Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen
|
|
- Jasper Kok
- 8 jaren geleden
- Aantal bezoeken:
Transcriptie
1 Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen
2 Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen Rapport bij project , versie 01 Dit rapport is geschreven in opdracht van De Inspectie voor de Gezondheidszorg door de heer drs. P.L.T.M. (Patrick) van Eekeren, de heer ing. E.F. (Edwin) Mooij MISM en de heer J. (Joren) Roelofs MSc van M&I/Partners bv. Amersfoort,
3 Inhoudsopgave 1 Inleiding Context Opdracht Leeswijzer 4 2 Verantwoording toetsingskader 5 3 Planmatige beoordeling 7 4 Inhoudelijke beoordeling 12 5 Individuele scores 19 6 Best practices 21 Bijlage 1 - Planmatig toetsingskader 22 Bijlage 2 - Inhoudelijk toetsingskader 23 Pagina 2 van 25
4 1 Inleiding 1.1 Context Informatiebeveiliging binnen de gezondheidszorg is de afgelopen jaren uitgegroeid tot een belangrijk thema, met als doel het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Om informatiebeveiliging in de zorg eenduidig te definiëren, is met de norm NEN 7510 een kader opgesteld. Naast het borgen van kwaliteitscriteria vereist deze norm dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken over adequate informatiebeveiliging. Uit het eind 2008 gepubliceerde onderzoek Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm van de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP) blijkt dat van de 20 onderzochte ziekenhuizen de meeste nog niet aan de norm voldeden. Er was slechts een beperkt risicobewustzijn aanwezig en het merendeel van de ziekenhuizen had onvoldoende maatregelen getroffen voor de borging van informatiebeveiliging. Naar aanleiding van deze bevindingen heeft de IGZ deze 20 deelnemende ziekenhuizen een plan van aanpak gevraagd. In dat plan geeft deze groep ziekenhuizen aan wat wordt ondernomen om de geconstateerde tekortkomingen te verhelpen en op welke termijn. De overige Nederlandse ziekenhuizen zijn in de begeleidende brief van de IGZ van 13 november 2008 bij het geaggregeerde rapport over de 20 ziekenhuizen verzocht uiterlijk 1 februari 2009 een plan van aanpak voor invoering van de NEN 7510 aan te leveren. Daarnaast heeft de IGZ alle ziekenhuizen de verplichting opgelegd om in 2010 een externe audit te laten uitvoeren om te toetsen of zij aan de norm voor informatiebeveiliging (NEN 7510) voldoen. 1.2 Opdracht Op 29 mei 2009 heeft de IGZ aan M&I/Partners opdracht gegeven voor het toetsen van het plan van aanpak voor de invoering van de norm NEN 7510 van 71 ziekenhuizen. Deze plannen zijn door de ziekenhuizen aan de IGZ toegezonden in reactie op de brief van de IGZ van 13 november Bij de opdracht zijn de volgende aandachtspunten van belang: In het kader van de opdracht is, voorafgaande aan de beoordeling, een uniform toetsingskader opgesteld. Het toetsingskader omvat zowel de planmatige aspecten van de plannen van aanpak, als de NEN 7510 gerelateerde inhoud. Het toetsingskader is afgestemd met de IGZ. Feit is dat het toetsingskader is opgesteld, nadat de ziekenhuizen hun plannen aan de IGZ hebben toegezonden. Zij hebben derhalve bij het opstellen van de plannen van aanpak geen rekening kunnen houden met het toetsingskader. De toetsing heeft uitsluitend plaatsgevonden aan de hand van de plannen van aanpak en andere schriftelijke informatie die in reactie op de brief van de IGZ van 13 november 2008 door de ziekenhuizen aan de IGZ is toegezonden. Aan de hand van het toetsingskader is een objectief oordeel over deze plannen van aanpak gegeven. Afhankelijk van de mate waarin de schriftelijke informatie de feitelijke situatie aangaande informatiebeveiliging in een ziekenhuis weergeeft, zegt dit iets over de feitelijke status respectievelijk op korte termijn te verwachte ontwikkeling van de informatiebeveiliging. Pagina 3 van 25
5 Tijdens de toetsing zijn alle plannen op basis van het toetsingskader onafhankelijk van elkaar door twee adviseurs beoordeeld. Daar waar afwijkingen tussen de beoordeling bestonden zijn deze besproken en is een gezamenlijke score geformuleerd. Dit rapport bevat geen managementsamenvatting en/of conclusies. De IGZ communiceert de, voor wat haar betreft, belangrijkste bevindingen, evenals de daaraan door de IGZ te verbinden conclusies en acties in haar begeleidende brief, waarmee dit rapport aan de ziekenhuizen wordt aangeboden. 1.3 Leeswijzer Hoofdstuk 2 gaat in op het toetsingskader, waarvan een nadere uitwerking in Bijlage 1 en Bijlage 2 zijn te vinden. Hoofdstuk 3 geeft de beoordeling van het planmatig toetsingskader en hoofdstuk 4 van het inhoudelijk toetsingskader. In hoofdstuk 5 zijn de individuele scores van de 71 ziekenhuizen opgenomen. Tijdens de beoordeling van de plannen van aanpak is een aantal best practices geïdentificeerd. Deze zijn tot slot in hoofdstuk 6 opgenomen. Pagina 4 van 25
6 2 Verantwoording toetsingskader Voor het analyseren en beoordelen van de plannen van aanpak is een toetsingskader gehanteerd dat bestaat uit twee onderdelen. Enerzijds is de gehanteerde planmatige opzet, zoals beschreven in de plannen van aanpak, beoordeeld. Dit heeft geresulteerd in het verkrijgen van een goed beeld van de beheersbaarheid en de haalbaarheid van de plannen van aanpak. Anderzijds is de inhoud van de plannen van aanpak beoordeeld, met uiteraard als grondslag de norm NEN De IGZ is zich er van bewust dat het toetsingskader is opgesteld, nadat de plannen van aanpak door de ziekenhuizen zijn ingediend. Planmatig toetsingskader Het eerste toetsingskader is gericht op het toetsen van de planmatige opzet. Hierbij moet men denken aan het helder formuleren van doelstellingen, duidelijke fasering en een gedefinieerd resultaat. Op basis van de verstrekte gegevens in de plannen van aanpak is tevens een inschatting gemaakt van de haalbaarheid van deze plannen. Alle aspecten van het planmatig toetsingskader zijn beoordeeld met de scores Goed, Voldoende, Matig en Onvoldoende. De operationalisering van de scores verschilt per aspect en is nader toegelicht in Bijlage A. Met het planmatig toetsingskader is getoetst op de volgende aspecten: projectorganisatie; huidige situatie; doelstellingen; uitvoering; prioriteitstelling; planning; kosten en inzet; haalbaarheid; externe auditor. Met betrekking tot het gebruik van het woord plan van aanpak en projectorganisatie past nog een kanttekening. De norm NEN 7510 schrijft aangaande de wijze van invoering van de norm zelf niets voor. Dit kan vanuit de staande organisatie of met een specifieke projectorganisatie worden gedaan. Het beeld is wel dat veel ziekenhuizen nog een behoorlijke inspanning moeten leveren rond de invoering van de norm. Een tijdelijke extra inspanning in de vorm van een project kan daarbij helpen. Vervolgens kan het beheer en onderhoud van de informatiebeveiliging weer door de informatiebeveiligingsorganisatie worden opgepakt. Inhoudelijk toetsingskader Het tweede toetsingskader is gericht op de inhoudelijke aspecten van de norm NEN Om deze toetsing te kunnen uitvoeren is een mate van abstractieniveau gehanteerd waarbij geen gedetailleerde analyse van de plannen van aanpak is gegeven maar aandacht is besteed aan de belangrijkste aspecten van de norm. Ondanks dat de IGZ vooraf geen eisen heeft gesteld aan de plannen van aanpak, verwacht zij wel dat de ziekenhuizen aandacht besteden aan de basismaatregelen van informatiebeveiliging en heeft de plannen van aanpak hierop getoetst. Het gehanteerde normenkader is gebaseerd op de zogenaamde startnormen die door de NVZ zijn opgesteld, gecombineerd met de, wat in het Handboek NEN 7510 is genoemd, 12 belangrijkste stappen. Pagina 5 van 25
7 Met het inhoudelijk toetsingskader is getoetst op de volgende onderdelen: informatiebeveiligingsbeleid; informatiebeveiligingsproces; informatiebeveiligingsorganisatie; risicoanalyse; bewustwording; fysieke toegang tot systemen en ruimten; virusscanner, firewall en back-up; gegevensuitwisseling; online gegevens; autorisatie en wachtwoorden; technische achterdeuren; continuïteitsbeheer; bedrijfsdocumenten en persoonsgegevens; incidentmelding. Alle aspecten van het inhoudelijk toetsingskader zijn beoordeeld met de scores Goed, Voldoende, Matig en Niet benoemd. De score niet benoemd binnen het toetsingskader behoeft een extra toelichting. In het planmatig kader betekent deze categorie een onvoldoende score op het onderdeel, bij het inhoudelijk kader staat deze score voor een niet benoemd aspect. De IGZ sluit niet uit dat een ziekenhuis de maatregelen betreffende een aspect van de norm al geïmplementeerd en geborgd heeft, waardoor in het ingediende plan van aanpak hieraan geen aandacht meer is besteed. In een ander geval kan een ziekenhuis met onderbouwing aantonen dat een aspect niet van toepassing is op de organisatie en dat dit de reden is waarom het aspect in het plan van aanpak niet is benoemd. In beide gevallen scoort het ziekenhuis hetzelfde als een ziekenhuis dat geen aandacht heeft besteed aan het aspect. Ondanks dat inhoudelijke aspecten niet met de score onvoldoende beoordeeld worden, geeft deze score wel aan welke deelsaspecten van de norm onderbelicht blijven. Het operationaliseren van de scores binnen het inhoudelijk toetsingskader verschilt per aspect en wordt toegelicht in Bijlage B. Pagina 6 van 25
8 3 Planmatige beoordeling Algemene indruk Voordat de details van de analyse behandeld worden, wordt eerst een globale impressie van de plannen van aanpak gegeven. Figuur 1 geeft de score op de beoordeelde aspecten weer. De maximale score die met dit toetsingskader te behalen is bedraagt 27 punten (drie punten per aspect), de minimale score is nul. Gemiddeld zijn de plannen van aanpak met een score van 15,7 punten beoordeeld. De aspecten Uitvoering en Externe auditor hebben het beste gescoord. 85% Van de plannen geeft in voldoende mate inzicht in de activiteiten stappen die het ziekenhuis gaat uitvoeren om de informatiebeveiliging te verbeteren. Tevens maakt dit de plannen goed controleerbaar door een externe auditor. Op dit aspect scoort 90% van de plannen een voldoende of hoger. Het aspect Kosten en inzet scoort duidelijk minder goed, 80% van de ziekenhuizen haalt op dit punt geen voldoende. Dit betekent dat de meeste plannen van aanpak niet ingaan op de kosten en inzet, die gemoeid zijn met de invoering van de norm NEN De plannen zijn ook beoordeeld op de mate van haalbaarheid om in 2010 gereed te zijn voor een externe audit. Slechts 40% van de plannen krijgt op dit aspect de beoordeling voldoende of goed. Dit komt met name door het ontbreken van een inschatting van de financiële consequenties (waaronder mensinzet) en in sommige gevallen een ontbrekende dan wel beperkte prioriteitstelling. Figuur 1. Totaaloverzicht planmatig toetsingskader Pagina 7 van 25
9 1. Projectorganisatie De succesvolle afronding van een project staat of valt bij een gedegen projectorganisatie. Het is van belang dat de taken en verantwoordelijkheden van de projectleden bekend en vastgelegd zijn. In 70% van de plannen is een voldoende mate van projectorganisatie aanwezig. Dit houdt in dat bekend is welke personen het project uitvoeren en/of wie eindverantwoordelijk voor het project is. 28% van de plannen gaat nog een stap verder, hierin worden ook extra onderwerpen als rapportage, goedkeuring en ondersteuning benoemd. Uit de analyse blijkt dat in 16% van de plannen het project bij één persoon is belegd, zonder dat er een verdere projectorganisatie is benoemd. Informatiebeveiliging raakt de gehele organisatie en idealiter dient het projectteam hiervan een afspiegeling te zijn. Tot slot is in 14% van de plannen geen enkele vorm van projectorganisatie weergegeven. 2. Huidige situatie In een plan van aanpak wordt in het algemeen de huidige situatie (het vertrekpunt) in kaart gebracht. In het merendeel van de plannen (82%) wordt deze situatie adequaat in beeld gebracht. Veel ziekenhuizen gebruiken een quick scan om de huidige situatie in kaart te brengen. In 8% van de gevallen is niet helder waar de organisatie nu staat met betrekking tot informatiebeveiliging of wat ondernomen wordt om dit alsnog in kaart te brengen. 10% van de ziekenhuizen heeft in het plan van aanpak geen aandacht geschonken aan de huidige situatie. 3. Doelstellingen Over het algemeen zijn de doelstellingen helder geformuleerd. In 69% van de gevallen wordt het voldoen aan de norm en/of het behalen van certificering expliciet benoemd. 21% heeft andere doelstellingen geformuleerd, bijvoorbeeld het verbeteren van de patiëntveiligheid. Bij zeven ziekenhuizen ontbreken de doelstellingen in het plan van aanpak. In een aantal gevallen geven ziekenhuizen zelfs heldere definities over wat het ziekenhuis onder informatiebeveiliging verstaat en wat daar wel en niet onder valt. Veelal wordt dit beschreven in het informatiebeveiligingsbeleid van het ziekenhuis. Pagina 8 van 25
10 4. Uitvoering Van het plan van aanpak wordt verwacht dat duidelijk beschreven wordt welke activiteiten uitgevoerd worden om informatiebeveiliging binnen de instelling te verbeteren. Het overgrote merendeel (84%) heeft in voldoende mate aangegeven hoe ze aan de norm NEN 7510 willen gaan voldoen. Dit door middel van een gedetailleerd stappenplan of een goed onderbouwd stappenplan op hoofdlijnen. 42% heeft deze stappen belegd in de organisatie, meestal in de vorm van het aanwijzen van een eindverantwoordelijke. Deze plannen zijn als goed beoordeeld. De plannen van aanpak zijn als matig beoordeeld indien de stappen alleen op hoofdlijnen zijn benoemd. Omdat het hierbij niet mogelijk is om in te schatten hoe hier invulling aan gegeven wordt. Één ziekenhuis heeft deze stappen niet in kaart gebracht, wat resulteert in de score onvoldoende. 5. Prioriteiten Het voldoen aan de norm NEN 7510 bestaat niet uit het simpelweg in één keer implementeren van alle maatregelen. Dit is ook een uitkomst van het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm. Sommige maatregelen zijn belangrijker dan andere en daarom is getoetst op de mate waarin prioriteitstelling wordt toegepast. Uit 43% van de plannen blijkt dat belangrijke maatregelen eerst genomen worden. Vaak ligt hieraan een rapportage van een extern adviesbureau ten grondslag. Nog eens 17% van de plannen gaat nog een stap verder en hanteert een expliciete prioriteitstelling op basis van een uitgevoerde risicoanalyse. 20% van de plannen heeft wel een vorm van prioriteitstelling, maar onduidelijk is waarop deze gebaseerd is. Een aantal plannen (20%) beschrijft geen prioriteitstelling. Pagina 9 van 25
11 6. Planning Ook een duidelijke planning is een belangrijk onderdeel van het plan van aanpak. Over het totaal is in 80% van de plannen van aanpak een vorm van planning aangetroffen. In 14% van die plannen betreft het alleen een volgorde, zonder hier expliciete deadlines aan te verbinden. De grootste categorie (48%) werkt met een planning op hoofdlijnen (bijvoorbeeld op kwartaal niveau). 18% van de beoordeelde ziekenhuizen werkt met een gedetailleerde planning. 7. Kosten en inzet De kosten en inzet zijn in de meeste plannen van aanpak niet beschreven. Slechts in 10% van de plannen wordt het uitgebreid belicht. In deze plannen worden naast de out-of-pocket uitgaven ook het aantal interne mensuren begroot, die zijn gemoeid met de invoering van de NEN Daarnaast beperkt een verdere 18% van de plannen zich tot één van beide (of out-of-pocket uitgaven of inzet). In 72% van de plannen is geen aandacht besteed aan kosten, noch inzet. 8. Haalbaarheid Op basis van het plan van aanpak is ook een inschatting van de haalbaarheid gemaakt. Uit de beoordeling is geconstateerd dat 28% van de plannen niet binnen de gestelde termijn en/of beschikbare middelen realiseerbaar lijkt of dat haalbaarheid op basis van de in het plan van aanpak verstrekte informatie niet kan worden beoordeeld dan wel dat niet expliciet is aangegeven dat men streeft naar een externe audit in Verder zijn er bij 33% van de plannen twijfels of de doelstellingen te realiseren zijn. In deze situatie geeft het plan van aanpak vaak geen duidelijkheid over de menscapaciteit en de middelen die benodigd zijn om de beoogde planning te realiseren, of is de planning als ambitieus beoordeeld. 35% van de plannen bevat voldoende basis om de plannen als haalbaar in te schatten. 4% van de ziekenhuizen zijn ver gevorderd met de implementatie van de norm. Pagina 10 van 25
12 9. Externe auditor Er is ook gekeken naar de mate waarin achteraf een controle op het plan van aanpak kan plaatsvinden. Dit hangt sterk af van de hoeveelheid resultaten en producten die in het plan van aanpak zijn gespecificeerd. In het merendeel van de plannen (75%) is meer dan tien maatregelen/ producten gevonden waarop een auditor zijn controle kan baseren. In 16% zat dit aantal tussen de vijf en tien. 9% van de plannen bevat minder dan vijf van deze maatregelen/producten en is daarmee lastig achteraf te controleren. Dit resulteert in een matige of onvoldoende beoordeling. Pagina 11 van 25
13 4 Inhoudelijke beoordeling Algemene indruk De plannen van aanpak verschillen sterk in de mate van diepgang. Sommige ziekenhuizen schetsen de aanpak in hoofdlijnen, zonder daarbij inhoudelijk dieper in te gaan op de norm NEN Andere plannen beschrijven de maatregelen heel inhoudelijk en nemen daarbij de norm NEN 7510 als uitgangspunt. Hierdoor is er ook een grote spreiding in de scores van het inhoudelijk kader. Met het inhoudelijk toetsingskader is de maximale score van 42 punten te behalen (drie per aspect), het minimum ligt op nul. De plannen zijn beoordeeld met een gemiddelde score van 22,3 punten, de hoogste score is 39 punten en de laagste drie. In het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm heeft de IGZ samen met het CBP een aantal bevindingen over informatiebeveiliging gedeeld met de ziekenhuizen. Deze bevindingen en de daaraan verbonden conclusies zijn vaak opgenomen in de plannen. Het informatiebeveiligingsbeleid is bij veel ziekenhuizen inmiddels opgesteld en in 35% van de gevallen wordt al over naleving en de controle daarop gesproken. De risicoanalyse is een instrument dat veelvuldig gebruikt wordt om de risico s omtrent informatiebeveiliging in kaart te brengen. Slechts 10% van de plannen vermeldt geen risicoanalyse. Daarnaast begint de organisatie van de informatiebeveiliging ook gestalte te krijgen. 96% van de ziekenhuizen geeft, in verschillende gradaties, de informatiebeveiligingsorganisatie vorm. Het gebrek aan bewustzijn met betrekking tot informatiebeveiliging is ook goed opgepakt, meer dan 80% van plannen schenkt hier aandacht aan. Naast deze bevindingen is er ook een aantal aspecten dat onderbelicht is gebleven. Het beveiligen van online gegevens krijgt onvoldoende aandacht in de plannen van aanpak. Mogelijk komt dit doordat nog niet ieder ziekenhuis gegevens (publiek) online beschikbaar stelt. Indien wel van toepassing dan dient het plaatsen van online gegevens beveiligd te zijn en dient men over passende procedures te beschikken. Ook het testen op technische achterdeuren krijgt onvoldoende aandacht. Tot slot valt op dat het beveiligingen van persoonsgegevens, waarop de Wet Bescherming Persoonsgegevens van toepassing is, in de meeste plannen nog onvoldoende aandacht krijgt. Figuur 2 geeft een totaalbeeld van de scores op het inhoudelijk toetsingskader. Figuur 2. Totaaloverzicht inhoudelijk toetsingskader Pagina 12 van 25
14 10. Informatiebeveiligingsbeleid Eén van de conclusies van het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is dat systematisch beveiligingsbeleid in veel gevallen ontbreekt. Naar aanleiding van de analyse kunnen we stellen dat op dit gebied een aardige inhaalslag gemaakt is. Slechts in twee plannen wordt het informatiebeveiligingsbeleid niet benoemd als product of onderdeel van het plan van aanpak. De overige 97% vermeldt wel het informatiebeveiligingsbeleid. In 39% van de plannen wordt het informatiebeveiligingsbeleid officieel vastgesteld door de raad van bestuur. Nog eens 35% van de plannen vermeldt ook naleving en/of periodieke evaluatie van het informatiebeveiligingsbeleid. In een aantal gevallen is het beleid zelfs meegestuurd ter ondersteuning van het plan van aanpak. Norm NEN 7510 hoofdstuk en Informatiebeveiligingsproces Informatiebeveiliging binnen een ziekenhuis is geen eenmalige exercitie maar een continu proces. Om dit proces gestructureerd te laten plaatsvinden, moet het gedefinieerd en omschreven worden. Toch wordt in 17% van de plannen het informatiebeveiligingsproces niet genoemd. In de plannen waarin het proces wel aan bod komt, wordt het omschreven in verschillende gradaties. In 17% van de gevallen wordt dit proces alleen beschreven, inbedding in de organisatie is dan onduidelijk. In 29% van de plannen wordt informatiebeveiliging als bedrijfsproces ingericht waarbij meestal gebruik wordt gemaakt van de plan-do-check-act cyclus. Ziekenhuizen die het proces vervolgens borgen in bijvoorbeeld een bestaand kwaliteitsysteem of jaarrapportage zijn als goed beoordeeld. Dit betreft 37% van de plannen. Norm NEN 7510 hoofdstuk en Pagina 13 van 25
15 12. Informatiebeveiligingsorganisatie Een andere belangrijke conclusie van het rapport van de IGZ en het CPB was het ontbreken van een duidelijke organisatiestructuur voor de borging van de informatiebeveiliging: De verantwoordelijkheid voor informatiebeveiliging is nog niet voldoende ingebed in de organisatie van ziekenhuizen. Uit de analyse wordt duidelijk dat de ziekenhuizen al meer aandacht hebben gegeven aan de organisatie van de informatiebeveiliging en de verdeling van verantwoordelijkheden. 52% benadert informatiebeveiliging ziekenhuisbreed en 23% van de ziekenhuizen heeft de organisatie ondergebracht in een projectgroep. Bij 21% van de ziekenhuizen is uitsluitend één persoon aangewezen als verantwoordelijke en bij 4% komt de informatiebeveiligingsorganisatie niet aan bod. Norm NEN 7510 hoofdstuk Risicoanalyse Bijna alle ziekenhuizen hebben al een risicoanalyse uitgevoerd of hebben de uitvoering ervan gepland. In 8% van de plannen is een risicoanalyse niet benoemd. 45% van de ziekenhuizen stelt een beveiligingsplan op of heeft het al opgesteld naar aanleiding van een risicoanalyse en nog eens 41% geeft aan prioriteiten te stellen naar aanleiding van de uitgevoerde risicoanalyse. Norm NEN 7510 hoofdstuk 6 Pagina 14 van 25
16 14. Bewustwording In het onderzoek Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is reeds de conclusie getrokken dat bewustwording van informatiebeveiliging bij de medewerkers belangrijk is voor de effectiviteit van beveiligingsmaatregelen. 15% van de ziekenhuizen heeft dit aspect niet opgenomen in het plan van aanpak. Nog eens 16% heeft de importantie alleen maar benoemd, maar heeft geen plan opgesteld. In het merendeel van de gevallen is meer dan voldoende aandacht besteed aan de bewustwording van informatiebeveiliging. In een aantal ziekenhuizen is bewustwording zelfs één van de hoofdthema s in het plan van aanpak. Norm NEN 7510 hoofdstuk Fysieke toegang tot systemen en ruimten In 24% van de plannen van aanpak is geen aandacht geschonken aan de fysieke beveiliging van ruimten. 21% van de plannen spreekt over fysieke ruimten zonder specifiek in te gaan op de computerruimten of andere ruimten. 20% van de plannen beperkt zich tot het beveiligen van computerruimten en in 35% wordt het beveiligen van zowel de computerruimten als andere fysieke ruimten beschreven. Norm NEN 7510 hoofdstuk 9.1, en Virusscanner, firewall en back-up De beveiligingsmaatregelen met betrekking tot virusscanner, firewall en back-up zijn apart gemeten. Indien een plan de drie aspecten bevat dan is een score goed toegekend(28%). Bij twee van de drie aspecten een score voldoende (16%) en bij één aspect een score matig (14%). 42% heeft geen van deze basismaatregelen in deze genoemd in de plannen van aanpak. Norm NEN 7510 hoofdstuk , en Pagina 15 van 25
17 17. Gegevensuitwisseling In het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is eveneens aandacht besteed aan gegevensuitwisseling, vooral met derden buiten de organisatie. Eén van de conclusies uit het rapport luidt: Contracten voor de gegevensuitwisseling zijn maar in beperkte mate afgesloten. Hierdoor zijn verantwoordelijkheden van verschillende partijen niet altijd duidelijk. In de huidige plannen is met betrekking tot het onderwerp gegevensuitwisseling een duidelijke tweedeling waar te nemen. 41% van de plannen scoort goed op dit thema en stelt overeenkomsten/contracten op m.b.t. gegevensuitwisseling. 39% van de plannen behandelt gegevensuitwisseling niet. Een mogelijke reden kan hiervoor zijn dat gegevensuitwisseling met externen nog beperkt plaatsvindt. In de overige plannen wordt gegevensuitwisseling alleen benoemd(7%) of worden alleen procedures opgesteld(13%). Norm NEN 7510 hoofdstuk Online gegevens Één van de startnormen van de NVZ heeft betrekking op het online plaatsen van gegevens. Dit houdt in dat 1. online beschikbare gegevens beveiligd worden en dat 2. de taken en bevoegdheden over het online plaatsen van gegevens bekend en georganiseerd zijn. 73% van de plannen van aanpak besteedt geen aandacht aan dit aspect. 10% geeft aan alleen de taken, bevoegdheden en verantwoordelijkheden te organiseren. In 6% van de plannen worden alleen de online gegevens beveiligd en 11% van de gevallen implementeert beide maatregelen. Norm NEN 7510 hoofdstuk Pagina 16 van 25
18 19. Autorisatie en wachtwoorden Het autorisatiebeheer en wachtwoorden zijn thema s die veelvuldig terugkomen in de plannen. In 17% van de plannen echter worden ze niet benoemd. 27% benoemt één van beide thema s, 9% alleen wachtwoorden en 18% alleen autorisaties. De meerderheid van de plannen (56%) behandelt beide deelaspecten. Norm NEN 7510 hoofdstuk 11.3 en Technische achterdeuren Het opsporen en sluiten van technische achterdeuren (en kwetsbaarheden) binnen systemen en netwerken wordt in 18% van de plannen geadresseerd. 10% focust zich op informatiesystemen en 6% test het netwerk. Het merendeel van de plannen (66%) laat deze beveiligingsmaatregelen onbenoemd. In de meeste gevallen wordt voor het ontdekken van deze kwetsbaarheden een scan op informatiebeveiliging uitgevoerd, in enkele plannen is dit opgenomen als structurele (periodieke) activiteit. Norm NEN 7510 hoofdstuk , en Continuïteitsbeheer In 30% van de plannen is het thema van continuïteitsbeheer niet benoemd. In 8% van de plannen wordt het thema wel benoemd maar onder een andere benaming zoals cluster of redundantie. 31% van de plannen geeft aan procedures met betrekking tot continuïteit te realiseren. Nog eens 31% behandelt naast het opstellen van de procedures ook het testen en actualiseren van deze procedures. Norm NEN 7510 hoofdstuk 13 Pagina 17 van 25
19 22. Bedrijfsdocumenten en persoonsgegevens De beveiliging van bedrijfsdocumenten en persoonsgegevens is het aspect dat in 51% van de plannen van aanpak niet benoemd wordt. In 15% van de plannen van aanpak wordt alleen de beveiliging van bedrijfsdocumenten genoemd. 11% geeft aan maatregelen te nemen om persoonsgegevens te beschermen. 23% scoort een goed en behandelt beide aspecten in de plannen. Uiteraard is de Wet Bescherming Persoonsgegevens (WBP) leidend voor het verwerken van persoonsgegevens. Norm NEN 7510 hoofdstuk en Incidentmelding De registratie van beveiligingsincidenten maakt in de meeste gevallen deel uit van het ingediende plan van aanpak. 20% van de plannen beschrijft een procedure voor de registratie van beveiligingsincidenten. 53% gaat verder en behandelt ook organisatorisch aspecten zoals incidentafhandeling en rapportage. In 3% van de plannen van aanpak is alleen de organisatie weergegeven. In de laatste 24% van de plannen wordt geen aandacht besteed aan beveiligingsincidenten. Norm NEN 7510 hoofdstuk Pagina 18 van 25
20 5 Individuele scores Op basis van het toetsingskader zijn in onderstaande tabel de individuele scores van de ziekenhuizen opgenomen. De officiële benaming die de IGZ hanteert is als vertrekpunt genomen met in voorkomende gevallen de plaats van (hoofd) vestiging tussen haakjes. Pagina 19 van 25
21 Pagina 20 van 25
22 6 Best practices Tijdens de beoordeling van de plannen van aanpak is een aantal best practices geïdentificeerd. Deze best practices zijn kort en bondig geformuleerd en kunnen worden beschouwd als aanbeveling en als handreiking voor de ziekenhuizen die verder met de invoering van de NEN 7510 aan de slag gaan. Planmatig 1. Een projectmanagement methodiek, zoals Prince2, blijkt een uitstekend hulpmiddel te zijn voor het te doorlopen proces om de informatiebeveiliging van een ziekenhuis op een adequaat niveau te verkrijgen. Het werken conform een projectmanagement methodiek dwingt een goed gedefinieerd project af, legt een duidelijk begin en eindpunt vast en is van het begin tot het einde goed te beheersen. Bij het afronden van het project worden de activiteiten overgedragen naar de staande organisatie voor de continue borging van informatiebeveiliging binnen het ziekenhuis. 2. Een duidelijk beschreven projectorganisatie, waarin verschillende delen van de organisatie betrokken zijn, met duidelijk beschreven taken en verantwoordelijkheden. Tevens beschikt projectorganisatie over voldoende ondersteunende capaciteiten en zijn de rapportage structuren helder. 3. Opstellen van een realistische planning m.b.t. de invoering van de maatregelen. Daarbij wordt rekening gehouden met de benodigde menscapaciteit en middelen. 4. Periodiek bewaken van de voortgang van het project. 5. Duidelijk formuleren van de doelstelling wanneer het ziekenhuis klaar is voor een verplichte externe audit op de norm NEN Inhoudelijk 1. Toekennen van de taken, verantwoordelijkheden en bevoegdheden aan verschillende functionarissen in de organisatie die het bedrijfsproces informatiebeveiliging uitvoeren. 2. Toepassen van de plan-do-check-act cyclus om informatiebeveiliging als een regulier bedrijfsproces aan de bestaande bedrijfsprocessen toe te voegen. 3. Aandacht besteden aan de naleving van het informatiebeveiligingsbeleid. 4. Hanteren van eenduidige definities van begrippen als informatiebeveiliging en incidenten, alsmede een heldere scope van informatiebeveiliging binnen het ziekenhuis. 5. Uitvoeren van een awareness programma, ondersteund door een passend communicatieplan, om de bewustwording over informatiebeveiliging binnen de organisatie te vergroten en het draagvlak te verkrijgen voor de maatregelen die getroffen worden om de informatiebeveiliging te verbeteren. Deze programma s kunnen speerpunt zijn van het plan van aanpak om hiermee de importantie aan te geven. 6. Gebruik maken van de NVZ-startnormen als een referentie voor de normonderdelen van de NEN 7510 waaraan in 2009 minimaal voldaan moet worden. 7. Gebruik maken van het Handboek NEN 7510 waarin een subset van de normonderdelen van NEN 7510 als prioriteit wordt aangegeven. 8. Gebruik maken van de NVZ-NEN 7510 monitor voor het in kaart brengen van de status van informatiebeveiliging en de voortgang over verschillende periodes. 9. Uitvoeren van periodieke risicoanalyses op basis waarvan inzicht wordt verkregen in de maatregelen die (met prioriteitstelling) nog getroffen moeten worden. 10. Toekennen van een status aan de maatregelen: afwezig/aanwezig/operationeel en geborgd. Pagina 21 van 25
VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.
Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten
Nadere informatieDatum 16 september 2013 Onderwerp V62008 Verslag inspectiebezoek Convenant Veilige toepassing van medische technologie in het ziekenhuis
> Retouradres Postbus 90700 2509 LS Den Haag Ziekenhuis St. Jansdal xxxx, Raad van Bestuur Postbus 138 3840 AC HARDERWIJK Werkgebied Zuidwest Wilh. van Pruisenweg 52 Den Haag Postbus 90700 2509 LS Den
Nadere informatieDefinitieve bevindingen Rijnland ziekenhuis
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen Rijnland ziekenhuis
Nadere informatieThema 2: aanschaf en gebruik van e-healthtoepassingen
Checklist verantwoord e-health inzetten op basis van proefbezoeken Inspectie Gezondheidszorg en Jeugd Auteurs: Maartje van Hees (ExceptionAll) en Foppe Rauwerda (Beeldzorgadvies) Versie 1.0, 3 juli 2018
Nadere informatieInformatiebeveiligingsbeleid
Stichting Werken in Gelderland Versiebeheer Eigenaar: Review: Bestuur juni 2019 Versie Status Aangepast Datum Door 0.1 Concept Versiebeheer 31-5-2018 Privacyzaken, Michel Rijnders 1.0 Vastgesteld Vastgesteld
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in Medisch Centrum Haaglanden te Den Haag op 13 april 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieToets uw eigen continuïteitsplan
Inspectiebericht Inspectie Openbare Orde en Veiligheid Jaargang 6, nummer 1 (maart 2010) 9 Toets uw eigen continuïteitsplan Deze vragenlijst is een gecomprimeerde en op onderdelen aangepaste versie van
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in IJsselmeerziekenhuizen te Lelystad op 7 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieNorm 1.3 Beveiligingsplan
Beantwoording vragen zelftest Suwinet oktober 2014 Norm 1.3 Beveiligingsplan De Inspectie SZW beschrijft norm 1.3 als volgt: De gemeente heeft een formeel vastgesteld beveiligingsbeleid en -plan. Het Beveiligingsplan
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Diaconessenhuis te Leiden op 20
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Diaconessenhuis te Leiden op 20 april 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieInformatiebeveiliging en Privacy; beleid CHD
Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen 2 1 Inleiding De CHD is een zorginstelling
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Van Weel-Bethesda Ziekenhuis te
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Van Weel-Bethesda Ziekenhuis te Dirksland op 11 mei 2007 Juli 2008 2 INSPECTIE VOOR DE
Nadere informatieSeminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging
Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging
Nadere informatieInformatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours
Informatiebeveiligingsbeleid Stichting Pensioenfonds Chemours Versiebeheer Versie Datum Van Verspreid aan 0.1 J.W. Kinders W. Smouter Vroklage Goedkeuring Versie Goedgekeurd door Datum 2 INHOUD Algemeen
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het St. Annaziekenhuis te Geldrop op
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het St. Annaziekenhuis te Geldrop op 5 april 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieCIOT-bevragingen Proces en rechtmatigheid
CIOT-bevragingen Proces en rechtmatigheid 2015 Veiligheid en Justitie Samenvatting resultaten Aanleiding Op basis van artikel 8 van het Besluit Verstrekking Gegevens Telecommunicatie is opdracht gegeven
Nadere informatieInformatiebeveiliging als proces
Factsheet Informatiebeveiliging als proces Informatiebeveiliging onder controle krijgen en houden FORTIVISION Stadionstraat 1a 4815 NC Breda +31 (0) 88 160 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieDefinitieve bevindingen MC/Lelystad
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Definitieve bevindingen MC/Lelystad
Nadere informatieAan welke eisen moet het beveiligingsplan voldoen?
Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet
Nadere informatieInformatiebeveiliging voor overheidsorganisaties
Solviteers Informatiebeveiliging voor overheidsorganisaties 6 6 Informatiebeveiliging voor overheidsorganisaties Pragmatisch stappenplan Whitepaper Solviteers Solviteers Informatiebeveiliging voor overheidsorganisaties
Nadere informatieProvincievergelijking
Provincievergelijking De belangrijkste conclusies per provincie op een rij: Informatieveiligheid onder controle Mens en organisatie Basisinfrastructuur ICT De Conclusies De provincie stuurt voldoende op
Nadere informatieEnergiemanagement Actieplan
1 van 8 Energiemanagement Actieplan Datum 18 04 2013 Rapportnr Opgesteld door Gedistribueerd aan A. van de Wetering & H. Buuts 1x Directie 1x KAM Coördinator 1x Handboek CO₂ Prestatieladder 1 2 van 8 INHOUDSOPGAVE
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Atrium MC te Heerlen op 10 juli 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG /
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Canisius-Wilhelmina Ziekenhuis te
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Canisius-Wilhelmina Ziekenhuis te Nijmegen op 16 mei 2007 Juli 2008 2 INSPECTIE VOOR
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Ziekenhuis Lievensberg te Bergen
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Ziekenhuis Lievensberg te Bergen op Zoom op 24 mei 2007 Juli 2008 2 INSPECTIE VOOR DE
Nadere informatieAanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker
Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................
Nadere informatieTweede Kamer der Staten-Generaal
Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 34 200 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2014 Nr. 11 BRIEF VAN DE MINISTER VAN ONDERWIJS, CULTUUR EN
Nadere informatieRapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018
Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van
Nadere informatieZet de stap naar certificering!
NEN 7510 CERTIFICERING Zet de stap naar certificering! Laat u ondersteunen en vergroot het draagvlak binnen uw organisatie. Draag zorg voor continue verbetering van uw organisatie en zekerheid en vertrouwen
Nadere informatieFactsheet Penetratietest Informatievoorziening
Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatieVerantwoordingsrichtlijn
Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling
Nadere informatieRisicomanagement bij onder toezicht gestelde kinderen Een notitie naar aanleiding van onderzoek van de Inspectie jeugdzorg oktober 2008
Risicomanagement bij onder toezicht gestelde kinderen Een notitie naar aanleiding van onderzoek van de Inspectie jeugdzorg oktober 2008 Inleiding De veiligheid van het kind is een van de belangrijkste
Nadere informatieAan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015
Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging
Nadere informatieIntegrated Audit in het Erasmus MC
Integrated Audit in het Erasmus MC NFU Symposium Mind the gap! Effectieve inzet van interne audits 29 mei 215 Freek Wegerif Sector Audit Succesfactoren Uitdagingen 2 Integrated audit - uitvoering EXPERTS
Nadere informatieEnergiemanagementplan Carbon Footprint
Energiemanagementplan Carbon Footprint Rapportnummer : Energiemanagementplan (2011.001) Versie : 1.0 Datum vrijgave : 14 juli 2011 Klaver Infratechniek B.V. Pagina 1 van 10 Energiemanagementplan (2011.001)
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Albert Schweitzer Ziekenhuis te Dordrecht op 21 juni 2007 Juli 2008 2 INSPECTIE VOOR
Nadere informatieII. VOORSTELLEN VOOR HERZIENING
II. VOORSTELLEN VOOR HERZIENING 2. VERSTEVIGING VAN RISICOMANAGEMENT Van belang is een goed samenspel tussen het bestuur, de raad van commissarissen en de auditcommissie, evenals goede communicatie met
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Rijnland Ziekenhuis te Leiderdorp
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Rijnland Ziekenhuis te Leiderdorp op 7 juni 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieDatum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Montferland Postbus 47 6940 BA DIDAM komen:
Nadere informatieResultaat Toetsing TNO Lean and Green Awards
ID Naam Koploper Datum toetsing 174 M. Van Happen Transport BV 2-4-2012 Toetsingscriteria 1. Inhoud en breedte besparingen 2. Nulmeting en meetmethode 3. Haalbaarheid minimaal 20% CO2-besparing na 5 jaar
Nadere informatie5. Beschrijving van het onderzoek
5. Beschrijving van het onderzoek 5.1 Doel van het onderzoek Het toezicht van de AFM op accountantsorganisaties is erop gericht de kwaliteit van wettelijke controles te verbeteren en duurzaam te waarborgen.
Nadere informatieInformatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging
Informatiebeveiligings- en privacy beleid Haagsche Schoolvereeniging 1 INLEIDING... 3 1.1 INFORMATIEBEVEILIGING EN PRIVACY... 3 2 DOEL EN REIKWIJDTE... 3 3 UITGANGSPUNTEN... 4 3.1 ALGEMENE BELEIDSUITGANGSPUNTEN...
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Medisch Centrum Alkmaar te
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Medisch Centrum Alkmaar te Alkmaar op 25 mei 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieResultaatsverslag. N.a.v. inspectiebezoek van Zorgcentrum Herema State in Heerenveen. op 14 februari 2017
Resultaatsverslag N.a.v. inspectiebezoek van Zorgcentrum Herema State in Heerenveen op 14 februari 2017 Heerenveen, 31 juli 2017 Inleiding Op 14 februari heeft de Inspectie voor de Gezondheidszorg (hierna:
Nadere informatieToelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC
Toelichting NEN7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC Inhoud Toelichting informatiebeveiliging Aanpak van informatiebeveiliging
Nadere informatieNota Risicomanagement en weerstandsvermogen BghU 2018
Nota Risicomanagement en weerstandsvermogen BghU 2018 *** Onbekende risico s zijn een bedreiging, bekende risico s een management issue *** Samenvatting en besluit Risicomanagement is een groeiproces waarbij
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Maasziekenhuis Pantein te Boxmeer
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Maasziekenhuis Pantein te Boxmeer op 22 maart 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieVerbeterplan Suwinet
Verbeterplan Suwinet Inhoudsopgave 1. Aanleiding... 3 2. Verbeterpunten Suwinet... 4 2.1 Informatiebeveiligingsbeleid... 4 2.2 Uitdragen van het beleid... 4 2.3 Functiescheiding... 4 2.4 Security Officer...
Nadere informatieGEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE. Bijlage 04 Kwaliteitsborging en auditing
GEMEENTELIJKE TELECOMMUNICATIE MOBIELE COMMUNICATIE Bijlage 04 Kwaliteitsborging en auditing Inhoud 1 Inleiding 3 2 Aantonen kwaliteitsborging van de dienstverlening 4 3 Auditing 5 3.1 Wanneer toepassen
Nadere informatieSnel naar NEN7510 met de ISM-methode
Snel naar NEN7510 met de ISM-methode Cross-reference en handleiding Datum: 2 april 2011 Versie: 1.0 Auteur: J. van Bon Integrated Service Management Snel naar NEN7510 met de ISM-methode! Informatiebeveiliging
Nadere informatieONDERZOEK NAAR KWALITEITSVERBETERING MBO OPLEIDINGSNIVEAU. Clusius College te Alkmaar
ONDERZOEK NAAR KWALITEITSVERBETERING MBO OPLEIDINGSNIVEAU Clusius College te Alkmaar Natuur en groene ruimte 3 (Vakbekwaam medewerker groenvoorziening) 97252 Bloemendetailhandel (Medewerker bloembinden)
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance In samenwerking met ESET heeft Mazars een whitepaper geschreven met als doel om meer inzicht te geven in het ontstaan en de gevolgen van de General Data Protection Regulation
Nadere informatieISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18
ISMS BELEIDSVERKLARING info@thepeoplegroup.nl +31(0) 73 523 67 78 www.thepeoplegroup.nl Versie 1.0: 3/7/18 INTRODUCTIE De directie van The People Group zal bij het voorbereiden en uitvoeren van het algemeen
Nadere informatieToelatingscriteria voor verschillende niveaus van de pre-applicatie
1 Toelatingscriteria voor verschillende niveaus van de pre-applicatie Zoals aangegeven op de pagina over Interne Modellen op Open Boek Toezicht onderscheidt DNB in de pre-applicatie drie verschillende
Nadere informatieChecklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument
Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.
Nadere informatieEnergiemanagementsysteem. Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV
Van de Kreeke Beheer BV en Habets-van de Kreeke Holding BV Nuth,20augustus 2015 Auteur(s): Tom Kitzen Theo Beckers Geaccordeerd door: Serge Vreuls Financieel Directeur C O L O F O N Het format voor dit
Nadere informatieBeleid Informatiebeveiliging InfinitCare
Beleid Informatiebeveiliging InfinitCare Wijzigingshistorie Versie Wie Wanneer Wat 2019-V001 Han Laarhuis 2019-03-04 Aanpassen aan nieuwe ISMS 2019 V096 Han Laarhuis 2016-03-21 Toevoegen Wijzigingshistorie
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek naar informatiebeveiliging in ziekenhuizen in het St. Jans Gasthuis te Weert
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek naar informatiebeveiliging in ziekenhuizen in het St. Jans Gasthuis te Weert op 9 juli 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatie1) Medische technologie is bedoeld als in bijlage 1 van het convenant gedefinieerd Pagina 1 van 5
Positie van technologie in het Veiligheids- en Kwaliteitssysteem van het ziekenhuis Verantwoordelijkheden 2.1 In het ziekenhuis is de portefeuille van De verantwoordelijkheid van de RvB is expliciet instelling
Nadere informatieEnergie management Actieplan
Energie management Actieplan Conform niveau 3 op de CO 2 -prestatieladder 2.2 Auteur: Mariëlle de Gans - Hekman Datum: 30 september 2015 Versie: 1.0 Status: Concept Inhoudsopgave 1 Inleiding... 2 2 Doelstellingen...
Nadere informatieEen kinderbeschermingsmaatregel?
Een kinderbeschermingsmaatregel? Stand van zaken naar aanleiding van het vervolgonderzoek naar de kwaliteit van de Bureaus Jeugdzorg en de Raad voor de Kinderbescherming bij de besluiten over een kinderbeschermingsmaatregel
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Wilhelmina Ziekenhuis te Assen op
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Wilhelmina Ziekenhuis te Assen op 31 mei 2007 Juli 2008 2 INSPECTIE VOOR DE GEZONDHEIDSZORG
Nadere informatieSERVICECODE AMSTERDAM
SERVICECODE AMSTERDAM Inleiding Stadsdeel Zuidoost heeft de ambitie om tot de top drie van stadsdelen met de beste publieke dienstverlening van Amsterdam te horen. Aan deze ambitie wil het stadsdeel vorm
Nadere informatieStappenplan naar GDPR compliance
Stappenplan naar GDPR compliance Stappenplan voor compliance met de Algemene Verordening Gegevensbescherming Het Europees Parlement heeft op 14 april 2016 de Algemene Verordening Gegevensbescherming (AVG)
Nadere informatieOpleidingsgebied ICT. Niveau Beginnend *zie omschrijving beoordelingscriteria Gevorderd* Bekwaam* Werkproces(sen) Beoordeling* 1 e 2 e eind
Opleidingsgebied ICT Kwalificatiedossier en kerntaak ICT- en mediabeheer 2012-2013 Kerntaak 2: Implementeren van (onderdelen van) informatie- of mediasystemen Kwalificatie en crebocode ICT-beheerder 95321
Nadere informatieDe loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.
POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10= TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl AAN AANGETEKEND Ommelander Ziekenhuis
Nadere informatieDit verslag is vastgesteld en voorzien van conclusies na uw reactie per van 13 september 2013, waarin u kon instemmen met het verslag.
> Retouradres Postbus 90700 2509 LS Den Haag Leids Universitair Medisch Centrum xxxx, Raad van Bestuur Postbus 9600 2300 RC LEIDEN Werkgebied Zuidwest Wilh. van Pruisenweg 52 Den Haag Postbus 90700 2509
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het NKI-Antoni van Leeuwenhoek Ziekenhuis te Amsterdam op 13 juni 2007 Juli 2008 2 INSPECTIE
Nadere informatieQuick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek
Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek De Bollenstreek Managementsamenvatting Quick Scan Informatieveiligheid en Privacy voor: Gemeente Hillegom Gemeente Lisse Gemeente
Nadere informatie1. FORMAT PLAN VAN AANPAK
INHOUDSOPGAVE 1. FORMAT PLAN VAN AANPAK 1.1. Op weg naar een kwaliteitsmanagementsysteem 1.2. Besluit tot realisatie van een kwaliteitsmanagementsysteem (KMS) 1.3. Vaststellen van meerjarenbeleid en SMART
Nadere informatieOnderzoek naar digitale dienstverlening van de gemeente Hoogeveen
Onderzoek naar digitale dienstverlening van de gemeente Hoogeveen Juni 2008 Rekenkamercommissie gemeente Hoogeveen Samenstelling: Drs. E. de Haan (voorzitter) A.W. Hiemstra J. Steenbergen Drs. F. Galesloot
Nadere informatie3 Management van ICT-kosten en baten
3 Management van ICT-kosten en baten Stand van zaken in de woningcorporatiesector Patrick van Eekeren en Menno Nijland Het bepalen van de hoogte van de ICT-kosten (en baten), bijvoorbeeld door gebruik
Nadere informatieEnergiemanagement actieplan. Baggerbedrijf West Friesland
Baggerbedrijf West Friesland Gebruikte handelsnamen: Baggerbedrijf West Friesland Grond & Cultuurtechniek West Friesland Andijk, februari-mei 2014 Auteurs: M. Komen C. Kiewiet Geaccordeerd door: K. Kiewiet
Nadere informatieENERGIEMANAGEMENT ACTIEPLAN. 3 oktober 2013
ENERGIEMANAGEMENT ACTIEPLAN code: B1308 3 oktober 2013 datum: 3 oktober 2013 referentie: lak code: B1308 blad: 3/8 Inhoudsopgave 1. Inleiding 4 2. Onderdelen van het energiemanagement actieplan 5 2.1
Nadere informatieInformatiebeveiliging voor gemeenten: een helder stappenplan
Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers
Nadere informatieInformatieveiligheid in de steiger
29e sambo-ict conferentie Graafschap College Donderdag 16 januari 2014 Informatieveiligheid in de steiger André Wessels en Paul Tempelaar Informatieveiligheid en Risicomanagement Agenda Introductie Borging
Nadere informatieZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE
COÖRDINATIE KWALITEIT EN PATIËNTVEILIGHEID TWEEDE MEERJARENPLAN 2013-2017 Contract 2013 ZELFEVALUATIE VAN DE THEMA S HOOG RISICO MEDICATIE IDENTITOVIGILANTIE Sp-ziekenhuizen 1 1. Inleiding Hierna volgt
Nadere informatieNaam: Draaiboek decentrale implementatie PAUW en Tridion
Programma Aanpak Universitaire Website (PAUW) Draaiboek decentrale implementatie PAUW en Tridion Inleiding In het kader van het Programma Aanpak Universitaire Website (PAUW) is afgesproken dat alle decentrale
Nadere informatieInformatiebeveiligingsbeleid
2-Control B.V. +31 (0)76 50 194 70 Haagse Markt 1 www.2-control.nl 4813 BA Breda info@2-control.nl The Netherlands Informatiebeveiligingsbeleid Concept Datum Versiebeheer Versie Datum Status Naam Toelichting
Nadere informatieEnergiemanagement actieplan. Van Schoonhoven Infra BV
BV Leusden, oktober 2013 Auteurs: G.J. van Schoonhoven D.J. van Boven Geaccordeerd door: D.J. van Boven Directeur eigenaar INLEIDING Ons bedrijf heeft een energiemanagement actieplan conform NEN-ISO 50001.
Nadere informatieHandleiding Kwaliteitszorg Medische Vervolgopleidingen
Handleiding Kwaliteitszorg Medische Vervolgopleidingen Martini Ziekenhuis Groningen/Van Swieten Instituut Ziekenhuisgroep Twente locatie Almelo en Hengelo/ZGT Academie 2013 1 Inleiding Ter bewaking van
Nadere informatieDNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014
DNB BEOORDELINGSKADER VOOR DE AUDITFUNCTIE BIJ TRUSTKANTOREN INGEVOLGE DE RIB WTT 2014 In het kader van de integere bedrijfsvoering is een trustkantoor met ingang van 1 januari 2015 verplicht om zorg te
Nadere informatiei\ r:.. ING. 1 8 FEB 2016
Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid 1111 III III III III * 6SC00-223* > Retouradres Postbus 90801 2509 LV Den Haag College van Burgemeester en Wethouders van de gemeente Langedijk
Nadere informatieEnergiemanagementprogramma HEVO B.V.
Energiemanagementprogramma HEVO B.V. Opdrachtgever HEVO B.V. Project CO2 prestatieladder Datum 7 december 2010 Referentie 1000110-0154.3.0 Auteur mevrouw ir. C.D. Koolen Niets uit deze uitgave mag zonder
Nadere informatie4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden. 4.3 Het toepassingsgebied van het milieumanagementsystee m vaststellen
4 Context van de organisatie 4 Milieumanagementsysteemeisen 4.1 Inzicht in de organisatie en haar context 4.2 Inzichten in de behoeften en verwachtingen van de belanghebbenden 4.3 Het toepassingsgebied
Nadere informatieInformatiebeveiligingsbeleid
Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...
Nadere informatieTOEZICHT WAARDERINGSKAMER RAPPORT ONDERZOEK INTERNE BEHEERSING WET WOZ. 8 januari 2016 (definitief)
TOEZICHT WAARDERINGSKAMER RAPPORT ONDERZOEK INTERNE BEHEERSING WET WOZ Gemeente: Amsterdam Datum: Datum rapport: 13 augustus 2015 (startgesprek) 8 oktober 2015 (onderzoeksdag) 26 november 2015 (eindgesprek)
Nadere informatieFactsheet Penetratietest Infrastructuur
Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl
Nadere informatie3.B.2 Energie Management Actieplan
Inleiding B.V. is in 2012 gecertificeerd voor niveau 3 van de CO 2 -prestatieladder. Op basis van de uitkomsten uit de interne audits van 2012 en de vragen vanuit de markt, is een vervolgtraject gestart
Nadere informatieEnergiezorgplan Van Dorp installaties bv 2011 2015. Versie 3.0 (Summary)
Energiezorgplan Van Dorp installaties bv 2011 2015 Versie 3.0 (Summary) Auteurs: Van Dorp Dienstencentrum Datum: Update: Augustus 2013 Inhoudsopgave 1. Inleiding... 2 2. Energiebeleid... 3 2.1 Continue
Nadere informatieVMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken
VMS veiligheidseisen voor het ZKN-Keurmerk Een vertaling van de NTA8009:2011 naar de situatie van de zelfstandige klinieken Leiderschap 1. De directie heeft vastgelegd en is eindverantwoordelijk voor het
Nadere informatieImplementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)
Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst
Nadere informatieRapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Academisch Medisch Centrum te
Rapport van bevindingen en conclusie naar aanleiding van het onderzoek informatiebeveiliging in ziekenhuizen in het Academisch Medisch Centrum te Amsterdam op 29 juni en 3 juli 2007 Juli 2008 2 INSPECTIE
Nadere informatieDEFINITIEF RAPPORT ONDERZOEK IN HET KADER VAN HET VIERJAARLIJKS BEZOEK OP BASISSCHOOL TWICKELO
DEFINITIEF RAPPORT ONDERZOEK IN HET KADER VAN HET VIERJAARLIJKS BEZOEK OP BASISSCHOOL TWICKELO Plaats : Delden BRIN-nummer : 06MZ Onderzoeksnummer : 120340 Datum schoolbezoek : 18 Rapport vastgesteld te
Nadere informatieRAPPORT ONDERZOEK IN HET KADER VAN HET VIERJAARLIJKS BEZOEK OP BASISSCHOOL DE TRUMAKKERS
RAPPORT ONDERZOEK IN HET KADER VAN HET VIERJAARLIJKS BEZOEK OP BASISSCHOOL DE TRUMAKKERS School : basisschool De Trumakkers Plaats : Heeze BRIN-nummer : 03BV Onderzoeksnummer : 108035 Datum schoolbezoek
Nadere informatieEnergiemanagementsysteem
Energiemanagementsysteem BVR Groep B.V. Roosendaal, 20-06-2014. Auteur(s): H. Schrauwen, Energie & Technisch adviseur. Geaccordeerd door: M. Soenessardien,Manager KAM, Personeel & Organisatie Pagina 1
Nadere informatieAanpak projectaudits
Aanpak projectaudits 1. Inleiding Veel lokale overheden werken op basis van een standaardmethodiek Projectmatig Werken. Op die manier wordt aan de voorkant de projectfasering, besluitvorming en control
Nadere informatieZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA
ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van
Nadere informatieAan de raad van de gemeente Lingewaard
6 Aan de raad van de gemeente Lingewaard *14RDS00194* 14RDS00194 Onderwerp Nota Risicomanagement & Weerstandsvermogen 2014-2017 1 Samenvatting In deze nieuwe Nota Risicomanagement & Weerstandsvermogen
Nadere informatieBeveiligingsbeleid Stichting Kennisnet
Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek
Nadere informatie