Privacy- en informatiebeveiliging voor de zorg en de NEN 7510

Maat: px
Weergave met pagina beginnen:

Download "Privacy- en informatiebeveiliging voor de zorg en de NEN 7510"

Transcriptie

1 Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit 2010 Onderzoek Zorgsector Privacy- en informatiebeveiliging voor de zorg en de NEN 7510 Een beschouwing op de NEN 7510 norm om bestuur en management van Zorginstellingen, toezichthouders en IT auditors inzicht te geven deze norm op een adequate wijze kunnen toepassen voor strategie en visie vorming, implementatie of toetsing.

2

3 Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit 2010 Onderzoek Zorgsector Privacy- en informatiebeveiliging in de zorg en de NEN 7510 Ing. Marcel Lavalette CISA Mariendaal NH Enschede Studentennummer April 2010 Scriptie begeleider: Drs. C.J. Coumou Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 3 van 69

4 Inhoudsopgave Voorwoord Inleiding Doel van dit onderzoek IT audit perspectief Reikwijdte De onderzoeksaanpak Leeswijzer Begrippenkaders De context en het belang van informatiebeveiliging voor de zorg Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen Wat is informatiebeveiliging Selectie van maatregelen Informatiebeveiliging als continu proces IT, Risico s, risicomanagement en de risicoanalyse Risico s Risicomanagement proces De risicoanalyse in het risicomanagement proces Code voor Informatiebeveiliging en het ISMS Normen en standaarden voor informatiebeveiliging De oorsprong, de Code voor Informatiebeveiliging ISO 27799, de Europese norm voor de zorg NEN 7510, informatiebeveiligingsnorm voor de zorg Verschil ISO en de NEN Certificeringsmogelijkheden voor de NEN NEN 7511, Toetsbare voorschriften NEN voor complexe organisaties NEN voor samenwerkingsverbanden NEN voor solopraktijken NEN 7512 voor elektronische communicatie NEN 7513 vastlegging acties op elektronische patiëntendossiers Ontwikkelingen in de NEN7510 in Toetsingsnorm of uitvoeringnorm Wat is een norm Toetsingsnormen Uitvoeringsnormen (best practices) Is de NEN7510 een uitvoeringsnorm of een toetsingsnorm? Toetsingsnorm 2010 voor Ziekenhuizen Strategische en bestuurlijke context Interne beheersing volgens COSO IT Governance Enterprise risk management en de relatie met IT risicomanagement Volwassenheidsniveau van informatiebeveiliging De Zorgbrede Governance Code Het nieuwe zorgstelsel Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 4 van 69

5 Diagnosebehandelcombinaties (DBC s) Zorgleefplan en Zwaartepakketten (ZZP s) Het EPD De infrastructuur van het Landelijk EPD GBZ Eisen GBZ toetsing (privacy)wet- en regelgeving Privacybeveiliging Wet Bescherming Persoonsgegevens (WBP) Wet Bescherming Persoonsgegevens en de zorg Grondwet Auteurswet Computercriminaliteit Wet elektronische handtekeningen (WEH) Wet Toelating Zorginstellingen (WTZi) transparantie- eisen voor bestuur en toezicht Kwaliteitswet zorginstellingen (HKZ) Wet op de geneeskundige behandelingsovereenkomst (WGBO) Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) Wet gebruik burgerservicenummer in de Zorg (Wbsn- z) IT risicomanagement Borging van Informatiebeveiliging als proces volgens NEN Inrichten van een ISMS Risicoanalyse Het 12 Stappenplan voor invoering van de NEN Risicomanagement toevoeging op het 12 Stappenplan Welke partijen toetsen op wat en met welke normenkaders? Conclusie Overwegingen voor de zorgaanbieders IT audit overwegingen Discussie IT audit overwegingen bij certificering Literatuurlijst, bronnen & interviews Bijlage A, GBZ eisen en de NEN Bijlage B, Vergelijkingsmatrix NEN 7510 en ISO Bijlage C, NVZ start- en vervolg normen en het GBZ Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 5 van 69

6 Voorwoord Bestuurder of managers in de zorg zullen ongetwijfeld onderschrijven dat ICT niet meer weg te denken is in de bedrijfsvoering van hun organisatie. ICT biedt de mogelijkheden om de kwaliteit te verbeteren van zorgprocessen, de efficiency te verhogen en om kosten te besparen. Naast voordelen brengt het toepassen van ICT ook nadelen met zich mee. Door het toenemende gebruik neemt de afhankelijkheid toe. In sommige gevallen is deze afhankelijkheid zo groot dat bij uitval van de ICT enkele processen tot stilstand komen. Door de verwerking, opslag en communicatie van medische en patiëntinformatie in ketens, mobiele werkplekken, internet Portals en een EPD, nemen de risico s toe op het gebied van inbreuken op de vertrouwelijkheid en de juistheid van informatie. Steeds vaker bereiken dergelijke incidenten de media en is reputatieschade een toenemende factor in de risicoafweging geworden. Op website barometers wordt steeds vaker de performance van instellingen bijgehouden 1. Het is een kwestie van tijd dat informatiebeveiliging ook hier als graadmeter gehanteerd gaat worden. Concurrentie overwegingen, financieel rendement, efficiency, maatschappelijk belang en bescherming van de reputatie worden steeds vaker reden om risico s te beheersen. In de praktijk wordt het beheersen van deze risico s echter als complex ervaren. Het vraagt om materiekennis en verstand van zaken om een goede risicoafweging te kunnen maken en om normen en methodes goed toe te kunnen passen. Dit wordt versterkt door het feit dat er veel onduidelijkheid bestaat over de eisen waaraan men dient te voldoen en hoe de bestaande normen toe te passen. Dit alles maakt het beleidsmakers niet makkelijk om keuzes te maken en tot een beleid en strategie te komen voor informatiebeveiliging om te voldoen aan deze wir war van normen, wet- en regelgeving en risico s. Vanuit mijn werk als IT Risico- en Compliance consultant heb ik de afgelopen jaren veel met bestuurders, Security Officers en IT managers gesproken in de zorg over privacy- en informatiebeveiliging en business continuity. Velen blijken te worstelen met de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Moet men er nu wel of niet eraan voldoen, waarom en waaraan dan precies, op wat wordt getoetst, moet mijn leverancier NEN 7510 gecertificeerd zijn, hoe zit het met andere standaarden zoals ISO en wat is het verschil, kan ik gecertificeerd worden voor NEN 7510, wat is de relatie met het EPD en het GBZ? Dit zijn vragen die ik in de praktijk zoal tegenkom en de reden om dit onderzoek uit te voeren om dit eenduidig in kaart te brengen. 1 Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 6 van 69

