Risicobeheersing van de gegevensuitwisseling

5 Risicobeheersing van de gegevensuitwisseling

5.1 Inleiding

Voor het bepalen van de vereiste maatregelen voor de gegevensuitwisseling moeten de communicerende partijen een risicobeoordeling uitvoeren. In dit hoofdstuk worden hiervoor aanwijzingen gegeven.

Bij het uitvoeren van de risicobeoordeling van de gegevensuitwisseling kunnen de volgende aspecten een rol spelen:

a) het doel van de gegevensuitwisseling, zoals informeren van patiënten en anderen, documenteren van zorg, overdragen van zorg, opdrachten voor onderzoek, rapportage van onderzoek, opdrachten voor behandeling, administratieve verwerking enz.;
b) de aard van de gegevens die worden uitgewisseld, bijvoorbeeld: NAW-gegevens, patiëntidentificatie, medisch inhoudelijke informatie;
c) de omvang van de gegevens die worden uitgewisseld en de frequentie van gegevensuitwisseling;
d) de mate van vertrouwelijkheid van de gegevens, zoals openbaar, globale doelgroep, beperkte kring of strikt kader;
e) de aard van het proces, zoals vastleggen, raadplegen, aanvullen of corrigeren;
f) het gebruikte communicatiekanaal;
g) de verantwoordelijke voor de gegevensuitwisseling;
h) de kwaliteit van de gegevensuitwisseling;
i) de zender en de ontvanger van de gegevens;
j) de stand van de techniek en de kosten van de te treffen beheersmaatregelen.

5.2 Classificeren van de gegevensuitwisseling

Als onderdeel van de risicobeoordeling moeten de communicerende partijen de gegevensuitwisseling classificeren aan de hand van de volgende drie zekerheidsaspecten:

— beschikbaarheid, het kenmerk dat de gegevensuitwisseling toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit;
— integriteit, de eigenschap dat de juistheid en volledigheid van de gegevensuitwisseling wordt beschermd;
— vertrouwelijkheid, de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen.

Voor het bepalen van de classificatie van de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensuitwisseling wordt het niveau uit respectievelijk Tabel 1, Tabel 2 en Tabel 3 gehanteerd.

Bij het bepalen van de aard van de gevolgen van de schending van de beschikbaarheid, integriteit of vertrouwelijkheid voor de gegevensuitwisseling is de omvang van de gevolgen afhankelijk van de context van de gegevensuitwisseling waarvoor de risicobeoordeling wordt uitgevoerd. Wat in de ene situatie aanzienlijk is, kan in een andere situatie gering van omvang zijn. Dit is weergegeven in Tabel 4.

Daarnaast geldt dat de zwaarste impact van één van de drie categorieën (gevolgen voor patiënten, betrokken organisatie of de maatschappij) de omvang van de gevolgen bepaalt. Bijvoorbeeld, wanneer de gevolgen van schending van de vertrouwelijkheid van de gegevensuitwisseling geen lichamelijke en/of psychische schade bij patiënten tot gevolg hebben, maar wel kan leiden tot aanzienlijke financiële gevolgen én tot beperkte maatschappelijke schade, dan worden de gevolgen als ‘Hoog / omvangrijke gevolgen’ ingeschat.

Tabel 1 — Classificatie beschikbaarheid van de gegevensuitwisseling

	Beschikbaarheid
Niveau	Omschrijving van gevolgen
Laag	Uitval van de gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen
Midden	Uitval van de gegevensuitwisseling levert matige gevolgen op voor de betrokkenen
Hoog	Uitval van de gegevensuitwisseling levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog	Uitval van de gegevensuitwisseling levert catastrofale gevolgen op voor de betrokkenen

Tabel 2 — Classificatie van integriteit van de gegevensuitwisseling

	Integriteit
Niveau	Omschrijving van gevolgen
Laag	Onjuistheid of onvolledigheid van de gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen
Midden	Onjuistheid of onvolledigheid van de gegevensuitwisseling levert matige gevolgen op voor de betrokkenen
Hoog	Onjuistheid of onvolledigheid van de gegevensuitwisseling levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog	Onjuistheid of onvolledigheid van de gegevensuitwisseling levert catastrofale gevolgen op voor de betrokkenen

