Ontwerp norm NEN

Vergelijkbare documenten
Vervangt NEN-EN :2000 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt NEN 913:1963; NEN 913:1998 Ontw. Nederlandse norm. NEN 913 (nl) Melk en vloeibare melkproducten - Bepaling van de titreerbare zuurtegraad

Nederlandse voornorm NAD-NVN-ENV (nl)

Voorbeeld. norm NEN-EN Preview. Ontwerp

Hoe operationaliseer ik de BIC?

Voorbeeld. Preview. NEN-IEC /A2 (en; fr) Wijzigingsblad. Nederlandse

Vervangt NEN-EN :1997; NEN-EN :1999 Ontw. Nederlandse norm. NEN-EN (en)

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN 3576 (nl) Beglazing van kozijnen, ramen en deuren Functionele eisen

Vervangt CR :1996; NEN-EN :2003 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt NEN-EN 50182:1994 Ontw. Nederlandse norm. NEN-EN (en)

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Nederlandse norm. NEN-EN (en) Lichtmasten - Deel 3-2: Ontwerp en verificatie - Verificatie door beproeving

(en; fr) Matten van isolerend materiaal voor elektrotechnische doeleinden (IEC 61111:1992,MOD,IEC 61111:1992/C1:2000,MOD)

Nederlandse norm. NEN 6578 (nl) Water - Potentiometrische bepaling van het totale gehalte aan totaal fluoride

Verklaring van Toepasselijkheid

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Nederlandse norm. NEN 5087/A1 (nl) Inbraakveiligheid van woningen - Bereikbaarheid van dak- en gevelelementen: deuren, ramen en kozijnen

Nederlandse praktijkrichtlijn NPR (nl) Evenementen - Hijs- en heftechniek - Veiligheidsfactoren voor hijs- en hefmiddelen

Nederlandse norm NEN Dit document mag slechts op een stand-alone PC worden geïnstalleerd. Gebruik op een netwerk is alleen.

NTA 2581 (nl) Opstellen van meetrapporten volgens NEN Nederlandse technische afspraak ICS ;

Nederlandse norm. NEN 5754 (nl) Bodem - Berekening van het gehalte aan organische stof volgens de gloeiverliesmethode

Soil - Investigation, sampling and analysis of asbestos in soil augustus 2006 ICS

Vervangt NEN-EN :2001. Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN-EN-ISO 4287 (en)

Voorbeeld. norm NEN 2559/A2 Onderhoud van draagbare blustoestellen. Preview. Wijzigingsblad

Nederlandse praktijkrichtlijn. NPR-CLC/TR (en) Leidraad voor de toepassing van de Europese norm EN (NEN-EN 50160)

HKZ-certificatieschema > zzp ers in zorg en welzijn

NEN (nl) Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN /A1 (nl)

Nederlandse norm. NEN 6702/A1 (nl) Technische grondslagen voor bouwconstructies - TGB Belastingen en vervormingen

Nederlandse norm. NEN-ISO /A1 (en)

Vervangt NEN-EN :1994; NEN-EN :1994/Ontw. A1:1997. Nederlandse norm. NEN-EN (en)

Voorbeeld. norm NEN-ISO Preview

Nederlandse norm NEN-IEC /A2. (en; fr)

Nederlandse norm. NEN 6633/A1 (nl) Water en (zuiverings)slib - Bepaling van het chemisch zuurstofverbruik (CZV)

Vervangt NPR 3749:1993; NPR 3749:2004 Ontw. Nederlandse praktijkrichtlijn. NPR 3749 (nl)

Nederlandse norm. NEN (nl) Zetsteen - Deel 2: Zetsteen van cementbeton, zonder interlocking en zonder wapening

Voorbeeld. norm. Preview. NEN-ISO/IEC 18004/C1 (en) Correctieblad

Nederlandse norm. NEN (nl) Schuldhulpverlening - Deel 2: Eisen aan schuldhulpverleners

Vervangt NEN 6814:1999 Ontw. Nederlandse norm. NEN 6814 (nl)

Voorbeeld NËN : ISÖ3903. Preview. Nederlandse. Scheepsbouw en maritieme constructies. Gewone rechthoekige scheepsramen (ISO 3903:1993)

Power cables with XLPE insulation and PVC sheath, with special fire performance and having a rated voltage of 0,6/1 kv mei 2004 ICS

Fire safety of larger fire compartments - Risk approach juni 2016 ICS

Vervangt NEN-EN-IEC :1998. Nederlandse norm. NEN-EN (en)

Voorbeeld. Preview. norm. NEN-ISO/IEC /C2 (en) Correctieblad

Ontwerp norm NEN

Nederlandse norm. NEN-ISO 16039/A1 (en)

Vervangt NEN-EN :1998 Ontw.; NEN-EN 50061:1991,deels; NEN-EN 50061:1991/A1:1995,deels; NEN-EN 50061:1991/A1:1995/C1:1995,deels

Vervangt NEN-EN 50248:1998; NEN-EN 50248:1999 Ontw. Nederlandse norm. NEN-EN (en) Kenmerken van DAB-ontvangers. Characteristics of DAB receivers

Nederlandse norm. NEN 3140/A1 (nl) Bedrijfsvoering van elektrische installaties Laagspanning. Operation of electrical installations Low voltage

Nederlandse norm. NEN 5706 (nl) Richtlijnen voor de beschrijving van zintuiglijke waarnemingen tijdens de uitvoering van milieukundig bodemonderzoek

Samen met NEN-ISO 68-1:1999 vervangt deze norm NEN 81:1982. Nederlandse norm NEN-ISO 724

Vervangt NEN-EN 50402:2003 Ontw. Nederlandse norm. NEN-EN (en)

Voorbeeld. Preview. NPR 13201/A1 (nl) Nederlandse praktijkrichtlijn. Openbare verlichting Kwaliteitscriteria. Public lighting Quality criteria

Ontwerp norm NEN 7909

Nederlandse norm. NEN 2025 (nl) Communicatie bij het werken met hijs- en hefwerktuigen. Communication for the guidance of cranes and hoisting gear

Nederlandse norm. NEN-ISO /A1 (en)

Nederlandse praktijkrichtlijn. NPR 3471 (nl) Keuze, gebruik, verzorging en onderhoud van kleding met hoge zichtbaarheid

Nederlandse norm. NEN 8078 (nl) Voorziening voor gas met een werkdruk tot en met 500 mbar - Prestatie-eisen - Bestaande bouw

Nederlandse norm. NEN-EN-ISO (nl) Bouwkundige tekeningen - Aanduidingssystemen - Deel 2: Ruimtenamen en -nummers (ISO :1998)

Nederlandse norm NEN 4001+C1. (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Voorbeeld. norm. Preview. NEN 1006/A1 (nl) Wijzigingsblad. Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002)

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Voorbeeld. norm NEN 1006/A3 Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002) Preview. Ontwerp. Publicatie uitsluitend voor commentaar

Vervangt NPR 3637:1994. Nederlandse praktijkrichtlijn NPR 3637

Nederlandse norm. NEN-EN (en)

Nederlandse norm NEN (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Vervangt NEN 5466:1999/A2:2003; NEN 5466:1999/Ontw. A3:2004

Voorbeeld. Preview. NEN-EN-ISO (en) Dit document is een voorbeeld van NEN / This document is a preview by NEN. Nederlandse

Bedrijfsvoering van elektrische installaties. Operation of electrical installations. Aanvullende Nederlandse bepalingen voor hoogspanningsinstallaties

Verlichtingsarmaturen - Deel 2-22: Bijzondere eisen voor verlichtingsarmaturen voor noodverlichting oktober 2016 ICS

Nederlandse norm. NTA 8013 (nl) Procedure voor het controleren van PV-systemen. Procedure for checking PV-systems. ICS 27.

Voorbeeld. Preview. norm. Correctieblad

Nederlands certificatieschema. NCS 7201 (nl) ICS ; november 2017

Nederlandse norm NEN-ISO (en) Rubber, vulcanized - Determination of creep in compression or shear (ISO 8013:2012,IDT)

Nederlandse norm. NEN-EN (nl) Producten van staal - Keuringsdocumenten - Lijst en omschrijving van informatie

Nederlandse norm. NEN-EN-ISO /A2 (nl)

Vervangt NEN-EN 951-1:1993 Ontw.; NEN-EN 25:1976. Nederlandse norm. NEN-EN 951 (en) Deurbladen - Meetmethode van hoogte, breedte, dikte en haaksheid

Voorbeeld. norm. Preview. NEN 2535/C1 (nl) Correctieblad

Nederlandse norm. NEN-EN-ISO 6165 (nl) Grondverzetmachines Basistypen Woordenlijst (ISO 6165:1997)

Nederlandse Technische Afspraak. NTA (nl) Evenementen - Brandvoortplanting en rookproductie van zeildoek Preview

Vervangt NPR 3596:2000. Nederlandse praktijkrichtlijn. NPR 3596 (nl)

Transcriptie:

Nederlandse Ontwerp norm NEN 7510-2 Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen Publicatie uitsluitend voor commentaar Health informatics - Information security management in healthcare - Part 2: Controls maart 2017 ICS 11.020; 35.240.80 Commentaar vóór 2017-07-01 Samen met NEN 7510 1:2017 zal deze norm NEN 7510:2011 vervangen Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. Normcommissie 303 006 "Informatievoorziening in de zorg" THIS PUBLICATION IS COPYRIGHT PROTECTED DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Royal Netherlands Standardization Institute. The Royal Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Koninklijk Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Koninklijk Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Royal Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Royal Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Koninklijk Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Koninklijk Nederlands Normalisatieinstituut gepubliceerde uitgaven. 2017 Koninklijk Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) 2 690 390, fax (015) 2 690 190

