NEN 7510: een ergernis of een hulpmiddel?

Transcriptie

1 NEN 7510: een ergernis of een hulpmiddel? Tweedaagse van Ineen 17 September 2015 Nijmegen Den Haag

2 SMASH en CIHN in cijfers i. 3 huisartsenposten/1 call center 2 huisartsenposten/ 1 call center ii. 4 visitewagens 4 visiteauto s iii. 690 huisartsen (incl. waarnemers) 450 huisartsen (incl. waarnemers) iv. 64 doktersass. (triagisten/ postassistenten) 85 doktersass. (triagisten, suda, hoda, coda) v. 15 VS en 4 VS i.o. vi. 15 MA (Visites) vii. patiëntenbestand van patiënten viii contacten/per jaar contacten per jaar - 42% telefonische consulten 41% telefonische consulten - 51% consulten (incl zelfverwijzers) 49% consulten (incl zelfverwijzers) - 7% visites 10% visites

3 Inhoud 1. Doel van IB 2. De Norm 3. Projectplan 4. Borging continuïteit (going concern) 5. Vragen 6. Stellingen

4 Wat is het? Informatiebeveiliging is een samenhangend stelsel van procedures en maatregelen dat er op gericht is de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen. Systeem en vooral menselijk gedrag!!

5

6 Waarom?

7 Waarom IB? Veilige zorg voor patiënten wordt omschreven als: het (nagenoeg) ontbreken van (de kans op) aan de patiënt toegebrachte schade (lichamelijk en/of psychisch) ontstaan door het niet volgens de professionele standaard handelen van hulpverleners en/of door tekortkomingen van het zorgsysteem. Bron: CBO Uitgangspunten: 1. Professioneel handelen; 2. Streven naar het ontwerpen van een veilig systeem waardoor fouten worden voorkomen of niet meer leiden tot (onherstelbare) schade.

8 Veilig zorgsysteem = afhankelijk van medische informatie

9 En ook Meer bewustwording van de maatschappelijke, financiële en politieke risico s die incidenten met zich meebrengen; Informatie is onderdeel van onze core business: medische dossiers (BIV) Niet goed beveiligen van informatie kan ernstige imagoschade of directe schade opleveren voor de instelling. Strenge eisen vanuit stakeholders (ZV, CBP, patiëntverenigingen) Wetgever die steeds strengere eisen stelt die bovendien voorzien gaan worden van forse boeteclausules

10 De norm: NEN 7510 Volgens deze norm waarborgt een optimale informatiebeveiliging de beschikbaarheid, integriteit en vertrouwelijkheid van de (medische) informatie. I. Beschikbaarheid betekent dat informatie(systemen) beschikbaar zijn op de juiste momenten. II. III. Integriteit betekent het waarborgen van de correctheid en de volledigheid van de informatieverwerking (dossiervorming). Vertrouwelijkheid betekent dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.

11 Projectplan Stap 1: Projectteam; Zorg voor betrokkenheid, ondersteuning en goedkeuring van RvB/MT voor initiëren IBMS project en goede projectstructuur Stap 2: Bestudeer de NEN 7510 Stap 3: Verklaring van toepasselijkheid Stap 4: Bepaal het beleid voor informatiebeveiliging Stap 5: Stel een methode voor risicobeoordeling vast Stap 6: Identificeer, analyseer en beoordeel de risico s Stap 7: Bepaal de beheersmaatregelen en -doelstellingen voor de risicobehandeling Stap 8: Maak het definitieve IBMS implementatieplan Stap 9: Train het personeel en wijs middelen toe Stap 10: Voer interne audits, directiebeoordelingen en verbeteringen uit Stap 11: Start het certificatietraject tijdig en overweeg een proefaudit

12 Stap 1: Project(team) I. Verantwoordelijke (security officer); II. Coördineerde rol (security coördinator); III. Incident manager; IV. Lijnmanagers; V. Vakinhoudelijke kennis. SMASH = Stuurgroep IB : directeur, coördinator IB, IT service manager, teamleiders en externe consultant. CIHN = NEN projectgroep: directeur, kwaliteitsfunctionaris, ICT-adviseur, P&O functionaris, locatiemanagers

13 Stap 2: de Norm 5. Beveiligingsbeleid 6. Organisatie van informatiebeveiliging 7. Beheer van Bedrijfsmiddelen 8. Personeel 9. Fysieke beveiliging en beveiliging van de omgeving 10. Beheer van communicatie- en bedieningsprocessen 11. Toegangsbeveiliging 12. Verwerving, ontwikkeling en onderhoud van informatiesystemen 13. Beheer van informatiebeveiligingsincidenten 14. Bedrijfscontinuïteitsbeheer 15. Naleving

14 Stap 3: Verklaring van Toepasselijkheid NEN7510:2011 Selectie van beheersmaatregelen 7. Beheer van Bedrijfsmiddelen Geselecteerd? Ja Nee Argumentatie uitsluiting Uitsluiting geaccepteerd? Ja Nee 7.1 Verantwoordelijkheid voor bedrijfsmiddelen Inventarisatie van bedrijfsmiddelen Verantwoordelijken voor de bedrijfsmiddelen Aanvaardbaar gebruik van bedrijfsmiddelen 8. Personeel 8.1 Voorafgaand aan het dienstverband Rollen en verantwoordelijkheden Screening Arbeidsvoorwaarden 10.3 Systeemplanning en -acceptatie Capaciteitsbeheer Systeemacceptatie Systeembeheer is uitbesteed; IB maakt deel uit van 6.2.3, 10.2 en

15 Stap 4: Beleid voor informatiebeveiliging (en alle onderliggende relevante documenten) Relevante wet- en regelgeving Fysieke en digitale toegang Autorisatie en logging Selectie en beoordeling leveranciers Bedrijfsmiddelen, eigenaarschap, beheer

16 Stap 5,6,7: Risicomanagement

17 Risicoanalyse

18 De BIA (Business Impact Analysis)

19 Stap 8 Implementatieplan Kennis Vaardigheden Gedrag 9. Training en middelen

20 Stap 10: IB activiteiten 1. Interne audits 2. Incident management 3. Gedrag en bewustwording medewerkers 4. Continu verbeteren (nieuwe risico s en maatregelen, up to date houden documenten. Leveranciersbeoordeling, directiebeoordeling)

21 Stap 11: De externe audit

22 Voorbeeld externe audit agenda Openingsvergadering met het management: uitleg geven over de omvang van de audit, de audit methodiek en rapportage. Management & organisatie Beleid en doelstellingen informatiebeveiliging; directiebeoordeling; corrigerende maatregelen; procesverbetering en preventieve maatregelen; continu verbeteren. IB prestatie-indicatoren; beoordeling effectiviteit van de informatiebeveiliging, Informatiebeveiligingsbeleid, verantwoordelijkheden, coördinatie, externe partijen (Teamleider) 2 de auditor 8. Personeel 15. Naleving 7. Beheer van bedrijfsmiddelen, 10. Beheer communicatie en bedieningsprocessen Risicoanalyse, VVT 11. Logische toegangsbeveiliging 6.2 Organisatie van informatiebeveiliging externe partijen overeenkomsten Mondelinge terugkoppeling van de bevindingen tot nu toe Bezoek 1 callcenter of huisartsenpost Bezoek 2 callcenter of huisartsenpost Bezoek 3 callcenter of huisartsenpost Bezoek 4 callcenter of huisartsenpost

23 Dag 2 Teamleider 2 de auditor Rapportage vorige dag 9. Fysieke beveiliging 12. Verwerving, ontwikkeling en onderhoud van informatiesystemen 13. Beheer van informatiebeveiligingsincidenten 14 Bedrijfscontinuïteitsbeheer 4.7 Documentatie ISMS Interne audit en de verbetercyclus Eindbespreking met het management: een samenvatting van de bevindingen en de aanbevelingen.

24 Samenvatting

25 Lessons learned Veiligheid versus werkbaarheid (laat je een computer na 5 minuut automatisch uitloggen/locken?) Betrek de eindgebruiker bij veiligheidsvraagstukken, zodat de werkbaarheid gegarandeerd blijft Maak medewerkers bewust dat informatiebeveiliging onderdeel is van veilige zorg De veilige keuze moet de makkelijke keuze zijn. Veilig werken moet onderdeel zijn van de cultuur: medewerkers moeten veilig willen werken Continue aandacht is van belang en zorg dat mensen snappen waarom iets niet mag of kan (anders krijg je work-arounds) Redeneer vanuit je eigen perspectief: wat zou je doen als het jouw gegevens waren? Uitbesteden heeft zijn voordelen

26 Tips Werken met 7510: /7510_sec_foreword_kop BDO Zorg Informatie Beveiligingsscan eveiligingsscan_2015.pdf Gebruik maken van wat al elders ontwikkeld is!

27 Ergernis of hulpmiddel? Voor de CIHN: Medische/persoonlijke gegevens zijn in veilige handen; medewerkers zijn zich bewust van het feit dat zij zorgvuldig om moeten gaan met gegevens van anderen en handelen daar naar. Bewust omgaan met risico s en maatregelen nemen om te voorkomen Restrisico s zijn inzichtelijk en worden geaccepteerd. Voor SMASH: NEN 7510 biedt een leidraad en vertrouwensbasis voor veilige omgang met informatie in de gezondheidszorg.

28 Vragen