om het ISMS en de veiligheidsmaatregelen te kunnen beoordele. Bijlage C bevat een overzichtslijst in alfabetische volgorde. 2. De auditor is bekend met of werkt zich in op de NEN7510:2011, het Toetsingskader Informatieveiligheid in de Zorg, de bijbehorende handreikingen en verdieping en deze handleiding (zie ook bijlage F eisen aan de auditor). 3. De auditor verkent het ISMS van de instelling met gebruik van (genormeerde) bronnen. Deze zijn soms expliciet als formeel document aanwezig en soms impliciet. Dat laatste kan blijken uit een of meerdere interviews, handelingen of uit systeemfunctionaliteit. Mits vastgelegd in een verslag of anderszins gedocumenteerd gelden deze dan eveneens als bron. Voor bepaalde normelementen zijn alleen aanvullende niet-genormeerde bronnen beschikbaar. Bronnen bij het beoordelen van het ISMS zijn bijvoorbeeld: - opzet en inrichting van het ISMS; - directiebeoordeling van het ISMS; - risicomanagement; - classificatiesystematiek; - meerjarenplan voor informatiebeveiliging; - risicobeoordelingen; - begrotingen / budgetten / resourceplanningen / taak- en functieomschrijvingen; - functieprofielen, trainings- en opleidingsplannen; - analyse van beveiligingsincidenten; - eerdere audits; plannen voor continue verbetering van het ISMS; - benoeming van de relevante registraties; - evaluaties na grote IB incidenten. 4. De auditor stelt vanuit de verkenning een definitieve lijst op met te interviewen personen en uit te voeren werkbezoeken, hij formuleert bijbehorende vragen, beschrijft uit te voeren deelwaarnemingen en te inspecteren documenten (zie ook hoofdstuk 3 selectief gebruik). 5. De auditor voert het veldwerk uit. De resultaten van (deel)waarnemingen (bevindingen) worden indien mogelijk door de auditor direct teruggekoppeld en bevestigd door zowel de geauditeerde als de auditor om latere discussie te vermijden. Als formele interviewverslagen worden gemaakt horen deze geautoriseerd te worden door de gespreksdeelnemers. 6. De auditor beoordeelt de aansluiting tussen de inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen De auditor kan pas een oordeel geven over de werking en doeltreffendheid van het ISMS wanneer bevindingen en scores m.b.t. de normelementen in de hoofdstukken 5 t/m 15 bekend zijn. 7. De auditor beoordeelt auditor de normelementen uit hoofdstuk 5 t/m 15 vanuit drie invalshoeken die al dan niet kunnen worden gecombineerd: a. Veiligheidsgericht: vanuit de mate waarin de maatregelen aantoonbaar bijdragen aan meer informatieveiligheid en/of informatie-incidenten helpen voorkomen of beperken. De auditor beoordeelt de werkzaamheid en doeltreffendheid van de onderzochte maatregelen. b. Compliancegericht: vanuit de mate waarin de maatregel voldoet aan de toetsingscriteria c.q. de norm; de auditor kijkt naar de uitvoering van de maatregelen en de daaraan in de norm expliciet opgenomen eisen. c. Managementgericht: vanuit de mate waarin de organisatie werkt naar de wil van de leiding, de leiding in control is en een verbetercultuur zichtbaar is; de auditor kijkt naar de mate waarin de organisatie werkt volgens het eigen beleid, afspraken en procedures en naar het toezicht en de wijze van bijsturing. Bij zelfevaluatie zijn de invalshoeken a. en c. het meest van belang. Genoemde invalshoeken kunnen in één audit gecombineerd worden. De auditor moet er dan rekening mee houden dat tekortkomingen ten aanzien van één van de drie invalshoeken niet altijd een gevolg 13

