Privacy- en informatiebeveiliging voor de zorg en de NEN 7510

Transcriptie

1 Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit 2010 Onderzoek Zorgsector Privacy- en informatiebeveiliging voor de zorg en de NEN 7510 Een beschouwing op de NEN 7510 norm om bestuur en management van Zorginstellingen, toezichthouders en IT auditors inzicht te geven deze norm op een adequate wijze kunnen toepassen voor strategie en visie vorming, implementatie of toetsing.

2

3 Vrije Universiteit Amsterdam Scriptie Opleiding Executive Master IT Audit 2010 Onderzoek Zorgsector Privacy- en informatiebeveiliging in de zorg en de NEN 7510 Ing. Marcel Lavalette CISA Mariendaal NH Enschede Studentennummer April 2010 Scriptie begeleider: Drs. C.J. Coumou Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 3 van 69

4 Inhoudsopgave Voorwoord Inleiding Doel van dit onderzoek IT audit perspectief Reikwijdte De onderzoeksaanpak Leeswijzer Begrippenkaders De context en het belang van informatiebeveiliging voor de zorg Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen Wat is informatiebeveiliging Selectie van maatregelen Informatiebeveiliging als continu proces IT, Risico s, risicomanagement en de risicoanalyse Risico s Risicomanagement proces De risicoanalyse in het risicomanagement proces Code voor Informatiebeveiliging en het ISMS Normen en standaarden voor informatiebeveiliging De oorsprong, de Code voor Informatiebeveiliging ISO 27799, de Europese norm voor de zorg NEN 7510, informatiebeveiligingsnorm voor de zorg Verschil ISO en de NEN Certificeringsmogelijkheden voor de NEN NEN 7511, Toetsbare voorschriften NEN voor complexe organisaties NEN voor samenwerkingsverbanden NEN voor solopraktijken NEN 7512 voor elektronische communicatie NEN 7513 vastlegging acties op elektronische patiëntendossiers Ontwikkelingen in de NEN7510 in Toetsingsnorm of uitvoeringnorm Wat is een norm Toetsingsnormen Uitvoeringsnormen (best practices) Is de NEN7510 een uitvoeringsnorm of een toetsingsnorm? Toetsingsnorm 2010 voor Ziekenhuizen Strategische en bestuurlijke context Interne beheersing volgens COSO IT Governance Enterprise risk management en de relatie met IT risicomanagement Volwassenheidsniveau van informatiebeveiliging De Zorgbrede Governance Code Het nieuwe zorgstelsel Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 4 van 69

5 Diagnosebehandelcombinaties (DBC s) Zorgleefplan en Zwaartepakketten (ZZP s) Het EPD De infrastructuur van het Landelijk EPD GBZ Eisen GBZ toetsing (privacy)wet- en regelgeving Privacybeveiliging Wet Bescherming Persoonsgegevens (WBP) Wet Bescherming Persoonsgegevens en de zorg Grondwet Auteurswet Computercriminaliteit Wet elektronische handtekeningen (WEH) Wet Toelating Zorginstellingen (WTZi) transparantie- eisen voor bestuur en toezicht Kwaliteitswet zorginstellingen (HKZ) Wet op de geneeskundige behandelingsovereenkomst (WGBO) Wet op de beroepen in de individuele gezondheidszorg (Wet BIG) Wet gebruik burgerservicenummer in de Zorg (Wbsn- z) IT risicomanagement Borging van Informatiebeveiliging als proces volgens NEN Inrichten van een ISMS Risicoanalyse Het 12 Stappenplan voor invoering van de NEN Risicomanagement toevoeging op het 12 Stappenplan Welke partijen toetsen op wat en met welke normenkaders? Conclusie Overwegingen voor de zorgaanbieders IT audit overwegingen Discussie IT audit overwegingen bij certificering Literatuurlijst, bronnen & interviews Bijlage A, GBZ eisen en de NEN Bijlage B, Vergelijkingsmatrix NEN 7510 en ISO Bijlage C, NVZ start- en vervolg normen en het GBZ Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 5 van 69

6 Voorwoord Bestuurder of managers in de zorg zullen ongetwijfeld onderschrijven dat ICT niet meer weg te denken is in de bedrijfsvoering van hun organisatie. ICT biedt de mogelijkheden om de kwaliteit te verbeteren van zorgprocessen, de efficiency te verhogen en om kosten te besparen. Naast voordelen brengt het toepassen van ICT ook nadelen met zich mee. Door het toenemende gebruik neemt de afhankelijkheid toe. In sommige gevallen is deze afhankelijkheid zo groot dat bij uitval van de ICT enkele processen tot stilstand komen. Door de verwerking, opslag en communicatie van medische en patiëntinformatie in ketens, mobiele werkplekken, internet Portals en een EPD, nemen de risico s toe op het gebied van inbreuken op de vertrouwelijkheid en de juistheid van informatie. Steeds vaker bereiken dergelijke incidenten de media en is reputatieschade een toenemende factor in de risicoafweging geworden. Op website barometers wordt steeds vaker de performance van instellingen bijgehouden 1. Het is een kwestie van tijd dat informatiebeveiliging ook hier als graadmeter gehanteerd gaat worden. Concurrentie overwegingen, financieel rendement, efficiency, maatschappelijk belang en bescherming van de reputatie worden steeds vaker reden om risico s te beheersen. In de praktijk wordt het beheersen van deze risico s echter als complex ervaren. Het vraagt om materiekennis en verstand van zaken om een goede risicoafweging te kunnen maken en om normen en methodes goed toe te kunnen passen. Dit wordt versterkt door het feit dat er veel onduidelijkheid bestaat over de eisen waaraan men dient te voldoen en hoe de bestaande normen toe te passen. Dit alles maakt het beleidsmakers niet makkelijk om keuzes te maken en tot een beleid en strategie te komen voor informatiebeveiliging om te voldoen aan deze wir war van normen, wet- en regelgeving en risico s. Vanuit mijn werk als IT Risico- en Compliance consultant heb ik de afgelopen jaren veel met bestuurders, Security Officers en IT managers gesproken in de zorg over privacy- en informatiebeveiliging en business continuity. Velen blijken te worstelen met de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Moet men er nu wel of niet eraan voldoen, waarom en waaraan dan precies, op wat wordt getoetst, moet mijn leverancier NEN 7510 gecertificeerd zijn, hoe zit het met andere standaarden zoals ISO en wat is het verschil, kan ik gecertificeerd worden voor NEN 7510, wat is de relatie met het EPD en het GBZ? Dit zijn vragen die ik in de praktijk zoal tegenkom en de reden om dit onderzoek uit te voeren om dit eenduidig in kaart te brengen. 1 Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 6 van 69

