NEN 7510-2 Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 2017

Hide high level structure (HLS) Show HLS Hide all commentary Show all commentary

Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.


Beheersmaatregel

Een beleid voor toegangsbeveiliging behoort te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfs- en informatiebeveiligingseisen.

Zorgspecifieke beheersmaatregel

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren de toegang tot dergelijke informatie te controleren. In het algemeen behoren de gebruikers van gezondheidsinformatiesystemen hun toegang tot persoonlijke gezondheidsinformatie te beperken tot situaties:

a) waarin er een zorgrelatie bestaat tussen de gebruiker en de persoon waarop de gegevens betrekking hebben (de cliënt tot wiens persoonlijke gezondheidsinformatie er toegang wordt gemaakt);

b) waarin de gebruiker een activiteit uitvoert namens de persoon waarop de gegevens betrekking hebben;

c) waarin er specifieke gegevens nodig zijn om deze activiteit te ondersteunen.

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren een toegangscontrolebeleid te hebben waarmee de toegang tot deze gegevens wordt geregeld.

Het beleid van de organisatie met betrekking tot toegangscontrole behoort te worden vastgesteld op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden die passen bij, maar beperkt zijn tot, de behoeften van die rol.

Het toegangscontrolebeleid, als bestanddeel van het in 5.1.1 beschreven beleidskader voor informatiebeveiliging, behoort professionele, ethische, juridische en cliëntgerelateerde eisen te weerspiegelen en behoort de taken die worden uitgevoerd door zorgverleners, en de workflow van de taak in aanmerking te nemen.

De organisatie behoort alle partijen te identificeren en documenteren waarmee cliëntgegevens worden uitgewisseld, en met deze partijen behoren contractuele afspraken over toegang en rechten te worden gemaakt, alvorens cliëntgegevens uit te wisselen.

Implementatierichtlijn

Eigenaren van bedrijfsmiddelen behoren passende regels voor toegangsbeveiliging, -rechten en ‑beperkingen voor specifieke gebruikersrollen ten aanzien van hun bedrijfsmiddelen vast te stellen, waarbij de details en de striktheid van de beheersmaatregelen een afspiegeling zijn van de gerelateerde informatiebeveiligingsrisico’s.

Toegangsbeveiligingsmaatregelen zijn zowel logisch als fysiek van aard (zie hoofdstuk 11) en behoren als een geheel te worden beschouwd. Gebruikers en dienstverleners behoren een duidelijke verklaring te ontvangen waarin is vastgelegd aan welke bedrijfseisen de toegangsbeveiligingsmaatregelen moeten voldoen.

Het beleid behoort rekening te houden met het volgende:

a) beveiligingseisen van de bedrijfstoepassingen;

b) beleidsregels voor informatieverspreiding en -autorisatie, bijv. het ‘need-to-know’-principe, informatiebeveiligingsniveaus en -classificatie (zie 8.2);

c) consistentie tussen de toegangsrechten en de beleidsregels inzake informatieclassificatie van systemen en netwerken;

d) relevante wetgeving en contractuele verplichtingen met betrekking tot beperking aan de toegang tot gegevens of diensten (zie 18.1);

e) het beheer van toegangsrechten in een distributie- en netwerkomgeving die alle beschikbare soorten verbindingen herkent;

f) scheiding van toegangsbeveiligingsrollen, bijv. toegangsverzoek, -autorisatie, -administratie;

g) eisen voor formele autorisatie van toegangsverzoeken (zie 9.2.1 en 9.2.2);

h) eisen voor het periodiek beoordelen van toegangsrechten (zie 9.2.5);

i) intrekken van toegangsrechten (zie 9.2.6);

j) archiveren van verslaglegging van alle belangrijke gebeurtenissen betreffende het gebruik en het beheer van gebruikersidentificaties en geheime authenticatie-informatie;

k) rollen met speciale toegangsrechten (zie 9.2.3).

Zorgspecifieke implementatierichtlijn

Het is belangrijk om op te merken dat, om te voorkomen dat de verlening van zorg vertraagd wordt of stokt, er krachtigere eisen dan gebruikelijk voor een duidelijk beleid en proces, met bijbehorende autorisatie, gelden om de ‘normale’ toegangscontroleregels in noodsituaties te omzeilen.

Gezondheidsorganisaties worden ertoe opgeroepen de implementatie van een gefedereerde identiteits- en toegangsmanagementoplossing in overweging te nemen met het oog op de mogelijke aanvullende ondersteuning en lagere beheerkosten die zo'n oplossing voor het toegangscontrolebeleid zal opleveren. Bovendien zal dit beveiligingstoegangsprocessen op hoger niveau, zoals op smartcards gebaseerde toegang en ‘single sign-on’-functionaliteit, ondersteunen.

Overige informatie

Bij het opstellen van regels voor toegangsbeveiliging behoort aandacht te worden besteed aan het volgende:

a) regels vaststellen gebaseerd op de vooronderstelling ‘Alles is in principe verboden tenzij het uitdrukkelijk is toegelaten’ in plaats van de zwakkere regel ‘Alles is in principe toegelaten tenzij het uitdrukkelijk is verboden’;

b) wijzigingen in informatielabels (zie 8.2.2) die automatisch door informatieverwerkende faciliteiten worden aangebracht en wijzigingen die naar keuze van de gebruiker worden aangebracht;

c) wijzigingen in toegangsrechten voor gebruikers die automatisch door het informatiesysteem worden aangebracht en wijzigingen die door een beheerder worden aangebracht;

d) regels die specifieke goedkeuring vereisen voor de implementatie en regels waarvoor dat niet geldt.

Regels voor toegangsbeveiliging behoren te worden ondersteund door formele procedures (zie 9.2, 9.3, 9.4) en gedefinieerde verantwoordelijkheden (zie 6.1.1, 9.3).

Een op rollen gebaseerde toegangsbeveiliging is een aanpak die door veel organisaties met succes wordt gebruikt om toegangsrechten te koppelen aan bedrijfsrollen.

Twee van de veelvuldig toegepaste principes om het beleid voor toegangsbeveiliging te sturen zijn:

a) ‘need-to-know’: u krijgt alleen toegang tot de informatie die u nodig hebt voor het uitvoeren van uw taken (verschillende taken/rollen betekenen een verschillende ‘need-to-know’ en daardoor verschillende toegangsprofielen);

b) noodzaak tot gebruik (‘need-to-use’): u krijgt alleen toegang tot de informatieverwerkende faciliteiten (IT-apparatuur, -toepassingen, -procedures, -ruimten) die u nodig hebt om uw taak/functie/rol uit te voeren.

Overige zorgspecifieke informatie

Aanvullende richtlijnen over toegangscontrole in zorggerelateerde toepassingen zijn te vinden in ISO 22600.


Beheersmaatregel

Gebruikers behoren alleen toegang te krijgen tot het netwerk en de netwerkdiensten waarvoor zij specifiek bevoegd zijn.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Een beleid voor het gebruik van netwerken en netwerkdiensten behoort te worden geformuleerd. Dit beleid behoort te omvatten:

a) de netwerken en netwerkdiensten waartoe toegang wordt verleend;

b) autorisatieprocedures om vast te stellen wie toegang krijgt tot welk netwerk en welke netwerkdiensten;

c) beheersmaatregelen en -procedures om de toegang tot netwerkverbindingen en -diensten te beschermen;

d) de middelen die worden gebruikt om toegang te krijgen tot netwerken en netwerkdiensten (bijv. VPN of draadloos netwerk);

e) eisen voor gebruikersauthenticatie voor de toegang tot de verschillende netwerkdiensten;

f) monitoren van het gebruik van netwerkdiensten.

Het beleid voor het gebruik van netwerkdiensten behoort aan te sluiten bij het toegangsbeveiligingsbeleid van de organisatie (zie 9.1.1).

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Ongeautoriseerde en onveilige verbindingen met netwerkdiensten kunnen de gehele organisatie schaden. Deze beheersmaatregel is vooral belangrijk voor netwerkverbindingen met gevoelige of essentiële bedrijfstoepassingen of met gebruikers in locaties met een hoog risico, bijv. openbare of externe locaties die buiten het informatiebeveiligingsbeheer en de informatiebeveiligingsbeheersing van de organisatie vallen.

Overige zorgspecifieke informatie

<geen>


Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en diensten voorkomen.


Beheersmaatregel

Een formele registratie- en afmeldingsprocedure behoort te worden geïmplementeerd om toewijzing van toegangsrechten mogelijk te maken.

Zorgspecifieke beheersmaatregel

De toegang tot gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoort onderhevig te zijn aan een formeel gebruikersregistratieproces. Procedures voor het registreren van gebruikers behoren te garanderen dat het vereiste niveau van authenticatie van de geclaimde identiteit van gebruikers overeenkomt met het (de) toegangsniveau(s) waarover de gebruiker zal gaan beschikken.

De gebruikersregistratiegegevens behoren regelmatig te worden beoordeeld om te garanderen dat ze volledig en juist zijn en dat toegang nog altijd vereist is.

Implementatierichtlijn

De procedure voor het beheren van gebruikersidentificaties behoort te omvatten:

a) het gebruik van unieke gebruikersidentificaties zodat gebruikers kunnen worden gekoppeld aan en verantwoordelijk kunnen worden gesteld voor hun acties; het gebruik van groepsidentificaties behoort alleen te worden toegelaten als deze om bedrijfs- of operationele redenen noodzakelijk zijn en behoort te worden goedgekeurd en gedocumenteerd;

b) het onmiddellijk ongeldig maken of verwijderen van de gebruikersidentificatie van gebruikers die de organisatie hebben verlaten (zie 9.2.6);

c) het periodiek identificeren en verwijderen van overbodige gebruikersidentificaties;

d) het ervoor zorgen dat overtollige gebruikersidentificaties niet aan andere gebruikers worden uitgegeven.

Zorgspecifieke implementatierichtlijn

Het is belangrijk te begrijpen dat de taak van het identificeren en registreren van gebruikers van gezondheidsinformatiesystemen ook alle volgende punten omvat:

a) het nauwkeurig vastleggen van de identiteit van een gebruiker (bijv. Jan Smit, geboren op 26 maart 1982, momenteel woonachtig op een specifiek adres);

b) het nauwkeurig vastleggen, na verificatie, van de blijvende beroepsgegevens van een gebruiker (bijv. Dr. Suzan Jansen, cardioloog) en/of functiebenaming (bijv. Jan Smit , medisch receptionist);

c) het toewijzen van een ondubbelzinnige gebruikersidentificatiecode.

Let op: cliënten zijn meestal geen systeemgebruikers, hoewel de cliënten die online toegang hebben tot (een deel van) hun persoonlijke gegevens (bijv. via een online portal) wel systeemgebruikers kunnen zijn (zij het dat ze beperkte toegang hebben). Ook zijn er gezondheidstoepassingen waarin een gebruiker algemene gezondheidsadviezen en -informatie kan zoeken. Hoewel dit verzoek tot informatie geregistreerd kan worden, blijft de gebruiker die toegang maakt tot dit systeem, anoniem. Veel websites die informatie geven over zwangerschap, aids of andere volksgezondheidsonderwerpen, werken zo. Gebruikers van dergelijke algemene informatiesites hoeven zich meestal niet te registreren en worden daarom niet in aanmerking genomen in de bespreking die hieronder volgt. Zie ook 7.2.1.

Overige informatie

Het verlenen of intrekken van toegang tot informatie of tot informatieverwerkende faciliteiten is doorgaans een tweestapsprocedure:

a) een gebruikersidentificatie toewijzen en activeren, of intrekken;

b) toegangsrechten aan deze gebruikersidentificatie verlenen of voor deze gebruikersidentificatie intrekken (zie 9.2.2).

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Een formele gebruikerstoegangsverleningsprocedure behoort te worden geïmplementeerd om toegangsrechten voor alle typen gebruikers en voor alle systemen en diensten toe te wijzen of in te trekken.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

De procedure voor het toewijzen of intrekken van toegangsrechten aan gebruikersidentificaties behoort te omvatten:

a) autorisatie verkrijgen van de eigenaar van het informatiesysteem of de informatiedienst voor het gebruik van het informatiesysteem of de informatiedienst (zie beheersmaatregel 8.1.2); afzonderlijke goedkeuring voor toegangsrechten door de directie is mogelijk ook relevant;

b) verifiëren dat het verleende toegangsniveau in overeenstemming is met de beleidsregels voor toegang (zie 9.1) en consistent is met andere eisen zoals een scheiding van taken (zie 6.1.2);

c) waarborgen dat toegangsrechten niet worden geactiveerd (bijv. door dienstverleners) voordat de autorisatieprocedures zijn afgerond;

d) bijhouden van een centraal overzicht van toegangsrechten die aan een gebruikersidentificatie zijn toegekend om toegang te verkrijgen tot informatiesystemen en -diensten;

e) aanpassen van toegangsrechten van gebruikers van wie de rollen of functies zijn gewijzigd en toegangsrechten van gebruikers die de organisatie hebben verlaten onmiddellijk verwijderen of blokkeren;

f) met eigenaren van de informatiesystemen of -diensten periodiek de toegangsrechten beoordelen (zie 9.2.5).

Zorgspecifieke implementatierichtlijn

In procedures voor het verlenen van toegang aan gebruikers behoort duidelijk te worden vastgesteld of gebruikers al dan niet toegang krijgen tot persoonlijke gezondheidsinformatie.

Overige informatie

Er behoort op te worden gelet dat gebruikerstoegangsrollen worden vastgesteld op basis van bedrijfseisen die een aantal toegangsrechten samenvatten in specifieke gebruikerstoegangsprofielen. Toegangsverzoeken en de beoordeling ervan (zie 9.2.5) zijn gemakkelijker te beheren op het niveau van dergelijke rollen dan op het niveau van bijzondere rechten.

Er behoort op te worden gelet dat in personeels- en dienstencontracten bepalingen worden opgenomen die sancties noemen voor medewerkers of contractanten die onbevoegd toegang proberen te verkrijgen (zie 7.1.2, 7.2.3, 13.2.4, 15.1.2).

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Het toewijzen en gebruik van speciale toegangsrechten behoren te worden beperkt en beheerst.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Het toewijzen van speciale toegangsrechten behoort te worden beheerst door een formele autorisatieprocedure die in overeenstemming is met het relevante toegangsbeveiligingsbeleid (zie beheersmaatregel 9.1.1). De volgende stappen behoren in overweging te worden genomen:

a) de speciale toegangsrechten behorend bij elk systeem of proces, bijv. besturingssysteem, databasebeheersysteem en elke toepassing, en de gebruikers aan wie ze moeten worden toegewezen, behoren te worden geïdentificeerd;

b) speciale toegangsrechten behoren op basis van noodzaak tot gebruik en per gebeurtenis aan gebruikers te worden toegekend in overeenstemming met het toegangsbeveiligingsbeleid (zie 9.1.1), d.w.z. gebaseerd op wat minimaal is vereist voor hun functionele rollen;

c) er behoort een autorisatieprocedure en een verslaglegging van alle toegekende speciale toegangsrechten te worden bijgehouden. Speciale toegangsrechten behoren niet te worden verleend voordat de autorisatieprocedure is afgerond;

d) voor het vervallen van speciale toegangsrechten behoren eisen te worden gedefinieerd;

e) speciale toegangsrechten behoren te worden toegekend aan een gebruikersidentificatie die verschilt van identiteiten die voor reguliere bedrijfsactiviteiten worden gebruikt. Reguliere bedrijfsactiviteiten behoren niet met een speciale gebruikersidentificatie te worden verricht;

f) de competenties van gebruikers met speciale toegangsrechten behoren regelmatig te worden beoordeeld om te verifiëren of ze in overeenstemming zijn met hun taken;

g) specifieke procedures behoren te worden vastgesteld en onderhouden om onbevoegd gebruik van gebruikersidentificaties voor algemeen beheer te voorkomen, in overeenstemming met de configuratiecapaciteiten van het systeem.

h) voor gebruikersidentificaties voor algemeen beheer behoort de geheimhouding van geheime authenticatie-informatie in acht te worden genomen als deze wordt gedeeld (bijv. vaak veranderen van wachtwoord en zodra een speciale gebruiker vertrekt of van functie verandert, dit onder speciale gebruikers communiceren met de passende mechanismen).

Zorgspecifieke implementatierichtlijn

In de bespreking die hieronder volgt, wordt een aantal strategieën gespecificeerd voor toegangsbeheersmaatregelen die aanmerkelijk kunnen helpen bij het garanderen van de vertrouwelijkheid en integriteit van persoonlijke gezondheidsinformatie. Deze zijn:

a) op rollen gebaseerde toegangscontrole die gebruikmaakt van de beroepsgegevens en/of functiebenamingen van gebruikers die tijdens het registreren zijn vastgesteld om de toegangsrechten van gebruikers te beperken tot de rechten die vereist zijn om een of meer goed gedefinieerde rollen te vervullen;

b) op werkgroepen gebaseerde toegangscontrole die werkt met de toewijzing van gebruikers aan werkgroepen (zoals klinische teams) om te bepalen tot welke registraties zij toegang hebben;

c) discretionaire toegangscontrole die gebruikers van gezondheidsinformatiesystemen die een legitieme relatie hebben met de persoonlijke gezondheidsinformatie van de cliënt (bijv. een huisarts), in staat stelt toegang te verlenen aan andere gebruikers die geen eerder tot stand gebrachte relatie met de persoonlijke gezondheidsinformatie van die cliënt hebben (bijv. een specialist).

Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie bevatten, behoren op rollen gebaseerde toegangscontrole te ondersteunen waarmee elke gebruiker aan een of meer rollen kan worden toegewezen en elke rol aan een of meer systeemfuncties.

Een gebruiker van een gezondheidsinformatiesysteem dat persoonlijke gezondheidsinformatie bevat, behoort in één rol toegang te hebben met de diensten ervan (d.w.z. dat gebruikers die met meer dan één rol geregistreerd zijn, tijdens elke sessie waarin ze toegang hebben tot het gezondheidsinformatiesysteem één rol behoren aan te geven).

Gezondheidsinformatiesystemen behoren gebruikers (waaronder begrepen zorgverleners, ondersteunend personeel en anderen) aan de registraties van cliënten te koppelen en toekomstige toegang op basis van deze koppeling mogelijk te maken.

Aanvullende richtlijnen over rechtenmanagement in de zorg zijn te vinden in ISO 22600‑1 en in ISO 22600‑2.

Overige informatie

Ongepast gebruik van speciale rechten voor systeembeheer (elke functie of faciliteit van een informatiesysteem die de gebruiker in staat stelt systeem- of toepassingscontroles op te heffen) is een factor die in grote mate bijdraagt aan storingen van of inbreuken op het systeem.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Het toewijzen van geheime authenticatie-informatie behoort te worden beheerst via een formeel beheersproces.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Het proces behoort de volgende eisen te bevatten:

a) gebruikers behoren te worden verplicht een verklaring te ondertekenen dat zij persoonlijke geheime authenticatie-informatie geheimhouden en groepsinformatie, d.w.z. gedeelde geheime authenticatie-informatie, binnen de groep houden; deze getekende verklaring kan worden opgenomen in de arbeidsvoorwaarden (zie 7.1.2);

b) als gebruikers hun eigen geheime authenticatie-informatie moeten onderhouden, behoort hun eerst tijdelijke geheime authenticatie-informatie te worden gegeven die zij bij het eerste gebruik moeten wijzigen;

c) er behoren procedures te worden vastgesteld om de identiteit van een gebruiker vast te stellen voordat nieuwe, vervangende of tijdelijke geheime authenticatie-informatie wordt verstrekt;

d) tijdelijke geheime authenticatie-informatie behoort op een veilige manier aan gebruikers te worden gegeven; gebruikmaken van externe partijen of onbeschermde e-mailberichten (niet-gecodeerde tekst) behoort te worden vermeden;

e) tijdelijke geheime authenticatie-informatie behoort uniek voor een persoon te zijn en behoort niet te kunnen worden geraden;

f) gebruikers behoren de ontvangst van geheime authenticatie-informatie te bevestigen;

g) ‘default’ geheime authenticatie-informatie van een leverancier behoort te worden gewijzigd na de installatie van systemen of software.

Zorgspecifieke implementatierichtlijn

Er is geen aanvullende richtlijn voor informatiebeveiligingsbeheer binnen de zorg, hoewel hier behoort te worden opgemerkt dat de tijdsdruk binnen zorgverleningssituaties doeltreffend gebruik van wachtwoorden lastig kan maken. Veel gezondheidsorganisaties hebben het invoeren van alternatieve authenticatietechnologieën met het oog op dit probleem in overweging genomen.

Overige informatie

Wachtwoorden zijn een algemeen gebruikt type geheime authenticatie-informatie en zijn een gebruikelijk middel om de identiteit van een gebruiker te verifiëren. Andere typen geheime authenticatie-informatie zijn cryptografische sleutels en andere gegevens die zijn opgeslagen op hardwaretokens (bijv. chipkaarten) die authenticatiecodes produceren.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Bij het beoordelen van toegangsrechten van gebruikers behoren de volgende aspecten in overweging te worden genomen:

a) toegangsrechten van gebruikers behoren regelmatig en na wijzigingen, zoals promotie, degradatie of beëindiging van het dienstverband, te worden beoordeeld (zie hoofdstuk 7);

b) toegangsrechten van gebruikers behoren te worden beoordeeld en opnieuw te worden toegekend bij functieverandering binnen dezelfde organisatie;

c) autorisaties voor speciale toegangsrechten behoren vaker te worden beoordeeld;

d) toewijzingen van speciale toegangsrechten behoren regelmatig te worden gecontroleerd om te waarborgen dat speciale toegangsrechten niet onbevoegd zijn verkregen;

e) van wijzigingen in speciale accounts behoren voor periodieke beoordeling logbestanden te worden bijgehouden.

Zorgspecifieke implementatierichtlijn

Er behoort speciaal rekening te worden gehouden met gebruikers van wie in redelijkheid zal worden verwacht dat ze noodzorg verlenen waarbij het nodig kan zijn dat zij toegang tot persoonlijke gezondheidsinformatie hebben in een noodsituatie waarin een cliënt wellicht niet in staat is aan te geven daarmee in te stemmen.

Overige informatie

Deze controle compenseert mogelijke zwakke plekken in de uitvoering van beheersmaatregelen 9.2.1, 9.2.2 en 9.2.6.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

De toegangsrechten van alle medewerkers en externe gebruikers voor informatie en informatieverwerkende faciliteiten behoren bij beëindiging van hun dienstverband, contract of overeenkomst te worden verwijderd, en bij wijzigingen behoren ze te worden aangepast.

Zorgspecifieke beheersmaatregel

Alle organisaties die persoonlijke gezondheidsinformatie verwerken, behoren voor elke vertrekkende afdelings- of tijdelijke medewerker, derde-contractant of vrijwilliger zo snel mogelijk na beëindiging van het dienstverband of de werkzaamheden als contractant of vrijwilliger de toegangsrechten als gebruikers tot dergelijke informatie te beëindigen.

Implementatierichtlijn

Bij beëindiging van het dienstverband behoren de toegangsrechten van een persoon voor informatie en bedrijfsmiddelen die samenhangen met informatieverwerkende faciliteiten en diensten te worden ingetrokken of opgeschort. Hierdoor kan worden vastgesteld of het noodzakelijk is om toegangsrechten in te trekken. Wijzigingen in het dienstverband behoren te worden weerspiegeld in het intrekken van alle toegangsrechten die niet voor het nieuwe dienstverband zijn goedgekeurd. De toegangsrechten die behoren te worden ingetrokken of aangepast omvatten ook de fysieke en logische toegangsrechten. Intrekking of aanpassing kan plaatsvinden door verwijdering, intrekking of vervanging van sleutels, identificatiekaarten, informatieverwerkende faciliteiten of abonnementen. Elk document dat toegangsrechten van medewerkers en contractanten identificeert, behoort de intrekking of aanpassing van toegangsrechten weer te geven. Indien een medewerker die uit dienst gaat of een externe gebruiker wachtwoorden kent van gebruikersidentificaties die actief blijven, dan behoren deze bij beëindiging of wijziging van dienstverband, contract of overeenkomst te worden gewijzigd.

Toegangsrechten voor informatie en bedrijfsmiddelen die samenhangen met informatieverwerkende faciliteiten behoren te worden verminderd of ingetrokken voordat het dienstverband eindigt of wijzigt, afhankelijk van de evaluatie van risicofactoren zoals:

a) of de beëindiging of wijziging is geïnitieerd door de medewerker, de externe gebruiker of door de directie, en de reden voor de beëindiging;

b) de huidige verantwoordelijkheden van de medewerker, externe gebruiker of overige gebruikers;

c) de waarde van de bedrijfsmiddelen die op dat moment toegankelijk zijn.

Zorgspecifieke implementatierichtlijn

Het is belangrijk om te wijzen op de vele voorbeelden in de zorg van studenten, stagiairs en vervangers die hun toegangsrechten hebben behouden na beëindiging van hun stage, vervanging enz. Met name in grote ziekenhuizen hebben vaak grote aantallen tijdelijk personeel kortstondig toegang tot persoonlijke gezondheidsinformatie. Het beëindigen van de toegangsrechten van dergelijk personeel behoort zorgvuldig te worden gemanaged. Tegelijkertijd vinden in de zorg veel transacties geruime tijd na het moment van zorgverlening plaats (bijv. het aftekenen van medische transcripties). Dit kan het proces van het tijdig verwijderen van toegangsrechten aanmerkelijk gecompliceerder maken en met deze transacties behoort rekening te worden gehouden bij het ontwerpen en implementeren van procedures voor het verwijderen van toegangsrechten.

Gezondheidsorganisaties behoren serieus na te denken over het onmiddellijk beëindigen van toegangsrechten na ontvangst of verzending van een ontslagbrief of een kennisgeving van ontslag enz., als men dan van mening is dat het voortzetten van die toegang een verhoogd risico met zich meebrengt.

Overige informatie

In bepaalde omstandigheden kunnen toegangsrechten zijn toegekend aan een grotere groep dan alleen de vertrekkende medewerker of externe gebruiker, bijv. groepsidentificaties. In dergelijke gevallen behoren de namen van vertrekkende personen te worden verwijderd uit alle groepstoegangslijsten en behoren afspraken te worden gemaakt om alle andere betrokken medewerkers en externe gebruikers te informeren deze informatie van de groep niet langer te delen met de vertrekkende persoon.

Ingeval de directie de beëindiging van het dienstverband heeft geïnitieerd bestaat het risico dat misnoegde medewerkers of externe gebruikers opzettelijk informatie corrumperen of informatieverwerkende faciliteiten saboteren. Personen die ontslag nemen of worden ontslagen kunnen in de verleiding komen informatie te verzamelen voor toekomstig gebruik.

Overige zorgspecifieke informatie

<geen>


Doelstelling: Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie.


Beheersmaatregel

Van gebruikers behoort te worden verlangd dat zij zich bij het gebruiken van geheime authenticatie-informatie houden aan de praktijk van de organisatie.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Alle gebruikers behoren het advies te krijgen om:

a) vertrouwelijk om te gaan met geheime authenticatie-informatie, en ervoor te zorgen dat deze informatie niet openbaar wordt gemaakt aan andere partijen, met inbegrip van gezaghebbende personen;

b) geen geheime authenticatie-informatie te registreren (bijv. op papier, in een computerbestand of op een zakapparaat), tenzij deze informatie veilig kan worden opgeslagen en de opslagmethode is goedgekeurd (bijv. ‘password vault’);

c) geheime authenticatie-informatie te wijzigen als er een aanwijzing is dat deze mogelijk is gecompromitteerd;

d) als wachtwoorden als geheime authenticatie-informatie worden gebruikt, sterke wachtwoorden te kiezen van voldoende minimumlengte, die:

1) gemakkelijk te onthouden zijn;

2) niet zijn gebaseerd op gegevens die iemand anders gemakkelijk kan raden of achterhalen door persoonsgerelateerde informatie te gebruiken, zoals namen, telefoonnummers en geboortedata;

3) niet kwetsbaar zijn voor woordenboekaanvallen (d.w.z. niet bestaan uit woorden die in woordenboeken zijn opgenomen);

4) geen opeenvolgende identieke tekens bevat, en niet alleen uit cijfers of letters bestaat;

5) bij het eerste inloggen worden gewijzigd als ze tijdelijk zijn;

e) geen geheime authenticatie-informatie te delen;

f) te zorgen voor passende bescherming van wachtwoorden wanneer wachtwoorden worden gebruikt als geheime authenticatie-informatie in geautomatiseerde inlogprocedures en worden opgeslagen;

g) niet dezelfde geheime authenticatie-informatie voor zakelijke en particuliere toepassingen te gebruiken.

Zorgspecifieke implementatierichtlijn

Organisaties die gezondheidsinformatie verwerken, behoren bij het bepalen van de verantwoordelijkheden van gebruikers de rechten en ethische verantwoordelijkheden van zorgverleners, zoals wettelijk overeengekomen en aanvaard door leden van organisaties van zorgverleners, te respecteren.

Overige informatie

Als ‘Single Sign On’ (SSO) of andere beheerinstrumenten voor geheime authenticatie-informatie beschikbaar worden gesteld vermindert dat de hoeveelheid geheime authenticatie-informatie die gebruikers moeten beschermen, waardoor de doeltreffendheid van deze beheersmaatregel kan toenemen. Echter, deze instrumenten kunnen ook de impact van openbaarmaking van geheime authenticatie-informatie vergroten.

Overige zorgspecifieke informatie

<geen>


Doelstelling: Onbevoegde toegang tot systemen en toepassingen voorkomen.


Beheersmaatregel

Toegang tot informatie en systeemfuncties van toepassingen behoort te worden beperkt in overeenstemming met het beleid voor toegangsbeveiliging.

Zorgspecifieke beheersmaatregel

Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden.

De toegang tot functies van informatie- en toepassingssystemen in verband met het verwerken van persoonlijke gezondheidsinformatie behoort geïsoleerd (en gescheiden) te worden van de toegang tot informatieverwerkingsinfrastructuur die geen verband houdt met het verwerken van persoonlijke gezondheidsinformatie.

Implementatierichtlijn

Toegangsbeperkingen behoren te worden gebaseerd op eisen voor de afzonderlijke bedrijfstoepassingen en in overeenstemming met het beleid dat voor toegangsbeveiliging is gedefinieerd.

De volgende aspecten behoren in aanmerking te worden genomen om de eisen voor toegangsbeperking te ondersteunen:

a) menu’s verschaffen om de toegang tot systeemfuncties van toepassingen te beheersen;

b) beheersen welke gegevens voor een bepaalde gebruiker toegankelijk zijn;

c) toegangsrechten van gebruikers beheersen, bijv. lezen, schrijven, verwijderen en uitvoeren;

d) toegangsrechten voor andere toepassingen beheersen;

e) de informatie in output beperken;

f) zorgen voor fysieke of logische toegangsbeveiligingsmaatregelen voor het isoleren van gevoelige toepassingen, toepassingsgegevens of systemen.

Zorgspecifieke implementatierichtlijn

Er behoort speciale aandacht te worden besteed aan de technische maatregelen waardoor de identiteit van een cliënt op beveiligde wijze wordt vastgesteld als hij of zij toegang maakt tot (een deel van) zijn/haar eigen informatie (in die gezondheidsinformatiesystemen die zulke toegang toestaan). Er behoort ook een soortgelijke nadruk te worden gelegd op het gebruiksgemak van dergelijke maatregelen, met name voor gehandicapte cliënten en op voorzieningen voor toegang door vervangende besluitvormers.

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Indien het beleid voor toegangsbeveiliging dit vereist, behoort toegang tot systemen en toepassingen te worden beheerst door een beveiligde inlogprocedure.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Om de geclaimde identiteit van een gebruiker te bewijzen behoort een passende authenticatietechniek te worden gekozen.

Ingeval krachtige verificatie en authenticatie van de identiteit is vereist behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals cryptografische middelen, chipkaarten, tokens of biometrische middelen.

De procedure om in een systeem in te loggen behoort zo te worden ontworpen dat de kans op onbevoegde toegang zo klein mogelijk wordt gemaakt. Om te voorkomen dat het een onbevoegde gebruiker gemakkelijk wordt gemaakt behoort de inlogprocedure zo min mogelijk informatie over het systeem of de toepassing openbaar te maken. Een goede inlogprocedure behoort:

a) geen systeem- of toepassingsidentificatoren te tonen voordat het inlogproces met succes is afgerond;

b) een algemene waarschuwing te tonen dat de computer alleen toegankelijk is voor bevoegde gebruikers;

c) tijdens de inlogprocedure geen hulpboodschappen weer te geven waarmee onbevoegde gebruikers hun doel kunnen bereiken;

d) de inloginformatie pas na invoer van alle gegevens te valideren. Indien zich een fout voordoet, behoort het systeem niet aan te geven welk deel van de gegevens juist of onjuist is;

e) bescherming te bieden tegen inlogpogingen die met grove middelen worden uitgevoerd;

f) niet-succesvolle en succesvolle pogingen te registreren;

g) een informatiebeveiligingsgebeurtenis te initiëren als een poging tot of een succesvolle schending van de inlogbeheersmaatregelen is vastgesteld;

h) de volgende informatie te tonen nadat het inloggen met succes is voltooid:

1) datum en tijdstip waarop de vorige keer met succes is ingelogd;

2) details van niet-succesvolle pogingen om in te loggen sinds de vorige succesvolle poging om in te loggen;

i) een wachtwoord dat wordt ingevoerd niet weer te geven;

j) geen ongecodeerde wachtwoorden via een netwerk te versturen;

k) inactieve sessies na een bepaalde tijd van inactiviteit te beëindigen, vooral op locaties met een hoog risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de organisatie vallen, of op mobiele apparaten;

l) de verbindingstijd te beperken om extra beveiliging te bieden voor toepassingen met een hoog risico en de mogelijkheden voor onbevoegde toegang te verkleinen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Wachtwoorden zijn een gebruikelijke manier om identificatie en authenticatie te verschaffen op basis van een geheim gegeven dat alleen de gebruiker kent. Hetzelfde kan worden bereikt met cryptografische middelen en authenticatieprotocollen. De sterkte van gebruikersauthenticatie behoort passend te zijn voor de classificatie van de informatie waartoe toegang wordt verleend.

Indien wachtwoorden tijdens een inlogsessie ongecodeerd via een netwerk worden verstuurd, kunnen ze door een ‘snuffel’programma worden opgespoord.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Systemen voor wachtwoordbeheer behoren interactief te zijn en sterke wachtwoorden te waarborgen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Een systeem voor wachtwoordbeheer behoort:

a) het gebruik van individuele gebruikersidentificaties en wachtwoorden af te dwingen om de toerekenbaarheid te handhaven;

b) gebruikers de mogelijkheid te bieden hun eigen wachtwoord te kiezen en te wijzigen, en een bevestigingsprocedure te bevatten die rekening houdt met foutieve invoer;

c) de keuze voor sterke wachtwoorden af te dwingen;

d) gebruikers te dwingen hun wachtwoord bij het eerste inloggen te wijzigen;

e) wijziging van het wachtwoord periodiek en telkens wanneer dat nodig is af te dwingen;

f) een registratie van eerder gebruikte wachtwoorden bij te houden en te voorkomen dat deze opnieuw worden gebruikt;

g) wachtwoorden niet op het scherm te tonen als ze worden ingevoerd;

h) wachtwoordbestanden apart van systeemgegevens van toepassingen op te slaan;

i) wachtwoorden in beschermde vorm op te slaan en te versturen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Sommige toepassingen vereisen dat gebruikerswachtwoorden door een onafhankelijke instantie worden toegekend; in dergelijke gevallen zijn de punten b), d) en e) van bovenstaande richtlijn niet van toepassing. In de meeste gevallen worden wachtwoorden door de gebruiker gekozen en onderhouden.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen, behoort te worden beperkt en nauwkeurig te worden gecontroleerd.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Voor het gebruik van systeemhulpmiddelen die in staat zijn om beheersmaatregelen voor systemen en toepassingen te omzeilen behoren de volgende richtlijnen te worden overwogen:

a) gebruik van identificatie-, authenticatie- en autorisatieprocedures voor systeemhulpmiddelen;

b) scheiding van systeemhulpmiddelen en toepassingssoftware;

c) beperking van het gebruik van systeemhulpmiddelen tot het laagste aantal betrouwbare bevoegde gebruikers dat praktisch haalbaar is (zie 9.2.3);

d) autorisatie voor ad-hocgebruik van systeemhulpmiddelen;

e) beperking van de beschikbaarheid van systeemhulpmiddelen, bijv. voor de duur van een geautoriseerde wijziging;

f) registreren van alle gebruik van systeemhulpmiddelen;

g) definiëren en documenteren van autorisatieniveaus voor systeemhulpmiddelen;

h) verwijderen of onbruikbaar maken van alle onnodige systeemhulpmiddelen;

i) niet beschikbaar stellen van systeemhulpmiddelen aan gebruikers die toegang hebben tot toepassingen op systemen waarbij scheiding van taken vereist is.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

De meeste computersystemen hebben een of meer systeemhulpmiddelen die in staat zijn beheersmaatregelen voor systemen en toepassingen te omzeilen.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Toegang tot de programmabroncode behoort te worden beperkt.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Toegang tot programmabroncodes en samenhangende items (zoals ontwerpen, specificaties, verificatie- en validatieschema’s) behoort strikt te worden beheerst om de introductie van onbevoegde functionaliteit en om onbedoelde wijzigingen te voorkomen, alsmede om de vertrouwelijkheid van waardevolle intellectuele eigendom te handhaven. Met betrekking tot de programmabroncode kan dit worden bereikt door de code gecontroleerd centraal op te slaan, bij voorkeur in de broncodebibliotheek. De volgende richtlijnen behoren dan te worden overwogen om de toegang tot dergelijke broncodebibliotheken te beheersen en zo de kans op corruptie van computerprogramma’s te verkleinen.

a) waar mogelijk, behoren broncodebibliotheken niet in operationele systemen te worden opgeslagen;

b) de programmabroncode en de broncodebibliotheek behoren te worden beheerd in overeenstemming met vastgestelde procedures;

c) ondersteunend personeel behoort geen onbeperkte toegang tot broncodebibliotheken te hebben;

d) het updaten van broncodebibliotheken en samenhangende items en het verstrekken van broncodes aan programmeurs behoort alleen plaats te vinden na ontvangst van een passende autorisatie;

e) programma-uitdraaien behoren in een beveiligde omgeving te worden bewaard;

f) van elke toegang tot broncodebibliotheken behoort een auditlogbestand te worden bijgehouden;

g) onderhouden en kopiëren van broncodebibliotheken behoren aan strikte procedures voor wijzigingsbeheer te worden onderworpen (zie 14.2.2).

Indien het de bedoeling is dat de programmabroncode wordt gepubliceerd behoren aanvullende beheersmaatregelen die bijdragen aan het waarborgen van de integriteit ervan (bijv. een digitale handtekening) te worden overwogen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>