D01 Beleidsdocument informatiebeveiliging - KNMP.nl ... · Web viewHet aantal keren dat met...

Hoofdproces: InformatiebeveiligingDocument: Informatiebeveiligingsbeleid Apotheek @ Versie: 1.0Geldig van <datum> tot en met <datum>. Datum volgende revisie: <datum>.

Eigenaar: Security Officer. Vastgesteld op <datum> door de Directie.

Gebruikers: Alle medewerkers en belanghebbenden van <organisatie>.

Dit document is niet ingetrokken.

Classificatie: Openbaar

informatiebeveiligingApotheek @

Pagina 1 van 20






Inhoud1 Vooraf.............................................................................................................................................5

2 Doel................................................................................................................................................5

2.1 Doel beleid..............................................................................................................................5

2.2 Doel dit document..................................................................................................................5

2.3 Reikwijdte van dit document..................................................................................................6

3 Context, wetgeving en belanghebbenden......................................................................................6

3.1 Context en ontwikkelingen.....................................................................................................6

Algemeen.......................................................................................................................................6

Speficiek.........................................................................................................................................6

3.2 Wet- en regelgeving...............................................................................................................6

3.3 Belanghebbenden...................................................................................................................7

4 Soorten informatie.........................................................................................................................7

5 Organisatie.....................................................................................................................................8

5.1 Plan do check act....................................................................................................................8

Plan:................................................................................................................................................8

Do:..................................................................................................................................................9

Check:.............................................................................................................................................9

Act:.................................................................................................................................................9

5.2 Verantwoordelijkheden..........................................................................................................9

5.3 Uitbesteden..........................................................................................................................10

6 Risico’s en Maatregelen...............................................................................................................10

7 Uitgangspunten beveiliging..........................................................................................................11

7.1 ICT beveiliging.......................................................................................................................11

7.2 Fysieke beveiliging................................................................................................................11

7.3 Mens en organisatie.............................................................................................................12

7.4 Uitwisselen gegevens...........................................................................................................12

8 Rapportages.................................................................................................................................12

8.1 Jaarlijks rapport....................................................................................................................12

8.2 Kritische prestatieindicatoren...............................................................................................12

9 Samenvatting................................................................................................................................13

Pagina 2 van 20






10 Bijlage handreiking beveiligingsmaatregelen...........................................................................14

10.1 Mobiele gegevensdragers (M1, M2, M39)............................................................................14

ICT maatregelen...........................................................................................................................14

Mens en organisatie.....................................................................................................................14

10.2 Administratie ICT -middelen, informatie en leveranciers (M3, M12, M14, M15).................14


10.3 Overzicht gedragsregels en communicatie (M5, M16, 27)...................................................14


10.4 Authenticatie en Autorisaties (M6, M29, M40)....................................................................15

ICT maatregelen...........................................................................................................................15


10.5 Encryptie (M1, M7, M34)......................................................................................................16

ICT maatregelen...........................................................................................................................16

10.6 Fysieke beveiliging (M8, M9, M 22, M41).............................................................................16


Fysieke maatregelen.....................................................................................................................16

10.7 Netwerkbeveiliging (M11, M37)..........................................................................................16

ICT maatregelen...........................................................................................................................16

10.8 In- uit- dienst procedure (M4, M17, M38)............................................................................17


10.9 Beveiligd communiceren (M 21)...........................................................................................17

ICT maatregelen...........................................................................................................................17

Fysieke maatregelen.....................................................................................................................17


10.10 Melden en afhandelen incidenten (M23).........................................................................17


10.11 Beheer ICT (M10, M13, M19, M28, M34).........................................................................18


ICT maatregelen...........................................................................................................................18

10.12 Leveranciersmanagement (M26, M44).............................................................................18


10.13 Logging (M18, M32)..........................................................................................................18

Pagina 3 van 20






ICT maatregelen...........................................................................................................................18


10.14 Beheer van de website.....................................................................................................19


10.15 Continuiteit.......................................................................................................................19


Pagina 4 van 20






1 Vooraf

Informatiebeveiliging gaat over het inrichten van een samenhangend stelsel van beveiligingsmaatregelen om beschikbaarheid, integriteit en vertrouwelijkheid van informatie te beschermen. Op basis van periodieke risicobeoordelingen worden beveiligingsmaatregelen gekozen en ingevuld. Door middel van periodieke controles wordt bestaan en werking van beveiligingsmaatregelen geborgd. We onderscheiden drie soorten beveiligingsmaatregelen: Maatregelen ter fysieke beveiliging, zoals de beveiliging van gebouwen en de fysieke toegang

door individuen. Maatregelen die samenhangen met het gedrag, bewustzijn en kennis van medewerkers. Maatregelen op het werkterrein van de ICT, zoals firewalls, virusscanners etc.

Met informatie wordt in dit document bedoeld informatie in digitale vorm én op papier. In de bijlage is een verklarende woordenlijst opgenomen.

2 Doel

2.1 Doel beleidMet dit beleid heeft Apotheek @ de volgende doelen:

- Dat beschikbaarheid, Integriteit (correctheid) en Vertrouwelijkheid van informatie is geborgd.