7 1. Inleiding 1.1. Doel van dit onderzoek Het doel van dit onderzoek is om aan beleidsmakers in de zorg die informatie te vertrekken die noodzakelijk is om een beleid en strategie te bepalen om privacy- en informatiebeveiliging effectief en efficiënt in te voeren op basis van de volgende uitgangspunten: 1. Strategische en bestuurlijke context 2. (Privacy)wet- en regelgeving 3. IT Risicomanagement De reden waarom juist voor deze genoemde drie uitgangspunten is gekozen wordt in hoofdstuk duidelijk gemaakt. In dit onderzoek wordt uitvoerig stilgestaan bij de NEN 7510 norm, de norm voor informatiebeveiliging in de zorg. Dit onderzoek geeft derhalve ook antwoord op de volgende subvragen: 1) Wat is een norm en voldoet de NEN7510 aan die omschrijving? 2) Wat is de doelstelling en reikwijdte van de NEN7510 norm? 3) Voor welk van de genoemde drie uitgangspunten is de NEN7510 geschikt of verplicht, als toetsingsnorm of uitvoeringsnorm? 4) Welke alternatieven of combinaties met andere normen/standaarden bieden dezelfde zekerheid IT audit perspectief Toezichthouders en IT auditors worden door de inzichten van dit onderzoek in staat gesteld toetsingsnormen op een adequate wijze te hanteren of af te leiden zodat deze enerzijds aansluiten op een toetsingscriteria en anderzijds aansluiten op de doelstellingen en mogelijkheden van een zorginstelling Reikwijdte Voor dit onderzoek is er geen onderscheidt gemaakt in Cure of de Care instellingen of een specifieke sector. Het onderzoek is gedaan vanuit het perspectief van de zorgaanbieders en niet vanuit andere partijen zoals leveranciers, partijen die verantwoordelijk zijn voor de EPD infrastructuur of andere leveranciers of ketenpartijen De onderzoeksaanpak Dit onderzoek kenmerkt zich als een literatuurstudie naar definities en normen voor informatiebeveiliging, met name de NEN 7510 norm in het bijzonder, strategische en bestuurlijke aspecten, (privacy) wet- en regelgeving en informatie op het gebied van risicomanagement en methoden van beoordelingen in de zorg. Er is onderzocht welke vormen van normen er zijn en aan welke vorm(en) de NEN7510 voldoet. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 7 van 69

8 Voor het verkrijgen van additionele informatie en het afstemmen van de bevindingen en conclusies zijn er diverse interviews gevoerd met vertegenwoordigers van het Nederlands Genootschap voor Huisartsen (NGH), de Nederlandse Vereniging voor Ziekenhuizen (NVZ), NICTIZ, een Academisch Ziekenhuis, certificerende instellingen en een IT hosting provider Leeswijzer De hoofdstukken 2, 3 en 4 geven inzicht in de definities van informatiebeveiliging, risicomanagement, de historie, achtergronden en uitleg over normen zoals de NEN 7510 norm en de verschijningsvormen van normen. Hoofdstuk 5, 6 en 7 gaan in op de genoemde drie uitgangspunten in hoofdstuk 1.1. De in hoofdstuk 1.2. genoemde subvragen 1 en 2 worden beantwoord in de hoofdstukken 3 en 4. Subvraag 3 wordt beantwoord in de hoofdstukken 5, 6 en 7 en subvraag 4 wordt beantwoord in de hoofdstukken 8 (conclusie) en 9 (discussie). Het IT audit perspectief wordt toegelicht in de conclusie Hoofdstuk 8 geeft een overzicht op de aspecten waarop getoetst wordt, of de NEN7510 noodzakelijk is of aan te bevelen en door welke toezichthoudende instanties; Hoofdstuk 9 geeft een conclusie weer in hoe NEN7510 toe te passen in relatie tot de drie invalshoeken en als toetsingsnorm of als implementatienorm; Hoofdstuk 10 geeft een discussie weer over de NEN7510 norm, de op handen zijnde revisie van de norm begin 2011, de relatie met de ISO norm en de relatie met het EPD en de drie invalshoeken; Bijlage A geeft een overzicht van de eisen die gesteld worden aan een Goed Beheerst Zorgsysteem (GBZ) in het kader van het EPD en vergelijkt deze eisen met de NEN 7510; Bijlage B geeft een overzicht van de onderwerpen van de NEN7510 norm in relatie tot ISO (Code voor Informatiebeveiliging); Bijlage C geeft een overzicht van de Start- en vervolgnormen van de Nederlandse Vereniging voor Ziekenhuizen. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 8 van 69