7 1. Inleiding 1.1. Doel van dit onderzoek Het doel van dit onderzoek is om aan beleidsmakers in de zorg die informatie te vertrekken die noodzakelijk is om een beleid en strategie te bepalen om privacy- en informatiebeveiliging effectief en efficiënt in te voeren op basis van de volgende uitgangspunten: 1. Strategische en bestuurlijke context 2. (Privacy)wet- en regelgeving 3. IT Risicomanagement De reden waarom juist voor deze genoemde drie uitgangspunten is gekozen wordt in hoofdstuk duidelijk gemaakt. In dit onderzoek wordt uitvoerig stilgestaan bij de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Dit onderzoek geeft derhalve ook antwoord op de volgende subvragen: 1) Wat is een norm en voldoet de NEN7510 aan die omschrijving? 2) Wat is de doelstelling en reikwijdte van de NEN7510 norm? 3) Voor welk van de genoemde drie uitgangspunten is de NEN7510 geschikt of verplicht, als toetsingsnorm of uitvoeringsnorm? 4) Welke alternatieven of combinaties met andere normen/standaarden bieden dezelfde zekerheid IT audit perspectief Toezichthouders en IT auditors worden door de inzichten van dit onderzoek in staat gesteld toetsingsnormen op een adequate wijze te hanteren of af te leiden zodat deze enerzijds aansluiten op een toetsingscriteria en anderzijds aansluiten op de doelstellingen en mogelijkheden van een zorginstelling Reikwijdte Voor dit onderzoek is er geen onderscheidt gemaakt in Cure of de Care instellingen of een specifieke sector. Het onderzoek is gedaan vanuit het perspectief van de zorgaanbieders en niet vanuit andere partijen zoals leveranciers, partijen die verantwoordelijk zijn voor de EPD infrastructuur of andere leveranciers of ketenpartijen De onderzoeksaanpak Dit onderzoek kenmerkt zich als een literatuurstudie naar definities en normen voor informatiebeveiliging, met name de NEN 7510 norm in het bijzonder, strategische en bestuurlijke aspecten, (privacy) wet- en regelgeving en informatie op het gebied van risicomanagement en methoden van beoordelingen in de zorg. Er is onderzocht welke vormen van normen er zijn en aan welke vorm(en) de NEN7510 voldoet. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 7 van 69

8 Voor het verkrijgen van additionele informatie en het afstemmen van de bevindingen en conclusies zijn er diverse interviews gevoerd met vertegenwoordigers van het Nederlands Genootschap voor Huisartsen (NGH), de Nederlandse Vereniging voor Ziekenhuizen (NVZ), NICTIZ, een Academisch Ziekenhuis, certificerende instellingen en een IT hosting provider Leeswijzer De hoofdstukken 2, 3 en 4 geven inzicht in de definities van informatiebeveiliging, risicomanagement, de historie, achtergronden en uitleg over normen zoals de NEN 7510 norm en de verschijningsvormen van normen. Hoofdstuk 5, 6 en 7 gaan in op de genoemde drie uitgangspunten in hoofdstuk 1.1. De in hoofdstuk 1.2. genoemde subvragen 1 en 2 worden beantwoord in de hoofdstukken 3 en 4. Subvraag 3 wordt beantwoord in de hoofdstukken 5, 6 en 7 en subvraag 4 wordt beantwoord in de hoofdstukken 8 (conclusie) en 9 (discussie). Het IT audit perspectief wordt toegelicht in de conclusie Hoofdstuk 8 geeft een overzicht op de aspecten waarop getoetst wordt, of de NEN7510 noodzakelijk is of aan te bevelen en door welke toezichthoudende instanties; Hoofdstuk 9 geeft een conclusie weer in hoe NEN7510 toe te passen in relatie tot de drie invalshoeken en als toetsingsnorm of als implementatienorm; Hoofdstuk 10 geeft een discussie weer over de NEN7510 norm, de op handen zijnde revisie van de norm begin 2011, de relatie met de ISO norm en de relatie met het EPD en de drie invalshoeken; Bijlage A geeft een overzicht van de eisen die gesteld worden aan een Goed Beheerst Zorgsysteem (GBZ) in het kader van het EPD en vergelijkt deze eisen met de NEN 7510; Bijlage B geeft een overzicht van de onderwerpen van de NEN7510 norm in relatie tot ISO (Code voor Informatiebeveiliging); Bijlage C geeft een overzicht van de Start- en vervolgnormen van de Nederlandse Vereniging voor Ziekenhuizen. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 8 van 69

9 2. Begrippenkaders Om de drietal invalshoeken, de Strategische en bestuurlijke context, (Privacy)wet- en regelgeving en IT Risicomanagement op een juiste wijze te kunnen beoordelen worden eerst een aantal begrippen uitgelegd en de context van informatiebeveiliging en de zorg De context en het belang van informatiebeveiliging voor de zorg Voor de zorgsector is er een norm voor informatiebeveiliging, de NEN 7510 die in hoofdstuk 3 nader uitgelegd wordt. Sinds het ontstaan van deze NEN7510 norm in 2004 heeft de zorgsector de nodige ontwikkelingen doorgemaakt. Zo is er sinds 2005 de Zorgbrede Governance code, is er een nieuwe zorgstelsel geïntroduceerd, een nieuw financieel verantwoording- en facturatieproces met zorgverzekeraars op basis van de diagnosebehandelcombinaties (DBC s) en zorgzwaartepakketten (ZZP s) geïntroduceerd, hebben veel instellingen nieuwe Patiënt of Cliënt informatiesystemen geïmplementeerd, is een kwaliteitssysteem verplicht gesteld (HKZ) en zijn er diverse regionale en landelijke ontwikkelingen op het gebied van een EPD. Daarnaast is in 2009 ook de wet gebruik BSN in de zorg (Bsn- z) geëffectueerd, hebben veel zorginstellingen al een lokaal variant van een elektronische patiënten- of cliëntendossier en staan we wellicht aan de vooravond van de invoering van een landelijk patiënten- of cliëntendossier. In het voorwoord zijn we al ingegaan op de toenemende automatisering, complexiteit in ketens en communicatie en de afhankelijkheid van IT in de zorg. Uitval, misbruik of openbaring van (privacy)informatie en informatiesystemen heeft in veel gevallen directe consequenties voor de kwaliteit van de zorg, kan tot levensbedreigende situaties leiden, de reputatie van een instelling schaden en consequenties hebben voor de vergoedingen van de verzekeraars. Het beheersen van risico s die betrekking hebben op de IT- voorziening is hierdoor noodzakelijk geworden voor een goede bedrijfsvoering. Stringenter Wet- en regelgeving zoals de Wbsn- z, privacy waarborgen en het aansluiten op een landelijke infrastructuur voor het Elektronisch patiëntendossier zal de noodzaak voor informatiebeveiliging en IT risicobeheersing alleen nog maar doen toenemen. De zorgsector is ook opener geworden. Steeds meer zorginstellingen nemen diensten af van externe services verleners zoals de Software as a Services aanbieders, hosting partijen, outsourcing aanbieders en externe partijen in de landelijke infrastructuur van het EPD. Dit wordt deels veroorzaakt door een sterkere drang naar efficiency en financieel rendement omwille van concurrentie doelstellingen. Een situatie die het gevolg is van de grotere marktwerking. Door de afhankelijkheid van derde partijen dient de zorg ook te kunnen steunen op het beveiligingsniveau van deze derde partijen. Inzicht in gehanteerde standaarden en normenkaders voor privacy- en informatiebeveiliging wordt hierdoor steeds belangrijker Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen Om de noodzaak aan te tonen van privacy- en informatiebeveiging is hier de samenvatting weergegeven van het rapport uit 2008 Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm van de Inspectiedienst voor de Gezondheidszorg. Weliswaar is dit niet representatief voor de gehele sector maar het geeft toch een goed beeld over de situatie en de wijze waarop een dergelijke toetsing heeft plaatsgevonden. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 9 van 69

