Ontwerp norm NEN

Transcriptie

1 Nederlandse Ontwerp norm NEN Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen Publicatie uitsluitend voor commentaar Health informatics - Information security management in healthcare - Part 2: Controls maart 2017 ICS ; Commentaar vóór Samen met NEN :2017 zal deze norm NEN 7510:2011 vervangen Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. Normcommissie "Informatievoorziening in de zorg" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Royal Netherlands Standardization Institute. The Royal Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Koninklijk Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Koninklijk Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Royal Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Royal Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Koninklijk Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Koninklijk Nederlands Normalisatieinstituut gepubliceerde uitgaven Koninklijk Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) , fax (015)

2 Inhoud Voorwoord Inleiding Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Structuur van de paragrafen Informatiebeveiligingsbeleid Aansturing door de directie van de informatiebeveiliging Beleidsregels voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid Organiseren van informatiebeveiliging Interne organisatie Rollen en verantwoordelijkheden bij informatiebeveiliging Scheiding van taken Contact met overheidsinstanties Contact met speciale belangengroepen Informatiebeveiliging in projectbeheer Mobiele apparatuur en telewerken Beleid voor mobiele apparatuur Telewerken Veilig personeel Voorafgaand aan het dienstverband Screening Arbeidsvoorwaarden Tijdens het dienstverband Directieverantwoordelijkheden Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging Disciplinaire procedure Beëindiging en wijziging van dienstverband Beëindiging of wijziging van verantwoordelijkheden van het dienstverband Beheer van bedrijfsmiddelen Verantwoordelijkheid voor bedrijfsmiddelen Inventariseren van bedrijfsmiddelen Eigendom van bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen Teruggeven van bedrijfsmiddelen Informatieclassificatie Classificatie van informatie Informatie labelen Behandelen van bedrijfsmiddelen Behandelen van media Beheer van verwijderbare media Verwijderen van media Media fysiek overdragen Toegangsbeveiliging Bedrijfseisen voor toegangsbeveiliging Beleid voor toegangsbeveiliging Toegang tot netwerken en netwerkdiensten Beheer van toegangsrechten van gebruikers Registratie en afmelden van gebruikers Gebruikers toegang verlenen Beheren van speciale toegangsrechten

3 9.2.4 Beheer van geheime authenticatie-informatie van gebruikers Beoordeling van toegangsrechten van gebruikers Toegangsrechten intrekken of aanpassen Verantwoordelijkheden van gebruikers Geheime authenticatie-informatie gebruiken Toegangsbeveiliging van systeem en toepassing Beperking toegang tot informatie Beveiligde inlogprocedures Systeem voor wachtwoordbeheer Speciale systeemhulpmiddelen gebruiken Toegangsbeveiliging op programmabroncode Cryptografie Cryptografische beheersmaatregelen Beleid inzake het gebruik van cryptografische beheersmaatregelen Sleutelbeheer Fysieke beveiliging en beveiliging van de omgeving Beveiligde gebieden Fysieke beveiligingszone Fysieke toegangsbeveiliging Kantoren, ruimten en faciliteiten beveiligen Beschermen tegen bedreigingen van buitenaf Werken in beveiligde gebieden Laad- en loslocatie Apparatuur Plaatsing en bescherming van apparatuur Nutsvoorzieningen Beveiliging van bekabeling Onderhoud van apparatuur Verwijdering van bedrijfsmiddelen Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein Veilig verwijderen of hergebruiken van apparatuur Onbeheerde gebruikersapparatuur Clear desk - en clear screen -beleid Beveiliging bedrijfsvoering Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde bedieningsprocedures Wijzigingsbeheer Capaciteitsbeheer Scheiding van ontwikkel-, test- en productieomgevingen Bescherming tegen malware Beheersmaatregelen tegen malware Back-up Back-up van informatie Verslaglegging en monitoren Gebeurtenissen registreren Beschermen van informatie in logbestanden Logbestanden van beheerders en operators Kloksynchronisatie Beheersing van operationele software Software installeren op operationele systemen Beheer van technische kwetsbaarheden Beheer van technische kwetsbaarheden Beperkingen voor het installeren van software Overwegingen betreffende audits van informatiesystemen Beheersmaatregelen betreffende audits van informatiesystemen Communicatiebeveiliging Beheer van netwerkbeveiliging Beheersmaatregelen voor netwerken

4 Beveiliging van netwerkdiensten Scheiding in netwerken Informatietransport Beleid en procedures voor informatietransport Overeenkomsten over informatietransport Elektronische berichten Vertrouwelijkheids- of geheimhoudingsovereenkomst Acquisitie, ontwikkeling en onderhoud van informatiesystemen Beveiligingseisen voor informatiesystemen Analyse en specificatie van informatiebeveiligingseisen Toepassingen op openbare netwerken beveiligen Transacties van toepassingen beschermen Beveiliging in ontwikkelings- en ondersteunende processen Beleid voor beveiligd ontwikkelen Procedures voor wijzigingsbeheer met betrekking tot systemen Technische beoordeling van toepassingen na wijzigingen besturingsplatform Beperkingen op wijzigingen aan softwarepakketten Principes voor engineering van beveiligde systemen Beveiligde ontwikkelomgeving Uitbestede softwareontwikkeling Testen van systeembeveiliging Systeemacceptatietests Testgegevens Bescherming van testgegevens Leveranciersrelaties Informatiebeveiliging in leveranciersrelaties Informatiebeveiligingsbeleid voor leveranciersrelaties Opnemen van beveiligingsaspecten in leveranciersovereenkomsten Toeleveringsketen van informatie- en communicatietechnologie Beheer van dienstverlening van leveranciers Monitoring en beoordeling van dienstverlening van leveranciers Beheer van veranderingen in dienstverlening van leveranciers Beheer van informatiebeveiligingsincidenten Beheer van informatiebeveiligingsincidenten en -verbeteringen Verantwoordelijkheden en procedures Rapportage van informatiebeveiligingsgebeurtenissen Rapportage van zwakke plekken in de informatiebeveiliging Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen Respons op informatiebeveiligingsincidenten Lering uit informatiebeveiligingsincidenten Verzamelen van bewijsmateriaal Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer Informatiebeveiligingscontinuïteit Informatiebeveiligingscontinuïteit plannen Informatiebeveiligingscontinuïteit implementeren Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren Redundante componenten Beschikbaarheid van informatieverwerkende faciliteiten Naleving Naleving van wettelijke en contractuele eisen Vaststellen van toepasselijke wetgeving en contractuele eisen Intellectuele-eigendomsrechten Beschermen van registraties Privacy en bescherming van persoonsgegevens Voorschriften voor het gebruik van cryptografische beheersmaatregelen Informatiebeveiligingsbeoordelingen Onafhankelijke beoordeling van informatiebeveiliging Naleving van beveiligingsbeleid en -normen

5 Beoordeling van technische naleving Bijlage A (informatief) Bedreigingen voor de beveiliging van gezondheidsinformatie Bijlage B (informatief) Praktisch plan van aanpak voor het implementeren van ISO/IEC in de zorg Bijlage C (informatief) Checklist voor naleving van NEN-EN-ISO Bibliografie

6 Voorwoord Dit normontwerp is de herziening van NEN 7510:2011 en bestaat uit twee delen. Deel 1 bevat de normatieve voorschriften voor het managementsysteem volgens NEN-ISO/IEC C11:2014+C1:2014+C2:2015 (nl). Deel 2 vormt de Nederlandse weergave van de Europese en internationale norm NEN-ISO/IEC C1+C2:2015 (nl) en NEN-EN-ISO 27799:2016 (en). De drie internationale normen hebben de status van Nederlandse norm. Er is geen officiële Nederlandse vertaling van NEN-EN-ISO 27799:2016 (en). Dit normontwerp past de hoofdstructuur (High Level Structure HLS) 1) toe en is daardoor compatibel met andere managementsysteemnormen die de HLS volgen. Deze gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen een enkel managementsysteem uit te voeren dat voldoet aan de eisen van twee of meer managementsysteemnormen. NEN :2017 en NEN :2017 herroepen en vervangen samen de tweede editie van NEN 7510 uit In bijlage B van NEN is een kruistabel opgenomen die de relatie weergeeft tussen beide edities. Dit normontwerp is opgesteld door normcommissie 'Informatievoorziening in de zorg'. Op het ogenblik van publicatie waren de werkgroep, verantwoordelijk voor de revisie van NEN 7510 en het normontwerp, en de normcommissie als volgt samengesteld: Naam persoon Bedrijf/namens Rol M. Heldoorn Patiëntenfederatie Nederland Lid normcommissie Vz. werkgroep W.T.F. Goossen Results 4 Care B.V. Vz. normcommissie E. Beem Dienst Justitiële Inrichtingen Lid werkgroep C.A. van Belkum CBG-MEB Lid normcommissie E. Bijkerk Agfa Healthcare Lid werkgroep Q. Bosman Nictiz Lid werkgroep W. Brouwers CZ Zorgverzekeringen / ZN Lid werkgroep C. Buiting NHG Lid werkgroep R. Conings Agfa Healthcare Lid werkgroep R. Coppen NIVEL Lid werkgroep R. Cornet AMC, Medical Informatics Lid normcommissie F. Elferink KNMP Lid normcommissie B. Franken AMC + Zorg-CERT Lid normcommissie Lid werkgroep L. Grandia Z-Index B.V. Lid normcommissie M.A.M. van der Haagen VU Medisch Centrum Lid normcommissie M.R.H. Hagemeijer VECOZO Lid werkgroep A. van Haren CBG-MEB Lid normcommissie L. ten Have Tactus / GGZ Nederland Lid werkgroep J. Hiethaar LQRA Lid werkgroep 1) Zoals gedefinieerd in bijlage SL van ISO/IEC Directives, deel 1, geconsolideerd ISO-supplement. 6

7 J.W. Hofdijk Casemix Lid normcommissie C.R.H.A. Hoogendoorn Iperion IS B.V. Lid normcommissie F. Jacobs Philips Health Care Lid normcommissie M. de Jong Nictiz Lid normcommissie B. Kokx Philips Health Care Lid normcommissie W. Limpens Qarebase / KIWA Lid werkgroep P.W.J. Linders Philips Medical Systems, Standards Lid normcommissie Development Harmonization Center E.R.M. Loomans DSW Zorgverzekeraar / ZN Lid werkgroep K. van Luttervelt Zorgbelang ZH Lid werkgroep W.J. Meijer Lid normcommissie R. Ostheimer Vektis C.V. Lid normcommissie R. Muis KNMP Lid werkgroep F.H. Nielen Diabetes Vereniging Nederland Lid werkgroep T. Noorlander KNMP Lid werkgroep M. Oost RIVM Lid werkgroep E. Peelen GS1 Lid normcommissie W.L. Posthumus Lid normcommissie Lid werkgroep M. Rozeboom KNMT Lid normcommissie G.B. van Ruiswijk Ziekenhuis Gelderse Vallei / NVZ Lid werkgroep J.W.R. Schoemaker Erasmus MC, Directie Informatie Lid normcommissie Lid werkgroep P.L. Schram Vertimart Consultants BV Lid werkgroep E. Sieval Z-Index B.V. Lid normcommissie J. Spronck BDO Lid werkgroep B.W.J. Steer KIWA B.V. Lid werkgroep R.A. Stegwee Stichting HL7 Nederland Lid normcommissie J. Takema Deventer Ziekenhuis / NVZ Lid werkgroep M. Tan Nictiz Lid normcommissie P.M. Uitendaal Lid normcommissie D. Verschuuren Zorgon + Maasstad Ziekenhuis Lid normcommissie Lid werkgroep R. van Vianen BDO Consultants B.V. Lid normcommissie R. Wagter M&I/Partners Lid werkgroep A. van Zijl EHIBCC Lid normcommissie P. van der Zwan Caresecure / Actiz Lid werkgroep S. Golyardi NEN Secr. werkgroep K.A. Jansen NEN Secr. werkgroep M. Bijlsma NEN Secr. normcommissie Commentaar op dit normontwerp kan vóór 1 juli 2017 worden ingediend via normontwerpen.nen.nl. 7

8 0 Inleiding OPMERKING De tekst van de inleiding is identiek aan die van de inleiding in NEN :

