Ontwerp norm NEN 7510. Health Informatics - Information security management in health september 2010 ICS 11.020; 35.240.80 Commentaar vóór 2010-12-15



Vergelijkbare documenten
Nederlandse voornorm NAD-NVN-ENV (nl)

Vervangt NEN 913:1963; NEN 913:1998 Ontw. Nederlandse norm. NEN 913 (nl) Melk en vloeibare melkproducten - Bepaling van de titreerbare zuurtegraad

Vervangt NEN-EN :2000 Ontw. Nederlandse norm. NEN-EN (en)

Verklaring van Toepasselijkheid - Tactus Verslavingszorg Datum invoegen NEN Aspect NEN 7510 Beheersdoelstelling. Beveiligingsbeleid

Voorbeeld. norm NEN-EN Preview. Ontwerp

Vervangt NEN-EN :1997; NEN-EN :1999 Ontw. Nederlandse norm. NEN-EN (en)

Voorbeeld. Preview. NEN-IEC /A2 (en; fr) Wijzigingsblad. Nederlandse

Nederlandse norm. NEN 3576 (nl) Beglazing van kozijnen, ramen en deuren Functionele eisen

Vervangt NEN-EN 50182:1994 Ontw. Nederlandse norm. NEN-EN (en)

Vervangt CR :1996; NEN-EN :2003 Ontw. Nederlandse norm. NEN-EN (en)

Nederlandse norm NEN Dit document mag slechts op een stand-alone PC worden geïnstalleerd. Gebruik op een netwerk is alleen.

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

(en; fr) Matten van isolerend materiaal voor elektrotechnische doeleinden (IEC 61111:1992,MOD,IEC 61111:1992/C1:2000,MOD)

Nederlandse norm. NEN 6578 (nl) Water - Potentiometrische bepaling van het totale gehalte aan totaal fluoride

Vervangt NEN-EN :2001. Nederlandse norm. NEN-EN (en)

Voorbeeld. norm NEN-EN Preview. 2e Ontwerp

Nederlandse norm. NEN 5087/A1 (nl) Inbraakveiligheid van woningen - Bereikbaarheid van dak- en gevelelementen: deuren, ramen en kozijnen

Nederlandse praktijkrichtlijn NPR (nl) Evenementen - Hijs- en heftechniek - Veiligheidsfactoren voor hijs- en hefmiddelen

Nederlandse norm. NEN 5754 (nl) Bodem - Berekening van het gehalte aan organische stof volgens de gloeiverliesmethode

Soil - Investigation, sampling and analysis of asbestos in soil augustus 2006 ICS

NTA 2581 (nl) Opstellen van meetrapporten volgens NEN Nederlandse technische afspraak ICS ;

Voorbeeld. norm NEN 2559/A2 Onderhoud van draagbare blustoestellen. Preview. Wijzigingsblad

VVT - Broad Horizon. CLASSIFICATIE: PUBLIEKELIJK Versie 1.3, Voorwoord

Nederlandse praktijkrichtlijn. NPR-CLC/TR (en) Leidraad voor de toepassing van de Europese norm EN (NEN-EN 50160)

HKZ-certificatieschema > zzp ers in zorg en welzijn

Vervangt NEN-EN-IEC :1998. Nederlandse norm. NEN-EN (en)

Vervangt NEN 6814:1999 Ontw. Nederlandse norm. NEN 6814 (nl)

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN /A1 (nl)

Nederlandse norm. NEN 6702/A1 (nl) Technische grondslagen voor bouwconstructies - TGB Belastingen en vervormingen

Vervangt NEN-EN :1994; NEN-EN :1994/Ontw. A1:1997. Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN 6633/A1 (nl) Water en (zuiverings)slib - Bepaling van het chemisch zuurstofverbruik (CZV)

Nederlandse norm. NEN (nl) Schuldhulpverlening - Deel 2: Eisen aan schuldhulpverleners

Power cables with XLPE insulation and PVC sheath, with special fire performance and having a rated voltage of 0,6/1 kv mei 2004 ICS

Nederlandse norm NEN-IEC /A2. (en; fr)

Nederlandse norm. NEN (nl) Zetsteen - Deel 2: Zetsteen van cementbeton, zonder interlocking en zonder wapening

Vervangt NPR 3749:1993; NPR 3749:2004 Ontw. Nederlandse praktijkrichtlijn. NPR 3749 (nl)

Voorbeeld. norm. Preview. NEN-ISO/IEC 18004/C1 (en) Correctieblad

Nederlandse norm. NEN-ISO /A1 (en)

Fire safety of larger fire compartments - Risk approach juni 2016 ICS

Voorbeeld. norm NEN-ISO Preview

Nederlandse norm. NEN 5706 (nl) Richtlijnen voor de beschrijving van zintuiglijke waarnemingen tijdens de uitvoering van milieukundig bodemonderzoek

Nederlandse norm. NEN-ISO 16039/A1 (en)

Beheersmaatregelen volgens Bijlage A van de ISO/IEC norm

Vervangt NEN-EN 50248:1998; NEN-EN 50248:1999 Ontw. Nederlandse norm. NEN-EN (en) Kenmerken van DAB-ontvangers. Characteristics of DAB receivers

Voorbeeld NËN : ISÖ3903. Preview. Nederlandse. Scheepsbouw en maritieme constructies. Gewone rechthoekige scheepsramen (ISO 3903:1993)

Nederlandse praktijkrichtlijn. NPR 3471 (nl) Keuze, gebruik, verzorging en onderhoud van kleding met hoge zichtbaarheid

