Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg

Transcriptie

1 Bijlage A: Beheersmaatregelen & Toetsingscriteria Toetsingskader Informatieveiligheid in de Zorg 4 Aanpak van de informatiebeveiliging 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.1 Managementsysteem voor informatiebeveiliging: ISMS 4.2 Directieverantwoordelijkheid Toewijzen verantwoordelijkheden De organisatie moet een ISMS inrichten. a. De organisatie beschikt over een ISMS om de informatieveiligheid structureel te waarborgen en om de kansen op en gevolgen van schade als gevolg van informatieincidenten voor patiënten, organisatie en andere stakeholders te beperken. b. Het ISMS heeft betrekking op zowel digitale als analoge informatie en informatieverwerking. c. Het ISMS functioneert op basis van een samenhangend en geïntegreerd stelsel van technische, operationele, procedurele en juridische maatregelen en bijbehorend gedrag. d. Het ISMS belegt taken, verantwoordelijkheden en bevoegdheden (zie 4.2.1), omvat risicomanagement en -beoordeling (zie 4.4.1) met directiebeoordeling (zie 4.5.3), geeft structuur bij de uitvoering en naleving van beheersmaatregelen (zie t/m ) en draagt bij de gestelde doelen te realiseren. De directie moet verantwoordelijkheden ten aanzien van het ISMS toewijzen Actieve betrokkenheid De directie moet bewijs kunnen leveren van haar betrokkenheid met betrekking tot het vaststellen, implementeren, uitvoeren, controleren, beoordelen, bijhouden en verbeteren van het ISMS Stuurgroep De directie kan worden ondersteund door een stuurgroep. a. De directie heeft de verantwoordelijkheden voor inrichting, instandhouding en doorontwikkeling van het ISMS centraal, en voor de uitvoering en naleving van de beheersmaatregelen, en voor het toezicht op en rapportage over de uitvoering binnen de organisatie decentraal belegd. b. Deze verantwoordelijkheden zijn bij de betrokkenen bekend. a. De directie heeft opdracht gegeven voor het inrichten van het ISMS (zie en 4.2.3) en de opzet en inrichting van het ISMS vastgesteld (zie 4.3). b. De directie neemt waar nodig met betrekking tot de implementatie zelf besluiten of ziet er op toe dat deze genomen worden (zie t/m 3). c. De directie voert structureel een beoordeling (managementreview) uit om de informatiebeveiliging te beoordelen en de werking van het ISMS te verbeteren (zie en 4.5.3d). d. De directie laat waar nodig aanvullende maatregelen treffen en/of geeft verbeteropdrachten (zie t/m 4). e. De directie draagt het nut en noodzaak van veilige informatie en nut en noodzaak van informatiebeveiliging intern en extern uit (zie 4.7.1). a. De directie laat zich indien nodig ondersteunen en adviseren door een stuurgroep of commissie of ander gremium met vertegenwoordigers van de intern betrokken disciplines (security officer, staf, ICT, facilitair bedrijf, lijnmanagement en gebruikers). Handboek ISMS, handleidingen van toepassing op ISMS, plan van aanpak voor de informatiebeveiliging. Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven. Mandaatregeling; programma, plan van aanpak, verslagen van managementreviews, projectopdrachten, verslagen, notulen, besluitenlijsten. Agenda's, verslagen, adviezen. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

2 4.3 PLAN: het ISMS vaststellen 4.3 Vaststellen ISMS De directie moet het ISMS vaststellen a. De directie heeft de scope van de informatiebeveiliging bepaald. b. De directie heeft de opzet en inrichting van het ISMS vastgesteld (zie ook Norm en 3.1.2). c. De directie heeft beleid vastgesteld met betrekking tot de wijze van risicobeoordeling, het identificeren van risico s, het analyseren en beoordelen van risico s, het bepalen van opties voor de behandeling van risico s en de beheersdoelstellingen (zie ook 4.2.2a). d. De directie heeft beleid vastgesteld voor het classificeren van de informatie ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid. e. De directie heeft procedures vastgesteld voor het ISMS met betrekking tot het uitvoeren van risicoanalyse en beoordeling, de keuze van maatregelen, het accepteren van restrisico s, het in stand houden en verbeteren van het ISMS (zie 4.4.1). f. De directie heeft een verklaring van toepasselijkheid vastgesteld voorafgaand aan de implementatie vanhet ISMS 4.4 DO: het ISMS implementeren en uitvoeren\ Implementeren en uitvoeren ISMS De organisatie moet het ISMS implementeren en uitvoeren. Notulen RvB / directie, beleidsdocumenten, plannen van aanpak, verklaring van toepasselijkheid a. De organisatie gebruikt een systematiek voor het classificeren van Programma, meerjarenplan informatie en bedrijfsmiddelen voor het op maat inzetten en toepassen voor het ISMS, risicoanalyses van beheersmaatregelen. en -beoordelingen, notulen, b. De organisatie voert, gegeven wet- en regelgeving, de classificatie besluitenlijsten. en de kwetsbaarheden van de instelling, periodiek en waar nodig incidenteel risicoanalyse(s) en -beoordeling(en) uit en houdt de hiertoe benodigde gegevens actueel. c. De organisatie volgt bij risicomanagement en -beoordeling een systematische werkwijze (zie ook normtekst NEN 7510:2011 paragraaf en 3.1.2; extern document): 1. Identificeren van de middelen binnen de scope en het belang (waarde) van de middelen, 2. Identificeren van de bedreigingen, 3. Identificeren van de kwetsbaarheden / zwakheden, 4. Beoordelen van de risico s (kans x mogelijk gevolg en/of schade) voor de patiënt en/of organisatie, 5. Bepalen van de behandeling van elk risico: behandelen (voor maatregelen zie t/m ), aanvaarden, vermijden of overdragen, 6. Vastleggen van de beheersdoelstellingen, reeds genomen en nog te nemen beheersmaatregelen, d. De organisatie heeft verband gelegd tussen de resultaten van de risicobeoordeling en de te nemen beheersmaatregelen en heeft de beheersmaatregelen geclassificeerd naar generieke (baseline) en specifieke maatregelen. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

3 zw aa e.of de organisatie is, in geval van een eerste toetsing, doende de gekozen beheersmaatregelen uit te voeren (zie t/m ). e.of de organisatie heeft, in geval van een latere toetsing, de gekozen beheersmaatregelen grotendeels uitgevoerd en verbetert deze, waar zij, gegeven de resultaten van de risicoanalyse, een substantiële extra bijdrage leveren aan het niveau van de informatiebeveiliging. f. De organisatie beschikt over een meerjarenplan voor de maatregelen die moeten worden uitgevoerd en waarvan de voortgang wordt bewaakt. g. De organisatie heeft door middel van voortgangsbewaking zicht op reeds genomen en nog te nemen maatregelen Beschikbaar stellen van middelen (voor het ISMS) Training, bewustzijn en bekwaamheid voor het ISMS De organisatie moet vaststellen welke middelen nodig zijn en deze benodigde middelen beschikbaar stellen om: a) een ISMS vast te stellen, te implementeren, uit te voeren, te controleren, te beoordelen, bij te houden en te verbeteren; b) te bewerkstelligen dat procedures voor informatiebeveiliging de eisen van de bedrijfsvoering ondersteunen; c) eisen uit wet- en regelgeving en contractuele verplichtingen voor beveiliging te identificeren en na te leven; d) een geschikt niveau van beveiliging te handhaven door correcte toepassing van alle geïmplementeerde beheersmaatregelen; e) wanneer dat nodig is beoordelingen uit te voeren en op geschikte wijze te handelen naar de resultaten van deze beoordelingen; en f) waar nodig de doeltreffendheid van het ISMS te verbeteren. De organisatie moet bewerkstelligen dat alle werknemers aan wie verantwoordelijkheden zijn toegewezen die in het ISMS zijn gedefinieerd, afdoende bekwaam zijn om de vereiste taken uit te voeren a. De directie stelt de benodigde middelen ter beschikking om de gestelde eisen te realiseren, rekening houdend met wet- en regelgeving, de stand der techniek, het budgettair beleid van de organisatie en de uitkomsten van de risicoanalyse (zie ook 4.1 en 4.2.2). a. Binnen de organisatie beschikken medewerkers met specifieke taken bij de inrichting, instandhouding en doorontwikkeling van het ISMS (zie ook 4.2.1) over relevante kennis en ervaring en worden waar nodig (bij)geschoold (zie 4.2.1a en 8.2.2). Instellingsbeleid, beveiligingsbeleid, begroting, personele- en capaciteitsplanning, taak- en functiebeschrijvingen, functionele specificaties, overeenkomsten, externe beoordelingen (waaronder audits). Trainings- en opleidingsplan. Tijdverantwoording, taak- en functiebeschrijvingen. 4.5 CHECK: het ISMS monitoren en beoordelen Het ISMS monitoren en De directie moet het ISMS monitoren en a. De directie houdt actief toezicht om de werking van het ISMS te Verslagen van Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