9 2. Begrippenkaders Om de drietal invalshoeken, de Strategische en bestuurlijke context, (Privacy)wet- en regelgeving en IT Risicomanagement op een juiste wijze te kunnen beoordelen worden eerst een aantal begrippen uitgelegd en de context van informatiebeveiliging en de zorg De context en het belang van informatiebeveiliging voor de zorg Voor de zorgsector is er een norm voor informatiebeveiliging, de NEN 7510 die in hoofdstuk 3 nader uitgelegd wordt. Sinds het ontstaan van deze NEN7510 norm in 2004 heeft de zorgsector de nodige ontwikkelingen doorgemaakt. Zo is er sinds 2005 de Zorgbrede Governance code, is er een nieuwe zorgstelsel geïntroduceerd, een nieuw financieel verantwoording- en facturatieproces met zorgverzekeraars op basis van de diagnosebehandelcombinaties (DBC s) en zorgzwaartepakketten (ZZP s) geïntroduceerd, hebben veel instellingen nieuwe Patiënt of Cliënt informatiesystemen geïmplementeerd, is een kwaliteitssysteem verplicht gesteld (HKZ) en zijn er diverse regionale en landelijke ontwikkelingen op het gebied van een EPD. Daarnaast is in 2009 ook de wet gebruik BSN in de zorg (Bsn- z) geëffectueerd, hebben veel zorginstellingen al een lokaal variant van een elektronische patiënten- of cliëntendossier en staan we wellicht aan de vooravond van de invoering van een landelijk patiënten- of cliëntendossier. In het voorwoord zijn we al ingegaan op de toenemende automatisering, complexiteit in ketens en communicatie en de afhankelijkheid van IT in de zorg. Uitval, misbruik of openbaring van (privacy)informatie en informatiesystemen heeft in veel gevallen directe consequenties voor de kwaliteit van de zorg, kan tot levensbedreigende situaties leiden, de reputatie van een instelling schaden en consequenties hebben voor de vergoedingen van de verzekeraars. Het beheersen van risico s die betrekking hebben op de IT- voorziening is hierdoor noodzakelijk geworden voor een goede bedrijfsvoering. Stringenter Wet- en regelgeving zoals de Wbsn- z, privacy waarborgen en het aansluiten op een landelijke infrastructuur voor het Elektronisch patiëntendossier zal de noodzaak voor informatiebeveiliging en IT risicobeheersing alleen nog maar doen toenemen. De zorgsector is ook opener geworden. Steeds meer zorginstellingen nemen diensten af van externe services verleners zoals de Software as a Services aanbieders, hosting partijen, outsourcing aanbieders en externe partijen in de landelijke infrastructuur van het EPD. Dit wordt deels veroorzaakt door een sterkere drang naar efficiency en financieel rendement omwille van concurrentie doelstellingen. Een situatie die het gevolg is van de grotere marktwerking. Door de afhankelijkheid van derde partijen dient de zorg ook te kunnen steunen op het beveiligingsniveau van deze derde partijen. Inzicht in gehanteerde standaarden en normenkaders voor privacy- en informatiebeveiliging wordt hierdoor steeds belangrijker Samenvatting onderzoek Informatiebeveiliging Ziekenhuizen Om de noodzaak aan te tonen van privacy- en informatiebeveiging is hier de samenvatting weergegeven van het rapport uit 2008 Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm van de Inspectiedienst voor de Gezondheidszorg. Weliswaar is dit niet representatief voor de gehele sector maar het geeft toch een goed beeld over de situatie en de wijze waarop een dergelijke toetsing heeft plaatsgevonden. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 9 van 69

