NEN 7512

Return to home

NEN 7512 Vertrouwensbasis voor gegevensuitwisseling 2015

Hide all commentary Show all commentary

6.1 Inleiding
In dit hoofdstuk worden de beheersmaatregelen beschreven die voor de gegevensuitwisseling relevant zijn. Zoals in 4.6 gesteld, moeten de communicerende partijen van elkaar verlangen dat zij hun informatiebeveiliging naar behoren hebben geregeld. Voor zorgaanbieders en andere organisaties die zorggegevens verwerken, betekent dit dat zij moeten voldoen aan de eisen die voor hen volgen uit NEN 7510. Voor de wijze waarop patiënten of hun wettelijke vertegenwoordigers hun informatie beveiligen, bepalen zij zelf hun eisen. Dit moet bij de bepaling van het risico van de gegevensuitwisseling worden meegewogen.
In 6.2, 6.3 en 6.4 worden de beheersmaatregelen geformuleerd en toegelicht, onderscheiden naar de te maken afspraken over de gegevensuitwisseling, naar beheersmaatregelen die de uitvoering van de afspraken betreffen en naar beheersmaatregelen aangaande beheer en naleving. In 6.5 wordt de relatie gelegd tussen de beheersmaatregelen en het verlangde zekerheidsniveau voor de gegevensuitwisseling. Hier zijn ook verwijzingen te vinden naar gerelateerde beheersmaatregelen uit NEN 7510.

6.2.1 Beleid en procedures voor gegevensuitwisseling
Beheersmaatregel
De eindverantwoordelijken van de communicerende partijen moeten beleid en procedures vaststellen voor de gegevensuitwisseling. Te behandelen onderwerpen hierbij zijn ten minste:
  • uit te wisselen soorten informatie;
  • verdeling en toewijzing van verantwoordelijkheden;
  • autorisatiebeleid;
  • technische en organisatorische waarborgen;
  • back-up-beleid;
  • zeggenschap voor patiënt, zoals informatieplicht, toegang tot gegevens, vereiste toestemming.

6.2.2 Uitwisselingsovereenkomsten
Beheersmaatregel
De communicerende partijen moeten afspraken over de gegevensuitwisseling vastleggen in een uitwisselingsovereenkomst. De te behandelen onderwerpen hierbij zijn ten minste:
  • maatregelen ten aanzien van de informatiebeveiliging, privacy en toestemming van de patiënt;
  • de classificatie van de betrokken systemen en de onderliggende infrastructuur in termen zoals beschreven in hoofdstuk 5.
Toelichting en aandachtspunten
Als een van de communicerende partijen een patiënt of andere burger is, kunnen alternatieven voor de overeenkomst worden aangereikt. Denk hier bijvoorbeeld aan het informatieblad, toestemmingsformulier, de mogelijkheid om digitaal akkoord te gaan met de gestelde communicatievoorwaarden en/of verwijzen naar een telefoonnummer van een helpdesk.
Indien er voor de gegevensuitwisseling sprake is van de levering van diensten door een derde partij, én alle gebruikers van de diensten van deze derde partij hebben onderling géén uitwisselingsovereenkomst gesloten met elkaar, dan geldt de plicht tot het maken van bovengenoemde afspraken tussen de deelnemer en de derde partij.

6.2.3 Beheer van de dienstverlening door derde partij
Beheersmaatregelen
  • a) Communicerende partijen moeten indien zij gebruik maken van een derde partij eisen stellen aan deze derde partij. Deze eisen moeten in een overeenkomst worden vastgelegd.
  • b) Overeenkomsten, zoals contracten en SLA’s, met betrekking tot de dienstverlening door derden moeten worden beheerd. Veranderingen in de uitgevoerde dienstverlening moeten vooraf worden gegaan door onderhandelingen en aanpassingen in de desbetreffende overeenkomsten.
    VOORBEELDProgramma van eisen Goedbeheerd ZorgNetwerk (GZN-eisen) [4].
  • c) Naleving van de overeenkomst moet door of namens de communicerende partijen periodiek worden gecontroleerd. Daar waar tekortkomingen worden geconstateerd, moet een verbetertraject worden gestart.
Toelichting en aandachtspunten
De beheersmaatregelen gelden ook voor partijen die worden ingeschakeld in geval van calamiteiten en oplossen van storingen.
Wettelijke en andere eisen voor informatiebeveiliging kunnen zich gedurende de looptijd van een contract wijzigen. Het is aan te raden dat de contractgever in zulke omstandigheden waarborgt dat in een nieuw contract nieuwe eisen kunnen worden opgenomen.

6.2.4 Bedieningsprocedures
Beheersmaatregelen
  • a) Bedieningsprocedures van de communicatievoorzieningen moeten worden gedocumenteerd, belegd, bijgehouden en beschikbaar gesteld aan betrokkenen.
  • b) Voor de voorzieningen en procedures voor gegevensuitwisseling is het toepassen van wijzigingsbeheer verplicht.
Toelichting en aandachtspunten
De bedieningsprocedures behoren aan te sluiten bij de bedieningsprocedures voor IT-voorzieningen, beschreven in NEN 7510, 10.1.1. Voor het wijzigingsbeheer wordt verwezen naar NEN 7510, 10.1.2.

6.3.1 Toekenning en beheer van identificatoren
Beheersmaatregel
De communicerende partijen moeten procedures inrichten om entiteiten te voorzien van eenduidige identificatoren.
Toelichting en aandachtspunten
Bij elektronische interactie worden entiteiten (personen, organisaties en informatiesystemen) weergegeven door identificatoren. Gebruikersnaam of cliëntnummer zijn veelgebruikte identificatoren. Een identificator behoort uniek te zijn binnen een bepaald domein. Dit vereist een systeem van registratie van gebruikers en identificatoren voor dat domein.
Bij interactie tussen entiteiten uit verschillende domeinen is een gemeenschappelijke systematiek nodig om ervoor te zorgen dat de identificatoren uniek zijn in het gezamenlijke domein.
De hier beschreven identificator heeft betrekking op de identificatie van de communicerende entiteiten en niet op het subject van de communicatie.
Identificatoren voor personen kunnen worden gebaseerd op een bestaande registratie van die personen binnen het desbetreffende domein, zoals abonneenummer, personeelsnummer of patiëntnummer.
Zorgverleners en zorginstellingen zijn opgenomen in landelijke registers, bedrijven in het Handelsregister. Deze registers vormen met het daaraan verbonden stelsel van erkenningen een basis voor het koppelen van identificatoren aan de geregistreerde entiteiten.

