Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen

Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen

Toetsing plan van aanpak implementatie NEN 7510 van 71 ziekenhuizen Rapport bij project 109154, versie 01 Dit rapport is geschreven in opdracht van De Inspectie voor de Gezondheidszorg door de heer drs. P.L.T.M. (Patrick) van Eekeren, de heer ing. E.F. (Edwin) Mooij MISM en de heer J. (Joren) Roelofs MSc van M&I/Partners bv. Amersfoort,

Inhoudsopgave 1 Inleiding 3 1.1 Context 3 1.2 Opdracht 3 1.3 Leeswijzer 4 2 Verantwoording toetsingskader 5 3 Planmatige beoordeling 7 4 Inhoudelijke beoordeling 12 5 Individuele scores 19 6 Best practices 21 Bijlage 1 - Planmatig toetsingskader 22 Bijlage 2 - Inhoudelijk toetsingskader 23 Pagina 2 van 25

1 Inleiding 1.1 Context Informatiebeveiliging binnen de gezondheidszorg is de afgelopen jaren uitgegroeid tot een belangrijk thema, met als doel het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie die benodigd is om patiënten verantwoorde zorg te kunnen bieden. Om informatiebeveiliging in de zorg eenduidig te definiëren, is met de norm NEN 7510 een kader opgesteld. Naast het borgen van kwaliteitscriteria vereist deze norm dat de informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht, voordat kan worden gesproken over adequate informatiebeveiliging. Uit het eind 2008 gepubliceerde onderzoek Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm van de Inspectie voor de Gezondheidszorg (IGZ) en het College Bescherming Persoonsgegevens (CBP) blijkt dat van de 20 onderzochte ziekenhuizen de meeste nog niet aan de norm voldeden. Er was slechts een beperkt risicobewustzijn aanwezig en het merendeel van de ziekenhuizen had onvoldoende maatregelen getroffen voor de borging van informatiebeveiliging. Naar aanleiding van deze bevindingen heeft de IGZ deze 20 deelnemende ziekenhuizen een plan van aanpak gevraagd. In dat plan geeft deze groep ziekenhuizen aan wat wordt ondernomen om de geconstateerde tekortkomingen te verhelpen en op welke termijn. De overige Nederlandse ziekenhuizen zijn in de begeleidende brief van de IGZ van 13 november 2008 bij het geaggregeerde rapport over de 20 ziekenhuizen verzocht uiterlijk 1 februari 2009 een plan van aanpak voor invoering van de NEN 7510 aan te leveren. Daarnaast heeft de IGZ alle ziekenhuizen de verplichting opgelegd om in 2010 een externe audit te laten uitvoeren om te toetsen of zij aan de norm voor informatiebeveiliging (NEN 7510) voldoen. 1.2 Opdracht Op 29 mei 2009 heeft de IGZ aan M&I/Partners opdracht gegeven voor het toetsen van het plan van aanpak voor de invoering van de norm NEN 7510 van 71 ziekenhuizen. Deze plannen zijn door de ziekenhuizen aan de IGZ toegezonden in reactie op de brief van de IGZ van 13 november 2008. Bij de opdracht zijn de volgende aandachtspunten van belang: In het kader van de opdracht is, voorafgaande aan de beoordeling, een uniform toetsingskader opgesteld. Het toetsingskader omvat zowel de planmatige aspecten van de plannen van aanpak, als de NEN 7510 gerelateerde inhoud. Het toetsingskader is afgestemd met de IGZ. Feit is dat het toetsingskader is opgesteld, nadat de ziekenhuizen hun plannen aan de IGZ hebben toegezonden. Zij hebben derhalve bij het opstellen van de plannen van aanpak geen rekening kunnen houden met het toetsingskader. De toetsing heeft uitsluitend plaatsgevonden aan de hand van de plannen van aanpak en andere schriftelijke informatie die in reactie op de brief van de IGZ van 13 november 2008 door de ziekenhuizen aan de IGZ is toegezonden. Aan de hand van het toetsingskader is een objectief oordeel over deze plannen van aanpak gegeven. Afhankelijk van de mate waarin de schriftelijke informatie de feitelijke situatie aangaande informatiebeveiliging in een ziekenhuis weergeeft, zegt dit iets over de feitelijke status respectievelijk op korte termijn te verwachte ontwikkeling van de informatiebeveiliging. Pagina 3 van 25