14 hebben voor de oordeelsvorming ten aanzien van de andere twee en dat een statement over control nog geen uitspraak hoeft te zijn over de veiligheid. Een gecombineerde audit leidt dus tot drie onderscheiden oordelen. 8. De auditor geeft een eerste oordeel over opzet en het bestaan van het ISMS en over de specifiek genormeerde onderdelen risicomanagement en directiebeoordeling. De auditor kan deze stap desgewenst uitstellen. 9. Aan de hand van de normelementen, de toetsingscriteria, de aangeleverde documentatie, de te interviewen personen en af te leggen werkplekbezoeken (uit stap 4) en rekening houdend met wat de organisatie m.b.t. het risicomanagement ten aanzien van de normelementen als behandelwijze heeft vastgesteld - de organisatie kan immers een normelement op basis van risicoafweging niet of deels of geheel implementeren volgt de auditor bij het beoordelen van de veiligheidsmaatregelen de indeling van de norm voert en bij elk hoofdstuk de volgende stappen uit: 9.1 Beoordeelt of het normelement / toetsingscriterium op basis van (een eerder gemaakte) risicoafweging al dan niet is uit te sluiten en als zwaarwegend moet worden gezien (zie ook hoofdstuk 3 selectief gebruik); 9.2 Gaat na of de organisatie voor dat normelement relevante veiligheidsmaatregelen heeft geïmplementeerd en naleeft (werking en doeltreffendheid). 9.3 Gaat na of sprake is van niet geïmplementeerde veiligheidsmaatregelen zonder argumentatie of risicobeoordeling. 9.4 Gaat na of de getroffen maatregelen waarneembaar en verifieerbaar zijn (middels interviews, waarnemingen, documenten). De auditor: - brengt dan in beeld welk (deel van) het element / criterium van toepassing is; - brengt in beeld welke onderdelen van toepassing zijn; - toetst aan de hand van het bewijsmateriaal of en in welke mate aan de betreffende toetsingscriteria (of onderdelen daarvan) wordt voldaan waarbij: expliciete genormeerde zaken aantoonbaar aanwezig moeten zijn; zo niet => noncomformiteit => score 0; impliciete zaken expliciet aantoonbaar zijn in de vorm van aanwezige rapportages, verslagen, functionaliteiten in systemen, enzovoort, => score 3 of 4; van overige impliciete zaken het bestaan kan worden aangetoond met interviews, collaborative inquiries, deelwaarnemingen => score 1 tot en met Gaat na of sprake is van mogelijke tekortkomingen en zo ja op welk gebied (zie stap 7): a. onveiligheid, b. nonconformiteit of c. gebrek aan control. 9.6 Koppelt de bevindingen terug indien dat het geval is; 9.7 Legt het resultaat vast door middel van rapportage van de bevindingen; 9.8 Meldt in de rapportage eventueel waargenomen tekortkomingen en geeft deze een oordeel mee: aandachtspunt, verbeterpunt, kleinere of grote tekortkoming mee. Aandachtspunten hierbij zijn: - Om vergelijkbaarheid van audits te vergroten is het raadzaam de uitkomsten aangaande het risicomanagement (toetsing van het ISMS) expliciet op te nemen in een bijlage bij het assurancerapport waarmee een soort Statement of Applicability ontstaat. - Aanbevolen wordt iedere materiële bevinding vanuit minstens twee controlemiddelen te staven. De auditor zal eventuele tegenstrijdigheden in interviews, tegenstrijdige waarnemingen en/of door het ontbreken van genormeerde documenten in eerste instantie trachten op te lossen of tenminste te verklaren. Wanneer tegenstrijdigheden afbreuk doen aan de opzet, bestaan en werking van het ISMS worden zijn gezien als non-conformiteit. Om impliciet en aanvullend bronmateriaal te kunnen beoordelen moet de auditor een combinatie maken van interviews, deelwaarnemingen. - De instelling kan impliciete en/of aanvullende bronnen ook expliciet hebben gemaakt in de vorm van vastgestelde documenten. De auditor kan hieraan vergelijkbare bewijskracht toekennen om tot een oordeel te komen. - Uitvoering van verbeterpunten en opvolging van tekortkomingen kunnen in een volgende audit worden getoetst. 14

15 10. De auditor scoort het resultaat / de bevindingen volgens de PDCA-scoringsmethodiek of het CMMvolwassenheidsniveau. - Als de bevindingen via twee of meer verschillende controlemiddelen zijn vastgesteld, is het normelement aanwezig en kan de score 3 of hoger zijn; - Als de bevindingen via slechts één controlemiddel zijn vastgesteld, is het normelement onvoldoende ingevuld, tenzij de auditor op basis van professional judgement besluit tot aanwezig. Het normelement kan niet hoger scoren dan een 2; - Als het normelement niet is uitgesloten en géén bevindingen zijn vast te stellen, is het (nog) niet aanwezig en wordt de score 1, waarbij blijkbaar het plan ontbreekt. Bij assuranceopdrachten is de EDP-auditor eraan gehouden om te voldoen aan richtlijn Assurance opdrachten van de NOREA. Het staat de EDP-auditor evenwel vrij om aanvullend zijn oordeel te vertalen naar de score conform tabel 2. 15

16 6. Gebruik van de BMTool Figuur 3: samenhang informatiebeveiligingsaudit, toetsingscriteria en BMTool De IGZ is bereid, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmarktool, het toezicht daarop af te stemmen en steekproefsgewijs te toetsen. Het CIO-platform heeft de BMTool laten ontwikkelen met als basis de ISO In de tool zijn de normelementen in principe één op één geformuleerd in de vorm van stellingen volgens het (Capability Maturity Model (CMM) met voor elk CMM-niveau één passende stelling. Enkele meer complexe normelementen zijn uitgewerkt in twee stellingen. De BMTool maakt gebruik van de ISO27002 terwijl in de NEN7510 drie ISO-normen zijn geïntegreerd. Voor zorginstellingen is een versie ontwikkeld met aanvullende stellingen 7. De organisatie bepaalt per normelement aan de hand van de stellingen op welk volwassenheidsniveau de informatiebeveiliging is georganiseerd of anders gezegd, in welke mate de organisatie in control is. De keuze veronderstelt onderbouwing en wordt in vrije tekst toegelicht. Het resultaat van een zelfevaluatie, peer-to-peer toetsing of onafhankelijke audit door een derde partij aan de hand van de landelijke toetsingscriteria is in eerste instantie een vertrouwelijke rapportage met o.a. per normelement bevindingen met daarop aansluitend één PDCA- of CMM-score, afhankelijk van wat de organisatie met de auditor overeengekomen is. Indien de organisatie alleen de Toetsingscriteria hanteert blijft het document uitsluitend binnen de instelling. Indien de organisatie ook gebruik wil maken van de vergelijkingsmogelijkheid van de BMtool dan kan worden volstaan met het overnemen van de score vanuit de Toetsingscriteria. Het gegeven dat PDCA-score s en CMM-levels tot en met niveau 4 over en weer in elkaars verlengde liggen en inhoudelijk vergelijkbaar zijn (zie tabel 2) geeft de mogelijkheid de score uit de rapportage direct over te nemen en in te voeren in de BMTool. De instelling kan daarbij in de BMTool verwijzen naar de achterliggende rapportage en de bevindingen desgewenst kort samenvatten, terwijl de rapportage zelf vertrouwelijk binnen de instelling kan blijven. De instelling kan een zelfevaluatie NEN7510 ook rechtstreeks uitvoeren aan de hand van de de BMTool. In dat geval wordt onderbouwing van de score (de bevindingen ) van wezenlijk belang. De bevindingen met bijbehorende onderbouwing moeten bij verantwoording naar IGZ of bij een instellingsaudit worden overlegd en worden, mits voldoende zorgvuldig uitgevoerd, in dat geval marginaal getoetst. 7 De NEN7510:2011 telt 28 normelementen voor het ISMS en 133 voor de beheersmaatregelen; het Toetsingskader Informatieveiligheid in de Zorg telt 51 toetsingscriteria voor het ISMS en 339 voor de beheersmaatregelen met een score van 1 t/m 4. De BMTool telt 141 stellingen voor de beheersmaatregelen; de BMTool zorg telt 25 stellingen voor het ISMS en 165 voor de beheersmaatregelen op vijf maturitylevels. 16

