Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Beheersmaatregel
Ten behoeve van informatiebeveiliging behoort een reeks beleidsregels te worden gedefinieerd, goedgekeurd door de directie, gepubliceerd en gecommuniceerd aan medewerkers en relevante externe partijen.
Zorgspecifieke beheersmaatregel
Organisaties behoren te beschikken over een schriftelijk informatiebeveiligingsbeleid dat door het management wordt goedgekeurd, wordt gepubliceerd en vervolgens wordt gecommuniceerd aan alle werknemers en relevante externe partijen.
Implementatierichtlijn
Organisaties behoren op het hoogste niveau een ‘informatiebeveiligingsbeleid’ te definiëren dat is goedgekeurd door de directie en dat de aanpak van de organisatie beschrijft om haar doelstellingen inzake informatiebeveiliging te bereiken.
Beleidsregels inzake informatiebeveiliging behoren eisen te behandelen die voortkomen uit:
a) bedrijfsstrategie;
b) wet- en regelgeving en contracten;
c) huidige en verwachte bedreigingen inzake informatiebeveiliging.
Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten betreffende:
a) de definitie van doelstellingen en principes van informatiebeveiliging om richting te geven aan alle activiteiten die verband houden met informatiebeveiliging;
b) toekenning van algemene en specifieke verantwoordelijkheden voor informatiebeveiligingsbeheer aan gedefinieerde rollen;
c) processen voor het behandelen van afwijkingen en uitzonderingen.
Op een lager niveau behoort het informatiebeveiligingsbeleid te worden ondersteund door onderwerpspecifieke beleidsregels die de implementatie van beheersmaatregelen inzake informatiebeveiliging verplicht stellen en die specifiek gestructureerd zijn om de behoeften van bepaalde doelgroepen binnen een organisatie aan de orde te stellen of om bepaalde onderwerpen te behandelen.
Voorbeelden van dergelijke beleidsonderwerpen zijn:
a) toegangsbeveiliging (zie hoofdstuk 9);
b) classificatie van informatie (en verwerking) (zie 8.2);
c) fysieke en omgevingsbeveiliging (zie hoofdstuk 11);
d) onderwerpen die gericht zijn op de eindgebruiker zoals:
1) aanvaardbaar gebruik van bedrijfsmiddelen (zie 8.1.3.);
2) ‘clear desk’ en ‘clear screen’ (zie 11.2.9);
3) informatietransport (zie 13.2.1);
4) mobiele apparatuur en telewerken (zie 6.2);
5) beperkingen t.a.v. software-installaties en -gebruik (zie 12.6.2);
e) back-up (zie 12.3);
f) informatietransport (zie 13.2);
g) bescherming tegen malware (zie 12.2);
h) beheer van technische kwetsbaarheden (zie 12.6.1);
i) cryptografische beheersmaatregelen (zie hoofdstuk 10);
j) communicatiebeveiliging (zie hoofdstuk 13);
k) privacy en bescherming van persoonsgegevens (zie 18.1.4);
l) leveranciersrelaties (zie hoofdstuk 15).
Deze beleidsregels behoren te worden gecommuniceerd aan medewerkers en relevante externe partijen in een vorm die relevant, toegankelijk en begrijpelijk is voor de beoogde lezer, bijv. in de context van een ‘bewustzijns-, opleidings- en trainingsprogramma voor informatiebeveiliging’ (zie 7.2.2).
Zorgspecifieke implementatierichtlijn
Het informatiebeveiligingsbeleid behoort uiteenzettingen te bevatten over:
a) de noodzaak van gezondheidsinformatiebeveiliging;
b) de doelen van gezondheidsinformatiebeveiliging;
c) het toepassingsgebied in verband met naleving, zoals beschreven in hoofdstuk 18;
d) eisen van wet- en regelgeving en contractuele eisen, waaronder eisen met betrekking tot de bescherming van persoonlijke gezondheidsinformatie en de wettelijke en ethische verantwoordelijkheden van zorgverleners om deze informatie te beschermen;
e) regelingen voor het doen van kennisgeving van informatiebeveiligingsincidenten, waaronder een kanaal waarlangs zorgen met betrekking tot vertrouwelijkheid kunnen worden geuit zonder dat men angst hoeft te hebben voor beschuldigingen of verwijten;
f) het identificeren van processen en systemen die van vitaal belang zijn in de zorg (‘vitaal’ wil zeggen dat het falen ervan nadelige gevolgen kan hebben voor cliënten).
Idealiter wordt het herzien van de inhoud van het beleid aangestuurd door de bevindingen uit de risicobeoordeling van de organisatie, hoewel in het beleid zelf alleen maar de richting hoeft te worden aangegeven, beginselen behoren te worden vermeld en naar andere documenten behoort te worden verwezen waarin de specifieke details (die vaker wijzigen) gevonden kunnen worden.
Bij het opstellen van het beleidsdocument voor hun informatiebeveiliging zullen gezondheidsorganisaties met name de volgende, voor de gezondheidzorg unieke factoren, in overweging moeten nemen:
g) de breedte van gezondheidsinformatie;
h) de rechten en ethische verantwoordelijkheden van het personeel, zoals wettelijk overeengekomen en aanvaard door leden van beroepsorganisaties;
i) de rechten van cliënten, indien van toepassing, op privacy en op inzage in hun dossier;
j) de verplichtingen van clinici met betrekking tot het verkrijgen van geïnformeerde toestemming van cliënten en het handhaven van de vertrouwelijkheid van persoonlijke gezondheidsinformatie;
k) de legitieme behoeften van clinici en gezondheidsorganisaties om de normale beveiligingsprotocollen opzij te kunnen zetten als zorgprioriteiten, vaak gekoppeld aan het onvermogen van bepaalde cliënten om hun voorkeuren te uiten, dit nodig maken; ook de procedures die moeten worden ingezet om dit te realiseren;
l) de verplichtingen van de desbetreffende gezondheidsorganisaties en van cliënten indien zorg wordt verleend op basis van ‘gedeelde zorg’ of langdurige ‘uitgebreide zorg’;
m)de protocollen en procedures die moeten worden toegepast op het delen van informatie in het kader van onderzoek en klinische studies;
n) de regelingen voor, en bevoegdheidsgrenzen van tijdelijk personeel, zoals vervangers, studenten en oproepkrachten;
o) de regelingen voor en beperkingen die gesteld worden aan de toegang tot persoonlijke gezondheidsinformatie door vrijwilligers en ondersteunend personeel zoals geestelijken of personeel van charitatieve instellingen;
p) de implicaties van beveiligingsmaatregelen voor de veiligheid van cliënten;
q) de implicaties van informatiebeveiligingsmaatregelen voor de prestaties van gezondheidsinformatiesystemen.
Veel gezondheidsorganisaties zijn tot de conclusie gekomen dat het handig is om het beleidsdocument elektronisch aan personeel ter beschikking te stellen via een informatiebeveiligingsrubriek op het intranet van de gezondheidsorganisatie.
Indien de gezondheidsorganisatie ondersteuning ontvangt van derde-organisaties of samenwerkt met derden, en met name indien de gezondheidsorganisatie diensten vanuit andere rechtsgebieden ontvangt, behoort het beleidskader gedocumenteerd beleid, beheersmaatregelen en procedures die ingaan op dergelijke interacties en die de verantwoordelijkheden van alle partijen specificeren, te omvatten. In gevallen waar persoonlijke gegevens buiten de nationale grenzen of de grenzen van rechtsgebieden worden gebracht, behoren de bepalingen van ISO 22857 te worden toegepast.
Overige informatie
De behoefte aan interne beleidsregels voor informatiebeveiliging varieert tussen organisaties. Interne beleidsregels zijn vooral nuttig in grote en complexe organisaties waar de personen die de verwachte niveaus van beheersing definiëren en goedkeuren, zijn gescheiden van de personen die de beheersmaatregelen implementeren, of in situaties waarin beleidsregels gelden voor veel verschillende personen of functies in de organisatie. Beleidsregels voor informatiebeveiliging kunnen worden uitgevaardigd als een enkelvoudig document inzake ‘informatiebeveiligingsbeleid’ of als een reeks individuele maar gerelateerde documenten.
Als een beleidsregel inzake informatiebeveiliging buiten de organisatie wordt verspreid, behoort erop te worden gelet dat geen vertrouwelijke informatie bekend wordt.
Sommige organisaties gebruiken andere termen voor deze beleidsdocumenten, zoals ‘normen’, ‘richtlijnen’ of ‘regels’.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Het beleid voor informatiebeveiliging behoort met geplande tussenpozen of als zich significante veranderingen voordoen, te worden beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.
Zorgspecifieke beheersmaatregel
Het informatiebeveiligingsbeleid behoort aan voortdurende, gefaseerde beoordelingen te worden onderworpen zodat het volledige beleid ten minste eenmaal per jaar wordt beoordeeld. Het beleid behoort te worden beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan.
Implementatierichtlijn
Elk beleid behoort een eigenaar te hebben die namens de directie verantwoordelijk is voor het ontwikkelen, beoordelen en evalueren van de beleidsregels. De beoordeling behoort mede de beoordeling te omvatten van verbetermogelijkheden voor de organisatorische beleidsregels en de aanpak van het informatiebeveiligingsbeheer als antwoord op veranderingen in de omgeving van de organisatie, de bedrijfsomstandigheden, juridische voorwaarden of technische omgeving.
De beoordeling van beleidsregels voor informatiebeveiliging behoort rekening te houden met de resultaten van directiebeoordelingen.
Voor een herzien beleid behoort de goedkeuring van de directie te worden verkregen.
Zorgspecifieke implementatierichtlijn
De beoordeling behoort in te gaan op:
a) de veranderende aard van de bedrijfsvoering van de gezondheidsorganisatie en de gelijktijdige veranderingen voor het risicoprofiel en de risicomanagementbehoeften;
b) de veranderingen die worden gedaan aan de IT-infrastructuur van de organisatie en de gelijktijdige veranderingen die deze met zich meebrengen voor het risicoprofiel van de organisatie;
c) de in de externe omgeving geïdentificeerde veranderingen die op vergelijkbare wijze van invloed zijn op het risicoprofiel van de organisatie;
d) de jongste beheersmaatregelen, nalevings- en zekerheidseisen en -regelingen die door de gezondheidsinstanties van een rechtsgebied of door nieuwe wet- of regelgeving verplicht worden gesteld;
e) de jongste richtlijnen en aanbevelingen van organisaties van zorgverleners en van de leden van informatieprivacycommissies met betrekking tot de bescherming van persoonlijke gezondheidsinformatie;
f) de resultaten van juridische casussen die bij de rechter zijn getoetst, waardoor precedenten zijn geschapen of ontkracht of waardoor ‘best practices’ zijn vastgesteld;
g) de uitdagingen en belangrijke punten met betrekking tot het beleid, zoals aan de organisatie geuit door het personeel, cliënten en hun partners en zorgverleners, onderzoekers en overheden (bijv. leden van privacycommissies);
h) rapporten over incidenten met betrekking tot de veiligheid van cliënten met als doel om deze incidenten tegen te gaan in die gevallen waarin het incident het gevolg is van het falen van informatiebeveiligingsmaatregelen.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