Tijdens de toetsing zijn alle plannen op basis van het toetsingskader onafhankelijk van elkaar door twee adviseurs beoordeeld. Daar waar afwijkingen tussen de beoordeling bestonden zijn deze besproken en is een gezamenlijke score geformuleerd. Dit rapport bevat geen managementsamenvatting en/of conclusies. De IGZ communiceert de, voor wat haar betreft, belangrijkste bevindingen, evenals de daaraan door de IGZ te verbinden conclusies en acties in haar begeleidende brief, waarmee dit rapport aan de ziekenhuizen wordt aangeboden. 1.3 Leeswijzer Hoofdstuk 2 gaat in op het toetsingskader, waarvan een nadere uitwerking in Bijlage 1 en Bijlage 2 zijn te vinden. Hoofdstuk 3 geeft de beoordeling van het planmatig toetsingskader en hoofdstuk 4 van het inhoudelijk toetsingskader. In hoofdstuk 5 zijn de individuele scores van de 71 ziekenhuizen opgenomen. Tijdens de beoordeling van de plannen van aanpak is een aantal best practices geïdentificeerd. Deze zijn tot slot in hoofdstuk 6 opgenomen. Pagina 4 van 25

2 Verantwoording toetsingskader Voor het analyseren en beoordelen van de plannen van aanpak is een toetsingskader gehanteerd dat bestaat uit twee onderdelen. Enerzijds is de gehanteerde planmatige opzet, zoals beschreven in de plannen van aanpak, beoordeeld. Dit heeft geresulteerd in het verkrijgen van een goed beeld van de beheersbaarheid en de haalbaarheid van de plannen van aanpak. Anderzijds is de inhoud van de plannen van aanpak beoordeeld, met uiteraard als grondslag de norm NEN 7510. De IGZ is zich er van bewust dat het toetsingskader is opgesteld, nadat de plannen van aanpak door de ziekenhuizen zijn ingediend. Planmatig toetsingskader Het eerste toetsingskader is gericht op het toetsen van de planmatige opzet. Hierbij moet men denken aan het helder formuleren van doelstellingen, duidelijke fasering en een gedefinieerd resultaat. Op basis van de verstrekte gegevens in de plannen van aanpak is tevens een inschatting gemaakt van de haalbaarheid van deze plannen. Alle aspecten van het planmatig toetsingskader zijn beoordeeld met de scores Goed, Voldoende, Matig en Onvoldoende. De operationalisering van de scores verschilt per aspect en is nader toegelicht in Bijlage A. Met het planmatig toetsingskader is getoetst op de volgende aspecten: projectorganisatie; huidige situatie; doelstellingen; uitvoering; prioriteitstelling; planning; kosten en inzet; haalbaarheid; externe auditor. Met betrekking tot het gebruik van het woord plan van aanpak en projectorganisatie past nog een kanttekening. De norm NEN 7510 schrijft aangaande de wijze van invoering van de norm zelf niets voor. Dit kan vanuit de staande organisatie of met een specifieke projectorganisatie worden gedaan. Het beeld is wel dat veel ziekenhuizen nog een behoorlijke inspanning moeten leveren rond de invoering van de norm. Een tijdelijke extra inspanning in de vorm van een project kan daarbij helpen. Vervolgens kan het beheer en onderhoud van de informatiebeveiliging weer door de informatiebeveiligingsorganisatie worden opgepakt. Inhoudelijk toetsingskader Het tweede toetsingskader is gericht op de inhoudelijke aspecten van de norm NEN 7510. Om deze toetsing te kunnen uitvoeren is een mate van abstractieniveau gehanteerd waarbij geen gedetailleerde analyse van de plannen van aanpak is gegeven maar aandacht is besteed aan de belangrijkste aspecten van de norm. Ondanks dat de IGZ vooraf geen eisen heeft gesteld aan de plannen van aanpak, verwacht zij wel dat de ziekenhuizen aandacht besteden aan de basismaatregelen van informatiebeveiliging en heeft de plannen van aanpak hierop getoetst. Het gehanteerde normenkader is gebaseerd op de zogenaamde startnormen die door de NVZ zijn opgesteld, gecombineerd met de, wat in het Handboek NEN 7510 is genoemd, 12 belangrijkste stappen. Pagina 5 van 25

