Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen.
Beheersmaatregel
Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen.
Zorgspecifieke beheersmaatregel
Organisaties behoren:
a) duidelijk verantwoordelijkheden op het gebied van informatiebeveiliging te definiëren en toe te wijzen
b) over een informatiebeveiligingsmanagementforum (IBMF) te beschikken om te garanderen dat er duidelijke aansturing en zichtbare ondersteuning vanuit het management is voor beveiligingsinitiatieven die betrekking hebben op de beveiliging van gezondheidsinformatie, zoals beschreven in B.3 en B.4 van bijlage B.
Er behoort minimaal één individu verantwoordelijk zijn voor beveiliging van gezondheidsinformatie binnen de organisatie.
Het gezondheidsinformatiebeveiligingsforum behoort regelmatig, maandelijks of bijna maandelijks, te vergaderen. (Het is meestal het effectiefst als het forum vergadert op een tijdstip halverwege tussen twee vergaderingen van het bestuursorgaan waaraan het forum rapporteert. Zo kunnen urgente zaken binnen een korte periode in een geschikte vergadering worden besproken.)
Er behoort een formele verklaring van het toepassingsgebied te worden geproduceerd waarin de grens wordt gedefinieerd van nalevingsactiviteiten wat betreft mensen, processen, plekken, platformen en toepassingen.
Implementatierichtlijn
Het toewijzen van de verantwoordelijkheden die bij informatiebeveiliging horen, behoort te worden gedaan in overeenstemming met de beleidsregels voor informatiebeveiliging (zie 5.1.1). Verantwoordelijkheden voor het beschermen van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke informatiebeveiligingsprocessen behoren te worden geïdentificeerd. Verantwoordelijkheden behoren te worden gedefinieerd voor activiteiten met betrekking tot risicobeheer van informatiebeveiliging en in het bijzonder voor het accepteren van de overblijvende risico’s. Deze verantwoordelijkheden behoren waar nodig te worden aangevuld met meer gedetailleerde richtlijnen voor specifieke locaties en informatieverwerkende faciliteiten. Lokale verantwoordelijkheden voor het beschermen van bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen behoren te worden gedefinieerd.
Personen aan wie verantwoordelijkheden inzake informatiebeveiliging zijn toegekend mogen beveiligingstaken aan anderen delegeren. Niettemin blijven zij verantwoordelijk en behoren zij vast te stellen dat gedelegeerde taken correct zijn verricht.
Vastgelegd behoort te worden welke personen voor welke gebieden verantwoordelijk zijn. Het volgende behoort in het bijzonder te gebeuren:
a) de bedrijfsmiddelen en informatiebeveiligingsprocessen behoren te worden geïdentificeerd en gedefinieerd;
b) de entiteit die verantwoordelijk is voor elk bedrijfsmiddel of informatiebeveiligingsproces behoort te worden bepaald en de details van deze verantwoordelijkheid behoren te worden gedocumenteerd (zie 8.1.2);
c) autorisatieniveaus behoren te worden gedefinieerd en gedocumenteerd;
d) om in staat te zijn om de verantwoordelijkheden in het informatiebeveiligingsgebied te vervullen behoren de benoemde personen op het desbetreffende gebied competent te zijn en behoort hun de mogelijkheden te worden geboden om de ontwikkelingen bij te houden;
e) coördinatie en overzicht van informatiebeveiligingsaspecten van leveranciersrelaties behoren te worden geïdentificeerd en gedocumenteerd.
Zorgspecifieke implementatierichtlijn
Het is belangrijk om te wijzen op de essentiële aard van managementverantwoordelijkheid in organisaties die persoonlijke gezondheidsinformatie beheren, zoals beschreven in B.2. Rekenschap en coördinatie kunnen op de lange termijn alleen worden gehandhaafd indien de organisatie over een expliciete informatiebeveiligingsbeheerinfrastructuur beschikt.
Ongeacht welke organisatiestructuur wordt gekozen, is het van kritisch belang dat deze dusdanig wordt ontworpen en gestructureerd dat toegang door cliënten (bijv. om verzoeken voor het verkrijgen van persoonlijke gezondheidsinformatie in te dienen) en het rapporteren binnen de organisatiestructuur mogelijk worden gemaakt en dat de tijdige verstrekking van informatie wordt gegarandeerd.
Zoals vermeld in B.4.3 behoort de (virtuele of daadwerkelijke) informatiebeveiligingsfunctionaris van de organisatie onder andere verslag uit te brengen aan het forum en hieraan secretariële diensten te verlenen. De functionaris behoort verantwoordelijk te zijn voor het samenstellen, publiceren en becommentariëren van de rapporten die worden ontvangen door de leden van het forum.
Gezondheidsorganisaties behoren de uiteenzetting van het toepassingsgebied breed bekend te maken binnen de organisatie, deze vervolgens te beoordelen en te garanderen dat deze wordt overgenomen door de groepen binnen de organisatie die zich bezighouden met informatie-, klinische en corporate governance.
Overige informatie
Veel organisaties benoemen een manager informatiebeveiliging die de algehele verantwoordelijkheid draagt voor de ontwikkeling en implementatie van informatiebeveiliging en om de identificatie van beheersmaatregelen te ondersteunen.
Echter, de verantwoordelijkheid voor het verzorgen en implementeren van de beheersmaatregelen blijft vaak een taak van individuele managers. Een gangbare praktijk is om voor elk bedrijfsmiddel een eigenaar te benoemen die verantwoordelijk wordt voor de dagelijkse bescherming ervan.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
Zorgspecifieke beheersmaatregel
Organisaties behoren, indien dit haalbaar is, plichten en verantwoordelijkheidsgebieden te scheiden om de kansen te verkleinen van onbevoegde wijziging of misbruik van persoonlijke gezondheidsinformatie.
Implementatierichtlijn
Er behoort op te worden gelet dat geen enkele persoon ongemerkt of zonder autorisatie toegang kan krijgen tot bedrijfsmiddelen, ze kan wijzigen of gebruiken. Het initiëren van een gebeurtenis behoort te worden gescheiden van de autorisatie ervan. Bij het ontwerpen van beheersmaatregelen behoort rekening te worden gehouden met de mogelijkheid van samenzwering.
Voor kleine organisaties kan het moeilijk zijn om taken te scheiden, maar het principe behoort te worden toegepast voor zover dit mogelijk en haalbaar is. Wanneer het moeilijk is om taken te scheiden, behoren andere beheersmaatregelen zoals het monitoren van activiteiten, audittrajecten en supervisie door de directie te worden overwogen.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Scheiding van taken is een methode om het risico op toevallig of opzettelijk misbruik van bedrijfsmiddelen van een organisatie te verminderen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Er behoren passende contacten met relevante overheidsinstanties te worden onderhouden.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Organisaties behoren procedures te hebben die aangeven wanneer en door wie contact behoort te worden opgenomen met overheidsinstanties (bijv. politie, regelgevende organen, toezichthouders) en hoe geïdentificeerde informatiebeveiligingsincidenten tijdig behoren te worden gerapporteerd (bijv. indien het vermoeden bestaat dat mogelijk wetgeving is overtreden).
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Organisaties die via het internet worden aangevallen, hebben mogelijk instanties nodig om actie te ondernemen tegen de aanvaller.
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten (zie hoofdstuk 16) of het bedrijfscontinuïteits- en noodplanproces (zie hoofdstuk 17). Contacten met regelgevende organen zijn ook nuttig om te anticiperen en zich voor te bereiden op komende veranderingen in wet- en regelgeving die door de organisatie moeten worden geïmplementeerd. Contacten met andere instanties omvatten contacten met nutsbedrijven, eerstehulpdiensten, elektriciteitsleveranciers en gezondheids- en veiligheidsinstanties, bijv. de brandweer (in verband met de bedrijfscontinuïteit), telecommunicatiebedrijven (in verband met verbindingen en beschikbaarheid) en waterleidingbedrijven (in verband met koelvoorzieningen voor apparatuur).
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Er behoren passende contacten met speciale belangengroepen of andere gespecialiseerde beveiligingsfora en professionele organisaties te worden onderhouden.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Lidmaatschap van speciale belangengroepen of fora behoort te worden overwogen als middel om:
a) kennis te verbeteren over ‘best practices’ en op de hoogte te blijven van relevante beveiligingsinformatie;
b) ervoor te zorgen dat de kennis van informatiebeveiliging actueel en volledig is;
c) vroegtijdige waarschuwingen te ontvangen inzake alarm, adviezen en patches die verband houden met aanvallen en kwetsbaarheden;
d) toegang te krijgen tot gespecialiseerd advies over informatiebeveiliging;
e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen;
f) geschikte contactpunten te verkrijgen als er informatiebeveiligingsincidenten aan de orde zijn (zie hoofdstuk 16).
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Overeenkomsten kunnen worden vastgelegd inzake het delen van informatie om samenwerking en coördinatie met betrekking tot beveiligingsonderwerpen te verbeteren. Dergelijke overeenkomsten behoren de eisen voor het beschermen van vertrouwelijke informatie te identificeren.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatiebeveiliging behoort aan de orde te komen in projectbeheer, ongeacht het soort project.
Zorgspecifieke beheersmaatregel
Bij het management van projecten behoort de patiëntveiligheid als projectrisico in aanmerking te worden genomen voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie.
Implementatierichtlijn
Informatiebeveiliging behoort te worden geïntegreerd in de projectbeheermethode(n) van de organisatie om ervoor te zorgen dat informatiebeveiligingsrisico’s worden geïdentificeerd en aangepakt als deel van een project. Dit geldt in het algemeen voor elk project ongeacht het karakter, bijv. een project voor een proces voor kernactiviteiten, IT, ‘facility management’ en andere ondersteunende processen. De gebruikte projectbeheermethoden behoren te vereisen dat:
a) informatiebeveiligingsdoelstellingen worden opgenomen in projectdoelstellingen;
b) een risicobeoordeling van informatiebeveiliging in een vroeg stadium van het project wordt uitgevoerd om de nodige beheersmaatregelen te identificeren;
c) informatiebeveiliging deel uitmaakt van alle fasen van de toegepaste projectmethodologie.
In alle projecten behoren implicaties van informatiebeveiliging regelmatig te worden behandeld en beoordeeld. Verantwoordelijkheden voor informatiebeveiliging behoren te worden gedefinieerd en toegewezen aan specifieke rollen die zijn gedefinieerd in de projectbeheermethoden.
Zorgspecifieke implementatierichtlijn
De patiëntveiligheid is een kritisch bestanddeel van de risicobeoordeling voor elk project dat gepaard gaat met het verwerken van persoonlijke gezondheidsinformatie. Risico's voor de veiligheid van cliënten behoren zorgvuldig te worden geanalyseerd en er behoort expliciet aandacht aan te worden besteed.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Doelstelling: Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur.
Beheersmaatregel
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden vastgesteld om de risico’s die het gebruik van mobiele apparatuur met zich meebrengt, te beheren.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Bij het gebruikmaken van mobiele apparatuur behoort er speciaal op te worden gelet dat bedrijfsinformatie niet wordt gecompromitteerd. Het beleid voor mobiele apparatuur behoort rekening te houden met de risico’s van werken met mobiele apparatuur in onbeschermde omgevingen.
Het beleid voor mobiele apparatuur behoort in overweging te nemen:
a) registratie van mobiele apparatuur;
b) eisen voor fysieke bescherming;
c) beperking van installeren van software;
d) eisen voor softwareversies voor mobiele apparatuur en voor het toepassen van patches;
e) beperking van verbinding met informatiediensten;
f) toegangsbeveiligingsmaatregelen;
g) cryptografische technieken;
h) bescherming tegen malware;
i) het op afstand onbruikbaar maken, wissen, uitsluiten;
j) back-ups;
k) gebruik van internetdiensten en -apps.
Voorzichtigheid is geboden bij het gebruik van mobiele apparatuur in openbare ruimten, vergaderruimten en andere onbeschermde locaties. Er behoort beveiliging te zijn om onbevoegde toegang tot of openbaarmaking van de op deze apparaten opgeslagen of verwerkte informatie te voorkomen, bijv. door gebruik te maken van cryptografische technieken (zie hoofdstuk 10) en het gebruik van geheime authenticatie-informatie af te dwingen (zie 9.2.4).
Mobiele apparatuur behoort ook fysiek te zijn beveiligd tegen diefstal, in het bijzonder wanneer deze wordt achtergelaten in bijv. een auto of andere vervoermiddelen, in hotelkamers, conferentie- en ontmoetingscentra. Er behoort een speciale procedure te worden vastgesteld voor diefstal, verlies van mobiele apparatuur e.d. waarin rekening is gehouden met juridische, verzekerings- en andere veiligheidseisen die in de organisatie gelden. Apparatuur die belangrijke, gevoelige of essentiële bedrijfsinformatie draagt, behoort niet onbewaakt te worden achtergelaten, en behoort, waar mogelijk, fysiek achter slot en grendel te worden opgeborgen of er behoren speciale sloten te worden gebruikt om de apparatuur te beveiligen.
Medewerkers die mobiele apparatuur gebruiken, behoren te worden getraind zodat ze zich bewust worden van de extra risico’s die deze manier van werken met zich meebrengt en ze weten welke beheersmaatregelen behoren te worden geïmplementeerd.
Als het beleid voor mobiele apparatuur toestaat dat medewerkers gebruikmaken van mobiele apparatuur die hun eigendom is, behoren het beleid en gerelateerde veiligheidsmaatregelen ook de volgende aspecten in overweging te nemen:
a) scheiding van privé- en zakelijk gebruik van de apparatuur, met inbegrip van het gebruik van software ter ondersteuning van een dergelijke scheiding en ter bescherming van bedrijfsgegevens op een privéapparaat;
b) toegang verschaffen tot bedrijfsinformatie alleen nadat gebruikers een eindgebruikersovereenkomst hebben ondertekend waarin zij hun verplichtingen bevestigen (fysieke beveiliging, updaten van software enz.), afstand doen van eigendom van bedrijfsgegevens, toestaan dat de organisatie op afstand gegevens wist in geval van diefstal of verlies van het apparaat of indien zij niet langer geautoriseerd zijn. Dit beleid moet rekening houden met de privacywetgeving.
Zorgspecifieke implementatierichtlijn
Organisaties behoren:
a) specifiek de risico's te beoordelen die gepaard gaan met het gebruik van mobiele apparaten in de zorg;
b) een beleid op te stellen inzake de voorzorgsmaatregelen die moeten worden getroffen bij het gebruik van mobiele computerapparatuur, waaronder richtlijnen en beperkingen voor het gebruik van persoonlijke apparaten binnen de organisatie, samen met beheersmaatregelen om aan de toepasselijke wettelijke privacy-eisen te voldoen;
c) van hun mobiele gebruikers te eisen dat zij dit beleid volgen.
Draadloze verbindingen voor mobiele netwerken kennen, hoewel deze vergelijkbaar zijn met die van bedrade netwerken, vanuit het oogpunt van informatiebeveiliging enkele belangrijke verschillen. Bepaalde draadloze versleutelingsprotocollen zoals Wired Equivalent Privacy (WEP) worden nog altijd gebruikt hoewel ze door bekende zwakheden nog maar weinig doeltreffend zijn. Bovendien worden van op mobiele apparatuur opgeslagen informatie mogelijk niet altijd back-ups gemaakt (bijv. wegens beperkte bandbreedte van het netwerk of omdat de apparatuur niet is aangesloten op de tijden waarop de back-ups zijn gepland).
Overige informatie
Draadloze verbindingen van mobiele apparatuur zijn gelijksoortig aan andere vormen van netwerkverbinding maar hebben belangrijke verschillen waar rekening mee behoort te worden gehouden bij het identificeren van beheersmaatregelen. Typische verschillen zijn:
a) sommige beveiligingsprotocollen voor draadloos verkeer zijn gebrekkig en hebben bekende zwakke plekken;
b) op mobiele apparatuur opgeslagen informatie wordt mogelijk niet geback-upt wegens beperkte bandbreedte van het netwerk of omdat mobiele apparatuur mogelijk niet is aangesloten op de tijden waarop de back-ups zijn gepland.