17 Gebruikte afkortingen BMTool BenchMark-tool BSN Burger ServiceNummer CIO Chief Information Officer CMM Capability Maturity Model COMPAZ Cultuur Onderzoek onder Medewerkers over Patiëntveiligheid in Ziekenhuizen. FG Functionaris Gegevensbescherming GGZ Geestelijke GezondheidsZorg ICT Informatie en Communicatie Techniek IGZ Inspectie GezondheidsZorg ISMS Information Security Management System ISO Information Security Officer ISO International Organisation for Standardisation IZEP Instrument voor Zelfevaluatie Patiëntveiligheidscultuur Kz Kwaliteitswet zorg NEN Nederlands Normalisatie Instituut NFU Nederlandse Federatie van Universitaire medische centra NIAZ Nederlands Instituut voor Accreditatie in de Zorg Norea Nederlandse orde van registeraccountants en EDP-auditors NVZ Nederlandse Vereniging van Ziekenhuizen PDCA Plan Do Check Act RE Register EDP Auditor, lid van de NOREA UMC Universitair Medisch Centrum VMS Veiligheids Management Systeem WBIG Wet Beroepen Individuele Gezondheidszorg Wbp Wet bescherming persoonsgegevens Wbsn-z Wet burgerservicenummer zorg Wgbo Wet op de geneeskundige behandelovereenkomst WMh Wet medische hulpmiddelen ZZ3 Zekere Zorg 3 17

18 Bijlage A: Toetsingscriteria Apart document (35 pagina s) voor normelementen en toetsingscriteria. Bijlage B: Handreiking, verdieping en selectief gebruik Spreadsheet met aparte kolomen voor handreikingen en verdieping. Selectief gebruik wordt mogelijk gemaakt met behulp van selectieknoppen in de spreadsheet. Bijlage C: Documentatie en bewijsmateriaal Aanbestedingsprocedures, Aansluitvoorwaarden. Aanstellingsbrieven, Abonnementen en lidmaatschappen, Acceptatiecriteria, Addenda bij overeenkomsten, Adviezen en aanbevelingen. Afhankelijkheids- en kwetsbaarheidanalyses. Agenda's, Algemeen beleid instelling (missie, visie strategie), Arbeidsovereenkomsten (modellen) Audithulpmiddelenlijst, Auditplanning. Auditprocedures, Auditprogramma's. Auditrapportages. Auditrapporten (externe w.o. landelijke audit 2010 met bevindingen en onderbouwing en eventuele reactie IGZ), Auditrapporten (interne audits). Auditsystemen, Audittestbestanden. Audittrails, Autorisatiematrices, Autorisatieprocedures, Awarenesscampagne, Bedieningsprocedures (voor beheerders en gebruikers). Begrotingen, Beheerprocessen, Beheersmaatregelen. Beleidsdocument voor de informatiebeveiliging, Beleidsdocumenten, Beleidsregels, Besluitenlijsten. Besluitvormingsproces. Best practices (gedocumenteerd), Bestekken, Bevoegdheden, Bewaartermijnen, Bewijsdossiers (indien aanwezig). Blauwdruk voor het ISMS, Bouwkundige documentatie. Bouwtekeningen, Bouwvoorschriften, CAO, Capaciteitsplanningen, Cashboard Certificaten, Checklijsten, Classificatieschema's. Classificatiesystematiek, Continuïteitplannen, Continuïteitsbeleid, Continuïteitsrichtlijnen, Continuïteits-testprogramma's, Continuïteitstrategie (beleidsdocument), Contractbeheer. Contracten met externe partijen, Controlelijsten. Controleplanning, Controleprocedures, Controlerapporten en internetprotocollen, Escalatieschema's. Escrowovereenkomsten, Externe beoordelingen (waaronder audits). Externe normen en voorschriften, Folders, Functionele en technische specificaties, Gedragscode, Gedragsregels Geheimhoudingsverklaringen, Goedkeuringsproces, Handboek ISMS, Handleidingen van toepassing op ISMS, Handleidingen, overig ICT-architectuur (principes), ICT-architectuur (schema s), Incidentenrapportages al dan niet met oorzaakgevolg-analyse, Incidentenregistratie. Incidentmeldingen, Indicatoren. Indiensttredingformulieren. Informatieclassificatie, Inkoopbeleid, Inkoopovereenkomsten en bijlagen. Inkoopprocedures, Internetsite, Intranetsite, Inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Jaarverslag (recent), Kaders voor de AO/IB, Leveranciersmanagement, Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v i

