Cursusdag ICT-standaarden in de zorg. Nieuwegein, 20 mei 2014

Transcriptie

1 Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014

2 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC

3 Inhoud Toelichting informatiebeveiliging Toelichting NEN 7510 Overige relevante normen Informatiebeveiliging Erasmus MC Afsluiting

4

5

6

7

8

9 Toelichting informatiebeveiliging

10 Wat is informatiebeveiliging? (1) Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Beschikbaarheid Integriteit Vertrouwelijkheid

11 Wat is informatiebeveiliging? (2) Identificatie en authenticatie Autorisatie Role based Access control

12 Waarom informatiebeveiliging? Patiëntveiligheid Beschikbaarheid, integriteit, vertrouwelijkheid Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. IGZ en CBP) Wet- en regelgeving (WGBO, WBP, NEN7510) Voorkoming van (financiële) schade Bescherming van het imago van de organisatie

13 Wet- en regelgeving - WBP Art. 13: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Patiëntgegevens zijn zogenaamde bijzondere gegevens Art. 21 WBP geeft regels voor de verwerking van patiëntgegevens (o.a. geheimhouding)

14 Wet- en regelgeving - WGBO Wet op de Geneeskundige Behandelingsovereenkomst (art. 446 t/m 468 Burgerlijk Wetboek) Behandelrelatie patiënt zorgverlener staat centraal Regelt onder andere: Dossierplicht zorgverlener (art. 454) Rechten patiënt (inzage, afschrift, aanvulling, correctie, afscherming, verwijdering en vernietiging) Beperking toegang dossier Vertrekking patiëntgegevens t.b.v. statistisch en wetenschappelijk onderzoek

15 Wetgeving Europese privacywetgeving Bestaande EU Data Protection Directive Nieuwe EU General Data Protection Directive Privacy by default/design Privacy Impact Assessment (PIA) Profiling Het recht om vergeten te worden Financiële sancties (1-5% bruto omzet)

16 Toelichting NEN 7510

17 Historie NEN Project van NEN en vertegenwoordigers uit de zorgsector 2004 uitgebracht als versie 1.0 Gebaseerd op Code voor Informatiebeveiliging Doel: handvat bieden voor implementatie informatiebeveiliging Versie 2.0 uitgebracht najaar 2011 Nadruk op managementsysteem en risicoanalyse

18 Risicoanalyse Risicoanalyse Inventariseer de informatiemiddelen Bepaal de waarde van de informatiemiddelen en afhankelijkheden ertussen Bepaal de bedreigingen Bepaal de kwetsbaarheden Inventariseer de bestaande en geplande maatregelen Beoordeel de risico s Bepaal af te dekken risico s Kies de maatregelen Restrisico aanvaarden? Nee Ja Informatiebeveilligingsbeleid Informatiebeveiligingsplan

19 Information Security Management System (ISMS) Interested Parties Belanghebbenden Plan Het Establish ISMS vaststellen Establish ISMS ISMS Interested Parties Belanghebbenden Do Het Implement ISMS implemen- Implement and and teren operate en operate the uitvoeren the ISMS ISMS Het ISMS Maintain bijhouden Maintain and and en verbeteren improve improve the the ISMS ISMS Act Eisen Information en verwachtingen security t.a.v. requirements informatiebeveiliging and expectations Het Monitor ISMS bewaken and en review beoordelen Monitor and review ISMS the the ISMS ISMS Check Beheerde Managed informatiebeveiliging security

20 NEN beheersmaatregelen Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitsbeheer Naleving

21 Voorbeeld beheersmaatregel Toegangsbeleid Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele, ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg.

22 Samenstelling NEN 7510 Combinatie van: Organisatorische maatregelen Technische maatregelen Fysieke maatregelen Gericht op: Bedrijfsprocessen Informatievoorziening Infomatietechnologie Geautomatiseerd en niet-geautomatiseerd

23 Certificatieschema NEN7510 Voorkomt van wildgroei schema s Stimuleert implementatie NEN7510 Bevordert transmurale zorg met ICT Vergroot zekerheid inzet externe partijen

24 Overige relevante normen NEN 7512, Vertrouwensbasis voor gegevensuitwisseling (in revisie) NEN 7513, Logging Vastleggen van actie op elektronische patiëntdossiers NEN 7521, Toegang tot patiëntgegevens Grondslagen voor uitwisseling (in ontwikkeling)..

25 Standaarden en organisaties ISO/TC 215, WG4, Privacy and Security CEN/TC 251, WG6, Health care, Security, Privacy, Quality and Safety ISO270xx (Information security) ISO27799 (ISM in Health using ISO 27002) ISO22301, Requirements BCMS ISO22313, Guidance BCMS ISO31000, Risk management Cobit, ITIL, BSIL, ASL, etc.

26 Informatiebeveiliging in het Erasmus MC

27 Missie Erasmus MC Het Erasmus MC staat voor een gezonde bevolking en excellente zorg door onderzoek en onderwijs. Het Erasmus MC is erkend leidend in innovaties voor gezondheid en zorg.

28 Toelichting Erasmus MC Onderdelen Erasmus MC - centrumlocatie Erasmus MC - Sophia Kinderziekenhuis Erasmus MC - Daniël den Hoed Kliniek Erasmus MC - faculteit Kengetallen Aantal klinische bedden: Aantal polikliniekbezoeken: p.j. Aantal operatiekamers: 30 Aantal medewerkers: Aantal studenten: 3.000

29 Uitgangspunten informatiebeveiliging Erasmus MC Iedereen heeft een rol bij informatiebeveiliging integrale managementverantwoordelijkheid Gestructureerde aanpak NEN-normen 7510, 7512 en 7513 en wet- en regelgeving Stimuleren beveiligingsbewustzijn bij management en medewerkers Aandacht voor informatiebeveiliging bij ontwikkeling en beheer van informatiesystemen Gedragscode voor medewerkers, inclusief sancties Toezicht op naleving Samenwerking met andere partijen, waaronder andere UMC s, NVZ en het NCSC

30 Managementsysteem voor informatiebeveiliging Beleidsvorming Monitoring, evaluatie en controle Risico- Analyse Implementatie Planvorming

31 Organisatie informatiebeveiliging Erasmus MC Lijnmanagement Coördinator Informatiebeveiliging Portefeuillehouder RvB CISO / IT Security Officer Functionaris Gegevensbescherming Computer Emergency Response Team Audit Overige betrokkenen Diverse overlegvormen Controle en rapportage via P&C-cyclus

32 De rol van de Security Officer Beheer informatiebeveiligingsbeleid, richtlijnen en standaarden Coördineren van de implementatie van informatiebeveiliging Communicatie en voorlichting Evaluatie, rapportage en advies

33 Communicatiecampagnes Presentaties management Personeelsblad Intranet Posters Toelichting in werkoverleg Introductie nieuwe medewerkers Controle van werkplekken Social engineering Meting van resultaten door enquête

34 Tien geboden voor informatiebeveiliging Houd wachtwoorden geheim Berg vertrouwelijke informatie op Beveilig uw werkplek bij (tijdelijke) afwezigheid Verstrek geen vertrouwelijke informatie ongecontroleerd aan derden Gebruik internet en op een goede manier Pas op bij het downloaden van bestanden, gebruik geen illegale programmatuur Wees je bewust wat je doet met social media Meld een beveiligingsincident aan de helpdesk, leidinggevende of Coördinator Informatiebeveiliging Wees voorzichtig met mobiele apparatuur (laptop, USB-stick, etc.) Sla gegevens op op het netwerk of zorg anders voor een goede back-up

35 Controle werkplekken

36 Tot slot (1) Valkuilen en aandachtspunten Management commitment Beveiliging is niet populair Verantwoordelijkheid in de lijn Balans vinden in risico en gebruikersgemak Balans vinden in continuïteit versus privacy Het is een zaak van lange adem, vereist continue aandacht

37 Tot slot (2) Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC, Universitair Medisch Centrum Rotterdam 's-gravendijkwal 230 Postbus CA Rotterdam Tel j.schoemaker@erasmusmc.nl Internet

38 Tot slot (3)