10 Samenvatting: Naar aanleiding van de resultaten van het door de IGZ in 2004 gepubliceerde rapport ICT in ziekenhuizen is opnieuw onderzoek verricht naar de stand van de informatiebeveiliging in ziekenhuizen, mede vanwege de op handen zijnde invoering van delen van het Elektronisch Patiëntendossier en de bijbehorende toename van het gebruik van ICT bij de directe patiëntenzorg. Het onderzoek is nu uitgevoerd door de IGZ en het CBP onder twintig ziekenhuizen door middel van gesprekken met een vertegenwoordiger van de Raad van Bestuur, de afdeling ICT en de medische staf. Het doel van het onderzoek was het verkrijgen van een beeld van de stand van zaken van de implementatie van de NEN 7510 norm bij ziekenhuizen in het algemeen. Tevens werd de invulling van de informatiebeveiliging in de gekozen ziekenhuizen onderzocht en gecontroleerd of de getroffen maatregelen voldoen aan de relevante wet- en regelgeving. Uit het onderzoek blijkt dat er vooral op technisch gebied in vergelijking met vier jaar geleden veel is verbeterd. Echter, zowel de leiding als de medewerkers zijn zich nog steeds onvoldoende bewust van de risico s die gebruik van ICT in ziekenhuizen met zich meebrengt. Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen. Wat betreft de NEN 7510 norm blijkt dat de meeste ziekenhuizen nog niet aan deze norm voldoen. Zo is informatiebeveiliging bijvoorbeeld nog te weinig omgezet naar uitgewerkt beleid en wordt veel in de praktijk geregeld. Een andere belangrijke bevinding is het ontbreken van bewustzijn bij medewerkers van het belang van informatiebeveiliging. Informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak. Van de twintig onderzochte ziekenhuizen blijkt bij negen ziekenhuizen dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (WBP), en dat evenmin is voldaan aan de voorwaarden om verantwoorde zorg te leveren zoals bedoeld in artikel 2 van de Kwaliteitswet zorg- instellingen (KWZ). Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau. De twintig onderzochte ziekenhuizen zullen duidelijk moeten maken hoe zij wel aan een passend beveiligingsniveau gaan voldoen. Zij moeten aan het CBP en de IGZ een plan van aanpak leveren waaruit blijkt hoe zij dat gaan bereiken en op welke termijn zij dat bereikt zullen hebben. Indien de inhoud van het plan van aanpak (of het geheel uit- blijven van een plan van aanpak) daartoe aanleiding geeft, zal handhavend worden opgetreden. De inspectie zal de overige ziekenhuizen in Nederland ook een plan van aanpak op laten stellen. Uit dit plan van aanpak moet blijken hoe deze ziekenhuizen aan de NEN 7510 norm gaan voldoen. Daarnaast zullen alle ziekenhuizen in 2010 aan de inspectie de resultaten moeten overleggen van een extern uitgevoerde audit, zoals in de NEN 7510 norm is bedoeld, waaruit blijkt wat het niveau van informatiebeveiliging op dat moment is. Zonodig zal op grond van het plan van aanpak een eerdere beoordeling door de inspectie plaatsvinden en handhavend worden opgetreden. Dat betekent dat bij onvoldoende planvorming om aan de totale NEN 7510 norm te voldoen, handhaving- maatregelen ingezet zullen worden. Tijdens het onderzoek is gebruikgemaakt van het instrument voor Toetsing van ICT in de zorg (TICTzorg instrument). Dit toetsingsinstrument is ontwikkeld om te beoordelen in hoeverre zorginstellingen voldoen aan de NEN 7510 norm. Het betreft een leidraad voor een interview, aan de hand waarvan verschillende onderdelen van de NEN 7510 norm aan bod komen. De Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 10 van 69

11 onderzoekers die het instrument hanteerden, waren een medewerker van het CBP en een inspecteur van de IGZ. De IGZ en het CBP hebben zes onderdelen van de NEN 7510 norm gekozen als indicatoren voor de toestand van de informatiebeveiliging. Het onderzoek betreft dus niet een volledige toets aan de NEN 7510 norm. Tijdens het onderzoek zijn 6 van de 11 onderwerpen uit de NEN 7510 norm aan bod gekomen: Organisatie. (Hfd. 6 uit NEN7510) Externe partijen. (Hfd. 6.2 uit NEN7510) Beveiligingseisen ten aanzien van personeel (Hfd. 8 uit NEN7510) Toegangsbeveiliging. (Hfd. 11 uit NEN7510) Naleving wetgeving. (Hfd. 14 uit NEN7510) Beveiligingsincidenten. (Hfd. 15 uit NEN7510) Onderwerpen die niet aan bod zijn gekomen zijn: Beleid (Hfd. 5 uit NEN7510); Beheer van middelen voor de informatievoorziening (Hfd. 7 uit NEN7510); Fysieke beveiliging en beveiliging van de omgeving (Hfd. 9 uit NEN7510); Operationeel beheer van informatie- en communicatievoorzieningen (Hfd. 10 uit NEN7510); Aanschaf, ontwikkeling en onderhoud van informatiesystemen (Hfd. 12 uit NEN7510); Continuïteitsbeheer (Hfd. 13 uit NEN7510); Door het College Bescherming Persoonsgegevens (CBP) is in het kader van de privacybescherming getoetst aan de Wet Bescherming Persoonsgegevens (WBP). Het CBP heeft bij de toetsing van de beveiligingsmaatregelen aan art. 13 WBP de NEN 7510 norm als meetinstrument gebruikt. Het CBP stelt dat de NEN 7510 norm een gezaghebbende sectorale uitwerking is van art. 13 van de WBP; als een ziekenhuis voldoet aan de NEN 7510 norm, mag er van uit worden gegaan dat het ook voldoet aan de wettelijke bepaling. Andersom is dit geen volstrekt automatisme: een ziekenhuis kan ook op andere wijze aantonen dat de beveiliging in orde is, bijvoorbeeld door te voldoen aan de Code voor Informatiebeveiliging (ISO 17799) of een andere vergelijkbare standaard. De IGZ ziet deze normen (artikel 13 WBP voor privacybeveiliging en de NEN 7510 norm voor informatiebeveiliging) als een norm ter invulling van het begrip verantwoorde zorg als bedoeld in de Kwaliteitswet zorginstellingen en de Wet BIG (hoofdstuk 6.10). De voorwaarden om verantwoorde zorg te kunnen verlenen, zijn bij voldoening aan de norm wat dit betreft dan aanwezig. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 11 van 69