- Dat informatie in lijn met wet- en regelgeving wordt verwerkt. - Dat de toegang tot informatie is geregeld langs het ‘need to know’ principe. Dat wil zeggen

dat gebruikers alleen toegang hebben tot informatie, voor de tijdsduur, die noodzakelijk is voor het uitvoeren van hun taken.

- Dat incidenten (onrechtmatige verwerking van informatie) in lijn met wet- en regelgeving worden afgehandeld.

- Dat patiënten de rechten die ze hebben op grond van de WGBO en de AVG kunnen effectueren.

Apotheek @ verwerkt bijzondere /vertrouwelijke persoonsgegevens van medewerkers, patiënten en relaties. Apotheek @ erkent dat dit een grote verantwoordelijkheid met zich meebrengt en Apotheek @ geeft hoge prioriteit aan het beveiligen van persoonsgegevens. Apotheek @ streeft ernaar te voldoen aan de NEN 7510:2017. Apotheek @ heeft in een Verklaring van Toepasselijkheid vastgelegd welke beheersmaatregelen uit de NEN 7510:2017 van toepassing zijn en hoe de beheersmaatregelen zijn ingevoerd.

2.2 Doel dit document Informatiebeveiliging is relevant voor alle processen van Apotheek @. Dit document geeft een totaaloverzicht van de inrichting van informatiebeveiliging en ondersteunt hiermee het beheersproces.

Pagina 5 van 20






2.3 Reikwijdte van dit documentDit document en het informatiebeveiligingsbeleid beslaat alle processen van Apotheek @, met alle locaties en alle interne en externe medewerkers.

3 Context, wetgeving en belanghebbendenInformatiebeveiliging binnen een organisatie staat niet op zichzelf, het is afhankelijk van de interne en externe context, ontwikkelingen, wet- en regelgeving en belanghebbenden. In dit hoofdstuk worden deze onderwerpen belicht.

3.1 Context en ontwikkelingenApothekers vervullen een spilfunctie binnen de eerste lijn de Nederlandse gezondheidszorg. Relevant voor informatiebeveiliging zijn onderstaande kenmerken:

N.B. Dit is een voorbeeld, vul zelf aan en of verbeter.

Algemeen - Apothekers wisselen veelvuldig informatie uit over patienten met veel verschillende

ketenpartners in de zorg. - Het aantal patienten van apothekers is relatief groot en patiënten wisselen vaak. - De integriteit en beschikbaarheid van informatie over medicatie is cruciaal voor de kwaiteit

van de zorg. Fouten of onbeschikbaarheid kunnen leiden tot ernstige schade aan patiënten. - Door ontwikkelingen op het gebied van geintegreerde eerstelijnszorg gaan apothekers meer

en meer samenwerkingsverbanden aan. - Patiënten stellen steeds hogere eisen aan de snelheid en en flexibiliteit van de

dienstverlening van apothekers, een ontwikkeling die strijdig kan zijn met de privacy-wetgeving.

Speficiek - Apotheek @ werkt nauw samen met Apotheek &. Mogelijk resulteert deze samenwerking in

een fusie. - Apotheek @ is relatief klein, waardoor het lastiger is de juiste functiescheiding toe te passen. - Etc.

N.B. Geef hier kenmerken van de organisatie, die van invloed kunnen zijn op informatiebeveilging.

3.2 Wet- en regelgeving Voor apothekers is onderstaande wet- en regelgeving specifiek relevant:

- Wet op de Geneeskundige behandelovereenkomst (WGBO)- De Algemene Verordening Gegevensbescherming (AVG)- Besluit elektronische gegevensverwerking door zorgaanbieders- Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

Op grond van deze wet- en regelgeving zijn apothekers eraan gehouden om informatiebeveiliging in te richten aan de hand van onderstaande normenkaders:

Pagina 6 van 20






NEN 7510:2017, het algemene normenkader voor informatiebeveiliging in de zorg. NEN 7512:2015. het normenkader voor gegevensuitwisseling in de zorg. NEN 7513:2010, het normenkader voor logging in de zorg.

3.3 Belanghebbenden Apotheek @ heeft de volgende groepen belanghebbenden:

- Patiënten. - Medewerkers. - Ketenpartners en hun medewerkers. - Verzekeraars

Dit beleid of een samenvatting hiervan wordt desgevraagd aan (vertegenwoordigers van) belanghebbenden ter beschikking gesteld. Er wordt aan hen gevraagd om input te leveren op dit beleid.

4 Soorten informatie Apotheek @ verwerkt verschillende soorten informatie. Voor elke soort heeft Apotheek @ de mate van vertrouwelijkheid bepaald. Apotheek @ ziet erop toe dat de beveiligingsmaatregelen passen bij deze waardering.

Apotheek @ onderscheidt vier klassen van vertrouwelijkheid:

Zeer vertrouwelijk: medische gegevens, alle gegevens die betrekking hebben op patiënten. Gegevens over medewerkers. Vertrouwelijk: persoonsgegevens die niet direct gevoelig zijn, zoals contactgegevens van medewerkers. Intern: financiële gegevens, contactgegevens medewerkers. Openbaar: gegevens op de website.