19 Licenties. Logbestanden. Logboeken. Logging, Managementrapportages, Mandaatregeling; Meerjarenplan voor het ISMS, Meet- en monitoringtechnieken, Meldingsprocedures, Netwerkinstellingen. Netwerkontwerp, netwerk-topografie, Noodprocedures, Notulen en besluitenlijsten. Notulen raad van bestuur / directie, Observatieverslagen. Onderhoudsplanning, Onderhoudsprotocollen, Organisatieschema, OTAP-omgevingen, Overeenkomsten met externe partijen (met bijlagen) Overleggen. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Overzicht geaccordeerde wijzigingen Overzicht in gebruik zijnde applicaties en versies, Overzicht risico's en kwetsbaarheden, Overzichtslijst functioneel beheerders. Overzichtslijst gevoelige systemen, Overzichtslijst hulpapparatuur, Overzichtslijst registraties (verwerkingen), Overzichtslijst wet- en regelgeving, Overzichtslijsten leveranciers, bewerkers, derden partijen Penetratietesten, Personeelsbestand, Personeelshandboek, Personele- en capaciteitsplanning, Plan van aanpak (2009 in opdracht IGZ) Plan van aanpak tekortkomingen en verbeterpunten, Plan van aanpak voor de informatiebeveiliging. Portefeuilleverdeling directie, Privacyreglement, Procedure incidentmelding en -opvolging. Procedure logging, Procesbeschrijvingen, Productieplanning, Programma's van eisen, Projecten (lopend en afgerond, opdrachten, verslagen), Rapportages aan raad van bestuur en raad van toezicht Rapportages en verslagen managementreviews. Rapportages van risicoanalyses, Rapportages, overig Rapportages met betrekking tot incidentmeldingen. Regels voor wachtwoordgebruik, Registraties (verwerkingen) Registratiesystemen, Reglementen (b.v. omgang met onderzoeksgegevens, cameratoezicht), Restoreprocedures, Revisies van beleidsdocumenten en/of richtlijnen. Richtlijnen, interne Richtlijnen, procedures en protocollen, Risicoanalyses en -beoordelingen, Samenstelling eventuele stuurgroep of commissie, Samenwerkingsverbanden Sanctiebeleid, Scholings- en trainingsprogramma. Service level agreements (SLA's). Sleutelplannen, Specifieke software, Steekproeven. Stroomschema's, Stroomtests, Systeeminstellingen, Taak- en functiebeschrijvingen, Technische afscherming informatiedomeinen, Technische beheersmaatregelen. Technische beheersmaatregelen. Technische beschermingsmaatregelen. Technische beveiligingsmaatregelen, Technische eisen, Technische en functionele programma's van eisen, Technische en organisatorische afspraken. (gedocumenteerd) Technische en procedurele maatregelen. Technische hulpmiddelen. Technische instellingen (w.o. firewall en systemen). Technische maatregelen (w.o. voor systeemtoegang), Technische veiligheidsspecificaties, c Testmethodieken, Testplannen, Testprotocollen. Testverslagen, Tijdverantwoording, Toegangbeleid, Toegangsbeveiliging van portals, Toegangsrechten van beheerders. Toestemmingsprofielen van patiënten, Toezichthoudende instanties. Trainings- en opleidingsplannen. Trendrapportages Tussentijdse risicoanalyses, Uitkomsten / meetwaarden / prestaties met betrekking tot MUD en MGV. Uitkomsten risicoanalyses, Validatiecontroles, Veiligheidsrondes, Verbeterplannen, Vergunningen, Verklaring omtrent gedrag (registratie). Verklaring van toepasselijkheid Versiebeheer. Verslagen managementreviews, Verslagen werkoverleggen, Voortgangsrapportages, Vrijgave-adviezen. Vrijgavebesluiten. Vrijgaveprocedures, Wachtwoordconventies, Werkwijzen voor risicoanalyse, Wijzigingsprocedures, Workarounds, Zoneringsbeleid, Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v ii