4 beoordelen beoordelen. kunnen bijsturen. b. De directie voert structureel een directiebeoordeling (managementreview) uit om de informatieveiligheid te beoordelen en de werking van het ISMS te verbeteren (zie ook en 4.5.3d) Interne ISMS-audits De organisatie moet met geplande tussenpozen interne ISMS-audits uitvoeren om vast te stellen of de beheersdoelstellingen, beheersmaatregelen, processen en procedures: a) voldoen aan de eisen van deze norm en relevante wetten of voorschriften; b) voldoen aan de geïdentificeerde eisen voor informatiebeveiliging; c) doeltreffend zijn geïmplementeerd en worden bijgehouden; en d) naar verwachting presteren Directiebeoordeling van het ISMS De directie moet het ISMS van de organisatie met geplande tussenpozen beoordelen (bijvoorbeeld eenmaal per jaar), om te bewerkstelligen dat dit continu geschikt, passend en doeltreffend is. Deze beoordeling moet het onderzoeken van kansen voor verbetering omvatten alsmede de noodzaak van wijzigingen in het ISMS, waaronder het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen.de resultaten van de beoordelingen moeten duidelijk worden gedocumenteerd en er moeten registraties worden bijgehouden. 4.6 ACT: het ISMS onderhouden en verbeteren Algemeen De directie moet het ISMS onderhouden en verbeteren Continue verbetering De organisatie moet continu de doeltreffendheid van het ISMS verbeteren door gebruikmaking van het informatiebeveiligingsbeleid, de informatiebeveiligings-doelstellingen, a. De organisatie toetst de werking van het ISMS aan beleid en normen in de zorg en aan het landelijk toetsingskader. b. De organisatie toetst volgens een consistente werkwijze de uitvoering en naleving van de beheersmaatregelen (zie t/m ) aan beleid en normen in de zorg (minimaal aan dit toetsingskader). c. De organisatie volgt een planning voor interne audits (waaronder die voor informatiebeveiliging en voor administratieve organisatie en interne beheersing) en beschikt over rapportages van interne audits en verbeterplannen. a. De organisatie evalueert periodiek de actualiteit van de risico s, het te voeren beleid, de geschiktheid, passendheid en doeltreffendheid en werking van het ISMS. b. De organisatie benoemt welke risico's verder moeten worden beperkt en welke kwetsbaarheden moeten worden verholpen. c. De organisatie heeft een plan van aanpak en een planning met betrekking tot de verbeterpunten opgesteld (zie ook t/ 4.6.4). d. De directie voert structureel een beoordeling (managementreview) uit om de informatieveiligheid te beoordelen en de werking van het ISMS te verbeteren gebaseerd op de resultaten van a. t/m c. (zie 4.5.1). a. De directie draagt zorg voor het onderhouden en verbeteren van het ISMS (zie 4.2.2, 4.4.2, en 4.5.3d). b. De organisatie maakt het onderhoud en de verbetering van het ISMS zichtbaar (zie 4.6.2). a. De organisatie voert (aansluitend op 4.5.3c) het plan van aanpak uit voor continue verbetering van de informatieveiligheid en de werking van het ISMS. b. De organisatie analyseert informatieveiligheidsincidenten op basis van opgetreden bedreigingen en/of niet voldoende effectieve managementreviews, managementrapportages, dashboard Interne en externe auditrapporten met bevindingen en onderbouwing (waaronder landelijke audit 2010), evt. reacties IGZ, aantoonbare best practices, mondelinge toelichtingen, auditplanning. Rapportage aan RvB en RvT, verslagen van managementreviews, overzicht risico's en kwetsbaarheden, (aanvullend) plan van aanpak tekortkomingen en verbeterpunten, verbeterplannen, registraties Plannen van aanpak. Jaarverslag (recent), afgeronde projecten, voortgangsrapportages, proces met betrekking tot incidentmelding en -opvolging, Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

5 zw aa auditresultaten, analyse van gecontroleerde gebeurtenissen, corrigerende en preventieve maatregelen en de directiebeoordeling Corrigerende maatregelen De organisatie moet maatregelen treffen om de oorzaak van afwijkingen van de ISMS-eisen op te heffen om herhaling te voorkomen Preventieve maatregelen De organisatie moet maatregelen vaststellen om de oorzaak van mogelijke afwijkingen van de ISMSeisen op te heffen om te voorkomen dat ze zich voordoen. Preventieve maatregelen moeten zijn afgestemd op de gevolgen van de mogelijke problemen. 4.7 Documentatie van het ISMS Algemeen De documentatie moet registraties van directiebesluiten omvatten, bewerkstelligen dat maatregelen herleidbaar zijn tot besluiten en beleid van de directie en bewerkstelligen dat de geregistreerde resultaten reproduceerbaar zijn Beheersing van documenten Documenten die door het ISMS worden vereist, moeten worden beschermd en beheerst. maatregelen. c. De organisatie voert interne audits uit op het ISMS of laat externe audits uitvoeren (zie 4.5.2). d. De organisatie kan aantonen aan continue verbetering te werken aan de hand van genomen maatregelen, afgeronde projecten, voortgangsrapportages, incidentanalyse en -opvolging, tussentijdse risicoanalyse en interne en externe auditresultaten. e. De organisatie rapporteert over de voortgang en verbetering en maakt bij de rapportage waar mogelijk en zinvol gebruik van informatieveiligheidsindicatoren. a. De organisatie neemt naar aanleiding van informatie-incidenten aanvullende maatregelen of stelt bestaande maatregelen bij om herhaling te voorkomen (zie ook 4.6.2d). a. De organisatie stelt aanvullende maatregelen vast of stelt bestaande maatregelen bij naar aanleiding van interne en externe ontwikkelingen (waaronder wet- en regelgeving en voortschrijdend inzicht), resultaten van de risicoanalyse en -beoordeling om de informatieveiligheid en de werking en doeltreffendheid van het ISMS te verbeteren. a. De organisatie overlegt als bewijsmateriaal relevante documenten waaruit blijkt dat de inrichting, instandhouding en doorontwikkeling van het ISMS aansluit bij het beleid van de organisatie. Bewijsmateriaal is b.v.: - blauwdruk ISMS, - beleidsplan en interne richtlijnen, - risicoanalyse en -beoordeling, - (aanvullend) plan van aanpak, - periodieke voortgangsrapportage, - managementreview (rapportage en verslag), - continuïteitsplan. b. De organisatie kan aantonen dat de resultaten niet van toeval afhankelijk zijn, maar een structurele basis hebben. a. Medewerkers belast met de instandhouding en verbetering van het ISMS (zie 4.2.1) en/of met de uitvoering van beheersmaatregelen hebben toegang tot de meest actuele versie van de voor hen relevante documenten om de toegewezen taken te kunnen uitvoeren en verantwoording af te leggen (zie ook ). incidentenrapportages met oorzaak-gevolg-analyse, tussentijdse risicoanalyses, trendrapportage vanuit interne en externe auditrapportages. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Blauwdruk voor het ISMS, handboek ISMS, handleidingen, beleidsplan, continuïteitsplan, interne richtlijnen, risicoanalyses en - beoordelingen, plannen van aanpak, periodieke voortgangsrapportages, rapportages voor en verslagen van directiebeoordelingen / managementreviews. Zie hierboven 4.1 t/m Beheersing van registraties Er moeten registraties worden a. De organisatie benoemt de registraties die zij nodig acht om de Rapporten, recent jaarverslag Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