Hieronder wordt voor de verschillende soorten informatie aangegeven de klasse, de regels voor het gebruik (beleidsregels) en het beveiligingsniveau.

Wat Klasse Persoonsgegevens

BeleidsRegels

Medische gegevens patienten

Zeer vertrouwelijk

Ja Deze gegevens zijn in principe alleen toegankelijk voor degenen die een behandelrelatie hebben met de patient.

Zonodig worden deze gegevens verwerkt ten behoeven van kwaliteitszorg en bedrijfsvoering.

Beveiligingsniveau: Zeer hoogContactgegevens Zeer Ja Deze gegevens zijn toegankelijk voor

Pagina 7 van 20






patienten, zoals naam en adres

vertrouwelijk degenen die betrokken zijn bij de medische zorg.

Beveiligingsniveau Zeer hoogContactgegevens medewerkers

Vertrouwelijk Ja Deze gegevens zijn toegankelijk voor medewerkers en relaties van Apotheek @

Beveiligingsniveau: Gemiddeld. Functionerings- en financiele gegevens medewerkers

Zeer vertrouwelijk

Ja Deze gegevens zijn alleen toegankelijk voor de betreffende medewerker en de medewerker belast met personeelszaken.

Beveiligingsniveau Hoog. Financiële gegevens apotheek

Intern Nee Deze gegevens zijn alleen toegankelijk voor directie.

Beveiligingsniveau: Gemiddeld. Gegevens op de website

Openbaar Ja, beperkt.

Deze gegevens zijn openbaar toegankelijk.

Beveiligingsniveau: beveiligd tegen verandering.

Publicaties, beleid etc. Openbaar Ja, beperkt

Deze gegevens zijn openbaar toegankelijk.

Beveiligingsniveau: niet van toepassing.

Apotheek @ heeft maatregelen genomen zodat medewerkers op de hoogte zijn van bovenstaande klassificatie en van de regels die hieruit voortvloeien. Apotheek @ heeft besloten dat het niet nodig is om gegevens te labelen, omdat medewerkers zelf kunnen bepalen tot welke klasse informatie behoort.

5 Organisatie

5.1 Plan do check actOm informatiebeveiliging bestendig in te voeren heeft Apotheek @ een Plan Do Check Act cyclus ingericht, met de volgende onderdelen:

Plan:- Opstellen /beoordelen van het informatiebeveiligingsbeleid waarin voor alle relevante

deelonderwerpen zijn vastgelegd uitgangspunten, concrete doelen en de criteria voor het vaststellen van effectiviteit. Het beleid is vastgelegd in dit document.

- Apotheek @ beschikt over een overzicht van alle ICT -middelen en informatie op papier en over een Register van Verwerkingen, dat voldoet aan de eisen van de AVG. Voor elk van de ICT middelen is een eigenaar (verantwoordelijke) aangewezen.

- Apotheek @ heeft voor alle ICT-middelen ne informatie, de klasse en het beveiligingsniveau vastgesteld.

Pagina 8 van 20






- Apotheek @ heeft risico’s geïnventariseerd en voor elk risico vastgesteld of het risiconiveau acceptabel is.

- Apotheek @ heeft maatregelen geformuleerd voor de risico’s die niet geaccepteerd kunnen worden en deze maatregelen verwerkt tot een Plan van Aanpak.

- Apotheek @ zal bij ontwikkelingen en veranderingen, die van invloed kunnen zijn op de privacy, een Gegevensbeschermingseffectbeoordeling uitvoeren, in lijn met de AVG.

Do: - Apotheek @ is gestart met het uitvoeren van het Plan van Aanpak. Apotheek @ controleert

periodiek of de invoering van de beveiligingsmaatregelen goed verloopt. - Waar het niet mogelijk is om beveiligingsmaatregelen tijdig en volledig in te voeren, bedenkt

Apotheek @ compenserende maatregelen om het risico alsnog te mitigeren.

Check:- Apotheek @ voert aan de hand van een jaarplanning periodiek controles uit op bestaan en

werking van beveiligingsmaatregelen. - Apotheek @ heeft een procedure ingericht voor het melden en afhandelen van incidenten op

het gebied van informatiebeveiliging. - Jaarlijks stelt Apotheek @ een rapport op met een overzicht van de stand van zaken op het

gebied van informatiebeveiliging. In elk geval komen in dit rapport aan de orde: de voortgang van het uitvoeren van het Plan van Aanpak, het optreden en afhandelen van incidenten, een overzicht van de resultaten van controles en een overzicht van de werking (effectiviteit) van de beveiligingsmaatregelen.

Act: - Apotheek @ heeft een procedure voor het reageren op onverwachte gebeurtenissen en op

ontwikkelingen. De procedure voorziet erin dat het beoogde beveiligingsniveau gehandhaafd blijft en dat aanpassingen tijdig worden doorgevoerd aan het beleid en beveiligingsmaatregelen.