20 Bijlage D: Wet- en regelgeving Considerans Normelement/beheersmaatregel NEN7510:2011 luidt als volgt Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie. In de norm wordt niet nader uitgewerkt welke wet en regelgeving en contractuele verplichtingen worden bedoeld. En derhalve wordt dit niet nader geconcretiseerd. Het is in het kader van het opstellen van een toetsbare en concrete norm noodzakelijk dat de relevante wet- en regelgeving wordt geïdentificeerd en vervolgens geconcretiseerd. In ZekereZorg3 is de volgende wet- en regelgeving als base line geïdentificeerd 8 : Wet op de geneeskundige behandelingsovereenkomst (Wgbo), Wet BIG, Wet Medische hulpmiddelen, Kwaliteitswet Zorginstellingen, Wet bescherming persoonsgegevens Wet gebruik BSN in de zorg 1. Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) 1.1 Doel Deze wet regelt de relatie tussen patiënt en hulpverlener (artsen, verpleegkundigen, orthopedagogen, psychologen, verloskundigen, fysiotherapeuten, logopedisten, orthopedagogen et cetera). Wanneer een patiënt de hulp van een zorgverlener inroept, ontstaat een geneeskundige behandelingsovereenkomst tussen hen. De patiënt is opdrachtgever tot zorg, hetgeen gedefinieerd wordt als: onderzoek, het geven van raad en handelingen op het gebied van de geneeskunst, die het doel hebben iemand van een ziekte te genezen, ziekte te voorkomen of de gezondheidstoestand te beoordelen, of het verlenen van verloskundige bijstand. De WGBO is van dwingend recht, dat wil zeggen dat zorgverleners (of zorgverlenende instanties) en patiënten onderling geen afspraken kunnen maken die in strijd zijn met de WGBO. 1.2 Het recht van de patiënt op informatie Een patiënt heeft recht op informatie, in begrijpelijke taal, over zijn/haar ziekte, de behandeling, de gevolgen en risico's van die behandeling en over eventuele alternatieve behandelingen. De zorgverlener zal, als dat gewenst en noodzakelijk is, de informatie schriftelijk geven, zodat de patiënt die nog eens rustig kan nalezen. Als de zorgverlener denkt dat bepaalde informatie bij de patiënt slecht zal vallen, dan is dat geen reden om de patiënt deze informatie niet te geven. Alleen als naar het oordeel van de zorgverlener het geven van bepaalde informatie ernstig nadeel voor de patiënt zal opleveren, dan verstrekt hij die informatie niet. De zorgverlener is wel verplicht dit met een andere zorgverlener te overleggen. Als een patiënt zegt bepaalde informatie niet te willen, dan krijgt hij die informatie niet, tenzij dit ernstig nadeel voor hemzelf of anderen oplevert, dan krijgt de patiënt toch die informatie van de zorgverlener Het recht van de patiënt op inzage in zijn dossier Van iedere patiënt wordt een medisch dossier bijgehouden. Hierin staan alle gegevens die betrekking hebben op de behandeling. Omdat het dossier gaat over zijn/haar lichaam en gezondheid kunnen patiënten deze uiteraard inzien, met uitzondering van de gegevens die niet over henzelf gaan. Op de 8 Thans blijven buiten beschouwing: i) Wet Cliëntenrechten zorg (Wcz). Dit wetsvoorstel is aanhangig bij de Tweede Kamer. Na inwerkingtreding kunnen de toetsingscriteria, c.q. kan deze handleiding worden aangepast. ii) Regels rondom Goed beheerd Zorgsysteem. Dit vanwege het sneuvelen van de invoering van het LSP in de Eerste Kamer in mei 2011, iii) Zorgbrede governance code, iv) Zorgverzekeringswet, v) Wet marktordening gezondheidszorg. Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v iii

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg 4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Checklist documenten

Checklist documenten Checklist documenten De checklist kan gebruikt worden als hulpmiddel bij de voorbereiding voor een -Keurmerk audit. Met de checklist krijgt u een indruk welke onderwerpen mogelijk nog aandacht nodig hebben

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken

VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken Leiderschap 1. De directie heeft vastgelegd en is eindverantwoordelijk voor het

Nadere informatie

Documentenanalyse Veiligheidsvisitatiebezoek

Documentenanalyse Veiligheidsvisitatiebezoek Ingevuld door: Naam Instelling: Documentenanalyse Veiligheidsvisitatiebezoek In de documentenanalyse wordt gevraagd om verplichte documentatie en registraties vanuit de NTA 8009:2007 en HKZ certificatieschema

Nadere informatie

1 Wat zijn interne audits?

1 Wat zijn interne audits? 1 Wat zijn interne audits? Binnen de organisatie willen we kwaliteit garanderen in de zorgverlening die wij bieden of het product dat we maken. We hebben daarom allerlei afspraken gemaakt over het werk.

Nadere informatie

Certificatieproces Kwaliteitsnorm Speciaal Onderwijs

Certificatieproces Kwaliteitsnorm Speciaal Onderwijs Certificatieproces Kwaliteitsnorm Speciaal Onderwijs I. Inleiding De Kwaliteitsnorm Speciaal Onderwijs is ontwikkeld door de Beheergroep KSO en intern getoetst op compatibiliteit met ISO 9001:2008. Echter,

Nadere informatie

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing

GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen

Nadere informatie

Energie management Actieplan

Energie management Actieplan Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Integrated Audit in het Erasmus MC

Integrated Audit in het Erasmus MC Integrated Audit in het Erasmus MC NFU Symposium Mind the gap! Effectieve inzet van interne audits 29 mei 215 Freek Wegerif Sector Audit Succesfactoren Uitdagingen 2 Integrated audit - uitvoering EXPERTS

Nadere informatie

INTEGRATIE VAN MANAGEMENTSYSTEMEN. Leen Scheers Senior consultant

INTEGRATIE VAN MANAGEMENTSYSTEMEN. Leen Scheers Senior consultant Welkom INTEGRATIE VAN MANAGEMENTSYSTEMEN Leen Scheers Senior consultant GEGEVEN bedrijven wensen verschillende managementsystemen met certificaten meerdere invalshoeken (KVM), zowel op managementniveau

Nadere informatie

Medewerker administratieve processen en systemen

Medewerker administratieve processen en systemen processen en systemen Doel Voorbereiden, analyseren, ontwerpen, ontwikkelen, beheren en evalueren van procedures en inrichting van het administratieve proces en interne controles, rekening houdend met

Nadere informatie

1. FORMAT PLAN VAN AANPAK

1. FORMAT PLAN VAN AANPAK INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en

Accountantsprotocol declaratieproces. revalidatiecentra fase 2 : bestaan en Accountantsprotocol declaratieproces revalidatiecentra fase 2 : bestaan en werking Versie 29 september 2015 Inhoud 1. Inleiding en uitgangspunten 3 2. Onderzoeksaanpak accountant 4 2.1 Doel en reikwijdte

Nadere informatie

Auditstatuut. Systeemtoezicht Wegvervoer

Auditstatuut. Systeemtoezicht Wegvervoer Auditstatuut Systeemtoezicht Wegvervoer Datum: 17 januari 2013 Status: vastgesteld versie 1.0 Pagina 1 van 9 Inhoud 1 Voorwoord 3 2 Audits 4 2.1 Systeemcriteria 4 3 Traject audit 5 3.1 Self-assessment

Nadere informatie

ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE

ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID TWEEDE MEERJARENPLAN 2013-2017 Contract 2013 ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE Sp-ziekenhuizen 1 1. Inleiding Hierna volgt

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Rapport bij de jaarstukken 2007 provincies Noord-Brabant en Limburg

Rapport bij de jaarstukken 2007 provincies Noord-Brabant en Limburg Startnotitie Rapport bij de jaarstukken 2007 provincies Noord-Brabant en Limburg 1 Aanleiding voor het onderzoek In de jaarrekening en het jaarverslag leggen Gedeputeerde Staten jaarlijks verantwoording

Nadere informatie

Certificeren Waardevol?? KVGM B.V.