Mobiele apparatuur deelt in het algemeen gemeenschappelijke functies, bijv. netwerk, internettoegang, e‑mail en bestandsbehandeling, met vaste gebruiksapparatuur. Beheersmaatregelen voor informatiebeveiliging van mobiele apparatuur bestaan in het algemeen uit maatregelen die zijn vastgesteld voor de vaste gebruiksapparatuur en de maatregelen tegen bedreigingen die ontstaan door het gebruik van de mobiele apparatuur buiten het gebouw van de organisatie.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Beleid en ondersteunende beveiligingsmaatregelen behoren te worden geïmplementeerd ter beveiliging van informatie die vanaf telewerklocaties wordt benaderd, verwerkt of opgeslagen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Organisaties die telewerken toestaan, behoren een beleid uit te vaardigen dat de voorwaarden en beperkingen definieert voor het telewerken. Waar van toepassing geacht en wettelijk toegestaan, behoort rekening te worden gehouden met de volgende zaken:
a) de bestaande fysieke beveiliging van de telewerklocatie, waarbij rekening wordt gehouden met de fysieke beveiliging van het gebouw en de lokale omgeving;
b) de voorgestelde fysieke telewerkomgeving;
c) de beveiligingseisen die voor communicatie gelden, waarbij rekening wordt gehouden met de behoefte aan toegang op afstand tot de interne systemen van de organisatie, de gevoeligheid van de informatie die wordt benaderd en via de communicatiekoppeling wordt doorgegeven en de gevoeligheid van het interne systeem;
d) het verlenen van virtuele desktoptoegang, waardoor het verwerken en opslaan van informatie op privéapparatuur wordt voorkomen;
e) de bedreiging van onbevoegde toegang tot informatie of middelen van andere gebruikers van de accommodatie, bijv. familie en vrienden;
f) het gebruik van thuisnetwerken en de eisen of beperkingen van de configuratie van draadloze netwerkdiensten;
g) beleidsregels en procedures ter voorkoming van geschillen over rechten van intellectuele eigendom die is ontwikkeld op privéapparatuur;
h) toegang tot privéapparatuur (om de veiligheid van het apparaat vast te stellen of tijdens een onderzoek), wat wetgeving mogelijk kan verhinderen;
i) softwarelicentiecontracten waardoor de organisatie aansprakelijk kan worden gesteld voor de licenties van cliëntsoftware op werkstations die privébezit zijn van medewerkers of van externe gebruikers;
j) beveiliging tegen malware en eisen aan de firewall.
De in acht te nemen richtlijnen en afspraken behoren te omvatten:
a) het beschikbaar stellen van passende apparatuur en opbergmeubelen voor de telewerkactiviteiten, waarbij het gebruik van privéapparatuur die niet onder het beheer van de organisatie staat, niet is toegelaten;
b) een definitie van geoorloofde werkzaamheden, de werktijden, de classificatie van informatie waarover men mag beschikken en de interne systemen en diensten waartoe de telewerker bevoegde toegang heeft;
c) het beschikbaar stellen van passende communicatievoorzieningen, met inbegrip van methoden voor het beveiligen van de toegang op afstand;
d) fysieke beveiliging;
e) regels en richtlijnen voor toegang voor familie en bezoekers tot apparatuur en informatie;
f) het beschikbaar stellen van ondersteuning en onderhoud van hardware en software;
g) het regelen van de verzekering;
h) de procedures voor de back-up en de bedrijfscontinuïteit;
i) audit en monitoren van de beveiliging;
j) intrekking van bevoegdheid en toegangsrechten, en het inleveren van apparatuur na beëindiging van de telewerkactiviteiten.
Zorgspecifieke implementatierichtlijn
Organisaties behoren:
a) beleid op te stellen inzake de voorzorgsmaatregelen die moeten worden getroffen tijdens het telewerken;
b) erop toe te zien dat telewerkende gebruikers van gezondheidsinformatiesystemen zich aan dit beleid houden.
Sommige nationale rechtsgebieden (bijv. in Duitsland) hebben al beperkingen gesteld aan telewerken door zorgverleners.
Het is belangrijk er rekening mee te houden dat telewerken in de zorg de grenzen van rechtsgebieden kan overschrijden en zelfs kan plaatsvinden aan boord van vliegtuigen en schepen die zich buiten elk nationaal rechtsgebied bevinden. Voor artsen is het nu al routine om per e-mail medische beelden enz. buiten de grenzen te verzenden om de meningen van specialisten te verkrijgen. Het is mogelijk dat internationale teams die hulp verlenen bij calamiteiten, in de toekomst gebruik gaan maken van gezondheidsinformatiesystemen in andere rechtsgebieden dan die van hun thuisland. De juridische en ethische overwegingen om dit al dan niet te doen, behoren in aanmerking te worden genomen bij het ontwerpen en inzetten van gezondheidsinformatiesystemen (met name landelijke systemen) die op deze manier gebruikt kunnen worden.
Overige informatie
Telewerken verwijst naar alle vormen van werken buiten het kantoor, met inbegrip van niet-traditionele werkomgevingen, zoals ‘telecommuting’, ‘flexibele werkplek’, ‘werken op afstand’ en ‘virtuele werkomgevingen’.
Overige zorgspecifieke informatie
<geen>
