NEN 7510-2 Medische informatica - Informatiebeveiliging in de zorg - Deel 2: Beheersmaatregelen 2017

Verberg hoofdstructuurtekst (HLS) Toon HLS Verberg alle toelichting Toon alle toelichting

Doelstelling: Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.


Beheersmaatregel

Bedieningsprocedures behoren te worden gedocumenteerd en beschikbaar te worden gesteld aan alle gebruikers die ze nodig hebben.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Voor bedieningsactiviteiten die samenhangen met informatieverwerkende en communicatiefaciliteiten, zoals de procedures voor het starten en afsluiten van de computer, back-up, onderhoud van apparatuur, behandeling van media, beheer en veiligheid van computerruimte en postverwerking behoren gedocumenteerde procedures te worden opgesteld.

In de bedieningsprocedures behoren de bedieningsvoorschriften te zijn opgenomen, onder andere voor:

a) de installatie en configuratie van systemen;

b) verwerking en behandeling van informatie, zowel geautomatiseerd als handmatig;

c) back-up (zie 12.3);

d) eisen ten aanzien van de planning, met inbegrip van onderlinge verbondenheid met andere systemen, tijdstip waarop de eerste taak begint en tijdstip van afronding van de laatste taak;

e) voorschriften voor de afhandeling van fouten of andere uitzonderlijke omstandigheden die tijdens de uitvoering van de taak kunnen optreden, waaronder beperkingen ten aanzien van het gebruik van systeemhulpmiddelen (zie 9.4.4);

f) ondersteunings- en escalatiecontacten, waaronder externe ondersteuningscontacten in geval van onverwachte bedienings- of technische moeilijkheden;

g) voorschriften voor de behandeling van speciale uitvoer en media, zoals het gebruik van speciale kantoorbenodigdheden of het beheer van vertrouwelijke uitvoer, waaronder procedures voor veilig verwijderen van uitvoer van mislukte taken (zie 8.3 en 11.2.7);

h) procedures voor het opnieuw opstarten en herstellen van het systeem in geval van systeemstoringen;

i) het beheren van audit- en systeemlogbestandinformatie (zie 12.4);

j) procedures voor het monitoren van activiteiten.

Bedieningsprocedures en de gedocumenteerde procedures voor systeemactiviteiten behoren te worden behandeld als formele documenten en wijzigingen behoren door de directie te worden goedgekeurd. Indien technisch haalbaar behoren informatiesystemen consistent te worden beheerd, met gebruikmaking van dezelfde procedures, instrumenten en hulpmiddelen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Veranderingen in de organisatie, bedrijfsprocessen, informatieverwerkende faciliteiten en systemen die van invloed zijn op de informatiebeveiliging, behoren te worden beheerst.

Zorgspecifieke beheersmaatregel

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren de veranderingen aan informatieverwerkingsfaciliteiten en systemen die persoonlijke gezondheidsinformatie verwerken, door middel van een formeel en gestructureerd wijzigingsbeheersproces te beheersen om de gepaste beheersing van hosttoepassingen en -systemen en de continuïteit van de cliëntenzorg te garanderen.

Implementatierichtlijn

In het bijzonder met de volgende aspecten behoort rekening te worden gehouden:

a) identificatie en registratie van significante veranderingen;

b) plannen en testen van veranderingen;

c) de potentiële impact van dergelijke veranderingen beoordelen, waaronder de impact van de informatiebeveiliging;

d) formele goedkeuringsprocedure voor voorgestelde veranderingen;

e) verificatie dat is voldaan aan de eisen van informatiebeveiliging;

f) communicatie van veranderingsdetails aan alle betrokken personen;

g) uitwijkprocedures, waaronder procedures en verantwoordelijkheden voor het afbreken en herstellen van niet-geslaagde veranderingen en onvoorziene gebeurtenissen;

h) voorzien in een noodveranderingsproces om veranderingen die nodig zijn om een incident op te lossen snel en beheerst te implementeren (zie 16.1).

Verantwoordelijkheden en procedures voor beheer behoren formeel te worden vastgelegd om afdoende beheersing van alle veranderingen te waarborgen. Als de veranderingen hebben plaatsgevonden behoort een auditlogbestand te worden bewaard.

Zorgspecifieke implementatierichtlijn

Het is belangrijk om op te merken dat ongepaste, niet afdoende beproefde of onjuiste veranderingen aan het verwerken van persoonlijke gezondheidsinformatie desastreuze gevolgen kunnen hebben voor de zorg voor en veiligheid van cliënten. Het veranderproces behoort de risico's van de verandering expliciet te registreren en te beoordelen.

Overige informatie

Onvoldoende beheersing van veranderingen aan informatieverwerkende faciliteiten en systemen is een algemene oorzaak van systeem- of beveiligingsfouten. Veranderingen aan de productieomgeving, in het bijzonder als een systeem wordt gemuteerd van de ontwikkelings- naar de uitvoeringsfase, kunnen van invloed zijn op de betrouwbaarheid van toepassingen (zie 14.2.2).

Overige zorgspecifieke informatie

ISO/TS 14441 bevat gedetailleerde richtlijnen voor het testen van de conformiteit van EHR-systemen, waaronder het gebruik van testgegevens.


Beheersmaatregel

Het gebruik van middelen behoort te worden gemonitord en afgestemd, en er behoren verwachtingen te worden opgesteld voor toekomstige capaciteitseisen om de vereiste systeemprestaties te waarborgen.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Capaciteitseisen behoren te worden gedefinieerd, rekening houdend met de bedrijfskritikaliteit van het betrokken systeem. Het systeem behoort te worden afgestemd en gemonitord om de beschikbaarheid en doelmatigheid van systemen te waarborgen en zo nodig te verbeteren. Om problemen vroegtijdig vast te stellen behoren detectiemaatregelen te worden genomen. Prognoses voor toekomstige capaciteitseisen behoren rekening te houden met nieuwe bedrijfs- en systeemeisen en de huidige en verwachte trends in de informatieverwerkende capaciteiten van de organisatie.