Certificeren Waardevol?? KVGM B.V. Certificeren Waardevol?? KVGM Improvement Solutions: + Specialisten in verbetermanagement + 20 jaar ervaring + 6 deskundige, gedreven en pragmatische professionals + Praktische aanpak waarbij de klantorganisatie

Nadere informatie

Aanpak projectaudits

Aanpak projectaudits Aanpak projectaudits 1. Inleiding Veel lokale overheden werken op basis van een standaardmethodiek Projectmatig Werken. Op die manier wordt aan de voorkant de projectfasering, besluitvorming en control

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg

Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg Opstapcertificatie fase I en II > VV&T Onderdeel Kraamzorg Versie 2012 Inleiding 201 Nederlands Normalisatie Instituut. Niets uit deze uitgave mag worden vermenigvuldigd en/of openbaar gemaakt door middel

Nadere informatie

EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN

EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN VOORBEELD VEILIGHEIDSPLAN EEN MEERJARIG BELEIDSPLAN MET SMART DOELSTELLINGEN Hieronder ziet u de hoofdstukken en paragrafen van het veiligheidsplan. Per paragraaf ziet u welke informatie u moet geven.

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Handleiding Kwaliteitszorg Medische Vervolgopleidingen

Handleiding Kwaliteitszorg Medische Vervolgopleidingen Handleiding Kwaliteitszorg Medische Vervolgopleidingen Martini Ziekenhuis Groningen/Van Swieten Instituut Ziekenhuisgroep Twente locatie Almelo en Hengelo/ZGT Academie 2013 1 Inleiding Ter bewaking van

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Energie Management Actieplan Rijssen, Juli 2013 Auteur: L.J. Hoff Geaccodeerd door: M. Nijkamp Directeur Inhoudsopgave 1. Inleiding Pagina 3 2. Beleid CO₂ reductie Pagina 4 3. Borging CO₂ prestatieladder

Nadere informatie

Accreditaties in de zorg

Accreditaties in de zorg Accreditaties in de zorg toen, nu en in de toekomst 28 november 2014 Kees van Dun, directeur NIAZ Allereerst: Felicitaties aan Maastricht UMC+: 15 jaar NIAZ; Op dit moment 1 van de 7 NIAZ best practices!

Nadere informatie

ISO Zorg en Welzijn ISO-9001/EN-15224

ISO Zorg en Welzijn ISO-9001/EN-15224 ISO Zorg en Welzijn ISO-9001/EN-15224 ISO 9001:2008 Moeder alle kwaliteitsnormen. Internationaal erkende kwaliteitsnorm. Prima basis als kwaliteitsnorm. Algemeen erkend, bekend en meerwaarde bewezen. Norm

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Energie Management Actieplan

Energie Management Actieplan Tijssens Electrotechniek B.V. De Boelakkers 25 5591 RA Heeze Energie Management Actieplan 2015 Status: definitief versie 1.0 Datum: november 2015 Datum gewijzigd: n.v.t. Auteur: U.Dorstijn Pagina 1 Inhoud

Nadere informatie

Energiemanagement Actieplan

Energiemanagement Actieplan 1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE

Nadere informatie

Energiemanagementplan Carbon Footprint

Energiemanagementplan Carbon Footprint Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)

Nadere informatie

25 Het CATS CM Maturity Model

25 Het CATS CM Maturity Model 25 Het CATS CM Maturity Model Op basis van de ervaringen die zijn opgedaan in het advies- en trainingswerk van CM Partners is, uitgaande van CATS CM, een volwassenheidsmodel opgesteld dat ingezet kan worden

Nadere informatie

Energiemanagement actieplan. Baggerbedrijf West Friesland

Energiemanagement actieplan. Baggerbedrijf West Friesland Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II

Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II Confidentieel 1 Audit Assurance bij het Applicatiepakket Interne Modellen Solvency II 1 Inleiding Instellingen die op grond van art. 112, 230 of 231 van de Solvency II richtlijn (richtlijn 2009/139/EC)

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

http://www.health.fgov.be/pls/apex/f?p=225:1:1754521204855099.

http://www.health.fgov.be/pls/apex/f?p=225:1:1754521204855099. STILZWIJGENDE VERLENGING VAN HET CONTRACT COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID Het contract coördinatie kwaliteit en patiëntveiligheid 2013 wordt stilzwijgend verlengd voor een periode van 12 maanden

Nadere informatie

Introductie OHSAS 18001

Introductie OHSAS 18001 Introductie OHSAS 18001 OHSAS 18001 -in het kort OHSAS 18001 is een norm voor een managementsysteem die de veiligheid en gezondheid in en rondom de organisatie waarborgt. OHSAS staat voor Occupational

Nadere informatie

MOBI PROCES BESCHRIJVING

MOBI PROCES BESCHRIJVING MOBI METHODIEK VOOR EEN OBJECTIEVE BEVEILIGINGSINVENTARISATIE PROCES BESCHRIJVING HAVENBEDRIJF AMSTERDAM INHOUDSOPGAVE MOBI voor havenfaciliteiten... 2 INLEIDING... 2 ALGEMEEN... 2 PROCES SCHEMA... 5 BIJLAGEN...

Nadere informatie

Energiemanagementprogramma HEVO B.V.

Energiemanagementprogramma HEVO B.V. Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder

Nadere informatie

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM

Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM Pagina 1 van 6 Leidraad PLAN VAN AANPAK OP WEG NAAR EEN CERTIFICEERBAAR KWALITEITSMANAGEMENTSYSTEEM In het onderstaande is een leidraad opgenomen voor een Plan van aanpak certificeerbaar kwaliteitsmanagementsysteem.

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014

Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014 Lloyd s Register, LRQA België & Nederland Gent, 23 april 2014 Kris Winters Marcel de Bruijn Jürgen van Dueren den Hollander Maurits Dekker Improving performance, reducing risk Wie is Lloyd s Register,

Nadere informatie

SiSa cursus 2013. Gemeente en accountant. 21 november 2013

SiSa cursus 2013. Gemeente en accountant. 21 november 2013 SiSa cursus 2013 Gemeente en Welkom Even voorstellen EY: Stefan Tetteroo RA Page 1 Agenda Doelstelling Accountant en gemeente Onze visie inzake de betrokken actoren Coördinatie- en controlefunctie binnen

Nadere informatie

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit

voorzitter NOREA Adri de Bruijn NIVRA-NOREA-aanpak privacy-certificering privacy-audit Adri de Bruijn voorzitter NOREA NIVRA-NOREA-aanpak privacy-audit privacy-certificering Platform Informatiebeveiliging, 13 april 25 Nr 1 2 3 4 5 6 7 8 9 1 Waarom een privacy-certificaat? Reden % Het aantoonbaar

Nadere informatie

BEOORDELINGSKADER EN -PROCEDURE VOOR DE CERTIFICERING VAN BEDRIJFSOPLEIDINGEN TOURMANAGER

BEOORDELINGSKADER EN -PROCEDURE VOOR DE CERTIFICERING VAN BEDRIJFSOPLEIDINGEN TOURMANAGER BEOORDELINGSKADER EN -PROCEDURE VOOR DE CERTIFICERING VAN BEDRIJFSOPLEIDINGEN TOURMANAGER 1. INLEIDING Het certificeringsonderzoek voor de aanbieders van opleidingen voor tourmanager heeft de vorm van

Nadere informatie

Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen

Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen Rapport bij project 109154, versie 01 Dit rapport is geschreven in

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025)

Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) Gelijkwaardigheid van niet-geaccrediteerde laboratoria (conform NEN-EN ISO/IEC 17025) NEa, 20-07-2012, versie 1.0 INTRODUCTIE In artikel 34 van de Monitoring en Rapportage Verordening (MRV) is beschreven

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Informatiebeveiligingsbeleid Inhoudsopgave 1 Goedkeuring informatiebeveiligingsbeleid en distributie (BH1) 2 2 Inleiding 2 2.1 Toelichting 2 2.2 Definitie van informatiebeveiliging 2 2.3 Samenhang tussen

Nadere informatie

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013

ENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013 ENERGIEMANAGEMENT ACTIEPLAN code: B1308 3 oktober 2013 datum: 3 oktober 2013 referentie: lak code: B1308 blad: 3/8 Inhoudsopgave 1. Inleiding 4 2. Onderdelen van het energiemanagement actieplan 5 2.1

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

350.51 Interne audits effectiever inzetten

350.51 Interne audits effectiever inzetten 350.51 Interne audits effectiever inzetten ing. A.M. Ruting Inleiding Een belangrijk doel van een audit is het boven tafel krijgen van informatie. In het woordenboek wordt de betekenis van het woord audit

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

NTA 8620 en de relatie met andere normen voor managementsystemen

NTA 8620 en de relatie met andere normen voor managementsystemen NTA 8620 en de relatie met andere normen voor managementsystemen Dick Hortensius NEN Milieu&maatschappij Herziening NTA 8620 1 Inhoud Aanleiding en aanpak herziening NTA Belangrijkste aandachtspunten Afstemming

Nadere informatie

Het certificeringstraject

Het certificeringstraject Het ertifieringstrajet Naar dit doument wordt verwezen in Hoofdstuk 6 6 Hierna wordt in negen stappen het ertifieringstrajet geshetst. 1 Bepalen moment van ertifieren Het heeft pas zin om een externe audit

Nadere informatie

1) Medische technologie is bedoeld als in bijlage 1 van het convenant gedefinieerd Pagina 1 van 5

1) Medische technologie is bedoeld als in bijlage 1 van het convenant gedefinieerd Pagina 1 van 5 Positie van technologie in het Veiligheids- en Kwaliteitssysteem van het ziekenhuis Verantwoordelijkheden 2.1 In het ziekenhuis is de portefeuille van De verantwoordelijkheid van de RvB is expliciet instelling

Nadere informatie

Bijlage 10 Overzicht acties kwaliteitsmanagementsysteem

Bijlage 10 Overzicht acties kwaliteitsmanagementsysteem Bijlage 10 Overzicht acties kwaliteitsmanagementsysteem Onderstaand wordt een suggestie gedaan voor de ontwikkeling van een kwaliteitsmanagement (KMS) in vier jaar. Daarbij is rekening gehouden met de

Nadere informatie

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD

De Baseline Informatiebeveiliging & grote gemeenten. 6 oktober 2014 John van Huijgevoort, IBD De Baseline Informatiebeveiliging & grote gemeenten 6 oktober 2014 John van Huijgevoort, IBD Agenda De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG): Samenhang Instrumenten Hoe om te gaan