De Plan Do Check Act cyclus wordt jaarlijks minimaal een keer doorlopen.

5.2 VerantwoordelijkhedenApotheek @ heeft de verantwoordelijkheden voor de verschillende onderdelen van informatiebeveiliging duidelijk omschreven en belegd bij verschillende medewerkers. Apotheek @ zorgt ervoor dat medewerkers, voldoende tijd en training ontvangen, om de werkzaamheden te kunnen uitvoeren. Apotheek @ heeft bij het aanwijzen van de verantwoordelijken erop gelet dat conflicterende taken niet verenigd zijn in een persoon.

De <persoon> vervult binnen Apotheek @ de rol van Functionaris Gegevensbescherming (FG). De FG ziet erop toe dat Apotheek @ persoonsgegevens op zorgvuldige wijze, in lijn met wet- en regelgeving verwerkt. Apotheek @ heeft ervoor gezorgd dat de FG voldoende kennis heeft verworven van privacy en beveiliging. De FG heeft een onafhankelijke positie binnen de organisatie.

Pagina 9 van 20






Beveiliging omvat verschillende soorten maatregelen die in samenhang met elkaar genomen moeten worden. Om deze reden zijn medewerkers met taken op het gebied van facilitair beheer, ICT – beheer, personeelsmanagement belast met onderdelen van informatiebeveiliging.

<persoon 1> is in Apotheek @ verantwoordelijk voor de fysieke beveiligingsmaatregelen. <persoon 2> is verantwoordelijk voor personeelsmanagement en daarmee ook voor de beveiligingsmaatregelen op het gebied van kennis, bewustwording en gedrag. Apotheek @ heeft een groot deel van de ICT – gerelateerde beveiligingsmaatregelen uitbesteed aan leveranciers. <persoon 3> is verantwoordelijk voor het aansturen van de betrokken leverancier en voor de ICT gerelateerde maatregelen.

Deze medewerkers worden betrokken bij het uitvoeren van gegevensbeschermingseffectbeoordelingen en periodieke risicobeoordelingen.

Informatiebeveiliging is standaard geagendeerd op het overleg <naam overleg>. Vanuit dit overleg wordt gerapporteerd aan directie over de stand van zaken met betrekking tot informatiebeveiliging. De FG ziet erop toe dat het onderwerp beveiliging en privacy voldoende aan bod komt.

N.B. De NEN 7510:2017 vereist het bestaan van een InformatieBeveiligingsManagementForum (IBMF). Dat is wat zwaar voor een apotheek, daarom zijn de taken van het IBMF in dit document ondergebracht in een bestaand overleg.

Alle medewerkers van Apotheek @ zijn verantwoordelijk voor het voor het volgen van de gedragsregels en het melden van incidenten en kwetsbaarheden.

Voor elk van de ICT-middelen en dossiers zijn medewerkers van Apotheek @ zijn aangewezen als Eigenaar (verantwoordelijke). Eigenaren hebben de volgende taken en verantwoordelijkheden:

- Vaststellen of de geplande en ingevoerde beveiligingsmaatregelen met betrekking tot hun ICT – middelen/dossiers voldoende zijn in relatie tot de gevoeligheid en het belang van de informatie.

- Adviseren over beslissingen ten aanzien van veranderingen in het beheer en of het gebruik van ICT middelen/dossiers.

- Het geven van input voor risicobeoordelingen en gegevensbeschermingseffectbeoordelingen.

5.3 Uitbesteden Apotheek @ heeft veel ICT – taken uitbesteed aan professionele leveranciers. Apotheek @ maakt uitsluitend gebruik van beproefde diensten /producten die geleverd worden door partijen met kennis en ervaring in de gezondheidszorg.

Met alle ICT – gerelateerde leveranciers die toegang kunnen hebben tot persoonsgegevens heeft Apotheek @ een verwerkersovereenkomst afgesloten.

Apotheek @ beseft dat Apotheek @ verantwoordelijk blijft voor het handhaven van een voldoende beveiligingsniveau. Hiervoor onderhoudt Apotheek @ een actueel overzicht van alle ICT – gerelateerde leveranciers, waarbij voor elke leverancier is aangegeven of deze leverancier kritiek is.

Pagina 10 van 20






Apotheek @ voert periodieke leveranciersgesprekken en – beoordelingen met kritieke leveranciers, teneinde de kwaliteit van de dienstverlening te borgen.

Apotheek @ voert de volgende taken zelf uit:

- Het beheer van de website van de apotheek. - Het beheer van een of meer servers op locatie van de apotheek. - Het beheer van een of meer applicaties. - Het beheer van ‘mobile devices’.

N.B. Geef hier een overzicht van de taken die u zelf uitvoert. Als u alles heeft uitbesteed, kunt u deze zin vervangen door: Apotheek @ heeft alle ICT – taken uitbesteed. Let op: Ook taken die worden uitgevoerd door ZZP’ers die rechtstreeks worden aangestuurd door de apothekers gelden als ‘zelf uitgevoerde taken’. Er is alleen sprake van uitbesteden wanneer de apotheker geen bemoeienis heeft met de wijze van uitvoeren.