Vervangt NEN-EN :1998 Ontw.; NEN-EN 50061:1991,deels; NEN-EN 50061:1991/A1:1995,deels; NEN-EN 50061:1991/A1:1995/C1:1995,deels

Nederlandse norm. NEN 2025 (nl) Communicatie bij het werken met hijs- en hefwerktuigen. Communication for the guidance of cranes and hoisting gear

Nederlandse norm. NEN 3140/A1 (nl) Bedrijfsvoering van elektrische installaties Laagspanning. Operation of electrical installations Low voltage

Voorbeeld. Preview. norm. NEN-ISO/IEC /C2 (en) Correctieblad

Nederlandse norm NEN 4001+C1. (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Ontwerp norm NEN 7909

Ontwerp norm NEN Health Informatics - Information security management in health september 2010 ICS ; Commentaar vóór

Nederlandse norm NEN (nl) Brandbeveiliging - Projectering van draagbare en verrijdbare blustoestellen

Voorbeeld. norm. Preview. NEN 1006/A1 (nl) Wijzigingsblad. Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002)

Voorbeeld. Preview. NPR 13201/A1 (nl) Nederlandse praktijkrichtlijn. Openbare verlichting Kwaliteitscriteria. Public lighting Quality criteria

Nederlandse Technische Afspraak. NTA (nl) Evenementen - Brandvoortplanting en rookproductie van zeildoek Preview

Voorbeeld. norm NEN 1006/A3 Algemene voorschriften voor leidingwaterinstallaties (AVWI-2002) Preview. Ontwerp. Publicatie uitsluitend voor commentaar

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Nederlandse norm. NEN-EN-ISO (nl) Bouwkundige tekeningen - Aanduidingssystemen - Deel 2: Ruimtenamen en -nummers (ISO :1998)

Preview. Informatie- Beveiligingsbeleid NEN-ISO/IEC (CvI / BIG)

Nederlandse norm. NEN 8078 (nl) Voorziening voor gas met een werkdruk tot en met 500 mbar - Prestatie-eisen - Bestaande bouw

Nederlandse norm. NEN-EN (en)

Nederlandse norm. NEN-ISO /A1 (en)

NEN 7510 (nl) Medische informatica Informatiebeveiliging in de zorg. Nederlandse norm

Vervangt NEN 5466:1999/A2:2003; NEN 5466:1999/Ontw. A3:2004

Samen met NEN-ISO 68-1:1999 vervangt deze norm NEN 81:1982. Nederlandse norm NEN-ISO 724

Voorbeeld. Preview. NEN-EN-ISO (en) Dit document is een voorbeeld van NEN / This document is a preview by NEN. Nederlandse

Nederlandse norm. NTA 8013 (nl) Procedure voor het controleren van PV-systemen. Procedure for checking PV-systems. ICS 27.

Hoe operationaliseer ik de BIC?

Nederlandse technische afspraak. NTA (nl) Maatschappelijke zorg - Informatiearchitectuur in de jeugdsector - Deel 0: Algemene bepalingen

Vervangt NPR 3637:1994. Nederlandse praktijkrichtlijn NPR 3637

Verlichtingsarmaturen - Deel 2-22: Bijzondere eisen voor verlichtingsarmaturen voor noodverlichting oktober 2016 ICS

Transcriptie:

Nederlandse Ontwerp norm NEN 7510 Medische informatica Informatiebeveiliging in de zorg Publicatie uitsluitend voor commentaar Health Informatics - Information security management in health september 2010 ICS 11.020; 35.240.80 Commentaar vóór 2010-12-15 Zal vervangen NEN 7510:2004; NEN 7511-1:2005; NEN 7511-2:2005; NEN 7511-3:2005 Dit document mag slechts op een stand-alone PC worden geinstalleerd. Gebruik op een netwerk is alleen. toestaan als een aanvullende licentieovereenkomst voor netwerkgebruik met NEN is afgesloten. This document may only be used on a stand-alone PC. Use in a network is only permitted when a supplementary license agreement for us in a network with NEN has been concluded. Normcommissie 303 006 "Informatievoorziening in de zorg" Apart from exceptions provided by the law, nothing from this publication may be duplicated and/or published by means of photocopy, microfilm, storage in computer files or otherwise, which also applies to full or partial processing, without the written consent of the Netherlands Standardization Institute. The Netherlands Standardization Institute shall, with the exclusion of any other beneficiary, collect payments owed by third parties for duplication and/or act in and out of law, where this authority is not transferred or falls by right to the Reproduction Rights Foundation. Auteursrecht voorbehouden. Behoudens uitzondering door de wet gesteld mag zonder schriftelijke toestemming van het Nederlands Normalisatie-instituut niets uit deze uitgave worden verveelvoudigd en/of openbaar gemaakt door middel van fotokopie, microfilm, opslag in computerbestanden of anderszins, hetgeen ook van toepassing is op gehele of gedeeltelijke bewerking. Het Nederlands Normalisatie-instituut is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor verveelvoudiging te innen en/of daartoe in en buiten rechte op te treden, voor zover deze bevoegdheid niet is overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht. Although the utmost care has been taken with this publication, errors and omissions cannot be entirely excluded. The Netherlands Standardization Institute and/or the members of the committees therefore accept no liability, not even for direct or indirect damage, occurring due to or in relation with the application of publications issued by the Netherlands Standardization Institute. Hoewel bij deze uitgave de uiterste zorg is nagestreefd, kunnen fouten en onvolledigheden niet geheel worden uitgesloten. Het Nederlands Normalisatie-instituut en/of de leden van de commissies aanvaarden derhalve geen enkele aansprakelijkheid, ook niet voor directe of indirecte schade, ontstaan door of verband houdend met toepassing van door het Nederlands Normalisatie-instituut gepubliceerde uitgaven. 2010 Nederlands Normalisatie-instituut Postbus 5059, 2600 GB Delft Telefoon (015) 2 690 390, Fax (015) 2 690 190