6 5 Beveiligingsbeleid 5.1 Informatiebeveiligingsbeleid Beleidsdocument voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid 6 Organisatie van informatiebeveiliging 6.1 Interne organisatie Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging vastgesteld en bijgehouden om te kunnen bewijzen dat de eisen van het ISMS worden nageleefd en dat het ISMS doeltreffend wordt uitgevoerd. Deze registraties moeten worden beschermd en beheerst. De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen (ISO 27799; NVZ 2010) Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft. (ISO 27799; NVZ 2010) De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen. (ISO 27799; NVZ 2010) Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor informatiebeveiliging te coördineren. doeltreffendheid van het ISMS te kunnen vaststellen. b. De organisatie houdt deze registraties bij (zie ook 4.7.2). a. De directie stelt het beleidsdocument vast om kaders mee te geven bij de uitwerking en uitvoering van de informatiebeveiliging. b. De directie communiceert het beleid naar alle medewerkers en alle relevante externe partijen. c. De directie legt de besluitvorming en datering van het beleidsdocument aantoonbaar vast. a. De organisatie evalueert met geplande tussenpozen en na grote informatieincidenten en bij belangrijke wijzingen in de interne en externe omgeving (waaronder de wet- en regelgeving) de relevante onderdelen van het informatiebeveiligingsbeleid. Zie toewijzen verantwoordelijkheden ISMS en actieve betrokkenheid directie. a. De directie heeft specifieke taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging en privacybescherming belegd bij een information security officer (ISO) en/of een functionaris gegevensbescherming (FG) of een daarmee vergelijkbare functionaris. b. Vertegenwoordigers met relevante functies en rollen (waaronder de ISO en FG) voeren gecoördineerd, via samenwerkingsverbanden en overlegstructuren, de activiteiten met betrekking tot met betrekking tot incidentmeldingen. Beleidsdocument voor de informatiebeveiliging, privacyreglement, verslagen, besluitvormingsproces. Revisies beleidsdocument en/of richtlijnen. Taak- en functiebeschrijvingen, aanstellingsbrieven, agenda's, verslagen, adviezen. Samenstelling eventuele stuurgroep of commissie, samenwerkingsverbanden en overlegstructuren, verslagen, overleggen. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

7 informatiebeveiliging uit Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor middelen voor de informatievoorziening Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.(nvz 2010)Organisaties die patiëntgegevens verwerken behoren de verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te wijzen. Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd Geheimhoudings-overeenkomst Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld Contact met overheidsinstanties Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden. De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande a. De organisatie heeft taken, verantwoordelijkheden en bevoegdheden met betrekking tot de informatiebeveiliging vastgesteld en toegewezen met als doel de beschikbaarheid, integriteit en vertrouwelijkheid van de persoonsgegevens en overige informatie in de bedrijfsprocessen binnen en buiten de organisatie te waarborgen. b. De organisatie heeft met betrekking tot bedrijfsprocessen of administraties of registraties waarin persoonsgegevens worden bewerkt, een lijnmanager als proceseigenaar en, in de zin van de Wbp, als houder van de registratie aangewezen en heeft de registratie aangemeld bij het CBP of een interne functionaris gegevensbescherming. a. De organisatie heeft een goedkeuringsproces vastgesteld voor het invoeren van nieuwe middelen (apparatuur, software, infrastructuur, diensten) voor de informatievoorziening. b. De organisatie volgt bij het invoeren van nieuwe middelen voor de informatievoorziening het vastgestelde goedkeuringsproces (zie verder , , , , , , en ). a. De organisatie stelt in lijn met wet- en regelgeving (Wbp, Wgbo, Wbig) geheimhoudingsovereenkomsten vast. b. De organisatie ziet er op toe dat alle medewerkers en derden de relevante geheimhoudingsovereenkomst ondertekenen of dat de geheimhoudingsplicht op een andere manier rechtskracht krijgt. c. De organisatie controleert periodiek, mede in verband met wijzigingen in de wetgeving, de geschiktheid van de overeenkomsten. d. De organisatie controleert periodiek de naleving van de overeenkomsten. a. De organisatie onderhoudt contact en overlegt met die overheidinstanties die wet en regelgeving opstellen, kunnen adviseren of die toezicht houden. a. De organisatie onderhoudt contact met en overlegt met organisaties, instellingen en instanties op het vakgebied informatiebeveiliging, die kunnen informeren, adviseren of ondersteunen. a. De organisatie laat zich (aan de hand van de toetsingscriteria) op het gebied van informatiebeveiliging periodiek of na significante wijzigingen in het ISMS of in de uitvoering, toetsen door een onafhankelijke derde partij. Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven. Goedkeuringsproces, procesbeschrijvingen, aanbestedingsprocedures, inkoopprocedures, vrijgaveprocedures, besluitenlijsten. CAO, arbeidsovereenkomsten inkoopovereenkomsten en bijlagen. Overzichtslijsten, verslagen. Abonnementen en lidmaatschappen, deelname aan symposia, forumdiscussies. Toetsingsreglement 2010 NVZ, onafhankelijke auditrapportages (b.v. in kader jaarrekening en/of landelijke audit 2010). Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

8 tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging. 6.2 Externe partijen Identificatie van risico's die betrekking hebben op externe partijen Beveiliging in de omgang met klanten Beveiliging in overeenkomsten met een derde partij De risico's voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend. Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie. In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of informatievoorziening van de organisatie, of toevoeging van producten of diensten aan a. De organisatie beschikt over een actuele inventarisatie van uitbestedingen aan en gegevensuitwisseling met externe partijen (derden) met omschrijving van functie en plaats binnen de bedrijfsprocessen. b. De organisatie voert risicoanalyses uit vóórdat externe partijen toegang krijgen tot (patiënt)gegevens, IT-voorzieningen en medische apparatuur. Op basis van deze risicoanalyses zijn relevante beheersmaatregelen getroffen. c. De organisatie stelt zeker dat externe partijen de gegevens niet voor enig ander doel kunnen kopiëren of gebruiken. d. De organisatie stelt bij elke uitbesteding of gegevensuitwisseling vast wie in het kader van Wbp de verantwoordelijke respectievelijk de bewerker is. e. De organisatie bewaakt dat de bewerker hetzelfde niveau van beveiliging garandeert als de verantwoordelijke instelling. f. De organisatie beschikt over een registratie van verleende toegang inclusief logging. g. De organisatie stelt (aansluitend op b.) externe partijen op de hoogte van de geïdentificeerde risico's. h. De externe partij heeft in de eigen organisatie deze risico's geadresseerd. a. De organisatie voert aantoonbaar risicoanalyses uit voordat externe klanten toegang wordt verleend tot de informatie en/of ITvoorzieningen (zie ook a). b. De organisatie beschikt over een actuele inventarisatie (registratie) van verleende toegang (incl. logging) aan externe klanten met duidelijke omschrijving van de aard van de toegang (zie ook f). c. De organisatie heeft met klanten contractuele afspraken met betrekking tot informatiebeveiligingsaspecten gemaakt. d. De organisatie wijst klanten aantoonbaar op de risico's van het gebruik van de IT-voorzieningen en de eigen verantwoordelijkheid daarbij. a. De organisatie contracteert diensten in het kader van informatievoorziening volgens een vaste procedure waarbij eisen en afspraken met meetbare criteria worden vastgelegd in een onderliggende service level agreement (SLA) (zie ook t/m ). b. De organisatie volgt voor wijzigingen in de overeenkomsten met Aanbestedingsprocedure, inkoopprocedures, risicoanalyse en - beoordelingen, contracten met externe partijen, service level agreements (SLA's). Overeenkomsten en bijlagen, reglementen, procedures. Aanbestedingsprocedure, inkoopprocedures, overeenkomsten met externe partijen (SLA's). Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