Inhoud Voorwoord... 6 0 Inleiding... 8 1 Onderwerp en toepassingsgebied... 9 2 Normatieve verwijzingen... 9 3 Termen en definities... 9 4 Structuur van de paragrafen... 9 5 Informatiebeveiligingsbeleid... 10 5.1 Aansturing door de directie van de informatiebeveiliging... 10 5.1.1 Beleidsregels voor informatiebeveiliging... 10 5.1.2 Beoordeling van het informatiebeveiligingsbeleid... 13 6 Organiseren van informatiebeveiliging... 14 6.1 Interne organisatie... 14 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging... 14 6.1.2 Scheiding van taken... 16 6.1.3 Contact met overheidsinstanties... 16 6.1.4 Contact met speciale belangengroepen... 17 6.1.5 Informatiebeveiliging in projectbeheer... 18 6.2 Mobiele apparatuur en telewerken... 18 6.2.1 Beleid voor mobiele apparatuur... 19 6.2.2 Telewerken... 21 7 Veilig personeel... 22 7.1 Voorafgaand aan het dienstverband... 22 7.1.1 Screening... 23 7.1.2 Arbeidsvoorwaarden... 24 7.2 Tijdens het dienstverband... 25 7.2.1 Directieverantwoordelijkheden... 25 7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging... 26 7.2.3 Disciplinaire procedure... 28 7.3 Beëindiging en wijziging van dienstverband... 29 7.3.1 Beëindiging of wijziging van verantwoordelijkheden van het dienstverband... 29 8 Beheer van bedrijfsmiddelen... 30 8.1 Verantwoordelijkheid voor bedrijfsmiddelen... 30 8.1.1 Inventariseren van bedrijfsmiddelen... 30 8.1.2 Eigendom van bedrijfsmiddelen... 31 8.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen... 32 8.1.4 Teruggeven van bedrijfsmiddelen... 33 8.2 Informatieclassificatie... 33 8.2.1 Classificatie van informatie... 33 8.2.2 Informatie labelen... 36 8.2.3 Behandelen van bedrijfsmiddelen... 36 8.3 Behandelen van media... 37 8.3.1 Beheer van verwijderbare media... 37 8.3.2 Verwijderen van media... 39 8.3.3 Media fysiek overdragen... 40 9 Toegangsbeveiliging... 40 9.1 Bedrijfseisen voor toegangsbeveiliging... 40 9.1.1 Beleid voor toegangsbeveiliging... 41 9.1.2 Toegang tot netwerken en netwerkdiensten... 43 9.2 Beheer van toegangsrechten van gebruikers... 43 9.2.1 Registratie en afmelden van gebruikers... 44 9.2.2 Gebruikers toegang verlenen... 45 9.2.3 Beheren van speciale toegangsrechten... 46 2

9.2.4 Beheer van geheime authenticatie-informatie van gebruikers... 47 9.2.5 Beoordeling van toegangsrechten van gebruikers... 48 9.2.6 Toegangsrechten intrekken of aanpassen... 49 9.3 Verantwoordelijkheden van gebruikers... 50 9.3.1 Geheime authenticatie-informatie gebruiken... 50 9.4 Toegangsbeveiliging van systeem en toepassing... 51 9.4.1 Beperking toegang tot informatie... 51 9.4.2 Beveiligde inlogprocedures... 52 9.4.3 Systeem voor wachtwoordbeheer... 54 9.4.4 Speciale systeemhulpmiddelen gebruiken... 55 9.4.5 Toegangsbeveiliging op programmabroncode... 55 10 Cryptografie... 56 10.1 Cryptografische beheersmaatregelen... 56 10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen... 56 10.1.2 Sleutelbeheer... 58 11 Fysieke beveiliging en beveiliging van de omgeving... 59 11.1 Beveiligde gebieden... 59 11.1.1 Fysieke beveiligingszone... 60 11.1.2 Fysieke toegangsbeveiliging... 61 11.1.3 Kantoren, ruimten en faciliteiten beveiligen... 62 11.1.4 Beschermen tegen bedreigingen van buitenaf... 63 11.1.5 Werken in beveiligde gebieden... 63 11.1.6 Laad- en loslocatie... 64 11.2 Apparatuur... 65 11.2.1 Plaatsing en bescherming van apparatuur... 65 11.2.2 Nutsvoorzieningen... 66 11.2.3 Beveiliging van bekabeling... 67 11.2.4 Onderhoud van apparatuur... 68 11.2.5 Verwijdering van bedrijfsmiddelen... 69 11.2.6 Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein... 69 11.2.7 Veilig verwijderen of hergebruiken van apparatuur... 70 11.2.8 Onbeheerde gebruikersapparatuur... 71 11.2.9 Clear desk - en clear screen -beleid... 72 12 Beveiliging bedrijfsvoering... 73 12.1 Bedieningsprocedures en verantwoordelijkheden... 73 12.1.1 Gedocumenteerde bedieningsprocedures... 73 12.1.2 Wijzigingsbeheer... 74 12.1.3 Capaciteitsbeheer... 75 12.1.4 Scheiding van ontwikkel-, test- en productieomgevingen... 76 12.2 Bescherming tegen malware... 77 12.2.1 Beheersmaatregelen tegen malware... 77 12.3 Back-up... 79 12.3.1 Back-up van informatie... 79 12.4 Verslaglegging en monitoren... 80 12.4.1 Gebeurtenissen registreren... 81 12.4.2 Beschermen van informatie in logbestanden... 82 12.4.3 Logbestanden van beheerders en operators... 85 12.4.4 Kloksynchronisatie... 85 12.5 Beheersing van operationele software... 86 12.5.1 Software installeren op operationele systemen... 86 12.6 Beheer van technische kwetsbaarheden... 87 12.6.1 Beheer van technische kwetsbaarheden... 87 12.6.2 Beperkingen voor het installeren van software... 89 12.7 Overwegingen betreffende audits van informatiesystemen... 90 12.7.1 Beheersmaatregelen betreffende audits van informatiesystemen... 90 13 Communicatiebeveiliging... 91 13.1 Beheer van netwerkbeveiliging... 91 13.1.1 Beheersmaatregelen voor netwerken... 91 3