Inhoud Voorwoord...6 0 Inleiding...7 0.1 Informatiebeveiliging...7 0.2 Specifiek voor de gezondheidszorg...7 0.3 Deze Nederlandse norm...8 1 Onderwerp en toepassingsgebied...10 2 Termen en definities...10 3 Structuur en aanwijzingen voor het gebruik van deze norm...15 4 Aanpak van de informatiebeveiliging...17 4.1 Managementsysteem voor informatiebeveiliging: ISMS...17 4.2 Verantwoordelijkheden...19 4.2.1 Algemeen...19 4.2.2 Directie...19 4.2.3 Stuurgroep...20 4.3 Risicobeheer...20 4.3.1 Inleiding...20 4.3.2 Risicomodel...20 4.3.3 Criteria voor risicoaanvaarding...21 4.3.4 Uitvoeren van risicobeoordelingen...22 4.3.5 Output van de risicobeoordeling...22 4.3.6 Risicobehandeling...23 4.3.7 Plannen voor de behandeling van resterende risicogebieden...24 4.4 PLAN: het ISMS vaststellen...24 4.5 DO: het ISMS implementeren en uitvoeren...26 4.5.1 Uitvoeren en implementeren ISMS...27 4.5.2 Beschikbaar stellen van middelen...27 4.5.3 Training, bewustzijn en bekwaamheid voor het ISMS...27 4.6 CHECK: het ISMS monitoren en beoordelen...28 4.6.1 Het ISMS controleren en beoordelen...28 4.6.2 Beoordelingsvormen...29 4.6.3 Interne ISMS-audits...29 4.6.4 Directiebeoordeling van het ISMS...29 4.7 ACT: het ISMS onderhouden en verbeteren...29 4.7.1 Algemeen...29 4.7.2 Continue verbetering...30 4.7.3 Corrigerende maatregelen...30 4.7.4 Preventieve maatregelen...30 4.8 Documentatie van het ISMS...31 4.8.1 Documentatie van het ISMS...31 4.8.2 Beheersing van documenten en registraties...31 5 Beveiligingsbeleid...32 5.1 Informatiebeveiligingsbeleid...32 5.1.1 Beleidsdocument voor informatiebeveiliging...32 5.1.2 Beoordeling van het informatiebeveiligingsbeleid...33 6 Organisatie van informatiebeveiliging...35 6.1 Interne organisatie...35 6.1.1 Betrokkenheid van de directie bij informatiebeveiliging...35 6.1.2 Coördinatie van informatiebeveiliging...36 6.1.3 Toewijzing van verantwoordelijkheden voor informatiebeveiliging...37 6.1.4 Goedkeuringsproces voor IT-voorzieningen...38 6.1.5 Geheimhoudingsovereenkomst...38 6.1.6 Contact met overheidsinstanties...39 6.1.7 Contact met speciale belangengroepen...39 2

6.1.8 Onafhankelijke beoordeling van informatiebeveiliging...40 6.2 Externe partijen...41 6.2.1 Identificatie van risico's die betrekking hebben op externe partijen...41 6.2.2 Beveiliging behandelen in de omgang met klanten...43 6.2.3 Beveiliging behandelen in overeenkomsten met een derde partij...44 7 Beheer van bedrijfsmiddelen...47 7.1 Verantwoordelijkheid voor bedrijfsmiddelen...47 7.1.1 Inventarisatie van bedrijfsmiddelen...47 7.1.2 Verantwoordelijken voor de bedrijfsmiddelen...48 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen...49 7.2 Classificatie van informatie...49 7.2.1 Richtlijnen voor classificatie...49 7.2.2 Labeling en verwerking van informatie...50 8 Personeel...51 8.1 Voorafgaand aan het dienstverband...51 8.1.1 Rollen en verantwoordelijkheden...51 8.1.2 Screening...52 8.1.3 Arbeidsvoorwaarden...53 8.2 Tijdens het dienstverband...54 8.2.1 Directieverantwoordelijkheid...54 8.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging...54 8.2.3 Disciplinaire maatregelen...55 8.3 Beëindiging of wijziging van dienstverband...56 8.3.1 Beëindiging van verantwoordelijkheden...56 8.3.2 Retournering van bedrijfsmiddelen...56 8.3.3 Blokkering van toegangsrechten...57 9 Fysieke beveiliging en beveiliging van de omgeving...57 9.1 Beveiligde ruimten...58 9.1.1 Fysieke beveiliging van de omgeving...58 9.1.2 Fysieke toegangsbeveiliging...59 9.1.3 Beveiliging van kantoren, ruimten en faciliteiten...59 9.1.4 Bescherming tegen bedreigingen van buitenaf...60 9.1.5 Werken in beveiligde ruimten...60 9.1.6 Openbare toegang en gebieden voor laden en lossen...61 9.2 Beveiliging van apparatuur...61 9.2.1 Plaatsing en bescherming van apparatuur...61 9.2.2 Nutsvoorzieningen...62 9.2.3 Beveiliging van kabels...63 9.2.4 Onderhoud van apparatuur...64 9.2.5 Beveiliging van apparatuur buiten het terrein...64 9.2.6 Veilig verwijderen of hergebruiken van apparatuur...65 9.2.7 Verwijdering van bedrijfseigendommen...65 10 Beheer van communicatie- en bedieningsprocessen...66 10.1 Bedieningsprocedures en verantwoordelijkheden...66 10.1.1 Gedocumenteerde bedieningsprocedures...66 10.1.2 Wijzigingsbeheer...67 10.1.3 Functiescheiding...68 10.1.4 Scheiding van faciliteiten voor ontwikkeling, testen en productie...68 10.2 Beheer van de dienstverlening door een derde partij...69 10.2.1 Dienstverlening...69 10.2.2 Controle en beoordeling van dienstverlening door een derde partij...70 10.2.3 Beheer van wijzigingen in dienstverlening door een derde partij...70 10.3 Systeemplanning en -acceptatie...71 10.3.1 Capaciteitsbeheer...71 10.3.2 Systeemacceptatie...72 10.4 Bescherming tegen virussen en mobile code...73 10.4.1 Maatregelen tegen virussen...73 10.4.2 Maatregelen tegen mobile code...74 3

10.5 Back-up...75 10.5.1 Reservekopieën maken (back-ups)...75 10.6 Beheer van netwerkbeveiliging...76 10.6.1 Maatregelen voor netwerken...76 10.6.2 Beveiliging van netwerkdiensten...76 10.7 Behandeling van media...77 10.7.1 Beheer van verwijderbare media...77 10.7.2 Verwijdering van media...78 10.7.3 Procedures voor de behandeling van informatie...78 10.7.4 Beveiliging van systeemdocumentatie...79 10.8 Uitwisseling van informatie...80 10.8.1 Beleid en procedures voor informatie-uitwisseling...80 10.8.2 Uitwisselingsovereenkomsten...82 10.8.3 Fysiek transport van media...83 10.8.4 Elektronisch berichtenuitwisseling...83 10.8.5 Systemen voor bedrijfsinformatie...84 10.9 Diensten voor e-commerce...85 10.9.1 E-commerce...85 10.9.2 Onlinetransacties...86 10.9.3 Openbaar beschikbare informatie...87 10.10 Controle...88 10.10.1 Aanmaken audit-logbestanden...88 10.10.2 Controle van systeemgebruik...89 10.10.3 Bescherming van informatie in logbestanden...90 10.10.4 Logbestanden van administrators en operators...91 10.10.5 Registratie van storingen...91 10.10.6 Synchronisatie van systeemklokken...92 11 Toegangsbeveiliging...92 11.1 Bedrijfseisen ten aanzien van toegangsbeheersing...93 11.1.1 Toegangsbeleid...93 11.2 Beheer van toegangsrechten van gebruikers...95 11.2.1 Registratie van gebruikers...95 11.2.2 Beheer van speciale bevoegdheden...96 11.2.3 Beheer van gebruikerswachtwoorden...96 11.2.4 Beoordeling van toegangsrechten van gebruikers...97 11.3 Verantwoordelijkheden van gebruikers...97 11.3.1 Gebruik van wachtwoorden...97 11.3.2 Onbeheerde gebruikersapparatuur...98 11.3.3 Clear desk - en clear screen -beleid...99 11.4 Toegangsbeheersing voor netwerken...100 11.4.1 Beleid ten aanzien van het gebruik van netwerkdiensten...100 11.4.2 Authenticatie van gebruikers bij externe verbindingen...100 11.4.3 Identificatie van netwerkapparatuur...101 11.4.4 Bescherming op afstand van poorten voor diagnose en configuratie...101 11.4.5 Scheiding van netwerken...102 11.4.6 Beheersmaatregelen voor netwerkverbindingen...103 11.4.7 Beheersmaatregelen voor netwerkroutering...103 11.5 Toegangsbeveiliging voor besturingssystemen...104 11.5.1 Beveiligde inlogprocedures...104 11.5.2 Gebruikersindentificatie en -authenticatie...105 11.5.3 Systemen voor wachtwoordbeheer...106 11.5.4 Gebruik van systeemhulpmiddelen...106 11.5.5 Time-out van sessies...107 11.5.6 Beperking van verbindingstijd...107 11.6 Toegangsbeheersing voor toepassingen en informatie...108 11.6.1 Beperken van toegang tot informatie...108 11.6.2 Isoleren van gevoelige systemen...108 11.7 Draagbare computers en telewerken...109 11.7.1 Draagbare computers en communicatievoorzieningen...109 11.7.2 Telewerken...110 4

12 Verwerving, ontwikkeling en onderhoud van informatiesystemen...112 12.1 Beveiligingseisen voor informatiesystemen...112 12.1.1 Analyse en specificatie van beveiligingseisen...112 12.2 Correcte verwerking in toepassingen...113 12.2.1 Validatie van invoergegevens...113 12.2.2 Beheersing van interne gegevensverwerking...114 12.2.3 Integriteit van berichten...115 12.2.4 Validatie van uitvoergegevens...115 12.3 Cryptografische beheersmaatregelen...116 12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen...116 12.3.2 Sleutelbeheer...118 12.4 Beveiliging van systeembestanden...119 12.4.1 Beheersing van operationele programmatuur...119 12.4.2 Bescherming van testdata...120 12.4.3 Toegangsbeheersing voor broncode van programmatuur...121 12.5 Beveiliging bij ontwikkelings- en ondersteuningsprocessen...121 12.5.1 Procedures voor wijzigingsbeheer...121 12.5.2 Technische beoordeling van toepassingen na wijzigingen in het besturingssysteem...122 12.5.3 Restricties op wijzigingen in programmatuurpakketten...123 12.5.4 Uitlekken van informatie...123 12.5.5 Uitbestede ontwikkeling van programmatuur...124 12.6 Beheer van technische kwetsbaarheden...124 12.6.1 Beheersing van technische kwetsbaarheden...125 13 Beheer van informatiebeveiligingsincidenten...126 13.1 Rapportage van informatiebeveiligingsgebeurtenissen en zwakke plekken...126 13.1.1 Rapportage van informatiebeveiligingsgebeurtenissen...126 13.1.2 Rapportage van zwakke plekken in de beveiliging...128 13.2 Beheer van informatiebeveiligingsincidenten en -verbeteringen...128 13.2.1 Verantwoordelijkheden en procedures...128 13.2.2 Leren van informatiebeveiligingsincidenten...129 13.2.3 Verzamelen van bewijsmateriaal...130 14 Bedrijfscontinuïteitsbeheer...131 14.1 Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer...131 14.1.1 Informatiebeveiliging opnemen in het proces van bedrijfscontinuïteitsbeheer...131 14.1.2 Bedrijfscontinuïteit en risicobeoordeling...132 14.1.3 Continuïteitsplannen ontwikkelen en implementeren waaronder informatiebeveiliging...133 14.1.4 Kader voor de bedrijfscontinuïteitsplanning...134 14.1.5 Testen, onderhoud en herbeoordelen van bedrijfscontinuïteitsplannen...135 15 Naleving...136 15.1 Naleving van wettelijke voorschriften...136 15.1.1 Identificatie van toepasselijke wetgeving...136 15.1.2 Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)...136 15.1.3 Bescherming van bedrijfsdocumenten...137 15.1.4 Bescherming van gegevens en geheimhouding van persoonsgegevens...138 15.1.5 Voorkomen van misbruik van IT-voorzieningen...139 15.1.6 Voorschriften voor het gebruik van cryptografische beheersmaatregelen...140 15.2 Naleving van beveiligingsbeleid en -normen en technische naleving...140 15.2.1 Naleving van beveiligingsbeleid en -normen...140 15.2.2 Controle op technische naleving...141 15.3 Overwegingen bij audits van informatiesystemen...141 15.3.1 Beheersmaatregelen voor audits van informatiesystemen...142 15.3.2 Bescherming van audithulpmiddelen voor audits van informatiesystemen...142 Bijlage A (informatief) Stappen en documenten van het Information Security Management System...143 Bijlage B Vergelijkingstabel NEN 7510:2004, NEN 7510:2010 en NEN-EN-ISO 27799:2008...147 Bibliografie...151 5

Voorwoord Deze Nederlandse norm komt als herziening in de plaats van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-1:2005, NEN 7511-2:2005 en NEN 7511-3:2005. Bovendien vormt deze norm de Nederlandse weergave van de Europese en internationale norm NEN-EN-ISO 27799:2008. Die internationale norm geeft aanwijzingen voor het toepassen van de Code voor informatiebeveiliging NEN-ISO/IEC 27002:2005 in de gezondheidszorg. De Code voor informatiebeveiliging vormde ook de basis voor NEN 7510:2004. In deze herziening is de meest recente versie van de Code als startpunt genomen en zijn de aanwijzingen en aanscherpingen uit NEN-EN-ISO 27799 voor de Nederlandse situatie daarop aangebracht en is aanvullende tekst uit de eerdere versie van NEN 7510 en NEN 7511opgenomen. Deze norm besteedt nu uitgebreid aandacht aan het managementsysteem voor informatiebeveiliging en het risicobeheer dat daar deel van uitmaakt. De inhoud van hoofdstuk 4 over de aanpak van de informatiebeveiliging volgt daarin NEN-EN-ISO 27799, met dien verstande dat zoveel mogelijk wordt aangesloten bij NEN-ISO/IEC 27001. Het normatieve karakter van hoofdstuk 4 is daarmee versterkt. Voor de hoofdstukken met beheersmaatregelen zijn de indeling en nummering voor zover mogelijk gelijk gehouden aan die van NEN-ISO/IEC 27002. Ten opzichte van NEN 7510:2004 en NEN 7511 betekent dit dat hoofdstuk 15 over beveiligingsincidenten nu als hoofdstuk 13 is opgenomen en de hoofdstukken over Continuïteitsbeheer en Naleving een plaats zijn opgeschoven naar respectievelijk 14 en 15. Bijlage B laat zien waar de beheersmaatregelen uit NEN 7510:2004 in de voorliggende norm terug te vinden zijn. Overeenkomstig de zorgspecifieke aanscherpingen van NEN-EN-ISO 27799 staat in deze norm op verschillende plaatsen moeten, terwijl NEN-ISO/IEC 27002 overal behoren gebruikt. Waar moeten staat is er geen ruimte voor een eigen risicoafweging door de desbetreffende organisatie. Bij behoren is die risicoafweging doorslaggevend. Met de gekozen opzet is deze norm een compleet document. Er zijn geen normatieve verwijzingen meer opgenomen. Aansluitende normen zijn opgenomen in de bibliografie. In de hoofdstukken 5 t.m. 15 zijn de aanvullingen en aanscherpingen uit NEN-EN-ISO 27799 op de beheersmaatregelen van NEN-ISO/IEC 27002 vet weergegeven. Commentaar op het normontwerp Commentaar op dit normontwerp kan vóór 15 december 2010 elektronisch worden ingediend via www.normontwerpen.nen.nl. 6

0 Inleiding 0.1 Informatiebeveiliging Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade als gevolg van desondanks optredende verstoringen te beperken. Informatiebeveiliging is gericht op waarborging van de aspecten: beschikbaarheid: het zekerstellen dat gegevens en informatiediensten op de gewenste momenten beschikbaar zijn voor gebruikers; integriteit: het waarborgen dat gegevens niet ongecontroleerd worden gewijzigd of verloren gaan; vertrouwelijkheid: het beschermen van gegevens tegen onbevoegde kennisname. Behalve deze elementaire aspecten spelen bij informatiebeveiliging ook begrippen als betrouwbaarheid, authenticiteit, onweerlegbaarheid, controleerbaarheid en verantwoording een rol. Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Dit is vooral belangrijk in het steeds nauwer verweven bedrijfsleven. Door deze toenemende verwevenheid wordt informatie blootgesteld aan een toenemend aantal en breder scala van bedreigingen en zwakke plekken. Informatie kan in verschillende vormen voorkomen. De informatie kan zijn afgedrukt of geschreven op papier, elektronisch zijn opgeslagen, per post of via elektronische media worden verzonden, op film worden getoond of mondeling worden uitgewisseld. Informatie behoort altijd op geschikte wijze te worden beschermd, ongeacht de vorm of de wijze waarop deze wordt gedeeld of opgeslagen. Informatiebeveiliging wordt bereikt door een geschikte verzameling beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. Deze beheersmaatregelen moeten worden vastgesteld, gecontroleerd, beoordeeld en waar nodig verbeterd om te waarborgen dat de specifieke beveiligings- en bedrijfsdoelstellingen van de organisatie worden bereikt. Dit behoort te worden gedaan in samenhang met andere bedrijfsbeheerprocessen. De keuze van maatregelen voor informatiebeveiliging houdt een afweging in van risico s, kosten en praktische mogelijkheden. De stand van de techniek speelt bij het laatste een belangrijke rol. De afweging zal telkens opnieuw moeten worden gemaakt. Informatiebeveiliging vereist dan ook een besturingsproces. 0.2 Specifiek voor de gezondheidszorg Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatievoorziening ( een overal bereikbaar patiëntdossier ) met bijzondere risico s (soms zelfs levensbedreigend, veelal zeer gevoelig). De gezondheidszorg vraagt daarom een specifieke weging van de bovengenoemde aspecten van informatiebeveiliging. Zorginstellingen zijn open organisaties waar patiënten, familie en bezoekers in beginsel toegang hebben. Bij grote zorginstellingen kan het aantal mensen dat in operationele gebieden komt aanzienlijk zijn. Dit maakt de informatiesystemen extra kwetsbaar voor fysieke bedreigingen. De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt naadloze zorg. De informatiebeveiliging moet zich dus uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen. 7

Naarmate zorginstellingen voor de levering van zorg steeds afhankelijker worden van informatiesystemen (bijvoorbeeld door toepassen van beslissingsondersteuning en de toenemende toepassing van medische apparatuur met ingebouwde programmatuur), wordt het steeds duidelijker dat gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, ingrijpende klinische gevolgen kunnen hebben. Met verwijzing naar ethische of wettelijke verplichtingen kan het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen worden aangemerkt als nalatigheid. De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Beroepen in de Individuele Gezondheidszorg (Wet BIG). Volgens de WGBO sluit de behandelaar met de patiënt een behandelingsovereenkomst, heeft hij/zij daarbij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico's waaraan deze wordt blootgesteld. Voor systemen met patiëntgegevens is hoge beschikbaarheid een eerste eis. Tijd is vaak een kritische factor in de behandeling. Bovendien kan in noodsituaties acuut behoefte zijn aan de informatie. De integriteit van de gegevens is daarbij zeker vereist. Daarnaast moet ter bescherming van de privacy voor alle persoonsgegevens de vertrouwelijkheid worden gewaarborgd. Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist (zie 4.3.4). De resultaten van regelmatige risicobeoordeling moeten worden gebruikt voor het bepalen van de prioriteiten en middelen van de implementerende organisatie. Toepassing van de beheersmaatregelen in de hoofdstukken 5 t.m. 15 dient het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en maakt dat de toegang tot de informatie kan worden ge-audit en verantwoord. De beheersmaatregelen helpen fouten in de zorg te voorkomen die ontstaan door verlies van integriteit in patiëntinformatie. De maatregelen zijn belangrijk voor de continuïteit van zorg. 0.3 Deze Nederlandse norm Deze norm biedt een gemeenschappelijk raamwerk voor het inrichten van de informatiebeveiliging in de gezondheidszorg. Dit gemeenschappelijke kader is nodig met het oog op de samenwerking binnen en tussen verschillende organisaties in de zorg. De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle zorginstellingen en andere organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere zorginstelling is anders. Zelfs wanneer zorginstellingen zich met dezelfde dienstverlening bezighouden kunnen er grote verschillen bestaan. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van de informatieverwerking die wordt gebruikt of in de cultuur van de mensen die er werken. Omdat iedere organisatie anders is, bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke zorginstelling moeten worden toegespitst. Het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd. Deze norm geeft aanwijzingen voor de verantwoordelijke(n) bij het bepalen van specifieke doelstellingen en de realisatie daarvan. In dit kader is het ook van belang dat men rekening houdt met het gegeven dat implementatie van technische maatregelen ten koste kan gaan van de discipline van de gebruikers om zelf verantwoording voor de beveiliging te nemen. De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, maar bevat geen expliciete aanwijzingen voor specifieke technische maatregelen. Bijvoorbeeld niet te lezen zal zijn welke methode van encryptie moet worden toegepast. 8

Dit document is bedoeld voor degenen die een rol spelen bij het organiseren en bewaken van de informatiebeveiliging in de zorg. Die rollen kunnen op uiteenlopende wijzen zijn ingevuld en belegd in verschillende betrokken organisaties, zoals individuele zorgverleners, zorginstellingen, verzekeraars, certificerende organisaties en de Inspectie voor de Gezondheidszorg. De norm is in eerste instantie gericht op de leiding van de verschillende organisaties. Deze moet zorgen voor het toewijzen en invullen van de rollen en verantwoordelijkheden voor het organiseren en bewaken van de informatiebeveiliging. De norm richt zich vervolgens tot de degenen die aldus in het informatiebeveiligingsproces zijn betrokken. 9

Medische informatica Informatiebeveiliging in de zorg 1 Onderwerp en toepassingsgebied Deze norm geeft richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven van maatregelen die een organisatie in de gezondheidszorg moet treffen ter beveiliging van de informatievoorziening. De organisaties waarop de norm zich richt, variëren van individuele zorgverleners tot grote zorginstellingen en andere organisaties die bij de informatievoorziening in de gezondheidszorg zijn betrokken, zoals netwerkorganisaties en zorgverzekeraars. Het toepassingsgebied omvat de beveiliging van alle typen informatie in en tussen de genoemde organisaties en alle mogelijke vormen waarin de informatie wordt weergegeven, vastgelegd en overgedragen. Om de vereiste waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te bepalen is een risicobeoordeling nodig. Risicobeoordeling is onderdeel van de eerste fase in de cyclus voor het beheersen van de informatiebeveiliging. Door implementatie van de beheersmaatregelen bij elk van de beheersdoelstellingen in deze norm kan een organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. Deze norm geeft daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en biedt zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende organisaties in de gezondheidszorg. 2 Termen en definities Voor de toepassing van dit document gelden de volgende definities. 2.1 authenticatie verifiëren van beweerde identiteit 2.2 autorisatie toekennen van bevoegdheden 2.3 autorisatieprotocol autorisatietabel, die bepaalt welke categorieën patiëntgegevens voor welke categorieën zorgaanbieders toegankelijk zijn onder welke voorwaarden 2.4 bedreiging potentiële oorzaak van een ongewenst incident dat een systeem of organisatie schade kan toebrengen [NEN-ISO/IEC 27000:2009] 2.5 bedrijfsmiddel alles dat waarde heeft voor de organisatie [NEN-ISO/IEC 27000:2009] 2.6 beheersmaatregel middel om risico te beheersen, waaronder beleid, procedures, richtlijnen, werkwijzen of organisatiestructuren, die administratief, technisch, beheersmatig of juridisch van aard kunnen zijn OPMERKING Beheersmaatregel wordt ook gebruikt als een synoniem voor waarborging of tegenmaatregel. 10

2.7 beleid algehele intentie en richting die formeel door de directie wordt onderschreven 2.8 beschikbaarheid kenmerk dat iets toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit [NEN-ISO/IEC 27000:2009] 2.9 beveiligingskenmerken aanduidingen die aan gegevens worden toegekend om de beveiliging en het gebruik van de gegevens te kunnen sturen 2.10 derde partij persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien 2.11 dienstverband relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken OPMERKING 1 Het begrip dienstverband is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten. OPMERKING 2 De uitdrukking dienstverband is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten. 2.12 gebeurtenis optreden van of wijziging in een bepaalde combinatie van omstandigheden 2.13 gevolg uitkomst van een gebeurtenis, waardoor doelstellingen worden beïnvloed 2.14 identificatie bepalen van de identiteit van een persoon of andere entiteit 2.15 informatiebeveiliging treffen van maatregelen voor het behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie; daarnaast kunnen ook andere eigenschappen, zoals authenticiteit, verantwoording, onweerlegbaarheid en betrouwbaarheid hierbij een rol spelen 11

2.16 informatiebeveiligingsgebeurtenis vastgestelde status van een systeem, dienst of netwerk die duidt op een mogelijke overtreding van het beleid voor informatiebeveiliging of een falen van beveiligingsvoorzieningen, of een tot dan toe onbekende situatie die relevant kan zijn voor beveiliging [NPR-ISO/IEC TR 18044:2004] 2.17 informatiebeveiligingsincident afzonderlijke gebeurtenis of een serie ongewenste of onverwachte informatiebeveiligingsgebeurtenissen waarvan het waarschijnlijk is dat ze nadelige gevolgen voor de bedrijfsvoering hebben en een bedreiging vormen voor de informatiebeveiliging [NPR-ISO/IEC TR 18044:2004] 2.18 informatiedomein gespecificeerd gebied waarbinnen verantwoordelijkheden voor informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor unieke identificatie van entiteiten 2.19 integriteit eigenschap dat de nauwkeurigheid en volledigheid van bedrijfsmiddelen wordt beveiligd [NEN-ISO/IEC 27000:2009] 2.20 IT-voorzieningen elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht 2.21 klant persoon die gebruik maakt van diensten of faciliteiten van de organisatie 2.22 kwetsbaarheid intrinsieke eigenschappen van iets die leiden tot gevoeligheid voor een risicobron, hetgeen kan leiden tot een gebeurtenis met een gevolg 2.23 loggen chronologisch vastleggen van gebeurtenissen 2.24 logging resultaat van het loggen. Dit is een verzamelbegrip voor de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', en de 'logbestanden' waarin deze worden bewaard 12

2.25 managementsysteem voor informatiebeveiliging ISMS dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico s, tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging OPMERKING Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie. [NEN-ISO/IEC 27001:2005] 2.26 mobile code interpreteerbare of uitvoerbare programmatuur die (door serversystemen) via een netwerk aan desktopcomputer c.q. computerterminal wordt overgedragen OPMERKING 1 Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze programmatuur installeert of activeert. OPMERKING 2 Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. e-mail, webpagina s of documenten. en zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro s binnen documenten. 2.27 restrisico risico dat overblijft na risicobehandeling 2.28 patiënt natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders; in de praktijk omvat deze groep alle in Nederland verblijvende personen 2.29 patiëntdossier totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en verzorging van een bepaalde persoon documenteren OPMERKING Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, geen patiëntendossier, o.a. om te benadrukken dat het meestal gaat om het dossier van één patiënt. 2.30 patiëntgegevens medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele patiënten 2.31 richtlijn beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd [NEN-ISO/IEC 27000:2009] 2.32 risico effect van onzekerheid op het behalen van doelstellingen 13

2.33 risicoaanvaarding onderbouwd besluit tot het nemen van een bepaald risico 2.34 risicoanalyse proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen 2.35 risicobehandeling proces waarmee een risico wordt aangepast 2.36 risicobeheer gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico s OPMERKING Risicobeheer omvat doorgaans risicobeoordeling, risicobehandeling, risicoacceptatie en risicocommunicatie. 2.37 risicobeoordeling gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie 2.38 risicobron element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden 2.39 risico-evaluatie proces waarin de resultaten van een risicoanalyse worden vergeleken met risicocriteria om vast te stellen of het risico en/of de omvang ervan aanvaardbaar of tolereerbaar is 2.40 risico-identificatie proces waarmee risico's worden opgespoord, herkend en beschreven 2.41 risiconiveau omvang van een risico of combinatie van risico's, uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid 14

2.42 verantwoordelijke degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces 2.43 verklaring van toepasselijkheid gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en toepasbaasr zijn op het ISMS van de organisatie OPMERKING Beheersdoelstellingen en beheersmaatregelen zijn gebaseerd op de resultaten en conclusies van risicobeoordeling en risicobehandelingsproces, eisen uit wet- of regelgeving, contractuele verplichtingen en de eisen die de organisatie aan informatiebeveiliging stelt. 2.44 vertrouwelijkheid eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen [NEN-ISO/IEC 27000:2009] 2.45 zorgaanbieder zorgverlener of zorginstelling die actief is in de verlening van zorgdiensten 2.46 zorgconsument natuurlijk persoon die feitelijk of potentieel gebruik maakt van diensten van zorgaanbieders. Binnen deze norm wordt hiervoor de term patiënt gebruikt 2.47 zorg(diensten) onderzoek, het geven van raad en het uitvoeren van handelingen op het gebied van de gezondheidszorg 2.48 zorginformatiesysteem informatiesysteem ter ondersteuning van een zorginstelling 2.49 zorginstelling organisatorisch verband zoals bedoeld in de Kwaliteitswet zorginstellingen aangevuld met door de minister van Volksgezondheid, Welzijn en Sport aangewezen organisatorische verbanden 2.50 zorgproces gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgaanbieders 2.51 zorgverlener persoon die is geautoriseerd specifieke zorgdiensten te leveren 3 Structuur en aanwijzingen voor het gebruik van deze norm Deze norm geeft in hoofdstuk 4 aanwijzingen voor de aanpak van informatiebeveiliging in een organisatie volgens een PDCA-beheerscyclus (PLAN, DO, CHECK, ACT). Een overzicht van de stappen in deze cyclus en daarbij behorende documenten is opgenomen in Bijlage A. 15

Bestelformulier Stuur naar: NEN Uitgeverij t.a.v. afdeling Marketing Antwoordnummer 10214 2600 WB Delft Ja, ik bestel NEN Uitgeverij Postbus 5059 2600 GB Delft Vlinderweg 6 2623 AX Delft T (015) 2 690 390 F (015) 2 690 271 www.nen.nl/normshop ex. NEN 7510:2010 Ontw. nl Medische informatica - Informatiebeveiliging in de zorg 59.10 Wilt u deze norm in PDF-formaat? Deze bestelt u eenvoudig via www.nen.nl/normshop Stel uw vraag aan Klantenservice via: @NEN_webcare Gratis e-mailnieuwsbrieven Wilt u op de hoogte blijven van de laatste ontwikkelingen op het gebied van normen, normalisatie en regelgeving? Neem dan een gratis abonnement op een van onze e-mailnieuwsbrieven. www.nen.nl/nieuwsbrieven Gegevens Bedrijf / Instelling T.a.v. O M O V E-mail Klantnummer NEN Uw ordernummer BTW nummer Postbus / Adres Postcode Plaats Telefoon Fax Factuuradres (indien dit afwijkt van bovenstaand adres) Postbus / Adres Postcode Plaats Datum Handtekening Retourneren Fax: (015) 2 690 271 E-mail: marketing@nen.nl Post: NEN Uitgeverij, t.a.v. afdeling Marketing Antwoordnummer 10214, 2600 WB Delft (geen postzegel nodig). Voorwaarden De prijzen zijn geldig tot 31 december 2015, tenzij anders aangegeven. Alle prijzen zijn excl. btw, verzend- en handelingskosten en onder voorbehoud bij o.m. ISO- en IEC-normen. Bestelt u via de normshop een pdf, dan betaalt u geen handeling en verzendkosten. Meer informatie: telefoon (015) 2 690 391, dagelijks van 8.30 tot 17.00 uur. Wijzigingen en typefouten in teksten en prijsinformatie voorbehouden. U kunt onze algemene voorwaarden terugvinden op: www.nen.nl/leveringsvoorwaarden. Normalisatie: de wereld op één lijn. preview - 2015

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback