Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1
Inhoud Informatiebeveiligingsplan 1. Inleiding 1.1 Doel van informatiebeveiliging 1.2 Werkingsgebied 1.3 Verantwoordelijke 2. Inventarisatie huidige situatie 2.1.Voldoende geregelde aspecten 2.2 Acties komend jaar 2.2 Acties lange termijn 3. Evaluatie 3.1 Incidenten 3.2 Getroffen maatregelen 3.3 Nieuwe bedreigingen 2
1. Inleiding 1.1 Doel van informatiebeveiliging Het bewaken van de privacy van onze patiënt hoort bij onze verantwoordelijkheid als zorgverlener. Met het toenemen van de ICT-mogelijkheden wordt het belangrijker om informatiebeveiliging professioneel op te pakken om er zo voor te zorgen dat niemand ongeoorloofd inzage heeft in de gegevens van onze patiënten, dat de patiëntgegevens ook bij calamiteiten beschikbaar blijven en dat we er vanuit kunnen gaan dat de gegevens zoals die geregistreerd staan ook correct zijn. 1.2 Werkingsgebied Dit informatiebeveiligingsplan is van toepassing op onze praktijk. Dit plan richt zich op de praktijkeigenaren, ingehuurde medewerkers, medewerkers in dienst van de praktijk en tijdelijk personeel. 1.3 Verantwoordelijke Binnen deze praktijk is Mevr. E de Wolf verantwoordelijk voor het opstellen en uitvoeren van het informatiebeveiligingsplan. 2. Inventarisatie huidige situatie 2.1 Voldoende geregelde aspecten De volgende zaken zijn in deze praktijk voldoende geregeld: A. Beschikbaarheid - Dossiers zijn altijd volledig bijgewerkt - Alle patiëntgegevens zijn BSN-gekoppeld - De patiëntgegevens zijn beschikbaar als u ze nodig heeft - De uitwijk en gegevensherstel bij calamiteiten is geregeld - Patiëntgegevens zijn minimaal 15 jaar beschikbaar - Incidenten van informatiebeveiliging worden gemeld en vastgelegd B. Integriteit - De medewerkers zijn opgeleid voor het werken met de systemen - Het informatiesysteem controleert ingevoerde gegevens op juistheid, volledigheid en actualiteit - Het informatiesysteem ondersteunt bij de correctie van foute invoer - Er zijn goede afspraken met de helpdesk gemaakt 3
- Gegevens van derden worden gecontroleerd op betrouwbaarheid - Er is een goede afweer tegen virussen, spam, et cetera - Nieuwe systeemdelen/versies worden getest - Er zijn goede afspraken over het aansluiten of installeren van hardware of applicaties aan praktijkapparatuur C. Privacy - Patiëntprivacy is een regelmatig terugkerend gespreksonderwerp in onze praktijk - Medewerkers worden aangesproken op hun gedrag - Er zijn heldere regels over het verstrekken van patiëntinformatie - Bij uitbesteding van het beheer van het informatiesysteem zijn er passende beveiligingsmaatregelen afgesproken én vastgelegd - De toegang tot het Tandarts Informatiesysteem sluit aan op de taken van de medewerker - Ook vanuit thuis wordt veilig gewerkt - Het informatiesysteem en de leverancier daarvan ondersteunen de privacy van patiënten - Patiëntgegevens kunnen niet op straat komen 2.2 Acties komend jaar De volgende zaken worden het komende jaar opgepakt: C. Privacy - In de praktijk wordt nog niet altijd het principe van clear desk en clear screen gehanteerd Mogelijke oplossingen - Clear desk en clear screen principe vastleggen in het gedragsprotocol van de praktijk. De KNMT biedt een concept-gedragsprotocol waarin dit is opgenomen - Schermbeveiliging op de systemen instellen, zodat gegevens na een periode van inactiviteit niet zichtbaar worden - Een programma voor auto shutdown installeren - De UZI-pas uit de paslezer halen als de werkplek wordt verlaten - Uitloggen wanneer een medewerker van zijn/haar plaats gaat 2.3 Acties lange termijn Geen aspecten van toepassing. 4
3. Eerste evaluatie van 3-3-2015 tot 3-3-2016 nvt 3.1 Incidenten Tot op heden zijn er geen incidenten met betrekking tot de informatie beveiliging geweest 3.2 Getroffen maatregelen nvt 3.3 Nieuwe bedreigingen Tot op heden zijn er geen nieuwe bedreigingen met betrekking tot de informatie beveiliging geweest 5