NEN 7510-2 Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 2017

Hide high level structure (HLS) Show HLS Hide all commentary Show all commentary

Aanwijzingen voor het invullen van de checklist

De checklist in deze bijlage heeft als doel organisaties die persoonlijke gezondheidsinformatie verwerken, te laten bepalen of ze aan deze norm voldoen. Deze lijst bevat de beheersmaatregelen uit deze norm en kolommen aan de hand waarvan kan worden gecontroleerd of voldaan is aan de beheersmaatregelen. Daaronder volgt een uitleg van de kolommen.

a) Hoofdstuk: de nummers in de uiterst linkse kolom corresponderen met de hoofdstuknummers in de norm.

b) Geïmplementeerd: of de beheersmaatregel geïmplementeerd is

1) Ja: de beheersmaatregel is geïmplementeerd en operationeel.

2) Nee: de beheersmaatregel is niet geïmplementeerd en operationeel. De werkzaamheden zouden kunnen worden geïnitieerd maar er kan niet worden gesteld dat deze volledig geïmplementeerd zijn en voortdurend binnen de organisatie worden uitgevoerd.

Als alternatief kan de huidige algehele naleving ook als percentage worden gepresenteerd.

c) Prioriteit: de prioriteit die de organisatie voornemens is te geven aan het implementeren van de beheersmaatregel. Het wordt aanbevolen hiervoor een numerieke schaal te gebruiken van 1, 2, 3 enz., waarbij 1 de hoogste prioriteit aangeeft.

d) Referentie: document, besluit of agendanummer: verwijzing naar ondersteunende documentatie van de organisatie, indien van toepassing.

e) Begroot: of implementatie van de beheersmaatregel begroot is (indien van toepassing).

f) Verantwoordelijke: indien de beheersmaatregel niet geïmplementeerd en geoperationaliseerd is, de naam van de persoon of de entiteit binnen de organisatie die door de organisatie is aangewezen als verantwoordelijke voor de werkzaamheden voor het implementeren/operationaliseren van de beheersmaatregel.

g) Opmerking: eventuele relevante opmerkingen over de beheersmaatregel, indien van toepassing.

h) Opvolging: opmerking over welke opvolging gepland is of uitgevoerd wordt, indien van toepassing.

De checklist kan worden gebruikt tijdens alle soorten interne en externe audits en beoordelingen van met informatiebeveiliging gerelateerde werkzaamheden van elke organisatie die persoonlijke gezondheidsinformatie verwerkt. De lijst is zo opgezet dat deze een goed overzicht geeft van de informatiebeveiligingssituatie en gemakkelijk gebruikt kan worden ter ondersteuning van opvolging.

Checklist voor naleving van zorgspecifieke beheersmaatregelen

Paragraaf

Beheersmaatregel

Ja

Nee

Prio­riteit

Referentie

Begroot

Verant­woor­delijke

Opmerking

Opvolging

5.1

Aansturing door de directie van de informatiebeveiliging

5.1.1

Beleidsregels voor informatiebeveiliging

1

Is er een schriftelijk beleid voor informatiebeveiliging?

[Eis in de categorie zou of behoort (zou moeten)?]

2

Wordt het schriftelijke informatiebeveiligingsbeleid goedgekeurd door het management?

[Eis in de categorie zou of behoort (zou moeten)?]

3

Wordt het schriftelijk informatiebeveiligingsbeleid gepubliceerd en gecommuniceerd aan alle werknemers en relevante externe partijen?
(hoe, waar, wanneer?)

[Eis in de categorie zou of behoort (zou moeten)?]

4

Blijkt uit het informatiebeveiligingsbeleid:

a)

– de noodzaak van gezond­heids­informatie­beveiliging?

b)

– de doelen van gezondheids­informatie­beveiliging?

c)

– het toepassingsgebied voor naleving, zoals beschreven in hoofdstuk 18?

d)

– eisen van wet- en regelgeving en contractuele eisen, waaronder eisen met betrekking tot de bescherming van persoonlijke gezondheids­informatie en de wettelijke en ethische verantwoordelijk­heden van zorgverleners om deze informatie te beschermen?

e)

– regelingen voor het doen van kennisgeving van informatie­beveiligings­incidenten, waaronder een kanaal waarlangs zorgen met betrekking tot vertrouwelijkheid kunnen worden geuit zonder dat men angst hoeft te hebben voor beschuldigingen of verwijten?

f)

– het identificeren van processen en systemen die van vitaal belang zijn in de zorg (d.w.z. dat het falen ervan nadelige gevolgen kan hebben voor cliënten)?

g)

– de breedte van gezondheidsinformatie?

h)