10 Samenvatting: Naar aanleiding van de resultaten van het door de IGZ in 2004 gepubliceerde rapport ICT in ziekenhuizen is opnieuw onderzoek verricht naar de stand van de informatiebeveiliging in ziekenhuizen, mede vanwege de op handen zijnde invoering van delen van het Elektronisch Patiëntendossier en de bijbehorende toename van het gebruik van ICT bij de directe patiëntenzorg. Het onderzoek is nu uitgevoerd door de IGZ en het CBP onder twintig ziekenhuizen door middel van gesprekken met een vertegenwoordiger van de Raad van Bestuur, de afdeling ICT en de medische staf. Het doel van het onderzoek was het verkrijgen van een beeld van de stand van zaken van de implementatie van de NEN 7510 norm bij ziekenhuizen in het algemeen. Tevens werd de invulling van de informatiebeveiliging in de gekozen ziekenhuizen onderzocht en gecontroleerd of de getroffen maatregelen voldoen aan de relevante wet- en regelgeving. Uit het onderzoek blijkt dat er vooral op technisch gebied in vergelijking met vier jaar geleden veel is verbeterd. Echter, zowel de leiding als de medewerkers zijn zich nog steeds onvoldoende bewust van de risico s die gebruik van ICT in ziekenhuizen met zich meebrengt. Over het algemeen wordt bewust omgegaan met het openstellen van het netwerk voor andere zorginstellingen. Wat betreft de NEN 7510 norm blijkt dat de meeste ziekenhuizen nog niet aan deze norm voldoen. Zo is informatiebeveiliging bijvoorbeeld nog te weinig omgezet naar uitgewerkt beleid en wordt veel in de praktijk geregeld. Een andere belangrijke bevinding is het ontbreken van bewustzijn bij medewerkers van het belang van informatiebeveiliging. Informatiebeveiliging staat of valt met het gedrag van medewerkers en effectieve controle op gedrag ontbreekt nog te vaak. Van de twintig onderzochte ziekenhuizen blijkt bij negen ziekenhuizen dat er geen sprake is van een passend beveiligingsniveau zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens (WBP), en dat evenmin is voldaan aan de voorwaarden om verantwoorde zorg te leveren zoals bedoeld in artikel 2 van de Kwaliteitswet zorg- instellingen (KWZ). Bij vijf is sprake van onvoldoende passend beveiligingsniveau en bij zes ziekenhuizen is er nog niet in voldoende mate sprake van passend beveiligingsniveau. De twintig onderzochte ziekenhuizen zullen duidelijk moeten maken hoe zij wel aan een passend beveiligingsniveau gaan voldoen. Zij moeten aan het CBP en de IGZ een plan van aanpak leveren waaruit blijkt hoe zij dat gaan bereiken en op welke termijn zij dat bereikt zullen hebben. Indien de inhoud van het plan van aanpak (of het geheel uit- blijven van een plan van aanpak) daartoe aanleiding geeft, zal handhavend worden opgetreden. De inspectie zal de overige ziekenhuizen in Nederland ook een plan van aanpak op laten stellen. Uit dit plan van aanpak moet blijken hoe deze ziekenhuizen aan de NEN 7510 norm gaan voldoen. Daarnaast zullen alle ziekenhuizen in 2010 aan de inspectie de resultaten moeten overleggen van een extern uitgevoerde audit, zoals in de NEN 7510 norm is bedoeld, waaruit blijkt wat het niveau van informatiebeveiliging op dat moment is. Zonodig zal op grond van het plan van aanpak een eerdere beoordeling door de inspectie plaatsvinden en handhavend worden opgetreden. Dat betekent dat bij onvoldoende planvorming om aan de totale NEN 7510 norm te voldoen, handhaving- maatregelen ingezet zullen worden. Tijdens het onderzoek is gebruikgemaakt van het instrument voor Toetsing van ICT in de zorg (TICTzorg instrument). Dit toetsingsinstrument is ontwikkeld om te beoordelen in hoeverre zorginstellingen voldoen aan de NEN 7510 norm. Het betreft een leidraad voor een interview, aan de hand waarvan verschillende onderdelen van de NEN 7510 norm aan bod komen. De Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 10 van 69

11 onderzoekers die het instrument hanteerden, waren een medewerker van het CBP en een inspecteur van de IGZ. De IGZ en het CBP hebben zes onderdelen van de NEN 7510 norm gekozen als indicatoren voor de toestand van de informatiebeveiliging. Het onderzoek betreft dus niet een volledige toets aan de NEN 7510 norm. Tijdens het onderzoek zijn 6 van de 11 onderwerpen uit de NEN 7510 norm aan bod gekomen: Organisatie. (Hfd. 6 uit NEN7510) Externe partijen. (Hfd. 6.2 uit NEN7510) Beveiligingseisen ten aanzien van personeel (Hfd. 8 uit NEN7510) Toegangsbeveiliging. (Hfd. 11 uit NEN7510) Naleving wetgeving. (Hfd. 14 uit NEN7510) Beveiligingsincidenten. (Hfd. 15 uit NEN7510) Onderwerpen die niet aan bod zijn gekomen zijn: Beleid (Hfd. 5 uit NEN7510); Beheer van middelen voor de informatievoorziening (Hfd. 7 uit NEN7510); Fysieke beveiliging en beveiliging van de omgeving (Hfd. 9 uit NEN7510); Operationeel beheer van informatie- en communicatievoorzieningen (Hfd. 10 uit NEN7510); Aanschaf, ontwikkeling en onderhoud van informatiesystemen (Hfd. 12 uit NEN7510); Continuïteitsbeheer (Hfd. 13 uit NEN7510); Door het College Bescherming Persoonsgegevens (CBP) is in het kader van de privacybescherming getoetst aan de Wet Bescherming Persoonsgegevens (WBP). Het CBP heeft bij de toetsing van de beveiligingsmaatregelen aan art. 13 WBP de NEN 7510 norm als meetinstrument gebruikt. Het CBP stelt dat de NEN 7510 norm een gezaghebbende sectorale uitwerking is van art. 13 van de WBP; als een ziekenhuis voldoet aan de NEN 7510 norm, mag er van uit worden gegaan dat het ook voldoet aan de wettelijke bepaling. Andersom is dit geen volstrekt automatisme: een ziekenhuis kan ook op andere wijze aantonen dat de beveiliging in orde is, bijvoorbeeld door te voldoen aan de Code voor Informatiebeveiliging (ISO 17799) of een andere vergelijkbare standaard. De IGZ ziet deze normen (artikel 13 WBP voor privacybeveiliging en de NEN 7510 norm voor informatiebeveiliging) als een norm ter invulling van het begrip verantwoorde zorg als bedoeld in de Kwaliteitswet zorginstellingen en de Wet BIG (hoofdstuk 6.10). De voorwaarden om verantwoorde zorg te kunnen verlenen, zijn bij voldoening aan de norm wat dit betreft dan aanwezig. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 11 van 69

12 2.3. Wat is informatiebeveiliging De definitie van informatiebeveiliging in de NEN 7510 norm is de volgende: Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken. Informatiebeveiliging is volgens de NEN7510 gericht op de aspecten: 1. vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname; 2. integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; 3. beschikbaarheid: het zekerstellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers. Behalve deze elementaire aspecten komen bij informatiebeveiliging ook de volgende zekerheidsbegrippen aan de orde: 4. onweerlegbaarheid: het waarborgen dat het vastleggen van gegevens of het verzenden van een bericht niet kan worden ontkend; 5. verantwoordelijkheid: het waarborgen dat van gegevens en verwerkingen van gegevens steeds vaststaat wie daarvoor welke verantwoordelijkheid draagt; 6. authenticiteit: het zekerstellen dat gegevens, informatiediensten, organisaties en gebruikers van de juiste identiteit zijn voorzien; 7. betrouwbaarheid: het waarborgen van overige kwaliteitseisen ten aanzien van informatie, de bron ervan, de route die de gegevens volgen en verwerkingen die erop plaatsvinden. Met de aspecten 4, 5, 6 en 7 wordt over het algemeen de controleerbaarheid bedoeld om achteraf de toegang en transacties te kunnen verifiëren. Het begrip informatie is in de NEN 7510 norm niet nader uitgelegd. Informatie is volgens de van Dale : kennis die iemand bereikt. Info, kondschap, achtergrondinformatie, beeldmateriaal, desinformatie, inside- information, mededeling, procesinformatie, propaganda, stof, tele- informatie, toelichting, zero- informatie verstrekking van kennis of inzicht. Uit het feit dat informatiebeveiliging zich op zulke verschillende zaken richt, valt af te leiden dat informatiebeveiliging een veelzijdige discipline is 2 en dit vraagt om een integrale aanpak. Hierbij is het juist van belang dat informatiebeveiliging geen IT feestje wordt. Immers informatie is meer dan alleen digitale informatie en behelst dus ook het gesproken woord, faxen, geprinte documenten etc Selectie van maatregelen Risico s die kunnen leiden tot incidenten of calamiteiten zijn bepalend voor het nemen van maatregelen. Het is belangrijk bij het selecteren van maatregelen een balans te vinden tussen organisatorische en technische maatregelen. Hierbij dient de gebruiker zo min mogelijk gehinderd te worden bij het uitvoeren van zijn of haar taken. Maatregelen dienen proportioneel en in balans te zijn met de beschikbare middelen, de kosten, de organisatie, de cultuur, de medewerkers en de stand der techniek. Organisatorische maatregelen zoals screening, richtlijnen, gedragscodes met sanctiebepalingen bij overtreding, risicobewustzijn en goede instructies kunnen compenserend zijn voor technische maatregelen. Het 2 Informatiebeveiliging onder controle van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 12 van 69

13 beveiligingsniveau van medische informatie, patiënt- en cliëntinformatie dient echter altijd hoog te zijn Informatiebeveiliging als continu proces Doordat organisaties en hun omgeving veranderen, veranderen ook de risico s en de eisen en randvoorwaarden die vanuit de organisatie aan informatiebeveiliging worden gesteld 3. Door informatiebeveiliging als proces te borgen zijn we instaat de effectiviteit van de maatregelen te meten en te evalueren. Hierdoor kunnen we daar waar nodig bijsturen, en indien nodig, nieuwe maatregelen selecteren. Hierdoor wordt het beveiligingsniveau continu verbeterd. De NEN7510 norm gaat uit van deze procesborging en maakt hier ook de relatie met de ISO norm (hoofdstuk 6.8) op basis van de Plan- Do- Check- Act cyclus van Deming IT, Risico s, risicomanagement en de risicoanalyse Onder IT kunnen we informatie (gegevens) onderscheiden, informatiesystemen en de IT beheer organisatie. Met informatiesystemen bedoelen we technische systemen zoals servers, applicaties en (communicatie)infrastructuren. Hiertoe behoren ook de externe dienstverlening zoals bijvoorbeeld uitbestede software ontwikkeling, ge- outsourced beheer, het extern hosten van servers en applicaties bij Datacenters of Applicaties Service provider (ASP) en Software as a Service (SaaS) dienstverleners Risico s Het toepassen van IT brengt risico s met zich mee. Als we deze niet beheersen kan dit de kwaliteit van de zorg beïnvloeden of de privacy van een patiënt schaden. Risico s kunnen betrekking hebben op de uitval, misbruik, openbaring of foutief gebruik van informatie en informatievoorzieningen. Voorbeelden van risico s zijn het ongeautoriseerd inzien van patiënt- en cliëntgegevens door onbevoegden, misbruik van toegangsmiddelen zoals de UZI- pas, het uitvallen van planningssystemen waardoor medewerkers hun werkzaamheden niet meer kunnen uitvoeren, de uitval van centrale communicatie- en IT faciliteiten waardoor de communicatie 3 Informatiebeveiliging onder controle van Paul Overbeek, Edo Roos Lindgreen en Marcel Spruit 4 norm voor een kwaliteitsmanagement systeem Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 13 van 69

14 of (camera)bewaking uitvalt of schade door oude computer virussen en wormen doordat beschikbare updates niet geïnstalleerd zijn Risicomanagement proces Risicomanagement omvat alle activiteiten die erop zijn gericht om risico s die een organisatie loopt bij het bereiken van haar doelstellingen, te beheersen 5. Hierbij gaat het er vooral om het identificeren van de risico s de we lopen, welke risico s we acceptabel vinden en welke maatregelen we moeten treffen om de schade of impact ervan bij optreden te voorkomen of tot een acceptabel niveau te beheersen. In de risicoafweging spelen ook strategische of bestuurlijke aspecten een belangrijke rol alsmede eisen die voortkomen uit geldende wet- en regelgeving 6. De risicoafweging is een belangrijke stap in de Plan fase van het informatiebeveiligingsproces. Deze stap is in de NEN7510 norm onderbelicht. Dit in tegenstelling tot de Code voor Informatiebeveiliging, waar de NEN7510 norm van is afgeleid. Het ontbreken van deze borging in de NEN 7510 is een belangrijk gemis en in de hoofdstukken 3.2 en 7 zullen we hier nader op ingaan De risicoanalyse in het risicomanagement proces Eén van de belangrijkste stappen in het risicomanagementproces is de risicoanalyse. In de risicoanalyse wordt op basis van een Afhankelijkheidsanalyse de betrouwbaarheidseisen in kaart gebracht per systeem. In hoofdstuk 7 zullen we nader ingaan op de A&K- analyse. Wat volgt op de A&K- analyse is de risicoafweging. In deze stap worden de afwegingen gemaakt welke risico s we willen beheersen en de mate waarin. De NEN 7510 norm noemt het risicomanagement proces niet als onderdeel van de beleidsfase, de Plan fase, maar noemt de risicoanalyse wel als middel om betrouwbaarheidseisen in kaart te brengen voor informatiesystemen. Zo dient er bijzondere aandacht te worden besteed aan medische apparatuur waarin gegevens van patiënten worden verwerkt bij het proces van diagnose en behandeling. Hiervoor wordt het Hulpmiddel Leidraad A&K Analyse meegeleverd die ook in hoofdstuk 7 aan bod zal komen. 5 Risicomanagement voor security en facilitymanagers, Drs. Cees Coumou 6 ISMS beschrijving van ISO Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 14 van 69

15 Code voor Informatiebeveiliging en het ISMS De volgende uitgangspunten zijn voor een goede risicoafweging randvoorwaardelijk volgens de Code voor Informatiebeveiliging (hoofdstuk 3.1.):!"!#$%&'$"()*+,,-.*,,/) Om informatiebeveiliging als proces te borgen dient volgens de Code voor Informatiebeveiliging een Information Security Management Systeem (ISMS) ingericht te!""#$%%&'()( worden. Dit systeem beschrijft het proces dat om risico s te onderkennen, af te wegen en *+,(-.,(/01(2.31(40,56-,5-+7(705(--1(+-/(.1(7-(.189:;05.-< (7-(9:601.,05.-(6--1(-:1,5.6-(8.101=.>+-( maatregelen te selecteren. Vervolgens dient de werking regelmatig getoetst te worden,=?07-(;06(59-<:-16-1(-1@98(7-(9:601.,05.-(1.-5(.1(4-:+-6-1?-.7(;06(<:-16-1a(( en te worden geëvalueerd op de volgende uitgangspunten: 1)!""#$%%&'(B( rekening houdt met eisen voor de bedrijfsvoering; 2) evenals eisen uit wet- of regelgeving en contractuele verplichtingen voor beveiliging; 3) %-1(4-:C0=?5.16(/01(2.31(705(.1(6-40+(401(--1(-:1,5.6(< ,.1=.7-15(D(290+,(?0=/.16(401(7-(C-<,.5-( is afgestemd op het strategische kader van de organisatie voor het risicobeheer 401(7-(9:601.,05.-(C00:9E(20/-+.3/-(5:01,0=5.-,(C9:7-1(F :7(G-H=9;;-:=-I(D(-:(;-1,-1(<-,=?./<00:( waarin het ISMS 7 wordt vastgesteld en bijgehouden. <-?9:-1(5-(2.31(7.-( (2.31(.1(7-(: (E:9=-7F:-,(9;(7-( (-:401(5-(;.1.;0+.,-:-1A( ( Het ISMS volgens de Code voor Informatiebeveiliging K15-:-,5-7 P0:5.-,( $-+016H(?-<<-17-1( 7>AE J-5(KLML(( %,50<+.,? 40,5,5-++-1( %,50<+.,? KLML KLML K15-:-,5-7 P0:5.-,( $-+016H(?-<<-17-1( 8; J-5(KLML(.;E+-;-1H( K;E+-;-15(017 5-:-1(-1(F.549-:-1( K;E+-;-15(017 9E-:05-(5?-(KLML 9E-:05-(5?-(KLML J-5(KLML(<.3?9F7-1(( -1(4-:<-5-:-1( M (017(.;E:94-(5?-(KLML.;E:94-(5?-(KLML 9D?( %.,-1(-1(( K189:;05.91( 4-:C0=?5.16-1((,-=F:.5Q( 5A0A4A(.189:;05.-H( < ( :-RF.:-;-15,( 017(-SE-=505.91, J-5(KLML(<-C0/-1( M91.59:(017( -1(<-99:7-+-1( M91.59:(017 :-4.-C(5?-(KLML :-4.-C(5?-(KLML (G=DJ( $-?--:7-(( M0106-7(.189:;05.-H( < ((,-=F:.5Q )-)6)78(9#:;<=>)?;=3=@AB?);@)$%C%#@5;D=BB=E) Om deze reden is in het kader van dit onderzoek gekozen om de volgende drie aspecten uit te werken voor privacy- en informatiebeveiliging met behulp van de NEN 7510 norm in 7>AE)FG=?)$%C%)HAB?B?=>>=EI) J-5(40,5,5-++-1(401(KLMLH<-+-.7N(H79-+, N(HE:9=-,,-1(-1( te richten op basis van een risicoafweging: HE:9=-7F:-,(7.-(: (2.31(499:(?-5(:.,.=9<-?--:(-1(4-:<-5-:.16(401(7-( De strategische en bestuurlijke.189:;05.-< n( (:-,f+505-1(5-(+-4-:-1(7.-(.1( context 94-:--1,5-;;.16(2.31(;-5(0+6-;-1-(<-+-.7,+.31-1(-1(79-+, (401(7-( (Privacy)wet- en regelgeving 9:601.,05.-A( IT Risicomanagement 8;)FG=?)$%C%) 2:@>=:=E?=5=E)=E) J-5(.;E+-;-15-:-1(-1(F.549-:-1(401(KLMLH<-+-.7N(H<-?--:,;005:-6-+-1N(( HE:9=-,,-1(-1(HE:9=-7F:-,A( Hierbij 42?H;=5=EI) zal ook aandacht worden besteedt aan het nieuwe zorgstelsel en het EPD. In de volgende hoofdstukken proberen we voor elk van deze uitgangspunten een antwoord te (G=DJ)FG=?)$%C%) geven in de mate waarin en $-99:7-+-1(-1N(499:294-:(401(59-E0,,.16N(;-5-1(401(E:9=-,E:-,505.-,(5-1( de wijze waarop de NEN7510 norm hierbij een rol speelt. D;E?5;>=5=E)=E)K=;;5<=>=EI) 9E2.=?5-(401(KLMLH<-+-.7N(H79-+, (-1(H-:40:.16(F.5(7-(E:0/5.3/N(-1( :0EE9:506-(401(7-(:-,F+505-1(001(7-(7.:-=5.-(5-:(<-99:7-+.16A( 9D?)FG=?)$%C%)K2LG;4<=E)=E) H=5K=?=5=EI) ( O9::.6-:-17-(-1(E: (;005:-6-+-1(1-;-1N(9E(<0,.,(401(7-( :-,F+505-1(401(7-(.15-:1-(KLMLH0F7.5(-1(7-(7.:-=5.-<-99:7-+.16(98(017-:-( : (.189:;05.-N(9;(=915.1F-(4-:<-5-:.16(401(?-5(KLML(5-( <-C-:/, A( 7 Information Security 0) Management System volgens de Code van Informatiebeveiliging Dit document is door NEN onder licentie verstrekt aan: / This document has been supplied under license by NEN to: Copyright: Alle rechten zijn voorbehouden aan de auteur van Getronics dit document PinkRoccade J. Verkerk 2006/10/10 Pagina 15 van 69

16 Plaatsen we het ISMS en risicomanagement in het geheel van informatie beveiliging dan kunnen we dit als volgt weergeven: Het risicomanagement proces is dus belangrijk voor de Plan fase voor het Informatiebeveiliging proces. Risicomanagement heeft een belangrijke koppeling met de Check en Act fase. In deze fases vindt de toetsing op de effectiviteit van de maatregelen en evaluatie plaats. Om een goede controle uit te voeren is het belangrijk dat het risicoafwegingsproces goed is uitgevoerd en dat de gemaakte keuzes en de overwegingen daarbij zijn vastgelegd. In het evaluatie proces dient er gekeken te worden of de organisatie niet zodanig veranderd is dat er nieuwe risico s zijn ontstaan die tot bijstelling van de maatregelen moet leiden. Dit geldt ook voor veranderende of nieuwe wet- en regelgeving. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 16 van 69

17 3. Normen en standaarden voor informatiebeveiliging 3.1. De oorsprong, de Code voor Informatiebeveiliging De eerder genoemde Code voor Informatiebeveiliging is de Nederlandse versie van de internationale standaard voor informatiebeveiliging, ISO/IEC Deze heeft zijn oorspong in de British Standard 7799 (BS7799). De ISO standaard bestond uit twee delen: deel 1 betreft een set best practices (maatregelen) en deel 2 de beschrijving van het Information Security Management System (ISMS) om risicomanagement en informatiebeveiliging als een proces volgens de Plan- Do- Check- Act cyclus van Deming te borgen (hoofdstuk ). Certificering is mogelijk volgens deze standaard op het ISMS, dus deel 2 van ISO Sinds 2006 is deze ISO standaard opgegaan in twee nieuwe standaarden. Het oude deel 2 uit de ISO standaard is ISO gaan heten en deel 1 uit de ISO standaard is opgegaan in ISO Certificering is net als bij ISO alleen mogelijk op het ISMS dat in ISO is beschreven. Oud Nieuw De Code voor Informatiebeveiliging beschrijft in 11 hoofdstukken normen en maatregelen, die van belang zijn voor het realiseren van een afdoende niveau van informatiebeveiliging. De Code voor Informatiebeveiliging kent de volgende 11 hoofdstukken: 1. Beveiligingsbeleid; 2. Beveiligingsorganisatie; 3. Classificatie en beheer van bedrijfsmiddelen; 4. Beveiligingseisen ten aanzien van personeel; 5. Fysieke beveiliging en beveiliging van de omgeving; 6. Beheer van communicatie- en bedieningsprocessen; 7. Toegangsbeveiliging; 8. Ontwikkeling en onderhoud van systemen; 9. Incidentmanagement; 10. Continuïteitsmanagement (Business Continuity Management); 11. Naleving; In de huidige versie van de ISO standaard worden 133 beheersingsmaatregelen beschreven. Afhankelijk van de risicoafweging die in het ISMS gemaakt zijn worden deze geselecteerd en eventueel geconcretiseerd met maatregelen uit de NEN 7510 of andere standaarden of normen zoals ISO Deze vrijheid biedt ISO Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 17 van 69

18 ISO 27799, de Europese norm voor de zorg In Europees verband is als toevoeging op de ISO en standaard een ISO standaard ontwikkeld voor de zorg. Deze standaard schrijft voor welke maatregelen uit de ISO standaard geselecteerd moeten worden en hoe indien het een zorginstelling betreft. Zorginstellingen die ervoor kiezen om deze lijn te volgen moeten een Information Security Management System (ISMS) implementeer volgens de ISO standaard NEN 7510, informatiebeveiligingsnorm voor de zorg De NEN 7510 norm vindt zijn oorsprong in de ISO standaard en bestaat sinds 2004 (NEN 7510:2004) en kent een specifieke aanscherping op het gebied van zorgelementen. Hierbij heeft de norm extra aandacht aan de beheersing van de toegang tot gegevens en bescherming van patiëntinformatie. De NEN7510 kent de volgende hoofdstukken; 1. Beveiligingsbeleid; 2. Organiseren van informatiebeveiliging; 3. Beheer van middelen voor de informatievoorziening; 4. Beveiligingseisen ten aanzien van personeel; 5. Fysieke beveiliging en beveiliging van de omgeving; 6. Operationeel beheer van ICT- voorzieningen; 7. Toegangsbeveiliging; 8. Aanschaf, ontwikkeling en onderhoud van systemen; 9. Continuïteitsbeheer; 10. Naleving; 11. Beveiligingsincidenten; De norm zich richt zicht zowel op de individuele hulpverlener tot grote complexe instellingen. Bij deze norm worden voor een aantal verschillende organisatietypen implementatie handboeken geleverd en toetsbare voorschriften die in hoofdstuk worden toegelicht. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 18 van 69

19 3.3. Verschil ISO en de NEN 7510 In de praktijk ontstaat er nog wel eens verwarring over ISO en de NEN Dit is dan ook vooral te wijden aan het feit dat de NEN 7510 norm ontstaan is uit de ISO maar niet is gebaseerd op de volledige ISO Die bestaat immers uit twee delen, deel I en II zoals we in hoofdstuk 3.1 hebben kunnen zien. De NEN 7510 is alleen gebaseerd op deel I. Het Information Security Management System (ISMS) uit deel II van ISO is niet uitgewerkt in de NEN 7510 norm. Er is dus geen relatie tussen ISO en de NEN Als we NEN 7510 willen vergelijken met een actuele norm, dan moeten we dit vergelijken met de opvolger van deel I uit ISO 17799, namelijk ISO en niet ISO Certificeringsmogelijkheden voor de NEN 7510 Het is mogelijk om zich te certificeren volgens de ISO standaard waarbij in de scope de NEN7510 is opgenomen als gehanteerde maatregelenset. Hierbij is de aard van de instelling bepalend welk toetsbaar voorschrift is gehanteerd is (hoofdstuk 3.4.1) Er zijn certificerende instellingen die een volledig NEN 7510 certificaat afgeven. Deze volgen echter de beschreven opzet met een ISMS op basis van ISO in combinatie met de NEN Inhoudelijk is er geen verschil. In het ene geval heet het een ISO certificaat op basis van een ISMS en met de NEN 7510 in de scope opgenomen, in het andere geval heet het een NEN 7510 certificaat dat feitelijk gebaseerd is op een ISO opzet op basis van een ISMS. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 19 van 69

20 NEN 7511, Toetsbare voorschriften Naast de NEN7510 norm zijn er ook toetsbare voorschriften. Deze documenten geven een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter, toegeschreven op complexe organisaties in de zorg (bijv. Ziekenhuizen), samenwerkingsverbanden, solopraktijken NEN voor complexe organisaties Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de complexe organisaties in de zorg zoals (academische)ziekenhuizen, GGD en GGZ instellingen etc NEN voor samenwerkingsverbanden Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor de samenwerkingsverbanden in de zorg NEN voor solopraktijken Dit document geeft een nadere uitwerking van NEN 7510 met een voorschrijvend, toetsbaar karakter voor solopraktijken in de zorg NEN 7512 voor elektronische communicatie Het toepassingsgebied van deze norm is de elektronische communicatie in de zorg, tussen zorgverleners en zorginstellingen onderling en met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn NEN 7513 vastlegging acties op elektronische patiëntendossiers NEN7513 betreft de vastleggen van acties op elektronische patiëntendossiers. Voor veilige zorg is het essentieel dat gegevens in het dossier integer zijn. Daarbij bevat het dossier in de aard van de registratie zeer privacygevoelige gegevens. Om deze twee redenen, vastgelegd in wettelijke bepalingen, is het van belang te allen tijde te kunnen achterhalen wie toegang heeft gehad tot het dossier Ontwikkelingen in de NEN7510 in 2011 De NEN7510 norm bestaat sinds 2004 en zoals eerder al vastgesteld is de norm afgeleid van de oude ISO standaard (deel 1). Sinds 2006 is deze ISO (deel 1 en 2) opgevolgd door ISO en Op dit moment is de NEN7510 in revisie. Eind 2010 of begin 2011 wordt deze revisie verwacht en zal de huidige NEN7510:2004 opgevolgd worden door NEN7510: Deze nieuwe versie van de NEN zal naar alle waarschijnlijkheid gebaseerd zijn op een ISMS en risicomanagement benadering. Hierdoor zal de NEN 7510:2011 een certificeerbaar karakter krijgen. Naar verwachting zullen meer zorginstellingen zich vanaf 2011 laten certificeren volgens de NEN Voor huidige NEN 7510 certificaten of instellingen die zich nu willen laten certificeren volgens de NE 7510:2004 norm heeft dit geen consequenties aangezien zij dit enkel kunnen nadat zij een ISMS hebben ingericht en een risicomanagement benadering volgens op basis van de ISO standaard zoals in hoofdstuk 3.4 is beschreven. Dit is feitelijk een tussenoplossing naar een certificeerbare standaard wat de NEN 7510:2011 zal gaan worden. Copyright: Alle rechten zijn voorbehouden aan de auteur van dit document Pagina 20 van 69