12 2.3. Wat is informatiebeveiliging De definitie van informatiebeveiliging in de NEN 7510 norm is de volgende: Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken. Informatiebeveiliging is volgens de NEN7510 gericht op de aspecten: 1. vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname; 2. integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; 3. beschikbaarheid: het zekerstellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers. Behalve deze elementaire aspecten komen bij informatiebeveiliging ook de volgende zekerheidsbegrippen aan de orde: 4. onweerlegbaarheid: het waarborgen dat het vastleggen van gegevens of het verzenden van een bericht niet kan worden ontkend; 5. verantwoordelijkheid: het waarborgen dat van gegevens en verwerkingen van gegevens steeds vaststaat wie daarvoor welke verantwoordelijkheid draagt; 6. authenticiteit: het zekerstellen dat gegevens, informatiediensten, organisaties en gebruikers van de juiste identiteit zijn voorzien; 7. betrouwbaarheid: het waarborgen van overige kwaliteitseisen ten aanzien van informatie, de bron ervan, de route die de gegevens volgen en verwerkingen die erop plaatsvinden. Met de aspecten 4, 5, 6 en 7 wordt over het algemeen de controleerbaarheid bedoeld om achteraf de toegang en transacties te kunnen verifiëren. Het begrip informatie is in de NEN 7510 norm niet nader uitgelegd. Informatie is volgens de van Dale : kennis die iemand bereikt. Info, kondschap, achtergrondinformatie, beeldmateriaal, desinformatie, inside- information, mededeling, procesinformatie, propaganda, stof, tele- informatie, toelichting, zero- informatie verstrekking van kennis of inzicht. Uit het feit dat informatiebeveiliging zich op zulke verschillende zaken richt, valt af te leiden dat informatiebeveiliging een veelzijdige discipline is 2 en dit vraagt om een integrale aanpak. Hierbij is het juist van belang dat informatiebeveiliging geen IT feestje wordt. Immers informatie is meer dan alleen digitale informatie en behelst dus ook het gesproken woord, faxen, geprinte documenten etc Selectie van maatregelen Risico s die kunnen leiden tot incidenten of calamiteiten zijn bepalend voor het nemen van maatregelen. Het is belangrijk bij het selecteren van maatregelen een balans te vinden tussen organisatorische en technische maatregelen. Hierbij dient de gebruiker zo min mogelijk gehinderd te worden bij het uitvoeren van zijn of haar taken. Maatregelen dienen proportioneel en in balans te zijn met de beschikbare middelen, de kosten, de organisatie, de cultuur, de medewerkers en de stand der techniek. Organisatorische maatregelen zoals screening, richtlijnen, gedragscodes met sanctiebepalingen bij overtreding, risicobewustzijn en goede instructies kunnen compenserend zijn voor technische maatregelen. Het 2 Informatiebeveiliging onder controle van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 12 van 69

13 beveiligingsniveau van medische informatie, patiënt- en cliëntinformatie dient echter altijd hoog te zijn Informatiebeveiliging als continu proces Doordat organisaties en hun omgeving veranderen, veranderen ook de risico s en de eisen en randvoorwaarden die vanuit de organisatie aan informatiebeveiliging worden gesteld 3. Door informatiebeveiliging als proces te borgen zijn we instaat de effectiviteit van de maatregelen te meten en te evalueren. Hierdoor kunnen we daar waar nodig bijsturen, en indien nodig, nieuwe maatregelen selecteren. Hierdoor wordt het beveiligingsniveau continu verbeterd. De NEN7510 norm gaat uit van deze procesborging en maakt hier ook de relatie met de ISO norm (hoofdstuk 6.8) op basis van de Plan- Do- Check- Act cyclus van Deming IT, Risico s, risicomanagement en de risicoanalyse Onder IT kunnen we informatie (gegevens) onderscheiden, informatiesystemen en de IT beheer organisatie. Met informatiesystemen bedoelen we technische systemen zoals servers, applicaties en (communicatie)infrastructuren. Hiertoe behoren ook de externe dienstverlening zoals bijvoorbeeld uitbestede software ontwikkeling, ge- outsourced beheer, het extern hosten van servers en applicaties bij Datacenters of Applicaties Service provider (ASP) en Software as a Service (SaaS) dienstverleners Risico s Het toepassen van IT brengt risico s met zich mee. Als we deze niet beheersen kan dit de kwaliteit van de zorg beïnvloeden of de privacy van een patiënt schaden. Risico s kunnen betrekking hebben op de uitval, misbruik, openbaring of foutief gebruik van informatie en informatievoorzieningen. Voorbeelden van risico s zijn het ongeautoriseerd inzien van patiënt- en cliëntgegevens door onbevoegden, misbruik van toegangsmiddelen zoals de UZI- pas, het uitvallen van planningssystemen waardoor medewerkers hun werkzaamheden niet meer kunnen uitvoeren, de uitval van centrale communicatie- en IT faciliteiten waardoor de communicatie 3 Informatiebeveiliging onder controle van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit 4 norm voor een kwaliteitsmanagement systeem Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 13 van 69

14 of (camera)bewaking uitvalt of schade door oude computer virussen en wormen doordat beschikbare updates niet geïnstalleerd zijn Risicomanagement proces Risicomanagement omvat alle activiteiten die erop zijn gericht om risico s die een organisatie loopt bij het bereiken van haar doelstellingen, te beheersen 5. Hierbij gaat het er vooral om het identificeren van de risico s de we lopen, welke risico s we acceptabel vinden en welke maatregelen we moeten treffen om de schade of impact ervan bij optreden te voorkomen of tot een acceptabel niveau te beheersen. In de risicoafweging spelen ook strategische of bestuurlijke aspecten een belangrijke rol alsmede eisen die voortkomen uit geldende wet- en regelgeving 6. De risicoafweging is een belangrijke stap in de Plan fase van het informatiebeveiligingsproces. Deze stap is in de NEN7510 norm onderbelicht. Dit in tegenstelling tot de Code voor Informatiebeveiliging, waar de NEN7510 norm van is afgeleid. Het ontbreken van deze borging in de NEN 7510 is een belangrijk gemis en in de hoofdstukken 3.2 en 7 zullen we hier nader op ingaan De risicoanalyse in het risicomanagement proces Eén van de belangrijkste stappen in het risicomanagementproces is de risicoanalyse. In de risicoanalyse wordt op basis van een Afhankelijkheidsanalyse de betrouwbaarheidseisen in kaart gebracht per systeem. In hoofdstuk 7 zullen we nader ingaan op de A&K- analyse. Wat volgt op de A&K- analyse is de risicoafweging. In deze stap worden de afwegingen gemaakt welke risico s we willen beheersen en de mate waarin. De NEN 7510 norm noemt het risicomanagement proces niet als onderdeel van de beleidsfase, de Plan fase, maar noemt de risicoanalyse wel als middel om betrouwbaarheidseisen in kaart te brengen voor informatiesystemen. Zo dient er bijzondere aandacht te worden besteed aan medische apparatuur waarin gegevens van patiënten worden verwerkt bij het proces van diagnose en behandeling. Hiervoor wordt het Hulpmiddel Leidraad A&K Analyse meegeleverd die ook in hoofdstuk 7 aan bod zal komen. 5 Risicomanagement voor security en facilitymanagers, Drs. Cees Coumou 6 ISMS beschrijving van ISO Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 14 van 69