– de rechten en ethische verantwoordelijkheden van personeel, zoals wettelijk overeengekomen en aanvaard door leden van beroeps­organisaties?

i)

– de rechten van cliënten, indien van toepassing, op privacy en op inzage in hun dossier?

j)

– de verplichtingen van clinici met betrekking tot het verkrijgen van geïnformeerde toestemming van cliënten en het handhaven van de vertrouwelijkheid van persoonlijke gezondheids­informatie?

k)

– de legitieme behoeften van clinici en gezondheids­organisaties om de normale beveiligingsprotocollen opzij te kunnen zetten als zorg­prioriteiten, vaak gekoppeld aan het onvermogen van bepaalde cliënten om hun voorkeuren te uiten, dit nodig maken; ook de procedures die moeten worden ingezet om dit te realiseren?

l)

– de verplichtingen van de desbetreffende gezondheids­organisaties en van cliënten indien zorg wordt verleend op basis van ‘gedeelde zorg’ of langdurige ‘uitgebreide zorg’?

m)

– de protocollen en procedures die moeten worden toegepast op het delen van informatie in het kader van onderzoek en klinische studies?

n)

– de regelingen voor, en bevoegdheidsgrenzen van, tijdelijk personeel, zoals vervangers, studenten en oproepkrachten?

o)

– de regelingen voor, en beperkingen die gesteld worden aan, de toegang tot persoonlijke gezondheids­informatie door vrijwilligers en ondersteunend personeel zoals geestelijken of het personeel van charitatieve instellingen?

p)

– de implicaties van beveiligingsmaatregelen voor de veiligheid van cliënten?

q)

– de implicaties van informatiebeveiligings­maat­regelen voor de prestaties van gezondheidsinformatie­systemen?

5.1.2

Beoordeling van het informatiebeveiligingsbeleid

1

Is er een voortdurende, gefaseerde beoordeling waarbij het volledige beleid jaarlijks wordt beoordeeld?

2

Wordt het beleid beoordeeld als er zich een ernstig beveiligingsincident heeft voorgedaan?

Gaat de beoordeling in op:

a)

– de veranderende aard van de activiteiten van de gezondheidsorganisatie en de gelijktijdige veranderingen voor het risicoprofiel en de risicomanagementbehoeften?

b)

– de veranderingen die worden gedaan aan de IT-infrastruc­tuur van de organisatie en de gelijktijdige veranderingen die deze met zich meebrengen voor het risicoprofiel van de organisatie?

c)

– de in de externe omgeving geïdentificeerde veranderingen die op vergelijkbare wijze van invloed zijn op het risicoprofiel van de organisatie?

d)

– de jongste beheersmaat­regelen, nalevings- en zekerheidseisen en -regelingen die door de gezondheids­instanties van een rechtsgebied of door nieuwe wet- of regelgeving verplicht worden gesteld?

e)

– de jongste richtlijnen en aanbevelingen van organisaties van zorgverleners en van de leden van informatieprivacy­commissies met betrekking tot de bescherming van persoonlijke gezondheids­informatie?

f)

– de resultaten van juridische casussen die bij de rechter zijn getoetst, waardoor preceden­ten zijn geschapen of ontkracht of praktijken zijn vastgesteld?

g)

– de uitdagingen en belangrijke punten met betrekking tot het beleid, zoals aan de organisatie geuit door haar personeel, cliënten en hun partners en zorgverleners, onderzoekers en overheden (bijv. leden van privacycommissies)?

h)

– rapporten over incidenten die de veiligheid van cliënten betroffen, om deze incidenten tegen te gaan in die gevallen waar het veiligheidsincident het gevolg is van het falen van informatiebeveiligings­maatregelen?

6.1

Interne organisatie

6.1.1

Rollen en verantwoordelijkheden bij informatiebeveiliging

1

Gaat voor de organisatie op dat zij:

a)

– duidelijk informatiebeveiligings­verantwoordelijkheden definieert en toewijst?

b)

– over een informatiebeveiligings­managementforum (ISMF) beschikt om te garanderen dat er duidelijke richting en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheids­informatie, zoals beschreven in B.3 en B.4? Waarbij het volgende geldt:

b1)

– is er minimaal één individu verantwoordelijk voor beveiliging van gezondheids­informatie binnen de organisatie?

b2)

– Is er een gezondheids­informatie­beveiligingsforum dat regelmatig, maandelijks of bijna maandelijks, vergadert?

b3)

– Is er een formele uiteenzetting van het toepassingsgebied opgesteld waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen?

b4)

– Is er een informatiebeveiligings­functionaris die onder andere verslag uitbrengt aan het ISMF en hieraan secretariële diensten verleent?

b5)

– Is de functionaris verantwoordelijk voor het verzamelen, rapporteren over en becommentariëren van de rapporten die worden ontvangen door de leden van het forum?

b6)

– Wordt de uiteenzetting van het toepassingsgebied breed bekendgemaakt en beoordeeld binnen de organisatie om te garanderen dat deze wordt overgenomen door de groepen binnen de organisatie die zich bezighouden met informatie-, klinische en corporate governance?

6.1.2

Scheiding van taken

1

Scheidt de organisatie, indien dit haalbaar is, plichten en verantwoordelijkheids­gebieden om de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheids­informatie?

6.1.3

Contact met overheidsinstanties

Geen aanvullende zorgspecifieke richtlijn

6.1.4

Contact met speciale belangengroepen

Geen aanvullende zorgspecifieke richtlijn

6.1.5

Informatiebeveiliging in projectbeheer

1

Wordt de veiligheid van cliënten als projectrisico beschouwd in projecten die gepaard gaan met het verwerken van persoonlijke gezondheidsinformatie?

6.2

Mobiele apparatuur en telewerken

6.2.1

Beleid voor mobiele apparatuur

1

Gaat voor de organisatie op dat zij:

a)

– specifiek de risico's beoordeelt die gepaard gaan met het gebruik van mobiele apparaten in de zorg?

b)

– een beleid heeft inzake de voorzorgsmaatregelen die moeten worden getroffen bij het gebruik van mobiele computerapparatuur, waaronder richtlijnen en beperkingen voor het gebruik van persoonlijke apparaten binnen de organisatie, samen met beheersmaatregelen om aan de toepasselijke wettelijke privacy-eisen te voldoen?

c)

– van haar mobiele gebruikers eist dat zij dit beleid volgen?

6.2.2

Telewerken

1

Gaat voor de organisatie op dat zij:

a)

– beleid opstelt inzake de voorzorgsmaatregelen die moeten worden getroffen tijdens het telewerken?

b)

– erop toeziet dat telewerkende gebruikers van gezondheidsinformatie­systemen zich aan dit beleid houden?

7.1

Voorafgaand aan het dienstverband

7.1.1

Screening

1

Verifieert de organisatie waarvan personeel, contractanten of vrijwilligers persoonlijke gezondheids­informatie verwerken (of geacht worden deze te verwerken), op het moment van de sollicitatie van elke sollicitant diens:

a)

– identiteit?

b)

– huidige adres?

c)

– vorige werkkring?

d)

– toepasselijke kwalificaties voor zorgverleners indien het een geaccrediteerd beroep betreft (bijv. artsen, verpleegkundigen enz.)?

2

Als een persoon wordt ingehuurd voor een specifieke beveiligingsfunctie, vergewist de organisatie zich er dan van dat de kandidaat:

a)

– over de nodige competentie beschikt om de beveiligingsfunctie te vervullen?

b)

– de functie toevertrouwd kan worden, in het bijzonder als de functie cruciaal is voor de organisatie?

7.1.2

Arbeidsvoorwaarden

1

Gaat voor de organisatie waarvan de personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, op dat zij:

a)

– de desbetreffende betrokkenheid in relevante functieomschrijvingen vastlegt?

b)

– relevante functieomschrijvingen vastlegt voor beveiligingsrollen en verantwoordelijkheden zoals vastgelegd in het informatie­beveiligingsbeleid van de organisatie?

c)

– speciale aandacht besteedt aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband zoals vervangers, studenten, stagiairs enz.?

2

Gaat voor de organisatie op dat zij:

a)

– garandeert dat werknemers of contractanten de plicht hebben schendingen van de beveiliging van gezondheids­informatie of de privacy van cliënten te melden?

b)

– waar mogelijk controles op het al dan niet bestaan van een strafblad uitvoert indien die niet al worden uitgevoerd in het kader van de accreditatie van zorgverleners?

7.2

Tijdens het dienstverband

7.2.1

Directieverantwoordelijkheden

Geen specifieke vraag (maar zie de richtlijn in 7.2.1)

7.2.2

Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

1

Gaat voor de organisatie op dat zij:

a)

– garandeert dat onderwijs en training over informatie­beveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en -procedures van de organisatie worden verstrekt aan alle werknemers en, indien relevant, derde-contractanten, onderzoekers, studenten en vrijwilligers die persoonlijke gezondheidsinformatie verwerken?

– werknemers van de organisatie en, waar relevant, derde-contractanten wijst op disciplinaire processen en gevolgen met betrekking tot schendingen van informatiebeveiliging?

7.2.3

Disciplinaire procedure

1

Gaat voor de zorginstelling op dat zij:

a)

– procedures volgt die in beleid worden weerspiegeld en derhalve bekend zijn aan de persoon of personen waarop het disciplinaire proces van toepassing is?

b)

– in aanvulling op het voldoen aan de wetgeving die van toepassing is, voldoet aan de afspraken die zijn gemaakt tussen zorgverleners en de organisaties van zorgverleners?

7.3

Beëindiging en wijziging van dienstverband

7.3.1

Beëindiging of wijziging van verantwoordelijkheden van het dienstverband

1

Is er een proces dat garandeert dat eerdere rechten die niet langer vereist zijn voor personeelsleden nadat hun rol verandert, op dezelfde manier worden beëindigd als het geval is bij personen waarvan het dienstverband bij de organisatie eindigt?

8.1

Verantwoordelijkheid voor bedrijfsmiddelen

8.1.1

Inventariseren van bedrijfsmiddelen

1

Gaat voor de organisatie die persoonlijke gezondheids­informatie verwerkt, op dat deze, naast het opvolgen van de richtlijnen van ISO/IEC 27002:

a)

– verantwoording aflegt over informatiebedrijfsmiddelen (d.w.z. een inventaris bijhoudt van dergelijke bedrijfs­middelen)?

b)

– een eigenaar heeft aangewezen voor deze informatiebedrijfsmiddelen?

c)

– regels heeft voor het aanvaardbare gebruik van deze bedrijfsmiddelen die geïdentificeerd, gedocumenteerd en geïmplementeerd worden?

2

Heeft de organisatie regels voor het actueel houden van informatiebedrijfsmiddelen (bijv. het actueel zijn van een medicijnendatabase) en het handhaven van de integriteit van deze bedrijfsmiddelen (bijv. de functionele integriteit van medische apparaten die worden gebruikt om gegevens te registreren of rapporteren)?

3

Worden medische apparaten die worden gebruikt om gegevens te registreren of rapporteren op unieke wijze geïdentificeerd?

4

Wordt er bij dergelijke unieke identificatie van medische apparaten ook rekening mee gehouden dat die apparaten speciale overwegingen betreffende beveiliging kunnen vereisen met betrekking tot de omgeving waarin ze gebruikt worden?

5

Wordt er bij dergelijke unieke identificatie van medische apparaten ook rekening gehouden met de elektromagnetische emissies die zich tijdens het gebruik ervan voordoen?

8.1.2

Eigendom van bedrijfsmiddelen

Geen aanvullende zorgspecifieke richtlijn

8.1.3

Aanvaardbaar gebruik van bedrijfsmiddelen

Geen aanvullende zorgspecifieke richtlijn

8.1.4

Teruggeven van bedrijfsmiddelen

1

Garandeert de organisatie dat alle werknemers en contractanten, na beëindiging van hun dienstverband, alle persoonlijke gezondheids­informatie in niet-elektronische vorm die zij in hun bezit hebben, teruggeven en erop toezien dat alle persoonlijke gezondheids­informatie in elektronische vorm die zij in hun bezit hebben, op relevante systemen wordt bijgewerkt en vervolgens op beveiligde wijze wordt gewist van alle apparaten waarop deze aanwezig was?

8.2

Informatieclassificatie

8.2.1

Classificatie van informatie

1

Classificeert de organisatie, naast het opvolgen van de richtlijnen van ISO/IEC 27002, persoonlijke gezondheids­informatie op uniforme wijze als vertrouwelijk?

2

Wordt op persoonlijke gezondheidsinformatie te allen tijde de juiste, zorgvuldige bescherming toegepast?

3

Wordt de kritikaliteit geïdentificeerd door middel van een risicobeoordeling met betrekking tot:

a)

– traditionele classificatie van gegevens op basis van hoe gevoelig ze zijn voor openbaarmaking?

b)

– de mate waarin de beschikbaarheid en integriteit van de informatie essentieel zijn voor de voortdurende verlening van zorg?

c)

– processen, IT-apparaten, software, locaties en medewerkers?

8.2.2

Informatie labelen

1

Informeren alle gezondheids­informatie­systemen die persoonlijke gezondheids­informatie verwerken, gebruikers over de vertrouwelijkheid van persoonlijke gezondheids­informatie die toegankelijk is vanaf het systeem (bijv. bij het opstarten of inloggen)?

2

Wordt papieren output die persoonlijke gezondheids­informatie bevat, als vertrouwelijk gelabeld?

3

Kunnen gebruikers van de gezondheidsinformatie­systemen herkennen wanneer zij toegang maken tot persoonlijke gezondheids­informatie?

8.2.3

Behandelen van bedrijfsmiddelen

Geen aanvullende zorgspecifieke richtlijn

8.3

Behandelen van media

8.3.1

Beheer van verwijderbare media

1

Garandeert de organisatie dat:

a)

– media die persoonlijke gezondheidsinformatie bevatten, fysiek worden beschermd of anders de gegevens ervan versleuteld worden?

b)

– de status en locatie van media die niet-versleutelde persoonlijke gezondheids­informatie bevatten, gemonitord worden?

c)

– media die persoonlijke gezondheidsinformatie bevatten, versleuteld zijn tijdens de overdracht van de desbetreffende media?

d)

– worden media die persoonlijke gezondheids­informatie bevatten, tegen diefstal beschermd tijdens de overdracht van de desbetreffende media?

8.3.2

Verwijderen van media

1

Garandeert de organisatie dat:

a)

– alle persoonlijke gezondheids­informatie veilig wordt gewist of anders dat de media worden vernietigd als ze niet meer gebruikt hoeven te worden?

a1)

– gegevens voorafgaand aan herstel of verwijdering op beveiligde wijze worden verwijderd?

a2)

– gegevens ook op beveiligde wijze worden verwijderd van medische apparaten die worden gebruikt voor het registreren of rapporteren van gegevens?

8.3.3

Media fysiek overdragen

Geen aanvullende zorgspecifieke richtlijn

9.1

Bedrijfseisen voor toegangsbeveiliging

9.1.1

Beleid voor toegangsbeveiliging

1

Controleert de organisatie de toegang tot persoonlijke gezondheidsinformatie?

2

Beperken de gebruikers van gezondheidsinformatie­systemen in het algemeen hun toegang tot persoonlijke gezondheidsinformatie tot situaties:

a)

– waarin er een zorgrelatie bestaat tussen de gebruiker en de persoon die de gegevens betreffen (de cliënt tot wiens persoonlijke gezondheids­informatie er toegang wordt gemaakt)?

b)

– waarin de gebruiker een activiteit uitvoert namens de persoon waarop de gegevens betrekking hebben?

c)

– waarin er specifieke gegevens nodig zijn om de activiteit in kwestie te ondersteunen?

3

Heeft de organisatie een toegangscontrolebeleid dat ziet op de toegang tot persoonlijke gezondheidsinformatie?

4

Wordt het beleid van de organisatie met betrekking tot toegangscontrole vastgesteld op basis van vooraf gedefinieerde rollen met bijbehorende bevoegdheden die passen bij, maar beperkt zijn tot, de behoeften van die rol?

5

Is het zo dat het toegangscontrolebeleid, als bestanddeel van het kader voor informatiebeveiligingsbeleid dat wordt beschreven in 5.1.1:

a)

– professionele, ethische, juridische en cliëntgerelateerde eisen weerspiegelt?

b)

– de taken die worden uitgevoerd door zorgverleners en de workflow van de taak in aanmerking neemt?

6

Identificeert en documenteert de organisatie alle partijen waarmee cliëntgegevens worden uitgewisseld?

a)

Worden er contractuele afspraken met deze partijen gemaakt waarin toegang en rechten worden geregeld, alvorens cliëntgegevens uit te wisselen?

7

Zijn de autorisaties in beleid en processen duidelijk genoeg om te voldoen aan de eisen voor het omzeilen van ‘normale’ toegangscontroleregels in noodsituaties?

8

Worden er gefedereerde identiteits- en toegangs­management­oplossingen geïmplementeerd?

9.1.2

Toegang tot netwerken en netwerkdiensten

Geen aanvullende zorgspecifieke richtlijn

9.2

Beheer van toegangsrechten van gebruikers

9.2.1

Registratie en afmelden van gebruikers

1

Is er een formeel gebruikersregistratieproces voor gebruikers die toegang maken met systemen die persoonlijke gezondheids­informatie verwerken?

2

Garanderen de procedures voor het registreren van gebruikers dat het vereiste niveau van authenticatie van de geclaimde identiteit van gebruikers overeenkomt met het (de) toegangsniveau(s) waarover de gebruiker zal gaan beschikken?

3

Worden gebruikersregistratie­gegevens regelmatig beoordeeld om te garanderen dat ze volledig en juist zijn en dat toegang nog altijd vereist is?

4

Omvat de taak van het identificeren en registreren van gebruikers van gezondheids­informatie­systemen alle volgende punten:

a)

– het nauwkeurig vastleggen van de identiteit van een gebruiker (bijv. Joan Smith, geboren op 26 maart 1982, momenteel woonachtig op een specifiek adres);

b)

– het nauwkeurig vastleggen, na verificatie, van de blijvende beroepsgegevens van een gebruiker (bijv. Dr. Joan Smith, cardioloog) en/of functie­benaming (bijv. Susan Jones, medisch receptioniste)?

c)

– het toewijzen van een ondubbelzinnige gebruikers­identificatiecode?

9.2.2

Gebruikers toegang verlenen

1

Wordt in de procedures voor het verlenen van toegang aan gebruikers duidelijk vastgesteld of gebruikers al dan niet toegang krijgen tot persoonlijke gezondheids­informatie?

9.2.3

Beheren van speciale toegangsrechten

1

Ondersteunen gezondheids­informatie­systemen die persoonlijke gezondheids­informatie bevatten, op rollen gebaseerde toegangscontrole waarmee elke gebruiker aan een of meer rollen en elke rol aan een of meer systeem­functies kan worden toegewezen?

2

Maakt een gebruiker van een gezondheidsinformatiesysteem dat persoonlijke gezondheids­informatie bevat, in één rol toegang met de diensten ervan?

3

Geven gebruikers die met meer dan een rol geregistreerd zijn tijdens elke sessie waarin ze toegang hebben tot het gezondheidsinformatie­systeem, één rol aan?

4

Koppelen gezondheids­informatie­systemen gebruikers (waaronder begrepen zorgverleners, ondersteunend personeel en anderen) aan de registraties van cliënten en maken ze toekomstige toegang op basis van deze koppeling mogelijk?

9.2.4

Beheer van geheime authenticatie-informatie van gebruikers

Geen aanvullende zorgspecifieke richtlijn

9.2.5

Beoordeling van toegangsrechten van gebruikers

1

Wordt er speciaal rekening gehouden met gebruikers van wie in redelijkheid zal worden verwacht dat ze noodzorg verlenen waarbij het nodig kan zijn dat zij toegang tot persoonlijke gezondheids­informatie hebben in een noodsituatie waarin een cliënt wellicht niet in staat is aan te geven daarmee in te stemmen?

9.2.6

Toegangsrechten intrekken of aanpassen

1

Beëindigt de organisatie zo snel mogelijk de toegangs­rechten van gebruikers tot dergelijke informatie voor elke vertrekkende afdelings- of tijdelijke medewerker, derde-contractant of vrijwilliger na beëindiging van het dienstverband of de werkzaamheden als contractant of vrijwilliger?

2

Wordt er bij het tijdig beëindigen van toegangs­rechten voor korte tijd na een stage, vervanging, enz. rekening mee gehouden dat veel transacties geruime tijd na het moment van zorgverlening plaatsvinden (bijv. het aftekenen van medische transcripties)?

3

Denkt de organisatie serieus na over het onmiddellijk beëindigen van toegangs­rechten na ontvangst of verzending van een ontslag­brief of een kennis­geving van ontslag enz. als men dan van mening is dat het voortzetten van die toegang een verhoogd risico met zich meebrengt?

9.3

Verantwoordelijkheden van gebruikers

9.3.1

Geheime authenticatie-informatie gebruiken

1

Respecteert de organisatie bij het bepalen van de verantwoordelijkheden van gebruikers de rechten en ethische verantwoordelijk­heden van zorgverleners, zoals wettelijk overeengekomen en door leden van organisaties van zorgverleners aanvaard?

9.4

Toegangsbeveiliging van systeem en toepassing

9.4.1

Beperking toegang tot informatie

1

Stellen gezondheidsinformatie­systemen die persoonlijke gezondheidsinformatie verwerken, de identiteit van gebruikers vast door middel van authenticatie waarbij ten minste twee factoren betrokken worden?

2

Wordt er speciale aandacht besteed aan de technische maatregelen waardoor de identiteit van een cliënt op beveiligde wijze wordt vastgesteld als hij of zij toegang maakt tot (een deel van) zijn/haar eigen informatie (in die gezondheidsinformatie­systemen die zulke toegang toestaan)?

3

Wordt er ook een soortgelijke nadruk gelegd op het gebruiksgemak van dergelijke maatregelen, met name voor gehandicapte cliënten en op voorzieningen voor toegang door vervangende besluitvormers?

9.4.2

Beveiligde inlogprocedures

Geen aanvullende zorgspecifieke richtlijn

9.4.3

Systeem voor wachtwoordbeheer

Geen aanvullende zorgspecifieke richtlijn

9.4.4

Speciale systeemhulpmiddelen gebruiken

Geen aanvullende zorgspecifieke richtlijn

9.4.5

Toegangsbeveiliging op programmabroncode

Geen aanvullende zorgspecifieke richtlijn

10.1

Cryptografische beheersmaatregelen

10.1.1

Beleid inzake het gebruik van cryptografische beheersmaatregelen

Geen aanvullende zorgspecifieke richtlijn

10.1.2

Sleutelbeheer

Geen aanvullende zorgspecifieke richtlijn

11.1

Beveiligde gebieden

11.1.1

Fysieke beveiligingszone

1

Maakt de organisatie gebruik van beveiligingszones om gebieden te beschermen die faciliteiten bevatten waar gezondheidsinformatie wordt verwerkt?