6.3.2 Registratie van entiteiten
Beheersmaatregelen
  • a) De communicerende partijen moeten zorg dragen voor een herkenbare registratie van entiteiten, herleidbaar naar personen, organisaties of informatiesystemen.
  • b) De communicerende partijen moeten ervoor zorgen dat voor bij de communicatie betrokken entiteiten die geen natuurlijk persoon zijn een verantwoordelijke is geregistreerd.
  • c) De communicerende partijen moeten vastleggen volgens welk proces de bij de communicatie betrokken entiteiten zijn geregistreerd en voorzien van een identificator.
Toelichting en aandachtspunten
Het registratieproces is een essentiële factor voor het bepalen van het zekerheidsniveau waarmee een beweerde identiteit kan worden geverifieerd. Dit omvat het identificatieproces, alsmede proces en organisatie bij uitgifte van het authenticatiemiddel.
Aansluitend bij EN-ISO/IEC 29115, ETSI/TS-101456 [8], STORK [6], worden registratiewijzen onderscheiden zoals weergegeven in Tabel 5.
Tabel 5Overzicht registratiewijzen
Registratiewijze Identificatieproces Uitgifte authenticatiemiddel
1 Een gebruiker maakt zichzelf voor een bepaald domein bekend met een identificator. De identificator is uniek binnen dat domein. De regels ten aanzien van de toekenning, registratie en geldigheidsduur van een identificator zijn voor het domein vastgelegd en bekendgemaakt.
De regels voor het domein kunnen toelaten of voorschrijven dat geen controle plaatsvindt van de identiteit van de gebruiker. Indien anonimiteit moet worden gewaarborgd, mag de identificator geen informatie geven over de gebruiker die deze representeert.
Karakteristiek: Geen controle van gegevens, eigen opgave; pseudoniem mogelijk, fysieke aanwezigheid niet vereist. en geen toezicht op proces.
 Geen toezicht op proces, middel mogelijk in bezit van anderen.
2 Voordat de registrerende instantie een aanvrager registreert en een identificator toekent controleert de registrerende instantie de identiteit en eventuele kwalificaties van de aanvrager.
Deze controle vindt plaats door de identificerende gegevens te vergelijken met een register dat door het domein is erkend. De controle kan direct plaatsvinden, danwel indirect, uitgevoerd door een andere, door het domein vertrouwde instantie. De feitelijk uitgevoerde controle wordt bij de registratie van de koppeling tussen entiteit en identificator gedocumenteerd.
Karakteristiek: Fysieke aanwezigheid niet vereist en geen toezicht op het proces.
Verificatie van gegevens die mogelijk niet uitsluitend bij hem/haar bekend zijn, herleidbaar naar een unieke identiteit.
Beperkte toetsing van de opgegeven identiteit met gegevens uit erkend register.
 Indien van toepassing worden gebruikersnaam en wachtwoord afzonderlijk verstrekt, via verschillende kanalen, en moeten direct worden geactiveerd.
3 fysiek De identiteit van de aanvrager wordt gecontroleerd door de registrerende instantie aan de hand van fysieke verschijning en op basis van een document bedoeld als in artikel 1 van de Wet op de identificatieplicht.
Eventuele kwalificaties worden daarbij gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe.
Karakteristiek: Directe controle (face-to-face), eenmalig. Verificatie van gegevens die mogelijk niet uitsluitend bij hem/haar bekend zijn, herleidbaar naar een unieke identiteit. Het tonen en toetsen van een document, incl. foto en handtekening, volgens Artikel 1 van de Wet op de identificatieplicht.
 Indien van toepassing worden gebruikersnaam en wachtwoord afzonderlijk verstrekt, via verschillende kanalen, en moeten direct worden geactiveerd.
3 online Eventuele kwalificaties worden gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe.
Karakteristiek: Bij online-registratie verificatie van meervoudige unieke gegevens waarvan kan worden aangenomen dat deze uitsluitend bekend zijn bij de entiteit, herleidbaar naar een unieke identiteit, en toetsbaar bij een erkend register.
Eenvoudige digitale handtekening vereist.
 Wordt ter beschikking gesteld via aangetekende post naar een getoetst adres of elektronisch beschikbaar gesteld na invoer van (persoonlijk verstrekt) wachtwoord of elektronische handtekening.
4 De identiteit van de aanvrager wordt gecontroleerd door de registrerende instantie aan de hand van fysieke verschijning en op basis van een document bedoeld als in artikel 1 van de Wet op de identificatieplicht. Eventuele kwalificaties worden daarbij gecontroleerd aan de hand van een voor het domein erkend register. Na de controle kent de registrerende instantie de aanvrager een identificator voor het desbetreffende domein toe.
Karakteristiek: Ten minste directe controle (face-to-face), eenmalig, aan de hand van een document volgens Artikel 1 van de Wet op de identificatieplicht. Strenge toetsing van een wettelijk ID, incl. foto en handtekening.
Verificatie van meervoudige unieke gegevens waarvan kan worden aangenomen dat deze uitsluitend bekend zijn bij de entiteit, herleidbaar naar een unieke identiteit, en toetsbaar bij een erkend register.
 Persoonlijke verstrekking van het middel direct na strenge toetsing van identiteit.
Of, na uitgebreide toetsing van de identiteit, wordt later ter beschikking gesteld (zoals onder registratiewijze 3).
6.3.3.1 Zekerheidsniveaus
Beheersmaatregel
De communicerende partijen moeten afspraken maken over het vereiste zekerheidsniveau bij authenticatie van een entiteit.
Toelichting en aandachtspunten
Het zekerheidsniveau van authenticatie is afhankelijk van:
  • het proces van toekenning en beheer van identificatoren (zie 6.3.1);
  • het proces van registratie van entiteiten (zie 6.3.2);
  • het authenticatiemiddel (zie 6.3.3.2);
  • de processen rond uitgifte, initialiseren, beheer en intrekken van het authenticatiemiddel;
  • het proces waarmee de verificatie van de beweerde identiteit in de praktijk wordt uitgevoerd.
EN-ISO/IEC 29115 definieert de eisen die aan deze processen moeten worden gesteld voor elk van de vier zekerheidsniveaus. Deze sluiten aan bij de niveaus uit het Europese project STORK, dat is gericht op afspraken over elektronische identificatie en authenticatie [6].
De volgende zekerheidsniveaus worden hier onderscheiden:
Zekerheidsniveau Laag
Dit biedt met registratiewijze 1 het laagste niveau van zekerheid. Dat betekent geen of minimale zekerheid ten aanzien van de beweerde identiteit van de gebruiker. Bij het registratieproces ter verkrijging van een authenticatiemiddel worden identificerende kenmerken zonder nadere verificatie overgenomen.
Een voorbeeld is een proces waarin de aanvrager van het middel een e-mail ontvangt van de uitgever met daarin een hyperlink die moet worden aangeklikt om het middel in gebruik te nemen. De enige zekerheid is dat er een dergelijk e-mail adres bestaat op het moment van de aanvraag en dat een verder onbekende in staat is op daarheen verzonden e-mail berichten te reageren.
Zekerheidsniveau Midden
Op dit niveau vindt bij het registratieproces ter verkrijging van het authenticatiemiddel verificatie plaats volgens registratiewijze 2. Fysieke verschijning in het registratieproces is daarbij niet vereist.
Een enkelvoudig authenticatiemiddel (1-factorauthenticatie) volstaat. Onder ‘factor’ wordt verstaan een bewijsmiddel voor een beweerde identiteit, bijvoorbeeld een wachtwoord, of een door een vertrouwde instantie toegezonden unieke code. Inloggen met DigiD, bijvoorbeeld voor het digitaal doen van belastingaangifte, werkt op deze manier.
Zekerheidsniveau Hoog