15 Code voor Informatiebeveiliging en het ISMS De volgende uitgangspunten zijn voor een goede risicoafweging randvoorwaardelijk volgens de Code voor Informatiebeveiliging (hoofdstuk 3.1.):!"!#$%&'$"()*+,,-.*,,/) Om informatiebeveiliging als proces te borgen dient volgens de Code voor Informatiebeveiliging een Information Security Management Systeem (ISMS) ingericht te!""#$%%&'()( worden. Dit systeem beschrijft het proces dat om risico s te onderkennen, af te wegen en *+,(-.,(/01(2.31(40,56-,5-+7(705(--1(+-/(.1(7-(.189:;05.-< (7-(9:601.,05.-(6--1(-:1,5.6-(8.101=.>+-( maatregelen te selecteren. Vervolgens dient de werking regelmatig getoetst te en te worden geëvalueerd op de volgende uitgangspunten: 1)!""#$%%&'(B( rekening houdt met eisen voor de bedrijfsvoering; 2) evenals eisen uit wet- of regelgeving en contractuele verplichtingen voor beveiliging; 3) %-1(4-:C0=?5.16(/01(2.31(705(.1(6-40+(401(--1(-:1,5.6(< ,.1=.7-15(D(290+,(?0=/.16(401(7-(C-<,.5-( is afgestemd op het strategische kader van de organisatie voor het risicobeheer 401(7-(9:601.,05.-(C00:9E(20/-+.3/-(5:01,0=5.-,(C9:7-1(F :7(G-H=9;;-:=-I(D(-:(;-1,-1(<-,=?./<00:( waarin het ISMS 7 wordt vastgesteld en bijgehouden. <-?9:-1(5-(2.31(7.-( (2.31(.1(7-(: (E:9=-7F:-,(9;(7-( (-:401(5-(;.1.;0+.,-:-1A( ( Het ISMS volgens de Code voor Informatiebeveiliging K15-:-,5-7 P0:5.-,( $-+016H(?-<<-17-1( 7>AE J-5(KLML(( %,50<+.,? 40,5,5-++-1( %,50<+.,? KLML KLML K15-:-,5-7 P0:5.-,( $-+016H(?-<<-17-1( 8; J-5(KLML(.;E+-;-1H( K;E+-;-15(017 5-:-1(-1(F.549-:-1( K;E+-;-15(017 9E-:05-(5?-(KLML 9E-:05-(5?-(KLML J-5(KLML(<.3?9F7-1(( -1(4-:<-5-:-1( M (017(.;E:94-(5?-(KLML.;E:94-(5?-(KLML 9D?( %.,-1(-1(( K189:;05.91( 4-:C0=?5.16-1((,-=F:.5Q( 5A0A4A(.189:;05.-H( < ( :-RF.:-;-15,( 017(-SE-=505.91, J-5(KLML(<-C0/-1( M91.59:(017( -1(<-99:7-+-1( M91.59:(017 :-4.-C(5?-(KLML :-4.-C(5?-(KLML (G=DJ( $-?--:7-(( M0106-7(.189:;05.-H( < ((,-=F:.5Q Om deze reden is in het kader van dit onderzoek gekozen om de volgende drie aspecten uit te werken voor privacy- en informatiebeveiliging met behulp van de NEN 7510 norm in 7>AE)FG=?)$%C%)HAB?B?=>>=EI) J-5(40,5,5-++-1(401(KLMLH<-+-.7N(H79-+, N(HE:9=-,,-1(-1( te richten op basis van een risicoafweging: HE:9=-7F:-,(7.-(: (2.31(499:(?-5(:.,.=9<-?--:(-1(4-:<-5-:.16(401(7-( De strategische en bestuurlijke.189:;05.-< n( (:-,f+505-1(5-(+-4-:-1(7.-(.1( context 94-:--1,5-;;.16(2.31(;-5(0+6-;-1-(<-+-.7,+.31-1(-1(79-+, (401(7-( (Privacy)wet- en regelgeving 9:601.,05.-A( IT Risicomanagement 8;)FG=?)$%C%) J-5(.;E+-;-15-:-1(-1(F.549-:-1(401(KLMLH<-+-.7N(H<-?--:,;005:-6-+-1N(( HE:9=-,,-1(-1(HE:9=-7F:-,A( Hierbij 42?H;=5=EI) zal ook aandacht worden besteedt aan het nieuwe zorgstelsel en het EPD. In de volgende hoofdstukken proberen we voor elk van deze uitgangspunten een antwoord te (G=DJ)FG=?)$%C%) geven in de mate waarin en $-99:7-+-1(-1N(499:294-:(401(59-E0,,.16N(;-5-1(401(E:9=-,E:-,505.-,(5-1( de wijze waarop de NEN7510 norm hierbij een rol speelt. D;E?5;>=5=E)=E)K=;;5<=>=EI) 9E2.=?5-(401(KLMLH<-+-.7N(H79-+, (-1(H-:40:.16(F.5(7-(E:0/5.3/N(-1( :0EE9:506-(401(7-(:-,F+505-1(001(7-(7.:-=5.-(5-:(<-99:7-+.16A( 9D?)FG=?)$%C%)K2LG;4<=E)=E) H=5K=?=5=EI) ( O9::.6-:-17-(-1(E: (;005:-6-+-1(1-;-1N(9E(<0,.,(401(7-( :-,F+505-1(401(7-(.15-:1-(KLMLH0F7.5(-1(7-(7.:-=5.-<-99:7-+.16(98(017-:-( : (.189:;05.-N(9;(=915.1F-(4-:<-5-:.16(401(?-5(KLML(5-( <-C-:/, A( 7 Information Security 0) Management System volgens de Code van Informatiebeveiliging Dit document is door NEN onder licentie verstrekt aan: / This document has been supplied under license by NEN to: Copyright: Alle rechten zijn voorbehouden aan de auteur van Getronics dit document PinkRoccade J. Verkerk 2006/10/10 Pagina 15 van 69

16 Plaatsen we het ISMS en risicomanagement in het geheel van informatie beveiliging dan kunnen we dit als volgt weergeven: Het risicomanagement proces is dus belangrijk voor de Plan fase voor het Informatiebeveiliging proces. Risicomanagement heeft een belangrijke koppeling met de Check en Act fase. In deze fases vindt de toetsing op de effectiviteit van de maatregelen en evaluatie plaats. Om een goede controle uit te voeren is het belangrijk dat het risicoafwegingsproces goed is uitgevoerd en dat de gemaakte keuzes en de overwegingen daarbij zijn vastgelegd. In het evaluatie proces dient er gekeken te worden of de organisatie niet zodanig veranderd is dat er nieuwe risico s zijn ontstaan die tot bijstelling van de maatregelen moet leiden. Dit geldt ook voor veranderende of nieuwe wet- en regelgeving. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 16 van 69

17 3. Normen en standaarden voor informatiebeveiliging 3.1. De oorsprong, de Code voor Informatiebeveiliging De eerder genoemde Code voor Informatiebeveiliging is de Nederlandse versie van de internationale standaard voor informatiebeveiliging, ISO/IEC Deze heeft zijn oorspong in de British Standard 7799 (BS7799). De ISO standaard bestond uit twee delen: deel 1 betreft een set best practices (maatregelen) en deel 2 de beschrijving van het Information Security Management System (ISMS) om risicomanagement en informatiebeveiliging als een proces volgens de Plan- Do- Check- Act cyclus van Deming te borgen (hoofdstuk ). Certificering is mogelijk volgens deze standaard op het ISMS, dus deel 2 van ISO Sinds 2006 is deze ISO standaard opgegaan in twee nieuwe standaarden. Het oude deel 2 uit de ISO standaard is ISO gaan heten en deel 1 uit de ISO standaard is opgegaan in ISO Certificering is net als bij ISO alleen mogelijk op het ISMS dat in ISO is beschreven. Oud Nieuw De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. De Code voor Informatiebeveiliging kent de volgende 11 hoofdstukken: 1. Beveiligingsbeleid; 2. Beveiligingsorganisatie; 3. Classificatie en beheer van bedrijfsmiddelen; 4. Beveiligingseisen ten aanzien van personeel; 5. Fysieke beveiliging en beveiliging van de omgeving; 6. Beheer van communicatie- en bedieningsprocessen; 7. Toegangsbeveiliging; 8. Ontwikkeling en onderhoud van systemen; 9. Incidentmanagement; 10. Continuïteitsmanagement (Business Continuity Management); 11. Naleving; In de huidige versie van de ISO standaard worden 133 beheersingsmaatregelen beschreven. Afhankelijk van de risicoafweging die in het ISMS gemaakt zijn worden deze geselecteerd en eventueel geconcretiseerd met maatregelen uit de NEN 7510 of andere standaarden of normen zoals ISO Deze vrijheid biedt ISO Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 17 van 69