13.1.2 Beveiliging van netwerkdiensten... 92 13.1.3 Scheiding in netwerken... 93 13.2 Informatietransport... 93 13.2.1 Beleid en procedures voor informatietransport... 94 13.2.2 Overeenkomsten over informatietransport... 95 13.2.3 Elektronische berichten... 96 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomst... 97 14 Acquisitie, ontwikkeling en onderhoud van informatiesystemen... 99 14.1 Beveiligingseisen voor informatiesystemen... 99 14.1.1 Analyse en specificatie van informatiebeveiligingseisen... 99 14.1.2 Toepassingen op openbare netwerken beveiligen... 102 14.1.3 Transacties van toepassingen beschermen... 103 14.2 Beveiliging in ontwikkelings- en ondersteunende processen... 105 14.2.1 Beleid voor beveiligd ontwikkelen... 105 14.2.2 Procedures voor wijzigingsbeheer met betrekking tot systemen... 106 14.2.3 Technische beoordeling van toepassingen na wijzigingen besturingsplatform... 107 14.2.4 Beperkingen op wijzigingen aan softwarepakketten... 108 14.2.5 Principes voor engineering van beveiligde systemen... 109 14.2.6 Beveiligde ontwikkelomgeving... 109 14.2.7 Uitbestede softwareontwikkeling... 110 14.2.8 Testen van systeembeveiliging... 111 14.2.9 Systeemacceptatietests... 112 14.3 Testgegevens... 113 14.3.1 Bescherming van testgegevens... 113 15 Leveranciersrelaties... 114 15.1 Informatiebeveiliging in leveranciersrelaties... 114 15.1.1 Informatiebeveiligingsbeleid voor leveranciersrelaties... 114 15.1.2 Opnemen van beveiligingsaspecten in leveranciersovereenkomsten... 115 15.1.3 Toeleveringsketen van informatie- en communicatietechnologie... 117 15.2 Beheer van dienstverlening van leveranciers... 118 15.2.1 Monitoring en beoordeling van dienstverlening van leveranciers... 118 15.2.2 Beheer van veranderingen in dienstverlening van leveranciers... 119 16 Beheer van informatiebeveiligingsincidenten... 121 16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen... 121 16.1.1 Verantwoordelijkheden en procedures... 121 16.1.2 Rapportage van informatiebeveiligingsgebeurtenissen... 122 16.1.3 Rapportage van zwakke plekken in de informatiebeveiliging... 124 16.1.4 Beoordeling van en besluitvorming over informatiebeveiligingsgebeurtenissen... 124 16.1.5 Respons op informatiebeveiligingsincidenten... 125 16.1.6 Lering uit informatiebeveiligingsincidenten... 126 16.1.7 Verzamelen van bewijsmateriaal... 126 17 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer... 128 17.1 Informatiebeveiligingscontinuïteit... 128 17.1.1 Informatiebeveiligingscontinuïteit plannen... 128 17.1.2 Informatiebeveiligingscontinuïteit implementeren... 129 17.1.3 Informatiebeveiligingscontinuïteit verifiëren, beoordelen en evalueren... 130 17.2 Redundante componenten... 131 17.2.1 Beschikbaarheid van informatieverwerkende faciliteiten... 131 18 Naleving... 132 18.1 Naleving van wettelijke en contractuele eisen... 132 18.1.1 Vaststellen van toepasselijke wetgeving en contractuele eisen... 132 18.1.2 Intellectuele-eigendomsrechten... 133 18.1.3 Beschermen van registraties... 134 18.1.4 Privacy en bescherming van persoonsgegevens... 135 18.1.5 Voorschriften voor het gebruik van cryptografische beheersmaatregelen... 137 18.2 Informatiebeveiligingsbeoordelingen... 137 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging... 137 18.2.2 Naleving van beveiligingsbeleid en -normen... 138 4

18.2.3 Beoordeling van technische naleving... 139 Bijlage A (informatief) Bedreigingen voor de beveiliging van gezondheidsinformatie... 141 Bijlage B (informatief) Praktisch plan van aanpak voor het implementeren van ISO/IEC 27002 in de zorg... 146 Bijlage C (informatief) Checklist voor naleving van NEN-EN-ISO 27799... 161 Bibliografie... 186 5