Met het inhoudelijk toetsingskader is getoetst op de volgende onderdelen: informatiebeveiligingsbeleid; informatiebeveiligingsproces; informatiebeveiligingsorganisatie; risicoanalyse; bewustwording; fysieke toegang tot systemen en ruimten; virusscanner, firewall en back-up; gegevensuitwisseling; online gegevens; autorisatie en wachtwoorden; technische achterdeuren; continuïteitsbeheer; bedrijfsdocumenten en persoonsgegevens; incidentmelding. Alle aspecten van het inhoudelijk toetsingskader zijn beoordeeld met de scores Goed, Voldoende, Matig en Niet benoemd. De score niet benoemd binnen het toetsingskader behoeft een extra toelichting. In het planmatig kader betekent deze categorie een onvoldoende score op het onderdeel, bij het inhoudelijk kader staat deze score voor een niet benoemd aspect. De IGZ sluit niet uit dat een ziekenhuis de maatregelen betreffende een aspect van de norm al geïmplementeerd en geborgd heeft, waardoor in het ingediende plan van aanpak hieraan geen aandacht meer is besteed. In een ander geval kan een ziekenhuis met onderbouwing aantonen dat een aspect niet van toepassing is op de organisatie en dat dit de reden is waarom het aspect in het plan van aanpak niet is benoemd. In beide gevallen scoort het ziekenhuis hetzelfde als een ziekenhuis dat geen aandacht heeft besteed aan het aspect. Ondanks dat inhoudelijke aspecten niet met de score onvoldoende beoordeeld worden, geeft deze score wel aan welke deelsaspecten van de norm onderbelicht blijven. Het operationaliseren van de scores binnen het inhoudelijk toetsingskader verschilt per aspect en wordt toegelicht in Bijlage B. Pagina 6 van 25

3 Planmatige beoordeling Algemene indruk Voordat de details van de analyse behandeld worden, wordt eerst een globale impressie van de plannen van aanpak gegeven. Figuur 1 geeft de score op de beoordeelde aspecten weer. De maximale score die met dit toetsingskader te behalen is bedraagt 27 punten (drie punten per aspect), de minimale score is nul. Gemiddeld zijn de plannen van aanpak met een score van 15,7 punten beoordeeld. De aspecten Uitvoering en Externe auditor hebben het beste gescoord. 85% Van de plannen geeft in voldoende mate inzicht in de activiteiten stappen die het ziekenhuis gaat uitvoeren om de informatiebeveiliging te verbeteren. Tevens maakt dit de plannen goed controleerbaar door een externe auditor. Op dit aspect scoort 90% van de plannen een voldoende of hoger. Het aspect Kosten en inzet scoort duidelijk minder goed, 80% van de ziekenhuizen haalt op dit punt geen voldoende. Dit betekent dat de meeste plannen van aanpak niet ingaan op de kosten en inzet, die gemoeid zijn met de invoering van de norm NEN 7510. De plannen zijn ook beoordeeld op de mate van haalbaarheid om in 2010 gereed te zijn voor een externe audit. Slechts 40% van de plannen krijgt op dit aspect de beoordeling voldoende of goed. Dit komt met name door het ontbreken van een inschatting van de financiële consequenties (waaronder mensinzet) en in sommige gevallen een ontbrekende dan wel beperkte prioriteitstelling. Figuur 1. Totaaloverzicht planmatig toetsingskader Pagina 7 van 25