Tabel 3 — Classificatie van vertrouwelijkheid van de gegevensuitwisseling

	Vertrouwelijkheid
Niveau	Omschrijving van gevolgen
Laag	Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert geringe gevolgen op voor de betrokkenen
Midden	Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert matige gevolgen op voor de betrokkenen
Hoog	Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog	Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert catastrofale gevolgen op voor de betrokkenen

Tabel 4 — Bepaling gevolgen

Gevolgklasse	Gevolgen voor patiënten	Gevolgen voor de betrokken organisaties	Gevolgen voor de maatschappij
Laag / geringe gevolgen	Geen lichamelijke en/of psychische schade bij patiënten	Gering verlies van middelen/ bezittingen Geringe financiële gevolgen Geen imagoschade	Geen maatschappelijke impact
Midden / matige gevolgen	Beperkte lichamelijke en/of psychische schade bij een beperkt aantal patiënten	Verlies van middelen/ bezittingen Financiële gevolgen Imagoschade	Zeer beperkte maatschappelijke impact
Hoog / omvangrijke gevolgen	Omvangrijke lichamelijke en/of psychische schade bij een beperkt tot groot aantal patiënten en/of overlijden van één patiënt	Aanzienlijk verlies van middelen/ bezittingen Aanzienlijke financiële gevolgen Omvangrijke imagoschade	Beperkte maatschappelijke impact
Zeer Hoog / catastrofale gevolgen	Omvangrijke lichamelijke en/of psychische schade bij een zeer groot aantal patiënten en/of overlijden van meerdere patiënten	Faillissement / sluiting zorginstelling of vergelijkbare gevolgen	Omvangrijke maatschappelijke impact

5.3 Bepalen van de bedreigingen

Als onderdeel van de risicobeoordeling moeten de communicerende partijen de bedreigingen bepalen die relevant zijn voor de gegevensuitwisseling.

Een bedreiging wordt gedefinieerd als een ‘potentiële oorzaak van een ongewenst incident dat een systeem, een organisatie en/of patiënten schade toe kan brengen’.

Voor het bepalen van de bedreigingen die relevant zijn voor de gegevensuitwisseling kunnen NEN-ISO/IEC 27005 [1] en NEN-EN-ISO 27799 [2] worden geraadpleegd. De volgende indeling van categorieën kan bruikbaar zijn bij het bepalen van de relevante bedreigingen:

— fysieke incidenten en calamiteiten, zoals brand en wateroverlast;
— incidenten en calamiteiten in de omgeving, zoals extreme natuurverschijnselen of een gifwolk;
— technische incidenten en calamiteiten, zoals uitval van apparatuur of programmatuur;
— verstoringen in voorzieningen, zoals uitval van stroom of van klimaatbeheersing;
— onopzettelijke menselijke incidenten, zoals fouten van medewerkers of beheerders;
— opzettelijke menselijke incidenten, zoals diefstal van gegevens of kwaadaardige programmatuur;
— overige incidenten en calamiteiten, zoals afhankelijkheid van derden, bijvoorbeeld bij hosting of outsourcing.

Bij het analyseren van bedreigingen zijn twee elementen van bedreigingen van belang: de kans en het gevolg (zie voor mogelijke gevolgen paragraaf 5.2).

De kans van optreden van een bedreiging is als volgt ingedeeld, ontleend aan NPR-ISO/TS 25238:2007 [3]:

— zeer klein: uiterst geringe mogelijkheid van optreden;
— klein: zou kunnen optreden, maar zal in vrijwel alle gevallen niet optreden;
— middelmatig: mogelijk; optreden niet onwaarschijnlijk;
— groot: zeer goed mogelijk; zal in een groot deel van de gevallen optreden;
— zeer groot: zal zeker of vrijwel zeker optreden.

5.4 Bepalen van de kwetsbaarheden

Als onderdeel van de risicobeoordeling moeten de communicerende partijen de kwetsbaarheden bepalen die samenhangen met de gegevensuitwisseling. Een kwetsbaarheid kan leiden tot gevoeligheid voor een risicobron en uiteindelijk leiden tot een gebeurtenis met gevolg. De kwetsbaarheden kunnen worden gerangschikt naar belangrijkheid.

Termen die in dit verband ook worden genoemd, zijn ‘robuustheid’ en ‘veerkracht’ (resilience). De gegevensuitwisseling moet zodanig zijn opgezet dat deze in staat is bedreigingen te kunnen opvangen zonder dat dit tot (omvangrijke) negatieve gevolgen leidt.