Nadere informatie

NIAZ in de praktijk. Aandachtspunten voor het slagen van een accreditatietraject. Wendy Ellenbroek. Nathalie van Vemde. Q-Consult

NIAZ in de praktijk. Aandachtspunten voor het slagen van een accreditatietraject. Wendy Ellenbroek. Nathalie van Vemde. Q-Consult NIAZ in de praktijk Aandachtspunten voor het slagen van een accreditatietraject Wendy Ellenbroek Nathalie van Vemde Q-Consult Aangeboden door WEKAkwaliteit Kennisbank Kwaliteitsmanagement (Module Certificering)

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur LEIDRAAD Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur 1 Januari 2014 1 INLEIDING Medisch specialisten zijn voor een goede en veilige uitoefening

Nadere informatie

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Ruwaard van Putten Ziekenhuis Onderzoek

Nadere informatie

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde. 1 Q&A Volmachten Q Onder welke voorwaarden staat het een verzekeraar vrij om een volmacht te verlenen aan een gevolmachtigde agent (GA) voor het namens en voor rekening van de verzekeraar sluiten van verzekeringen?

Nadere informatie

Kwaliteitskeurmerk voor het Speciaal Onderwijs.

Kwaliteitskeurmerk voor het Speciaal Onderwijs. Kwaliteitskeurmerk voor het Speciaal Onderwijs. Inhoud presentatie De Kwaliteitsnorm Speciaal Onderwijs Implementatie norm en ISO-certificering bij de Ambelt Meerwaarde voor de Ambelt Rol van de externe

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Hoezo dé nieuwe ISO-normen?

Hoezo dé nieuwe ISO-normen? De nieuwe ISO-normen Dick Hortensius Senior consultant Managementsystemen NEN Milieu & Maatschappij dick.hortensius@nen.nl 1 Hoezo dé nieuwe ISO-normen? 2 1 De cijfers voor Nederland (eind 2013) Norm Aantal

Nadere informatie

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015 NTA 8620 versus ISO-systemen Mareille Konijn Voorstellen Mareille Konijn Lid van de NEN-werkgroep Senior HSE consultant Industry, Energy & Mining T: 088 348 21 95 M: 06 50 21 34 27 mareille.konijn@rhdhv.com

Nadere informatie

Energiemanagement actieplan. Van Schoonhoven Infra BV

Energiemanagement actieplan. Van Schoonhoven Infra BV BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.

Nadere informatie

Handleiding voor het SURF Groene ICT Maturity Model

Handleiding voor het SURF Groene ICT Maturity Model Een zelfscan voor Groene ICT en Duurzaamheid in de organisatie Auteur(s): Met dank aan: Versie: Gebaseerd op: Albert Hankel Henk Plessius, Dirk Harryvan, Bert van Zomeren 2.0 SGIMM v2.0 Datum: 16-04-2015

Nadere informatie

Masterclass Veiligheidsmanagementsysteem

Masterclass Veiligheidsmanagementsysteem Masterclass Veiligheidsmanagementsysteem PART zorg 13 mei 2014 Agenda 1 2 3 4 5 Introductie VMS - huiswerkopdracht Introductie VIM Casus en gespreksoefening Taken VIM-team Discussie + afsluiting Plaats

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014

Afdeling : Planning & Control Organisatie : Thuisvester Functie : Medewerker Planning & Control Datum : augustus 2014 FUNCTIEDOCUMENT CONTEXT De afdeling Planning & Control richt zich op de effectieve en efficiënte uitvoering van planning & controlcyclus governance, financiering & treasury en risicomanagement. De medewerker

Nadere informatie

Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder. Datum: 18-08-2011 Versie: 02

Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder. Datum: 18-08-2011 Versie: 02 Stappenplan certificering van de MVO Prestatieladder en de CO 2 -Prestatieladder Datum: 18-08-2011 Versie: 02 Opgesteld door: ing. N.G. van Moerkerk Inhoudsopgave Opbouw niveaus van de MVO Prestatieladder

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

CO 2 Managementplan Energie meetplan 2.C.2 & 3.B.2 & 4.A.2. Jade Beheer B.V. OFN OFS 2C. Autorisatiedatum: 19-03-2016 Versie: 1.0

CO 2 Managementplan Energie meetplan 2.C.2 & 3.B.2 & 4.A.2. Jade Beheer B.V. OFN OFS 2C. Autorisatiedatum: 19-03-2016 Versie: 1.0 CO 2 Managementplan Energie meetplan 2.C.2 & 3.B.2 & 4.A.2 Jade Beheer B.V. OFN OFS 2C Auteur: Coert van Maren Autorisatiedatum: 19-03-2016 Versie: 1.0 CO 2 management plan 2.C.2 & 3.B.2 & 4.A.2 1 Inhoud

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Disclosure slide. (potentiële) belangenverstrengeling

Disclosure slide. (potentiële) belangenverstrengeling Disclosure slide (potentiële) belangenverstrengeling Voor bijeenkomst mogelijk relevante relaties met bedrijven Sponsoring of onderzoeksgeld Honorarium of andere (financiële) vergoeding Aandeelhouder Andere

Nadere informatie

Dashboard module Klachtenmanagement 2012

Dashboard module Klachtenmanagement 2012 Dashboard module Klachtenmanagement 0 Onderstaande beschrijving omvat een toelichting en de kenmerken die tot een hoge score leiden in de module Klachtenmanagement van het Klantbelang Dashboard. Dit is

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG /

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie