NEN 7512 Vertrouwensbasis voor gegevensuitwisseling 2015

Hide all commentary Show all commentary

Vertrouwen in gegevensuitwisseling houdt in dat deze gegevensuitwisseling op een vertrouwde wijze plaatsvindt tussen partijen én dat deze partijen in elkaar vertrouwen stellen. Vertrouwen tussen partijen is in het kader van deze norm gebaseerd op de wetenschap dat zij ten aanzien van het desbetreffende proces gelijke principes hanteren.
Op kleine schaal kunnen partijen het kader onderling regelen. Op grotere schaal nemen complexiteit en onzekerheid toe en is een gemeenschappelijke basis voor vertrouwen nodig die kan worden geborgd via een vertrouwde instantie. Het model dat hiervoor in deze norm wordt gehanteerd, omvat de begrippen: vertrouwensdomein, vertrouwde instantie, vertrouwende partij en te vertrouwen partij. Deze begrippen worden hieronder geïntroduceerd.
fig_1
Figuur 1Model voor indirect vertrouwen

Een vertrouwensdomein is een geheel van partijen, processen, voorzieningen en regels, waarin partijen elkaar ten aanzien van de processen en het gebruik van voorzieningen vertrouwen.
In een eenvoudige vorm heeft het vertrouwen tussen partijen betrekking op het vaststellen van identiteiten. Het vertrouwen kan zich echter ook uitstrekken over andere processen. De processen die hiertoe worden begrepen bepalen de aard van het vertrouwensdomein.
Het begrip vertrouwensdomein is generiek en kan bijvoorbeeld betrekking hebben op een informatiesysteem met zijn gebruikers, op een instelling met zijn medewerkers of op de gezondheidszorg in Europa.
Worden in een samenwerkingsverband afspraken gemaakt over bepaalde werkwijzen en procedures, dan kan bijvoorbeeld de controle op de naleving worden belegd bij een vertrouwde instantie voor het samenwerkingsverband. De deelnemers in het samenwerkingsverband bepalen samen de eisen die zij stellen aan elkaar en aan de vertrouwde instantie en bepalen zo de regels in hun gemeenschappelijk vertrouwensdomein.

Een vertrouwde instantie of stelsel van vertrouwde instanties vormt in een vertrouwensdomein een schakel voor indirect vertrouwen tussen partijen en verankert zo het vertrouwen binnen dit domein.
Een vertrouwde instantie kan voor die verankering van het vertrouwen ook diensten leveren, zoals het registreren van partijen, voorzieningen en transacties. Het uitgeven van bewijsstukken van de registratie is in veel domeinen een essentiële dienst.
De rol die een vertrouwde instantie vervult, hangt af van de aard van het vertrouwensdomein. Wanneer het gaat om vaststellen van identiteiten hoort daar het uitgeven van identiteitsbewijzen bij. Zo vormen verschillende overheden samen een stelsel van vertrouwde instanties die paspoorten uitgeven. Voor de gezondheidszorg is het CIBG de vertrouwde instantie die zorgverleners registreert en voorziet van een UZI-pas. Daarin is tegelijkertijd de erkenning als zorgverlener betrokken.

De vertrouwende partij is de belanghebbende bij de communicatie en verlangt zekerheid. Een patiënt of zorgaanbieder die gegevens gaat verstrekken of ontvangen, wil kunnen vertrouwen op de communicatie. In het kader van deze norm gaat het om zekerheid over de communicatie in de zorg. De vertrouwende partij bepaalt het aanvaardbare risico en het vereiste zekerheidsniveau en verlangt daarbij passende maatregelen. Daarop is het stelsel van regels en voorzieningen voor het vertrouwensdomein gericht.

De te vertrouwen partij is als communicatiepartner voor de vertrouwende partij alleen aanvaardbaar als aan diens eisen voor het communicatieproces is voldaan. De vertrouwende partij kan dat vaststellen aan de hand van door een vertrouwde instantie voor het desbetreffende domein gegeven waarborgen. De te vertrouwen partij moet daartoe aan de vertrouwde instantie aantonen steeds aan de regels en eisen van het domein te voldoen.
In de praktijk wisselen de vertrouwende partij en de te vertrouwen partij bij communicatie regelmatig van plaats. Dat geldt niet alleen bij communicatie tussen personen, maar ook tussen informatiesystemen of tussen personen en informatiesystemen. Wanneer een informatiesysteem een gebruiker vraagt in te loggen is het systeem de vertrouwende partij, maar zodra de gebruiker het informatiesysteem gaat gebruiken is het systeem de te vertrouwen partij.

De in 4.4 verlangde zekerheid is gericht op beschikbaarheid, integriteit en vertrouwelijkheid bij uitwisseling van gegevens. De beveiliging van gegevens en voorzieningen bij de communicatiepartners zelf vallen hierbuiten. De communicerende partijen moeten van elkaar verlangen dat zij hun informatiebeveiliging naar behoren hebben geregeld. Voor zorgaanbieders en andere organisaties die zorggegevens verwerken, betekent dit dat zij moeten voldoen aan de eisen die voor hen volgen uit NEN 7510. Dit kan door certificering worden aangetoond. Voor de wijze waarop patiënten of hun wettelijke vertegenwoordigers hun informatie beveiligen, bepalen zij zelf hun eisen. Dit moet bij de bepaling van het risico van de gegevensuitwisseling worden meegewogen.
Zekerheid over de gegevenskwaliteit vereist zekerheid over de betrouwbaarheid van de bron en zekerheid over de integriteit van de gegevens. Zekerheid over de betrouwbaarheid van de bron betekent enerzijds zekerheid over de identiteit van de bron en anderzijds over een inhoudelijke erkenning van de bron, zoals een registratie als zorgaanbieder.
De vereiste zekerheid hoeft niet symmetrisch te zijn tussen de communicerende partijen. Bij een service voor het beantwoorden van anoniem te stellen vragen is bijvoorbeeld alleen zekerheid nodig over de identiteit van de beantwoorder. De informatieservice is in dit geval de te vertrouwen partij, de vraagsteller de vertrouwende partij.
In een communicatieproces zijn de partijen afwisselend zender en ontvanger. Dat staat los van hun posities als vertrouwende of te vertrouwen partij. De vertrouwende partij verlangt zekerheid. Afhankelijk van het proces gaat het dan om zekerheid over de zender dan wel over de ontvanger.
Waar hier wordt gesproken over communicerende partijen, of communicerende entiteiten, kan het personen betreffen, maar ook organisaties en informatiesystemen. De zekerheid die ten aanzien van de identiteit van de communicatiepartner kan worden verkregen is essentieel in het vertrouwensmodel. De mate van zekerheid hangt rechtstreeks samen met de wijze van erkenning en registratie van de entiteit en de toegepaste wijze van authenticatie om de echtheid te verifiëren.
Deze norm gebruikt voor de mate van zekerheid een indeling in vier niveaus: Laag, Midden, Hoog en Zeer Hoog. Deze indeling komt voor identificatie en authenticatie overeen met de vier levels of assurance die zijn gedefinieerd in NEN-ISO/IEC 29115. Deze vier zekerheidsniveaus worden in deze norm op alle onderwerpen toegepast en niet alleen op identificatie en authenticatie.
De maatregelen om de vereiste zekerheid te bereiken worden beschreven in hoofdstuk 6. Deze worden bepaald aan de hand van de in hoofdstuk 5 beschreven methode van risicobeheersing.