Hier wordt registratiewijze 3 toegepast, waarbij dit niveau striktere methoden vereist voor de verificatie van de beweerde identiteit van de gebruiker. Deze moeten een hoge mate van zekerheid bieden. Hier is 2-factorauthenticatie vereist. Als type middel kan gedacht worden aan one-time-passwords en code genererende tokens. Online-bankapplicaties waarvoor de bankklanten een token nodig hebben, kunnen daarmee het zekerheidsniveau Hoog leveren.
Tabel 6Zekerheidsniveaus per authenticatiemiddel, registratiewijze en aanvullende maatregelen
Authenticatiemiddel Registratiewijze Aanvullende maatregelen Zekerheidsniveau
Geen 1 Laag
Geheime kennis (wachtwoord of PIN-code) 1 Laag
2 Procedures voor veilig initialiseren en geheimhouden conform
NEN-EN 12251[7]		 Midden
Fysiek kenmerk (biometrie) 3 Gebruiken in combinatie met ander authenticatiemiddel Hoog
3 Midden
Fysiek bezit (token) 4 Token conform CWA 14169;
Initialiseren en uitreiken via waterdichte procedure;
Gebruiken in combinatie met ander authenticatiemiddel
 Zeer Hoog
3 Gebruiken in combinatie met ander authenticatiemiddel Hoog
2 Midden
1 Laag
Toetsbare verklaring (digitaal certificaat) 4 Uitgifte volgens ETSI-norm;
Privésleutel alleen met PIN-code of biometrie te gebruiken en niet te kopiëren		 Zeer Hoog
3 Privésleutel alleen te gebruiken in combinatie met ander authenticatiemiddel Hoog
2 Privésleutel wel te kopiëren, maar alleen met PIN-code of biometrie te gebruiken Midden
1 Privésleutel te kopiëren Laag
Zekerheidsniveau Zeer Hoog
Dit niveau vereist registratiewijze 4 en het voldoen aan alle eisen voor uitgifte van gekwalificeerde certificaten (zie 6.3.3.2.d).
Tabel 6 geeft een overzicht van de zekerheidsniveaus die worden bereikt met een bepaald authenticatie­middel in combinatie met de toegepaste registratiewijze en aanvullende maatregelen.
6.3.3.2 Authenticatiemiddelen
Beheersmaatregel
De communicerende partijen moeten een bij de zekerheidseisen passend authenticatiemiddel kiezen om de beweerde identiteit van de entiteiten te bewijzen.
Toelichting en aandachtspunten
Om zeker te stellen dat een identificator daadwerkelijk wordt gebruikt door de rechtmatige entiteit is een bewijsmiddel nodig. De betrouwbaarheid van het bewijsmiddel wordt bepaald door de mate waarin onrechtmatig gebruik en vervalsing worden uitgesloten.
Als authenticatiemiddel kan gebruik worden gemaakt van kennis waarover de entiteit moet beschikken, van een fysiek authenticatiemiddel dat deze in bezit moet hebben, van een uniek kenmerk van de gebruiker, of van een combinatie van deze authenticatiefactoren.
De volgende authenticatiemiddelen worden onderscheiden:
  • a)Geheime kennis (wachtwoord of PIN-code)
    Als middel voor authenticatie wordt geheime kennis (wachtwoord of pincode) het meest toegepast. Maatregelen zijn nodig om te voorkomen dat dit geheim bij anderen dan de desbetreffende identiteit bekend wordt. Een zelfgekozen wachtwoord dat, in overeenstemming met NEN-EN 12251[7],
    • niet gemakkelijk te raden is;
    • nergens, ook niet ter verificatie, in leesbare vorm wordt opgeslagen;
    • nooit onversleuteld wordt verzonden;
    • door de houder regelmatig en op elk moment te wijzigen is.
    levert in combinatie met registratiewijze 2 en een veilig proces voor het initialiseren van zekerheidsniveau Midden. Is niet aan elk van deze voorwaarden voldaan, dan is het zekerheidsniveau Laag.
    Het proces voor het initialiseren van wachtwoord of pincode behoort aan te sluiten bij het proces van registratie en toekenning van de identificator. Het toezenden van een eenmalige code naar een bij de registratie vastgelegd adres of telefoonnummer is een vaak toegepaste methode voor het veilig initialiseren.
  • b)Fysiek kenmerk (biometrie)
    Technieken voor het vastleggen en vergelijken van biometrische kenmerken van personen, zoals vingerafdruk en iris- of gelaatsscan, vinden in toenemende mate praktische toepassing. Met de toepassing van alleen biometrie als authenticatiemiddel (één factor) wordt hoogstens zekerheidsniveau Midden bereikt. Wordt biometrie in combinatie met een ander authenticatiemiddel toegepast dan kan het zekerheidsniveau Hoog worden.
  • c)Fysiek bezit (token)
    Het begrip 'token' wordt gebruikt voor een grote verscheidenheid aan fysieke dragers van authenticatiegegevens en algoritmen. Voorbeelden zijn tokens die telkens een eenmalig wachtwoord genereren, bankpassen, SIM-kaarten in een mobiele telefoon en dragers van een digitaal certificaat.
    Het zekerheidsniveau wordt bij toepassing van een token bepaald door het geheel van de processen waarin het token wordt gebruikt. Zekerheidsniveau Zeer Hoog is mogelijk, mits het token wordt gebruikt in combinatie met wachtwoord of PIN-code, of in combinatie met biometrie. Alleen echter wanneer ook bij het initialiseren van het token en de uitreiking aan de houder wordt gewaarborgd dat het token eenduidig aan de houder wordt gebonden (zie ook d)), biedt het geheel het zekerheidsniveau Zeer Hoog. Is aan deze voorwaarden niet voldaan, dan is het zekerheidsniveau nooit meer dan Hoog.
  • d)Toetsbare verklaring (digitaal certificaat)
    Digitale certificaten worden toegepast voor alle typen entiteiten: personen, organisaties en systemen. Met een digitaal certificaat geeft een vertrouwde instantie een verklaring af. Aan de hand van de elektronische handtekening van de uitgevende vertrouwde instantie is het certificaat op echtheid te controleren. Het certificaat is aan de identificator van een entiteit gekoppeld met een digitale sleutel. In een PKI (Public Key Infrastructure) is dit de publieke sleutel en heet het certificaat Public Key Certificate. Met een bijbehorende privésleutel kan de entiteit aantonen de houder te zijn van het certificaat.
    De certificaten zelf zijn publieke informatie. De uitgevende instantie publiceert deze en verlangt van de vertrouwende partij de geldigheid van het certificaat te verifiëren. De uitgevende instantie houdt een overzicht van ingetrokken certificaten bij.
    De eisen die in de gezondheidszorg gelden voor PKI-certificaten zijn beschreven in NEN-ISO 17090-1 [10], [11], [12].
    De privésleutel moet alleen door de houder kunnen worden gebruikt. De grootste zekerheid daarover bestaat indien de privésleutel niet kan worden gekopieerd en het uitgifteproces verloopt volgens de norm ETSI TS 101 456 [8]. Dit laatste is een eis voor het uitgeven van gekwalificeerde certificaten.
    Een smartcard is een geschikte drager voor persoonlijke sleutels, mits de toegang tot de smartcard met een code is beschermd.
    Als een smartcard behalve als drager van digitale authenticatiegegevens ook wordt gebruikt voor visuele authenticatie (identificatiepas) behoren het visueel personaliseren van de kaart en het plaatsen van de digitale certificaten en sleutels op de kaart zodanig plaats te vinden dat de digitale en visuele gegevens in alle gevallen dezelfde entiteit betreffen.
    Een middel dat de privésleutel zelf genereert en alleen gebruikt en niet uitgelezen kan worden, biedt de beste bescherming tegen kopiëren. Een dergelijk middel komt voor als een Hardware Security Module voor een informatiesysteem of als een smartcard voor persoonlijk gebruik. Procedurele maatregelen bieden minder bescherming. Voor het toepassen van een smartcard als drager van de privésleutel in combinatie met een pincode of biometrie geldt het zekerheidsniveau Zeer Hoog, mits aan Registratiewijze 4 wordt voldaan.
    Wordt de privésleutel op een gemakkelijk te kopiëren wijze opgeslagen op een informatiedrager (bijvoorbeeld USB-sticks), maar wel beschermd met wachtwoord of pincode, dan wel biometrie, dan daalt het zekerheidsniveau tot Midden of Hoog. Zonder tweede authenticatiefactor levert het gebruik van certificaten met dergelijke opslag van de privésleutel het zekerheidsniveau Laag