9 7 Beheer van bedrijfsmiddelen 7.1 Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Verantwoordelijken voor de bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen. Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden. Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een 'verantwoordelijke' te hebben binnen de organisatie. Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening. betrekking tot dienstverlening, criteria en rapportering een wijzigingsprocedure die waarborgt dat deze niet eenzijdig worden doorgevoerd. c. De organisatie legt afspraken met betrekking tot gepland onderhoud en de gevolgen voor beschikbaarheid van systemen in overeenkomsten schriftelijk vast. a. De organisatie heeft beleid voor de classificatie met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid van de informatie (zie 7.2.1) en bepaalt afhankelijk daarvan het belang van de informatieverwerkende bedrijfsmiddelen. b. De organisatie heeft beleid voor het identificeren, classificeren en inventariseren van de bedrijfsmiddelen voor de informatieverwerking en -opslag. Hierbij wordt rekening gehouden met onder andere gebruik in het (zorg)proces, drager van gegevens, waarde, mate van vervangbaarheid, beheer, storingsopvolging. c. De organisatie heeft de bedrijfsmiddelen conform het beleid geïnventariseerd en geclassificeerd waarbij voor elk bedrijfsmiddel een verantwoordelijke (eigenaar) is vastgesteld. Dit kan ook een derde partij zijn. d. De organisatie heeft informatieverwerkende apparatuur en software vallend onder de Wet Medische Hulpmiddelen als zodanig gekenmerkt. Voor zover voor deze bedrijfsmiddelen CE certificering is vereist vormen de uitgebrachte certificaten onderdeel van de inventarisatie. e. De organisatie voert de classificatie en inventarisatie periodiek uit. Zie 6.1.3b toewijzing verantwoordelijkheden beveiliging en inventarisatie bedrijfsmiddelen. a. De organisatie heeft kaders om de kwaliteit van de informatie te waarborgen (waaronder de administratieve organisatie en interne beheersing AO/IB). b. De organisatie heeft kaders voor de omgang met informatie om de vertrouwelijkheid te waarborgen. c. De organisatie heeft kaders en beleid voor de inzet van eigen en gehuurde informatieverwerkende bedrijfsmiddelen inclusief informatieverwerkende medische techniek. d. De organisatie heeft, conform de kaders onder a, het verwerken, Inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Organisatieschema, taak- en functiebeschrijvingen, aanstellingsbrieven, inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Kaders voor de AO/IB, privacyreglement, reglementen, (b.v. omgang met onderzoeksgegevens, cameratoezicht), richtlijnen (b.v. omgang met mobiele apparatuur, traceren en terughalen apparatuur), service level agreements, Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

10 controleren, opslaan en vrijgeven van informatie gedocumenteerd en geïmplementeerd. e. De organisatie heeft, conform de kaders onder b, regels voor de omgang met vertrouwelijke informatie gedocumenteerd en geïmplementeerd. f. De organisatie heeft, conform de kaders onder c, de vrijgave, het gebruik en het beheer van informatieverwerkende bedrijfsmiddelen gedocumenteerd en geïmplementeerd. g. Taken en verantwoordelijkheden betreffende rollen voor het gebruik en beheer van applicaties zijn (in de applicaties) gedefinieerd en schriftelijk (in overeenkomsten) vastgelegd. overeenkomsten. 7.2 Classificatie van informatie Richtlijnen voor classificatie Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie Labeling en verwerking van informatie Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers, bijvoorbeeld via een inlogboodschap, te wijzen op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk vertrouwelijk te zijn voorzien. 8 Personeel 8.1 Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en te worden gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie. a. De organisatie heeft op basis van a de informatie in de bedrijfsprocessen geclassificeerd vastgesteld en ingevoerd. a. De organisatie hanteert vaste kenmerken (z.g. attributen) om de classificatie en het gebruik van de informatie voor en door bevoegden inzichtelijk te maken. b. De organisatie voorziet de informatie(drager) van de relevante kenmerken (attributen / fysieke kenmerken). c. De organisatie volgt procedures om bevoegde personen en medewerkers aan de hand van deze kenmerken inzage te geven tot de relevante informatie en de gegevens conform de toegekende bevoegdheden (create, read, update, delete execute) te verwerken (zie verder t/m ). a. De organisatie heeft (aansluitend op ) M75voor alle functies en rollen van de medewerkers, die betrokken zijn bij de verwerking, de instandhouding van de kwaliteit en de vertrouwelijke omgang met informatie, specifieke taken met bijbehorende verantwoordelijkheden en bevoegdheden gedefinieerd. Classificatieschema's. Procedures, checklijsten. Taak- en functiebeschrijvingen, richtlijnen en protocollen, incidentenregistratie. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

11 zwaaarw Screening Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's Arbeidsvoorwaarden Als onderdeel van hun contractuele verplichtingen behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en hun arbeidscontract te ondertekenen. In dit contract behoren hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging te zijn vastgelegd (NVZ 2010) Een organisatie die patiëntgegevens verwerkt behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het informatiebeveiligingsbeleid van de organisatie Tijdens het dienstverband Directieverantwoordelijkheid De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging. Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, a. De organisatie heeft beleid voor het screenen van nieuwe medewerkers waarbij ondermeer rekening wordt gehouden met de vertrouwenspositie van de medewerker. b. De organisatie verifieert afhankelijk van het beleid tenminste de identiteit, de vorige aanstelling en van zorgverleners de BIGregistratie. c. De organisatie vraagt afhankelijk van het beleid naar een verklaring omtrent gedrag. d. De organisatie hanteert afhankelijk van het beleid een uitvraagprocedure voor het navragen bij referenten. a. De organisatie hanteert procedures voor de indiensttreding van vaste en tijdelijke medewerkers (al dan niet in loondienst). b. Medewerkers (al dan niet in loondienst) tekenen een geheimhoudingsverklaring tenzij hierin op andere wijze is voorzien. c. De organisatie informeert nieuwe medewerkers bij indiensttreding over het veilig omgaan met informatie en het beschermen van privacy en over mogelijke sancties (disciplinair proces). d. De organisatie maakt voor ingehuurd personeel en voor bepaalde functiegroepen (b.v. onderzoekers) met de medewerker aanvullende afspraken met betrekking tot de intellectuele eigendom. a. De directie legt het (informatie-) veiligheidsbeleid op aan eigen en ingehuurde medewerkers en aan externe gebruikers. b. De directie laat toezien op de naleving van het (informatie-) veiligheidsbeleid door eigen en ingehuurd personeel (zie ook ). a. De organisatie heeft de uitvoering van de werkprocessen en de informatieverwerking geborgd in richtlijnen, procedures, protocollen, standard operating procedures (SOP s) en ondersteunende techniek. Procedures, checklijsten, verklaring omtrent gedrag (registratie). CAO, arbeidsovereenkomsten, geheimhoudingsverklaringen, indiensttredingformulieren. Portefeuilleverdeling directie, awarenesscampagne. Beleidsdocument, scholings- en trainingsprogramma. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

12 behoren geschikte training(en) en regelmatige bijscholing te krijgen met betrekking tot naleving van beleid en procedures van de organisatie, voorzover relevant voor hun functie. (NVZ 2010) Een organisatie die patiëntgegevens verwerkt behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien Disciplinaire maatregelen Er behoort een formeel disciplinair proces te zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd. 8.3 Beëindiging of wijziging van dienstverband Beëindiging van De verantwoordelijkheden bij verantwoordelijkheden beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen Retournering van bedrijfsmiddelen Alle medewerkers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst Intrekken van toegangsrechten De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en ITvoorzieningen behoren te worden ingetrokken bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoren na wijziging te worden aangepast. b. Richtlijnen, procedures, protocollen en instructies zijn voor bevoegde en bekwame medewerkers beschikbaar en worden periodiek geactualiseerd. c. De organisatie heeft voor gebruikers werkinstructies voor apparatuur en systemen opgesteld om een juist gebruik te bevorderen en om fouten te voorkomen (voor beheerders zie ). d. De leiding ziet er op toe dat medewerkers in het gebruik worden getraind (bekwaam zijn). e. De organisatie besteedt in het werkoverleg of anderszins periodiek aandacht aan informatieveiligheid, informatiebeveiliging en privacybescherming op de werkplek (uitwerking van 4.4.3) a. De organisatie heeft een sanctiebeleid met betrekking tot medewerkers die al dan niet bewust inbreuken veroorzaken op de informatiebeveiliging, privacybescherming en intellectuele eigendom en know how. b. De organisatie hanteert bij inbreuken een disciplinair proces en doet zo nodig aangifte. a. De organisatie heeft voor eigen en ingehuurde medewerkers en extern personeel procedures voor de wijziging van functie, rol, fysieke locatie en plaats in de organisatie. b. De organisatie heeft procedures voor uitdiensttreding van eigen medewerkers en het beëindigen van contracten van ingehuurde medewerkers. a. Eigen medewerkers leveren bij uitdiensttreding en ingehuurde medewerkers leveren bij beëindigen van de overeenkomst alle aan hen uitgereikte bedrijfsmiddelen in. a. De organisatie heeft een procedure met betrekking tot fysieke en logische toegangsrechten (waaronder die voor netwerkdiensten, zie ). b. De organisatie wijzigt de fysieke en logische toegangsrechten van medewerkers direct bij elke wisseling van functie en/of werkplek van de medewerker. c. De organisatie beëindigt de fysieke en logische toegangsrechten van medewerkers direct of zo snel mogelijk bij einde dienstverband of einde opdracht. d. De organisatie kan in uitzonderlijke gevallen en specifieke situaties Sanctiebeleid, personeelshandboek, arbeidsovereenkomsten. Procedures, overeenkomsten, steekproeven. Checklijsten, inventarislijsten. Procedures, checklijsten, personeelsbestanden, technische maatregelen. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

13 zwaa arw. hiervan afwijken. 9 Fysieke beveiliging en beveiliging van de omgeving 9.1 Beveiligde ruimten Fysieke beveiliging van de omgeving Er behoren toegangsbeveiligingen (barrières zoals muren, toegangspoorten met kaartsloten of een bemande receptie) te worden aangebracht om ruimten waar zich informatie en IT-voorzieningen bevinden te beschermen. Dit geldt in het bijzonder voor ruimten waar patiëntgegevens worden bewaard en waar informatiesystemen met patiëntgegevens zijn opgesteld. (ISO 27799; NVZ 2010) Fysieke toegangsbeveiliging Beveiligde zones behoren te worden beschermd door geschikte toegangsbeveiliging, om te bewerkstelligen dat alleen bevoegd personeel wordt toegelaten. (NVZ 2010) Beveiliging van kantoren, ruimten en faciliteiten Bescherming tegen bedreigingen van buitenaf Er behoort fysieke beveiliging van kantoren, ruimten en faciliteiten te worden ontworpen en toegepast. (NVZ 2010) Er behoort fysieke bescherming tegen schade door brand, overstroming, aardschokken, explosies, oproer en andere vormen van natuurlijke of menselijke calamiteiten te worden ontworpen en toegepast. (NVZ 2010) Werken in beveiligde ruimten Er behoren een fysieke bescherming en richtlijnen voor werken in beveiligde a. De organisatie heeft een zoneringsbeleid voor de omgeving, gebouwen en ruimtes. b. De organisatie beschikt over beveiliging voor terreinen, gebouwen en ruimtes waarbij rekening is gehouden met verschillende niveaus van fysieke beveiliging en toegangsverlening. c. De organisatie heeft de eisen ten aanzien van veilige omgeving beschreven (met betrekking tot inbraak, brand, water, interferentie) waarbij de eisen mede zijn gerelateerd aan de opgestelde al dan niet medische apparatuur en van de informatie die verwerkt en opgeslagen wordt. d. De organisatie heeft voor ruimtes met informatie(opslag) en (informatieverwerkende) apparatuur aanvullende maatregelen getroffen. a. De organisatie verleent personen (patiënten, medewerkers, externen en bezoekers) fysiek toegang waarbij de toegang gekoppeld is aan de zonering, de werkplek, de functie en/of rol en/of status en desgewenst aan specifieke toegangsbevoegdheden. Aansluitend op en a. Medewerkers sluiten afsluitbare werkruimtes waar mogelijk tussentijds en zeker na werktijd af. Hierop vindt toezicht plaats. b. De organisatie bewaart informatiedragers (waaronder documenten) afhankelijk van type en classificatie op veilige plaatsen en treft aanvullende maatregelen tijdens transport. c. De organisatie archiveert originelen van informatiedragers op veilige plaatsen en draagt waar nodig zorg voor beheerde kopieën. d. De organisatie beschikt over noodprocedures voor toegang tot afgesloten ruimtes. e. Medewerkers kennen de noodprocedures in geval van calamiteiten. f. Lijnmanagement laat periodiek deze noodprocedures oefenen. a. De organisatie heeft de omgevingsrisico's in kaart gebracht. b. De organisatie past bij ontwerp van nieuwe en het ingrijpend verbouwen van bestaande gebouwen risicoanalyse toe. c. De organisatie bouwt en verbouwt conform de vigerende wet- en regelgeving op dit gebied en is daarbij onderhevig aan toezicht. a. De organisatie beschikt over beleid en maatregelen om de fysieke toegang tot apparatuur, hulpmiddelen en informatiedragers daar waar Zoneringsbeleid, bestekken, bouwtekeningen. Bouwtekeningen, sleutelplannen, observaties. Bestekken, bouwtekeningen, sleutelplannen. Bouwvoorschriften, bestekken, vergunningen, controlerapporten toezichthoudende instanties. Bouwvoorschriften, bestekken, richtlijnen en procedures. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

14 9.1.6 Openbare toegang en gebieden voor laden en lossen 9.2 Beveiliging van apparatuur Plaatsing en bescherming van apparatuur ruimten te worden ontworpen en toegepast. (NVZ010) Toegangspunten zoals gebieden voor laden en lossen en andere punten waar onbevoegden het terrein kunnen betreden, behoren te worden beheerst en indien mogelijk worden afgeschermd van IT-voorzieningen, om onbevoegde toegang te voorkomen. Apparatuur behoort zo te worden geplaatst en beschermd dat risico's van schade en storing van buitenaf en de gelegenheid voor onbevoegde toegang worden verminderd tot een vooraf door de organisatie bepaald niveau Nutsvoorzieningen Er behoren maatregelen te worden getroffen om de gevolgen van stroomuitval en onderbrekingen van andere nutsvoorzieningen te beperken Beveiliging van kabels Voedings- en telecommunicatiekabels die voor dataverkeer of ondersteunende informatiediensten worden gebruikt, behoren tegen interceptie of beschadiging te worden beschermd Onderhoud van apparatuur Apparatuur behoort op correcte wijze te worden onderhouden, om te waarborgen dat de apparatuur in goede staat verkeert en de geleverde informatiediensten beschikbaar blijven. (NVZ 2010) Beveiliging van apparatuur buiten het terrein Apparatuur buiten de terreinen behoort te worden beveiligd waarbij rekening wordt gehouden met de diverse risico's van werken buiten het terrein van de organisatie. Een organisatie die patiëntgegevens verwerkt behoort te zorgen voor toestemming voor elk gebruik buiten de instelling van medische apparaten die nodig te beperken tot de toegang voor bevoegde personen en/of medewerkers. a. De organisatie heeft (aansluitend op a) maatregelen getroffen om onbevoegde toegang tot informatie en informatiesystemen vanuit publiek toegankelijke ruimtes te voorkomen. Observatie ter plaatse. a. De organisatie heeft, rekening houdend met informatieclassificatie Richtlijnen, observaties. (zie 7.2.1), richtlijnen voor het fysiek beveiligen van apparatuur (waaronder ook mobiele) om verstoring van (zorg)processen, verlies of onbevoegd gebruik of misbruik van gegevens te voorkomen. a. De organisatie heeft voorzieningen om de continuïteit van de nutsvoorzieningen ten behoeve van de (zorg)processen en ondersteunende informatie- en communicatiesystemen zeker te stellen. a. De organisatie heeft voorzieningen om signalen via datacommunicatiekabels te beschermen tegen interferentie, interceptie om de vertrouwelijkheid en integriteit van de informatie te waarborgen. b. De organisatie heeft voorzieningen om voedings- en datacommunicatiekabels te beschermen tegen beschadiging (of diefstal) om verstoring te voorkomen. a. De organisatie beschikt over richtlijnen voor de planning en uitvoering van preventief en correctief onderhoud en het testen van al dan niet medische apparatuur, netwerken en informatiediensten. b. Voor het onderhoudsproces is een verantwoordelijke aangesteld. a. De organisatie heeft maatregelen getroffen om onbevoegd gebruik, beschadiging of verlies van apparatuur buiten de (terreinen van de) organisatie te voorkomen. b. De organisatie heeft maatregelen getroffen voor gegevensverwerkende apparatuur om onbevoegde toegang en wijziging of vernietiging van gegevens te voorkomen. Continuïteitsplannen, stroomtests, verslagen. Externe normen en voorschriften, interne richtlijnen, bestekken, observatie per plaatse. Onderhoudsplanning, onderhoudsprotocollen, logboeken. Risicoanalyses, functionele en technische specificaties, observaties. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

15 gegevens registreren en/of doorgeven, met inbegrip van apparatuur die, al of niet permanent, in gebruik is bij ambulante medewerkers en mogelijk tot hun vaste uitrusting behoort Veilig verwijderen of hergebruiken van apparatuur Verwijdering van bedrijfseigendommen Wanneer apparatuur die opslagmedia bevat wordt verwijderd, behoort de organisatie te bewerkstelligen dat alle gevoelige gegevens en in licentie gebruikte programmatuur worden vernietigd of op veilige wijze worden overschreven. Apparatuur, informatie en programmatuur van de organisatie mogen niet zonder toestemming vooraf van de locatie worden meegenomen. 10 Beheer van communicatie- en bedieningsprocessen 10.1 Bedieningsprocedures en verantwoordelijkheden Gedocumenteerde Bedieningsprocedures behoren te bedieningsprocedures worden gedocumenteerd, te worden bijgehouden en beschikbaar te worden gesteld aan alle gebruikers die deze nodig hebben Wijzigingsbeheer Wijzigingen in de informatievoorziening en informatiesystemen behoren te worden beheerst met een formeel en gestructureerd proces dat niet onbedoeld afbreuk doet aan de informatievoorziening en de continuïteit van de zorg. (ISO 27799; NVZ 2010) a. De organisatie heeft maatregelen getroffen om programmatuur en/of gegevens op af te voeren apparatuur of op gegevensdragers en/of de gegevensdragers zelf, op betrouwbare wijze buiten gebruik te stellen of te (laten) vernietigen (zie ook ). a. Medewerkers nemen alleen met voorafgaande toestemming bedrijfsmiddelen (waaronder software) of gegevens mee om te voorkomen dat (zorg) processen kunnen worden verstoord of vertrouwelijkheid wordt geschonden door het ontbreken van informatie of bedrijfsmiddelen. a. De organisatie heeft voor functioneel en technisch beheerders bedieningsprocedures voor apparatuur en systemen vastgesteld om juist functioneren te bevorderen en verstoringen of fouten te voorkomen. b. Relevante bedieningsprocedures zijn voor bevoegde medewerkers (gebruikers) beschikbaar en toegankelijk en worden periodiek geactualiseerd. c. De organisatie heeft voor gebruikers bedieningsprocedures voor apparatuur en systemen vastgesteld om juist gebruik te bevorderen en fouten te voorkomen. d. De bedieningsprocedures zijn voor bevoegde medewerkers (gebruikers) beschikbaar en toegankelijk en worden periodiek geactualiseerd. a. De organisatie voert wijzigingen aan informatiesystemen en ICTinfrastructuur volgens een wijzigingsbeheerprocedure uit. Vaste elementen in deze procedure zijn: - procesbeschrijving op hoofdlijnen, - beschrijving van de taken, verantwoordelijkheden en bevoegdheden voor wijzigingsbeheer, - beschrijving van de activiteiten voor wijzigingsbeheer, - vastlegging en goedkeuring van wijzigingsverzoeken, - planning en ontwerp, bouwen en testen en goedkeuren van wijzigingen, Procedures, checklijsten, technische maatregelen. Gedragscode, procedures. Bedieningsprocedures (voor beheerders en gebruikers). Richtlijnen, procedures, verslaglegging. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

16 - communicatie en implementatie van wijzigingen (met eigenaar, beheerder en gebruikers), - evaluatie en sluiten van wijzigingen en bijwerken van (technische) documentatie, - monitoring van en rapportage over wijzigingsbeheer. b. De organisatie voert waar nodig / mogelijk bij deze stappen securitychecks uit. c. Deze procedures worden toegepast op respectievelijk: operating systemen, pakketten, eigen systemen en instellingen van werkstations. d. Deze procedures zijn voor de onder c. genoemde gebieden geïmplementeerd en worden gevolgd Functiescheiding Taken en verantwoordelijkheidsgebieden behoren te worden gescheiden om gelegenheid voor onbevoegde of onbedoelde wijziging of misbruik van de bedrijfsmiddelen van de organisatie te verminderen Scheiding van faciliteiten voor ontwikkeling, testen en productie De organisatie behoort omgevingen voor ontwikkeling, testen en voor instructiedoeleinden, gescheiden te houden van de productieomgeving (fysiek of virtueel) om het risico van onbevoegde toegang tot of wijzigingen in het productiesysteem te verminderen Beheer van de dienstverlening door een derde partij Dienstverlening Er behoort te worden bewerkstelligd dat de beveiligingsmaatregelen, definities van dienstverlening en niveaus van dienstverlening zoals vastgelegd in de overeenkomst voor dienstverlening door een derde partij worden geïmplementeerd en uitgevoerd en actueel worden gehouden door die derde partij Controle en beoordeling van dienstverlening door een derde partij Beheer van wijzigingen in dienstverlening door een derde partij De diensten, rapporten en registraties die door de derde partij worden geleverd, behoren regelmatig te worden gecontroleerd en te worden beoordeeld. Wijzigingen in de dienstverlening door derden, waaronder het bijhouden en a. De organisatie heeft met betrekking tot de bedieningsprocessen specifieke taken en verantwoordelijkheidsgebieden gescheiden om onbevoegde of onbedoelde wijzigingen of misbruik van bedrijfsmiddelen en gegevens te voorkomen. b. De organisatie heeft specifieke taken en verantwoordelijkheidsgebieden gescheiden om onbevoegde specificatie en aanschaf van bedrijfsmiddelen en informatie te voorkomen. a. De organisatie heeft de ontwikkeling, het testen en accepteren van aanpassingen van (onderdelen van) informatiesystemen gescheiden van de productieomgeving om onbevoegde toegang en/of onbedoelde wijzigingen in het productiesysteem te voorkomen. b. De organisatie beschikt over criteria waaraan voldaan moet zijn, voordat wijzigingen worden doorgevoerd vanuit de ontwikkelomgeving, via de testomgeving, via de acceptatieomgeving naar de productieomgeving. a. De organisatie heeft (aansluitend op 6.2.3) het belang en het niveau van beveiliging alsmede de uitvoering daarvan met de externe partij besproken en vastgelegd in de schriftelijke overeenkomst inclusief bijlagen. a. De organisatie controleert en beoordeelt de dienstverlening door externe partijen periodiek en daar waar nodig tussentijds. a. De organisatie heeft (aansluitend op 6.2.3) in de overeenkomst met externe partijen afspraken gemaakt over het wijzigen van de Taak- en functiebeschrijvingen, procedures. ICT-architectuur, protocollen, bevoegdheden, technische maatregelen. Overeenkomsten en bijlagen, service level agreements. Rapportages, verslagen. Wijzigingsprocedures, uitkomsten risicoanalyses, Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

17 verbeteren van bestaande beleidslijnen, procedures en maatregelen voor informatiebeveiliging, behoren te worden beheerd, waarbij rekening wordt gehouden met de onmisbaarheid van de betrokken bedrijfssystemen en - processen en met heroverweging van risico's Systeemplanning en -acceptatie Capaciteitsbeheer Het gebruik van middelen behoort te worden gecontroleerd en te worden afgestemd en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen met het oog op de vereiste systeemprestaties Systeemacceptatie De organisatie behoort acceptatiecriteria vast te stellen voor nieuwe informatiesystemen, upgrades en nieuwe versies en behoort geschikte testen uit te voeren voorafgaand aan de acceptatie Bescherming tegen kwaadaardige programmatuur en mobile code Maatregelen tegen kwaadaardige programmatuur Maatregelen tegen mobile code Er behoren maatregelen te worden getroffen voor detectie, preventie en herstel om te beschermen tegen virussen en andere kwaadaardige programmatuur en er behoren geschikte maatregelen te worden getroffen om het risicobewustzijn van de gebruikers te vergroten. (ISO 27799; NVZ 2010) Als gebruik van mobile code is toegelaten, behoort de configuratie te bewerkstelligen dat de geautoriseerde mobile code functioneert volgens een duidelijk vastgesteld beveiligingsbeleid, dienstverlening en de verdere afspraken en over de wijze waarop deze wijzigingen worden aangekondigd en geaccordeerd, rekening houdend met de mogelijke gevolgen voor de beveiliging en de beschikbaarheid van systemen. b. De organisatie maakt voorafgaand aan zo'n wijziging een (beperkte) risicoanalyse en -beoordeling vanuit oogpunt van continuïteit en neemt waar nodig aanvullende maatregelen. a. De organisatie bewaakt het actueel gebruik en technisch functioneren van informatiesystemen en rapporteert met betrekking tot gebruik en prestaties. b. De organisatie stelt, rekening houdend met toekomstige ontwikkelingen, verwachtingen en planningen op met betrekking tot toekomstig gebruik en toekomstige prestaties. c. De organisatie treft tijdig maatregelen om de vereiste systeemprestaties te realiseren. a. De organisatie hanteert in de wijzigingsprocedure acceptatiecriteria voor nieuwe informatiesystemen, upgrades en nieuwe versies (zie ). a. De organisatie heeft beschermingsmaatregelen getroffen om kwaadaardige software (waaronder virus, spyware en andere malware) te detecteren en de gevolgen hiervan te mitigeren. b. De organisatie heeft beschermingsmaatregelen getroffen tegen andere inbreuken die de informatieveiligheid kunnen aantasten zoals: hacken, phishing, social engineering enz. c. De organisatie houdt de beschermingsmaatregelen up to date conform de nieuwste definities en inzichten en logt detectie en verwijdering van kwaadaardige software. d. De organisatie controleert periodiek de werking van de beschermingsmaatregelen en herstelt waar nodig de negatieve gevolgen van kwaadaardige software en andere inbreuken. e. De organisatie informeert de gebruikers over schadelijke software en mogelijke risico's (aansluitend op ). a. De organisatie voert beleid ten aanzien van softwaredistributie, het toestaan en gebruiken van 'mobile code' en zo ja welke categorieën 'mobile code'. b. De organisatie heeft maatregelen getroffen om ongewenste distributie en gebruik te voorkomen (zie ). addenda bij overeenkomsten, overzicht geaccordeerde wijzigingen. Capaciteitsplanningen, meeten monitoringtechnieken, rapportages. Functionele en technische specificaties, acceptatiecriteria, vrijgave-adviezen. Gedragsregels,specifieke software, rapportages, procedure incidentmelding en - opvolging. Beleidsdocument, technische maatregelen. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

18 zw aa en behoort te worden voorkomen dat onbevoegde mobile code wordt uitgevoerd. (NVZ 2010) 10.5 Back-up en herstel Reservekopieën (back-ups) Er behoren stelselmatig back-upkopieën van informatie en programmatuur te worden gemaakt en de herstelprocedure behoort regelmatig te worden getest, overeenkomstig het vastgestelde backupbeleid.(nvz 2010)Een organisatie, die patiëntgegevens verwerkt, behoort van alle patiëntgegevens backupkopieën te maken en in een veilige omgeving op te slaan om de beschikbaarheid te waarborgen.(iso 27799) 10.6 Beheer van netwerkbeveiliging Maatregelen voor netwerken Netwerken behoren adequaat te worden beheerd en beheerst om ze te beschermen tegen bedreigingen en om beveiliging te handhaven voor de systemen en toepassingen die gebruikmaken van het netwerk, waaronder informatie die wordt getransporteerd Beveiliging van netwerkdiensten Beveiligingskenmerken, niveaus van dienstverlening en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in elke overeenkomst voor netwerkdiensten, zowel voor diensten die intern worden geleverd als voor uitbestede diensten Behandeling van media Beheer van verwijderbare media Er behoren procedures te zijn vastgesteld voor het beheer van verwijderbare media. a. De organisatie heeft beleid met betrekking tot het veilig stellen van gegevens en programmatuur in het geval van incidenten en calamiteiten. Het beleid houdt rekening met de maximale uitvalsduur (MUD) en het maximaal toegestaan gegevensverlies (MGV) (zie t/m 5). b. De organisatie heeft maatregelen getroffen om gegevens en programmatuur conform dit beleid veilig te stellen (zie t/m 5). c. De organisatie test het terugzetten van gegevens en programmatuur aan de eisen die hiervoor zijn vastgelegd in het beleid (zie t/m 5). d. In geval van verzoek tot verwijdering van persoonsgegevens moeten deze uit de backup of tijdens de backup-restore cyclus worden verwijderd (een restore mag er niet toe leiden dat (persoons-) gegevens die in de productieomgeving zijn verwijderd weer worden teruggezet). e. De organisatie legt in geval van gegevensverwerking door derden a t/m d. contractueel vast. a. De organisatie beschikt over een intern en extern netwerkontwerp dat gebaseerd is op risicoanalyse. b. De organisatie beheert een beveiligd netwerk rekening houdend met beveiligingseisen die zijn gesteld rond de gegevensverwerking en dienstverlening. c. De organisatie verifieert of iedere betrokken derde partij het eigen aandeel in de beveiliging kan leveren. a. De organisatie adresseert (aansluitend op en ) in overeenkomsten met betrekking tot de levering van netwerkdiensten ondermeer de beveiligingskenmerken, niveaus van dienstverlening en beheerseisen. a. De organisatie heeft richtlijnen en procedures voor het beheer van al dan niet verwijderbare gegevensdragers (media), waaronder ook randapparatuur en mobiele datadragers (zie ook en ). Beleidsdocument, procedures, systeeminstellingen, logging, overeenkomsten. Netwerkontwerp, overeenkomsten (SLA's) en bijlagen. Netwerkontwerp, overeenkomsten (SLA's) en bijlagen. Richtlijnen, procedures Verwijdering van media Alle gegevens op verwijderbare media a. De organisatie heeft procedures voor het innemen en afvoeren van Procedures, overeenkomsten, Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

