Toetsingskader Informatieveiligheid in de Zorg Handleiding & … · 2019-09-11 · Handleiding...

© NIAZ/NOREA, 2010-2012. Handleiding Toetsingskader Informatieveiligheid; in de Zorg NIAZ/NOREA; V Beta 2012-10-15

1

Toetsingskader Informatieveiligheid in de Zorg

Handleiding & Toetsingscriteria

Inhoud Voorwoord ............................................................................................................................................... 3 1. Doelstelling .......................................................................................................................................... 4 2. Opzet van de toetsingscriteria ............................................................................................................. 4 3. Gebruik van de toetsingscriteria .......................................................................................................... 7 4. Organisatie van een informatieveiligheidsaudit ................................................................................... 9 5. Uitvoering van een informatieveiligheidsaudit ................................................................................... 12 6. Gebruik van de BMTool ..................................................................................................................... 16 Gebruikte afkortingen ............................................................................................................................ 17

Bijlage A: Toetsingscriteria ....................................................................................................................i Bijlage B: Handreiking, verdieping en selectief gebruik ........................................................................i Bijlage C: Documentatie en bewijsmateriaal .........................................................................................i Bijlage D: Wet- en regelgeving ............................................................................................................ iii Bijlage E: Interne en externe uitbesteding ........................................................................................... ix Bijlage F: Eisen aan de assessor / auditor ......................................................................................... xii Bijlage G: Projectorganisatie NIAZ/NOREA ...................................................................................... xiii

versie datum auteurs Bijzonderheden

V0a 05-10-2011 nh+tk Toelichting uitgangspunten V1 06-02-2012 nh+eva Toelichting hoofdstuk 4 en risicoanalyse en -beoordeling

V2 12-02-2012 tk Concept integrale toelichting

V3 31-05-2012 tk Ingekort; bijlage D weten regelgeving en E uitbesteding ingevoegd

V4 13-07-2012 tk e.a. Commentaren t/m Norea verwerkt

V5a 26-08-2012 jb Commentaar VC NOREA verwerkt

V5b 13-09-2012 jwj e.a. Taalkundig geredigeerd

Beta 15-10-2012 nh+pk Afspraken met NNI (NEN) verwerkt

T I. (NIAZ/NOREA) Toetsingskader Informatieveilighe id in de Zorg © notice. Dit toetsingskader is een uitgave van NIAZ en NOREA. De auteursrechten hierop komen uitsluitend toe aan NIAZ en NOREA. Voor gebruik van teksten en/of normelementen uit de NEN7510:2011 is toestemming verkregen van het Nederlands Normalisatie instituut (NEN). Zie hierover T II. NIAZ/NOREA stelt het toetsingskader kosteloos en aan een ieder ter beschikking onder de Creative Commons licentie “Naamsvermelding-NietCommercieel-GeenAfgeleideWerken 3.0 (http://creative commons.org/licenses/by-nc-nd/3.0/nl/legalcode)” :


2

• Gebruiker is verplicht NIAZ/NOREA te noemen bij (verdere) openbaarmaking en verveelvoudiging van het toetsingskader;

• Gebruiker mag het toetsingskader zelf niet commercieel gebruiken of doorverkopen; betaalde sub-licentie is niet toegestaan;

• Gebruiker mag zonder toestemming van NIAZ/NOREA geen wijzigingen aanbrengen of afgeleide werken maken. Aanvullend geldt als licentie voorwaarde:

• Gebruiker is bij gebruik van het toetsingskader verplicht een afdoende licentie van NNI (NEN) te hebben op (openbaarmaking en verveelvoudiging van) de NEN 7510:2011;

Het niet voldoen aan de hiervoor opgenomen licentievoorwaarden levert een inbreuk op auteursrecht op.

T II. (NIAZ/NOREA en NNI (NEN) NEN7510:2011 © notice. NEN 7510 en andere NEN normen zijn auteursrechtelijk beschermd. Het Toetsingskader Informatieveiligheid in de Zorg is gebaseerd op de NEN 7510:2011 naast andere relevante regelgeving. Met klem zij vermeld dat het Toetsingskader Informatieveiligheid in de Zorg deze norm (en gerelateerde normen, zoals de NEN 7512 en NEN 7513) niet vervangt. Het Toetsingskader Informatieveiligheid in de Zorg is een toepassingshandleiding voor NEN 7510 voor de zorginstellingen. NEN 7510 en gerelateerde normen zoals NEN 7512 en NEN 7513 beschrijven details voor implementatie en eisen wat betreft de procesinrichting. Die documenten dienen naast het Toetsingskader Informatieveiligheid in de Zorg te worden gebruikt.


3

Voorwoord De zorginstellingen staan de komende jaren voor de uitdaging om de informatieveiligheid op een steeds hoger niveau te brengen, dit niveau te borgen, voor continue verbetering te zorgen en de verbeteringen voor de patiënten, verwijzers en toezichthouders transparant te maken. De NEN7510 is de norm voor informatiebeveiliging in de zorg in Nederland. De in september 2011 vernieuwde NEN7510 integreert in één document drie internationale normen: de ISO 27001 die gaat over de inrichting en instandhouding van een information security management system, de ISO27002 die de bijbehorende beheersmaatregelen behandelt en de ISO 27799 die aanvullende beheersmaatregelen voor zorginstellingen aanreikt. Al tijdens de revisie van de NEN7510 door het Nederlands normalisatie instituut en de voorbereiding en uitvoering van informatiebeveiligingsaudits in de Nederlandse ziekenhuizen in opdracht van de inspectie gezondheidszorg (IGZ), bleek dat ziekenhuizen en auditoren behoefte hadden aan een landelijk toetsingskader met objectieve en open toetsingscriteria. Aan de hand van zo’n kader zouden invoering en naleving van de NEN7510 in de instellingen zowel intern als door onafhankelijke derden getoetst moeten kunnen worden, waarna een instelling desgewenst geaccrediteerd of gecertificeerd zou kunnen worden. Het te ontwikkelen toetsingskader zou de informatieveiligheid en de patiëntveiligheid in de zorg helpen bevorderen en tegelijk naleving kunnen aantonen. Voor dit traject heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) begin 2010 de eerste stap gezet met een landelijk toetsingsreglement dat gebruikt is bij de uitvoering van de audits in 2010, de rapportage en de beoordeling door de IGZ. Al eerder bestond behoefte om op basis van objectieve toetsingsresultaten te kunnen benchmarken en om kennis en ervaring op het gebied van informatieveiligheid te kunnen delen. De universitaire medische centra (UMCs) introduceerden voor dit doel in 2004 de z.g. UMC-monitor. Eind 2010 is deze opgevolgd door de CIO benchmarktool voor informatiebeveiliging in profit- en non-profitorganisaties waaronder de zorg. Binnen dit werkveld hebben NIAZ en NOREA met als werktitel “ZekereZorg3” het initiatief genomen om aansluitend op de NEN7510 een landelijk toetsingskader te ontwikkelen met objectieve toetsingscriteria voor informatieveiligheid in de zorg. NFU en NVZ hebben later bij deze ontwikkeling aangehaakt. De NEN7510:2011 is ook van toepassing op informatieverwerkende medische en medisch ondersteunende apparatuur. Dit werkgebied is bij de uitwerking meegenomen. Met dit toetsingskader, bestaande uit deze handleiding en de bijbehorende toetsingscriteria willen de deelnemers bijdragen aan het systematisch verbeteren van de informatieveiligheid in zorginstellingen. Informatie is veilig als deze op het juiste moment voor de juiste persoon beschikbaar is, integer (d.w.z. betrouwbaar is) en vertrouwelijk behandeld wordt. Informatie beveiligen is het middel, verbeteren van de veiligheid en kwaliteit van zorg is het hogere doel. De inspectie gezondheidszorg heeft aan NFU en NVZ laten weten dat, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmark-tool, zij het toezicht daarop zal afstemmen en bijvoorbeeld steekproefsgewijs zal toetsen1. De volgende uitdaging wordt, rekening houdend met in komende landelijke en Europese wetgeving, dit toetsingskader aan te vullen en te verbreden met de privacybescherming. Informatiebeveiliging legt daar de basis voor maar privacybescherming gaat aanzienlijk verder, zeker gezien wat de komende jaren met betrekking tot gegevensuitwisseling en ketenzorg van de zorg verwacht wordt.

1 Zie brief IGZ aan NFU en NVZ dd. 25 april 2012.


4

1. Doelstelling Het toetsingskader ondersteunt het toetsen van en rapporteren over de kwaliteit van de informatieveiligheid van zorginstellingen. Door dit consistent en over een langere periode te doen kunnen instellingen continue verbetering op het gebied van de informatieveiligheid bewerkstelligen. Het toetsingskader:

- is voor verschillende doeleinden te gebruiken en ondersteunt verschillende onderzoeksvormen, zelfevaluatie (self-assessment) en onafhankelijke audits door derden in de care, cure en GGZ;

- bevordert uniforme handzame, bruikbare rapportages die de opvolging van tekortkomingen en verbeterpunten kunnen ondersteunen;

- draagt zodoende bij de (informatie)veiligheid in de instelling te vergroten en compliancy met NEN7510 aan te tonen;

- vormt, in geval van een voldoende verklaring / assurance, een basis voor verdere accreditatie of certificering;

- maakt het mogelijk bevindingen en scores te gebruiken voor benchmarking; - maakt het mogelijk met bevindingen, tekortkomingen, verbeteringen en scores van

opeenvolgende audits in de tijd gezet, ontwikkeling en verbetering op het gebied van informatieveiligheid aan te tonen.

De toetsingscriteria zijn een hulpmiddel en:

- volgen opzet en structuur van de NEN7510:2011 en sluiten daarmee aan op internationale normen, standaarden en ontwikkelingen;

- gaan uit van risicomanagement (ISO 27001) als basis voor het nemen van beveiligingsmaatregelen (ISO 27001 en ISO 27799);

- vullen aan en verdiepen de informatieveiligheid in het zorgproces met in het verlengde de patiëntveiligheid;

- zijn binnen de instelling bruikbaar voor en door verschillende doelgroepen, zodat ieder het eigen aandeel in de informatiebeveiliging kan uitvoeren en bewaken;

- zijn te gebruiken in situaties waar zorginstellingen overeenkomsten willen sluiten met derden, bijvoorbeeld met leveranciers van software en hardware, ICT-diensten, netwerkdiensten, application providers en bewerkers van persoonsgegevens.

Samenvattend, deze handleiding en de toetsingscriteria vormen een samenhangend stelsel ter bevordering van:

- de informatieveiligheid in zorginstellingen en de (continue) verbetering daarvan; - een zorgvuldige uitvoering van diverse toetsen; - consistentie in de toepassing van toetsingscriteria en onderzoeksrapportages.

2. Opzet van de toetsingscriteria Norm als basis De norm voor informatiebeveiliging in de zorg vormt uitgangspunt. De norm geeft aan wat “moet” en wat “behoort”. Het overzicht met de beheersmaatregelen en toetsingscriteria (bijlage A) vermeldt van elk normelement de titel en de beheersmaatregel. De volledige normtekst2 bevat, aanvullend op de beheersmaatregelen, aandachtspunten en aanbevelingen voor de implementatie en overige informatie. Toetsingscriteria De toetsingscriteria sluiten direct aan op de norm en zijn bedoeld als hulpmiddel om door middel van onderzoek (variërend van zelfevaluatie tot onafhankelijke externe audit): - de inrichting en werking van het information security management system (ISMS) te toetsen; - de stand van zaken m.b.t. de implementatie van de beveiligingsmaatregelen te beoordelen;

2 NEN7510:2011 Informatiebeveiliging in de zorg (NEN oktober 2011),


5

- de uitvoering en naleving van de beveiligingsmaatregelen te toetsen. De beheersmaatregelen geven aan wat moet of behoort en nog moet worden uitgevoerd en hebben betrekking op de plan-fase in de PDCA-cyclus. De toetsingscriteria beschrijven het waarneembare “resultaat” van de uitvoering (de do-fase) dat intern of onafhankelijk beoordeeld kan worden (check) wordt en daarna verder kan worden verbeterd (act). Voor alle normelementen zijn volgens een vast format toetsingscriteria uitgeschreven. Tabel 1: opzet toetsingscriteria

Normelement toetsingscriteria / audit -objecten Bewijsmateriaal bevindingen score NEN7510 Eén tot zeven criteria per normelement

Met als basisstructuur: actor + handeling + resultaat + evt. handreiking (algemeen en med.apparatuur) + evt. verdieping voor werkplekbezoeken / observaties

Gesprekken observaties, documenten, technische maatregelen.

Vrije tekst van de assessor / auditor

1 - 4 of n.v.t.

Het is de verantwoordelijkheid van het management van de zorginstelling om zorg te dragen voor de implementatie van een gedocumenteerd en deugdelijk stelsel van beveiligingsmaatregelen dat is toegesneden op de bedrijfsvoering en informatieverwerking van de zorginstelling. Het is de verantwoordelijkheid van de onderzoeker om voldoende werkzaamheden (bijvoorbeeld kennisname van documentatie, gesprekken, observaties en eigen waarnemingen en toetsing van technische beveiligingsmaatregelen) uit te voeren ter onderbouwing van zijn onderzoek. De toetsingscriteria geven de onderzoeker een beschrijving van de te onderzoeken onderwerpen, vaak aan de hand van meerdere toetsingscriteria per normelement, op basis waarvan de onderzoeker zijn conclusie, bevindingen en/of aanbevelingen in een rapportage kan baseren. Overlap De integratie van een informatieveiligheidsmanagementsysteem en van informatiebeveiligingsmaatregelen in één norm met daarop aansluitend één reeks toetsingscriteria geeft soms de indruk van doublures. Bij nauwkeurig lezen blijken pas verschillen. Ook zijn toetsingscriteria vergelijkbaar geformuleerd; dat kan ook de indruk wekken van een doublure, hoewel het kernwoord dan verschilt. Bepaalde veiligheidsmaatregelen zijn vergelijkbaar of overlappen elkaar. Hoofdstuk 15, dat betrekking heeft op naleving, grijpt veelvuldig terug op eerdere normelementen en toetsingscriteria. Tenslotte worden in één document, gesprek of observatie vaak meerdere normelementen geadresseerd. Deze ogenschijnlijke doublures en functionele overlapping in de norm en toetsingscriteria maken de beoordeling voor intern betrokken stafmedewerkers en interne en onafhankelijke auditoren er niet eenvoudiger op.. Periodiek De toetsingscriteria stellen regelmatig dat “de organisatie periodiek een bepaalde actie uitvoert”. Deze formulering is gekozen om de instelling enige ruimte te geven, maar ook de verplichting om aan de auditor uit te leggen welke frequentie de instelling hanteert om het beoogde resultaat te kunnen leveren. Handreikingen en verdieping Voor een deel van de normelementen zijn de toetsingscriteria direct duidelijk. Voor een deel wordt onder de kop “handreiking en verdieping” achtergrondinformatie gegeven om eventuele misverstanden bij het interpreteren te voorkomen. Voor de normelementen die van toepassing zijn op informatieverwerkende medische apparatuur wordt aanvullende toelichting meegegeven. Voor een aantal normelementen worden onder de noemer “aanvulling patiënt- en informatieveiligheid” extra aandachtspunten meegegeven om te gebruiken bij werkplekbezoeken of zelfevaluatie door het werkplekmanagement in de instelling. Handreiking en verdieping zijn te vinden in bijlage B. Bewijsmateriaal


6

Naast de toetsingscriteria worden in de kolom “blijkt uit” voorbeelden gegeven van bewijsmateriaal waarnaar de auditor kan vragen of dat via observatie kan worden vastgesteld. Een overzicht is te vinden in bijlage C Scoringsmethodiek De onderzoeker gebruikt de toetsingscriteria en bevindingen om een conclusie of oordeel te kunnen geven. Het oordeel kan mede in een cijfer worden uitgedrukt; de toe te passen scoringsmethodiek gaat uit van een 4-puntschaal (zie tabel 2). De eerste kolom in tabel 2 toont de PDCA-scoringsmethodiek3 die bij de landelijke audits is toegepast. Een vergelijkbare methodiek gaat uit van volwassenheidsniveaus (maturity levels). Deze methodiek, het capability maturity model (CMM) wordt in de BMTool en in de zorg (IZEP, COMPAZ) toegepast en gaat uit van een 5-puntsschaal. De omschrijving van de volwassenheidsniveaus is in de tweede kolom weergeven. Op de schaal van 1 tot en met 4 levert scoren aan de hand van maturitylevels vergelijkbare waarden als scoren met de PDCA-scoringsmethodiek. Maturity-level 5 (vooruitstrevend) wordt in de praktijk vrijwel nooit gerealiseerd; gebruik van de volledige 5-punts-schaal bood geen toegevoegde waarde. In de audit-wereld wordt met de begrippen: opzet, bestaan, werking en doeltreffendheid ook een 4-puntsschaal gebruikt die spoort met de twee voorgaande methodieken. Voor zelfevaluatie zijn alle methodieken bruikbaar. Wanneer bij een audit de ene methode in een bepaalde situatie niet voldoende uitsluitsel geeft, lukt dat met de andere dat vaak wel. Een Register Edp-auditor is te allen tijde verplicht opvolging te geven aan de vigerende richtlijnen van de NOREA. Deze richtlijnen hebben betrekking op het doel en de aard van het onderzoek of audit, de reikwijdte, diepgang van werkzaamheden en rapportage. Het staat de EDP Auditor evenwel vrij om bijvoorbeeld naast de verplichte toepassing van de richtlijn ‘Assurance opdrachten’ zijn oordeel ook te weer te geven in een score afgeleid uit onderstaande tabel. Tabel 2: Wijze van scoren score PDCA cyclus CMM volwassenheidsniveau EDP-aud iting n.v.t. Het onderwerp is niet van toepassing

(gemotiveerd / onderbouwd). n.v.t.

1 Plan: Er zijn afspraken maar deze zijn (nog) niet vastgelegd of afspraken zijn vastgelegd maar de implementatie ervan is slechts beperkt uitgevoerd.

Ontkennend (initial) Problemen worden pas opgelost als ze zich stellen (ad-hoc). Het niveau dat iedere organisatie aankan.

Opzet

2

Do: Afspraken zijn vastgelegd en de implementatie ervan is grotendeels uitgevoerd.

Reactief (repeatable) Het niveau waarbij de organisatie zover is geprofessionaliseerd (bijvoorbeeld door het invoeren van projectmanagement) dat bij het ontwikkelproces gebruik wordt gemaakt van de kennis die eerder is opgedaan. Beslissingen worden genomen op basis van ervaring.

Bestaan

3 Check & Act: Uitvoering en naleving van de vastgelegde afspraken zijn eenmalig geëvalueerd en waar nodig zijn de plannen bijgesteld.

Bureaucratisch (defined) Het niveau waarbij de belangrijkste processen zijn gestandaardiseerd.

Werking

4 Control: Uitvoering en naleving van de vastgelegde afspraken zijn periodiek geëvalueerd, doeltreffend gebleken, geborgd en worden indien nog nodig bijgesteld

Proactief (managed) Het niveau waarbij de kwaliteit van het ontwikkelproces wordt gemeten zodat het kan worden bijgestuurd.

Doeltreffendheid

3 In gebruik bij NIAZ


7

3. Gebruik van de toetsingscriteria Integrale veiligheid Integrale veiligheid in de zorg omvat de veiligheidsgebieden patiëntveiligheid, medewerkerveiligheid fysieke veiligheid en informatieveiligheid. De veiligheidsmanagementsystemen (VMS-sen) in de vier gebieden zijn gebaseerd op risicomanagement en qua opzet vergelijkbaar. De NEN7510:2011 combineert in één document zowel opzet, inrichting en werking van het ISMS als de veiligheidsmaatregelen om de informatievoorziening te beveiligen.

De combinatie van norm + toetsingkader maakt het mogelijk objectief vast te stellen dat een instelling: - veilig met informatie omgaat en de kansen op en gevolgen van informatie-incidenten zo veel

mogelijk weet te beperken en de veiligheid continue verbetert; - het ISMS heeft geïmplementeerd in lijn met hoofdstuk 4 NEN7510; - relevante beveiligingsmaatregelen heeft geïmplementeerd in lijn met hoofdstuk 5 t/m 15 NEN7510

en toeziet op de naleving; - met betrekking tot inrichting, instandhouding en continue verbetering van het ISMS een bepaald

volwassenheidsniveau heeft bereikt. Op basis hiervan valt een uitspraak te doen over: de doeltreffendheid van het ISMS, de mate waarin informatie binnen de instelling veilig is (d.w.z. beschikbaar, integer en vertrouwelijk rekening houdend met classificatie) en de wijze waarop de directie in control is. Risicoanalyse en beveiligingsmaatregelen Risicoanalyse en -beoordeling vormen een essentieel onderdeel in elk VMS. Risicoanalyse en -beoordeling leveren de basis om proactief standaard maatregelen (baseline’s) te bepalen en daar waar nodig op maat aanvullende maatregelen te nemen. Bij informatiebeveiliging speelt de classificatie van de informatie een belangrijke rol.

Figuur 1: Information security management system Aan de hand van de NEN7510 kan de instelling op het gebied van informatieveiligheid structureel een risicoanalyse en -beoordeling uitvoeren4. Het gaat kort gezegd om: - Identificeren van relevante

informatieverwerkende processen, bijbehorende informatiestromen en bijbehorende middelen om informatie vast te leggen, te verwerken en op te slaan;

- Bepalen van de waarde van de informatie c.q. de informatieverwerkende middelen en benoemt eventuele afhankelijkheden;

- Identificeren van relevante bedreigingen en bijbehorende risico’s voor de patiënt en/of de organisatie Identificeren relevante kwetsbaarheden en bijbehorende risico’s;

- Inventariseren van reeds genomen en nog te nemen beveiligingsmaatregelen;

4 Zie ook normtekst NEN7510 paragraaf 4.4.1; zie toetsingscriteria 4.4.1 a. t/m d.


8

- Per bedreiging – kwetsbaarheid beoordelen van de risico’s met betrekking tot beschikbaarheid, integriteit en vertrouwelijkheid;

- Per risico bepalen van de te volgen strategie: vermijden, accepteren, beperken, overdragen; - Bepalen van de beveiligingsmaatregelen die nodig zijn voor risicobehandeling; - Bepalen van de risicodekking van de reeds genomen maatregelen; - Bepalen van de (prioriteit van) de nog te nemen maatregelen om het restrisico tot het beoogde

niveau te beperken; - Vastleggen van de beveiligingsdoelstellingen en de reeds genomen en nog te nemen

beveiligingsmaatregelen in een informatiebeveiligingsbeleid en/of een plan van aanpak. De instelling legt op deze wijze beredeneerd verband tussen de uitkomsten van de risicoanalyse en -beoordeling en de reeds genomen en nog te nemen beveiligingsmaatregelen. Daarbij zal in het algemeen prioriteit gegeven worden aan implementatie van die maatregelen die de grootste bijdrage leveren aan het beperken van de grootste risico’s. Door de uitkomsten van de risicoanalyse en –beoordeling te koppelen aan de bevindingen vanuit de zelfevaluatie of de onafhankelijke audit met betrekking tot de uitvoering en naleving van die maatregelen, ontstaat inzicht in de mate waarin de instelling het beleid, de doelstellingen en het plan van aanpak op het gebied van informatieveiligheid heeft gerealiseerd en al “in control” is en in de tekortkomingen, aandachtspunten en verbeterpunten die een volgende periode aandacht vragen. Bij zelfevaluatie of een onafhankelijke audit zijn de aansluiting tussen opzet en inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen de eerste zaken die getoetst behoren te worden. Integratie met andere audits Zorginstellingen hebben te maken met uiteenlopende instellingsbrede audits (NIAZ, JCI, ISO, NTA, HKZ) die in algemene zin de kwaliteit en veiligheid toetsen. Daarnaast zijn er specifieke audits, zoals de NEN7510, die focussen op één aandachtsgebied. Vanuit de instelling gezien overlappen deze audits elkaar. Selectief gebruik De NEN7510:2011 is met 15 hoofdstukken, 151 normelementen en bijna 150 pagina’s tekst en uitleg nogal omvangrijk. Van de normelementen hebben 18 betrekking op het eigenlijke informatieveiligheids-managementsysteem en 133 op de onderliggende beheermaatregelen. Het is zaak de toetsingscriteria doordacht en selectief te gebruiken. Wanneer geen volledige audit gewenst is kan, vergelijkbaar met de landelijke audit 2010 op basis van het toetsingsreglement van de NVZ, worden volstaan met z.g. zwaarwegende normelementen. Als zwaarwegend zijn geselecteerd: de normelementen die moeten (betrekking hebbend op het ISMS), de normelementen uit de landelijke audit 2010 en de normelementen met aanvulling vanuit de ISO 27799 specifiek bedoeld voor de zorg. De spreadsheetversie behorend (bijlage B) bevat selectiekolommen die het de auditor mogelijk maken op verschillende manieren voor deel-audits relevante toetsingscriteria te selecteren en om te bepalen welke partijen binnen de instelling voor een bepaald onderwerp kunnen worden bevraagd. Er is te selecteren op: - zwaarwegende normelementen; - soort: zorginstelling / zorgverlener (care, cure, GGZ); - marktpartij / leverancier waarmee overeenkomsten worden gesloten m.b.t.: software, hardware,

ICT-onderhoudsdiensten, netwerkdiensten, application providers en gegevensbewerkers; - binnen de instelling naar betrokken stafafdelingen en diensten: directie, kwaliteit en veiligheid,

HRM, patiëntenadministratie, facilitair, ICT /instrumentele dienst; de werkplekken binnen de zorg en daarbuiten;

- relevantie voor informatieverwerkende medische en medisch ondersteunende apparatuur; - relevantie voor informatiegebruik in het zorgproces (patiëntveiligheid); - relevantie voor (jaarrekening)controles door de interne / externe accountant; - relevantie voor mogelijke audits op het gebied van privacybescherming (Wbp).


9

4. Organisatie van een informatieveiligheidsaudit Doel en resultaat Een informatieveiligheidsaudit heeft primair tot doel het: - beoordelen van het functioneren van het ISMS in de organisatie; - beoordelen van de kwaliteit en volledigheid van de risicoanalyse en –beoordeling en de

aansluiting daarvan op de beveiligingsmaatregelen; - beoordelen van de PDCA-cyclus en/of het volwassenheidniveau m.b.t. de

beveiligingsmaatregelen; - beoordelen in welke mate de instelling (de raad van bestuur) in control is voor wat betreft

beheersing en verbetering van de informatieveiligheid; - beoordelen in welke mate een veiligheidscultuur binnen de organisatie aanwezig is. Een onafhankelijk uitgevoerde audit kan onder bepaalden voorwaarden tot accreditering of certificering leiden. Werkvormen Afhankelijk van het doel en het beoogde resultaat van de audit zijn verschillende werkvormen mogelijk die elk door verschillende partijen en/of functionarissen kunnen worden uitgevoerd. Een audit is volledig uit te voeren, d.w.z voor de gehele instelling aan de hand van de volledige norm, of gedeeltelijk b.v. voor een deel van de instelling of een derde partij (leverancier / bewerker) of aan de hand van een deel van de norm. tabel 3: werkvormen Werkvorm Doel Uitvoering door Implementatie De toetsingscriteria kunnen door de instelling

worden gebruikt als leidraad / checklist De zorginstelling

Zelfevaluatie Self-assesment Onderzoek

Bepalen stand van zaken en verbetering informatieveiligheid (volledig / gedeeltelijk) Managementreview op het ISMS Deelaudit in het kader van een algemene instellingsaudit Benchmarking (m.b.v. BMTool)

ISO en FG5 Stafmedewerkers en management Interne accountantsdienst Interne K&V-auditoren Auditoren uit andere zorginstellingen (peer to peer)

Onderzoek Intern advies Extern advies

Eigen medewerkers (zie boven) Onafhankelijke auditor / professional

Interne audit Managementreview op het ISMS Interne accountantsdienst (eventueel met behulp van inhuur van externe deskundigheid)

Accreditatie Periodiek accreditatie onderzoek NIAZ (eventueel met behulp van inhuur van externe deskundigheid)

Assurance audit Externe assurance of certificering (kan tevens als basis dienen voor periodiek accreditatie onderzoek door NIAZ)

Onafhankelijke Register EDP Auditor

De zorginstelling doet er verstandig aan bij de opdrachtverlening duidelijke afspraken te maken over het doel van de audit, de scope, de diepgang van werkzaamheden en de rapportage. Tevens doet de zorginstelling er verstandig aan zich ervan rekenschap te geven dat een assuranceonderzoek meer diepgang van werkzaamheden met zich meebrengt (en dus tijdbesteding door de onderzoeker) dan een adviesopdracht (waarbij tevens de scope van de te onderzoeken onderwerpen kan worden gestuurd). Verantwoorde selectie Een volledige audit adresseert in principe alle normelementen met uitzondering van de normelementen die de organisatie niet van toepassing heeft verklaard.

5 information security officer, functionaris gegevensverwerking


10

Een audit kan gemotiveerd, rekening houdend met de resultaten van eerdere audits en de opvolging van tekortkomingen, worden beperkt. Voor een verantwoorde selectie wordt, rekening houdend met het aantal normelementen per hoofdstuk en criteria per normelement, bepaald welke normelementen c.q. toetsingscriteria: - moeten worden beoordeeld (verplicht); - bij voorkeur mede worden beoordeeld (van belang); - desgewenst kunnen worden overgeslagen. De motivering voor het uitvoeren van een beperkte audit wordt opgenomen en onderbouwd in de auditrapportage. Met de selectie “zwaarwegend” is de omvang van de audit te beperken tot plm. 80 normelementen (zie ook hoofdstuk 3: selectief gebruik). Voor benchmarken met de BMTool moeten de scores van alle normelementen bekend zijn. Al dan niet gecombineerde uitvoering De informatieveiligheidsaudit kan in combinatie met een integrale instellingsaudit, zoals b.v. een NIAZ-audit, worden uitgevoerd. Het verdient voorkeur de informatieveiligheidsaudit daaraan voorafgaand uit te voeren en de rapportage met de bevindingen mee te nemen als bron document bij zo’n instelllingsaudit6. Bij een gelijktijdige uitvoering kunnen bijvoorbeeld de algemene toetsingscriteria worden beoordeeld door een instellingsauditor en de specifieke toetsingscriteria m.b.t. de informatieveiligheid door een auditor met ervaring op dat gebied. Omvang en duur

De organisatie bepaalt in overleg met de auditor de voor de audit benodigde tijd door: - de scope te bepalen; UMC’s kunnen b.v. het aantal medewerkers ingezet voor onderzoek en

opleiding buiten beschouwing laten; - aan de hand van het aantal medewerkers, uitgedrukt in fte. aan de hand van bijgaande tabel

globaal het aantal benodigde mandagen te bepalen+ de tabel geeft een indicatie - aanvullende overwegingen zoals (dis)locatie, complexiteit van de informatiehuishouding en

ondersteunende techniek+ voorbereiding door de organisatie zelf, enzovoort.

Tabel 4 het geeft op basis van praktijkervaringen een indruk van de inzet die nodig is om een adequate informatieveiligheidsaudit uit te voeren. Het aantal benodigde mandagen is te zien als zwaarwegend advies.

tabel 4: inzet capaciteit Goede voorbereiding en afstemming op omliggende audits kan bijdragen de in te zetten capaciteit te beperken en vergroot de effectiviteit van de audit. Wanneer de organisatie gebruik maakt van externe gegevensverwerking valt dit binnen de scope van de audit. In de desbetreffende overeenkomsten moet dan zijn overeengekomen op welke wijze de derde partij aan kan tonen aan de norm c.q. aan de toetsingscriteria te voldoen, of de auditor zal de derde partij dan in de scope van de audit moeten meenemen (en dus eigen waarneming bij de derde partij moeten uit voeren). De organisatie kan vooraf met de auditor afspraken maken over steekproeven, interpretaties en rapportage over bevindingen. Aanbevolen wordt, om dubbel werk te voorkomen en de organisatie niet onnodig te belasten, vooraf afspraken te maken over het gebruik van relevante interne en externe auditrapporten, mits voldoende actueel. Auditteam

6 NIAZ heeft aangegeven een aan de hand van dit toetsingskader naar behoren uitgevoerde audit (zelfevaluatie, interne audit, peer-to-peer audit of uitgevoerd door een onafhankelijke derde) als bewijsmateriaal te accepteren voor het niveau van de informatiebeveiliging binnen de instelling. De instelling moet in dat geval volgens de PDCA-methodiek scoren.

Formatie (fte) dagen 5 2

10 3 25 4 60 5

120 6 210 7 335 8 500 9 700 10 900 11

1250 12 1750 13 2500 14 3500 15 4750 16 6000 17 7500 18 9000 19

10750 20


11

Adequate uitvoering van een volledige informatieveiligheidsaudit voor een grotere zorginstelling vraagt een team van twee auditoren. Minimaal 1 lid van het team behoort audit-ervaring te hebben in de gezondheidszorg. Voor eisen aan de auditor wordt verwezen naar bijlage F. Opdracht Rekening houdend met het voorgaande kan de opdracht voor de auditor zijn, aan de hand van het Toetsingskader Informatieveiligheid in de Zorg onderzoek uit te voeren, over de bevindingen m.b.t. opzet, bestaan werking en doeltreffendheid van het ISMS en de beheersmaatregelen te rapporteren, grote of kleinere tekortkomingen vast te stellen en zo mogelijk adviezen voor verbetering mee te geven. De opdracht moet mede aangeven of de audit veiligheidsgericht en/of compliancegericht en/of managementgericht is (zie hoofdstuk 6. punt 7 voor uitwerking) De rapportage moet de raad van bestuur en externe stakeholders met redelijke mate van zekerheid aangeven op welk niveau de informatiebeveiliging van de organisatie staat en of en zo ja waar zwakke plekken of kwetsbaarheden zijn waargenomen. Bij een dergelijke assuranceopdracht is overigens de richtlijn ‘Assurance opdrachten’ van de NOREA van toepassing. Planningen fasering De organisatie kan, bijv. zes maanden voorafgaand aan een audit, een zelfevaluatie of een onafhankelijke proefbeoordeling laten uitvoeren om onvolkomenheden op te sporen en te verhelpen. De auditoren voeren binnen het overeengekomen aantal dagen de documentstudie, interviews en werkplek-bezoeken uit, inclusief het beoordelen en rapporteren. De globale resultaten worden direct na afronding van de audit gepresenteerd en besproken; de rapportage hoort binnen twee weken beschikbaar te zijn. Bij combinatie met een instellingsaudit is wenselijk dat opzet, planning en duur vergelijkbaar zijn. Een informatieveiligheidsaudit is uit te voeren in combinatie met een audit, specifiek gericht op de medische apparatuur. Een informatieveiligheidsaudit wordt in het algemeen in twee fasen uitgevoerd: fase 1: Voorbereiding: Bestuderen van de formele documenten, beleid, richtlijnen en procedures (voor

zover niet geïntegreerd onderdeel van systemen) en bepalen van het programma voor de tweede fase

fase 2: Uitvoering: Praktijktoetsing aan de hand van interviews, observaties, aanvullende documentatie en werkplekbezoeken inclusief terugkoppeling en rapportage.

Rapportage en archivering De auditor legt een werkdossier aan met daarin o.a.: programma, onderzochte normelementen, gevoerde gesprekken, gespreksdeelnemers en de rapportage (concept en definitief). De auditor legt de bevindingen vast en rapporteert in een format waarvoor de toetsingscriteria de basisstructuur leveren (zie tabel 1). De rapportage bevat: - kerngegevens: organisatie, auditdata, auditoren, auditees, werklplekbezoeken, enz. - een managementsamenvatting, - verslagen van werkplekbezoeken, - per normelement de bevindingen, waar nodig onderbouwd met bewijsmateriaal, en de

bijbehorende score (tabel 2); - vastgestelde grotere en/of kleinere tekortkomingen - eventueel adviezen m.b.t. verbeterpunten Aanvullende afspraken De auditrapportage is vertrouwelijk en blijft binnen de organisatie; een samenvatting kan extern ten behoeve van externe stakeholders worden vrijgegeven en desgewenst publiek worden gemaakt.


12

Opeenvolgende rapportages moeten vergelijkbaar zijn. De organisatie moet de opvolging van tekortkomingen en uitvoering van verbeterpunten in een volgende audit kunnen toetsen. Bij benchmarking worden alleen scores, met mogelijk een toelichting, uitgewisseld maar geen vertrouwelijke bevindingen of tekortkomingen. Na de audit kan tussentijdse beoordeling (surveillance) aan de orde zijn om de voortgang te monitoren en/of om zeker te stellen de dat certificering nog steeds geldig is. Accreditatie en Certificering Afhankelijk van hetgeen in de opdracht tussen de organisatie en auditor is overeengekomen en afhankelijk van de bevindingen van de auditor, kan de rapportage samen met een plan van aanpak voor vastgestelde tekortkomingen dienen als basis voor accreditatie of certificering. Een voldoende beoordeling zonder grote tekortkomingen kan reden zijn voor accreditering of certificering. Voorwaarden zijn dan: - toetsing aan de hand van de volledige norm of een door de auditor te bepalen verantwoorde

selectie uit de normelementen, met voldoende zwaarte (minimaal alle zwaarwegende); - een voldoende positief resultaat van de beoordelingen (scores gemiddeld boven X,Y); - geen grote tekortkomingen vastgesteld; - een verbeterplan voor de opvolging van vastgestelde kleinere tekortkomingen, getoetst door een

tweede auditor, anders dan degene die de audit heeft uitgevoerd. De certificerende of accrediterende instelling geeft op basis hiervan een inhoudelijk oordeel. Verschil van mening, klachten, bezwaar- en beroep De auditor geeft bevindingen op basis van bewijsmateriaal, gesprekken en observaties, aan de hand van de toetsingscriteria. Op basis van die bevindingen geeft de auditor een oordeel over de uitvoering van de PDCA-cyclus en/of het maturity level, uitgedrukt in een cijfer. De auditor kan met betrekking tot het ISMS en/of de veiligheidsmaatregelen tekortkomingen vaststellen en adviezen voor verbetering meegeven. Mogelijk stelt de auditor vast dat de organisatie op onderdelen (te) veel risico neemt of met de uitvoering van veiligheidsmaatregelen achter loopt op de state of the art. De organisatie zal toelichten waarom zij bepaalde niet-standaard veiligheidsmaatregelen niet of niet standaard heeft geïmplementeerd. De auditor behoort daarover geen inhoudelijk oordeel te geven anders dan over de werking of doeltreffendheid. Bij klachten over de wijze van auditen, het rapport of andere zaken die betrekking hebben op de audit is de klachten-, bezwaar- en beroepsprocedure van de auditorganisatie van toepassing.

5. Uitvoering van een informatieveiligheidsaudit De organisatie kan de informatieveiligheidsaudit aan de hand van deze handleiding door verschillende partijen met een duidelijke opdracht uit (laten) voeren: - zelfevaluatie: door de eigen ISO of FG samen met interne auditoren en lijnmanagement. - onafhankelijk: door ISO’s of onafhankelijke auditoren uit andere instellingen (NIAZ-werkwijze) - onafhankelijk: door auditoren van een marktpartij. Om de werking van het ISMS en de uitvoering en naleving van de beveiligingsmaatregelen te beoordelen worden de volgende stappen uitgevoerd. 1. De onafhankelijke auditor informeert zich over de te beoordelen instelling: organisatiestructuur, omvang, locatie(s), IT-omgeving, zorgprocessen, enzovoort met als doel ”understanding the business”. De auditor gebruikt o.a. het jaarverslag, het organogram en eventueel verkennende gesprekken met stakeholders in het ziekenhuis. De interne auditor is hiermee al bekend.


13

Bijlage A met de toetsingscriteria geeft per normelement voorbeelden van relevant bewijsmateriaal om het ISMS en de veiligheidsmaatregelen te kunnen beoordele. Bijlage C bevat een overzichtslijst in alfabetische volgorde. 2. De auditor is bekend met of werkt zich in op de NEN7510:2011, het Toetsingskader Informatieveiligheid in de Zorg, de bijbehorende handreikingen en verdieping en deze handleiding (zie ook bijlage F eisen aan de auditor). 3. De auditor verkent het ISMS van de instelling met gebruik van (genormeerde) bronnen. Deze zijn soms expliciet als formeel document aanwezig en soms impliciet. Dat laatste kan blijken uit een of meerdere interviews, handelingen of uit systeemfunctionaliteit. Mits vastgelegd in een verslag of anderszins gedocumenteerd gelden deze dan eveneens als bron. Voor bepaalde normelementen zijn alleen aanvullende niet-genormeerde bronnen beschikbaar. Bronnen bij het beoordelen van het ISMS zijn bijvoorbeeld: - opzet en inrichting van het ISMS; - directiebeoordeling van het ISMS; - risicomanagement; - classificatiesystematiek; - meerjarenplan voor informatiebeveiliging; - risicobeoordelingen; - begrotingen / budgetten / resourceplanningen / taak- en functieomschrijvingen; - functieprofielen, trainings- en opleidingsplannen; - analyse van beveiligingsincidenten; - eerdere audits; plannen voor continue verbetering van het ISMS; - benoeming van de relevante registraties; - evaluaties na grote IB incidenten. 4. De auditor stelt vanuit de verkenning een definitieve lijst op met te interviewen personen en uit te voeren werkbezoeken, hij formuleert bijbehorende vragen, beschrijft uit te voeren deelwaarnemingen en te inspecteren documenten (zie ook hoofdstuk 3 selectief gebruik). 5. De auditor voert het veldwerk uit. De resultaten van (deel)waarnemingen (bevindingen) worden indien mogelijk door de auditor direct teruggekoppeld en bevestigd door zowel de geauditeerde als de auditor om latere discussie te vermijden. Als formele interviewverslagen worden gemaakt horen deze geautoriseerd te worden door de gespreksdeelnemers. 6. De auditor beoordeelt de aansluiting tussen de inrichting van het ISMS, de uitkomsten van de risicoanalyse en de implementatie van de beheersmaatregelen De auditor kan pas een oordeel geven over de werking en doeltreffendheid van het ISMS wanneer bevindingen en scores m.b.t. de normelementen in de hoofdstukken 5 t/m 15 bekend zijn. 7. De auditor beoordeelt auditor de normelementen uit hoofdstuk 5 t/m 15 vanuit drie invalshoeken die al dan niet kunnen worden gecombineerd: a. Veiligheidsgericht: vanuit de mate waarin de maatregelen aantoonbaar bijdragen aan meer

informatieveiligheid en/of informatie-incidenten helpen voorkomen of beperken. De auditor beoordeelt de werkzaamheid en doeltreffendheid van de onderzochte maatregelen.

b. Compliancegericht: vanuit de mate waarin de maatregel voldoet aan de toetsingscriteria c.q. de norm; de auditor kijkt naar de uitvoering van de maatregelen en de daaraan in de norm expliciet opgenomen eisen.

c. Managementgericht: vanuit de mate waarin de organisatie werkt naar de wil van de leiding, de leiding in control is en een verbetercultuur zichtbaar is; de auditor kijkt naar de mate waarin de organisatie werkt volgens het eigen beleid, afspraken en procedures en naar het toezicht en de wijze van bijsturing.

Bij zelfevaluatie zijn de invalshoeken a. en c. het meest van belang. Genoemde invalshoeken kunnen in één audit gecombineerd worden. De auditor moet er dan rekening mee houden dat tekortkomingen ten aanzien van één van de drie invalshoeken niet altijd een gevolg


14

hebben voor de oordeelsvorming ten aanzien van de andere twee en dat een statement over control nog geen uitspraak hoeft te zijn over de veiligheid. Een gecombineerde audit leidt dus tot drie onderscheiden oordelen. 8. De auditor geeft een eerste oordeel over opzet en het bestaan van het ISMS en over de specifiek genormeerde onderdelen risicomanagement en directiebeoordeling. De auditor kan deze stap desgewenst uitstellen. 9. Aan de hand van de normelementen, de toetsingscriteria, de aangeleverde documentatie, de te interviewen personen en af te leggen werkplekbezoeken (uit stap 4) en rekening houdend met wat de organisatie m.b.t. het risicomanagement ten aanzien van de normelementen als behandelwijze heeft vastgesteld - de organisatie kan immers een normelement op basis van risicoafweging niet of deels of geheel implementeren – volgt de auditor bij het beoordelen van de veiligheidsmaatregelen de indeling van de norm voert en bij elk hoofdstuk de volgende stappen uit: 9.1 Beoordeelt of het normelement / toetsingscriterium op basis van (een eerder gemaakte)

risicoafweging al dan niet is uit te sluiten en als “zwaarwegend” moet worden gezien (zie ook hoofdstuk 3 selectief gebruik);

9.2 Gaat na of de organisatie voor dat normelement relevante veiligheidsmaatregelen heeft geïmplementeerd en naleeft (werking en doeltreffendheid).

9.3 Gaat na of sprake is van niet geïmplementeerde veiligheidsmaatregelen zonder argumentatie of risicobeoordeling.

9.4 Gaat na of de getroffen maatregelen waarneembaar en verifieerbaar zijn (middels interviews, waarnemingen, documenten). De auditor: - brengt dan in beeld welk (deel van) het element / criterium van toepassing is; - brengt in beeld welke onderdelen van toepassing zijn; - toetst aan de hand van het bewijsmateriaal of en in welke mate aan de betreffende

toetsingscriteria (of onderdelen daarvan) wordt voldaan waarbij: � expliciete genormeerde zaken aantoonbaar aanwezig moeten zijn; zo niet =>

noncomformiteit => score 0; � impliciete zaken expliciet aantoonbaar zijn in de vorm van aanwezige rapportages,

verslagen, functionaliteiten in systemen, enzovoort, => score 3 of 4; � van overige impliciete zaken het bestaan kan worden aangetoond met interviews,

collaborative inquiries, deelwaarnemingen => score 1 tot en met 4. 9.5 Gaat na of sprake is van mogelijke tekortkomingen en zo ja op welk gebied (zie stap 7):

a. onveiligheid, b. nonconformiteit of c. gebrek aan control.

9.6 Koppelt de bevindingen terug indien dat het geval is; 9.7 Legt het resultaat vast door middel van rapportage van de bevindingen; 9.8 Meldt in de rapportage eventueel waargenomen tekortkomingen en geeft deze een oordeel mee:

aandachtspunt, verbeterpunt, kleinere of grote tekortkoming mee. Aandachtspunten hierbij zijn: - Om vergelijkbaarheid van audits te vergroten is het raadzaam de uitkomsten aangaande het

risicomanagement (toetsing van het ISMS) expliciet op te nemen in een bijlage bij het assurancerapport waarmee een soort “Statement of Applicability” ontstaat.

- Aanbevolen wordt iedere materiële bevinding vanuit minstens twee controlemiddelen te staven. De auditor zal eventuele tegenstrijdigheden in interviews, tegenstrijdige waarnemingen en/of door het ontbreken van genormeerde documenten in eerste instantie trachten op te lossen of tenminste te verklaren. Wanneer tegenstrijdigheden afbreuk doen aan de opzet, bestaan en werking van het ISMS worden zijn gezien als non-conformiteit. Om impliciet en aanvullend bronmateriaal te kunnen beoordelen moet de auditor een combinatie maken van interviews, deelwaarnemingen.

- De instelling kan impliciete en/of aanvullende bronnen ook expliciet hebben gemaakt in de vorm van vastgestelde documenten. De auditor kan hieraan vergelijkbare bewijskracht toekennen om tot een oordeel te komen.

- Uitvoering van verbeterpunten en opvolging van tekortkomingen kunnen in een volgende audit worden getoetst.


15

10. De auditor scoort het resultaat / de bevindingen volgens de PDCA-scoringsmethodiek of het CMM-volwassenheidsniveau. - Als de bevindingen via twee of meer verschillende controlemiddelen zijn vastgesteld, is het

normelement aanwezig en kan de score 3 of hoger zijn; - Als de bevindingen via slechts één controlemiddel zijn vastgesteld, is het normelement

onvoldoende ingevuld, tenzij de auditor op basis van professional judgement besluit tot ‘aanwezig’. Het normelement kan niet hoger scoren dan een 2;

- Als het normelement niet is uitgesloten en géén bevindingen zijn vast te stellen, is het (nog) niet aanwezig en wordt de score 1, waarbij blijkbaar het plan ontbreekt.

Bij assuranceopdrachten is de EDP-auditor eraan gehouden om te voldoen aan richtlijn ‘Assurance opdrachten’ van de NOREA. Het staat de EDP-auditor evenwel vrij om aanvullend zijn oordeel te vertalen naar de score conform tabel 2.


16

6. Gebruik van de BMTool

Figuur 3: samenhang informatiebeveiligingsaudit, toetsingscriteria en BMTool De IGZ is bereid, indien de instellingen audits uitvoeren aan de hand van dit toetsingskader en de resultaten van de audits verwerken in de z.g. benchmark-tool, het toezicht daarop af te stemmen en steekproefsgewijs te toetsen. Het CIO-platform heeft de BMTool laten ontwikkelen met als basis de ISO 27002. In de tool zijn de normelementen in principe één op één geformuleerd in de vorm van stellingen volgens het (Capability Maturity Model (CMM) met voor elk CMM-niveau één passende stelling. Enkele meer complexe normelementen zijn uitgewerkt in twee stellingen. De BMTool maakt gebruik van de ISO27002 terwijl in de NEN7510 drie ISO-normen zijn geïntegreerd. Voor zorginstellingen is een versie ontwikkeld met aanvullende stellingen7. De organisatie bepaalt per normelement aan de hand van de stellingen op welk volwassenheids-niveau de informatiebeveiliging is georganiseerd of anders gezegd, in welke mate de organisatie in control is. De keuze veronderstelt onderbouwing en wordt in vrije tekst toegelicht. Het resultaat van een zelfevaluatie, peer-to-peer toetsing of onafhankelijke audit door een derde partij aan de hand van de landelijke toetsingscriteria is in eerste instantie een vertrouwelijke rapportage met o.a. per normelement bevindingen met daarop aansluitend één PDCA- of CMM-score, afhankelijk van wat de organisatie met de auditor overeengekomen is. Indien de organisatie alleen de Toetsingscriteria hanteert blijft het document uitsluitend binnen de instelling. Indien de organisatie ook gebruik wil maken van de vergelijkingsmogelijkheid van de BMtool dan kan worden volstaan met het overnemen van de score vanuit de Toetsingscriteria. Het gegeven dat PDCA-score’s en CMM-levels tot en met niveau 4 over en weer in elkaars verlengde liggen en inhoudelijk vergelijkbaar zijn (zie tabel 2) geeft de mogelijkheid de score uit de rapportage direct over te nemen en in te voeren in de BMTool. De instelling kan daarbij in de BMTool verwijzen naar de achterliggende rapportage en de bevindingen desgewenst kort samenvatten, terwijl de rapportage zelf vertrouwelijk binnen de instelling kan blijven. De instelling kan een zelfevaluatie NEN7510 ook rechtstreeks uitvoeren aan de hand van de de BMTool. In dat geval wordt onderbouwing van de score (de bevindingen ) van wezenlijk belang. De bevindingen met bijbehorende onderbouwing moeten bij verantwoording naar IGZ of bij een instellingsaudit worden overlegd en worden, mits voldoende zorgvuldig uitgevoerd, in dat geval marginaal getoetst.

7 De NEN7510:2011 telt 28 normelementen voor het ISMS en 133 voor de beheersmaatregelen; het Toetsingskader Informatieveiligheid in de Zorg telt 51 toetsingscriteria voor het ISMS en 339 voor de beheersmaatregelen met een score van 1 t/m 4. De BMTool telt 141 stellingen voor de beheersmaatregelen; de BMTool zorg telt 25 stellingen voor het ISMS en 165 voor de beheersmaatregelen op vijf maturitylevels.


17

Gebruikte afkortingen BMTool BenchMark-tool BSN Burger ServiceNummer CIO Chief Information Officer CMM Capability Maturity Model COMPAZ Cultuur Onderzoek onder Medewerkers over Patiëntveiligheid in Ziekenhuizen. FG Functionaris Gegevensbescherming GGZ Geestelijke GezondheidsZorg ICT Informatie en Communicatie Techniek IGZ Inspectie GezondheidsZorg ISMS Information Security Management System ISO Information Security Officer ISO International Organisation for Standardisation IZEP Instrument voor Zelfevaluatie Patiëntveiligheidscultuur Kz Kwaliteitswet zorg NEN Nederlands Normalisatie Instituut NFU Nederlandse Federatie van Universitaire medische centra NIAZ Nederlands Instituut voor Accreditatie in de Zorg Norea Nederlandse orde van registeraccountants en EDP-auditors NVZ Nederlandse Vereniging van Ziekenhuizen PDCA Plan Do Check Act RE Register EDP Auditor, lid van de NOREA UMC Universitair Medisch Centrum VMS Veiligheids Management Systeem WBIG Wet Beroepen Individuele Gezondheidszorg Wbp Wet bescherming persoonsgegevens Wbsn-z Wet burgerservicenummer zorg Wgbo Wet op de geneeskundige behandelovereenkomst WMh Wet medische hulpmiddelen ZZ3 Zekere Zorg 3

Handleiding Toetsingskader informatieveiligheid; NIAZ/NOREA; concept v5 2012-09-13

i

Bijlage A: Toetsingscriteria Apart document (35 pagina’s) voor normelementen en toetsingscriteria.

Bijlage B: Handreiking, verdieping en selectief gebruik Spreadsheet met aparte kolomen voor handreikingen en verdieping. Selectief gebruik wordt mogelijk gemaakt met behulp van selectieknoppen in de spreadsheet.

Bijlage C: Documentatie en bewijsmateriaal Aanbestedingsprocedures, Aansluitvoorwaarden. Aanstellingsbrieven, Abonnementen en lidmaatschappen, Acceptatiecriteria, Addenda bij overeenkomsten, Adviezen en aanbevelingen. Afhankelijkheids- en kwetsbaarheidanalyses. Agenda's, Algemeen beleid instelling (missie, visie strategie), Arbeidsovereenkomsten (modellen) Audithulpmiddelenlijst, Auditplanning. Auditprocedures, Auditprogramma's. Auditrapportages. Auditrapporten (externe w.o. landelijke audit 2010 met bevindingen en onderbouwing en eventuele reactie IGZ), Auditrapporten (interne audits). Auditsystemen, Audittestbestanden. Audittrails, Autorisatiematrices, Autorisatieprocedures, Awarenesscampagne, Bedieningsprocedures (voor beheerders en gebruikers). Begrotingen, Beheerprocessen, Beheersmaatregelen. Beleidsdocument voor de informatiebeveiliging, Beleidsdocumenten, Beleidsregels, Besluitenlijsten. Besluitvormingsproces. Best practices (gedocumenteerd), Bestekken, Bevoegdheden, Bewaartermijnen, Bewijsdossiers (indien aanwezig). Blauwdruk voor het ISMS, Bouwkundige documentatie. Bouwtekeningen, Bouwvoorschriften, CAO, Capaciteitsplanningen, Cashboard

Certificaten, Checklijsten, Classificatieschema's. Classificatiesystematiek, Continuïteitplannen, Continuïteitsbeleid, Continuïteitsrichtlijnen, Continuïteits-testprogramma's, Continuïteitstrategie (beleidsdocument), Contractbeheer. Contracten met externe partijen, Controlelijsten. Controleplanning, Controleprocedures, Controlerapporten E-mail en internetprotocollen, Escalatieschema's. Escrowovereenkomsten, Externe beoordelingen (waaronder audits). Externe normen en voorschriften, Folders, Functionele en technische specificaties, Gedragscode, Gedragsregels Geheimhoudingsverklaringen, Goedkeuringsproces, Handboek ISMS, Handleidingen van toepassing op ISMS, Handleidingen, overig ICT-architectuur (principes), ICT-architectuur (schema’s), Incidentenrapportages al dan niet met oorzaak-gevolg-analyse, Incidentenregistratie. Incidentmeldingen, Indicatoren. Indiensttredingformulieren. Informatieclassificatie, Inkoopbeleid, Inkoopovereenkomsten en bijlagen. Inkoopprocedures, Internetsite, Intranetsite, Inventarislijsten met betrekking tot apparatuur en relevante hulpmiddelen (waaronder software). Jaarverslag (recent), Kaders voor de AO/IB, Leveranciersmanagement,


ii

Licenties. Logbestanden. Logboeken. Logging, Managementrapportages, Mandaatregeling; Meerjarenplan voor het ISMS, Meet- en monitoringtechnieken, Meldingsprocedures, Netwerkinstellingen. Netwerkontwerp, netwerk-topografie, Noodprocedures, Notulen en besluitenlijsten. Notulen raad van bestuur / directie, Observatieverslagen. Onderhoudsplanning, Onderhoudsprotocollen, Organisatieschema, OTAP-omgevingen, Overeenkomsten met externe partijen (met bijlagen) Overleggen. Overzicht aanvullende en bijgestelde beveiligingsmaatregelen. Overzicht geaccordeerde wijzigingen Overzicht in gebruik zijnde applicaties en versies, Overzicht risico's en kwetsbaarheden, Overzichtslijst functioneel beheerders. Overzichtslijst gevoelige systemen, Overzichtslijst hulpapparatuur, Overzichtslijst registraties (verwerkingen), Overzichtslijst weten regelgeving, Overzichtslijsten leveranciers, bewerkers, derden partijen Penetratietesten, Personeelsbestand, Personeelshandboek, Personele- en capaciteitsplanning, Plan van aanpak (2009 in opdracht IGZ) Plan van aanpak tekortkomingen en verbeterpunten, Plan van aanpak voor de informatiebeveiliging. Portefeuilleverdeling directie, Privacyreglement, Procedure incidentmelding en -opvolging. Procedure logging, Procesbeschrijvingen, Productieplanning, Programma's van eisen, Projecten (lopend en afgerond, opdrachten, verslagen), Rapportages aan raad van bestuur en raad van toezicht Rapportages en verslagen managementreviews. Rapportages van risicoanalyses, Rapportages, overig Rapportages met betrekking tot incidentmeldingen. Regels voor wachtwoordgebruik, Registraties (verwerkingen) Registratiesystemen, Reglementen (b.v. omgang met onderzoeksgegevens, cameratoezicht), Restoreprocedures, Revisies van beleidsdocumenten en/of richtlijnen. Richtlijnen, interne

Richtlijnen, procedures en protocollen, Risicoanalyses en -beoordelingen, Samenstelling eventuele stuurgroep of commissie, Samenwerkingsverbanden Sanctiebeleid, Scholings- en trainingsprogramma. Service level agreements (SLA's). Sleutelplannen, Specifieke software, Steekproeven. Stroomschema's, Stroomtests, Systeeminstellingen, Taak- en functiebeschrijvingen, Technische afscherming informatiedomeinen, Technische beheersmaatregelen. Technische beheersmaatregelen. Technische beschermingsmaatregelen. Technische beveiligingsmaatregelen, Technische eisen, Technische en functionele programma's van eisen, Technische en organisatorische afspraken. (gedocumenteerd) Technische en procedurele maatregelen. Technische hulpmiddelen. Technische instellingen (w.o. firewall en systemen). Technische maatregelen (w.o. voor systeemtoegang), Technische veiligheidsspecificaties, c Testmethodieken, Testplannen, Testprotocollen. Testverslagen, Tijdverantwoording, Toegangbeleid, Toegangsbeveiliging van portals, Toegangsrechten van beheerders. Toestemmingsprofielen van patiënten, Toezichthoudende instanties. Trainings- en opleidingsplannen. Trendrapportages Tussentijdse risicoanalyses, Uitkomsten / meetwaarden / prestaties met betrekking tot MUD en MGV. Uitkomsten risicoanalyses, Validatiecontroles, Veiligheidsrondes, Verbeterplannen, Vergunningen, Verklaring omtrent gedrag (registratie). Verklaring van toepasselijkheid Versiebeheer. Verslagen managementreviews, Verslagen werkoverleggen, Voortgangsrapportages, Vrijgave-adviezen. Vrijgavebesluiten. Vrijgaveprocedures, Wachtwoordconventies, Werkwijzen voor risicoanalyse, Wijzigingsprocedures, Workarounds, Zoneringsbeleid,


iii

Bijlage D: Wet- en regelgeving Considerans Normelement/beheersmaatregel 15.1.1 NEN7510:2011 luidt als volgt. 15.1.1 Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de

benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.

In de norm wordt niet nader uitgewerkt welke wet en regelgeving en contractuele verplichtingen worden bedoeld. En derhalve wordt dit niet nader geconcretiseerd. Het is in het kader van het opstellen van een toetsbare en concrete norm noodzakelijk dat de relevante weten regelgeving wordt geïdentificeerd en vervolgens geconcretiseerd. In ZekereZorg3 is de volgende weten regelgeving als base line geïdentificeerd8: Wet op de geneeskundige behandelingsovereenkomst (Wgbo), Wet BIG, Wet Medische hulpmiddelen, Kwaliteitswet Zorginstellingen, Wet bescherming persoonsgegevens Wet gebruik BSN in de zorg 1. Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) 1.1 Doel Deze wet regelt de relatie tussen patiënt en hulpverlener (artsen, verpleegkundigen, orthopedagogen, psychologen, verloskundigen, fysiotherapeuten, logopedisten, orthopedagogen et cetera). Wanneer een patiënt de hulp van een zorgverlener inroept, ontstaat een geneeskundige behandelingsovereenkomst tussen hen. De patiënt is opdrachtgever tot zorg, hetgeen gedefinieerd wordt als: onderzoek, het geven van raad en handelingen op het gebied van de geneeskunst, die het doel hebben iemand van een ziekte te genezen, ziekte te voorkomen of de gezondheidstoestand te beoordelen, of het verlenen van verloskundige bijstand. De WGBO is van dwingend recht, dat wil zeggen dat zorgverleners (of zorgverlenende instanties) en patiënten onderling geen afspraken kunnen maken die in strijd zijn met de WGBO. 1.2 Het recht van de patiënt op informatie Een patiënt heeft recht op informatie, in begrijpelijke taal, over zijn/haar ziekte, de behandeling, de gevolgen en risico's van die behandeling en over eventuele alternatieve behandelingen. De zorgverlener zal, als dat gewenst en noodzakelijk is, de informatie schriftelijk geven, zodat de patiënt die nog eens rustig kan nalezen. Als de zorgverlener denkt dat bepaalde informatie bij de patiënt slecht zal vallen, dan is dat geen reden om de patiënt deze informatie niet te geven. Alleen als naar het oordeel van de zorgverlener het geven van bepaalde informatie ernstig nadeel voor de patiënt zal opleveren, dan verstrekt hij die informatie niet. De zorgverlener is wel verplicht dit met een andere zorgverlener te overleggen. Als een patiënt zegt bepaalde informatie niet te willen, dan krijgt hij die informatie niet, tenzij dit ernstig nadeel voor hemzelf of anderen oplevert, dan krijgt de patiënt toch die informatie van de zorgverlener. 1.3. Het recht van de patiënt op inzage in zijn dossier Van iedere patiënt wordt een medisch dossier bijgehouden. Hierin staan alle gegevens die betrekking hebben op de behandeling. Omdat het dossier gaat over zijn/haar lichaam en gezondheid kunnen patiënten deze uiteraard inzien, met uitzondering van de gegevens die niet over henzelf gaan. Op de

8 Thans blijven buiten beschouwing: i) Wet Cliëntenrechten zorg (Wcz). Dit wetsvoorstel is aanhangig bij de Tweede Kamer. Na inwerkingtreding kunnen de toetsingscriteria, c.q. kan deze handleiding worden aangepast. ii) Regels rondom Goed beheerd Zorgsysteem. Dit vanwege het sneuvelen van de invoering van het LSP in de Eerste Kamer in mei 2011, iii) Zorgbrede governance code, iv) Zorgverzekeringswet, v) Wet marktordening gezondheidszorg.


iv

hulpverlener na mag niemand anders het dossier inzien, tenzij hij/zij daar toestemming voor geeft. Tot inzage dient zo spoedig mogelijk gelegenheid te worden gegeven. Patiënt heeft recht op kopieën van zijn/haar dossier, waarvoor de zorgverlener een redelijke vergoeding in rekening mag brengen. Als patiënt een andere visie heeft dan welke in zijn/haar dossier staat, dan mag hij/zij aan de zorgverlener vragen om het dossier te wijzigen of om zijn/haar visie toe te voegen aan het dossier. 1.4. Het recht van de patiënt op bescherming van zijn privacy De zorgverlener dient de privacy van de patiënt te beschermen. Alle informatie de patiënt betreffende moet vertrouwelijk worden behandeld. Het medisch dossier is alleen ter inzage aan de zorgverlener en degenen die betrokken zijn bij de behandeling. De zorgverlener mag geen enkele informatie aan derden verstrekken (inclusief directe familie), tenzij de patiënt daar uitdrukkelijk toestemming voor heeft gegeven of als de wet de zorgverlener daartoe verplicht, of als het informatie betreft ten behoeve van wetenschappelijk onderzoek, maar dan alleen onder strikte voorwaarden. Het beroepsgeheim vindt zijn grondslag in het recht van de patiënt op geheimhouding van zijn persoonlijke gegevens. Dit recht op bescherming van de privacy ligt besloten in artikel 10 van de Grondwet. Het overlijden van een patiënt betekent niet dat diens privacy niet meer beschermd hoeft te worden. Ook na de dood hebben derden geen recht op inzage in het dossier, tenzij de zorgverlener zeker weet dat de patiënt daar geen bezwaar tegen gehad zou hebben. 1.5 De plicht van de zorgverlener informatie te verstrekken Niet alleen heeft de patiënt recht op informatie, de zorgverlener is zelfs verplicht de patiënt informatie te verschaffen. De zorgverlener moet in voor de patiënt te bevatten bewoordingen vertellen over het onderzoek, de voorgestelde behandeling en alternatieven, en de gezondheidstoestand van de patiënt. 1.6. De plicht van de zorgverlener een medisch dossier bij te houden Een hulpverlener heeft de plicht om een apart dossier van elke patiënt bij te houden. Een dossier is het geheel aan gegevens dat een hulpverlener over een patiënt bijhoudt. Welke gegevens precies in het dossier moeten worden opgenomen, verschilt per behandeling en per medische beroepsgroep. Dit wordt door de hulpverlener zelf beoordeeld, maar is ook afhankelijk van wettelijke bepalingen of voorschriften. In het dossier moeten in ieder geval de basisgegevens opgenomen worden. 1.7. Bewaartermijn van het medisch dossier De algemene bewaartermijn van een medisch dossier is 15 jaar. Na afloop van de bewaartermijn moet het dossier vernietigd worden. Van uitzonderingen op de algemene bewaartermijn van 15 jaar is sprake bij: goed hulpverlenerschap, wettelijke plicht, verzoek van de patiënt, anonieme gegevens en belang van anderen. 1.8. De plicht van de zorgverlener de privacy van de patiënt te bewaren Het is de plicht van de zorgverlener er voor te zorgen dat geen inlichtingen over de patiënt aan derden ter beschikking komen. Tenzij de patiënt hier uitdrukkelijk toestemming voor heeft gegeven. Alleen personen die direct bij het onderzoek en de behandeling betrokken zijn, mogen over de patiëntgegevens beschikken. Zonder toestemming van de patiënt kunnen wel gegevens aan derden verstrekt worden ten behoeve van wetenschappelijk onderzoek of statistiek indien het vragen van toestemming niet mogelijk is en de patiënt niet onevenredig wordt geschaad, of het vragen van toestemming niet redelijk is en de gegevens niet tot de patiënt herleidbaar zijn. Als een patiënt echter uitdrukkelijk bezwaar heeft gemaakt tegen het verstrekken van gegevens ten behoeve van wetenschappelijk onderzoek of statistiek, dan mag de zorgverlener geen gegevens verstrekken. Het wetenschappelijk onderzoek moet wel een algemeen belang dienen en het moet niet ook zonder de patiëntgegevens uitgevoerd kunnen worden. Als er gegevens ten behoeve van wetenschappelijk onderzoek of statistiek verstrekt worden, dan wordt dat door de zorgverlener in het dossier genoteerd. 1.9. Toestemming van de patiënt is vereist Voor ieder onderzoek en voor iedere behandeling is toestemming nodig van de patiënt. De patiënt beslist uiteindelijk of er wel of niet behandeld wordt, niet de zorgverlener. De patiënt heeft het recht een behandeling of onderzoek te weigeren en gegeven toestemming weer in te trekken. Bij ingrijpende onderzoeken of behandelingen wordt uitdrukkelijk om de toestemming van de patiënt gevraagd. In de overige gevallen wordt ervan uitgegaan dat de patiënt stilzwijgend toestemming geeft. Wanneer de patiënt daar om vraagt, wordt in het medisch dossier genoteerd voor welke behandelingen of onderzoeken toestemming is verleend.


v

1.10. Relevante artikelen Burgerlijk Wetboek, Boek 7, artt. 450, 454 t/m 459, 466 en 467. 1.11. Bijzonderheden De WGBO is een lex specialis ten opzichte van de Wbp. Dit houdt in dat de bepalingen uit de WGBO prevaleren boven die uit de Wbp. Ter indicatie: op grond van de behandelrelatie tussen hulpverlener wordt toestemming om bijzondere persoonsgegevens, zoals patiëntgegevens te verwerken en deze aan derden te verstrekken, verondersteld aanwezig te zijn binnen de groep van personen die betrokken zijn bij de behandeling van de patiënt. Dit terwijl de Wbp voor deze verwerkingen steeds expliciete toestemming van de betrokkene vereist. 1.12. Aandachtspunten Door personen die niet vallen onder het beroepsgeheim dient een geheimhoudingsverklaring ondertekend te worden. 2. Wet Beroepen Individuele Gezondheidszorg (BIG) 2.1. Doel De wet BIG heeft als doel de kwaliteit van de beroepsuitoefening te bevorderen en te bewaken, en de patiënt te beschermen tegen ondeskundig en onzorgvuldig handelen van beroepsbeoefenaren. De wet BIG is een kaderwet, dit houdt in dat in de wet de kaders worden aangegeven waarbinnen instellingen voor gezondheidszorg hun eigen beleid dienen te formuleren. De wet beoogt gezondheidszorg kwalitatief op een hoog niveau te brengen c.q. houden. Dit betekent onder meer dat vanwege de wet afspraken gemaakt moeten worden in instellingen inzake wie welke (be)handelingen kan en mag uitoefenen. De wet geeft kaders aan inzake de bevoegdheden van beroepsbeoefenaren. De wet bewaakt de opleidingseisen van opleidingen voor beroepen in de gezondheidszorg. De wet biedt bescherming aan beroepsbeoefenaren in de gezondheidszorg. De wet regelt tuchtrecht voor verpleegkundigen en fysiotherapeuten. 2.2. Voorbehouden handelingen In de Wet BIG zijn een aantal handelingen voorbehouden aan de daartoe bevoegde beroepsbeoefenaren. Deze bevoegdheidsregeling voorbehouden handelingen is in de wet opgenomen om te voorkomen dat door ondeskundig handelen de patiënt onaanvaardbare risico's loopt. Dit zijn artt. 35 t/m 39. In artikel 40 lid 4 sub d staat nog vermeld voor zover hier van belang dat er regels kunnen worden gesteld inhoudende de eisen met betrekking tot de rechten van personen aan wie de gezondheidszorg wordt verleend. Dit staat er niet expliciet in, maar dit zou ook kunnen betekenen eisen m.b.t. privacy. 2.3. Relevante artikelen Art. 88 WBIG 2.4. Bijzonderheden Uitsluitend BIG geregistreerden kunnen een Uzi pas verkrijgen. 3. Kwaliteitswet Zorginstellingen (Kz) 3.1. Doel De Kwaliteitswet Zorginstellingen verplicht zorginstellingen hun eigen kwaliteit te bewaken, te beheersen en te verbeteren. De wet noemt vier kwaliteitseisen waaraan een instelling moet voldoen: verantwoorde zorg, op kwaliteit gericht beleid, het opzetten van een kwaliteitssysteem en het maken van een jaarverslag. Een zorginstelling moet verantwoorde zorg leveren. Het beleid dat de instelling voert, moet daarom gericht zijn op het in stand houden en verbeteren van de kwaliteit van zorg.


vi

Zorginstellingen zijn op grond van deze wet ook verplicht calamiteiten en seksueel misbruik waarbij een cliënt of een zorgverlener van de instelling is betrokken, bij de IGZ te melden. 3.2. Registratie De zorginstelling is verplicht een goede registratie van de patiëntgegevens bij te houden. 3.3. Relevante artikelen Art. 2 Kz 4. Wet op de medische hulpmiddelen (WMh) en regelge ving medische apparatuur (internationale richtlijnen Medical Devices MDD 93/42/EC, 2007/47/EG (uitbreiding 90/385/EEG) 4.1. Doel Het vaststellen van regels rondom gebruik en fabricage/productie van medische hulpmiddelen. Onder de term medische hulpmiddelen vallen alle hulpmiddelen die worden gebruikt bij diagnose en behandeling en/of verlichting van ziekten. 4.2. Relevante artikelen 1, 2,3 4 en 12 a Wmh 4.3. Bijzonderheden CE markeringen verplicht Embedded software valt hier onder Bij hogere risicoklassen verplichte certificering tegen ISO 13485:2003 5. Wet bescherming persoonsgegevens (Wbp) 5.1. Doel De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens. Alle artikelen zijn van toepassing op gezondheidsgegevens van patiënten en wel in de hoogste risicoklasse. 5.2. Doelbinding Persoonsgegevens9 mogen slechts voor bepaalde gerechtvaardigde doeleinden worden verzameld en niet voor doeleinden die daarmee onverenigbaar zijn. 5.3. Rechtmatige grondslag De verwerking van persoonsgegevens moet berusten op een in art. 8 WBP genoemde grondslag, zoals: expliciete toestemming van de betrokkene overeenkomst; wettelijke plicht; gerechtvaardigd belang van organisatie. 5.4. Kwaliteit De persoonsgegevens moeten zoveel mogelijk juist, nauwkeurig, toereikend, ter zake dienend en niet bovenmatig zijn. 5.5. Transparantie De betrokkene moet kunnen overzien door wie, voor welk doel en op welke wijze zijn gegevens worden verwerkt. 5.6. Melden: voornemen en verwerking

9 Onder persoonsgegevens wordt in de Wbp verstaan elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Dit begrip dient volgens de Memorie van Toelichting zeer ruim te worden uitgelegd.


vii

De verwerking van persoonsgegevens moet vooraf worden gemeld bij het College Bescherming Persoonsgegevens of de Functionaris voor de Gegevensbescherming, tenzij de verwerking daarvan is vrijgesteld o.g.v. het Vrijstellingenbesluit. 5.7. Rechten van betrokkenen De betrokkenen hebben het recht om kennis te nemen van hun gegevens en om te verzoeken deze te laten verbeteren of te laten verwijderen 5.8. Beveiliging Passende maatregelen van technische en organisatorische aard die een adequaat beveiligingsniveau garanderen dienen aanwezig te zijn. Dit vormt het kernartikel met betrekking tot het onderwerp informatieveiligheid. Artikel 13. Passende beveiligingsmaatregelen De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. 5.9. Derden Bij uitwisseling van persoonsgegevens met derden, die kwalificeren als ‘bewerker’ in de zin van de Wbp dient het handelen in overeenstemming met het beveiligingsniveau van de verantwoordelijke te worden afgedwongen middels een bewerkersovereenkomst. Dit onderwerp wordt verder uitgewerkt in C.1. Relevante artikelen Alle. 6. Wet gebruik BSN in de Zorg (Wbsn-z) 10 6.1. Doel Het doel van de wet is de kwaliteit van de zorgverlening te verbeteren dankzij betrouwbare gegevensuitwisseling in de zorg. 6.2. Eisen Kern van de Wbsn-z, is dat zorgaanbieders (maar ook zorgverzekeraars en indicatieorganen) het BSN moeten opnemen in de eigen administratie én gebruiken bij onderlinge uitwisseling van gegevens over hun patiënten en verzekerden (persoonsgegevens, medisch-inhoudelijke en (financieel-)administratieve gegevens). Dit betekent dat bij persoonsgebonden gegevensuitwisselingen het BSN vermeld moet staan op alle (papieren en elektronische) dragers. Ook worden eisen aan de beveiliging van elektronische communicatie vastgelegd. Het verplicht gebruik van het BSN in de zorg (bij uitwisselen en vastleggen van gegevens); Gebruikers van het BSN in de zorg moeten 1. identiteit van de patiënt vaststellen en 2. BSN van de patiënt opvragen en verifiëren. Pas dan mag het BSN worden gebruikt. Identiteit vaststellen kan met behulp van een document als bedoeld in art. 1 van de Wet op de identificatieplicht: zijnde 1. geldig reisdocument, 2. Geldig vreemdelingendocument, 3. Geldig rijbewijs. Aard en nummer van het document worden in de administratie opgenomen. Identiteit vaststellen geldt alleen bij het aangaan van een nieuwe behandelrelatie. 10 In geval dat al een behandelrelatie bestaat, kan de zorgaanbieder volstaan met vergewissen.

Vergewissen is identificeren op grond van herkenning, het stellen van controlevragen of het inzien van een wettelijk identiteitsbewijs.

11 Het vaststellen en controleren van het BSN kan via aansluiting op de Sectorale Berichten Voorziening in de Zorg (SBV-Z).

10 Medio 2012 is een wetsvoorstel tot wijziging van de WBSN-z in voorbereiding betreffende de juridische randvoorwaarden van uitwisseling van medische gegevens (niet openbaar).


viii

12 De zorgaanbieder hoeft het BSN niet zelf op te vragen of te verifiëren als hij het BSN heeft gekregen van een andere gebruiker van het BSN, die de juistheid daarvan heeft vastgesteld.

13 Wanneer het BSN wordt doorgeleverd, blijft de plicht bestaan de identiteit van de patiënt vast te stellen.

14 Wanneer men twijfelt aan de juistheid van het BSN moet deze alsnog worden opgevraagd of geverifieerd.

6.3. Relevante artikelen 8, 9, 10, 11, 13, 15 en 16 Wbsn-z


ix

Bijlage E: Interne en externe uitbesteding 1. Inleiding In een aantal gevallen zal een instelling niet alle verwerkingen van persoonsgegevens zelf uitvoeren maar geheel of gedeeltelijk uitbesteden aan een derde partij, hetzij intern of extern. Bij het uitbesteden van ICT-diensten is, naast de afdwingbaarheid van de gemaakte afspraken over het niveau van dienstverlening, informatiebeveiliging een belangrijk onderwerp. De eisen die hieraan gesteld worden, dienen dan ook duidelijk vastgelegd te worden in de overeenkomsten die klant en (interne) leverancier opstellen, om hun wederzijdse verantwoordelijkheden op zowel technisch als organisatorisch gebied te formaliseren. In dit hoofdstuk geeft ZekereZorg3 extra toelichting op de toetsingscriteria waarmee het kwaliteitsaspect beveiliging bij interne of externe uitbesteding kan worden getoetst. 2 Toetsingscriteria interne- en externe uitbestedin g in het Toetsingskader Informatieveiligheid in de Zorg Het Toetsingskader Informatieveiligheid in de Zorg omvat een spectrum van toetsingscriteria waarbij zich bij elk element interne of externe uitbesteding kan voordoen. Bij een aantal elementen wordt dit concreet benoemd (zoals bij 12.5.5 “Uitbestede ontwikkeling van programmatuur”), bij een groot aantal elementen echter niet. Er zijn – los van het specifieke aandachtsgebied – generieke criteria die voor uitbesteding gelden. De handleiding werkt deze generieke criteria uit in:

6.2 “Externe partijen” Hier wordt risicoanalyse en vastlegging van overeenkomsten voorgeschreven. 10.2 “Beheer van dienstverlening door een derde partij” Hier wordt toezicht en controle op uitgevoerde diensten voorgeschreven.

In deze handleiding zijn deze twee onderdelen uitgewerkt met de door NOREA in samenwerking met het Platform Informatiebeveiliging uitgewerkte “Normen voor de beheersing van uitbestede ICT-beheerprocessen” en het tiende deel uit de Praktijkreeks Informatiebeveiliging van het Platform Informatiebeveiliging ‘Beveiliging en Service Level Agreements’, aangevuld met best practices. Verder is in de twee onderdelen een aanvulling gemaakt vanuit de Wet Bescherming Persoonsgegevens. Bij uitbesteding van delen van de (geautomatiseerde) gegevensverwerking maakt de WBP onderscheid tussen de bewerker en de verantwoordelijke:

• verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt;

• bewerker: degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

3 Extra toelichting op de toetsingscriteria bij ICT uitbesteding

Zodra ervoor wordt gekozen om (een deel van) de ICT-dienstverlening uit te besteden, ontstaat tussen de instelling en de leverancier een zogenoemde uitbestedingsrelatie, ook in een interne situatie. Daarbij behoudt de instelling als klant de eindverantwoordelijkheid voor de ICT-dienstverlening en stelt de instelling de normen op waaraan de dienstverlening zal moeten voldoen. Deze normen worden op hoofdlijnen vastgelegd in de uitbestedingsovereenkomst en vervolgens gedetailleerd uitgewerkt in een onderliggende Service Level Agreement (SLA).

In deze paragraaf is een lijst uitgewerkt van kritieke aandachtspunten ten aanzien van informatiebeveiliging bij uitbestedingsovereenkomsten en SLA. In de toetsingscriteria 6.2 en 10.2 zijn


x

de minimale aandachtspunten opgenomen, de lijsten in C.1.3.1 en C.1.3.2 vormen dus een toelichting en aanvulling hierop.

C1.3.1 Extra toelichting op de toetsingscriteria vo or de overeenkomst

Hierna volgt een lijst met de belangrijkste aspecten die bij uitbesteding in de overeenkomst aan de orde zouden moeten komen, inclusief de beveiligingsaspecten:

1. Duidelijke identificatie van overeenkomst en partijen Beschrijving van de partijen die betrokken zijn bij de overeenkomst. Namen (eventueel aangevuld met afkortingen, die in het contract gebruikt worden, locaties (adressen, in geval van een groot aantal, deze opnemen in de bijlage), overeenkomstnummer (met versienummer).

2. Lijst met definities en afkortingen Lijst met sluitende en duidelijk gedefinieerde begrippen, afkortingen, formules en meetvoorschriften, die misverstanden helpen voorkomen.

3. Onderwerp van de overeenkomst Aangeven op welke dienst (of diensten) de overeenkomst betrekking heeft.

4. Afbakening Expliciete beschrijving van de grenzen van de dienstverlening, zowel met betrekking tot de te leveren diensten zelf, als ook tot de hiervoor benodigde middelen.

5. Duur en beëindiging van de overeenkomst Bepaling waarin wordt aangegeven voor welke periode de overeenkomst geldt en hoe de standaardprocedure voor verlenging of beëindiging van de overeenkomst luidt.

6. Bepaling van de eigenaar van de apparatuur en programmatuur die nodig is voor het leveren van de dienst, eventueel uitgebreid met een beschrijving van de verantwoordelijk persoon voor achteruitgang of tenietgaan van deze middelen

a. eigenaar van benodigde apparatuur en programmatuur b. noemen van organisatie bij wie het risico van tenietgaan of achteruitgang van

apparatuur en/of programmatuur ligt 7. Geheimhouding, verantwoordelijkheid en concurrentiebeding

Afspraken met betrekking tot het niet openbaar maken of aan derden beschikbaar stellen van vernomen informatie tijdens het opstellen van de SLA (inhoudelijke SLA-bepalingen) of het functioneren van de dienst. Tevens kunnen bepalingen worden opgenomen voor bescherming tegen het overnemen van personeel (concurrentiebeding) of het rechtstreeks onderhandelen van de instelling (buiten de leverancier om) met derden over de levering van (delen van) diensten.

8. Onderzoek naar kwaliteit van dienstverlening. Het recht om als klant periodiek een onderzoek naar de kwaliteit van de dienstverlening uit te (laten) voeren. Daarnaast of in plaats hiervan moet ook afgesproken worden dat de leverancier periodiek een onderzoek naar de kwaliteit van de beveiliging laat doen door een onafhankelijke derde. Dergelijk afspraken worden in de overeenkomst vastgelegd, waarbij bijvoorbeeld bepaald wordt dat jaarlijks een externe IT-auditor de opdracht krijgt een zogenaamde third party-mededeling (TPM) op te stellen. De TPM bevat een oordeel over de kwaliteit van het stelsel van maatregelen van interne controle en beveiliging bij de leverancier en biedt de klant de garantie dat de leverancier zijn contractuele beveiligingsafspraken is nagekomen.

9. Aansprakelijkheid en strafbepalingen Vermelding van zowel de aansprakelijkheid voor de bij de instelling opgestelde apparatuur en/of programmatuur als van de aansprakelijkheid van de leveranciersorganisatie voor het functioneren van de instelling. Bijvoorbeeld in geval van storingen of calamiteiten. Bepalingen omtrent het verhalen van schade als gevolg van een onvoldoende functionerende dienst, eventueel met boeteclausules of andere financiële strafbepalingen.

10. Beperkingen, afhankelijkheden en overmacht Vastlegging van beperkingen met betrekking tot het gebruik van de te leveren diensten, de afhankelijkheid van derde organisaties (bijvoorbeeld KPN t.b.v. communicatie) en het schetsen van situaties waarin de instellingen zich kunnen beroepen op overmacht.

a. maximaal aantal gelijktijdige gebruikers van de verschillende diensten


xi

b. maximaal aantal toegelaten gebruikers (maximaal aantal “accounts”) van de verschillende diensten

c. afhankelijkheid van andere organisaties of diensten d. regeling met betrekking tot het beroepen op overmacht, inclusief de mogelijkheid tot

het buiten werking stellen van de SLA en de te ondernemen acties om zo spoedig mogelijk terug te kunnen keren naar de normale situatie

e. algemene calamiteitenprocedure, inclusief een verwijzing naar de verschillende calamiteitenplannen

f. overige beperkingen (bijvoorbeeld het maximaal aantal transacties per periode). 11. Procedure voor aanpassing van de overeenkomst

Beschrijving van de procedure voor het wijzigen van de overeenkomst en de regeling met betrekking tot de looptijd van de overeenkomst. Bij omvangrijke overeenkomsten loont het tevens de moeite om te beschrijven, wanneer vorige wijzigingen aan de overeenkomst uitgevoerd zijn en wat er destijds gewijzigd is aan de overeenkomst, zodat op eenvoudige wijze terug te zoeken is welke versies de overeenkomst heeft gekend.

12. Slotbepaling en handtekeningen Formele afsluiting van de SLA, waarin gesteld wordt dat de betrokken partijen “het bovenstaande” overeengekomen zijn ondertekend door verantwoordelijke personen uit beide organisaties.

a. formele afsluiting b. namen en handtekeningen van tekengerechtigde personen.

3.2 Extra toelichting op de toetsingscriteria voor de Service Level Agreement

De Service Level Agreement dient de in het contract op hoofdlijnen overeengekomen dienst in detail uit te werken en afspraken te bevatten over procedures, communicatiekanalen en de te treffen beheersmaatregelen. De belangrijkste beveiligingsaspecten, die in de SLA aan de orde moeten komen, zijn:

1. Procedure van beveiliging van systemen, services en data bij de dienstverlener, met name: a. Autorisatiebeheer b. Scheiding tussen ontwikkel-, acceptatie en productieomgeving c. Beveiliging van dataverbindingen d. Incidentbeheer

2. Overeengekomen specifiek te treffen beveiligingsmaatregelen en hun kenmerken 3. Maatregelen bij het schenden van beveiligingsprocedures 4. Aanspreekpunt bij beveiligingsincidenten 5. Rapportages over service levels en beveiligingsincidenten

De instelling dient als klant zicht te hebben, te krijgen en te houden op alles wat te maken heeft met uitbestede informatiesystemen. Omtrent de rapportage moeten afspraken gemaakt worden betreffende:

a. inhoud van de rapportage b. verschijningsfrequentie c. distributie (functionarissen, afdelingen, etc.)

6. De inhoud van een goede rapportage bestaat met name uit: a. Rapportage over afwijkingen van de afgesproken norm, bijvoorbeeld het uitvallen van

een dienst langer dan de afgesproken normtijd. b. Rapportage over onderwerpen die voor de instelling relevant zijn en begrepen kunnen

worden zoals beschikbaarheid van de dienst voor de klant c. Rapportage over incidenten, zoals het ongeautoriseerd verwijderen van bestanden. d. Rapportage over verwachte gebeurtenissen die voor de instelling belangrijk zijn, zoals

gepland onderhoud of een grote interne verhuizing bij de leverancier waardoor de continuïteit van de dienstverlening in gevaar zou kunnen komen.

e. De mogelijkheid om ad hoc rapportage op te vragen, bijvoorbeeld een overzicht van de beveiligingsincidenten van het afgelopen kwartaal.


xii

Bijlage F: Eisen aan de assessor / auditor

Bij zelfevaluatie en een informatieveiligheidsaudit kunnen, afhankelijk van de opzet en organisatie, verschillende typen assessor of auditoren worden ingezet: b.v. kwaliteits- of veiligheidsauditoren voor algemene onderwerpen naast specialisten voor specifieke onderwerpen; interne auditoren naast externe specialisten vanuit andere instellingen of marktpartijen. Bij een grotere audit zijn de verschillende invalshoeken en onderscheiden kennis en ervaring in één team te combineren. Een assessor / auditor op het gebied van informatiebeveiliging en privacybescherming is:

1 Werkzaam op het vakgebied informatiebeveiliging b.v. als ISO of FG in een zorginstelling of op een gerelateerd vakgebied b.v. ICT, kwaliteit, veiligheid, bestuur & control en heeft ervaring als intern of als onafhankelijk auditor.

2 Breed geschoold: dat wil zeggen bestrijkt het vakgebied informatiebeveiliging in volle omvang: a. heeft een visie op inrichting, instandhouding en doorontwikkeling van een ISMS in de

zorg, b. heeft inzicht in risicoanalyses een –beoordeling en risicomanagement in het algemeen, c. heeft technische kennis van de te auditen activiteiten, d. heeft algemene kennis van regelgeving van toepassing op informatiebeveiliging in het

bijzonder met betrekking tot de gezondheidszorg en de daarbij geldende weten regelgeving.

e. heeft inzicht in de audit-principes op basis van ISO 19011, f. heeft kennis van effectiviteitbeoordeling van een informatiebeveiliging management

systeem en het meten van de effectiviteit van beveiligingsmaatregelen.is in staat om complexe activiteiten in een groter perspectief te plaatsen en de rol van individuele eenheden in grotere organisaties te begrijpen

3 Competent: dat wil zeggen kan (mondeling en schriftelijk) communiceren, observeren en luisteren; beschikt over organisatiesensitiviteit (gevoel voor bestuurlijke verhoudingen); is coöperatief (kan kennis overdragen en adviseren); kan schakelen van strategie naar praktische uitvoering en omgekeerd; ziet samenhang tussen verschillende vakgebieden (specialismen).

4 Ervaren: dat wil zeggen heeft ervaring als (lead) auditor in meerdere zorginstellingen (spreekt de taal van de organisatie); omvang en complexiteit van een instelling zoals een UMC of topklinische zorg vragen auditor met de nodige kennis en ervaring.

5 Bekend met en ingewerkt op de gereviseerde NEN 7510:2011 en bijbehorende werkwijzen en het gebruik van het Toetsingskader Informatieveiligheid in de Zorg.

De lead auditor behoort naast bovenstaande eisen ook te voldoen aan de volgende eisen:

6 Is een geregistreerde lead auditor (b.v. IRCA, CIZA); 7 Heeft kennis van en is in staat tot het managen van het audit proces; 8 Is ten minste 3 keer auditor geweest in een informatiebeveiliging audit.

Aanvullend gezien vanuit NIAZ

9 Is geschoold / getraind in de NIAZ-werkwijzen m.b.t. de brede instellingsaudit en kan meewerken in een NIAZ peer-to-peer audit

10 Heeft als interne auditor ervaring met de NIAZ-zelfevaluatie, de uitvoering van de NIAZ-audit of de uitvoering van andere audits en kan fungeren in een peer-to-peer audit.


xiii

Bijlage G: Projectorganisatie NIAZ/NOREA NIAZ/NOREA hebben voor de ontwikkeling van ZekereZorg3 projectorganisatie in het leven geroepen. Binnen een structuur van een Stuurgroep en een Projectgroep is vanaf begin 2011 gewerkt aan de realisatie van de toetsingscriteria. Samenstelling stuurgroep ActiZ: Ruud Zondervan NFU: Karel van Lambalgen NIAZ: Kees van Dun (voorzitter), Klaas Schuurman en Freek van der Heijden NOREA: Jeroen Biekart (voorzitter), Nico Huizing (projectleider) NVZ: Maarten Fischer VIenG: Maarten Winkelman VMBI: Michiel Sprenger ZKN: Marijn Lamers Instellingen: Dik van Starkenburg en John van Giessen (Ziekenhuis Gelderse Vallei), Peter Razenberg (Franciscus Ziekenhuis) Samenstelling projectgroep CZ: Wilco Brouwers (tot 1-10-2012 via BDO) Deloitte: Derk Wierenga, Jan Huiskes Duthler Ass.: Andre Biesheuvel, Maarten Dekker Ernst & Young: Henriette Slatius (ass. projectleider, vanaf zomer 2012 vanuit KPN) GE: Axel Vogelzang HVG: Peter Kits KPMG: Huibert Bouthoorn LRQA: Paul Willems NIAZ: Freek van der Heijden NOREA: Nico Huizing (projectleider) PWC: Stefan Huyveneers, Khalid Bohoudi Instellingen: Pieter Reingoud (Rijnstate Ziekenhuis), Timo Schipperen (Amphia Ziekenhuis), Michiel Vervoort (Havenziekenhuis) UMC’s: Thijs Kliphuis (VUmc), Leon Haszing (UMC St. Radboud), Beer Franken (AMC), Bert Moorlag (UMCG), Martijn van Oosten (UMCU)

Toetsingskader Informatieveiligheid in de Zorg Handleiding & … · 2019-09-11 · Handleiding...

Documents

Transcript of Toetsingskader Informatieveiligheid in de Zorg Handleiding & … · 2019-09-11 · Handleiding...