Voorwoord Dit normontwerp is de herziening van NEN 7510:2011 en bestaat uit twee delen. Deel 1 bevat de normatieve voorschriften voor het managementsysteem volgens NEN-ISO/IEC 27001+C11:2014+C1:2014+C2:2015 (nl). Deel 2 vormt de Nederlandse weergave van de Europese en internationale norm NEN-ISO/IEC 27002+C1+C2:2015 (nl) en NEN-EN-ISO 27799:2016 (en). De drie internationale normen hebben de status van Nederlandse norm. Er is geen officiële Nederlandse vertaling van NEN-EN-ISO 27799:2016 (en). Dit normontwerp past de hoofdstructuur (High Level Structure HLS) 1) toe en is daardoor compatibel met andere managementsysteemnormen die de HLS volgen. Deze gemeenschappelijke benadering is nuttig voor organisaties die ervoor kiezen een enkel managementsysteem uit te voeren dat voldoet aan de eisen van twee of meer managementsysteemnormen. NEN 7510-1:2017 en NEN 7510-2:2017 herroepen en vervangen samen de tweede editie van NEN 7510 uit 2011. In bijlage B van NEN 7510-1 is een kruistabel opgenomen die de relatie weergeeft tussen beide edities. Dit normontwerp is opgesteld door normcommissie 303 006 'Informatievoorziening in de zorg'. Op het ogenblik van publicatie waren de werkgroep, verantwoordelijk voor de revisie van NEN 7510 en het normontwerp, en de normcommissie als volgt samengesteld: Naam persoon Bedrijf/namens Rol M. Heldoorn Patiëntenfederatie Nederland Lid normcommissie 303 006 Vz. werkgroep W.T.F. Goossen Results 4 Care B.V. Vz. normcommissie 303 006 E. Beem Dienst Justitiële Inrichtingen Lid werkgroep C.A. van Belkum CBG-MEB Lid normcommissie 303 006 E. Bijkerk Agfa Healthcare Lid werkgroep Q. Bosman Nictiz Lid werkgroep W. Brouwers CZ Zorgverzekeringen / ZN Lid werkgroep C. Buiting NHG Lid werkgroep R. Conings Agfa Healthcare Lid werkgroep R. Coppen NIVEL Lid werkgroep R. Cornet AMC, Medical Informatics Lid normcommissie 303 006 F. Elferink KNMP Lid normcommissie 303 006 B. Franken AMC + Zorg-CERT Lid normcommissie 303 006 Lid werkgroep L. Grandia Z-Index B.V. Lid normcommissie 303 006 M.A.M. van der Haagen VU Medisch Centrum Lid normcommissie 303 006 M.R.H. Hagemeijer VECOZO Lid werkgroep A. van Haren CBG-MEB Lid normcommissie 303 006 L. ten Have Tactus / GGZ Nederland Lid werkgroep J. Hiethaar LQRA Lid werkgroep 1) Zoals gedefinieerd in bijlage SL van ISO/IEC Directives, deel 1, geconsolideerd ISO-supplement. 6

J.W. Hofdijk Casemix Lid normcommissie 303 006 C.R.H.A. Hoogendoorn Iperion IS B.V. Lid normcommissie 303 006 F. Jacobs Philips Health Care Lid normcommissie 303 006 M. de Jong Nictiz Lid normcommissie 303 006 B. Kokx Philips Health Care Lid normcommissie 303 006 W. Limpens Qarebase / KIWA Lid werkgroep P.W.J. Linders Philips Medical Systems, Standards Lid normcommissie 303 006 Development Harmonization Center E.R.M. Loomans DSW Zorgverzekeraar / ZN Lid werkgroep K. van Luttervelt Zorgbelang ZH Lid werkgroep W.J. Meijer Lid normcommissie 303 006 R. Ostheimer Vektis C.V. Lid normcommissie 303 006 R. Muis KNMP Lid werkgroep F.H. Nielen Diabetes Vereniging Nederland Lid werkgroep T. Noorlander KNMP Lid werkgroep M. Oost RIVM Lid werkgroep E. Peelen GS1 Lid normcommissie 303 006 W.L. Posthumus Lid normcommissie 303 006 Lid werkgroep M. Rozeboom KNMT Lid normcommissie 303 006 G.B. van Ruiswijk Ziekenhuis Gelderse Vallei / NVZ Lid werkgroep J.W.R. Schoemaker Erasmus MC, Directie Informatie Lid normcommissie 303 006 Lid werkgroep P.L. Schram Vertimart Consultants BV Lid werkgroep E. Sieval Z-Index B.V. Lid normcommissie 303 006 J. Spronck BDO Lid werkgroep B.W.J. Steer KIWA B.V. Lid werkgroep R.A. Stegwee Stichting HL7 Nederland Lid normcommissie 303 006 J. Takema Deventer Ziekenhuis / NVZ Lid werkgroep M. Tan Nictiz Lid normcommissie 303 006 P.M. Uitendaal Lid normcommissie 303 006 D. Verschuuren Zorgon + Maasstad Ziekenhuis Lid normcommissie 303 006 Lid werkgroep R. van Vianen BDO Consultants B.V. Lid normcommissie 303 006 R. Wagter M&I/Partners Lid werkgroep A. van Zijl EHIBCC Lid normcommissie 303 006 P. van der Zwan Caresecure / Actiz Lid werkgroep S. Golyardi NEN Secr. werkgroep K.A. Jansen NEN Secr. werkgroep M. Bijlsma NEN Secr. normcommissie 303 006 Commentaar op dit normontwerp kan vóór 1 juli 2017 worden ingediend via normontwerpen.nen.nl. 7

0 Inleiding OPMERKING De tekst van de inleiding is identiek aan die van de inleiding in NEN 7510-1:2017. 8

Medische informatica Informatiebeveiliging in de zorg Deel 2: Beheersmaatregelen 1 Onderwerp en toepassingsgebied OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 1 in NEN 7510-1:2017. 2 Normatieve verwijzingen OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 2 in NEN 7510-1:2017. 3 Termen en definities OPMERKING De tekst van dit hoofdstuk is identiek aan die van hoofdstuk 3 in NEN 7510-1:2017. 4 Structuur van de paragrafen Elke categorie met hoofdbeveiligingsbeheersmaatregelen bevat een doelstelling voor de beheersmaatregel(en) die aangeeft wat er bereikt moet worden, en een of meer beheersmaatregelen die kunnen worden toegepast om deze doelstelling te bereiken. Beheersmaatregel ZORGSPECIFIEKE BEHEERSMAATREGEL Implementatierichtlijn Definieert de beheersmaatregel zoals genoemd in NEN-ISO/IEC 27002+C1+C2:2015, om aan de beheersdoelstelling te voldoen. Definieert de zorgspecifieke beheersmaatregel zoals genoemd in NEN-EN-ISO 27799:2016, om, ingeval zorggegevens worden verwerkt of bewerkt, aan de beheersdoelstelling te voldoen. Biedt meer gedetailleerde informatie om de implementatie van de beheersmaatregel te ondersteunen en om te voldoen aan de doelstelling van de beheersmaatregel. De richtlijn is mogelijk niet in alle situaties geheel passend of toereikend en voldoet mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Overige informatie OVERIGE ZORGSPECIFIEKE INFORMATIE Biedt meer gedetailleerde informatie om te voldoen aan de doelstelling van de zorgspecifieke beheersmaatregel. De richtlijn is mogelijk niet in alle situaties geheel passend of toereikend en voldoet mogelijk niet aan de specifieke eisen met betrekking tot beheersmaatregelen van de organisatie waar zorggegevens worden verwerkt. Biedt meer informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld juridische overwegingen en verwijzingen naar andere normen. Biedt meer zorgspecifieke informatie waar mogelijk rekening mee moet worden gehouden, bijvoorbeeld verwijzingen naar andere normen. Wanneer een van de onderdelen geen tekst bevat, is dat aangegeven met <geen>. In de bibliografie is aan de internationale normen waarnaar verwezen is, de eventuele Nederlandse equivalent toegevoegd. 9

5 Informatiebeveiligingsbeleid 5.1 Aansturing door de directie van de informatiebeveiliging Doelstelling: Het verschaffen van directieaansturing en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving. 5.1.1 Beleidsregels voor informatiebeveiliging Beheersmaatregel Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen. ZORGSPECIFIEKE BEHEERSMAATREGEL Organisaties behoren te beschikken over een schriftelijk informatiebeveiligingsbeleid dat door het management wordt goedgekeurd, wordt gepubliceerd en vervolgens wordt gecommuniceerd aan alle werknemers en relevante externe partijen. Implementatierichtlijn Organisaties behoren op het hoogste niveau een informatiebeveiligingsbeleid te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken. Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit: a) bedrijfsstrategie; b) wet- en regelgeving en contracten; c) huidige en verwachte bedreigingen inzake informatiebeveiliging. Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende: d) de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging; e) toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen; f) processen voor het behandelen van afwijkingen en uitzonderingen. Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stellen en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen. en van dergelijke beleidsonderwerpen zijn: a) toegangsbeveiliging (zie hoofdstuk 9); b) classificatie van informatie (en verwerking) (zie 8.2); c) fysieke en omgevingsbeveiliging (zie hoofdstuk 11); 10

d) onderwerpen die gericht zijn op de eindgebruiker zoals: aanvaardbaar gebruik van bedrijfsmiddelen (zie 8.1.3.); 1) clear desk en clear screen (zie 11.2.9); 2) informatietransport (zie 13.2.1); 3) mobiele apparatuur en telewerken (zie 6.2); 4) beperkingen t.a.v. software-installaties en -gebruik (zie 12.6.2); e) back-up (zie 12.3); f) informatietransport (zie 13.2); g) bescherming tegen malware (zie 12.2); h) beheer van technische kwetsbaarheden (zie 12.6.1); i) cryptografische beheersmaatregelen (zie hoofdstuk 10); j) communicatiebeveiliging (zie hoofdstuk 13); k) privacy en bescherming van persoonsgegevens (zie 18.1.4); l) leveranciersrelaties (zie hoofdstuk 15). Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging (zie 7.2.2). ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten over: a) de noodzaak van gezondheidsinformatiebeveiliging; b) de doelen van gezondheidsinformatiebeveiliging; c) het toepassingsgebied in verband met naleving, zoals beschreven in hoofdstuk 18; d) eisen van wet- en regelgeving en contractuele eisen, waaronder eisen met betrekking tot de bescherming van persoonlijke gezondheidsinformatie en de wettelijke en ethische verantwoordelijkheden van zorgverleners om deze informatie te beschermen; e) regelingen voor het doen van kennisgeving van informatiebeveiligingsincidenten, waaronder een kanaal waarlangs zorgen met betrekking tot vertrouwelijkheid kunnen worden geuit zonder dat men angst hoeft te hebben voor beschuldigingen of verwijten; f) het identificeren van processen en systemen die van vitaal belang zijn in de zorg ( vitaal wil zeggen dat het falen ervan nadelige gevolgen kan hebben voor cliënten). Idealiter wordt het herzien van de inhoud van het beleid aangestuurd door de bevindingen uit de risicobeoordeling van de organisatie, hoewel in het beleid zelf alleen maar de richting hoeft te worden aangegeven, beginselen behoren te worden vermeld en naar andere documenten behoort te worden verwezen waarin de specifieke details (die vaker wijzigen) gevonden kunnen worden. 11

Bij het opstellen van het beleidsdocument voor hun informatiebeveiliging zullen gezondheidsorganisaties met name de volgende, voor de gezondheidzorg unieke factoren, in overweging moeten nemen: g) de breedte van gezondheidsinformatie; h) de rechten en ethische verantwoordelijkheden van het personeel, zoals wettelijk overeengekomen en aanvaard door leden van beroepsorganisaties; i) de rechten van cliënten, indien van toepassing, op privacy en op inzage in hun dossier; j) de verplichtingen van clinici met betrekking tot het verkrijgen van geïnformeerde toestemming van cliënten en het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie; k) de legitieme behoeften van clinici en gezondheidsorganisaties om de normale beveiligingsprotocollen opzij te kunnen zetten als zorgprioriteiten, vaak gekoppeld aan het onvermogen van bepaalde cliënten om hun voorkeuren te uiten, dit nodig maken; ook de procedures die moeten worden ingezet om dit te realiseren; l) de verplichtingen van de desbetreffende gezondheidsorganisaties en van cliënten indien zorg wordt verleend op basis van gedeelde zorg of langdurige uitgebreide zorg ; m) de protocollen en procedures die moeten worden toegepast op het delen van informatie in het kader van onderzoek en klinische studies; n) de regelingen voor, en bevoegdheidsgrenzen van tijdelijk personeel, zoals vervangers, studenten en oproepkrachten; o) de regelingen voor en beperkingen die gesteld worden aan de toegang tot persoonlijke gezondheidsinformatie door vrijwilligers en ondersteunend personeel zoals geestelijken of personeel van charitatieve instellingen; p) de implicaties van beveiligingsmaatregelen voor de veiligheid van cliënten; q) de implicaties van informatiebeveiligingsmaatregelen voor de prestaties van gezondheidsinformatiesystemen. Veel gezondheidsorganisaties zijn tot de conclusie gekomen dat het handig is om het beleidsdocument elektronisch aan personeel ter beschikking te stellen via een informatiebeveiligingsrubriek op het intranet van de gezondheidsorganisatie. Indien de gezondheidsorganisatie ondersteuning ontvangt van derde-organisaties of samenwerkt met derden, en met name indien de gezondheidsorganisatie diensten vanuit andere rechtsgebieden ontvangt, behoort het beleidskader gedocumenteerd beleid, beheersmaatregelen en procedures die ingaan op dergelijke interacties en die de verantwoordelijkheden van alle partijen specificeren, te omvatten. In gevallen waar persoonlijke gegevens buiten de nationale grenzen of de grenzen van rechtsgebieden worden gebracht, behoren de bepalingen van ISO 22857 te worden toegepast. Overige informatie De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake informatiebeveiligingsbeleid of als een reeks individuele maar gerelateerde documenten. Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt. 12

Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals normen, richtlijnen of regels. OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> 5.1.2 Beoordeling van het informatiebeveiligingsbeleid Beheersmaatregel Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is. ZORGSPECIFIEKE BEHEERSMAATREGEL Het informatiebeveiligingsbeleid behoort aan voortdurende, gefaseerde beoordelingen te worden onderworpen zodat het volledige beleid ten minste eenmaal per jaar wordt beoordeeld. Het beleid behoort te worden beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan. Implementatierichtlijn Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving. De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen. Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN De beoordeling behoort in te gaan op: a) de veranderende aard van de bedrijfsvoering van de gezondheidsorganisatie en de gelijktijdige veranderingen voor het risicoprofiel en de risicomanagementbehoeften; b) de veranderingen die worden gedaan aan de IT-infrastructuur van de organisatie en de gelijktijdige veranderingen die deze met zich meebrengen voor het risicoprofiel van de organisatie; c) de in de externe omgeving geïdentificeerde veranderingen die op vergelijkbare wijze van invloed zijn op het risicoprofiel van de organisatie; d) de jongste beheersmaatregelen, nalevings- en zekerheidseisen en -regelingen die door de gezondheidsinstanties van een rechtsgebied of door nieuwe wet- of regelgeving verplicht worden gesteld; e) de jongste richtlijnen en aanbevelingen van organisaties van zorgverleners en van de leden van informatieprivacycommissies met betrekking tot de bescherming van persoonlijke gezondheidsinformatie; f) de resultaten van juridische casussen die bij de rechter zijn getoetst, waardoor precedenten zijn geschapen of ontkracht of waardoor best practices zijn vastgesteld; g) de uitdagingen en belangrijke punten met betrekking tot het beleid, zoals aan de organisatie geuit door het personeel, cliënten en hun partners en zorgverleners, onderzoekers en overheden (bijv. leden van privacycommissies); 13

h) rapporten over incidenten met betrekking tot de veiligheid van cliënten met als doel om deze incidenten tegen te gaan in die gevallen waarin het incident het gevolg is van het falen van informatiebeveiligingsmaatregelen. Overige informatie <geen> OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> 6 Organiseren van informatiebeveiliging 6.1 Interne organisatie Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen. 6.1.1 Rollen en verantwoordelijkheden bij informatiebeveiliging Beheersmaatregel Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. ZORGSPECIFIEKE BEHEERSMAATREGEL Organisaties behoren: a) duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging te definiëren en toe te wijzen b) over een informatiebeveiligingsmanagementforum (IBMF) te beschikken om te garanderen dat er duidelijke aansturing en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheidsinformatie, zoals beschreven in B3 en B4 van bijlage B (6.1.1). Er behoort minimaal één individu verantwoordelijk zijn voor beveiliging van gezondheidsinformatie binnen de organisatie. Het gezondheidsinformatiebeveiligingsforum behoort regelmatig, maandelijks of bijna maandelijks, te vergaderen. (Het is meestal het effectiefst als het forum vergadert op een tijdstip halverwege tussen twee vergaderingen van het bestuursorgaan waaraan het forum rapporteert. Zo kunnen urgente zaken binnen een korte periode in een geschikte vergadering worden besproken.) Er behoort een formele verklaring van het toepassingsgebied te worden geproduceerd waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen. Implementatierichtlijn Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico s. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en 14

informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd. Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht. Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren: a) de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd; b) de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2); c) autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd; d) om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden; e) coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Het is belangrijk om te wijzen op de essentiële aard van managementverantwoordelijkheid in organisaties die persoonlijke gezondheidsinformatie beheren, zoals beschreven in B.2. Rekenschap en coördinatie kunnen op de lange termijn alleen worden gehandhaafd indien de organisatie over een expliciete informatiebeveiligingsmanagementinfrastructuur beschikt. Ongeacht welke organisatiestructuur wordt gekozen, is het van kritisch belang dat deze dusdanig wordt ontworpen en gestructureerd dat toegang door cliënten (bijv. om verzoeken voor het verkrijgen van persoonlijke gezondheidsinformatie in te dienen) en het rapporteren binnen de organisatiestructuur mogelijk worden gemaakt en dat de tijdige verstrekking van informatie wordt gegarandeerd. Zoals vermeld in B.4.3 behoort de (virtuele of daadwerkelijke) informatiebeveiligingsfunctionaris van de organisatie onder andere verslag uit te brengen aan het forum en hieraan secretariële diensten te verlenen. De functionaris behoort verantwoordelijk te zijn voor het samenstellen, publiceren en becommentariëren van de rapporten die worden ontvangen door de leden van het forum. Gezondheidsorganisaties behoren de uiteenzetting van het toepassingsgebied breed bekend te maken binnen de organisatie, deze vervolgens te beoordelen en te garanderen dat deze wordt overgenomen door de groepen binnen de organisatie die zich bezighouden met informatie-, klinische en corporate governance. Overige informatie Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen. Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan. OVERIGE ZORGSPECIFIEKE INFORMATIE <geen> 15

Bestelformulier Stuur naar: NEN Standards Products & Services t.a.v. afdeling Klantenservice Antwoordnummer 10214 2600 WB Delft Ja, ik bestel NEN Standards Products & Services Postbus 5059 2600 GB Delft Vlinderweg 6 2623 AX Delft T (015) 2 690 390 F (015) 2 690 271 www.nen.nl/normshop ex. NEN 7510-2:2017 Ontw. nl Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 0.00 Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via www.nen.nl/normshop Gratis e-mailnieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze e-mailnieuwsbrieven. www.nen.nl/nieuwsbrieven Gegevens Bedrijf / Instelling T.a.v. O M O V E-mail Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: (015) 2 690 271 E-mail: klantenservice@nen.nl Post: NEN Standards Products & Services, t.a.v. afdeling Klantenservice Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2016, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon (015) 2 690 391, dagelijks van 8.30 tot 17.00 uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: www.nen.nl/leveringsvoorwaarden. Normalisatie: de wereld op één lijn. preview - 2016

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback