NEN 7512 Vertrouwensbasis voor gegevensuitwisseling 2015

Hide all commentary Show all commentary
(informatief)
Hieronder worden enkele communicatiescenario's uitgewerkt als voorbeeld van toepassing van deze norm.
Hierbij wordt opgemerkt dat de elementen in deze voorbeelden, zoals bedreigingen en beheersmaatregelen voorbeelden betreffen en niet limitatief zijn opgesomd. De communicerende partijen voeren zelf een risico-inschatting uit en komen daarbij tot de vereiste classificatie (zie 5.1).
Communicatiescenario Een anonieme gebruiker vraagt algemene informatie op via de website van een zorginstelling
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Midden
Vertrouwelijkheid: Laag
— Bedreigingen Beschikbaarheid
Vooral uitval van de website, kans: matig, gevolgklasse: klein, matig risico
— Kwetsbaarheden Geen bijzonderheden, eventueel afhankelijkheid derde partij bij gebruik van een hosting provider van de website
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Eventueel overdragen van risico’s door aansprakelijkheid op te nemen in contract met hosting provider
Beheersmaatregelen O.a. wijzigingsbeheer van programmatuur en content van de website, contract en SLA met hosting provider
Communicatiescenario Een extern laboratorium doet laboratoriumonderzoek en stuurt de laboratoriumuitslagen door een geautomatiseerde koppeling naar de aanvragende zorgverlener (ziekenhuis / huisarts)
Risicobeoordeling
— Classificatie Beschikbaarheid: Hoog
Integriteit: Hoog
Vertrouwelijkheid: Hoog
— Bedreigingen Beschikbaarheid
Vooral uitval netwerkverbinding, kans: matig, gevolgklasse: middelmatig, matig risico
Integriteit
fouten in de koppeling, kans: matig, gevolgklasse: middelmatig, hoog risico
Vertrouwelijkheid
ongeautoriseerde toegang tot patiëntgegevens via netwerkverbinding, kans: matig, gevolgklasse: groot, hoog risico
— Kwetsbaarheden Geen bijzonderheden, eventueel afhankelijkheid derde partij bij gebruik van een 'communicatiemakelaar'
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Eventueel overdragen van risico’s door aansprakelijkheid op te nemen in contract
Beheersmaatregelen O.a. uitwisselingsovereenkomst + SLA, technische maatregelen voor identificatie en authenticatie van de koppeling, VPN-verbinding en continuïteitsplan + noodprocedures ingeval van uitval van de koppeling
Communicatiescenario Huisarts A stuurt e-dossier naar huisarts B via secure mail bij verhuizing van patiënt
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Hoog
Vertrouwelijkheid: Hoog
— Bedreigingen Vertrouwelijkheid
Vooral ongeautoriseerde toegang tot patiëntgegevens via mailuitwisseling, kans: matig, gevolgklasse: groot, hoog risico
— Kwetsbaarheden Gebruik van mail is in dit voorbeeld geen gestructureerde gegevensuitwisseling
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Beheersmaatregelen O.a. toepassen van secure mail, elektronische handtekening, ontvangstbevestiging via ander kanaal
Communicatiescenario Familie en betrokkenen vragen inhoudelijke zorggegevens van cliënten van een verpleeghuis op via een online portal van het verpleeghuis
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Hoog
Vertrouwelijkheid: Hoog
— Bedreigingen Vooral ongeautoriseerde toegang tot zorggegevens via portal
— Kwetsbaarheden Onervarenheid in de zorg bij gebruik en beveiliging portals
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Beheersmaatregelen O.a. gebruiksvoorwaarden voor gebruik portal, zekerheidsniveau 3 voor identificatie en authenticatie gebruikers portal, autorisaties voor het beperken van inzage tot desbetreffende cliënt
Communicatiescenario Patiënt vult online vragenlijst met medisch inhoudelijke vragen (psychiatrie) in ter voorbereiding op polikliniekbezoek
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Hoog
Vertrouwelijkheid: Hoog
— Bedreigingen Integriteit
Fouten in de verwerking van de vragenlijst, kans: matig, gevolgklasse: groot, hoog risico
Vertrouwelijkheid
Vooral ongeautoriseerde toegang tot patiëntgegevens, kans: matig, gevolgklasse: zeer groot, hoog risico
— Kwetsbaarheden Gebruik van internettechnologie, onervarenheid bij patiënten
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Beheersmaatregelen O.a. zekerheidsniveau 3 voor identificatie en authenticatie invuller vragenlijst, beveiliging van het platform voor de online vragenlijst
Communicatiescenario Patiënt maakt online afspraak voor een polikliniekbezoek via website van de zorginstelling
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Midden
Vertrouwelijkheid: Midden
— Bedreigingen Beschikbaarheid
Vooral uitval van de website, kans: matig, gevolgklasse: klein, matig risico
Integriteit
Fouten in de verwerking van aanvraag voor de afspraak, kans: matig, gevolgklasse: klein, matig risico
— Kwetsbaarheden Gebruik van internettechnologie, onervarenheid bij patiënten
— Behandeling risico’s Vooral toepassen van beheersmaatregelen.
Beheersmaatregelen O.a. gebruiksvoorwaarden voor gebruik van de website, zekerheidsniveau 2 voor identificatie en authenticatie van de patiënt, beveiliging van de website
Communicatiescenario Zorgverlener stuurt declaratiegegevens van een patiënt via een geautomatiseerde koppeling aan zorgverzekeraar
Risicobeoordeling
— Classificatie Beschikbaarheid: Midden
Integriteit: Hoog
Vertrouwelijkheid: Hoog
— Bedreigingen Beschikbaarheid
Vooral uitval netwerkverbinding, kans: matig, gevolgklasse: klein, matig risico
Integriteit
Fouten in de koppeling, kans: matig, gevolgklasse: middelmatig, matig risico
Vertrouwelijkheid
Ongeautoriseerde toegang tot declaratiegegevens, kans: matig, gevolgklasse: middelmatig, matig risico
— Kwetsbaarheden Geen bijzonderheden, eventueel afhankelijkheid derde partij bij gebruik van een communication broker
— Behandeling risico’s Vooral toepassen van beheersmaatregelen
Beheersmaatregelen O.a. uitwisselingsovereenkomst + SLA, technische maatregelen voor identificatie en authenticatie van de koppeling, VPN-verbinding