19 Procedures voor de behandeling van informatie Beveiliging van systeemdocumentatie 10.8 Uitwisseling van informatie Beleid en procedures voor informatie-uitwisseling behoren op veilige wijze te worden overschreven of de media behoren te worden vernietigd wanneer deze niet meer nodig zijn, overeenkomstig formele procedures. Er behoren procedures te worden vastgesteld voor de behandeling en opslag van informatie om deze te beschermen tegen onbevoegde openbaarmaking of misbruik. Media die patiëntgegevens bevatten behoren fysiek te worden beveiligd. Op de staat en locatie van media met patiëntgegevens behoort controle te worden uitgeoefend. Systeemdocumentatie behoort te worden beschermd tegen onbevoegde toegang Uitwisselings-overeenkomsten Er behoren overeenkomsten te worden vastgesteld voor de uitwisseling van informatie en programmatuur tussen de organisatie en externe partijen. verwijderbare en mobiele gegevensdragers. b. De organisatie verwijdert d.m.v. gangbare technieken alle gegevens en programmatuur op deze gegevensdragers (zie ook 9.2.6). c. In geval van uitvoering van a. en/of b. door derden stelt de organisatie vast of deze dit naar behoren uitvoeren. a. De organisatie heeft in (hogerliggend) beleid de doelen van de te onderscheiden gegevensverwerkingen vastgelegd (zie ook 4.3). b. De organisatie heeft - per verwerking - beleid voor de behandeling en opslag van gegevens en gegevensdragers rekening houdend met classificatie (7.2.1., en AV23), toegang en bevoegdheden ( t/m ). c. De organisatie heeft overzicht wie verantwoordelijk is voor de verwerking en wie de gegevens en/of gegevensdragers beheert (7.1.1 en 7.1.2). d. De organisatie heeft procedures om in geval van verwerking van persoonsgegevens betrokkenen recht op inzage, wijziging en vernietiging te geven (binnen wettelijke kaders). e. De organisatie beperkt waar mogelijk de toegang met technische en organisatorische hulpmiddelen (fysiek en/of logisch). f. De organisatie ziet toe op juiste naleving van de maatregelen en de staat en de locatie van de gegevensdragers. a. De organisatie stelt systeemdocumentatie, zoals beheerhandleidingen, servicedocumentatie en parameterinstellingen, enz. aan bevoegde medewerkers beschikbaar en schermt deze af voor onbevoegden. Er behoren formeel beleid, formele a. De organisatie heeft beleid voor het beschikbaar stellen en/of het procedures en formele uitwisselen van gegevens binnen de organisatie en met derden. beheersmaatregelen te zijn vastgesteld b. Het beleid geeft aan welke soorten gegevens in aanmerking komen om de uitwisseling van informatie via het voor uitwisseling, met welke partijen (zorginstellingen, leveranciers en gebruik van alle typen andere externen) en voor welk doel gegevens worden uitgewisseld en communicatiefaciliteiten te welke voorwaarden gelden bij welke soorten gegevens. beschermen.(nvz 2010) c. De organisatie heeft overzicht welk (medisch of niet medisch) apparaat of installatie welke informatie ontsluit en op welke wijze deze informatie wordt uitgewisseld (ondermeer via koppelingen, verbindingen, protocollen, portals, in the cloud). a. De organisatie heeft de verantwoordelijkheden en bevoegdheden voor het beschikbaar stellen en veilig uitwisselen van gegevens (en programmatuur) vanuit de verschillende registraties / verwerkingen met derden belegd. b. De organisatie legt de afspraken vast in een overeenkomst met de derde partij waarin de verantwoordelijkheden, rechten en plichten van rapportages, certificaten, observatieverslagen. Beleidsdocument, privacyreglement, classificatiesystematiek, procedures, en internetprotocollen, overzichtlijst registraties (verwerkingen), overzichtslijst functioneel beheerders. Technische maatregelen voor systeemtoegang, autorisatiematrices. Beleidsdocument, classificatiesystematiek, procedures, overeenkomsten. Overzichtslijsten (leveranciers, bewerkers, derden partijen), overeenkomsten, technische beveiligingsmaatregelen, procedures. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35

20 beide partijen eenduidig beschreven zijn en waarin is opgenomen hoe gegevensuitwisseling veilig tot stand komt en hoe inzage en bewerking van de gegevens door bevoegden is geregeld. c. Beide partijen controleren de integriteit van de uit te wisselen gegevens en hebben procedures om niet integere gegevens te herstellen Fysiek transport van media Media die informatie bevatten, behoren te worden beschermd tegen onbevoegde toegang, misbruik of corrumperen tijdens transport buiten de fysieke begrenzing van de organisatie Elektronische berichtenuitwisseling Systemen voor bedrijfsinformatie Informatie die een rol speelt bij elektronische berichtuitwisseling behoort op geschikte wijze te worden beschermd. (NVZ 2010) Beleid en procedures behoren te worden ontwikkeld en te worden geïmplementeerd om informatie te beschermen die een rol speelt bij de onderlinge koppeling van systemen voor bedrijfsinformatie Diensten voor e-commerce E-commerce Informatie die een rol speelt bij e- commerce en die via openbare netwerken wordt uitgewisseld, behoort te worden beschermd tegen frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en modificatie Onlinetransacties Informatie die een rol speelt bij onlinetransacties behoort te worden beschermd om herhaling van transacties, onvolledige overdracht, onjuiste routing, onbevoegde wijziging van berichten, onbevoegde openbaarmaking, onbevoegde duplicatie of weergave van berichten te voorkomen. a. De organisatie heeft richtlijnen voor de omgang met gegevensdragers (media) tijdens transport binnen en buiten de organisatie. b. De organisatie voorziet waar nodig en mogelijk in technische hulpmiddelen om de toegang tot informatie op de gegevensdragers (media) te voorkomen. c. De organisatie communiceert de richtlijnen en maatregelen naar de interne en externe medewerkers en ziet toe op naleving (ze ook ). a. De organisatie beveiligt uitwisseling van elektronische berichten om kwaliteit en vertrouwelijkheid te beschermen (zie en ). a. De organisatie heeft (aansluitend op en ) kaders en richtlijnen voor koppelingen tussen systemen onderling en voor de externe gegevensuitwisseling. b. De organisatie heeft de rechten met betrekking tot maatwerkkoppelingen in eigendom verkregen of anderszins zeker gesteld. a. De organisatie voorziet in maatregelen om met betrekking tot (zorg)diensten onbevoegde wijziging of openbaarmaking van prijsopgaven, opdrachten, overeenkomsten en facturen te voorkomen. a. De organisatie voorziet in administratieve en technische controles om bij online transacties de identiteit van de betrokken partijen en de juistheid en volledigheid van de overgedragen gegevens of berichten te verifiëren. b. De organisatie voorziet in workflow en administratieve controles om de juiste routing zeker te stellen. c. De organisatie voorziet in beschermende maatregelen om onbevoegde wijziging, openbaarmaking, duplicatie of weergave van gegevens of berichten te voorkomen. Richtlijnen, procedures, technische hulpmiddelen. Richtlijnen, classificatiesystematiek, technische beschermingsmaatregelen. Beleidsdocument, kaders, richtlijnen, escrowovereenkomsten, aansluitvoorwaarden. Toegangsbeveiliging van portals, penetratietesten, rapportages. Procedures, technische maatregelen, logging, audittrails, observaties. Bijlage A. Beheersmaatregelen & Toetsingscriteria; beta-versie NIAZ/Norea 15 oktober van 35