Identiteits- en toegangsbeheer

Transcriptie

1 Identiteits- en toegangsbeheer Beheer van de identiteit en toegang van de zorgverlener in het bewonersdossier Datum laatste aanpassing: Datum dat dit beleid het laatst door management is besproken:

2 1 Inhoudstafel 1 Inhoudstafel Identiteitsbeheer Inleiding Toepassingsgebied Definities Beleidsprincipes voor identiteitsbeheer: gebruikersnaam Afspraken met de gebruiker Toezicht op het gebruik van de digitale identiteit Operationeel beheer van de digitale identiteit: creatie Operationeel beheer van de digitale identiteit: intrekken Beleidsprincipes voor identiteitsbeheer: bewijsmiddelen Operationele procedures bij identiteitsbeheer Risico s bij identiteitsbeheer _beleid_Identiteits en toegangsbeheer.docx 2

3 2 Identiteitsbeheer 2.1 Inleiding In deze nota definiëren we de gebruikte digitale identiteiten die worden gebruikt voor de toegang in het bewonersdossier en het beheer daarvan. Daarnaast sommen we de gedragsregels op die van toepassing zijn voor de eindgebruiker. We sommen daarnaast alle operationele procedures op die noodzakelijk zijn, inclusief de risico s die moeten worden beheerd. 2.2 Toepassingsgebied Het beleid voor het beheer van identiteiten is van toepassing op alle gegevens in het bewonersdossier. Iedereen die toegang heeft tot het bewonersdossier valt onder het toepassingsgebied <$aanvullen of dit daadwerkelijk zo is vb uitsluitingen van huisartsen?>. 2.3 Definities Een digitale identiteit is doorgaans een gebruikersnaam waarmee een gebruiker van een ICT middel (een ICT-toepassing) zichzelf identificeert. Een bewijsmiddel van een digitale identiteit is in de meest eenvoudige vorm een wachtwoord dat hoort bij deze identiteit. 2.4 Beleidsprincipes voor identiteitsbeheer: gebruikersnaam Afspraken met de gebruiker Voorafgaand aan het gebruik van het bewonersdossier worden worden afspraken inzake de omgang met de toe te wijzen identiteit opgenomen in het handvest (contract of andere overeenkomst) tussen het woonzorgcentrum en de gebruiker. De ondertekening van dit handvest gaat gepaard met een informatiecampagne die de gebruiker wijst op de omgang met deze digitale identiteit Elke handeling in het bewonersdossier gebeurt met een gebruikersnaam die kan worden teruggebracht tot een individuele medewerker. Elke gebruiker is verantwoordelijk voor de daden die met zijn/haar digitale identiteit worden verricht. Externen worden aan de hand van een overeenkomst verplicht om het gebruik van de verkregen digitale identiteit één op één te kunnen linken met een door hen gemachtigde gebruiker Toezicht op het gebruik van de digitale identiteit <$De veiligheidsconsulent/ict> voorziet een periodieke controle op de lijst van de actuele gebruikers van de toepassingen die persoonsgegevens bevatten Operationeel beheer van de digitale identiteit: creatie Het aanmaken van een digitale identiteit gebeurt op basis van de operationele stappen die volgen uit <$procedure> onder verantwoordelijkheid van <$verantwoordelijke>. Tijdelijke identiteiten worden beheerd volgens <$procedure> _beleid_Identiteits en toegangsbeheer.docx 3

4 2.4.4 Operationeel beheer van de digitale identiteit: intrekken Nadat het handvest wordt verbroken, wordt de digitale identiteit van de gebruiker gedesactiveerd. <$Hoe wordt dit geïnitieerd?>. Dit gebeurt onder verantwoordelijkheid van <$verantwoordelijke> 2.5 Beleidsprincipes voor identiteitsbeheer: bewijsmiddelen Elk bewijsmiddel bij een identiteit wordt door de gebruiker zelf gekozen (wachtwoord) of wordt uniek verleend aan elke digitale identiteit (wachtwoord, badge of digi-token). Het bewijsmiddel dat hoort bij de identiteit, is minstens een wachtwoord. De <$ICT-dienst> beheert de wachtwoordsterkte. Deze wachtwoordsterkte is opgenomen in de ICT-policy. De ICT dienst voorziet in een procedure voor het uitreiken van een wachtwoord. Deze is uniek en kan enkel worden gebruikt voor het initiëren van een proces voor het kiezen van een persoonlijk wachtwoord. Een identiteit die kan worden gebruikt voor toegang-op-afstand, is voorzien van een token. Een bewijsmiddel van de digitale identiteit mag niet worden doorgegeven: het mag enkel door de geautoriseerde gebruiker worden gebruikt. Ook het noteren van een bij een digitale identiteit horende wachtwoord, is verboden. Een gebruiker die een bewijsmiddel verliest, initieert zonder verwijl de herinitialisatie van het bewijsmiddel. Wanneer bij het verlies van een bewijsmiddel een vermoeden is van misbruik van de bijhorende digitale identiteit, wordt dit gemeld als een veiligheidsincident. Dit incident kan, na onderzoek, aanleiding geven tot het melden van een gegevenslek. 2.6 Operationele procedures bij identiteitsbeheer <$Som hier de operationele procedures op voor het beheer van de identiteiten, zoals het beheer van de handvesten, controle van de identiteiten, aanmaken van identiteiten en eventuele tijdelijke identiteiten, wachtwoordinitiatie, instellen en beheer van de wachtwoordsterkte, beheer van een token, procedures tot herinitialisatie en incidentbeheer>. 2.7 Risico s bij identiteitsbeheer <$Opsomming van risico s bij het beheer van identiteiten zoals bijvoorbeeld bij stagairs, artsen, andere externen>. 3 Toegangsbeheer 3.1 Inleiding bij het toegangsbeheer in het bewonersdossier Een gebruiker van een informatiesysteem van het woonzorgcentrum krijgt een digitale identiteit toegewezen en de daaraan gekoppelde rollen. De rollen bepalen de handelingen die een gebruiker binnen het dossier kan uitvoeren. In deze nota sommen we de beleidsprincipes en verantwoordelijkheden op die horen bij het toekennen van de rollen van gebruikers binnen het bewonersdossier evenals de bijhorende borgingscriteria. De operationele procedures die hierbij horen worden opgesomd _beleid_Identiteits en toegangsbeheer.docx 4

5 3.2 Toepassingsgebied Het beleid voor het beheer van rollen is van toepassing op het bewonersdossier. Iedereen die toegang heeft tot het bewonersdossier valt onder het toepassingsgebied <$aanvullen of dit daadwerkelijk zo is vb uitsluitingen van huisartsen?>. 3.3 Definities De Rollenmatrix is het overzicht van de in de applicatie voorziene toegangsrechten en de corresponderende rollen die hierbij worden voorzien, met hieraan gelinkt de functietitels waarvoor de rol is toegelaten. De Applicatieverantwoordelijke is de <$lijnmanager/cra/hoofdverpleegkundige> van het bewonersdossier. Deze is verantwoordelijk voor het opstellen en beheren van de rollenmatrix, alsook voor het organiseren van de controles van het toegangsniveau van gebruikers. Een Applicatiebeheerder is de persoon die onder meer belast is met het (operationeel) toekennen van het toegangsniveau voor een gebruiker, rekening houdende met de rollenmatrix. De applicatiebeheerder kan worden belast met het voeren van controles op het toegangsniveau van een gebruiker in het kader van kwaliteitscontrole 3.4 Beleidsprincipes voor toegangsbeheer: initialisatie Het woonzorgcentrum beschikt over een toegangsbeheerder <$rol?> die een toegangsmatrix opstelt. De toegangsbeheerder controleert minstens éénmaal om per jaar of bij belangrijke wijzigingen de rollenmatrix van een toepassing op correctheid te controleren. De rollenmatrix wordt opgenomen in het verwerkingsregister van het woonzorgcentrum en in de privacy policy. Elke gebruiker wordt een rol toegekend in overeenstemming met de noodzakelijk uit te voeren taken. Dit wordt ingesteld door de Applicatiebeheerder. Elke afwijking op de rollenmatrix wordt ter validatie voorgelegd aan de toegangsbeheerder. 3.5 Beleidsprincipes voor toegangsbeheer: mutaties <$Functie of vb hiërarchisch overste van de gebruiker> initieert het proces van mutatie <$verwijzing naar een operationele procedure>. De ICT-dienst coördineert de afhandeling van de mutatie aanvraag, samen met de applicatiebeheerders. 3.6 Beleidsprincipes voor toegangsbeheer: controle De toegangsbeheerder beschikt over een gedocumenteerde procedure voor het exporteren van gebruikers, hun corresponderende rol en de hieraan gekoppelde toegang. Deze wordt als basis gebruikt voor controle, die 2 maal per jaar plaatsvindt. De veiligheidsconsulent stuurt het controleproces aan en verzamelt de resultaten van de controles. De veiligheidsconsulent rapporteert aan de directie de resultaten van de controles. 3.7 Operationele procedures bij toegangsbeheer <$Som hier de operationele procedures op voor het beheer van de toegangen, zoals het beheer van de rollenmatrix, bijhouden van het verwerkingsregister, bijwerken van de privacypolicy, validatieprocedures bij afwijkingen, procedures bij mutaties, export van gebruikers en het uitvoeren van controles> _beleid_Identiteits en toegangsbeheer.docx 5

6 3.8 Risico s bij toegangsbeheer <$Opsomming van risico s bij het beheer van toegangen> _beleid_Identiteits en toegangsbeheer.docx 6