6 Risico’s en Maatregelen Apotheek @ heeft aan de hand van een risicobeoordeling beveiligingsmaatregelen aangewezen en geprioriteerd. Apotheek @ heeft een overzicht met deze maatregelen de concrete invulling van elke maategel en de wijze van controleren.

N.B. Met concrete uitwerking wordt bedoeld: het aanwijsbaar maken van elke maatregel. Bijvoorbeeld: M31 zorg dat toegant tot vertrouwelijke informatie alleen mogelijk is met 2 factor authenticatie, concretiseren door het opstellen van een lijst met applicaties, bestanden waarvoor dat geldt en welk type 2-factor authenticatie is toegepast. Waar geen 2-factor mogelijk is, invullen welke compenserende maatregelen zijn genomen.

Apotheek @ herhaalt deze risicobeoordeling jaarlijks of eerder als daar aanleiding toe is. Bij de jaarlijkse beoordeling van risico’s en invulling van de maatregelen wordt meegewogen:

- Externe en interne ontwikkelingen, zoals veranderingen in de context, organisatieveranderingen, veranderingen in de stand van de techniek etc.

- Incidenten en trends. - Resultaten van interne en externe audits.

Voor het uitvoeren de jaarlijkse risicobeoordeling maakt Apotheek @ gebruik van de risicotool die beschikbaar is gesteld door de KNMP.

7 Uitgangspunten beveiliging

7.1 ICT beveiligingApotheek @ zorgt ervoor dat gebruik wordt gemaakt van de best beschikbare technieken voor het inrichten van beveiligingsmaatregelen.

Apotheek @ houdt ontwikkelingen bij op dit gebied en laat zich hierbij ondersteunen door experts. Met name gaat om ontwikkelingen rond gebruik en beveiliging van mobile devices, encryptie technieken, en netwerkbeveiliging.

Pagina 11 van 20






7.2 Fysieke beveiliging Beveiliging van de toegang tot gebouwen is een belangrijke pijler van informatiebeveiliging. Dossiers, servers, gegevensdragers, moeten beschermd zijn tegen ongeautoriseerde fysieke toegang en vandalisme. Hiertoe hanteert Apotheek @ de volgende uitgangspunten:

- Maatregelen zijn gebaseerd op ‘zonering’. Dat wil zeggen dat Apotheek @ de locaties heeft ingedeeld in vier verschillende zones:

o Publieke ruimtes, zoals gangen, wachtkamers en vergaderruimtes. Iedereen mag hier komen, wat betekent dat deze ruimtes geen informatie bevatten en ook geen toegang geven tot informatie. Sockets (toegangspunten tot het netwerk) in deze ruimtes zijn afgesloten of geven alleen toegang tot het gastennetwerk.

o Werkruimtes, zoals kantoorruimtes. Alleen medewerkers, externen die een geheimhoudingsverklaring hebben getekend mogen deze ruimtes zonder begeleiding betreden. Alle anderen worden tijdens het verblijf in deze ruimtes begeleid door een medewerker.

o Ruimte met printers en faxen. Alleen medewerkers die bevoegd mogen deze ruimtes betreden. Deze ruimtes zijn gescheiden van de publieke ruimtes, dat wil zeggen dat het niet mogelijk is om ongezien vanuit de publieke ruimtes hier te komen.

o Beveiligde ruimtes, zoals serverruimte, patchkasten, ruimtes met opslag medicatie, etc. Alleen bevoegde medewerkers mogen deze ruimtes betreden. Externen worden altijd begeleid door een bevoegde medewerker. Deze ruimtes zijn altijd op slot.

- Buiten kantoortijden zijn alle toegangsdeuren afgesloten en is het alarm ingeschakeld. - Apotheek @ heeft camerabewaking. De regels hieromtrent zijn opgenomen in het privacy

reglement. - Fysieke toegang is georganiseerd op basis van het ‘need to have’ principe. Dat wil zeggen dat

toegang zo kort mogelijk wordt verleend, op basis van noodzaak.

7.3 Mens en organisatie Apotheek @ beseft dat de mens de zwakste schakel in de beveiliging kan zijn. Daarom legt Apotheek @ nadruk op kennis en bewustwording.

Voor maatregelen op het gebied van mens en organisatie gelden de volgende uitgangspunten:

- Apotheek @ heeft een set gedragsregels vastgelegd. Apotheek @ zorgt ervoor dat alle medewerkers op de hoogte zijn van deze gedragsregels.

- Apotheek @ heeft voor het toekennen en ontnemen van autorisaties procedures ingericht, waarmee zeker wordt gesteld dat gebruikers alleen toegang hebben tot informatie die ze nodig hebben voor het uitvoeren van hun taken (‘need to know’ principe).

7.4 Uitwisselen gegevensApotheek @ wisselt alleen gegevens over patiënten uit met ketenpartners die zelf een behandelrelatie hebben met de betreffende patiënt. Apotheek @ zorgt ervoor dat medewerkers van dit beleid op de hoogte zijn en dat bekend is met welke partijen deze gegevens uitgewisseld kunnen worden.

Pagina 12 van 20






8 Rapportages Jaarlijks rapporteert Apotheek @ over het informatiebeveiligingsbeleid. Op basis van dit rapport kan de directie van Apotheek @ vaststellen of het beveiligingsniveau voldoende is en of aanvullende maatregelen nodig zijn. Aan de hand van Kritische Prestatie Indicatoren wordt de effectiviteit van dit beleid jaarlijks vastgesteld.

8.1 Jaarlijks rapport De jaarlijkse rapportage omvat de volgende hoofdstukken: wijzigingen in de interne en externe context, de prestaties op het gebied van informatiebeveiliging, zoals de resultaten van controles, auditrapportages, input door belanghebbenden, afhandeling van incidenten, kansen voor verbetering en plannen voor toekomstige stappen. Voor het vaststellen van de prestaties heeft Apotheek @ prestatieindicatoren gedefinieeerd.

8.2 Kritische prestatieindicatorenApotheek @ meet aan de hand van de volgende prestatieindicatoren de effectiviteit van dit beleid:

- Aantallen Incidenten op het gebied van ongeautoriseerde fysieke toegang. Het beleid is effectief als ongeautoriseerde fysieke toegang niet heeft geleid tot onrechtmatige verwerking van persoonsgegevens.

- Aantal keren dat gebruikers te lang en/of te hoog geautoriseerd waren. Dit wordt vastgesteld op grond van controles en incidenten. Het beleid is effectief als dit gelijk is aan 0.

- Het aantal keren dat met (nieuwe) kritische leveranciers van Apotheek @ geen verwerkersovereenkomst was afgesloten voor een periode langer dan een maand. Het beleid is effectief als dat niet is voorgekomen.

- Het aantal keren dat incidenten niet of niet tijdig zijn gemeld, zodat goede afhandeling niet mogelijk was. Als dit niet is voorgekomen, is het beleid effectief.

N.B. Het eerste jaar zijn de KPI’s noodgedwongen globaal. Wanneer meer kentgetallen beschikbaar zijn, kan dit worden verfijnd.

9 Samenvatting In dit beleidsdocument informatiebeveiliging heeft Apotheek @ strategische uitgangspunten en randvoorwaarden vastgesteld die worden gehanteerd ten aanzien van informatiebeveiliging. Om het informatiebeveiligingsbeleid binnen Apotheek @ in te voeren, is in de voorgaande hoofdstukken het volgende vastgesteld:

De strategische uitgangspunten en randvoorwaarden en doelen die Apotheek @ hanteert ten aanzien van informatiebeveiliging, waaronder de inbedding in en afstemming op het algemene beveiligingsbeleid en het informatievoorzieningsbeleid. De organisatie van de informatiebeveiligingsfunctie, waaronder verantwoordelijkheden, taken en bevoegdheden. De bevordering van het veiligheids-/beveiligingsbewustzijn.

Op basis van dit beleidsdocument heeft Apotheek @ beveiligingsmaatregelen, beleidsregels en geconcretiseerde normen vastgesteld. Deze zijn weergegeven in de bijlage van dit document.

Pagina 13 van 20






Frequent worden beveiligingsmaatregelen geëvalueerd en aangepast om het informatiebeveiligingsniveau te verhogen.

Pagina 14 van 20






10 Bijlage handreiking beveiligingsmaatregelen

In deze bijlage wordt voor een deel van de Maatregelen uit de risicotool van de KNMP een uitwerking c.q. toelichting gegeven. Dit is niet gebeurd voor de Maatregelen die te maken hebben met de inrichting van het ISMS, namelijk: M25, :

10.1 Mobiele gegevensdragers (M1, M2, M39)

ICT maatregelen Mobiele apperatuur, waarop informatie met klasse ‘Zeer vertrouwelijk’ kan voorkomen moeten voorzien zijn van:

- Encryptie - Sterk wachtwoord voor het openen en/of 6-cijferige pincode.

Mens en organisatieMedewerkers mogen de beveiligingsinstellingen op hun mobile devices niet wijzigen.

Het is medewerkers niet toegestaan privé apperatuur, zoals telefoons, laptops, tablets, te gebruiken voor werkdoeleinden.

Of

Medewerkers die privé apperatuur gebruiken voor werkdoeleinden, moeten op deze apperatuur beveiligingsmaatregelen toepassen die Apotheek @ heeft vastgesteld.

10.2 Administratie ICT -middelen, informatie en leveranciers (M3, M12, M14, M15)

Mens en organisatieStel het Register van Verwerkingen op volgens het KNMP format.

Gebruik het ‘Template Afhankelijkheidsanalyse’ om vast te leggen:

- De ICT – middelen, (applicaties, gegevensdragers, dossiers). - Per ICT middel de eigenaar - De relatie met de processen van de apotheek. - De leveranciers, geef bij elke leverancier aan kritiek/niet kritiek- De waardering op beschikbaarheid, integriteit en vertrouwelijkheid. Dit kan op een schaal

van 1 tot 5.

Gebruik het ‘Template Overzicht leveranciers’ om kritische leveranciers te managen.

Pagina 15 van 20






10.3 Overzicht gedragsregels en communicatie (M5, M16, M27, M42)

Mens en organisatieVat alle gedragsregels samen in een document. Integreer deze in de bestaande gedragscode en/of het personeelshandboek.

Gedragsregels betreffen in elk geval de volgende onderwerpen:

- Geheimhouding - Gebruik mobile devices- Verwijderen mobile devices- Clear desk, clear screen - Mailen en faxen - Thuis/telewerken- Toegang tot locaties- Behandelen informatie op basis van klassificatie- Melden van incidenten en kwetsbaarheden- Gebruik toegangsmiddelen zoals uzipas en wachtwoorden - Leg gebruikershandleidingen voor de belangrijke applicaties vast en zorg dat medewerkers

hier kennis van nemen.

Let op: alle beveiligingsmaatregelen in deze bijlage, kunnen een relatie hebben met gedragsregels.

Maak een planning van de manier waarop gedragsregels worden gecommuniceerd, neem hierin op:

- Aandacht voor gedragsregels tijdens werkoverleg en functioneringsgesprekken. - Een campagne, met bijvoorbeeld een quiz. - Terugkoppeling vanuit incidenten.

10.4 Authenticatie en Autorisaties (M6, M29, M31, M40)

ICT maatregelenAlle applicaties /netwerken/bestanden met patiëntgegevens moeten beveiligd zijn door middel van 2-factor authenticatie.

Als dat niet mogelijk is zorg voor compenserende maatregelen, zoals strenge eisen aan beheer van wachtwoorden.

Mens en organisatieGedragsregels:

Neem op in de gedragsregels hoe medewerkers wachtwoorden moeten kiezen en beheren.

Deze procedure moet voor elk ICT middel specifiek gemaakt worden. Alle procedures omvatten de volgende elementen:

1. Wie mag toestemming geven voor autorisaties. 2. Wie voert autorisaties door. 3. Wie voert de controles uit met welke frequentie.

Pagina 16 van 20






4. Een aparte richtlijn voor het uitgeven van tijdelijke autorisaties aan leveranciers. Zorg dat de richtlijn voorziet in een controle dat deze autorisatie meteen weer is ingenomen.

Voor elk ICT-middel moet een autorisatiematrix worden gemaakt. Een voorbeeld van een autorisatiematrix is gegeven in Template 2 Autorisatiematrix.

10.5 Encryptie (M1, M7, M34)

ICT maatregelen Maak een overzicht van alle ICT middelen en de toegepaste encryptie. Zie het voorbeeld hieronder.

ICT middel Soort encryptie beheer Controle laptops Bitlocker ICT -leverancier 2 x per jaarServer Full disk encryptie ICT leverancier 2 x per jaartelefoons Geintegreerd in

besturingssysteemElke medewerker Dmv steekproef 2 x

per jaar. Website HTTPS voor data in

motionWebsite leverancier 2 x per jaar op

aanwezigheid certificaat.

Wanneer encryptie niet is uitbesteed: leg ook het sleutelbeheer vast.

10.6 Fysieke beveiliging (M8, M9, M22, M41)

Mens en organisatieMaak aan de hand van de indeling in paragraaf 7.2 een overzicht met gedragsregels die gelden per zone.

Fysieke maatregelen Maak aan de hand van de indeling in paragraaf 7.2 een overzicht van de concrete maatregelen die zijn genomen. Zoals:

- Sloten - Sleutelbeheer, leg uitgifte sleutels vast in een overzicht. - Cameras - Overeenkomst met beveiligingsbedrijf- De beveiligingsmaatregelen voor de serverruimte en of de patchkast. Zoals:

o Sloten o Toegangscontrole (alleen gautoriseerde medewerkers mogen naar binnen, anderen

onder begeleiding)o Stroomvoorzieningo Airco o Systeem voor temperatuur en vochtmeting + alarmering

Pagina 17 van 20






10.7 Netwerkbeveiliging (M11, M37)

ICT maatregelenLaat de ICT – beheerder een overzicht maken van het netwerk, waarin duidelijk is aangegeven hoe het bedrijfsnetwerk is gescheiden van het gastennetwerk.

Geef in dit overzicht de beveiliging van het netwerk aan:

- Wifi beschermingsniveau. - Beveiliging van de ‘sockets’ toegangspunten. - Encryptie over het netewerk. - De beveiliging van de verbinding vanuit externe locaties, bijvoorbeeld thuiswerken.

10.8 In- uit- dienst procedure (M4, M17, M38)

Mens en organisatieMaak een checklist voor nieuwe medewerkers, met in elk geval de onderdelen:

- Screening, controle diploma’s en referenties- Uitgifte toegangsmiddelen, ICT middelen (wie heeft wat ontvangen)- Of de nieuwe medewerker de gedragscode heeft ontvangen en gelezen

Maak eenzelfde soort checklist voor vertrekkende medewerkers.

Zorg dat de checklists compleet zijn.

10.9 Beveiligd communiceren (M 21)

ICT maatregelen Kies een aanbieder van beveiligde Email.