Speciale aandacht behoort te worden gegeven aan middelen met een lange levertijd of hoge kosten; beheerders behoren daarom het gebruik van belangrijke systeemmiddelen te monitoren. Ze behoren trends in het gebruik te signaleren, vooral in relatie tot bedrijfstoepassingen of beheerinstrumenten voor informatiesystemen.

Beheerders behoren deze informatie te gebruiken voor het signaleren en vermijden van potentiële knelpunten en afhankelijkheid van belangrijk personeel die een bedreiging kunnen vormen voor de systeembeveiliging en diensten, en behoren passende actie te plannen.

Voldoende capaciteit kan worden verkregen door de capaciteit te verhogen of door de vraag te verlagen. De capaciteitsvraag kan onder meer worden beheerst door:

a) verouderde gegevens te verwijderen (schijfruimte);

b) toepassingen, systemen, databases of omgevingen buiten gebruik te stellen;

c) batchprocessen en -schema’s te optimaliseren;

d) toepassingslogica of databasevragen te optimaliseren;

e) de bandbreedte voor diensten die veel energie verbruiken te weigeren of te beperken als deze niet van overwegend bedrijfsbelang zijn (bijv. videostreaming).

Voor systemen die belangrijk zijn voor de missie behoort voor de capaciteit een gedocumenteerd beheersplan te worden overwogen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Deze beheersmaatregel heeft ook betrekking op de capaciteit van de personele middelen, en op kantoren en faciliteiten.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Ontwikkel-, test- en productieomgevingen behoren te worden gescheiden om het risico van onbevoegde toegang tot of veranderingen aan de productieomgeving te verlagen.

Zorgspecifieke beheersmaatregel

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren ontwikkel- en testomgevingen voor gezondheidsinformatiesystemen die dergelijke informatie verwerken (fysiek of virtueel), te scheiden van operationele omgevingen waar die gezondheidsinformatiesystemen gehost worden. Er behoren regels voor het migreren van software van de ontwikkel- naar een operationele status te worden gedefinieerd en gedocumenteerd door de organisatie die de betreffende toepassing(en) host.

Implementatierichtlijn

Het scheidingsniveau tussen productie-, test- en ontwikkelomgevingen dat nodig is om operationele problemen te voorkomen behoort te worden geïdentificeerd en geïmplementeerd.

Met de volgende aspecten behoort rekening te worden gehouden:

a) voor het muteren van software van de ontwikkel- naar de operationele status behoren regels te worden gedefinieerd en gedocumenteerd;

b) ontwikkelsoftware en operationele software behoren op verschillende systemen of computerprocessors te draaien en in verschillende domeinen of directory’s;

c) veranderingen aan productiesystemen en toepassingen behoren te worden getest in een test- of gefaseerde omgeving voordat ze in productiesystemen worden toegepast;

d) behoudens uitzonderlijke omstandigheden, behoren tests niet in productiesystemen te worden uitgevoerd;

e) compilers, editors en andere ontwikkelinstrumenten of systeemhulpmiddelen behoren, indien ze niet nodig zijn, niet toegankelijk te zijn vanuit productiesystemen;

f) gebruikers behoren voor operationele en testsystemen verschillende gebruikersprofielen te gebruiken, en menu’s behoren passende identificatieboodschappen te tonen om het risico op fouten te verlagen;

g) gevoelige gegevens behoren niet in de omgeving van het testsysteem te worden gekopieerd, tenzij voor het testsysteem equivalente beheersmaatregelen zijn getroffen (zie 14.3).

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Ontwikkel- en testactiviteiten kunnen ernstige problemen veroorzaken, bijv. ongewenste wijziging van bestanden of systeemomgeving, of storingen in het systeem. Het is nodig een bekende en stabiele omgeving te onderhouden voor het uitvoeren van zinvolle tests en om ongepaste toegang van de ontwikkelaar tot de productieomgeving te voorkomen.

Als personeel dat betrokken is bij ontwikkelen en testen, toegang heeft tot het productiesysteem en de bijbehorende informatie kan het ongeautoriseerde en niet-geteste codes invoeren of operationele gegevens veranderen. In bepaalde systemen kan deze mogelijkheid worden misbruikt om fraude te plegen of om niet-geteste of kwaadaardige codes in te voeren, wat ernstige operationele problemen kan veroorzaken.

Medewerkers die worden ingezet voor ontwikkeling en testen, vormen ook een bedreiging voor de vertrouwelijkheid van bedrijfsinformatie. Ontwikkel- en testactiviteiten kunnen onbedoelde veranderingen aan software of informatie veroorzaken als ze dezelfde informatieverwerkende omgeving delen. Het is daarom wenselijk om ontwikkel-, test- en productieomgevingen te scheiden, teneinde het risico van onbedoelde verandering of onbevoegde toegang tot operationele software en bedrijfsgegevens te verlagen (zie 14.3 voor het beschermen van testgegevens).

Overige zorgspecifieke informatie

<geen>


Doelstelling: Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware.


Beheersmaatregel

Ter bescherming tegen malware behoren beheersmaatregelen voor detectie, preventie en herstel te worden geïmplementeerd, in combinatie met een passend bewustzijn van gebruikers.

Zorgspecifieke beheersmaatregel

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren gepaste preventie-, detectie- en responsbeheersmaatregelen te implementeren om bescherming te bieden tegen kwaadaardige software en behoren passende bewustzijnstraining voor gebruikers te implementeren.

Implementatierichtlijn

Bescherming tegen malware behoort te zijn gebaseerd op software die malware opspoort en op herstelsoftware, bewustzijn ten aanzien van informatiebeveiliging en passende beheersmaatregelen met betrekking tot systeemtoegang en wijzigingsbeheer. De volgende richtlijnen behoren in acht te worden genomen:

a) een formeel beleid vaststellen dat het gebruik van ongeautoriseerde software verbiedt (zie 12.6.2 en 14.2);

b) beheersmaatregelen implementeren die het gebruik van ongeautoriseerde software voorkomen of opsporen (bijv. een witte lijst voor toepassingen opstellen);

c) beheersmaatregelen implementeren die het gebruik van bekende of verdachte kwaadaardige websites voorkomen of opsporen (bijv. een zwarte lijst opstellen);

d) een formeel beleid vaststellen ter bescherming tegen risico’s die samenhangen met het verkrijgen van bestanden en software, hetzij van hetzij via externe netwerken of een ander medium, waarbij wordt aangegeven welke beschermende maatregelen behoren te worden genomen.

e) kwetsbaarheden verminderen die kunnen worden geëxploiteerd door malware, bijv. via beheer van technische kwetsbaarheden (zie 12.6);

f) regelmatig beoordelingen uitvoeren van de software en gegevensinhoud van systemen die kritische bedrijfsprocessen ondersteunen; de aanwezigheid van niet-goedgekeurde bestanden of ongeautoriseerde wijzigingen behoort formeel te worden onderzocht;

g) installeren en regelmatig updaten van software die malware opspoort en van herstelsoftware, waarbij computers en media als voorzorgsmaatregel of routinematig worden gescand; de uitgevoerde scan behoort te omvatten:

1) alle bestanden die via netwerken of via elke vorm van opslagmedium zijn ontvangen, vóór gebruik op malware scannen;

2) bijlagen en downloads vóór gebruik op malware scannen; deze scan behoort op verschillende plaatsen te worden uitgevoerd, bijv. op elektronische mailservers, op desktopcomputers en bij de toegang tot het netwerk van de organisatie;

3) internetpagina’s op malware scannen;

h) ter bescherming tegen malware op systemen procedures en verantwoordelijkheden definiëren, het gebruik ervan trainen, aanvallen van malware melden en herstellen;

i) passende bedrijfscontinuïteitsplannen voorbereiden voor het herstel na malwareaanvallen, met inbegrip van de nodige back-up van gegevens en software en herstelprocedures (zie 12.3);

j) procedures implementeren om regelmatig informatie te verzamelen, zoals een abonnement op mailinglijsten of het raadplegen van websites die informatie over nieuwe malware geven;

k) procedures implementeren om informatie in verband met malware te verifiëren en waarborgen dat waarschuwingsberichten nauwkeurig en informatief zijn; beheerders behoren ervoor te zorgen dat gekwalificeerde bronnen, bijv. goed aangeschreven staande kranten, betrouwbare internetpagina’s of leveranciers van antimalwaresoftware, worden geraadpleegd om te differentiëren tussen een hoax en echte malware; alle gebruikers behoren te worden geïnformeerd over het probleem van hoaxen en wat te doen na ontvangst van een hoax;

l) omgevingen isoleren als catastrofale impact dreigt.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Het gebruik in de informatieverwerkende omgeving van twee of meer antimalwaresoftwareproducten van verschillende leveranciers en met een verschillende technologie, kan de doeltreffendheid van malwarebescherming verbeteren.

Er behoort voor te worden gezorgd dat er bescherming is tegen het introduceren van malware tijdens onderhouds- en noodprocedures, die de normale beschermingsmaatregelen tegen malware zou kunnen omzeilen.

Onder bepaalde omstandigheden kan malwarebescherming storingen binnen de uitvoeringsactiviteiten veroorzaken.

Het gebruiken van software om malware op te sporen en van herstelsoftware als enige malwarebeheersmaatregelen is gewoonlijk niet toereikend en behoort meestal te worden gecombineerd met uitvoeringsprocedures die de introductie van malware voorkomen.

Overige zorgspecifieke informatie

<geen>


Doelstelling: Beschermen tegen het verlies van gegevens.


Beheersmaatregel

Regelmatig behoren back-upkopieën van informatie, software en systeemafbeeldingen te worden gemaakt en getest in overeenstemming met een overeengekomen back-upbeleid.

Zorgspecifieke beheersmaatregel

Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren back-ups te maken van alle persoonlijke gezondheidsinformatie en deze in een fysiek beveiligde omgeving op te slaan om te garanderen dat de informatie in de toekomst beschikbaar is.

Om de vertrouwelijkheid ervan te beschermen behoren er versleutelde back-ups te worden gemaakt van persoonlijke gezondheidsinformatie.

Implementatierichtlijn

Om de eisen van de organisatie voor het back-uppen van informatie, software en systemen te definiëren behoort een back-upbeleid te worden vastgesteld.

Het back-upbeleid behoort de eisen voor het bewaren en beschermen te definiëren.

Er behoort te worden voorzien in adequate back-upfaciliteiten om te waarborgen dat alle essentiële informatie en software na een calamiteit of na falen van media kan worden hersteld.

Bij het opstellen van een back-upplan, behoren de volgende punten in overweging te worden genomen:

a) er behoren nauwkeurige en volledige registers van de back-upkopieën en gedocumenteerde herstelprocedures aanwezig te zijn;

b) de omvang (bijv. een volledige back-up of alleen van de wijzigingen) en de frequentie van de back-ups behoren in overeenstemming te zijn met de bedrijfseisen van de organisatie, de beveiligingseisen van de betrokken informatie en de kritikaliteit van de informatie voor de voortzetting van de bedrijfsuitvoering van de organisatie;

c) de back-ups behoren in een afgelegen locatie te worden bewaard, op een voldoende afstand om niet te worden beschadigd door een calamiteit op de hoofdlocatie;

d) aan back-upinformatie behoort een passend niveau van fysieke en omgevingsbescherming te worden gegeven (zie hoofdstuk 11) consistent met de normen die op de hoofdlocatie worden toegepast;

e) back-upmedia behoren regelmatig te worden getest om te waarborgen dat ze betrouwbaar zijn als ze in noodgevallen nodig zijn; dit behoort te worden gecombineerd met een test van de herstelprocedures en van de tijd die voor herstel nodig is. Of de back-upgegevens kunnen worden hersteld, behoort te worden getest op speciaal daarvoor aangewezen testmedia, niet door de originele media te overschrijven omdat het back-up- of herstelproces kan mislukken en onherstelbare schade aan of verlies van gegevens kan veroorzaken;

f) in gevallen waarin vertrouwelijkheid belangrijk is, behoren back-ups te worden beschermd door ze te coderen.

Bedieningsprocedures behoren de uitvoering van back-ups te monitoren en fouten in geplande back-ups aan te pakken om de volledigheid van back-ups in overeenstemming met het back-upbeleid te waarborgen.

Back-upprocedures voor individuele systemen en diensten behoren regelmatig te worden getest om te waarborgen dat ze voldoen aan de eisen van de bedrijfscontinuïteitsplannen. In geval van kritische systemen en diensten behoren back-upprocedures betrekking te hebben op de informatie, toepassingen en gegevens van alle systemen die nodig zijn om het gehele systeem na een calamiteit te herstellen.

Voor belangrijke bedrijfsinformatie behoort de bewaartermijn te worden vastgesteld, rekening houdend met eisen voor archiefkopieën die permanent moeten worden bewaard.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>


Doelstelling: Gebeurtenissen vastleggen en bewijs verzamelen.


Beheersmaatregel

Logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig te worden beoordeeld.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Logbestanden van gebeurtenissen behoren, voor zover relevant, te bevatten:

a) gebruikersidentificaties;

b) systeemactiviteiten;

c) data, tijdstippen en details van belangrijke gebeurtenissen, bijv. in- en uitloggen.

d) identiteit of indien mogelijk de locatie van de apparatuur en de systeemidentificatie;

e) registratie van geslaagde en geweigerde pogingen om toegang te verkrijgen tot het systeem;

f) registratie van goedgekeurde en geweigerde gegevens en overige pogingen om toegang te verkrijgen tot bronnen van informatie.

g) systeemconfiguratieveranderingen;

h) gebruik van speciale bevoegdheden;

i) gebruik van systeemhulpmiddelen en -toepassingen;

j) bestanden die zijn geopend en het type toegang dat is verkregen;

k) netwerkadressen en -protocollen;

l) alarmen die worden afgegeven door het toegangsbeveiligingssysteem;

m)activering en deactivering van beschermingssystemen, zoals antivirussystemen en inbraakdetectiesystemen;

n) verslaglegging van transacties die door gebruikers in toepassingen zijn uitgevoerd.

Logbestanden van gebeurtenissen vormen de basis van geautomatiseerde monitorsystemen die geconsolideerde rapporten en waarschuwingen over systeembeveiliging kunnen verzamelen.

Zorgspecifieke implementatierichtlijn

Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren een beveiligd auditverslag aan te maken telkens als een gebruiker via het systeem toegang maakt met persoonlijke gezondheidsinformatie, deze aanmaakt, bijwerkt of archiveert. Het auditverslag behoort op unieke wijze de gebruiker en de persoon waarop de gegevens betrekking hebben (d.w.z. de cliënt), te identificeren, de functie te identificeren die wordt uitgevoerd door de gebruiker (het aanmaken van, toegang maken tot, bijwerken van registraties enz.) en het tijdstip en de datum te vermelden waarop de functie werd uitgevoerd.

Als er persoonlijke gezondheidsinformatie wordt bijgewerkt, behoort er een registratie van de voormalige gegevensinhoud en de bijbehorende auditregistratie (d.w.z. wie de gegevens op welke datum heeft ingevoerd) te worden bewaard.

Berichtensystemen die worden gebruikt voor het overdragen van berichten die persoonlijke gezondheidsinformatie bevatten, behoren een registratie bij te houden van de overdracht van berichten (die registratie behoort de tijd, datum, herkomst en bestemming van het bericht te bevatten, maar niet de inhoud ervan).

De organisatie behoort zorgvuldig de bewaarperiode voor deze auditverslagen te beoordelen en vast te stellen, waarbij met name moet worden gekeken naar klinische beroepsnormen en wettelijke verplichtingen, om het mogelijk te maken dat er onderzoeken worden uitgevoerd en er bewijs van misbruik kan worden geleverd als dit nodig is.

De faciliteit voor auditverslagen van het gezondheidsinformatiesysteem behoort te allen tijde operationeel te zijn, terwijl het gezondheidsinformatiesysteem dat gecontroleerd wordt, beschikbaar is voor gebruik.

Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie bevatten, behoren te worden uitgerust met faciliteiten voor het analyseren van verslagen en audittrajecten die:

a) het mogelijk maken alle systeemgebruikers te identificeren die gedurende een bepaalde periode het zorgdossier van een bepaalde cliënt hebben ingezien of dit gewijzigd hebben;

b) het mogelijk maken alle cliënten te identificeren waarvan het zorgdossier gedurende een bepaalde periode is ingezien of gewijzigd.

Overige informatie

Logbestanden van gebeurtenissen kunnen gevoelige gegevens en persoonsgegevens bevatten. Ter bescherming van de privacy behoren passende maatregelen te worden genomen (zie 18.1.4).

Waar mogelijk behoren systeembeheerders geen toestemming te hebben om logbestanden van hun eigen activiteiten te wissen of te deactiveren (zie 12.4.3).

Overige zorgspecifieke informatie

De eisen met betrekking tot het registreren en auditen behoren tot de belangrijkste van alle beveiligingseisen voor het beschermen van persoonlijke gezondheidsinformatie. Deze eisen garanderen rekenschap voor cliënten die hun informatie toevertrouwen aan elektronische registratiesystemen voor medische dossiers en zijn tevens een krachtige stimulans voor de gebruikers van dergelijke systemen om het beleid inzake het acceptabele gebruik van deze systemen na te leven. Doeltreffend auditen en registreren kan bijdragen aan het aantonen van misbruik van gezondheidsinformatiesystemen of van persoonlijke gezondheidsinformatie. Deze processen kunnen organisaties en cliënten ook helpen om schadeloosstelling te krijgen van gebruikers die hun toegangsrechten misbruiken.

Eisen voor het registreren van gebeurtenissen worden in detail in NEN 7513 en ISO 27789 besproken.


Beheersmaatregel

Logfaciliteiten en informatie in logbestanden behoren te worden beschermd tegen vervalsing en onbevoegde toegang.

Zorgspecifieke beheersmaatregel

Auditverslagen behoren beveiligd te zijn en niet gemanipuleerd te kunnen worden. De toegang tot hulpmiddelen voor audits van systemen en audittrajecten behoort te worden beveiligd om misbruik of compromittering te voorkomen.

Implementatierichtlijn

Beheersmaatregelen behoren gericht te zijn op het beschermen van informatie in logbestanden tegen onbevoegde veranderingen en tegen operationele problemen met de logvoorziening, met inbegrip van:

a) veranderingen aan de soorten berichten die worden vastgelegd;

b) bewerken of verwijderen van logbestanden;

c) overschrijden van de opslagcapaciteit van de media met de logbestanden, waardoor gebeurtenissen niet meer kunnen worden vastgelegd of eerder vastgelegde gebeurtenissen worden overschreven.

Als onderdeel van het beleid voor het bewaren van verslagen of in verband met eisen om bewijsmateriaal te verzamelen en bewaren kan het nodig zijn om bepaalde auditlogbestanden te archiveren (zie 16.1.7).

Zorgspecifieke implementatierichtlijn

Het is belangrijk om op te merken dat de integriteit van auditregistraties als bewijsmateriaal een essentiële rol kan spelen bij onderzoeken door een patholoog-anatoom, onderzoeken naar medische fouten en andere gerechtelijke of quasigerechtelijke procedures. In dergelijke procedures worden de handelingen van zorgverleners en het tijdstip van gebeurtenissen soms vastgesteld aan de hand van een onderzoek naar veranderingen in en updates van de persoonlijke gezondheidsinformatie van een individu.

Met betrekking tot het handhaven van de vertrouwelijkheid en integriteit van medische dossiers en de integriteit en beschikbaarheid van gezondheidsinformatiesystemen, zijn de volgende criteria opgenomen in het document IETF RFC 3881:

‘Auditgegevens moeten ten minste even goed worden beveiligd als de onderliggende gegevens en activiteiten die gecontroleerd worden. Dit omvat beheersmaatregelen voor toegang evenals gegevensintegriteits- en herstelfuncties. Dit document erkent de noodzaak van het beleid en de technische methoden om dit te bewerkstellingen, maar schrijft deze niet voor.

Het is denkbaar dat er niet-beoogde vormen van gebruik van auditgegevens zijn, bijv. het volgen van de frequentie en aard van het gebruik van systemen voor productiviteitsmaatregelen. In de ASTM-norm E2147-01 staat in paragraaf 5.3.10: "Verbied gebruik om andere redenen dan het handhaven van beveiliging en het opsporen van schendingen van de beveiliging in gezondheidsinformatieregistratie­systemen, bijvoorbeeld de audits mogen niet worden gebruikt voor het verkennen van activiteiten- of bewegingsprofielen van werknemers." ’

Het management van auditregistraties behoort de internationale normen over het managen van registraties, ISO 15489, te volgen. Beveiligingseisen voor het archiveren van auditregistraties zijn vergelijkbaar met de beveiligingseisen voor het archiveren van elektronische medische dossiers die in ISO/TS 21547 worden gespecificeerd.

Er behoort speciale aandacht te worden besteed aan de beveiliging van gedistribueerde audittrajecten. Waar elektronische medische dossiers over meerdere informatiesystemen verdeeld kunnen zijn en verschillende beveiligingsbeleidsdomeinen beslaan, geldt dit ook voor audittrajecten. De beveiliging van de logische audittrajecten behoort gehandhaafd te worden.

Het auditsysteem behoort in afdoende maatregelen te voorzien om te garanderen dat, telkens als het gezondheidsinformatiesysteem operationeel is, dit wordt bijgehouden in het audittraject.

Telkens als het audittraject buiten werking of uitgeschakeld is, of door een systeemfout niet werkt, behoort dit in het auditsysteem te worden gedocumenteerd.

Het auditsysteem behoort aan te geven of te melden welke audits op een bepaald moment actief of niet actief zijn.

Een organisatie die verantwoordelijk is voor het bijhouden van een auditverslag, behoort het bewaarbeleid dat voor de auditregistraties geldt, te definiëren.

Het bewaren van de auditregistraties behoort volgens wettelijk voorschriften en relevant beleid te gebeuren.

Het bewaren van de auditregistraties behoort de levensduur te ondersteunen van de medische dossiers, gegevens en documenten.

Het auditsysteem behoort in voldoende beveiligingsmaatregelen te voorzien om auditverslagen tegen vervalsing te beschermen.
Dit behoort in het bijzonder:

a) de toegang tot auditregistraties te beveiligen;

b) de toegang tot hulpmiddelen voor audits van systemen en audittrajecten te beveiligen om misbruik of compromittering te voorkomen;

c) alle activiteiten aan het audittraject bij te houden door een beveiligde registratie waarin de tijd, de handeling en de uitvoerende worden vastgelegd;

d) alle gelegenheden te documenteren waarop het audittraject buiten werking of uitgeschakeld is, of door een systeemfout niet werkt;

e) te melden welke audits op een bepaald moment actief of niet actief zijn.

De toegang tot auditgegevens behoort streng gecontroleerd te worden en behoort zelf ook aan controle te worden onderworpen. De toegang behoort plaats te vinden via een gepast informatiesysteem waarmee deze beheersmaatregelen kunnen worden gehandhaafd, in plaats van rechtstreeks toegang tot het audittraject op zich te bieden.

Auditfaciliteiten behoren te voorzien in een analyse van het audittraject door gegevensvelden in de registratie, door de datum/tijdsperiode indien van toepassing, hetzij individueel of in combinatie (bijv. alle toegang door gebruiker X, alle ‘verwijder’-gebeurtenissen door gebruikers van rol ‘Y’, alle gebeurtenissen met betrekking tot cliënt ‘Z’ in de afgelopen maand enz.).

In sommige gevallen kan het nodig zijn dat een auditgebruiker in aanvulling op het audittraject toegang heeft tot informatiebronnen, bijvoorbeeld om patronen te ontdekken (bijv. alle zoekopdrachten naar kinderen die zijn uitgevoerd door een gebruiker die geen kinderarts is of niets te maken heeft met kindergeneeskunde).

Overige informatie

Systeemlogverslagen bevatten vaak een grote hoeveelheid informatie, waarvan een groot deel irrelevant is voor het monitoren van informatiebeveiliging. Om te bevorderen dat gebeurtenissen die belangrijk zijn voor het monitoren van informatiebeveiliging worden geïdentificeerd, behoort te worden overwogen om bepaalde berichten automatisch naar een tweede logbestand te kopiëren, of om passende systeemhulpprogramma’s of auditinstrumenten voor bestandsonderzoek en -rationalisatie te gebruiken.

Het is noodzakelijk dat systeemverslagen worden beschermd, want indien gegevens ervan kunnen worden gewijzigd of verwijderd, kan hun bestaan een vals gevoel van veiligheid creëren. Realtime kopiëren van bestanden naar een systeem buiten het beheer van een systeembeheerder of -operator kan worden toegepast om bestanden te beveiligen.

Overige zorgspecifieke informatie

Richtlijnen over het langdurig archiveren en het daarbij garanderen van gegevensintegriteit worden ook gegeven in de documenten IETF RFC 4810 Long-Term Archive Service Requirements en IETF RFC 4998 Evidence Record Syntax (ERS).


Beheersmaatregel

Activiteiten van systeembeheerders en -operators behoren te worden vastgelegd en de logbestanden behoren te worden beschermd en regelmatig te worden beoordeeld.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Houders van een speciaal account zijn mogelijk in staat om de logbestanden op informatieverwerkende faciliteiten die onder hun directe beheer staan te manipuleren. Daarom is het nodig de logbestanden te beschermen en te beoordelen om te handhaven dat speciale gebruikers rekenschap afleggen.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Een inbraakdetectiesysteem dat wordt beheerd buiten de controle van systeem- en netwerkbeheerders kan worden gebruikt om systeem- en netwerkbeheeractiviteiten op naleving te monitoren.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

De klokken van alle relevante informatieverwerkende systemen binnen een organisatie of beveiligingsdomein behoren te worden gesynchroniseerd met één referentietijdbron.

Zorgspecifieke beheersmaatregel

Gezondheidsinformatiesystemen die tijdkritische activiteiten voor gedeelde zorg ondersteunen, behoren in tijdssynchronisatiediensten te voorzien om het traceren en reconstrueren van de tijdlijnen voor activiteiten waar vereist te ondersteunen.

Implementatierichtlijn

Externe en interne eisen voor weergave, synchronisatie en nauwkeurigheid van tijd behoren te worden gedocumenteerd. Dergelijke eisen kunnen wettelijke, regelgevende of contractuele eisen zijn, naleving van normen of eisen voor interne monitoring. Er behoort een standaard referentietijd voor gebruik binnen de organisatie te worden gedefinieerd.

De aanpak van de organisatie om een referentietijd op basis van (een) externe bron(nen) te verkrijgen en hoe interne klokken betrouwbaar te synchroniseren behoren te worden gedocumenteerd en geïmplementeerd.

Zorgspecifieke implementatierichtlijn

Het is belangrijk om op te merken dat het tijdstip van gebeurtenissen die elektronisch worden vastgelegd in persoonlijke gezondheidsinformatie en in auditregistraties een essentiële rol kan spelen in processen als onderzoeken door een patholoog-anatoom, onderzoeken naar medische fouten en andere gerechtelijke of quasigerechtelijke procedures, waarbij het essentieel is dat nauwkeurig een klinische volgorde van gebeurtenissen wordt vastgesteld.

Overige informatie

De correcte instelling van computerklokken is belangrijk om de nauwkeurigheid van auditlogbestanden te waarborgen, die vereist kunnen zijn voor onderzoeken of als bewijs in juridische of disciplinaire zaken. Onnauwkeurige auditlogbestanden kunnen dergelijke onderzoeken belemmeren en de geloofwaardigheid van het bewijs schaden. Een klok die is verbonden met een radiotijdsein van een nationale atoomklok kan worden gebruikt als moederklok voor logsystemen. Een netwerktijdprotocol kan worden gebruikt om alle servers synchroon met de moederklok te houden.

Overige zorgspecifieke informatie

<geen>


Doelstelling: De integriteit van operationele systemen waarborgen.


Beheersmaatregel

Om het op operationele systemen installeren van software te beheersen behoren procedures te worden geïmplementeerd.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

De volgende richtlijnen behoren in overweging te worden genomen om de installatie van software op operationele systemen te beheersen:

a) het updaten van de productiesoftware, -toepassingen en -programmabibliotheken behoort alleen te worden uitgevoerd door getrainde beheerders en na de juiste goedkeuring van de directie (zie 9.4.5);

b) productiesystemen behoren alleen goedgekeurde uitvoerbare codes te bevatten en geen ontwikkelcodes of compilers;

c) toepassingen en besturingssysteemsoftware behoren pas te worden geïmplementeerd na uitgebreide en succesvolle tests; de tests behoren betrekking te hebben op bruikbaarheid, beveiliging, effecten op andere systemen en gebruikersvriendelijkheid, en behoren te worden uitgevoerd op gescheiden systemen (zie 12.1.4); gewaarborgd behoort te worden dat alle corresponderende broncodebibliotheken zijn geüpdatet;

d) om alle geïnstalleerde software en systeemdocumentatie te beheersen behoort een configuratiebeheerssysteem te worden toegepast;

e) voordat veranderingen worden doorgevoerd behoort een strategie voor het terugdraaien van de veranderingen te zijn vastgesteld;

f) van alle updates van besturingsprogrammabibliotheken behoort een auditlogbestand te worden bijgehouden;

g) eerdere versies van toepassingssoftware behoren te worden bewaard voor noodgevallen;

h) oude versies van software behoren te worden gearchiveerd, samen met alle vereiste informatie en parameters, procedures, configuratiedetails en ondersteunende software, zolang er gegevens in het archief worden bewaard.

Software van leveranciers die in productiesystemen wordt gebruikt behoort te worden onderhouden op een niveau dat door de leverancier wordt ondersteund. Na verloop van tijd zullen softwareleveranciers stoppen met het ondersteunen van oudere softwareversies. De organisatie behoort de risico’s van het gebruiken van niet-ondersteunde software te overwegen.

Bij beslissingen om te upgraden naar een nieuwe versie behoort rekening te worden gehouden met de bedrijfseisen die gelden voor de verandering en de veiligheid van de versie, d.w.z. de introductie van nieuwe informatiebeveiligingsfunctionaliteit of het aantal en de ernst van informatiebeveiligingsproblemen die zich bij deze versie voordoen. Softwarepatches behoren te worden toegepast als ze kunnen bijdragen aan het verwijderen of verminderen van zwakke plekken in de informatiebeveiliging (zie 12.6).

Fysieke of logische toegang behoort alleen te worden verleend aan leveranciers wanneer dit noodzakelijk is voor ondersteuningsdoeleinden en met toestemming van de directie. De activiteiten van de leverancier behoren te worden gemonitord (zie 15.2.1).

Computersoftware kan soms steunen op extern geleverde software en modules, die behoren te worden gemonitord en beheerst om onbevoegde veranderingen te vermijden, die zwakke plekken in de beveiliging kunnen introduceren.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>


Doelstelling: Benutting van technische kwetsbaarheden voorkomen.


Beheersmaatregel

Informatie over technische kwetsbaarheden van informatiesystemen die worden gebruikt, behoort tijdig te worden verkregen, de blootstelling van de organisatie aan dergelijke kwetsbaarheden te worden geëvalueerd en passende maatregelen te worden genomen om het risico dat ermee samenhangt, aan te pakken.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

Een actuele en volledige inventaris van bedrijfsmiddelen (zie hoofdstuk 8) is een voorwaarde voor een doeltreffend beheer van technische kwetsbaarheden. Tot de specifieke informatie die nodig is om beheer van technische kwetsbaarheden te ondersteunen behoren informatie over de softwareleverancier, versienummers, huidige toepassingsstatus (bijv. welke software is geïnstalleerd op welke systemen) en de persoon of personen in de organisatie verantwoordelijk voor de software.

Als reactie op de identificatie van potentiële technische kwetsbaarheden behoort passende en tijdige actie te worden ondernomen. Om een doeltreffend beheerproces voor technische kwetsbaarheden vast te stellen behoren de volgende richtlijnen te worden gevolgd:

a) de organisatie behoort de rollen en verantwoordelijkheden in samenhang met het beheer van technische kwetsbaarheden te definiëren en vast te stellen, met inbegrip van het monitoren van de kwetsbaarheden, een risicobeoordeling van de kwetsbaarheden, het installeren van herstelprogramma’s (patching), het traceren van bedrijfsmiddelen en de vereiste coördinatieverantwoordelijkheden;

b) informatiemiddelen die worden gebruikt om relevante technische kwetsbaarheden te bepalen en om het bewustzijn hierover levend te houden, behoren te worden vastgesteld voor software en andere technologie (op basis van de inventarislijst van bedrijfsmiddelen, zie 8.1.1); deze informatiemiddelen behoren te worden geactualiseerd op basis van veranderingen in de inventarislijst of als andere nieuwe of nuttige middelen zijn gevonden;

c) een tijdpad behoort te worden gedefinieerd waarbinnen moet worden gereageerd op aankondigingen van potentieel relevante technische kwetsbaarheden;

d) als een potentieel technische kwetsbaarheid is geïdentificeerd, behoort de organisatie de samenhangende risico’s en de te ondernemen acties vast te stellen; een dergelijke actie kan patching van kwetsbare systemen inhouden, of het toepassen van andere beheersmaatregelen.

e) afhankelijk van hoe urgent een technische kwetsbaarheid moet worden aangepakt behoort de te ondernemen actie te worden uitgevoerd in overeenstemming met de beheersmaatregelen in verband met wijzigingsbeheer (zie 12.1.2) of door responsprocedures voor informatiebeveiligingsincidenten te volgen (zie 16.1.5);

f) indien een patch uit een legitieme bron beschikbaar is, behoren de risico’s die verbonden zijn aan het installeren van de patch te worden beoordeeld (de risico’s die worden gevormd door de kwetsbaarheid behoren te worden vergeleken met het risico van het installeren van de patch);

g) patches behoren te worden getest en geëvalueerd voordat ze worden geïnstalleerd om te waarborgen dat ze doeltreffend zijn en niet resulteren in bijverschijnselen die niet kunnen worden getolereerd; indien geen patch beschikbaar is, behoren andere beheersmaatregelen te worden overwogen, zoals:

1) diensten of capaciteiten in verband met de kwetsbaarheid uitschakelen;

2) toegangsbeveiligingsmaatregelen aanpassen of toevoegen, bijv. firewalls, rond de grenzen van netwerken (zie 13.1);

3) vaker monitoren om werkelijke aanvallen op te sporen;

4) bewustzijn omtrent de kwetsbaarheid kweken;

h) over alle procedures behoort een auditlogbestand te worden bijgehouden;

i) het beheerproces met betrekking tot de technische kwetsbaarheid behoort regelmatig te worden gemonitord en geëvalueerd om de doeltreffendheid en doelmatigheid ervan te waarborgen;

j) systemen met een hoog risico behoren eerst te worden aangepakt;

k) om gegevens over kwetsbaarheden te communiceren aan de functie die moet reageren op het incident en om te voorzien in uit te voeren technische procedures in geval van een incident, behoort een doeltreffend beheerproces met betrekking tot de technische kwetsbaarheid te worden afgestemd op incidentbeheeractiviteiten;

l) een procedure definiëren om de situatie aan te pakken waar een kwetsbaarheid is geïdentificeerd maar waar geen passende tegenmaatregel voorhanden is. In deze situatie behoort de organisatie risico’s in verband met de bekende kwetsbaarheid te evalueren en passende opsporings- en corrigerende maatregelen te definiëren.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Het beheer van technische kwetsbaarheid kan worden beschouwd als een subfunctie van wijzigingsbeheer en kan als zodanig profiteren van de processen en procedures van wijzigingsbeheer (zie 12.1.2 en 14.2.2).

Leveranciers staan vaak onder aanzienlijke druk om patches zo snel mogelijk uit te brengen. Daardoor kan het gebeuren dat een patch het probleem niet adequaat aanpakt en negatieve bijwerkingen heeft. Ook is het in bepaalde gevallen niet gemakkelijk een patch na toepassing te de-installeren.

Indien het niet mogelijk is de patches adequaat te testen, bijv. vanwege de kosten of door een gebrek aan middelen, kan worden overwogen het installeren van een patch uit te stellen om de samenhangende risico’s te evalueren, op basis van de ervaringen die door andere gebruikers worden gemeld. Het kan nuttig zijn om ISO/IEC 27031 te raadplegen.

Overige zorgspecifieke informatie

<geen>


Beheersmaatregel

Voor het door gebruikers installeren van software behoren regels te worden vastgesteld en te worden geïmplementeerd.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

De organisatie behoort een strikt beleid te definiëren en ten uitvoer te brengen met betrekking tot de soorten software die gebruikers mogen installeren.

Het principe van minimaal voorrecht behoort te worden toegepast. Indien aan gebruikers bepaalde voorrechten worden verleend kunnen zij ook de mogelijkheid hebben om software te installeren. De organisatie behoort vast te leggen welke soorten software mogen worden geïnstalleerd (bijv. updates en beveiligingspatches voor bestaande software) en welke verboden zijn (bijv. software uitsluitend voor persoonlijk gebruik en software waarvan de herkomst met betrekking tot de potentiële kwaadaardigheid onbekend of verdacht is). Deze voorrechten behoren te worden verleend met oog voor de rollen van de betrokken gebruikers.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

Onbeheerst installeren van software op computerapparatuur kan leiden tot het introduceren van kwetsbaarheden en vervolgens tot weglekken van informatie, verlies van integriteit of andere informatiebeveiligingsincidenten, of tot schending van intellectuele-eigendomsrechten.

Overige zorgspecifieke informatie

<geen>


Doelstelling: De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.


Beheersmaatregel

Auditeisen en -activiteiten die verificatie van uitvoeringssystemen met zich meebrengen, behoren zorgvuldig te worden gepland en afgestemd om bedrijfsprocessen zo min mogelijk te verstoren.

Zorgspecifieke beheersmaatregel

<geen>

Implementatierichtlijn

De volgende richtlijnen behoren in acht te worden genomen:

a) auditeisen voor toegang tot systemen en gegevens behoren met de juiste managers te worden overeengekomen;

b) het toepassingsgebied van technische audittests behoort te worden afgesproken en te worden gecontroleerd;

c) audittests behoren te worden beperkt tot alleen-lezen-toegang tot software en gegevens;

d) toegang anders dan ‘alleen lezen’ behoort alleen te worden toegelaten voor geïsoleerde kopieën van systeembestanden, die behoren te worden verwijderd als de audit is uitgevoerd, of ze behoren voldoende te worden beschermd indien het verplicht is deze bestanden bij de vereiste auditdocumenten te bewaren;

e) eisen voor speciale of extra verwerkingsactiviteiten behoren te worden vastgesteld en overeengekomen;

f) audittests die de beschikbaarheid van systemen kunnen beïnvloeden, behoren buiten werkuren plaats te vinden;

g) alle toegangshandelingen behoren te worden gemonitord en vastgelegd in een logbestand om een referentietraject te produceren.

Zorgspecifieke implementatierichtlijn

<geen>

Overige informatie

<geen>

Overige zorgspecifieke informatie

<geen>