5.5 Risicobeoordeling

Op basis van de verzamelde gegevens (classificatie, bedreigingen, kwetsbaarheden) moeten de communicerende partijen de risico’s van de gegevensuitwisseling bepalen.

In deze stap van de risicobeoordeling van de gegevensuitwisseling komen de geïnventariseerde elementen bij elkaar. Deze stap omvat de volgende onderdelen:

— Bepaal het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid aan de hand van de classificatie van de gegevensuitwisseling (5.2).

Figuur 2 — Illustratieve indeling van risico's naar kans en gevolgklasse
— Classificeer de bedreigingen kans en gevolg en plaats deze in een rangorde (5.3). Hierdoor wordt het duidelijk wat de belangrijkste bedreigingen zijn voor de gegevensuitwisseling. De bedreigingen kunnen worden uitgezet in een matrix van kans en gevolg. Hierbij wordt zowel voor de kansen als de gevolgen de indeling gehanteerd die in de voorgaande paragrafen is beschreven. De aandacht gaat uit naar bedreigingen die (relatief gezien) een hoge kans van optreden hebben en potentieel gevolgen kunnen veroorzaken (figuur 2).
— Bepaal de kwetsbaarheden en geef deze weer met een aanduiding naar belangrijkheid (5.4). Hierdoor ontstaat inzicht in de kwetsbaarheden die samenhangen met de gegevensuitwisseling.
— Bepaal de vereiste maatregelen op basis van deze risicobeoordeling (5.6). Daar waar deze maatregelen niet normatief worden voorgeschreven, wordt aandacht besteed aan de verschillende mogelijkheden voor het behandelen van risico’s.

5.6 Behandelen van de risico’s

Op basis van de geanalyseerde risico’s moeten de communicerende partijen keuzes maken voor het behandelen van de risico’s die relevant zijn voor de gegevensuitwisseling.

Risicobehandeling wordt gedefinieerd als ‘het proces waarmee een risico wordt aangepast’.

Voor het behandelen van risico’s zijn in theorie de volgende alternatieven beschikbaar:

a) het vermijden van risico’s;

Door de gegevensuitwisseling technisch en/of procedureel zodanig aan te passen dat daarmee het risico in het geheel niet meer kan voorkomen, kan een onacceptabel risiconiveau worden weggenomen.
b) het treffen van geschikte beheersmaatregelen;

Wanneer een bedreiging of risiconiveau te hoog is en er beheersmaatregelen normatief worden voorgeschreven, moeten deze beheersmaatregelen worden getroffen. De normatief voorgeschreven beheersmaatregelen worden in hoofdstuk 6 van deze norm uitgewerkt per niveau van de classificatie voor de drie kwaliteitsaspecten, beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensuitwisseling. De communicerende partijen kunnen ervoor kiezen om daarnaast andere maatregelen te treffen om het risico verder te verminderen.
c) het overdragen van risico’s;

Een ander alternatief betreft het overdragen van risico’s, bijvoorbeeld door het afsluiten van verzekeringen. Dit alternatief kan bruikbaar zijn voor bedreigingen met een lage kans van optreden en potentieel hoge gevolgen. Door de lage kans van optreden is het soms niet mogelijk om op basis van een afweging van kosten en baten tot een keuze van beheersmaatregelen te komen. De lage kans van optreden rechtvaardigt namelijk geen beheersmaatregelen waarvoor op jaarbasis omvangrijke kosten moeten worden gemaakt. Het overdragen van risico’s is dan een alternatief voor het treffen van beheersmaatregelen.
d) het bewust en objectief aanvaarden van risico’s.

Het laatste alternatief betreft het bewust en objectief aanvaarden van risico’s. Risico’s kunnen namelijk niet volledig tot nul worden gereduceerd. Voorwaarde hiervoor is dat het aanvaarden van het risico in overeenstemming is met hetgeen normatief wordt voorgeschreven en past binnen de criteria die de communicerende partijen stellen voor aanvaardbare risiconiveaus. Wet- en regelgeving en eventuele contractuele verplichtingen spelen hierbij ook een rol. Een risiconiveau kan namelijk niet als aanvaardbaar worden gekenmerkt als hiermee de wet wordt overtreden.

NEN 7512

NEN 7512 Vertrouwensbasis voor gegevensuitwisseling 2015