6.3.4 Elektronische berichtenuitwisseling
Beheersmaatregelen
  • a) De communicerende partijen moeten maatregelen treffen voor een bij de zekerheidseisen passende bescherming van gegevensuitwisseling.
  • b) De zender en de ontvanger moeten elkaars identiteit met voldoende zekerheid kunnen vaststellen.
  • c) De inhoudelijke gegevens moeten tijdens het transport tussen zender en ontvanger op geen enkele wijze kunnen worden gewijzigd.
  • d) Gegevens moeten geen andere dan de geadresseerde ontvanger(s) kunnen bereiken.
Toelichting en aandachtspunten
Het gebruik van het BSN is, conform artikel 4 van de Wet gebruik burgerservicenummer in de zorg, verplicht, in elektronische uitwisseling van patiëntgegevens om correcte identificatie van patiënten te waarborgen. Indien, conform artikel 12 van dezelfde wet, het BSN niet gebruikt kan worden, moeten alternatieve middelen worden gebruikt om correcte identificatie van patiënten te waarborgen.
Afhankelijk van de classificatie van de gegevensuitwisseling is een bepaalde mate van afscherming van de communicatie vereist ter borging van integriteit en vertrouwelijkheid. De volgende aspecten zijn hierbij van belang:
  • exclusiviteitsniveau en aftapbaarheid van het kanaal tussen zender en ontvanger (uitersten zijn het publieke internet en een exclusief, niet-toegankelijk en afgeschermd fysiek medium);
  • toegepast encryptie-algoritme (versleuteling) en eventuele toepassing van encryptie op segmenten en segmentkoppelingen van het kanaal. De encryptie-technologie voor berichten, sessies of virtuele kanalen is aan sterke ontwikkelingen onderhevig. Bepaalde sleutellengten (in bits) en algoritmen kunnen stadia doormaken van ijzersterk, theoretisch kwetsbaar, praktisch kwetsbaar voor specialisten, grootschalig gekraakt tot afgeschreven. Bij het bepalen van algoritme en sleutellengte moet men zich rekenschap geven van de dan geldende, breed geaccepteerde, beoordelingen door experts (zoals het w3c-consortium [5]).
    Voor het te versleutelen deel van het communicatiekanaal moet men zich rekenschap geven van de zwakten van de individuele segmenten. De zwakste schakel bepaalt de kwaliteit van het hele kanaal.
Voor versleuteling bestaan de volgende mogelijkheden:
  • Geen versleuteling
    Bij communicatie die niet vertrouwelijk is of via een gegarandeerd exclusief communicatiekanaal verloopt, is geen versleuteling nodig.
  • Versleutelde verbinding
    Hiermee kunnen vertrouwelijkheid en integriteit in hoge mate worden gegarandeerd; Ook indien de communicatiepartners geen directe verantwoordelijkheid dragen voor dit deel van het communicatiekanaal.
  • Versleuteld bericht
    Hiermee worden individuele berichten versleuteld tussen verzendende en ontvangende applicaties.
  • Een combinatie van een versleutelde verbinding met versleutelde berichten.
Voor de zekerheidsniveaus Hoog en Zeer Hoog is het vereist encryptie toe te passen. In (enkel- en meervoudige) bilaterale gegevensuitwisseling is encryptie over alle segmenten van het traject tussen de systemen van zender en ontvanger vereist.
In multilaterale gegevensuitwisseling met een derde of overkoepelende partij, moeten voor dezelfde hoogste zekerheidsniveaus encrypties worden toegepast, waarbij alle segmenten én de totale keten, ten minste voldoen aan het hierboven beschreven zekerheidsniveau. Zulks in overeenstemming met de classificatie van de gegevensuitwisseling.

6.3.5 Ondertekening
Beheersmaatregel
De communicerende partijen moeten ervoor zorgen dat bij verzonden gegevens de hiervoor verantwoordelijke entiteit kan worden vastgesteld en wordt gecontroleerd, op een wijze die in overeenstemming is met de zekerheidseisen voor de verzonden gegevens.
Toelichting en aandachtspunten
Indien communicerende partijen gegevens gestructureerd verzenden tussen applicaties in hun informatiesystemen kan door een geschikte keuze van het toe te passen communicatieprotocol en berichtformaat aan deze eis worden voldaan. De technische invulling hiervan valt buiten het kader van deze norm. Een bijkomend voordeel behelst de mogelijkheid bovendien de integriteit van de gegevens te toetsen aan de hand van deze authenticiteit.
Bij verzending buiten een dergelijke applicatie-context kan een elektronische handtekening worden gebruikt om het vereiste zekerheidsniveau te bereiken of slechts eenvoudige ondertekening indien de vereiste zekerheid Laag is.
Een elektronische handtekening geeft zekerheid over de authenticiteit van een document of bericht. Daarmee zijn zowel de integriteit van het document of bericht, als de identiteit van de ondertekenaar te verifiëren. Tevens kunnen met een elektronische handtekening in combinatie met betrouwbare tijdmarkering transacties onweerlegbaar worden vastgelegd. Dit laatste valt buiten het kader van deze norm.
De integriteit en betrouwbaarheid van de elektronische handtekening worden bepaald door de mate waarin onrechtmatig gebruik en vervalsing worden uitgesloten. Dit is afhankelijk van het authenticatiemiddel dat voor het plaatsen van de elektronische handtekening wordt gebruikt en van het uitgifteproces waarbij de ondertekenaar dat middel heeft verkregen.
Het plaatsen van een elektronische handtekening bij een document of bericht is een expliciete handeling. De gebruiker behoort zich bewust te zijn van het onderscheid tussen authenticatie bij toegang tot een informatiesysteem en het plaatsen van een handtekening.
Bij elektronische ondertekening worden drie zekerheidsniveaus onderscheiden: eenvoudige ondertekening, elektronische handtekening en geavanceerde elektronische handtekening.
  • a)Eenvoudige ondertekening
    Bij eenvoudige ondertekening wordt de auteur of afzender bij het document of bericht vermeld. Voorbeeld is een e-mailadres. Verificatie is in dit geval alleen procedureel of met behulp van aanvullende afspraken mogelijk.
  • b)Elektronische handtekening
    Zoals gedefinieerd in Boek 3 artikel 15a van het Burgerlijk Wetboek is een elektronische handtekening: “Een handtekening die bestaat uit elektronische gegevens die zijn vastgehecht aan of logisch zijn geassocieerd met andere elektronische gegevens en die worden gebruikt als middel voor authenticatie.”
    De elektronische handtekening moet:
    • op unieke wijze aan de ondertekenaar zijn verbonden;
    • identificatie van de ondertekenaar mogelijk maken;
    • tot stand zijn gekomen met middelen die alleen de ondertekenaar kan beheersen en controleren;
    • zodanig zijn verbonden met het elektronische bestand dat elke wijziging van de gegevens achteraf kan worden opgespoord.
    Voor het certificaat, de elektronische handtekening en de privésleutel wordt bij voorkeur de smartcard gebruikt die ook voor de authenticatie wordt toegepast.
  • c)Geavanceerde elektronische handtekening
    Een geavanceerde elektronische handtekening moet bovendien:
    • gebaseerd zijn op een gekwalificeerd certificaat als bedoeld in artikel 1.1, onderdeel tt, van de Telecommunicatiewet;
    • gegenereerd zijn door een veilig middel voor het aanmaken van elektronische handtekeningen.
De geavanceerde elektronische handtekening vereist een uitgifteproces dat overeenkomt met dat voor PKI-certificaten voor authenticatie in de strengste vorm:
De privésleutel moet alleen door de houder kunnen worden gebruikt. Dit wordt bewerkstelligd als het uitgifteproces verloopt volgens ETSI TS 101 456 [8] en kopiëren van de privésleutel onmogelijk is. Dit is een eis voor het uitgeven van gekwalificeerde certificaten.
Voor een geavanceerde elektronische handtekening is bovendien vereist dat deze wordt gegenereerd door een veilig middel, zoals een Secure Signature Creation Device (SSCD), zoals gespecificeerd in CWA 14169 [9]. De privésleutel die hoort bij het certificaat voor het plaatsen van de handtekening is daarbij niet uitleesbaar.
De ondertekenaar behoort in overeenstemming met NEN-ISO 17090-1 [10], [11], [12] voor het plaatsen van de handtekening een andere sleutel te gebruiken dan deze voor authenticatie gebruikt. De uitgevende instantie behoort voor de digitale handtekening een afzonderlijk Public Key certificaat uit te geven. De voorwaarden voor uitgifte kunnen gelijk zijn aan die voor de uitgifte van certificaten voor authenticatie.
Voor het certificaat, de elektronische handtekening en de privésleutel wordt bij voorkeur de smartcard gebruikt die ook voor de authenticatie wordt toegepast.

6.3.6 Logging
Beheersmaatregel
  • a) De communicerende partijen moeten ervoor zorgen dat logging plaatsvindt conform NEN 7513.
  • b) De communicerende partijen moeten voorzieningen in stand houden waarmee inzage in de loggingbestanden mogelijk wordt gemaakt.
  • c) De communicerende partijen moeten afspraken maken over de inzage in en systematische controle van logging.
  • d) De communicerende partijen moeten afspraken maken over de wederzijdse inzage in de loggingbestanden en de termijn waarop deze mogelijk wordt gemaakt.
Toelichting en aandachtspunten
Het loggen van acties met betrekking tot uitwisseling van patiëntgegevens heeft als doel een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij zorggegevens over een persoon zijn verwerkt.

OPMERKING 'Verwerken' is hier bedoeld zoals gedefinieerd in de Wet bescherming persoonsgegevens, Artikel 1.b: “Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens”.

De communicerende partijen kunnen op grond van beheersmaatregel (d) kennis nemen van de logging in geval van (mogelijke) incidenten die moeten worden onderzocht.

6.4.1 Beheer van informatiebeveiligingsincidenten
Beheersmaatregelen
  • a) De communicerende partijen moeten afspraken maken over de registratie en opvolging van informatiebeveiligingsincidenten.
  • b) Toelichting en aandachtspunten.
  • c) Noodzakelijk onderzoek behoort binnen een afgesproken termijn te worden gestart. Aanbevolen termijnen zijn in Tabel 7 in paragraaf 6.5 benoemd.

6.4.2 Capaciteitsbeheer
Beheersmaatregelen
  • a) De communicerende partijen moeten de optimale inzet van IT-middelen onderling afstemmen. Naast het capaciteitsbeheer van de betrokken eigen systemen, geldt dit met name voor het kanaal dat wordt ingezet voor de communicatie. Indien derde partijen hiervoor worden ingezet, moeten ook zij betrokken worden in de onderlinge afstemming.
  • b) De communicerende partijen moeten elkaar inzicht geven m.b.t. het te verwachten gebruik, de inzet van middelen en diensten, en de capaciteitsplanning. Binnen laatstgenoemde planning moeten zaken worden vastgelegd m.b.t. toekomstig gebruik, gekwantificeerde capaciteit (diensten en/of technische specificaties), eventueel betrokken kosten, en als laatste een continuïteitsplan.
Toelichting en aandachtspunten
Het is nodig bij de berekening van de beschikbaarheid rekening te houden met gepland onderhoud en hersteltijden.
Bij zekerheidsniveau Laag kan worden volstaan met de vastlegging van de classificatie en het besluit verdere beheersmaatregelen achterwege te laten.

6.4.3 Back-up en herstel
Beheersmaatregelen
  • a) Er moeten stelselmatig back-ups worden gemaakt van de instellingsparameters van het netwerk tussen de communicerende partijen.
  • b) Herstelprocedures moeten regelmatig worden getest overeenkomstig het vastgestelde back-up-beleid.

6.4.4 Continuïteitsbeheer
Beheersmaatregelen
  • a) De communicerende partijen moeten maatregelen treffen om de vereiste beschikbaarheid van de gegevensuitwisseling te waarborgen.
  • b) De communicerende partijen moeten de maatregelen voor continuïteitsbeheer betreffende de gegevensuitwisseling binnen hun eigen verantwoordelijkheidsgebied schriftelijk vastleggen in bedrijfscontinuïteitsplannen.
  • c) De communicerende partijen moeten de bedrijfscontinuïteitsplannen betreffende de gegevensuitwisseling regelmatig testen en actualiseren.
Toelichting en aandachtspunten
Risico’s die de toekomstige beschikbaarheid ondermijnen behoren tot een acceptabel niveau te worden teruggebracht. Indien derde partijen voor (bijvoorbeeld) de communicatie worden ingezet, behoort men ook rekening te houden met het wegvallen van deze leveranciers. De zekerheidseisen bepalen de maatregelen die in een continuïteitsplan moeten worden vastgelegd.

6.4.5 Naleving
Beheersmaatregelen
  • a) De communicerende partijen moeten afspraken maken over de controle op de naleving van de uitwisselingsovereenkomst.
  • b) De communicerende partijen moeten de communicatieprocessen systematisch controleren op naleving van implementatie van technische beveiligingsnormen.
Toelichting en aandachtspunten
Hier gaat het over de naleving van de overeenkomst, inclusief het feit dat een van de partners de overeenkomst niet naleeft.
Om naleving te borgen kan worden gedacht aan het inrichten van een Change Advisory Board: Deze commissie is verantwoordelijk voor de beoordeling en planning van alle wijzigingen van meer dan geringe omvang. Alle betrokkenen en belanghebbenden zijn hierin vertegenwoordigd, zodat het hele wijzigingstraject kan worden beoordeeld en gepland.
Voor het toetsen van de technische beveiliging kan een penetratietest worden ingezet.
Voor evaluatie van de technische beveiligingsnormen is externe toetsing van de beveiligingsmaatregelen wenselijk.