Fysieke maatregelen Zet de fax in een zone met het juiste beveiligingsniveau.

Mens en organisatie Neem in de gedragsregels op:

- Dat patiëntinformatie nooit per onbeveiligde mail gecommuniceerd mag worden. Ook niet als de patiënt er zelf om vraagt.

- De regels voor zorgvuldig faxen, namelijk eerst verifieren of er wordt gefaxt naar de juiste persoon, en zorgvuldig het nummer kiezen.

10.10 Melden en afhandelen incidenten (M23)

Mens en organisatieNeem in de gedragsregels op:

- Dat alle medewerkers incidenten en zwakke plekken in de beveiliging moeten melden. - Maak een apart mailadres waar meldingen gedaan kunnen worden.

Pagina 18 van 20






- Integreer registratie van deze meldingen met het bestaande registratie. - Minimaal moet bij elk incident vastgelegd zijn:

o Plaats en tijdo Datalek of nieto Ernsto Oorzaakanalyseo Directe actieo Actie op langere termijn

Zorg dat er een protocol is voor het afhandelen van ernstige incidenten zoals datalekken. Waarbij periodiek wordt gecontroleerd of incidenten goed zijn afgehandeld. Neem incidenten en afhandeling op in de jaarlijkse rapportage.

10.11 Beheer ICT (M10, M13, M19, M28, M34, M43)Wanneer u het beheer van ICT middelen deels zelf uitvoert, is deze beveiligingsmaatregel relevant.

Mens en organisatieZorg dat u de volgende procedures /schema’s heeft:

- Wijzigingsbeheer- Testen van nieuwe releases- Back up schema- Planning controleren back ups

ICT maatregelenZorg dat u voor het testen van applicaties goed beveiligde en bruikbare testomgevingen heeft.

Zorg dat u testgegevens zorgvuldig kiest. Indien mogelijk zorg dat u een bestand heeft met geanonimiseerde testgegevens.

Zorg dat u inzicht heeft in de logging die is ingeregeld. Zorg dat u de logging, met name de activiteiten van beheerders periodiek controleert.

10.12 Leveranciersmanagement (M20, M26, M44)

Mens en organisatieU beschikt al over een overzicht met kritieke leveranciers. (10.2). Nu moet u nog de leveranciers die u heeft:

- Zorgvuldig kiezen, op basis van criteria waar ook beveiligiging in is opgenomen. Bijvoorbeeld: kies leveranciers die beschikken over een ISO 27001 certificaat.

- Dat leveranciers cruciale taken naar behoren uitvoeren, zoals back ups en de controle op back ups.

- Dat u met alle leveranciers goede overeenkomsten heeft en verwerkersovereenkomsten.

Pagina 19 van 20






10.13 Logging (M18, M32)

ICT maatregelenAls u nieuwe applicaties aanschaft, moet u mee laten wegen dat de applicaties voldoende logging functies heeft. Controleer dit en leg het vast.

Mens en organisatieBepaal waar risico’s zijn op toegang tot informatie terwijl dat niet past bij het privacy beleid. Bijvoorbeeld een medewerker die een bekende opzoekt in het AIS. Plan op basis van deze risico’s periodieke controles van de logfiles. Maak dit bekend bij medewerkers, zodat iedereen weet dat er controles zijn.

10.14 Beheer van de website (M33, M34, M36)

Mens en organisatieWanneer u het beheer van uw website laat uitvoeren door uw leverancier, is het goed om de leverancier de volgende regels op te leggen:

- Wanneer u formulieren gebruikt op uw website, vraag de leverancier deze meteen te wissen na doorsturen.

- Zorg dat uw leverancier maatregelen heeft genomen om ongeautoriseerde toegang tot de beheerpagina’s van uw website te voorkomen. Zoals: autorisatieprocedures (need to know), 2factor authenticatie, in elk geval sterke wachtwoorden.

- Maak een procedure waarmee u ervoor zorgt dat nieuwe content altijd wordt gecontroleerd door een tweede persoon, voordat het wordt gepubliceerd.

10.15 Uitwisselen van informatie (M30)

Mens en organisatieHet overzicht van partijen waarmee u uitwisselt kan eruit zien zoals hieronder weergegeven.

Uitwisselpartijen wijze van uitwisselen

Grondslag Beveiliging

Ziekenhuizen in de regio Fax WGBO Gedragsregels Via het AIS WGBO In het AIS

Huisartsen Via het AIS WGBO In het AISUniversiteit van XX Via een portal Overeenkomst met

Universiteit XX tbv onderzoek. In lijn met AVG.

Zie overeenkomst.

10.16 Continuiteit (M35)

Mens en organisatieVoer een risicobeoordeling uit gericht op calamiteiten. Ga na wat u nu kan doen, om de impact van een calamiteit voor patiëntenzorg te verlagen.

Pagina 20 van 20

D01 Beleidsdocument informatiebeveiliging - KNMP.nl ... · Web viewHet aantal keren dat met...

Documents

Transcript of D01 Beleidsdocument informatiebeveiliging - KNMP.nl ... · Web viewHet aantal keren dat met...