1. Projectorganisatie De succesvolle afronding van een project staat of valt bij een gedegen projectorganisatie. Het is van belang dat de taken en verantwoordelijkheden van de projectleden bekend en vastgelegd zijn. In 70% van de plannen is een voldoende mate van projectorganisatie aanwezig. Dit houdt in dat bekend is welke personen het project uitvoeren en/of wie eindverantwoordelijk voor het project is. 28% van de plannen gaat nog een stap verder, hierin worden ook extra onderwerpen als rapportage, goedkeuring en ondersteuning benoemd. Uit de analyse blijkt dat in 16% van de plannen het project bij één persoon is belegd, zonder dat er een verdere projectorganisatie is benoemd. Informatiebeveiliging raakt de gehele organisatie en idealiter dient het projectteam hiervan een afspiegeling te zijn. Tot slot is in 14% van de plannen geen enkele vorm van projectorganisatie weergegeven. 2. Huidige situatie In een plan van aanpak wordt in het algemeen de huidige situatie (het vertrekpunt) in kaart gebracht. In het merendeel van de plannen (82%) wordt deze situatie adequaat in beeld gebracht. Veel ziekenhuizen gebruiken een quick scan om de huidige situatie in kaart te brengen. In 8% van de gevallen is niet helder waar de organisatie nu staat met betrekking tot informatiebeveiliging of wat ondernomen wordt om dit alsnog in kaart te brengen. 10% van de ziekenhuizen heeft in het plan van aanpak geen aandacht geschonken aan de huidige situatie. 3. Doelstellingen Over het algemeen zijn de doelstellingen helder geformuleerd. In 69% van de gevallen wordt het voldoen aan de norm en/of het behalen van certificering expliciet benoemd. 21% heeft andere doelstellingen geformuleerd, bijvoorbeeld het verbeteren van de patiëntveiligheid. Bij zeven ziekenhuizen ontbreken de doelstellingen in het plan van aanpak. In een aantal gevallen geven ziekenhuizen zelfs heldere definities over wat het ziekenhuis onder informatiebeveiliging verstaat en wat daar wel en niet onder valt. Veelal wordt dit beschreven in het informatiebeveiligingsbeleid van het ziekenhuis. Pagina 8 van 25

4. Uitvoering Van het plan van aanpak wordt verwacht dat duidelijk beschreven wordt welke activiteiten uitgevoerd worden om informatiebeveiliging binnen de instelling te verbeteren. Het overgrote merendeel (84%) heeft in voldoende mate aangegeven hoe ze aan de norm NEN 7510 willen gaan voldoen. Dit door middel van een gedetailleerd stappenplan of een goed onderbouwd stappenplan op hoofdlijnen. 42% heeft deze stappen belegd in de organisatie, meestal in de vorm van het aanwijzen van een eindverantwoordelijke. Deze plannen zijn als goed beoordeeld. De plannen van aanpak zijn als matig beoordeeld indien de stappen alleen op hoofdlijnen zijn benoemd. Omdat het hierbij niet mogelijk is om in te schatten hoe hier invulling aan gegeven wordt. Één ziekenhuis heeft deze stappen niet in kaart gebracht, wat resulteert in de score onvoldoende. 5. Prioriteiten Het voldoen aan de norm NEN 7510 bestaat niet uit het simpelweg in één keer implementeren van alle maatregelen. Dit is ook een uitkomst van het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm. Sommige maatregelen zijn belangrijker dan andere en daarom is getoetst op de mate waarin prioriteitstelling wordt toegepast. Uit 43% van de plannen blijkt dat belangrijke maatregelen eerst genomen worden. Vaak ligt hieraan een rapportage van een extern adviesbureau ten grondslag. Nog eens 17% van de plannen gaat nog een stap verder en hanteert een expliciete prioriteitstelling op basis van een uitgevoerde risicoanalyse. 20% van de plannen heeft wel een vorm van prioriteitstelling, maar onduidelijk is waarop deze gebaseerd is. Een aantal plannen (20%) beschrijft geen prioriteitstelling. Pagina 9 van 25

6. Planning Ook een duidelijke planning is een belangrijk onderdeel van het plan van aanpak. Over het totaal is in 80% van de plannen van aanpak een vorm van planning aangetroffen. In 14% van die plannen betreft het alleen een volgorde, zonder hier expliciete deadlines aan te verbinden. De grootste categorie (48%) werkt met een planning op hoofdlijnen (bijvoorbeeld op kwartaal niveau). 18% van de beoordeelde ziekenhuizen werkt met een gedetailleerde planning. 7. Kosten en inzet De kosten en inzet zijn in de meeste plannen van aanpak niet beschreven. Slechts in 10% van de plannen wordt het uitgebreid belicht. In deze plannen worden naast de out-of-pocket uitgaven ook het aantal interne mensuren begroot, die zijn gemoeid met de invoering van de NEN 7510. Daarnaast beperkt een verdere 18% van de plannen zich tot één van beide (of out-of-pocket uitgaven of inzet). In 72% van de plannen is geen aandacht besteed aan kosten, noch inzet. 8. Haalbaarheid Op basis van het plan van aanpak is ook een inschatting van de haalbaarheid gemaakt. Uit de beoordeling is geconstateerd dat 28% van de plannen niet binnen de gestelde termijn en/of beschikbare middelen realiseerbaar lijkt of dat haalbaarheid op basis van de in het plan van aanpak verstrekte informatie niet kan worden beoordeeld dan wel dat niet expliciet is aangegeven dat men streeft naar een externe audit in 2010. Verder zijn er bij 33% van de plannen twijfels of de doelstellingen te realiseren zijn. In deze situatie geeft het plan van aanpak vaak geen duidelijkheid over de menscapaciteit en de middelen die benodigd zijn om de beoogde planning te realiseren, of is de planning als ambitieus beoordeeld. 35% van de plannen bevat voldoende basis om de plannen als haalbaar in te schatten. 4% van de ziekenhuizen zijn ver gevorderd met de implementatie van de norm. Pagina 10 van 25

9. Externe auditor Er is ook gekeken naar de mate waarin achteraf een controle op het plan van aanpak kan plaatsvinden. Dit hangt sterk af van de hoeveelheid resultaten en producten die in het plan van aanpak zijn gespecificeerd. In het merendeel van de plannen (75%) is meer dan tien maatregelen/ producten gevonden waarop een auditor zijn controle kan baseren. In 16% zat dit aantal tussen de vijf en tien. 9% van de plannen bevat minder dan vijf van deze maatregelen/producten en is daarmee lastig achteraf te controleren. Dit resulteert in een matige of onvoldoende beoordeling. Pagina 11 van 25

4 Inhoudelijke beoordeling Algemene indruk De plannen van aanpak verschillen sterk in de mate van diepgang. Sommige ziekenhuizen schetsen de aanpak in hoofdlijnen, zonder daarbij inhoudelijk dieper in te gaan op de norm NEN 7510. Andere plannen beschrijven de maatregelen heel inhoudelijk en nemen daarbij de norm NEN 7510 als uitgangspunt. Hierdoor is er ook een grote spreiding in de scores van het inhoudelijk kader. Met het inhoudelijk toetsingskader is de maximale score van 42 punten te behalen (drie per aspect), het minimum ligt op nul. De plannen zijn beoordeeld met een gemiddelde score van 22,3 punten, de hoogste score is 39 punten en de laagste drie. In het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm heeft de IGZ samen met het CBP een aantal bevindingen over informatiebeveiliging gedeeld met de ziekenhuizen. Deze bevindingen en de daaraan verbonden conclusies zijn vaak opgenomen in de plannen. Het informatiebeveiligingsbeleid is bij veel ziekenhuizen inmiddels opgesteld en in 35% van de gevallen wordt al over naleving en de controle daarop gesproken. De risicoanalyse is een instrument dat veelvuldig gebruikt wordt om de risico s omtrent informatiebeveiliging in kaart te brengen. Slechts 10% van de plannen vermeldt geen risicoanalyse. Daarnaast begint de organisatie van de informatiebeveiliging ook gestalte te krijgen. 96% van de ziekenhuizen geeft, in verschillende gradaties, de informatiebeveiligingsorganisatie vorm. Het gebrek aan bewustzijn met betrekking tot informatiebeveiliging is ook goed opgepakt, meer dan 80% van plannen schenkt hier aandacht aan. Naast deze bevindingen is er ook een aantal aspecten dat onderbelicht is gebleven. Het beveiligen van online gegevens krijgt onvoldoende aandacht in de plannen van aanpak. Mogelijk komt dit doordat nog niet ieder ziekenhuis gegevens (publiek) online beschikbaar stelt. Indien wel van toepassing dan dient het plaatsen van online gegevens beveiligd te zijn en dient men over passende procedures te beschikken. Ook het testen op technische achterdeuren krijgt onvoldoende aandacht. Tot slot valt op dat het beveiligingen van persoonsgegevens, waarop de Wet Bescherming Persoonsgegevens van toepassing is, in de meeste plannen nog onvoldoende aandacht krijgt. Figuur 2 geeft een totaalbeeld van de scores op het inhoudelijk toetsingskader. Figuur 2. Totaaloverzicht inhoudelijk toetsingskader Pagina 12 van 25

10. Informatiebeveiligingsbeleid Eén van de conclusies van het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is dat systematisch beveiligingsbeleid in veel gevallen ontbreekt. Naar aanleiding van de analyse kunnen we stellen dat op dit gebied een aardige inhaalslag gemaakt is. Slechts in twee plannen wordt het informatiebeveiligingsbeleid niet benoemd als product of onderdeel van het plan van aanpak. De overige 97% vermeldt wel het informatiebeveiligingsbeleid. In 39% van de plannen wordt het informatiebeveiligingsbeleid officieel vastgesteld door de raad van bestuur. Nog eens 35% van de plannen vermeldt ook naleving en/of periodieke evaluatie van het informatiebeveiligingsbeleid. In een aantal gevallen is het beleid zelfs meegestuurd ter ondersteuning van het plan van aanpak. Norm NEN 7510 hoofdstuk 6.1.1 en 6.1.2 11. Informatiebeveiligingsproces Informatiebeveiliging binnen een ziekenhuis is geen eenmalige exercitie maar een continu proces. Om dit proces gestructureerd te laten plaatsvinden, moet het gedefinieerd en omschreven worden. Toch wordt in 17% van de plannen het informatiebeveiligingsproces niet genoemd. In de plannen waarin het proces wel aan bod komt, wordt het omschreven in verschillende gradaties. In 17% van de gevallen wordt dit proces alleen beschreven, inbedding in de organisatie is dan onduidelijk. In 29% van de plannen wordt informatiebeveiliging als bedrijfsproces ingericht waarbij meestal gebruik wordt gemaakt van de plan-do-check-act cyclus. Ziekenhuizen die het proces vervolgens borgen in bijvoorbeeld een bestaand kwaliteitsysteem of jaarrapportage zijn als goed beoordeeld. Dit betreft 37% van de plannen. Norm NEN 7510 hoofdstuk 6.1.1 en 6.1.2 Pagina 13 van 25

12. Informatiebeveiligingsorganisatie Een andere belangrijke conclusie van het rapport van de IGZ en het CPB was het ontbreken van een duidelijke organisatiestructuur voor de borging van de informatiebeveiliging: De verantwoordelijkheid voor informatiebeveiliging is nog niet voldoende ingebed in de organisatie van ziekenhuizen. Uit de analyse wordt duidelijk dat de ziekenhuizen al meer aandacht hebben gegeven aan de organisatie van de informatiebeveiliging en de verdeling van verantwoordelijkheden. 52% benadert informatiebeveiliging ziekenhuisbreed en 23% van de ziekenhuizen heeft de organisatie ondergebracht in een projectgroep. Bij 21% van de ziekenhuizen is uitsluitend één persoon aangewezen als verantwoordelijke en bij 4% komt de informatiebeveiligingsorganisatie niet aan bod. Norm NEN 7510 hoofdstuk 6.1.3 13. Risicoanalyse Bijna alle ziekenhuizen hebben al een risicoanalyse uitgevoerd of hebben de uitvoering ervan gepland. In 8% van de plannen is een risicoanalyse niet benoemd. 45% van de ziekenhuizen stelt een beveiligingsplan op of heeft het al opgesteld naar aanleiding van een risicoanalyse en nog eens 41% geeft aan prioriteiten te stellen naar aanleiding van de uitgevoerde risicoanalyse. Norm NEN 7510 hoofdstuk 6 Pagina 14 van 25

14. Bewustwording In het onderzoek Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is reeds de conclusie getrokken dat bewustwording van informatiebeveiliging bij de medewerkers belangrijk is voor de effectiviteit van beveiligingsmaatregelen. 15% van de ziekenhuizen heeft dit aspect niet opgenomen in het plan van aanpak. Nog eens 16% heeft de importantie alleen maar benoemd, maar heeft geen plan opgesteld. In het merendeel van de gevallen is meer dan voldoende aandacht besteed aan de bewustwording van informatiebeveiliging. In een aantal ziekenhuizen is bewustwording zelfs één van de hoofdthema s in het plan van aanpak. Norm NEN 7510 hoofdstuk 8.2.2 15. Fysieke toegang tot systemen en ruimten In 24% van de plannen van aanpak is geen aandacht geschonken aan de fysieke beveiliging van ruimten. 21% van de plannen spreekt over fysieke ruimten zonder specifiek in te gaan op de computerruimten of andere ruimten. 20% van de plannen beperkt zich tot het beveiligen van computerruimten en in 35% wordt het beveiligen van zowel de computerruimten als andere fysieke ruimten beschreven. Norm NEN 7510 hoofdstuk 9.1, 9.1.2 en 9.2 16. Virusscanner, firewall en back-up De beveiligingsmaatregelen met betrekking tot virusscanner, firewall en back-up zijn apart gemeten. Indien een plan de drie aspecten bevat dan is een score goed toegekend(28%). Bij twee van de drie aspecten een score voldoende (16%) en bij één aspect een score matig (14%). 42% heeft geen van deze basismaatregelen in deze genoemd in de plannen van aanpak. Norm NEN 7510 hoofdstuk 10.4.1, 10.5.1 en 10.6.1 Pagina 15 van 25

17. Gegevensuitwisseling In het rapport Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm is eveneens aandacht besteed aan gegevensuitwisseling, vooral met derden buiten de organisatie. Eén van de conclusies uit het rapport luidt: Contracten voor de gegevensuitwisseling zijn maar in beperkte mate afgesloten. Hierdoor zijn verantwoordelijkheden van verschillende partijen niet altijd duidelijk. In de huidige plannen is met betrekking tot het onderwerp gegevensuitwisseling een duidelijke tweedeling waar te nemen. 41% van de plannen scoort goed op dit thema en stelt overeenkomsten/contracten op m.b.t. gegevensuitwisseling. 39% van de plannen behandelt gegevensuitwisseling niet. Een mogelijke reden kan hiervoor zijn dat gegevensuitwisseling met externen nog beperkt plaatsvindt. In de overige plannen wordt gegevensuitwisseling alleen benoemd(7%) of worden alleen procedures opgesteld(13%). Norm NEN 7510 hoofdstuk 10.8.2 18. Online gegevens Één van de startnormen van de NVZ heeft betrekking op het online plaatsen van gegevens. Dit houdt in dat 1. online beschikbare gegevens beveiligd worden en dat 2. de taken en bevoegdheden over het online plaatsen van gegevens bekend en georganiseerd zijn. 73% van de plannen van aanpak besteedt geen aandacht aan dit aspect. 10% geeft aan alleen de taken, bevoegdheden en verantwoordelijkheden te organiseren. In 6% van de plannen worden alleen de online gegevens beveiligd en 11% van de gevallen implementeert beide maatregelen. Norm NEN 7510 hoofdstuk 10.8.8 Pagina 16 van 25

19. Autorisatie en wachtwoorden Het autorisatiebeheer en wachtwoorden zijn thema s die veelvuldig terugkomen in de plannen. In 17% van de plannen echter worden ze niet benoemd. 27% benoemt één van beide thema s, 9% alleen wachtwoorden en 18% alleen autorisaties. De meerderheid van de plannen (56%) behandelt beide deelaspecten. Norm NEN 7510 hoofdstuk 11.3 en 11.2.6 20. Technische achterdeuren Het opsporen en sluiten van technische achterdeuren (en kwetsbaarheden) binnen systemen en netwerken wordt in 18% van de plannen geadresseerd. 10% focust zich op informatiesystemen en 6% test het netwerk. Het merendeel van de plannen (66%) laat deze beveiligingsmaatregelen onbenoemd. In de meeste gevallen wordt voor het ontdekken van deze kwetsbaarheden een scan op informatiebeveiliging uitgevoerd, in enkele plannen is dit opgenomen als structurele (periodieke) activiteit. Norm NEN 7510 hoofdstuk 12.1.1, 12.4.3 en 12.5.4 21. Continuïteitsbeheer In 30% van de plannen is het thema van continuïteitsbeheer niet benoemd. In 8% van de plannen wordt het thema wel benoemd maar onder een andere benaming zoals cluster of redundantie. 31% van de plannen geeft aan procedures met betrekking tot continuïteit te realiseren. Nog eens 31% behandelt naast het opstellen van de procedures ook het testen en actualiseren van deze procedures. Norm NEN 7510 hoofdstuk 13 Pagina 17 van 25

22. Bedrijfsdocumenten en persoonsgegevens De beveiliging van bedrijfsdocumenten en persoonsgegevens is het aspect dat in 51% van de plannen van aanpak niet benoemd wordt. In 15% van de plannen van aanpak wordt alleen de beveiliging van bedrijfsdocumenten genoemd. 11% geeft aan maatregelen te nemen om persoonsgegevens te beschermen. 23% scoort een goed en behandelt beide aspecten in de plannen. Uiteraard is de Wet Bescherming Persoonsgegevens (WBP) leidend voor het verwerken van persoonsgegevens. Norm NEN 7510 hoofdstuk 14.1.3 en 14.1.4 23. Incidentmelding De registratie van beveiligingsincidenten maakt in de meeste gevallen deel uit van het ingediende plan van aanpak. 20% van de plannen beschrijft een procedure voor de registratie van beveiligingsincidenten. 53% gaat verder en behandelt ook organisatorisch aspecten zoals incidentafhandeling en rapportage. In 3% van de plannen van aanpak is alleen de organisatie weergegeven. In de laatste 24% van de plannen wordt geen aandacht besteed aan beveiligingsincidenten. Norm NEN 7510 hoofdstuk 15.2.1 Pagina 18 van 25

5 Individuele scores Op basis van het toetsingskader zijn in onderstaande tabel de individuele scores van de ziekenhuizen opgenomen. De officiële benaming die de IGZ hanteert is als vertrekpunt genomen met in voorkomende gevallen de plaats van (hoofd) vestiging tussen haakjes. Pagina 19 van 25

Pagina 20 van 25

6 Best practices Tijdens de beoordeling van de plannen van aanpak is een aantal best practices geïdentificeerd. Deze best practices zijn kort en bondig geformuleerd en kunnen worden beschouwd als aanbeveling en als handreiking voor de ziekenhuizen die verder met de invoering van de NEN 7510 aan de slag gaan. Planmatig 1. Een projectmanagement methodiek, zoals Prince2, blijkt een uitstekend hulpmiddel te zijn voor het te doorlopen proces om de informatiebeveiliging van een ziekenhuis op een adequaat niveau te verkrijgen. Het werken conform een projectmanagement methodiek dwingt een goed gedefinieerd project af, legt een duidelijk begin en eindpunt vast en is van het begin tot het einde goed te beheersen. Bij het afronden van het project worden de activiteiten overgedragen naar de staande organisatie voor de continue borging van informatiebeveiliging binnen het ziekenhuis. 2. Een duidelijk beschreven projectorganisatie, waarin verschillende delen van de organisatie betrokken zijn, met duidelijk beschreven taken en verantwoordelijkheden. Tevens beschikt projectorganisatie over voldoende ondersteunende capaciteiten en zijn de rapportage structuren helder. 3. Opstellen van een realistische planning m.b.t. de invoering van de maatregelen. Daarbij wordt rekening gehouden met de benodigde menscapaciteit en middelen. 4. Periodiek bewaken van de voortgang van het project. 5. Duidelijk formuleren van de doelstelling wanneer het ziekenhuis klaar is voor een verplichte externe audit op de norm NEN 7510. Inhoudelijk 1. Toekennen van de taken, verantwoordelijkheden en bevoegdheden aan verschillende functionarissen in de organisatie die het bedrijfsproces informatiebeveiliging uitvoeren. 2. Toepassen van de plan-do-check-act cyclus om informatiebeveiliging als een regulier bedrijfsproces aan de bestaande bedrijfsprocessen toe te voegen. 3. Aandacht besteden aan de naleving van het informatiebeveiligingsbeleid. 4. Hanteren van eenduidige definities van begrippen als informatiebeveiliging en incidenten, alsmede een heldere scope van informatiebeveiliging binnen het ziekenhuis. 5. Uitvoeren van een awareness programma, ondersteund door een passend communicatieplan, om de bewustwording over informatiebeveiliging binnen de organisatie te vergroten en het draagvlak te verkrijgen voor de maatregelen die getroffen worden om de informatiebeveiliging te verbeteren. Deze programma s kunnen speerpunt zijn van het plan van aanpak om hiermee de importantie aan te geven. 6. Gebruik maken van de NVZ-startnormen als een referentie voor de normonderdelen van de NEN 7510 waaraan in 2009 minimaal voldaan moet worden. 7. Gebruik maken van het Handboek NEN 7510 waarin een subset van de normonderdelen van NEN 7510 als prioriteit wordt aangegeven. 8. Gebruik maken van de NVZ-NEN 7510 monitor voor het in kaart brengen van de status van informatiebeveiliging en de voortgang over verschillende periodes. 9. Uitvoeren van periodieke risicoanalyses op basis waarvan inzicht wordt verkregen in de maatregelen die (met prioriteitstelling) nog getroffen moeten worden. 10. Toekennen van een status aan de maatregelen: afwezig/aanwezig/operationeel en geborgd. Pagina 21 van 25