6.5 Overzicht van beheersmaatregelen en zekerheidsniveaus
In het nevenstaande overzicht wordt de samenhang weergegeven tussen de beheersmaatregelen en de vereiste zekerheid van de gegevensuitwisseling.
De tabel bevat de volgende indeling:
  • een verwijzing naar de paragraaf waar de beheersmaatregel is geformuleerd en toegelicht;
  • de omschrijving van de beheersmaatregel;
  • het kwaliteitsaspect waar de maatregel betrekking op heeft B (beschikbaarheid), I (integriteit) en/of V (vertrouwelijkheid);
  • de indeling van de zekerheidsniveaus van de gegevensuitwisseling: L (Laag), M (Midden), H (Hoog), ZH (Zeer Hoog) voor het hoogst scorende kwaliteitsaspect;
  • de referentie naar NEN 7510.
Deze indeling moet worden meegenomen bij het onderdeel ‘behandelen van risico’s’, dat onderdeel uitmaakt van het uitvoeren van de risicobeoordeling (zie 5.6).
Een beheersmaatregel kan specifiek van aard zijn en betrekking hebben op één kwaliteitsaspect of meer generiek van aard zijn en op twee of drie aspecten van toepassing zijn.
In de tabel wordt met 'x' aangegeven welke beheersmaatregelen bij welk niveau van zekerheid van de gegevensuitwisseling normatief worden voorgeschreven. Met 'a' zijn aanbevelingen voor implementatie aangegeven.
Tabel 7Beheersmaatregelen in relatie tot zekerheidsniveaus
Beheersmaatregelen NEN 7512 Kwaliteitsaspect Zekerheidsniveau NEN 7510
BIV L M H ZH
6.2 Beheersmaatregelen omtrent de te maken afspraken
6.2.1 Beleid en procedures voor gegevensuitwisseling BIV x x x x 10.8.1
6.2.2 Uitwisselingsovereenkomsten BIV x x x x 10.8.2
6.2.3 Beheer van de dienstverlening door derde partij
a) SLA / contract BIV x x x 10.2.1
b) Beheer van wijzigingen SLA / contract BIV x x x 10.2.3
c) Controle op naleving en verbetering BIV x x x 10.2.2
6.2.4 Bedieningsprocedures
a) Gedocumenteerde bedieningsprocedures BIV x x x 10.1.1
b) Wijzigingsbeheer BIV x x x 10.1.2
6.3 Beheersmaatregelen omtrent de uitvoering van de afspraken
6.3.1 Toekenning en beheer van identificatoren IV x x x 11.2.1
6.3.2 Registratie van entiteiten
a) Registratie van entiteiten IV x x x 11.2.1
b) Registratie van verantwoordelijke (geen natuurlijk persoon) IV x x x
c) Processen voor registratie IV x x x x 11.2.1
6.3.3 Authenticatie
6.3.3.1 Zekerheidsniveaus IV x x x x
6.3.3.2 Authenticatiemiddelen IV x x x x 11.5.2
6.3.4 Elektronische berichtenuitwisseling
a) Passende bescherming BIV x x x x 10.8.4
b) Vaststellen identiteit partners IV x x x 10.8.4
c) Integriteit gegevenstransport I x x x 10.8.4
d) Zekerheid geadresseerde V x x x 10.8.4
6.3.5 Ondertekening I x x x
Eenvoudige ondertekening I a
Elektronische handtekening I a
Geavanceerde elektronische handtekening I a
6.3.6 Logging
a) Naleving NEN 7513 IV x x x x 10.10.1
b) Voorzieningen inzage logging IV x x x x 10.10.1
c) Afspraken inzage en systematische controle IV x x x x
d) Wederzijdse inzage en termijnen IV x x x x
Wederzijdse inzage in gegevens is mogelijk binnen twee maanden IV a a
Wederzijdse inzage in gegevens is mogelijk binnen twee werkweken IV a a
6.4 Beheersmaatregelen omtrent beheer en naleving
6.4.1 Beheer van informatiebeveiligingsincidenten BIV x x x x 13.1
13.2
De systeemverantwoordelijke meldt registratie van inciden­ten aan de communicatiepartner:
Binnen twee werkdagen
 BIV a
Binnen vier uren BIV a
Onmiddellijk BIV a a
Het in behandeling nemen van gemelde incidenten: Binnen vier werkdagen BIV a
Binnen een werkdag BIV a
Onmiddellijk BIV a a
6.4.2 Capaciteitsbeheer
a) Afstemmen IT-middelen B x x x x 10.3.1
b) Inzicht in verwacht gebruik B x x x x 10.3.1
6.4.3 Back-up en herstel
a) Netwerkinstellingsparameters BI x x x x 10.5
b) Testen herstelprocedures BI x x x x 10.5
6.4.4 Continuïteitsbeheer
a) Maatregelen voor beschikbaarheid B x x x 14.1
b) Continuïteitsplannen vastleggen B x x x 14.1.1
c) Continuïteitsplannen testen en actualiseren B x x x 14.1.5
6.4.5 Naleving
a) Controle op naleving van uitwisselingsovereenkomsten BIV x x x x 15.1
b) Controle implementatie technische beveiligingsnormen BIV x x x x 15.2.2