9 Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen 1 Onderwerp en toepassingsgebied OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 1 in NEN : Normatieve verwijzingen OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 2 in NEN : Termen en definities OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 3 in NEN : Structuur van de paragrafen Elke categorie met hoofdbeveiligingsbeheersmaatregelen bevat een doelstelling voor de beheersmaatregel(en) die aangeeft wat er bereikt moet worden, en een of meer beheersmaatregelen die kunnen worden toegepast om deze doelstelling te bereiken. Beheersmaatregel ZORGSPECIFIEKE BEHEERSMAATREGEL Implementatierichtlijn Definieert de beheersmaatregel zoals genoemd in NEN-ISO/IEC C1+C2:2015, om aan de beheersdoelstelling te voldoen. Definieert de zorgspecifieke beheersmaatregel zoals genoemd in NEN-EN-ISO 27799:2016, om, ingeval zorggegevens worden verwerkt of bewerkt, aan de beheersdoelstelling te voldoen. Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijn is mogelijk niet in alle situaties geheel passend of toereikend en voldoet mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Overige informatie OVERIGE ZORGSPECIFIEKE INFORMATIE Biedt meer gedetailleerde informatie om te voldoen aan de doelstelling van de zorgspecifieke beheersmaatregel. De richtlijn is mogelijk niet in alle situaties geheel passend of toereikend en voldoet mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie waar zorggegevens worden verwerkt. Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Biedt meer zorgspecifieke informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld verwijzingen naar andere normen. Wanneer een van de onderdelen geen tekst bevat, is dat aangegeven met <geen>. In de bibliografie is aan de internationale normen waarnaar verwezen is, de eventuele Nederlandse equivalent toegevoegd. 9

10 5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Doelstelling: Het verschaffen van directieaansturing en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving Beleidsregels voor informatiebeveiliging Beheersmaatregel Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. ZORGSPECIFIEKE BEHEERSMAATREGEL Organisaties behoren te beschikken over een schriftelijk informatiebeveiligingsbeleid dat door het management wordt goedgekeurd, wordt gepubliceerd en vervolgens wordt gecommuniceerd aan alle werknemers en relevante externe partijen. Implementatierichtlijn Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: a) bedrijfsstrategie; b) wet- en regelgeving en contracten; c) huidige en verwachte bedreigingen inzake informatiebeveiliging. Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende: d) de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging; e) toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen; f) processen voor het behandelen van afwijkingen en uitzonderingen. Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stellen en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. en van dergelijke beleidsonderwerpen zijn: a) toegangsbeveiliging (zie hoofdstuk 9); b) classificatie van informatie (en verwerking) (zie 8.2); c) fysieke en omgevingsbeveiliging (zie hoofdstuk 11); 10

11 d) onderwerpen die gericht zijn op de eindgebruiker zoals: aanvaardbaar gebruik van bedrijfsmiddelen (zie ); 1) clear desk en clear screen (zie ); 2) informatietransport (zie ); 3) mobiele apparatuur en telewerken (zie 6.2); 4) beperkingen t.a.v. software-installaties en -gebruik (zie ); e) back-up (zie 12.3); f) informatietransport (zie 13.2); g) bescherming tegen malware (zie 12.2); h) beheer van technische kwetsbaarheden (zie ); i) cryptografische beheersmaatregelen (zie hoofdstuk 10); j) communicatiebeveiliging (zie hoofdstuk 13); k) privacy en bescherming van persoonsgegevens (zie ); l) leveranciersrelaties (zie hoofdstuk 15). Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging (zie 7.2.2). ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten over: a) de noodzaak van gezondheidsinformatiebeveiliging; b) de doelen van gezondheidsinformatiebeveiliging; c) het toepassingsgebied in verband met naleving, zoals beschreven in hoofdstuk 18; d) eisen van wet- en regelgeving en contractuele eisen, waaronder eisen met betrekking tot de bescherming van persoonlijke gezondheidsinformatie en de wettelijke en ethische verantwoordelijkheden van zorgverleners om deze informatie te beschermen; e) regelingen voor het doen van kennisgeving van informatiebeveiligingsincidenten, waaronder een kanaal waarlangs zorgen met betrekking tot vertrouwelijkheid kunnen worden geuit zonder dat men angst hoeft te hebben voor beschuldigingen of verwijten; f) het identificeren van processen en systemen die van vitaal belang zijn in de zorg ( vitaal wil zeggen dat het falen ervan nadelige gevolgen kan hebben voor cliënten). Idealiter wordt het herzien van de inhoud van het beleid aangestuurd door de bevindingen uit de risicobeoordeling van de organisatie, hoewel in het beleid zelf alleen maar de richting hoeft te worden aangegeven, beginselen behoren te worden vermeld en naar andere documenten behoort te worden verwezen waarin de specifieke details (die vaker wijzigen) gevonden kunnen worden. 11

12 Bij het opstellen van het beleidsdocument voor hun informatiebeveiliging zullen gezondheidsorganisaties met name de volgende, voor de gezondheidzorg unieke factoren, in overweging moeten nemen: g) de breedte van gezondheidsinformatie; h) de rechten en ethische verantwoordelijkheden van het personeel, zoals wettelijk overeengekomen en aanvaard door leden van beroepsorganisaties; i) de rechten van cliënten, indien van toepassing, op privacy en op inzage in hun dossier; j) de verplichtingen van clinici met betrekking tot het verkrijgen van geïnformeerde toestemming van cliënten en het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie; k) de legitieme behoeften van clinici en gezondheidsorganisaties om de normale beveiligingsprotocollen opzij te kunnen zetten als zorgprioriteiten, vaak gekoppeld aan het onvermogen van bepaalde cliënten om hun voorkeuren te uiten, dit nodig maken; ook de procedures die moeten worden ingezet om dit te realiseren; l) de verplichtingen van de desbetreffende gezondheidsorganisaties en van cliënten indien zorg wordt verleend op basis van gedeelde zorg of langdurige uitgebreide zorg ; m) de protocollen en procedures die moeten worden toegepast op het delen van informatie in het kader van onderzoek en klinische studies; n) de regelingen voor, en bevoegdheidsgrenzen van tijdelijk personeel, zoals vervangers, studenten en oproepkrachten; o) de regelingen voor en beperkingen die gesteld worden aan de toegang tot persoonlijke gezondheidsinformatie door vrijwilligers en ondersteunend personeel zoals geestelijken of personeel van charitatieve instellingen; p) de implicaties van beveiligingsmaatregelen voor de veiligheid van cliënten; q) de implicaties van informatiebeveiligingsmaatregelen voor de prestaties van gezondheidsinformatiesystemen. Veel gezondheidsorganisaties zijn tot de conclusie gekomen dat het handig is om het beleidsdocument elektronisch aan personeel ter beschikking te stellen via een informatiebeveiligingsrubriek op het intranet van de gezondheidsorganisatie. Indien de gezondheidsorganisatie ondersteuning ontvangt van derde-organisaties of samenwerkt met derden, en met name indien de gezondheidsorganisatie diensten vanuit andere rechtsgebieden ontvangt, behoort het beleidskader gedocumenteerd beleid, beheersmaatregelen en procedures die ingaan op dergelijke interacties en die de verantwoordelijkheden van alle partijen specificeren, te omvatten. In gevallen waar persoonlijke gegevens buiten de nationale grenzen of de grenzen van rechtsgebieden worden gebracht, behoren de bepalingen van ISO te worden toegepast. Overige informatie De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake informatiebeveiligingsbeleid of als een reeks individuele maar gerelateerde documenten. Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt. 12

13 Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals normen, richtlijnen of regels. OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. ZORGSPECIFIEKE BEHEERSMAATREGEL Het informatiebeveiligingsbeleid behoort aan voortdurende, gefaseerde beoordelingen te worden onderworpen zodat het volledige beleid ten minste eenmaal per jaar wordt beoordeeld. Het beleid behoort te worden beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan. Implementatierichtlijn Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen. Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN De beoordeling behoort in te gaan op: a) de veranderende aard van de bedrijfsvoering van de gezondheidsorganisatie en de gelijktijdige veranderingen voor het risicoprofiel en de risicomanagementbehoeften; b) de veranderingen die worden gedaan aan de IT-infrastructuur van de organisatie en de gelijktijdige veranderingen die deze met zich meebrengen voor het risicoprofiel van de organisatie; c) de in de externe omgeving geïdentificeerde veranderingen die op vergelijkbare wijze van invloed zijn op het risicoprofiel van de organisatie; d) de jongste beheersmaatregelen, nalevings- en zekerheidseisen en -regelingen die door de gezondheidsinstanties van een rechtsgebied of door nieuwe wet- of regelgeving verplicht worden gesteld; e) de jongste richtlijnen en aanbevelingen van organisaties van zorgverleners en van de leden van informatieprivacycommissies met betrekking tot de bescherming van persoonlijke gezondheidsinformatie; f) de resultaten van juridische casussen die bij de rechter zijn getoetst, waardoor precedenten zijn geschapen of ontkracht of waardoor best practices zijn vastgesteld; g) de uitdagingen en belangrijke punten met betrekking tot het beleid, zoals aan de organisatie geuit door het personeel, cliënten en hun partners en zorgverleners, onderzoekers en overheden (bijv. leden van privacycommissies); 13

14 h) rapporten over incidenten met betrekking tot de veiligheid van cliënten met als doel om deze incidenten tegen te gaan in die gevallen waarin het incident het gevolg is van het falen van informatiebeveiligingsmaatregelen. Overige informatie <geen> OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> 6 Organiseren van informatiebeveiliging 6.1 Interne organisatie Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen Rollen en verantwoordelijkheden bij informatiebeveiliging Beheersmaatregel Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. ZORGSPECIFIEKE BEHEERSMAATREGEL Organisaties behoren: a) duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging te definiëren en toe te wijzen b) over een informatiebeveiligingsmanagementforum (IBMF) te beschikken om te garanderen dat er duidelijke aansturing en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheidsinformatie, zoals beschreven in B3 en B4 van bijlage B (6.1.1). Er behoort minimaal één individu verantwoordelijk zijn voor beveiliging van gezondheidsinformatie binnen de organisatie. Het gezondheidsinformatiebeveiligingsforum behoort regelmatig, maandelijks of bijna maandelijks, te vergaderen. (Het is meestal het effectiefst als het forum vergadert op een tijdstip halverwege tussen twee vergaderingen van het bestuursorgaan waaraan het forum rapporteert. Zo kunnen urgente zaken binnen een korte periode in een geschikte vergadering worden besproken.) Er behoort een formele verklaring van het toepassingsgebied te worden geproduceerd waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen. Implementatierichtlijn Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico s. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en 14

15 informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd. Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht. Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren: a) de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd; b) de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2); c) autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd; d) om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden; e) coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Het is belangrijk om te wijzen op de essentiële aard van managementverantwoordelijkheid in organisaties die persoonlijke gezondheidsinformatie beheren, zoals beschreven in B.2. Rekenschap en coördinatie kunnen op de lange termijn alleen worden gehandhaafd indien de organisatie over een expliciete informatiebeveiligingsmanagementinfrastructuur beschikt. Ongeacht welke organisatiestructuur wordt gekozen, is het van kritisch belang dat deze dusdanig wordt ontworpen en gestructureerd dat toegang door cliënten (bijv. om verzoeken voor het verkrijgen van persoonlijke gezondheidsinformatie in te dienen) en het rapporteren binnen de organisatiestructuur mogelijk worden gemaakt en dat de tijdige verstrekking van informatie wordt gegarandeerd. Zoals vermeld in B.4.3 behoort de (virtuele of daadwerkelijke) informatiebeveiligingsfunctionaris van de organisatie onder andere verslag uit te brengen aan het forum en hieraan secretariële diensten te verlenen. De functionaris behoort verantwoordelijk te zijn voor het samenstellen, publiceren en becommentariëren van de rapporten die worden ontvangen door de leden van het forum. Gezondheidsorganisaties behoren de uiteenzetting van het toepassingsgebied breed bekend te maken binnen de organisatie, deze vervolgens te beoordelen en te garanderen dat deze wordt overgenomen door de groepen binnen de organisatie die zich bezighouden met informatie-, klinische en corporate governance. Overige informatie Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan. OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> 15

16 Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer WB Delft Ja, ik bestel NEN Standards Products & Services Postbus GB Delft Vlinderweg AX Delft T (015) F (015) ex. NEN :2017 Ontw. nl Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 0.00 Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via Gratis nieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze nieuwsbrieven. Gegevens Bedrijf / Instelling T.a.v. O M O V Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: (015) klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2016, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon (015) , dagelijks van 8.30 tot uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: Normalisatie: de wereld op één lijn. preview