2

Worden deze beveiligde gebieden beschermd door passende beheersmaatregelen voor de fysieke toegang om ervoor te zorgen dat alleen bevoegd personeel toegang krijgt?

3

Worden fysieke beveiligingsmaatregelen voor informatie afgestemd op fysieke beveiligings- en veiligheids­maatregelen voor cliënten?

4

Houden de fysieke beveiligingsmaatregelen voor informatie die worden afgestemd op fysieke beveiligings- en veiligheids­maatregelen er rekening mee dat cliënten in de zorg vaak niet in staat zijn om fysiek in hun eigen persoonlijke veiligheid en beveiliging te voorzien?

11.1.2

Fysieke toegangsbeveiliging

1

Treft de organisatie zinnige maatregelen om te garanderen dat het publiek slechts zo dicht bij IT-uitrusting (servers, opslagapparaten, terminals en displays) kan komen als de fysieke beperkingen en klinische processen vereisen?

11.1.3

Kantoren, ruimten en faciliteiten beveiligen

Geen aanvullende zorgspecifieke richtlijn

11.1.4

Beschermen tegen bedreigingen van buitenaf

1

[Hetzelfde is van toepassing als hierboven voor 11.1.2.]

11.1.5

Werken in beveiligde gebieden

Geen aanvullende zorgspecifieke richtlijn

11.1.6

Laad- en loslocatie

1

Krijgen de fysieke gebieden binnen de zorg waar gezondheidsinformatie wordt vergaard via gesprekken en waar systemen aanwezig zijn waar gegevens op het scherm worden bekeken, extra toezicht gezien de specifieke omstandigheden die gepaard gaan met het verlenen van zorg aan het publiek?

2

Overweegt de organisatie te voorzien in geheugensteuntjes dat men het bespreken van cliënten in openbare zones zo veel mogelijk moet beperken?

11.2

Apparatuur

11.2.1

Plaatsing en bescherming van apparatuur

1

Plaatst de organisatie werkstations die toegang bieden tot persoonlijke gezondheidsinformatie zodat niet-beoogde inzage of toegang door cliënten en het publiek wordt voorkomen?

2

Garandeert de organisatie dat de richtlijnen voor plaatsing en bescherming van IT-uitrusting de blootstelling aan elektromagnetische emissies, die zich tijdens het gebruik ervan kunnen voordoen, minimaliseren? [Dit is met name van toepassing op ziekenhuisorganisaties]

11.2.2

Nutsvoorzieningen

Geen aanvullende zorgspecifieke richtlijn

11.2.3

Beveiliging van bekabeling

1

Geeft de organisatie serieus aandacht aan het afschermen van netwerk- en andere bekabeling in gebieden met hoge emissies uit medische apparaten?

11.2.4

Onderhoud van apparatuur

Geeft de organisatie serieus aandacht aan het afschermen van uitrusting in gebieden met hoge emissies uit medische apparaten?

11.2.5

Verwijdering van bedrijfsmiddelen

Staat de organisatie, als die uitrusting, gegevens of software voor het ondersteunen van een gezondheidszorgtoepassing met persoonlijke gezondheids­informatie levert of gebruikt, niet toe dat die uitrusting, gegevens of software van de locatie wordt of worden verwijderd of er binnen wordt of worden verplaatst zonder dat de organisatie hiervoor haar goedkeuring heeft gegeven?

11.2.6

Beveiliging van apparatuur en bedrijfsmiddelen buiten het terrein

1

Garandeert de organisatie dat het eventuele gebruik buiten haar gebouw van medische apparaten die worden gebruikt om gegevens te registreren of te rapporteren geautoriseerd is?

2

Omvatten de apparaten waarnaar in punt 1 wordt verwezen, uitrusting die door werknemers op afstand wordt gebruikt, zelfs indien dit gebruik permanent is (d.w.z. waar het een kernaspect is van de rol van de werknemer, zoals het geval is bij ambulance­personeel, therapeuten enz.)?

11.2.7

Veilig verwijderen of hergebruiken van apparatuur

1

Worden door de organisatie alle media met toepassings­software voor gezondheids­informatie of persoonlijke gezondheidsinformatie veilig gewist of vernietigd als ze niet meer gebruikt hoeven te worden?

11.2.8

Onbeheerde gebruikersapparatuur

1

Geen aanvullende richtlijnen voor informatiebeveiligings­beheer in de zorg [maar zie ook 9.3 Verantwoordelijk­heden van gebruikers]

11.2.9

‘Clear desk’- en ‘clear screen’-beleid

1

Respecteert de organisatie bij het bepalen van de verantwoordelijkheden van gebruikers de rechten en ethische verantwoordelijk­heden van zorgverleners, zoals wettelijk overeengekomen en aanvaard door leden van organisaties van zorgverleners?

12.1

Bedieningsprocedures en verantwoordelijkheden

12.1.1

Gedocumenteerde bedieningsprocedures

Geen aanvullende zorgspecifieke richtlijn

12.1.2

Wijzigingsbeheer

1

Beheerst de organisatie veranderingen aan informatie­verwerkings­faciliteiten en systemen die persoonlijke gezondheids­informatie verwerken, om de gepaste beheersing van host­toepassingen en -systemen en de continuïteit van de cliëntenzorg te garanderen?

2

Worden in het kader van het veranderproces, vanwege de mogelijk desastreuze gevolgen voor de zorg voor en veiligheid van cliënten van ongepaste, niet afdoende beproefde of onjuiste veranderingen, de risico's van de verandering uitdrukkelijk geregistreerd en beoordeeld?

12.1.3

Capaciteitsbeheer

Geen zorgspecifieke aanvullende richtlijn

12.1.4

Scheiding van ontwikkel-, test- en productieomgevingen

1

Scheidt de organisatie ontwikkel- en testomgevingen voor gezondheidsinformatie­systemen die persoonlijke gezondheidsinformatie verwerken (fysiek of virtueel), van operationele omgevingen waar die gezondheids­informatie­systemen gehost worden?

2

Definieert en documenteert de organisatie die de betreffende toepassing(en) host, regels voor het migreren van software van de ontwikkel- naar een operationele status?

12.2

Bescherming tegen malware

12.2.1

Beheersmaatregelen tegen malware

1

Implementeert de organisatie gepaste preventie-, detectie- en responsbeheersmaatregelen om bescherming te bieden tegen kwaadaardige software?

2

Implementeert de organisatie passende bewustzijnstraining voor gebruikers om bescherming te bieden tegen kwaadaardige software?

12.3

Back-up

12.3.1

Back-up van informatie

1

Maakt de organisatie back-ups van alle persoonlijke gezondheidsinformatie en slaat zij die op in een fysieke beveiligde omgeving om te garanderen dat de informatie in de toekomst beschikbaar is?

2

Maakt de organisatie, om de vertrouwelijkheid te beschermen, versleutelde back-ups van persoonlijke gezondheidsinformatie?

12.4

Verslaglegging en monitoren

12.4.1

Gebeurtenissen registreren

1

Maakt het gezondheids­informatie­systeem dat persoonlijke gezondheids­informatie verwerkt, een beveiligd auditverslag aan telkens als een gebruiker via het systeem toegang maakt met persoonlijke gezondheids­informatie, deze aanmaakt, bijwerkt of archiveert?

2

Identificeert het auditverslag op unieke wijze de gebruiker en de persoon waarop de gegevens betrekking hebben (d.w.z. de cliënt), de functie die wordt uitgevoerd door de gebruiker (het aanmaken van, toegang maken tot, bijwerken van registraties enz.) en het tijdstip en vermeldt het de datum waarop de functie werd uitgevoerd?

3

Wordt er, als persoonlijke gezondheidsinformatie wordt bijgewerkt, een registratie bewaard van de voormalige gegevensinhoud en de bijbehorende auditregistratie (d.w.z. wie de gegevens op welke datum heeft ingevoerd)?

4

Als er berichtensystemen worden gebruikt voor het verzenden van berichten die persoonlijke gezondheids­informatie bevatten:

a)

– is er een registratie van het verzenden van die berichten?

b)

– bevat die registratie het tijdstip, de datum, de herkomst en bestemming van het bericht, maar niet de inhoud ervan?

5

Is er een zorgvuldig beoordeelde en vastgestelde bewaarperiode voor deze auditverslagen, waarbij met name is gekeken naar klinische beroepsnormen en wettelijke verplichtingen, om het mogelijk te maken dat er onderzoeken worden uitgevoerd en er bewijs van misbruik kan worden geleverd als dit nodig is?

6

Is de faciliteit voor auditverslagen van het gezondheidsinformatiesysteem te allen tijde operationeel terwijl het gezondheids­informatie­systeem dat gecontroleerd wordt, beschikbaar is voor gebruik?