Doelstelling: Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij in aanmerking komen.
Beheersmaatregel
Verificatie van de achtergrond van alle kandidaten voor een dienstverband behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico’s.
Zorgspecifieke beheersmaatregel
Organisaties behoren minimaal de identiteit, het huidige adres en de vorige werkkring van personeel en contractanten en vrijwilligers op het moment van de sollicitatie te verifiëren.
Verificatiecontroles van de achtergrond van alle kandidaten voor een dienstverband behoren een verificatie te omvatten van de toepasselijke kwalificaties voor zorgverleners, indien er sprake is van accreditatie voor de beroepsgroep op basis van die kwalificaties (bijv. artsen, verplegend personeel enz.).
Als een persoon wordt ingehuurd voor een specifieke beveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de organisatie.
Implementatierichtlijn
Verificatie behoort rekening te houden met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving, en behoort indien toegelaten, het volgende te omvatten:
a) beschikbaarheid van positieve referenties, bijv. één zakelijke en één persoonlijke;
b) een verificatie (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant;
c) bevestiging van de geclaimde academische en beroepskwalificaties;
d) onafhankelijke verificatie van de identiteit (paspoort of gelijkwaardig document);
e) meer gedetailleerde verificatie, zoals controle op kredietwaardigheid of strafblad.
Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de organisatie.
Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie, bijv. financiële informatie of zeer vertrouwelijke informatie, behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.
Procedures behoren criteria en beperkingen voor controleonderzoeken te definiëren, bijv. wie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd.
Ook voor contractanten behoort voor een screeningprocedure te worden gezorgd. In die gevallen behoort de overeenkomst tussen de organisatie en de contractant de verantwoordelijkheden voor het uitvoeren van de screening te vermelden en de informatieprocedures die moeten worden gevolgd als de screening niet is afgemaakt of als de resultaten aanleiding geven tot twijfel of bezorgdheid.
Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden verzameld en verwerkt in overeenstemming met de relevante wetgeving aanwezig in het relevante rechtsgebied. Afhankelijk van de toepasselijke wetgeving behoren kandidaten vooraf over de screeningactiviteiten te worden geïnformeerd.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
De contractuele overeenkomst met medewerkers en contractanten behoort hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie te vermelden.
Zorgspecifieke beheersmaatregel
Alle organisaties waarvan personeelsleden betrokken zijn bij het verwerken van persoonlijke gezondheidsinformatie, behoren die betrokkenheid in relevante functieomschrijvingen vast te leggen. Beveiligingsrollen en verantwoordelijkheden, zoals vastgelegd in het informatiebeveiligingsbeleid van de organisatie, behoren ook in relevante functieomschrijvingen te worden vastgelegd.
Er behoort speciale aandacht te worden besteed aan de rollen en verantwoordelijkheden van tijdelijk personeel of personeel met een kort dienstverband zoals vervangers, studenten, stagiairs enz.
Implementatierichtlijn
De contractuele verplichtingen voor medewerkers of contractanten behoren de beleidsregels van de organisatie voor informatiebeveiliging weer te geven, en tevens duidelijk te maken en te vermelden:
a) dat alle medewerkers en contractanten aan wie toegang wordt verleend tot vertrouwelijke informatie een vertrouwelijkheids- of geheimhoudingsovereenkomst behoren te ondertekenen voordat hun toegang wordt verleend tot informatieverwerkende faciliteiten (zie 13.2.4);
b) de wettelijke verantwoordelijkheden en rechten van de medewerker of contractant, bijv. betreffende auteursrechtwetgeving of wetgeving inzake gegevensbescherming (zie 18.1.2 en 18.1.4);
c) verantwoordelijkheden voor de classificatie van informatie en het beheer van informatie van de organisatie, andere bedrijfsmiddelen die samenhangen met informatie, informatieverwerkende faciliteiten en informatiediensten die door de medewerker of contractant worden gehanteerd (zie hoofdstuk 8);
d) verantwoordelijkheden van de medewerker of contractant voor het verwerken van informatie die is ontvangen van andere bedrijven of externe partijen;
e) actie die moet worden ondernomen indien de medewerker of contractant de beveiligingseisen van de organisatie veronachtzaamt (zie 7.2.3).
De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan de kandidaten te worden gecommuniceerd.
De organisatie behoort ervoor te zorgen dat medewerkers en contractanten instemmen met voorwaarden betreffende informatiebeveiliging die passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en ‑diensten.
Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsvoorwaarden staan voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 7.3).
Zorgspecifieke implementatierichtlijn
Organisaties die persoonlijke gezondheidsinformatie verwerken behoren erop toe te zien dat werknemers of contractanten de plicht hebben schendingen van de beveiliging van gezondheidsinformatie of de privacy van cliënten te melden.
Het is belangrijk dat men weet hoe en waar men personeel die zorgverleners zijn kan bereiken, hoewel, aangezien bepaald medisch personeel regelmatig verhuist, adresgegevens van beperkte waarde kunnen zijn. Gezondheidsorganisaties behoren daarom aandacht te besteden aan het verzamelen van een redelijk aantal referenties en het uitvoeren van andere vormen van controle, bijv. door beroepsorganisaties en academische instellingen.
Waar mogelijk zouden controles op het al dan niet bestaan van een strafblad moeten worden uitgevoerd. Let wel: het is mogelijk dat deze al worden uitgevoerd in het kader van de accreditatie van zorgverleners. Zie ook 7.1.1.
Overige informatie
Er mag een gedragscode worden gebruikt die de verantwoordelijkheden van de medewerker of contractant op het gebied van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, gegevensbescherming, ethiek, passend gebruik van de uitrusting en faciliteiten van de organisatie, alsmede ten aanzien van door de organisatie verwacht moreel verantwoord handelen. Een externe partij waarmee een contractant is verbonden kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
Overige zorgspecifieke informatie
<geen>
Doelstelling: Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
Beheersmaatregel
De directie behoort van alle medewerkers en contractanten te eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
De directie behoort ervoor te zorgen dat medewerkers en contractanten:
a) op de juiste manier worden geïnstrueerd over hun informatiebeveiligingsrollen en -verantwoordelijkheden voordat zij toegang krijgen tot vertrouwelijke informatie of informatiesystemen;
b) richtlijnen ontvangen die de verwachtingen met betrekking tot hun informatiebeveiligingsrol binnen de organisatie aangeven;
c) gemotiveerd zijn om te voldoen aan de beleidsregels met betrekking tot informatiebeveiliging van de organisatie;
d) een niveau van bewustzijn over informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie (zie 7.2.2);
e) zich conformeren aan de arbeidsvoorwaarden, die het informatiebeveiligingsbeleid en passende werkmethoden omvatten;
f) continu beschikken over de juiste vaardigheden en kwalificaties en regelmatig worden bijgeschoold;
g) via een anoniem kanaal schendingen van de beleidsregels of procedures met betrekking tot informatiebeveiliging kunnen melden (‘klokkenluider’).
De directie behoort te laten zien dat ze de beleidsregels, procedures en beheersmaatregelen met betrekking tot informatiebeveiliging ondersteunt, en als rolmodel te handelen.
Zorgspecifieke implementatierichtlijn
Het is belangrijk om te wijzen op de speciale nadruk die moet worden gelegd op de punten van zorg van cliënten die niet wensen dat hun persoonlijke gezondheidsinformatie kan worden ingezien door gezondheidswerkers die hun buren, collega's of familieleden zijn. Dergelijke punten van zorg maken een hoog percentage uit van de klachten van mensen die bevreesd zijn voor de vertrouwelijkheid van hun persoonlijke gezondheidsinformatie. Ook is het vaak zo dat personeelsleden niet onnodig in de positie willen worden geplaatst waar ze informatie over vrienden, familieleden of buren moeten beoordelen. Doeltreffend management van gezondheidsinformatiesystemen behoort op deze punten van zorg in te gaan.
Overige informatie
Indien medewerkers en contractanten niet bewust zijn gemaakt van hun verantwoordelijkheden met betrekking tot informatiebeveiliging, kunnen zij een organisatie aanzienlijke schade berokkenen. Gemotiveerd personeel is naar verwachting betrouwbaarder en zal waarschijnlijk minder incidenten met betrekking tot informatiebeveiliging veroorzaken.
Door zwak management kan personeel zich ondergewaardeerd voelen, wat resulteert in een negatieve veiligheidsimpact op de organisatie. Zo kan zwak management bijvoorbeeld leiden tot verwaarlozing van informatiebeveiliging of potentieel misbruik van de bedrijfsmiddelen van de organisatie.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren te garanderen dat onderwijs en training over informatiebeveiliging worden gegeven bij de introductie van nieuwe medewerkers en dat er regelmatig updates van beveiligingsbeleid en -procedures van de organisatie worden verstrekt aan alle werknemers en, indien relevant, derde-contractanten, onderzoekers, studenten en vrijwilligers die persoonlijke gezondheidsinformatie verwerken.
Werknemers van de organisatie en, waar relevant, derde-contractanten behoren te worden gewezen op disciplinaire processen en gevolgen met betrekking tot schendingen van informatiebeveiliging.
Implementatierichtlijn
Een bewustzijnsprogramma met betrekking tot informatiebeveiliging behoort erop gericht te zijn om medewerkers en, indien relevant contractanten, bewust te maken van hun verantwoordelijkheden voor informatiebeveiliging en de manieren waarop men zich van deze verantwoordelijkheden kan kwijten.
Een bewustzijnsprogramma met betrekking tot informatiebeveiliging behoort te worden vastgesteld in overeenstemming met de beleidsregels en relevante procedures inzake informatiebeveiliging van de organisatie, rekening houdend met de informatie van de organisatie die moet worden beschermd en de beleidsregels die zijn geïmplementeerd om de informatie te beschermen. Het bewustzijnsprogramma behoort een aantal bewustwordingsactiviteiten te bevatten, zoals campagnes (bijv. een ‘informatiebeveiligingsdag’) en het verspreiden van boekjes of nieuwsbrieven.
Bij de opzet van het bewustzijnsprogramma behoort rekening te worden gehouden met de rollen van de medewerker in de organisatie en, indien relevant, de verwachtingen van de organisatie met betrekking tot de bewustwording van contractanten. De activiteiten in het bewustwordingsprogramma behoren op zo’n manier te worden gespreid en bij voorkeur regelmatig te worden uitgevoerd dat de activiteiten worden herhaald en nieuwe medewerkers en contractanten deze ook meemaken. Het bewustwordingsprogramma behoort ook regelmatig te worden geactualiseerd, zodat het in overeenstemming blijft met de beleidsregels en procedures van de organisatie, en er behoort te worden voortgebouwd op de lessen die zijn geleerd uit informatiebeveiligingsincidenten.
Bewustzijnstraining behoort te worden uitgevoerd zoals vereist door het bewustzijnsprogramma inzake informatiebeveiliging van de organisatie. Bewustzijnstraining kan op verschillende manieren worden gevolgd, bijv. klassikaal, via afstandsonderwijs, via internet, in eigen tempo.
Opleiding en training met betrekking tot informatiebeveiliging behoren ook algemene aspecten te omvatten zoals:
a) het aangeven van de betrokkenheid van de directie bij informatiebeveiliging in de gehele organisatie;
b) de noodzaak om bekend te worden met en te voldoen aan de van toepassing zijnde regels en verplichtingen met betrekking tot informatiebeveiliging zoals gedefinieerd in beleidsregels, normen, wetten, regelgeving, contracten en overeenkomsten;
c) persoonlijke verantwoordelijkheid voor eigen doen en laten, en algemene verantwoordelijkheden ten opzichte van het beveiligen of beschermen van informatie die eigendom is van de organisatie en externe partijen;
d) basisprocedures inzake informatiebeveiliging (zoals het melden van informatiebeveiligingsincidenten) en basisbeheersmaatregelen (zoals wachtwoordbeveiliging, malwarecontroles en opgeruimde bureaus);
e) contactpunten en bronnen voor aanvullende informatie en advies over informatiebeveiligingsaangelegenheden, met inbegrip van aanvullend opleidings- en trainingsmateriaal met betrekking tot informatiebeveiliging.
Opleiding en training voor informatiebeveiliging behoort periodiek plaats te vinden. De basisopleiding en ‑training geldt voor personen die worden overgeplaatst naar nieuwe functies of rollen met substantieel verschillende eisen ten aanzien van informatiebeveiliging, niet alleen voor nieuwe starters, en behoort plaats te vinden voordat de rol actief wordt.
De organisatie behoort het opleidings- en trainingsprogramma te ontwikkelen om de opleiding en training doeltreffend uit te kunnen voeren. Het programma behoort in overeenstemming te zijn met de beleidsregels en relevante procedures inzake informatiebeveiliging van de organisatie, rekening houdend met de informatie van de organisatie die moet worden beschermd en de beleidsmaatregelen die zijn geïmplementeerd om de informatie te beschermen. Het programma behoort verschillende vormen van opleiding en training te bevatten, bijv. lezingen of zelfstudie.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Bij het opstellen van een bewustzijnsprogramma is het belangrijk niet alleen de aandacht te richten op het ‘wat’ en ‘hoe’, maar ook op het ‘waarom’. Het is belangrijk dat medewerkers het doel van informatiebeveiliging en de potentiële impact, positief en negatief, van hun eigen gedrag op de organisatie begrijpen.
Bewustmaking, opleiding en training kunnen onderdeel zijn van, of worden gegeven in samenwerking met andere trainingsactiviteiten, bijvoorbeeld algemene IT- of algemene veiligheidstraining. Bewustmaking, opleiding en trainingsactiviteiten behoren passend en relevant te zijn voor de rollen, verantwoordelijkheden en vaardigheden van de persoon.
Om de kennisoverdracht te testen kan aan het eind van een bewustmakingsprogramma, opleiding en trainingscursus een beoordeling van het inzicht van de medewerker worden uitgevoerd.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
De disciplinaire procedure behoort niet te worden gestart voordat is geverifieerd dat een inbreuk op de informatiebeveiliging heeft plaatsgevonden (zie 16.1.7).
De formele disciplinaire procedure behoort te waarborgen dat medewerkers die worden verdacht van een inbreuk op de informatiebeveiliging correct en eerlijk worden behandeld. De formele disciplinaire procedure behoort te voorzien in een gegradueerd antwoord dat rekening houdt met factoren zoals de aard en ernst van de inbreuk en de impact ervan op de bedrijfsvoering, of dit een eerste of herhaalde overtreding is, of de overtreder al dan niet juist getraind was, relevante wetgeving, zakelijke contracten en, indien vereist, andere factoren.
De disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat medewerkers de beleidsregels en procedures met betrekking tot informatiebeveiliging overtreden en om eventuele andere inbreuken op de informatiebeveiliging te voorkomen. Bij opzettelijke inbreuken kan onmiddellijke actie vereist zijn.
Zorgspecifieke implementatierichtlijn
De disciplinaire processen van gezondheidsorganisaties met betrekking tot schendingen van informatiebeveiliging behoren procedures te volgen die in beleid worden weerspiegeld en daarom bekend zijn bij de persoon of personen waarop het disciplinaire proces van toepassing is. In aanvulling op het voldoen aan de wetgeving die van toepassing is, behoren dergelijke processen te voldoen aan de afspraken die zijn gemaakt tussen zorgverleners en de organisaties van zorgverleners.
Overige informatie
De disciplinaire procedure kan ook een motivatie of een stimulans vormen indien positieve sancties worden gedefinieerd voor een buitengewone inspanning met betrekking tot informatiebeveiliging.
Overige zorgspecifieke informatie
<geen>
Doelstelling: Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.
Beheersmaatregel
Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband, behoren te worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer gebracht.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Tot het communiceren van verantwoordelijkheden na beëindiging van het dienstverband behoren voortdurende eisen en wettelijke verantwoordelijkheden met betrekking tot informatiebeveiliging en, waar van toepassing, verantwoordelijkheden die zijn opgenomen in vertrouwelijkheidsovereenkomsten (zie 13.2.4) en de arbeidsvoorwaarden (zie 7.1.2) die gedurende een gedefinieerde periode na beëindiging van het dienstverband van de medewerker of contractant van kracht blijven.
Verantwoordelijkheden en plichten die van kracht blijven na beëindiging van het dienstverband behoren te worden opgenomen in de arbeidsvoorwaarden van de medewerker of contractant (zie 7.1.2).
Wijzigingen in verantwoordelijkheid of dienstverband behoren te worden gemanaged als het beëindigen van de desbetreffende verantwoordelijkheid of het desbetreffende dienstverband behoort te worden gecombineerd met het initiëren van de nieuwe verantwoordelijkheid of het nieuwe dienstverband.
Zorgspecifieke implementatierichtlijn
Het is belangrijk om op te merken dat het in de zorg gebruikelijk is dat allerlei verschillende types personeel, bijv. artsen en verplegend personeel, trainingsprogramma's en andere ‘afwisselingen’ doorlopen waarbij hun toegangsrechten fundamenteel kunnen veranderen. Om te garanderen dat eerdere rechten worden beëindigd die niet langer vereist zijn voor hun rol, behoren dergelijke veranderingen in de werkkring in eerste instantie op dezelfde manier te worden verwerkt als het geval is bij personen waarvan het dienstverband bij de organisatie eindigt.
Overige informatie
De afdeling personeelszaken is doorgaans verantwoordelijk voor de totale beëindigingsprocedure en werkt samen met de direct leidinggevende van de persoon die vertrekt, om de informatiebeveiligingsaspecten van de relevante procedures af te handelen. Als het gaat om een contractant die is ingehuurd via een externe partij, dan wordt deze beëindigingsprocedure uitgevoerd door de externe partij in overeenstemming met het contract tussen de organisatie en de externe partij.
Het kan noodzakelijk zijn om medewerkers, klanten of contractanten te informeren over wijzigingen in het personeelsbestand en de bedrijfsuitvoering.
Overige zorgspecifieke informatie
<geen>