18 ISO 27799, de Europese norm voor de zorg In Europees verband is als toevoeging op de ISO en standaard een ISO standaard ontwikkeld voor de zorg. Deze standaard schrijft voor welke maatregelen uit de ISO standaard geselecteerd moeten worden en hoe indien het een zorginstelling betreft. Zorginstellingen die ervoor kiezen om deze lijn te volgen moeten een Information Security Management System (ISMS) implementeer volgens de ISO standaard NEN 7510, informatiebeveiligingsnorm voor de zorg De NEN 7510 norm vindt zijn oorsprong in de ISO standaard en bestaat sinds 2004 (NEN 7510:2004) en kent een specifieke aanscherping op het gebied van zorgelementen. Hierbij heeft de norm extra aandacht aan de beheersing van de toegang tot gegevens en bescherming van patiëntinformatie. De NEN7510 kent de volgende hoofdstukken; 1. Beveiligingsbeleid; 2. Organiseren van informatiebeveiliging; 3. Beheer van middelen voor de informatievoorziening; 4. Beveiligingseisen ten aanzien van personeel; 5. Fysieke beveiliging en beveiliging van de omgeving; 6. Operationeel beheer van ICT- voorzieningen; 7. Toegangsbeveiliging; 8. Aanschaf, ontwikkeling en onderhoud van systemen; 9. Continuïteitsbeheer; 10. Naleving; 11. Beveiligingsincidenten; De norm zich richt zicht zowel op de individuele hulpverlener tot grote complexe instellingen. Bij deze norm worden voor een aantal verschillende organisatietypen implementatie handboeken geleverd en toetsbare voorschriften die in hoofdstuk worden toegelicht. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 18 van 69

19 3.3. Verschil ISO en de NEN 7510 In de praktijk ontstaat er nog wel eens verwarring over ISO en de NEN Dit is dan ook vooral te wijden aan het feit dat de NEN 7510 norm ontstaan is uit de ISO maar niet is gebaseerd op de volledige ISO Die bestaat immers uit twee delen, deel I en II zoals we in hoofdstuk 3.1 hebben kunnen zien. De NEN 7510 is alleen gebaseerd op deel I. Het Information Security Management System (ISMS) uit deel II van ISO is niet uitgewerkt in de NEN 7510 norm. Er is dus geen relatie tussen ISO en de NEN Als we NEN 7510 willen vergelijken met een actuele norm, dan moeten we dit vergelijken met de opvolger van deel I uit ISO 17799, namelijk ISO en niet ISO Certificeringsmogelijkheden voor de NEN 7510 Het is mogelijk om zich te certificeren volgens de ISO standaard waarbij in de scope de NEN7510 is opgenomen als gehanteerde maatregelenset. Hierbij is de aard van de instelling bepalend welk toetsbaar voorschrift is gehanteerd is (hoofdstuk 3.4.1) Er zijn certificerende instellingen die een volledig NEN 7510 certificaat afgeven. Deze volgen echter de beschreven opzet met een ISMS op basis van ISO in combinatie met de NEN Inhoudelijk is er geen verschil. In het ene geval heet het een ISO certificaat op basis van een ISMS en met de NEN 7510 in de scope opgenomen, in het andere geval heet het een NEN 7510 certificaat dat feitelijk gebaseerd is op een ISO opzet op basis van een ISMS. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 19 van 69

20 NEN 7511, Toetsbare voorschriften Naast de NEN7510 norm zijn er ook toetsbare voorschriften. Deze documenten geven een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter, toegeschreven op complexe organisaties in de zorg (bijv. Ziekenhuizen), samenwerkingsverbanden, solopraktijken NEN voor complexe organisaties Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de complexe organisaties in de zorg zoals (academische)ziekenhuizen, GGD en GGZ instellingen etc NEN voor samenwerkingsverbanden Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de samenwerkingsverbanden in de zorg NEN voor solopraktijken Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor solopraktijken in de zorg NEN 7512 voor elektronische communicatie Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn NEN 7513 vastlegging acties op elektronische patiëntendossiers NEN7513 betreft de vastleggen van acties op elektronische patiëntendossiers. Voor veilige zorg is het essentieel dat gegevens in het dossier integer zijn. Daarbij bevat het dossier in de aard van de registratie zeer privacygevoelige gegevens. Om deze twee redenen, vastgelegd in wettelijke bepalingen, is het van belang te allen tijde te kunnen achterhalen wie toegang heeft gehad tot het dossier Ontwikkelingen in de NEN7510 in 2011 De NEN7510 norm bestaat sinds 2004 en zoals eerder al vastgesteld is de norm afgeleid van de oude ISO standaard (deel 1). Sinds 2006 is deze ISO (deel 1 en 2) opgevolgd door ISO en Op dit moment is de NEN7510 in revisie. Eind 2010 of begin 2011 wordt deze revisie verwacht en zal de huidige NEN7510:2004 opgevolgd worden door NEN7510: Deze nieuwe versie van de NEN zal naar alle waarschijnlijkheid gebaseerd zijn op een ISMS en risicomanagement benadering. Hierdoor zal de NEN 7510:2011 een certificeerbaar karakter krijgen. Naar verwachting zullen meer zorginstellingen zich vanaf 2011 laten certificeren volgens de NEN Voor huidige NEN 7510 certificaten of instellingen die zich nu willen laten certificeren volgens de NE 7510:2004 norm heeft dit geen consequenties aangezien zij dit enkel kunnen nadat zij een ISMS hebben ingericht en een risicomanagement benadering volgens op basis van de ISO standaard zoals in hoofdstuk 3.4 is beschreven. Dit is feitelijk een tussenoplossing naar een certificeerbare standaard wat de NEN 7510:2011 zal gaan worden. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 20 van 69

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

ICT in de zorg. Over de impact van wet- en regelgeving

ICT in de zorg. Over de impact van wet- en regelgeving ICT in de zorg Over de impact van wet- en regelgeving Impact van weten regelgeving op ICT in de zorg Voldoen aan wet- en regelgeving is voor ICT-afdelingen in de zorgsector een steeds vaker terugkerend

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Integraal risicomanagement

Integraal risicomanagement Samenvatting Integraal risicomanagement in 40 Nederlandse ziekenhuizen Inhoud Inleiding 3 Onderzoeksvragen 3 Integraal risicomanagement onvoldoende beschreven 4 Aanbevelingen 5 Over VvAA 7 2 VvAA Risicomanagement

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG /

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te Dordrecht op 21 juni 2007 Juli 2008 2 INSPECTIE VOOR

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

Informatiebeveiliging als proces

Informatiebeveiliging als proces Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

NEN 7510: Een kwestie van goede zorg

NEN 7510: Een kwestie van goede zorg NEN 7510: Een kwestie van goede zorg Menig zorginstelling geeft aan nog niet te voldoen aan de NEN 7510 omdat deze (nog) niet verplicht is. Wettelijk is dit wellicht het geval, maar wat nu als men dit

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den Haag op 13 april 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol Mike de Bruijn roduct Owner Agenda Inleiding Over CompLions GRCcontrol management software Risicomanagement Uitdagingen Dynamisch risicomanagement

Nadere informatie

Onderwerpen. Perspectief van kwaliteit in de zorg. De keuze van het Kwaliteits-management-systeem. Certificering: ISO 9001 voor de Zorg.

Onderwerpen. Perspectief van kwaliteit in de zorg. De keuze van het Kwaliteits-management-systeem. Certificering: ISO 9001 voor de Zorg. ISO 9001 voor de zorg: een bewuste keuze ir.drs. A. van der Star MSHE Normcommissie ISO 9001 Zorg NEN 1 februari 2011 Bijdragen: H. Dekker: Certificatie in de Zorg Onderwerpen Perspectief van kwaliteit

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 CobiT Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni 2005 9/2/2005 1 Control objectives for information and related Technology Lezenswaardig: 1. CobiT, Opkomst, ondergang en opleving

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Informatiebeveiligingsbeleid 2015-2018

Informatiebeveiligingsbeleid 2015-2018 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen

Nadere informatie

Drie belangrijke ICT thema s in de langdurige zorg

Drie belangrijke ICT thema s in de langdurige zorg Drie belangrijke ICT thema s in de langdurige zorg In de langdurige zorg is van alles aan de hand en staan de ontwikkelingen, met name op het gebied van wetgeving en kostenbeheersing, niet stil. Dit heeft

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK)

Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007. Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Voorschrift Informatiebeveilging Rijksdienst (VIR) 2007 Presentatie CIOP seminar - 12 juni 2007 Frank Heijligers (BZK) Inhoud Aanleiding en Historie VIR 2007 Invoeringsaspecten 2 Aanleiding en historie

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek Ziekenhuis te Amsterdam op 13 juni 2007 Juli 2008 2 INSPECTIE

Nadere informatie

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Program. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Program Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Inleiding 1 1.1 Voorwoord 1 1.2 Definitie

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

NEN 7510: een ergernis of een hulpmiddel?

NEN 7510: een ergernis of een hulpmiddel? NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens

Nadere informatie

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor

Beveiliging is meer dan een slot op je computerruimte. Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Beveiliging is meer dan een slot op je computerruimte Ben Stoltenborg PinkRoccade Healthcare EDP Auditor Doel en Agenda Aan de hand van de ontwikkelingen in de zorg wordt een globaal en praktisch beeld

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Erasmus Medisch Centrum te

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Erasmus Medisch Centrum te Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Erasmus Medisch Centrum te Rotterdam op 29 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Advies inzake Risicobenadering

Advies inzake Risicobenadering dvies inzake Risicobenadering Het afstemmen van modellen op uitdagingen PRIMO heeft binnen haar organisatie een divisie opgericht die zich geheel richt op het effectief gebruik van risicomanagementmodellen.

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Medisch Centrum Alkmaar te

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Medisch Centrum Alkmaar te Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Medisch Centrum Alkmaar te Alkmaar op 25 mei 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

Inleiding 3. 1 Gedragscode 4

Inleiding 3. 1 Gedragscode 4 BTN Gedragscode Inhoudsopgave Inleiding 3 1 Gedragscode 4 2 Gedragsregels: - Algemeen 4 - Kwaliteit van zorg 6 - Cliënten 6 - Zorgverleners 7 - Zorgorganisaties 7 - Overige disciplines 8 - Samenleving

Nadere informatie

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed

Compliance Charter. Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed Compliance Charter Voor pensioenfondsen die pensioenadministratie en/of vermogensbeheer geheel of gedeeltelijk hebben uitbesteed September 2008 Inhoudsopgave 1 Voorwoord 1 2 Definitie en reikwijdte 2 3

Nadere informatie

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN.

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (patiënten)informatie binnen de CIHN. Bijlage 2 Informatiebeveiligingsbeleid CIHN 1. Inleiding Het informatiebeveiligingsbeleid betreft hoofdzakelijk strategische uitgangspunten betreffende de toegang tot en uitwisseling van patiënteninformatie.

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

NieuwsBrief. CompLions. Inhoudsopgave. 2012-nr.03. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen.

NieuwsBrief. CompLions. Inhoudsopgave. 2012-nr.03. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen. Klik hier als u de onderstaande nieuwsbrief niet goed kunt lezen. 2012-nr.03 NieuwsBrief Geachte lezer, Welkom bij deze derde nieuwsbrief van CompLions in 2012. De afgelopen maanden zijn turbulent op economisch

Nadere informatie

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl Ruwaard van Putten Ziekenhuis Onderzoek

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0

Stichting Inlichtingenbureau Privacy jaarverslag 2014. Versie 1.0 Stichting Inlichtingenbureau Privacy jaarverslag 2014 Versie 1.0 Status Definitief Datum 12 maart 2015 1. Privacybescherming en informatiebeveiliging... 3 1.1 Inleiding/privacy by design... 3 1.2 Verwerking

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders

nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders nadere regels voor technische en organisatorische maatregelen bij elektronische gegevensuitwisseling tussen zorgaanbieders Wij Willem - Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van

Nadere informatie

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V.

ISO 9000:2000 en ISO 9001:2000. Een introductie. Algemene informatie voor medewerkers van: SYSQA B.V. ISO 9000:2000 en ISO 9001:2000 Een introductie Algemene informatie voor medewerkers van: SYSQA B.V. Organisatie SYSQA B.V. Pagina 2 van 11 Inhoudsopgave 1 INLEIDING... 3 1.1 ALGEMEEN... 3 1.2 VERSIEBEHEER...

Nadere informatie

25 Het CATS CM Maturity Model

25 Het CATS CM Maturity Model 25 Het CATS CM Maturity Model Op basis van de ervaringen die zijn opgedaan in het advies- en trainingswerk van CM Partners is, uitgaande van CATS CM, een volwassenheidsmodel opgesteld dat ingezet kan worden

Nadere informatie

6.6 Management en informatiebeveiliging in synergie

6.6 Management en informatiebeveiliging in synergie 6.6 Management en informatiebeveiliging in synergie In veel organisaties ziet men dat informatiebeveiliging, fysieke beveiliging en fraudemanagement organisatorisch op verschillende afdelingen is belegd.

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580).

Hierbij zend ik u de antwoorden op de vragen van het Kamerlid De Lange (VVD) over Nederlandse patiëntgegevens in Belgische gevangenis (2016Z01580). > Retouradres Postbus 20350 2500 EJ Den Haag De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Bezoekadres: Parnassusplein 5 2511 VX Den Haag T 070 340 79 11 F 070 340

Nadere informatie

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Rijnland Ziekenhuis te Leiderdorp

Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Rijnland Ziekenhuis te Leiderdorp Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Rijnland Ziekenhuis te Leiderdorp op 7 juni 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG

Nadere informatie

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek. POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10= TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN AANGETEKEND Ommelander Ziekenhuis

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224

Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224 Integraal Kwaliteitsmanagement Gezondheidszorg Zorgkwaliteit, risicobeheersing, veiligheid en efficiency volgens NEN EN 15224 Version 1/2013 Uitdagingen in de gezondheidszorg Als professionele zorgaanbieder

Nadere informatie

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland

Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Delo itte. 1183 AS Amstelveen Postbus 175 1180 AD Amstelveen Nederland Tel: 088 288 2888 Fax: 088288 9711 www.deloitte.nl Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Documentenanalyse Veiligheidsvisitatiebezoek

Documentenanalyse Veiligheidsvisitatiebezoek Ingevuld door: Naam Instelling: Documentenanalyse Veiligheidsvisitatiebezoek In de documentenanalyse wordt gevraagd om verplichte documentatie en registraties vanuit de NTA 8009:2007 en HKZ certificatieschema

Nadere informatie

5-daagse bootcamp IT Risk Management & Assurance

5-daagse bootcamp IT Risk Management & Assurance 5-daagse bootcamp IT Risk Management & Assurance Verhoog het niveau van uw risicomanagement processen vóór 1 juni naar volwassenheidsniveau 4! ISO31000 DAG 1 DAG 2 DAG 3 OCHTEND NIEUW ISO27005 DAG 3 MIDDAG

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

Handboek EnergieManagementSysteem

Handboek EnergieManagementSysteem Handboek EnergieManagementSysteem Bedrijfsgegevens: Naam ALFEN bv Adres Hefbrugweg 28 Plaats 1332AP Almere Tel 036 549 3400 website www.alfen.com KvK nr. 3903 7364 Pagina 1 van 6 INHOUDSOPGAVE 1. INLEIDING...

Nadere informatie

Informatieprotocol. Datum: 27 april 2010 Raad van toezicht Raad van bestuur

Informatieprotocol. Datum: 27 april 2010 Raad van toezicht Raad van bestuur Informatieprotocol Datum: 27 april 2010 Aan: Raad van toezicht Van: Raad van bestuur Kenmerk: II-1.1/10.78.1n 1. Inleiding De RvT en de RvB van de St. Anna Zorggroep achten het van belang dat de RvT tijdig

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014 Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud Toelichting

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011

Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk. Anton Ekker juridisch adviseur, Nictiz 20 mei 2011 Elektronische gegevensuitwisseling in de zorg: van wet naar praktijk Anton Ekker juridisch adviseur, Nictiz 20 mei 2011 Elektronische gegevensuitwisseling in de zorg De zorgverlener is verplicht om een

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam

PRIVACYBELEID. Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam PRIVACYBELEID Rob Meerwijk PSEUDONIMISEER B.V. Danzigerkade 19, 1013 AP Amsterdam Inhoudsopgave Inhoudsopgave... 1 1. Documentinformatie... 2 1.1. Documentgeschiedenis... 2 2. Privacybeleid Pseudonimiseer

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Uitvoering van rechtstreeks verzekerde regelingen

Uitvoering van rechtstreeks verzekerde regelingen RAPPORT Prins Willem-Alexanderlaan 651 Postbus 700 7300 HC Apeldoorn Telefoon (055) 579 39 48 www.achmea.nl Uitvoering van rechtstreeks verzekerde regelingen Rapportage Intern toezicht in het kader van

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG > Retouradres Postbus 20350 2500 EJ Den Haag De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Bezoekadres: Rijnstraat 50 2551 XP Den Haag T 070 340 79 11 F 070 340 78

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief.

De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. De definitieve Code Corporate Governance, enige beschouwingen vanuit risicoperspectief. In de Code van Commissie Peters De Veertig Aanbevelingen (juni 1997) staat in zeer algemene termen iets over risicobeheersing.

Nadere informatie

Toetsingscriteria ZKN-Keurmerk

Toetsingscriteria ZKN-Keurmerk Toetsingscriteria ZKN-Keurmerk Toelichting opzet van het toetsingsmodel. Indien wordt verwezen naar het aanwezig zijn van een procedure, dan wordt deze geacht te zijn opgesteld, ingevoerd en intern getoetst.

Nadere informatie

In Control op ICT in de zorg

In Control op ICT in de zorg In Control op ICT in de zorg Ervaringen uit de praktijk van ziekenhuizen Ron van den Bosch Hoofd bureau Strategie en Beleid UMC Groningen Voorzitter Vereniging Informatica en Gezondheidszorg Lid CIO Platform

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Snel naar NEN7510 met de ISM-methode

Snel naar NEN7510 met de ISM-methode Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging

Nadere informatie

Interne beheersing: Aan assurance verwante opdrachten

Interne beheersing: Aan assurance verwante opdrachten Interne beheersing: Aan assurance verwante opdrachten Naam vragenlijst: Vertrouwelijk Inleiding In het kader van de Verordening op de Kwaliteitstoetsing (RA s) is het accountantskantoor geselecteerd voor

Nadere informatie

Assurance rapport van de onafhankelijke accountant

Assurance rapport van de onafhankelijke accountant Assurance rapport van de onafhankelijke accountant Rapportage aan: Achmea Divisie Pensioen & Leven De heer A. Aalbers 1 Achmea Divisie Pensioen & Leven De heer A. Aalbers Postbus 700 APELDOORN Opdracht

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014

Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 1 Grip op diversiteit aan beveiligingseisen: Compliant zijn en blijven, maar hoe? VIAG themadag Drs. D.J. van der Poel RE RA 21 maart 2014 Inhoud 2 Inleiding: enige trends in de markt In het speelveld

Nadere informatie

Privacy. Informatie. www.arienszorgpalet.nl

Privacy. Informatie. www.arienszorgpalet.nl Privacy Informatie www.arienszorgpalet.nl Inleiding Over ons Over AriënsZorgpalet AriënsZorgpalet is een toonaangevende zorginstelling in Enschede. Met 900 medewerkers en 350 vrijwilligers bieden we onze

Nadere informatie

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis

Datum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis > Retouradres Postbus 90700 2509 LS Den Haag Ziekenhuis St. Jansdal xxxx, Raad van Bestuur Postbus 138 3840 AC HARDERWIJK Werkgebied Zuidwest Wilh. van Pruisenweg 52 Den Haag Postbus 90700 2509 LS Den

Nadere informatie

Hoofdlijnen Corporate Governance Structuur

Hoofdlijnen Corporate Governance Structuur Hoofdlijnen Corporate Governance Structuur 1. Algemeen Deugdelijk ondernemingsbestuur is waar corporate governance over gaat. Binnen de bedrijfskunde wordt de term gebruikt voor het aanduiden van hoe een

Nadere informatie

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur

LEIDRAAD. Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur LEIDRAAD Verantwoordelijkheid medisch specialist bij aanschaf, ingebruikname en gebruik van medische apparatuur 1 Januari 2014 1 INLEIDING Medisch specialisten zijn voor een goede en veilige uitoefening

Nadere informatie