NEN 7510-1 - Werken met NEN 7510

Nederlandse
Ontwerp
norm
Medische informatica Informatiebeveiliging in de zorg Deel 1: Managementsysteem
NEN 7510-1
Publicatie uitsluitend voor commentaar
Health informatics - Information security management in healthcare Part 1: Management system
maart 2017
ICS 11.020; 35.240.80
Commentaar vóór 2017-07-01
Samen met NEN 7510-2:2017 zal deze norm
NEN 7510:2011 vervangen
Normcommissie 303 006 "Informatievoorziening in de zorg"
THIS PUBLICATION IS COPYRIGHT PROTECTED
DEZE PUBLICATIE IS AUTEURSRECHTELIJK BESCHERMD
Apart from exceptions provided by the law, nothing from this
publication may be duplicated and/or published by means of
photocopy, microfilm, storage in computer files or otherwise,
which also applies to full or partial processing, without the written
consent of the Royal Netherlands Standardization Institute.
The Royal Netherlands Standardization Institute shall, with the
exclusion of any other beneficiary, collect payments owed by third
parties for duplication and/or act in and out of law, where this
authority is not transferred or falls by right to the Reproduction
Rights Foundation.
Auteursrecht voorbehouden. Behoudens uitzondering door de
wet gesteld mag zonder schriftelijke toestemming van het
Koninklijk Nederlands Normalisatie-instituut niets uit deze uitgave
worden verveelvoudigd en/of openbaar gemaakt door middel van
fotokopie, microfilm, opslag in computerbestanden of anderszins,
hetgeen ook van toepassing is op gehele of gedeeltelijke
bewerking.
Het Koninklijk Nederlands Normalisatie-instituut is met uitsluiting
van ieder ander gerechtigd de door derden verschuldigde
vergoedingen voor verveelvoudiging te innen en/of daartoe in en
buiten rechte op te treden, voor zover deze bevoegdheid niet is
overgedragen c.q. rechtens toekomt aan de Stichting Reprorecht.
Although the utmost care has been taken with this
publication, errors and omissions cannot be entirely
excluded. The Royal Netherlands Standardization Institute
and/or the members of the committees therefore accept no
liability, not even for direct or indirect damage, occurring
due to or in relation with the application of publications
issued by the Royal Netherlands Standardization Institute.
Hoewel bij deze uitgave de uiterste zorg is nagestreefd,
kunnen fouten en onvolledigheden niet geheel worden
uitgesloten. Het Koninklijk Nederlands Normalisatie-instituut
en/of de leden van de commissies aanvaarden derhalve
geen enkele aansprakelijkheid, ook niet voor directe of
indirecte schade, ontstaan door of verband houdend met
toepassing van door het Koninklijk Nederlands
Normalisatie-instituut gepubliceerde uitgaven.
©2017 Koninklijk Nederlands Normalisatie-instituut
Postbus 5059, 2600 GB Delft
Telefoon (015) 2 690 390, fax (015) 2 690 190
Ontw. NEN 7510-1:2017
Inhoud
Voorwoord ......................................................................................................................................................... 4 0 0.1 0.2 0.3 0.4 0.5 0.6 0.6.1 0.6.2 0.7 0.8 0.9 Inleiding............................................................................................................................................ 6 Doelstellingen .................................................................................................................................... 6 Relatie tot informatiegovernance , corporate governance en klinische governance......................... 7 Gezondheidsinformatie ..................................................................................................................... 7 Bedreigingen voor en kwetsbaarheden in de beveiliging van gezondheidsinformatie ..................... 8 Doelgroep van NEN 7510-1 en NEN 7510-2 .................................................................................... 8 Structuur en aard van NEN 7510 ...................................................................................................... 9 Deel 1: het managementsysteem voor informatiebeveiliging ........................................................... 9 Deel 2: de maatregelen voor informatiebeveiliging ......................................................................... 10 De toegevoegde waarde van NEN 7510-1 en NEN 7510-2 ........................................................... 10 Relatie met Nederlandse wet- en regelgeving ................................................................................ 11 Relatie met NEN 7512 en NEN 7513 ..............................................................................................12 1 1.1 1.2 Onderwerp en toepassingsgebied .............................................................................................. 13 Algemeen ........................................................................................................................................ 13 Uitsluitingen van het onderwerp en toepassingsgebied ................................................................. 13 2 Normatieve verwijzingen .............................................................................................................. 13 3 Termen en definities ..................................................................................................................... 13 4 4.1 4.2 4.3 4.4 Context van de organisatie .......................................................................................................... 22 Inzicht verkrijgen in de organisatie en haar context ........................................................................ 22 Inzicht verkrijgen in de behoeften en verwachtingen van belanghebbenden ................................. 22 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging
vaststellen ....................................................................................................................................... 22 Managementsysteem voor informatiebeveiliging ............................................................................ 22 5 5.1 5.2 5.3 Leiderschap ................................................................................................................................... 23 Leiderschap en betrokkenheid ........................................................................................................ 23 Beleid .............................................................................................................................................. 23 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie ...................................... 23 6 6.1 6.1.1 6.1.2 6.1.3 6.2 Planning ......................................................................................................................................... 24 Maatregelen om risico’s te beperken en kansen te benutten ......................................................... 24 Algemeen ........................................................................................................................................ 24 Risicobeoordeling van informatiebeveiliging ...................................................................................24 Behandeling van informatiebeveiligingsrisico’s............................................................................... 25 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken ......................................... 26 7 7.1 7.2 7.3 7.4 7.5 7.5.1 7.5.2 7.5.3 Ondersteuning ............................................................................................................................... 26 Middelen .......................................................................................................................................... 26 Competentie .................................................................................................................................... 26 Bewustzijn ....................................................................................................................................... 27 Communicatie ................................................................................................................................. 27 Gedocumenteerde informatie.......................................................................................................... 27 Algemeen ........................................................................................................................................ 27 Creëren en actualiseren .................................................................................................................. 27 Beheer van gedocumenteerde informatie ....................................................................................... 28 8 8.1 8.2 8.3 Uitvoering....................................................................................................................................... 28 Operationele planning en beheersing ............................................................................................. 28 Risicobeoordeling van informatiebeveiliging ...................................................................................28 Informatiebeveiligingsrisico’s behandelen ...................................................................................... 29 9 9.1 9.2 9.3 Evaluatie van de prestaties .......................................................................................................... 29 Monitoren, meten, analyseren en evalueren................................................................................... 29 Interne audit .................................................................................................................................... 29 Directiebeoordeling ......................................................................................................................... 30 10 Verbetering .................................................................................................................................... 30 2
Ontw. NEN 7510-1:2017
10.1 10.2 Afwijkingen en corrigerende maatregelen .......................................................................................30 Continue verbetering ....................................................................................................................... 31 Bijlage A (normatief) Referentiebeheersdoelstellingen en -maatregelen ................................................ 32 Bijlage B (informatief) Kruistabel NEN 7510:2011 naar NEN 7510-1:2017 en NEN 7510-2:2017 ........... 56 Bibliografie ...................................................................................................................................................... 57 3
Ontw. NEN 7510-1:2017
Voorwoord
Dit normontwerp is de herziening van NEN 7510:2011 en bestaat uit twee delen.
Deel 1 bevat de normatieve voorschriften voor het managementsysteem volgens
NEN-ISO/IEC 27001+C11:2014+C1:2014+C2:2015 (nl).
Deel 2 vormt de Nederlandse weergave van de Europese en internationale norm
NEN-ISO/IEC 27002+C1+C2:2015 (nl) en NEN-EN-ISO 27799:2016 (en).
De drie internationale normen hebben de status van Nederlandse norm. Er is geen officiële Nederlandse
vertaling van NEN-EN-ISO 27799:2016 (en).
Dit normontwerp past de hoofdstructuur (High Level Structure – HLS) 1) toe en is daardoor compatibel met
andere managementsysteemnormen die de HLS volgen. Deze gemeenschappelijke benadering is nuttig
voor organisaties die ervoor kiezen een enkel managementsysteem uit te voeren dat voldoet aan de eisen
van twee of meer managementsysteemnormen.
NEN 7510-1:2017 en NEN 7510-2:2017 herroepen en vervangen samen de tweede editie van NEN 7510 uit
2011. In bijlage B is een kruistabel opgenomen die de relatie weergeeft tussen beide edities.
Dit normontwerp is opgesteld door normcommissie 303 006 'Informatievoorziening in de zorg'.
Op het ogenblik van publicatie waren de werkgroep, verantwoordelijk voor de revisie van NEN 7510 en het
normontwerp, en de normcommissie als volgt samengesteld:
Naam persoon
M. Heldoorn
Bedrijf/namens
Patiëntenfederatie Nederland
W.T.F. Goossen
Results 4 Care B.V.
Rol
Lid normcommissie 303 006
Vz. werkgroep
Vz. normcommissie 303 006
E. Beem
Dienst Justitiële Inrichtingen
Lid werkgroep
C.A. van Belkum
CBG-MEB
Lid normcommissie 303 006
E. Bijkerk
Agfa Healthcare
Lid werkgroep
Q. Bosman
Nictiz
W. Brouwers
CZ Zorgverzekeringen / ZN
Lid werkgroep
Lid werkgroep
C. Buiting
NHG
Lid werkgroep
R. Conings
Agfa Healthcare
Lid werkgroep
R. Coppen
NIVEL
Lid werkgroep
R. Cornet
AMC, Medical Informatics
Lid normcommissie 303 006
F. Elferink
KNMP
Lid normcommissie 303 006
B. Franken
AMC + Zorg-CERT
L. Grandia
Z-Index B.V.
Lid normcommissie 303 006
Lid werkgroep
Lid normcommissie 303 006
M.A.M. van der Haagen
VU Medisch Centrum
Lid normcommissie 303 006
M.R.H. Hagemeijer
VECOZO
Lid werkgroep
A. van Haren
CBG-MEB
L. ten Have
Tactus / GGZ Nederland
Lid normcommissie 303 006
Lid werkgroep
1)
4
Zoals gedefinieerd in bijlage SL van ISO/IEC Directives, deel 1, geconsolideerd ISO-supplement. Om de gebruikers
van meerdere managementsysteemnormen van dienst te zijn, is de identieke HLS-tekst door een kleurmarkering
onderscheiden van de aanvullende, voor informatiebeveiliging in de zorg specifieke tekst.
Ontw. NEN 7510-1:2017
J. Hiethaar
LQRA
Lid werkgroep
J.W. Hofdijk
Casemix
Lid normcommissie 303 006
C.R.H.A. Hoogendoorn
Iperion IS B.V.
F. Jacobs
Philips Health Care
Lid normcommissie 303 006
Lid normcommissie 303 006
M. de Jong
Nictiz
Lid normcommissie 303 006
B. Kokx
Philips Health Care
Lid normcommissie 303 006
W. Limpens
Qarebase / KIWA
Lid werkgroep
P.W.J. Linders
Lid normcommissie 303 006
E.R.M. Loomans
Philips Medical Systems, Standards
Development Harmonization Center
DSW Zorgverzekeraar / ZN
K. van Luttervelt
Zorgbelang ZH
Lid werkgroep
W.J. Meijer
Lid werkgroep
Lid normcommissie 303 006
R. Ostheimer
Vektis C.V.
Lid normcommissie 303 006
R. Muis
KNMP
Lid werkgroep
F.H. Nielen
Diabetes Vereniging Nederland
Lid werkgroep
T. Noorlander
KNMP
Lid werkgroep
M. Oost
RIVM
Lid werkgroep
E. Peelen
GS1
M. Rozeboom
KNMT
Lid normcommissie 303 006
Lid normcommissie 303 006
Lid werkgroep
Lid normcommissie 303 006
G.B. van Ruiswijk
Ziekenhuis Gelderse Vallei / NVZ
Lid werkgroep
J.W.R. Schoemaker
Erasmus MC, Directie Informatie
P.L. Schram
Vertimart Consultants BV
Lid normcommissie 303 006
Lid werkgroep
Lid werkgroep
E. Sieval
Z-Index B.V.
Lid normcommissie 303 006
J. Spronck
BDO
Lid werkgroep
B.W.J. Steer
KIWA B.V.
Lid werkgroep
R.A. Stegwee
Stichting HL7 Nederland
Lid normcommissie 303 006
J. Takema
Deventer Ziekenhuis / NVZ
Lid werkgroep
M. Tan
Nictiz
Lid normcommissie 303 006
W.L. Posthumus
P.M. Uitendaal
Lid normcommissie 303 006
D. Verschuuren
Zorgon + Maasstad Ziekenhuis
R. van Vianen
BDO Consultants B.V.
Lid normcommissie 303 006
Lid werkgroep
Lid normcommissie 303 006
R. Wagter
M&I/Partners
Lid werkgroep
A. van Zijl
EHIBCC
Lid normcommissie 303 006
P. van der Zwan
Caresecure / Actiz
Lid werkgroep
S. Golyardi
NEN
Secr. werkgroep
K.A. Jansen
NEN
Secr. werkgroep
M. Bijlsma
NEN
Secr. normcommissie 303 006
Commentaar op dit normontwerp kan vóór 1 juli 2017 worden ingediend via normontwerpen.nen.nl.
5
Ontw. NEN 7510-1:2017
0
Inleiding
0.1 Doelstellingen
Het handhaven van de vertrouwelijkheid, beschikbaarheid en integriteit (met inbegrip van authenticiteit,
toerekenbaarheid en controleerbaarheid) van informatie is het overkoepelende doel van
informatiebeveiliging. In de zorg is de privacy van cliënten afhankelijk van het handhaven van de
vertrouwelijkheid van persoonlijke gezondheidsinformatie. Om deze vertrouwelijkheid te handhaven moeten
er ook maatregelen worden genomen voor het handhaven van de integriteit van gegevens, al was dat alleen
maar vanwege het feit dat het mogelijk is de integriteit van toegangsbeveiligingsgegevens, audittrajecten en
andere systeemgegevens dusdanig te corrumperen dat schendingen van de vertrouwelijkheid kunnen
plaatsvinden en zelfs onopgemerkt kunnen blijven. Bovendien is de veiligheid van cliënten afhankelijk van
het handhaven van de integriteit van persoonlijke gezondheidsinformatie; nalatigheid kan ziekte, letsel of
zelfs de dood als gevolg hebben. Een hoog beschikbaarheidsniveau is ook een bijzonder belangrijk kenmerk
van zorginformatiesystemen, waar behandelingen vaak tijdkritisch zijn. Het zou zo kunnen zijn dat juist het
moment waarop zich rampen voordoen, die zouden kunnen leiden tot uitval van andere, nietgezondheidsgerelateerde IT-systemen, het moment is waarop de in zorginformatiesystemen vervatte
informatie het hardst nodig is.
De in NEN 7510-1 en NEN 7510-2 besproken beheersmaatregelen zijn de beheersmaatregelen waarvan is
bepaald dat ze geschikt zijn om de vertrouwelijkheid, integriteit en beschikbaarheid van persoonlijke
gezondheidsinformatie in de zorg te beschermen en ervoor te zorgen dat de toegang tot dergelijke informatie
gecontroleerd en verantwoord kan worden. Deze beheersmaatregelen helpen fouten in de medische praktijk
te voorkomen, die zouden kunnen voortvloeien uit het niet goed handhaven van de integriteit van
gezondheidsinformatie. Bovendien dragen ze bij aan het garanderen dat de continuïteit van medische
dienstverlening gehandhaafd wordt.
Er zijn nog meer overwegingen die de doelen van informatiebeveiliging in de zorg vorm geven, waaronder:
a) aan wettelijke verplichtingen voldoen, die zijn vervat in de toepasselijke wet- en regelgeving inzake
gegevensbescherming die het recht op privacy van een cliënt beschermt 2);
b) gevestigde best practices op het gebied van privacy en beveiliging binnen de gezondheidsinformatica
handhaven;
c) de rekenschap van individuen en van organisaties onder zorginstellingen en zorgverleners handhaven;
d) de implementatie van stelselmatig risicomanagement binnen zorginstellingen ondersteunen;
e) aan de beveiligingsbehoeften voldoen die in alledaagse situaties in de zorg worden geïdentificeerd;
f) de exploitatiekosten verlagen door intensiever gebruik van technologie op een veilige, beveiligde en goed
gemanagede wijze mogelijk te maken, die de huidige gezondheidsactiviteiten ondersteunt, maar deze
niet beperkt;
g) het vertrouwen van het publiek in zorginstellingen en de informatiesystemen waarop deze organisaties
vertrouwen, handhaven;
h) door professionele organisaties in de zorg vastgestelde professionele normen en ethiek handhaven (voor
zover informatiebeveiliging de vertrouwelijkheid en integriteit van gezondheidsinformatie handhaaft);
i) elektronische zorginformatiesystemen gebruiken in een omgeving die op passende wijze tegen
bedreigingen is beveiligd; en
j) interoperabiliteit tussen zorginformatiesystemen mogelijk maken, aangezien er steeds meer
gezondheidsinformatie wordt uitgewisseld tussen organisaties en buiten de grenzen van rechtsgebieden
(met name aangezien die interoperabiliteit de juiste wijze van omgaan met gezondheidsinformatie
2)
6
In aanvulling op wettelijke verplichtingen is er een schat aan informatie beschikbaar over ethische verplichtingen
met betrekking tot gezondheidsinformatie; bijv. de gedragscode van de Wereldgezondheidsorganisatie. Deze
ethische verplichtingen kunnen in bepaalde omstandigheden ook gevolgen hebben voor informatiebeveiliging in de
zorg.
Ontw. NEN 7510-1:2017
versterkt, waardoor wordt gegarandeerd dat de vertrouwelijkheid, integriteit en beschikbaarheid ervan
gehandhaafd blijven).
Ongeacht hun grootte, locatie en model van dienstverlening, moeten alle zorginstellingen strenge
beheersmaatregelen hebben ingesteld om de aan hen toevertrouwde gezondheidsinformatie te beschermen.
Veel beroepsbeoefenaren in de zorg werken echter als zelfstandig zorgverlener of werken in kleine klinieken
waar men niet beschikt over speciale IT-middelen om informatiebeveiliging te managen. Zorginstellingen
hebben daarom duidelijke, compacte en zorgspecifieke richtlijnen nodig voor het selecteren en
implementeren van dergelijke beheersmaatregelen. Deze richtlijnen moeten kunnen worden aangepast aan
het brede spectrum aan omvang, locaties en modellen van dienstverlening die men in de zorg aantreft. Ten
slotte biedt het vaststellen van een gemeenschappelijk referentiekader voor informatiebeveiliging in de zorg
een duidelijk voordeel. Dit vanwege de toenemende elektronische uitwisseling van persoonlijke
gezondheidsinformatie tussen zorgverleners (waaronder het gebruik van draadloze en internetdiensten,
cloud computing).
0.2 Relatie tot informatiegovernance 3), corporate governance en klinische governance
Waar zorginstellingen kunnen verschillen in hun standpunten over klinische governance en corporate
governance, zou het belang van het integreren en onderhouden van informatiegovernance geen onderwerp
van discussie mogen zijn. Dit is essentieel voor het ondersteunen van de beide andere vormen van
governance. Zorginstellingen worden steeds afhankelijker van informatiesystemen voor het ondersteunen
van de zorgverlening (bijv. door gebruik te maken van technieken die de besluitvorming ondersteunen en
door trends richting ‘op bewijs gebaseerde’ in plaats van ‘op ervaring gebaseerde’ zorg). Hierdoor kunnen
gebeurtenissen waarbij verlies van integriteit, beschikbaarheid en vertrouwelijkheid optreedt, aanmerkelijke
klinische gevolgen hebben. Problemen die voortvloeien uit dergelijke gevolgen, zullen worden beschouwd
als falen ten opzichte van de ethische en wettelijke verplichtingen die inherent zijn aan een zorgplicht.
In kaders voor klinische governance moet doeltreffend management van de informatiebeveiligingsrisico's
een even hoog belang krijgen als zorgplannen, infectiemanagementstrategieën en andere kernaspecten van
klinisch management. NEN 7510-1 en NEN 7510-2 helpen de verantwoordelijken voor klinische governance
een beter inzicht te krijgen in de bijdrage die wordt geleverd door doeltreffende
informatiebeveiligingsstrategieën.
0.3 Gezondheidsinformatie
Er zijn allerlei soorten informatie waarvan de vertrouwelijkheid, integriteit en beschikbaarheid 4) beschermd
moeten worden:
a) persoonlijke gezondheidsinformatie 5);
b) gepseudonimiseerde gegevens die, via een methodiek voor pseudonieme identificatie, aan persoonlijke
gezondheidsinformatie worden ontleend;
c) statistische en onderzoeksgegevens, waaronder geanonimiseerde gegevens, die aan persoonlijke
gezondheidsinformatie worden ontleend, door persoonlijke identificatiegegevens weg te halen;
d) klinische/medische kennis die niet gerelateerd is aan specifieke cliënten, waaronder gegevens ter
ondersteuning van klinische besluiten (bijv. gegevens over ongewenste bijwerkingen van medicijnen);
e) gegevens over zorgverleners, personeel en vrijwilligers;
f) informatie in verband met het toezicht op de volksgezondheid;
g) audittrajectgegevens die door zorginformatiesystemen worden geproduceerd en die persoonlijke
gezondheidsinformatie of aan persoonlijke gezondheidsinformatie ontleende pseudonieme gegevens
3)
4)
5)
Let op: in bepaalde landen wordt informatiegovernance informatiezekerheid genoemd.
De mate van beschikbaarheid is afhankelijk van hoe de gegevens gebruikt gaan worden.
Persoonlijke gezondheidsinformatie komt voor in verschillende hoedanigheden zoals testgegevens,
extractiegegevens, back-upgegevens; zie ook de definitie in hoofdstuk 3.
7
Ontw. NEN 7510-1:2017
bevatten, of die gegevens bevatten over de handelingen van gebruikers met betrekking tot persoonlijke
gezondheidsinformatie;
h) systeembeveiligingsgegevens voor zorginformatiesystemen, waaronder toegangsbeveiligingsgegevens
en andere beveiligingsgerelateerde systeemconfiguratiegegevens.
De mate waarin vertrouwelijkheid, integriteit en beschikbaarheid moeten worden beschermd is afhankelijk
van de aard van de informatie, het beoogde gebruik ervan en de risico's waaraan deze informatie wordt
blootgesteld. Zo is het bijvoorbeeld mogelijk dat statistische gegevens (punt c hierboven) niet vertrouwelijk
zijn, maar kan het beschermen van de integriteit ervan erg belangrijk zijn. Ook is het mogelijk dat
audittrajectgegevens (punt g hierboven) geen hoge beschikbaarheid vereisen (regelmatig archiveren met
een terugvindtijd, gemeten in uren in plaats van seconden, zou voldoende zijn voor een bepaalde
toepassing), maar dat de inhoud ervan zeer vertrouwelijk is. Met behulp van een risicobeoordeling kan op de
juiste manier worden bepaald hoeveel inspanning er nodig is om de vertrouwelijkheid, integriteit en
beschikbaarheid te beschermen. De resultaten van regelmatige risicobeoordeling moeten worden afgestemd
op de prioriteiten en middelen van de implementerende organisatie.
0.4 Bedreigingen voor en kwetsbaarheden in de beveiliging van gezondheidsinformatie
De verschillende soorten bedreigingen in en kwetsbaarheden van informatiebeveiliging lopen sterk uiteen en
dat geldt ook voor de beschrijvingen ervan. Hoewel dit op zich niet uniek is voor de zorg, is het grote aantal
factoren dat in overweging moet worden genomen bij het beoordelen van bedreigingen en kwetsbaarheden
wel iets dat uniek is voor de zorg.
Het is inherent aan hun aard dat gezondheidsorganisaties in een omgeving werken waar het grote publiek
nooit volledig kan worden buitengesloten. Bij grote gezondheidsorganisaties is alleen al het aantal mensen
dat zich door de ruimten beweegt waar de zorgactiviteiten worden uitgevoerd, aanzienlijk. Deze factoren
verhogen de kwetsbaarheid van systemen voor fysieke bedreigingen. De waarschijnlijkheid dat dergelijke
bedreigingen zich voordoen, kan groter worden als er emotionele cliënten of familieleden, of cliënten of
familieleden met psychische aandoeningen aanwezig zijn.
Het kritische belang van het correct identificeren van cliënten, en daar het juiste medische dossier aan
koppelen, leidt ertoe dat zorginstellingen gedetailleerde identificerende informatie verzamelen. Regionale of
binnen een specifiek rechtsgebied vallende cliëntenregistraties (d.w.z. registers van cliënten) zijn soms de
meest uitgebreide en actuele bewaarplaatsen van identificerende informatie die beschikbaar zijn in een
rechtsgebied. Omdat deze identificerende informatie van grote waarde kan zijn voor mensen die deze
zouden willen gebruiken om identiteitsdiefstal te plegen, moet deze streng beschermd worden.
0.5 Doelgroep van NEN 7510-1 en NEN 7510-2
NEN 7510-1 en NEN 7510-2 zijn bedoeld voor degenen die verantwoordelijk zijn voor het toezicht op de
beveiliging van gezondheidsinformatie en voor zorginstellingen en andere beheerders van persoonlijke
gezondheidsinformatie die richtlijnen zoeken over dit onderwerp, evenals hun beveiligingsadviseurs,
-consultants, -auditoren, -aanbieders en externe dienstverleners.
De doelgroep van NEN 7510-1 en NEN 7510-2 bestaat uit:
— zorginstellingen;
— andere beheerders van persoonlijke gezondheidsinformatie.
Een instelling wordt volgens art. 1 van de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) 6) gedefinieerd
als een rechtspersoon die bedrijfsmatig zorg verleent, een organisatorisch verband van natuurlijke personen
die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg
doet verlenen 7). In dit verband wordt ook genoemd de Wet toelating zorgstellingen 8), die in art. 5 aangeeft
6)
7)
8)
8
Zie: http://wetten.overheid.nl/BWBR0037173/2016-08-01.
Ook in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en het Besluit elektronische
gegevensverwerking door zorgaanbieders wordt verwezen naar deze definitie.
Zie: http://wetten.overheid.nl/BWBR0018906/2016-08-01.
Ontw. NEN 7510-1:2017
welke organisaties zorg mogen verlenen. Ten derde wordt ook het Interimbesluit forensische zorg 9)
genoemd, dat in art. 1 aangeeft welke zorginstellingen forensische zorg mogen verlenen.
NEN 7510-1 en NEN 7510-2 zijn in ieder geval van toepassing op de zorginstellingen zoals gedefinieerd in
voornoemde wet- en regelgeving.
Naast de zorginstellingen zelf bestaat de doelgroep van NEN 7510-1 en NEN 7510-2 ook uit andere
beheerders 10) van persoonlijke gezondheidsinformatie. Naast de ‘instellingen die zorg verlenen’, zijn er
namelijk ook andere organisaties die ten aanzien van persoonlijke gezondheidsinformatie als beheerder
optreden. Voorbeelden hiervan zijn zorgserviceproviders, gemeenten en toeleveranciers van
zorginstellingen, zoals hostingproviders.
De schrijvers van NEN 7510-1 en NEN 7510-2 beogen niet een beknopte handleiding te schrijven over
informatiebeveiliging. Er zijn veel beveiligingseisen die voor alle gerelateerde informatiesystemen opgaan,
ongeacht waar die gebruikt worden, in de financiële dienstverlening, fabricage, industriële besturingen of in
welke andere georganiseerde activiteit dan ook. In NEN 7510-1 en NEN 7510-2 wordt de aandacht gericht
op beveiligingseisen die nodig zijn geworden door de unieke uitdagingen van het leveren van elektronische
gezondheidsinformatie die de zorgverlening ondersteunt.
0.6 Structuur en aard van NEN 7510
0.6.1
Deel 1: het managementsysteem voor informatiebeveiliging
NEN 7510:2017 voor informatiebeveiliging in de zorg bestaat uit twee delen.
Deel 1 is opgesteld om te voorzien in eisen voor het vaststellen, implementeren, bijhouden en continu
verbeteren van een managementsysteem voor informatiebeveiliging. Het invoeren van een
managementsysteem voor informatiebeveiliging is voor een organisatie een strategische beslissing. Het
vaststellen en implementeren van een managementsysteem voor informatiebeveiliging wordt beïnvloed door
de behoeften en doelstellingen van de organisatie, de beveiligingseisen, de procedures die de organisatie
toepast en de omvang en structuur van de organisatie.
Het managementsysteem voor informatiebeveiliging beschermt de vertrouwelijkheid, de integriteit en de
beschikbaarheid van informatie door een risicobeheerproces toe te passen, en geeft belanghebbenden het
vertrouwen dat risico’s adequaat worden beheerd.
Het is belangrijk dat het managementsysteem voor informatiebeveiliging deel uitmaakt van en geïntegreerd
is met de procedures van de organisatie en met de algehele managementstructuur, en dat
informatiebeveiliging in aanmerking wordt genomen bij het ontwerpen van processen, informatiesystemen en
beheersmaatregelen. Er wordt van uitgegaan dat de implementatie van een managementsysteem voor
informatiebeveiliging in omvang wordt afgestemd op de behoeften van de organisatie.
NEN 7510-1 kan worden gebruikt door interne en externe partijen om het vermogen van de organisatie te
beoordelen om te voldoen aan de eigen informatiebeveiligingseisen.
De volgorde waarin de eisen in deze norm worden gepresenteerd, geeft niet de volgorde van belangrijkheid
aan en impliceert niet de volgorde waarin ze moeten worden geïmplementeerd. De nummering van de
lijstitems dient alleen referentiedoeleinden.
9)
Zie: http://wetten.overheid.nl/BWBR0029333/2012-04-01: ‘zorginstelling forensische zorg: een instelling als bedoeld
in artikel 1, eerste lid, onder f van de Wet toelating zorginstellingen, een justitiële inrichting voor verpleging van ter
beschikking gestelden of een penitentiaire inrichting waar geestelijke gezondheidszorg wordt verleend’.
10) Onder ‘beheerder’ wordt in dit kader verstaan: de ‘verwerkingsverantwoordelijke’ en ‘verwerker’ in de zin van de
Algemene verordening gegevensbescherming (AVG) en de ‘verantwoordelijke’ en ‘bewerker’ in de zin van de
vigerende privacywetgeving.
9
Ontw. NEN 7510-1:2017
0.6.2
Deel 2: de maatregelen voor informatiebeveiliging
NEN 7510-2 voorziet in richtlijnen voor zorginstellingen en andere beheerders van persoonlijke
gezondheidsinformatie over hoe men het beste de vertrouwelijkheid, integriteit en beschikbaarheid van
dergelijke informatie kan beschermen.
Met de aanvulling met NEN-EN-ISO 27799 gaat deze norm in op de speciale behoeften op het gebied van
informatiebeveiliging van de gezondheidssector en de unieke werkomgevingen van deze sector. Terwijl de
bescherming en beveiliging van persoonlijke informatie belangrijk is voor alle personen, bedrijven,
instellingen en overheden, gelden er speciale eisen in de gezondheidssector waaraan moet worden voldaan
om de vertrouwelijkheid, integriteit, controleerbaarheid en beschikbaarheid van persoonlijke
gezondheidsinformatie zeker te stellen. Het beschermen van de vertrouwelijkheid, integriteit en
beschikbaarheid van gezondheidsinformatie vereist daarom gezondheidssectorspecifieke expertise.
De beheersmaatregelen in deel 2 volgen zoveel mogelijk de tekst van NEN-ISO/IEC 27002+C1+C2:2015 en
NEN-EN-ISO 27799:2016. In die laatste internationale norm zijn zorgspecifieke aanscherpingen van het
dwingende ‘moeten’ (‘shall’) voorzien op basis van een universele risicobeoordeling voor de zorg. Aangezien
in de systematiek van deze NEN 7510 een verklaring van toepasselijkheid (6.1.3 van deel 1) de selectie van
beheersmaatregelen bepaalt, is die formuleringswijze hier niet overgenomen. In deel 2 staan immers ‘best
practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn mogelijke keuzes, daarom worden in
deel 2 de beheersmaatregelen niet-normatief beschreven; er staat dus geen ‘moeten’, maar ‘behoren te’.
Daarin ligt ook het verschil met de doelvoorschriften in bijlage A van deel 1. Zorginstellingen moeten deze
doelvoorschriften selecteren op basis van de risicoanalyse en dit vastleggen in de verklaring van
toepasselijkheid en daarmee kunnen aantonen dat de doelvoorschriften wel of niet van toepassing zijn. In
bijlage A van deel 1 worden de beheersmaatregelen daarom wel normatief beschreven (‘moeten’ en niet
‘behoren te’).
0.7 De toegevoegde waarde van NEN 7510-1 en NEN 7510-2
Deze normen maken het mogelijk om de drie onderliggende basisnormen NEN-EN-ISO 27799,
NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 op consequente wijze binnen zorgomgevingen te
implementeren, met specifieke aandacht voor de unieke uitdagingen die de zorg stelt. Door deze normen te
volgen zorgen zorginstellingen ervoor dat de vertrouwelijkheid en integriteit van gegevens waarvoor zij
verantwoordelijk zijn, gehandhaafd worden, dat kritische zorginformatiesystemen beschikbaar blijven en dat
er rekenschap voor gezondheidsinformatie wordt afgelegd.
Het overnemen van deze richtlijnen door zorginstellingen, zowel binnen als tussen rechtsgebieden, zal
bijdragen aan de interoperabiliteit en zal het mogelijk maken veilig nieuwe technieken voor samenwerking
binnen de zorgverlening in te voeren. Het op beveiligde wijze delen van informatie, zodanig dat de privacy
wordt beschermd, kan de resultaten van de zorg aanmerkelijk verbeteren.
Zorginstellingen die deze richtlijnen implementeren, mogen ervan uitgaan dat het aantal en de ernst van hun
beveiligingsincidenten afneemt, waardoor ze meer middelen kunnen vrijmaken voor productieve activiteiten.
Informatiebeveiliging maakt het zo mogelijk middelen in de zorg op kosteneffectieve en doeltreffende wijze in
te zetten. Uit onderzoek door het gerespecteerde Information Security Forum en door marktanalisten is
gebleken dat goede allround beveiliging een positief effect van wel 2 % kan hebben op de resultaten van
organisaties. Een consequente benadering van informatiebeveiliging, begrijpelijk voor iedereen die
betrokken is bij de zorg, zal het moreel van het personeel doen verbeteren en het vertrouwen van het
publiek in de systemen waarin persoonlijke gezondheidsinformatie wordt bijgehouden, doen toenemen.
Ten slotte kunnen zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie zich
certificeren tegen NEN 7510, waarvan het certificatieschema (NTA 7515) onder accreditatie is goedgekeurd.
Hiermee staat het certificatieproces onder toezicht van de Raad voor Accreditatie (RvA), die zowel eisen
stelt aan het certificatieproces als aan de certificerende organisatie.
De Inspectie voor de Gezondheidszorg (IGZ) heeft aangegeven NEN 7510-1 en NEN 7510-2 te hanteren bij
het toetsen van de vraag of zorginstellingen de juiste maatregelen treffen voor invoering en handhaving van
informatiebeveiliging.
10
Ontw. NEN 7510-1:2017
Ook de Autoriteit Persoonsgegevens (AP) hanteert NEN 7510-1 en NEN 7510-2 als uitgangspunt voor het
toetsen van passende beveiliging in de zorg, in het bijzonder ook voor toegangsbeveiliging.
0.8 Relatie met Nederlandse wet- en regelgeving
Verschillende wet- en regelgeving heeft aanknopingspunten met NEN 7510-1 en NEN 7510-2. Het aantal
regels neemt toe en de regels worden internationaler van aard. Hieronder volgt een niet-limitatieve
opsomming van de belangrijkste wet- en regelgeving met een relatie naar deze normen.
Wet bescherming persoonsgegevens (Wbp) en Algemene verordening gegevensbescherming (AVG)
De Nederlandse Wbp en de Europese AVG verplichten organisaties te zorgen voor een adequate beveiliging
van persoonsgegevens. In art. 13 van de Wbp is vastgesteld dat passende technische en organisatorische
maatregelen moeten worden getroffen voor de beveiliging van persoonsgegevens. Art. 13 Wbp kan op
passende wijze worden ingevuld door te voldoen aan de bestaande (Nederlandse en internationale) normen
voor informatiebeveiliging. Voor zorginstellingen en andere organisaties die persoonlijke
gezondheidsinformatie verwerken, betreft het onder andere NEN 7510-1 en NEN 7510-2, NEN 7512 en
NEN 7513. Als een zorginstelling de in deze normen aangegeven maatregelen heeft getroffen, wordt
daarmee vastgesteld dat de instelling voldoet aan de genoemde wettelijke bepaling. Er zal daarnaast
moeten worden afgewogen welke aanvullende maatregelen eventueel nodig zijn in verband met de
bijzonderheden en risico’s van de verwerking van persoonsgegevens.
De wet introduceert ook een meldplicht voor gegevenslekken in de Wbp. De introductie van deze meldplicht
in de Wbp loopt vooruit op de Europese AVG, waarin naar verwachting met ingang van 2018 een
vergelijkbare verplichting zal worden opgenomen.
Wet cliëntenrechten bij elektronische verwerking van gegevens
De Wet cliëntenrechten bij elektronische verwerking van gegevens 11) schept aanvullende randvoorwaarden
voor het eventuele gebruik van een elektronisch uitwisselingssysteem door zorginstellingen en is een
wijziging op de Wet gebruik BSN in de zorg. Deze wet is een aanvulling op onder andere de Wbp/AVG, de
WGBO, de Wet gebruik burgerservicenummer in de zorg (Wbsn-z), de Wet marktordening gezondheidszorg
(Wmg) en de Zorgverzekeringswet (Zvw).
Zeer relevant is de AMvB die op basis van deze wet per 1 juli 2017 in werking zal treden: Het Besluit
elektronische gegevensverwerking door zorgaanbieders verwijst dwingend naar NEN 7510, NEN 7512 en
NEN 7513. Dit betekent dat wanneer een zorginstelling de in NEN 7510, NEN 7512 en NEN 7513
aangegeven maatregelen heeft getroffen, ervan uit mag worden gegaan dat deze ‘passende technische en
organisatorische maatregelen’ heeft getroffen, als bedoeld in art. 13 Wbp.
Voor zorgverleners geldt in het kader van de verwerking van het burgerservicenummer al de verplichting te
voldoen aan NEN 7510 en NEN 7512. Het voldoen aan deze normen is destijds verplicht gesteld naar
aanleiding van het advies van het CBP (sinds 1 januari 2016 in het maatschappelijk verkeer aangeduid als
de Autoriteit Persoonsgegevens) om te zorgen voor eenduidige beveiligingsnormen door dwingend te
verwijzen, omdat die normen van belang zijn voor de standaardisatie en samenwerking tussen instellingen
en de mogelijkheden bevorderen om goed toezicht te houden op een ‘passende beveiliging’ als bedoeld in
art. 13 Wbp. Ook in het kader van het wetsvoorstel cliëntenrechten bij elektronische verwerking van
gegevens (kamerstukken 33 509) heeft de AP geadviseerd deze normen dwingend voor te schrijven in deze
AMvB op grond van art. 26 Wbp.
Wet op de geneeskundige behandelovereenkomst (WGBO)
De WGBO (BW-boek 7, afdeling 5, art. 446-468), omtrent rechten en plichten voor zowel hulpverlener als
cliënt, is van toepassing op het verwerken van gegevens door de zorginstelling die de hulpverlener in het
kader van de behandeling van de cliënt heeft verkregen. Die wet verplicht hem de noodzakelijke gegevens
vast te leggen in zijn dossier over de cliënt. Via de Wbp is een zorginstelling ook verplicht de gegevens van
haar cliënten in het dossier adequaat te beschermen. Die verplichting kan worden ingevuld door
NEN 7510-1 en NEN 7510-2 als uitgangspunt te hanteren.
11) Na inwerkingtreding (juli 2017) moet deze wet worden aangehaald als: Wet aanvullende bepalingen verwerking
persoonsgegevens in de zorg.
11
Ontw. NEN 7510-1:2017
Wet op de beroepen in de individuele gezondheidszorg (Wet BIG)
De Wet BIG is van toepassing op het bevorderen en bewaken van de kwaliteit in de gezondheidszorg door
de onderverdeling van beroepen in drie groepen, waarvan art. 3-beroepen in het BIG-register staan en onder
het complete tuchtrecht vallen.
Wet kwaliteit, klachten en geschillen zorg (Wkkgz)
De Wkkgz verplicht de zorginstelling tot het verlenen van goede zorg die veilig, doeltreffend, doelmatig en
cliëntgericht is (art. 2) en te zorgen voor systematische bewaking, beheersing en verbetering van de kwaliteit
van de zorg (art. 7).
Wet cliëntenrechten zorg (Wcz)
De Wcz is een samenvoeging van regels omtrent de rechten van cliënten en de bijbehorende verplichtingen
voor zorginstellingen: o.a. recht op goede zorg, keuze-informatie, informatie, toestemming, dossiervorming,
bescherming van de persoonlijke levenssfeer, effectieve en laagdrempelige klachten- en geschillenregeling,
medezeggenschap, goed bestuur en toezicht en maatschappelijke verantwoording. Goede zorgverlening
vraagt van de zorginstelling dat zij bijhoudt wat er met de cliënt is besproken en welke behandeling er is
gegeven. De Wcz geeft de cliënt dan ook het recht op een dossier en verplicht de zorginstelling dus om dit
aan te leggen. De cliënt heeft recht op inzage en op een afschrift van zijn dossier. Het dossier moet twintig
jaar bewaard worden, tenzij de cliënt het eerder wil laten vernietigen. Deze bepalingen zijn met enige
wijzigingen overgenomen uit de WGBO. In de WGBO is ook de bescherming van de persoonlijke
levenssfeer (‘privacy’) geregeld. Dit is overgenomen in de Wcz. Onder bescherming van de persoonlijke
levenssfeer vallen de geheimhoudingsplicht van de zorginstelling en haar medewerkers en het recht van de
cliënt op privacy tijdens de zorgverlening.
0.9 Relatie met NEN 7512 en NEN 7513
Binnen de zorg worden gegevens in toenemende mate uitgewisseld tussen betrokken partijen. Dit geldt voor
zowel de primaire processen van behandeling en verzorging van een individuele cliënt als de financiële
afhandeling en de bedrijfsprocessen in een zorginstelling. Voorbeelden zijn: het versturen van aanvragen en
uitslagen van laboratoriumbepalingen tussen een zorginstelling en een extern laboratorium, inzage van een
cliënt in zijn eigen elektronisch patiëntdossier via een portaal en het versturen van een ontslagbrief van een
specialist aan een huisarts. NEN 7512 heeft betrekking op de elektronische communicatie in de zorg, en wel
tussen zorgverleners en zorginstellingen onderling, met patiënten en cliënten, met zorgverzekeraars en met
andere partijen die bij de zorg zijn betrokken. Vanuit de wet- en regelgeving worden er eisen gesteld aan de
beveiliging van deze gegevensuitwisseling. Deze eisen verschillen per proces. NEN 7512 beschrijft het
proces om te komen tot een goede risicobeoordeling voor gegevensuitwisseling.
NEN 7513 stelt eisen aan de registratie van gegevens rond de toegang tot elektronisch vastgelegde
persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke
gezondheidsinformatie verwerkt. In het kader van deze norm wordt deze totale verzameling aangeduid als:
‘het elektronisch patiëntdossier’. NEN 7513 beschrijft de stelselmatige geautomatiseerde registratie van
gegevens rond de toegang tot het elektronisch patiëntdossier, die controle van de rechtmatigheid ervan
mogelijk maakt.
NEN 7513 beschrijft daartoe de gebeurtenissen die moeten worden gelogd en welke gegevens van die
gebeurtenissen moeten worden vastgelegd. NEN 7513 beschrijft niet alleen de eisen met betrekking tot de
acties van de toegang zelf, maar ook de acties rond het inrichten en beheren van de (autorisatie)structuur.
NEN 7513 is daarmee ook een uitwerking van wat NEN 7510-2 voorschrijft voor zover het gaat om de
verplichting om gebeurtenissen in elektronische patiëntdossiers te loggen en deze te beheren en te
beveiligen.
NEN 7513 schrijft in – in aanvulling op NEN 7510-2 – ook voor dat de in de logbestanden vastgelegde
gegevens onweerlegbaar zijn en schrijft voor hoe dit moet worden bereikt. NEN 7513 schrijft voor hoelang
logbestanden minimaal en maximaal moeten worden bewaard. NEN 7513 geeft aanwijzingen over de te
gebruiken templates van de logging voor cliënten en zorginstellingen, conform wettelijke kaders.13)
13) In art. 35 lid 2 van Wbp en art. 12 lid van de AVG staan kwaliteitseisen t.a.v. templates. Art. 35 Wbp luidt: ‘Indien
zodanige gegevens worden verwerkt, bevat de mededeling een volledig overzicht daarvan in begrijpelijke vorm,
een omschrijving van het doel of de doeleinden van de verwerking, de categorieën van gegevens waarop de
verwerking betrekking heeft en de ontvangers of categorieën van ontvangers, alsmede de beschikbare informatie
over de herkomst van de gegevens.’
12
Ontw. NEN 7510-1:2017
Medische informatica – Informatiebeveiliging in de zorg –
Deel 1: Managementsysteem
1
Onderwerp en toepassingsgebied
1.1 Algemeen
NEN 7510-1 en NEN 7510-2 geven richtlijnen en uitgangspunten voor het bepalen, instellen en handhaven
van maatregelen die zorginstellingen en andere beheerders van persoonlijke gezondheidsinformatie moeten
treffen ter beveiliging van de informatievoorziening. Hiervoor geven de normen een normatief raamwerk in
de vorm van een managementsysteem voor informatiebeveiliging (ISMS, ‘Information Security Management
System’). Als een organisatie conformiteit met deze normen claimt, is uitsluiting van een van de eisen
genoemd in de hoofdstukken 4 tot en met 10 van NEN 7510-1 niet acceptabel.
Om de vereiste waarborging van vertrouwelijkheid, integriteit en beschikbaarheid van de informatie te
bepalen is een risicobeoordeling nodig. In de cyclus voor het beheersen van de informatiebeveiliging maakt
risicobeoordeling deel uit van de eerste fase.
Door implementatie van het managementsysteem voor informatiebeveiliging inclusief de
beheersmaatregelen bij elk van de beheersdoelstellingen in NEN 7510-1 en NEN 7510-2 kan een
organisatie voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. NEN 7510-1 en NEN 7510-2
geven daarmee aanwijzingen voor het organisatorisch en technisch inrichten van de informatiebeveiliging en
bieden zo een basis voor vertrouwen in de zorgvuldige informatievoorziening bij en tussen de verschillende
organisaties in de zorg.
1.2 Uitsluitingen van het onderwerp en toepassingsgebied
De volgende gebieden van informatiebeveiliging vallen niet binnen het onderwerp en toepassingsgebied van
NEN 7510-1 en NEN 7510-2.
a) methodieken en statistische testen voor het doeltreffend anonimiseren van persoonlijke
gezondheidsinformatie;
b) methodieken voor het pseudonimiseren van persoonlijke gezondheidsinformatie;
c) de netwerkkwaliteit van dienstverlening en methoden voor het meten van de beschikbaarheid van
netwerken die worden gebruikt voor gezondheidsinformatica; en
d) gegevenskwaliteit (onderscheiden van gegevensintegriteit).
2
Normatieve verwijzingen
In dit document wordt niet normatief naar andere documenten verwezen.
3
Termen en definities
Voor de toepassing van deze norm gelden de volgende termen en definities.
3.1
anonimiseren
identificerende gegevens uit een gegevensbestand verwijderen
13
Ontw. NEN 7510-1:2017
3.2
audit
systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal, en het
objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan
Opmerking 1 bij de term: Een audit kan een interne audit (eerste partij) of een externe audit (tweede of derde partij) zijn,
en het kan een gecombineerde audit zijn (waarbij twee of meer disciplines worden gecombineerd).
Opmerking 2 bij de term: Een interne audit wordt door de organisatie zelf uitgevoerd, of namens haar door een externe
partij.
Opmerking 3 bij de term: ‘Auditbewijsmateriaal’ en ‘auditcriteria’ zijn gedefinieerd in NEN-EN-ISO 19011.
3.3
authenticatie
het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek
3.4
authenticiteit
eigenschap dat een entiteit is wat zij claimt te zijn
3.5
autorisatie
het toekennen van bevoegdheden
3.6
bedreiging
potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een
organisatie
3.7
bedrijfsmiddel
alles wat waarde heeft voor de organisatie
[BRON: NEN-ISO/IEC 27000:2009]
3.8
beheersmaatregel
maatregel waarmee een risico wordt gewijzigd
Opmerking 1 bij de term: Een beheersmaatregel kan elke vorm van proces, beleid, voorziening, werkwijze of andere
maatregel zijn waarmee het risico wordt gewijzigd.
Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde effect.
[BRON: NPR-ISO Guide 73:2009]
3.9
beleid
intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
3.10
beoordeling
activiteit die wordt ondernomen om de geschiktheid, toereikendheid en doeltreffendheid van het
desbetreffende onderwerp voor het behalen van vastgestelde doelstellingen te bepalen
[BRON: NPR-ISO Guide 73:2009, 3.8.2.2, gewijzigd – OPMERKING is niet overgenomen]
14
Ontw. NEN 7510-1:2017
3.11
beschikbaarheid
eigenschap van het toegankelijk en bruikbaar zijn op verzoek van een bevoegde entiteit
3.12
besturingssysteem
programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten
aanbiedt om andere programma's uit te voeren
Opmerking 1 bij de term: Het besturingssysteem zorgt onder meer voor het starten en beëindigen van andere
programma's en het regelt de toegang tot de hardware. Andere programma’s maken gebruik van de ondersteuning van
het besturingssysteem. Zo kan een besturingssysteem de toegang en de autorisatie van software en gebruikers
faciliteren. Het besturingssysteem vormt zo een laag tussen de hardware van een computer en de toepassingssoftware
en gebruikers.
3.13
betrouwbaarheid
eigenschap van consistent beoogd gedrag en consistente resultaten
3.14
cliënt
persoon die zorg vraagt of aan wie zorg wordt verleend of de identificeerbare persoon wiens persoonlijke
gezondheidsinformatie verwerkt wordt
Opmerking 1 bij de term: Voor ‘cliënt’ kan in de meeste gevallen ook ‘patiënt’ worden gelezen.
3.15
cliëntgegevens
medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele cliënten
3.16
derde partij
persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt
gezien
3.17
dienstverband
relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken
Opmerking 1 bij de term: Het begrip ‘dienstverband’ is hier gebruikt als aanduiding voor de tewerkstelling in een
bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten.
Opmerking 2 bij de term: Het begrip ‘dienstverband’ is bedoeld als containerbegrip voor de volgende situaties:
tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van
contracten, en de beëindiging van enige van deze overeenkomsten.
3.18
directie
persoon of groep van personen die een organisatie op het hoogste niveau bestuurt en beheert
Opmerking 1 bij de term: De directie heeft de macht om bevoegdheid te delegeren en de organisatie van middelen te
voorzien.
Opmerking 2 bij de term: Indien het toepassingsgebied van het managementsysteem slechts een deel van een
organisatie omvat, dan verwijst de directie naar degenen die dat gedeelte van de organisatie besturen en beheren.
3.19
gebeurtenis
optreden van of wijziging in een bepaalde combinatie van omstandigheden
Opmerking 1 bij de term: Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.
15
Ontw. NEN 7510-1:2017
Opmerking 2 bij de term: Een gebeurtenis kan er ook in bestaan dat iets niet gebeurt.
Opmerking 3 bij de term: Een gebeurtenis kan soms ook worden aangeduid als ‘incident’ of ‘ongeval’.
[BRON: NPR-ISO Guide 73:2009, 3.5.1.3, gewijzigd – OPMERKING 4 is niet overgenomen]
3.20
identificatie
het bepalen van de identiteit van een persoon of andere entiteit
3.21
identificeerbare persoon
degene die kan worden geïdentificeerd, direct of indirect, in het bijzonder via een verwijzing naar een
identificatienummer of naar een of meer kenmerken gerelateerd aan zijn fysieke, psychologische,
geestelijke, economische, culturele of sociale identiteit
[BRON: NEN-ISO 22857:2013]
3.22
informatiebeveiliging
behoud van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie
Opmerking 1 bij de term: Dit kan ook andere eigenschappen betreffen, zoals authenticiteit, verantwoordelijkheid,
onweerlegbaarheid en betrouwbaarheid.
3.23
informatiebeveiligingsgebeurtenis
het zich voordoen en waargenomen worden van een systeem-, dienst- of netwerksituatie die op een
mogelijke schending van het informatiebeveiligingsbeleid of falen van beheersmaatregelen wijst, of van een
voorheen onbekende situatie die mogelijk relevant is voor de beveiliging
3.24
informatiebeveiligingsincident
afzonderlijke gebeurtenis of een reeks informatiebeveiligingsgebeurtenissen waarvan het zeer waarschijnlijk
is dat deze de bedrijfsactiviteiten compromitteren en de informatiebeveiliging in gevaar brengen
3.25
informatiesysteem
toepassingen, diensten, informatietechnologische bedrijfsmiddelen of andere gegevensverwerkende
componenten
3.26
informatievoorziening
elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn
ondergebracht
3.27
integriteit
eigenschap van nauwkeurigheid en volledigheid
3.28
klant
persoon die gebruikmaakt van diensten of faciliteiten van de organisatie
3.29
kwetsbaarheid
zwakheid van een bedrijfsmiddel of van een beheersmaatregel waar een of meer bedreigingen gebruik van
kunnen maken
16
Ontw. NEN 7510-1:2017
3.30
loggen
gebeurtenissen chronologisch vastleggen
3.31
logging
resultaat van het loggen
Opmerking 1 bij de term: Zowel de gegevens die bij een bepaalde gebeurtenis worden gelogd, de
'loggegevens', als de 'logbestanden' waarin deze worden bewaard kunnen zijn bedoeld.
3.32
managementsysteem
geheel van samenhangende of elkaar beïnvloedende elementen van een organisatie om een beleid en
doelstellingen vast te stellen, alsmede de processen om die doelstellingen te bereiken
Opmerking 1 bij de term: Een managementsysteem kan betrekking hebben op een of meer disciplines.
Opmerking 2 bij de term: Tot de elementen van het systeem behoren de organisatiestructuur, rollen en
verantwoordelijkheden, planning en uitvoering.
Opmerking 3 bij de term: Het toepassingsgebied van een managementsysteem kan de gehele organisatie omvatten,
specifieke en geïdentificeerde functies van de organisatie, specifieke en geïdentificeerde onderdelen van de organisatie,
of een of meer functies in een groep van organisaties.
3.33
managementsysteem voor informatiebeveiliging
ISMS
dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico’s tot doel heeft
het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van
informatiebeveiliging
Opmerking 1 bij de term: Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden,
werkwijzen, procedures, processen en middelen van de organisatie.
3.34
medische apparatuur
apparaten die worden gebruikt als hulpmiddel voor een zorgproces
Opmerking 1 bij de term: Dit omvat apparatuur voor diagnostiek, monitoring, behandeling en verzorging. Het gebruik kan
binnen of buiten een zorginstelling plaatsvinden door zorgverleners of anderen.
Opmerking 2 bij de term: Apparatuur die bedoeld is voor het zorgproces, valt onder de Europese richtlijn Medische
hulpmiddelen. Deze definitie omvat ook apparatuur die niet bedoeld is voor het zorgproces, maar er wel voor wordt
gebruikt.
3.35
mobile code
interpreteerbare of uitvoerbare software die (door serversystemen) via een netwerk aan desktopcomputer of
computerterminal wordt overgedragen
Opmerking 1 bij de term: Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of
expliciet deze software installeert of activeert.
Opmerking 2 bij de term: Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a.
e-mail, webpagina’s of documenten. Voorbeelden zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en
macro’s binnen documenten.
3.36
onweerlegbaarheid
vermogen om te bewijzen dat een geclaimde gebeurtenis of actie en de entiteiten die ze veroorzaken, zich
daadwerkelijk hebben voorgedaan
17
Ontw. NEN 7510-1:2017
3.37
organisatie
persoon of groep van personen die zijn eigen functies heeft met verantwoordelijkheden, bevoegdheden en
relaties om zijn doelstellingen te bereiken
Opmerking 1 bij de term: Het begrip organisatie omvat maar is niet beperkt tot eenmanszaak, bedrijf, vennootschap,
firma, onderneming, autoriteit, partnerschap, liefdadigheidsinstelling of genootschap, of een deel of combinatie daarvan,
hetzij als rechtspersoon erkend of niet, publiek of privaat.
3.38
patiënt
zie cliënt
Opmerking 1 bij de term: De term ‘patiënt’ wordt in deze norm vermeden. Alleen in enkele samengestelde woorden als
patiëntveiligheid, patiëntgegevens en patiëntdossier wordt deze term gebruikt. Waar in deze norm gesproken wordt van
‘cliënt’, kan vaak ook ‘patiënt’ worden gelezen.
3.39
patiëntdossier
totale verzameling van alle gegevens die de diagnostiek en medische en paramedische behandeling en
verzorging van een bepaalde persoon documenteren
Opmerking 1 bij de term: Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, geen
‘patiëntendossier’, o.a. om te benadrukken dat het meestal gaat om het dossier van één cliënt.
3.40
persoonlijke gezondheidsinformatie
informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid
van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die
persoon voor medische doeleinden;
d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof,
en
f) identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
Opmerking 1 bij de term: Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met
andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit
van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
[BRON: NEN-EN 15224]
3.41
pseudonimiseren
identificerende gegevens met een bepaald algoritme vervangen door versleutelde gegevens (het
pseudoniem)
Opmerking 1 bij de term: Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor
informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd.
3.42
restrisico
risico dat overblijft na risicobehandeling
Opmerking 1 bij de term: Een restrisico kan niet-geïdentificeerde risico’s omvatten.
18
Ontw. NEN 7510-1:2017
Opmerking 2 bij de term: Een restrisico kan ook worden aangeduid als een risico dat wordt behouden.
3.43
richtlijn
beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in
het beleid zijn vastgelegd
[BRON: NEN-ISO/IEC 27000:2009]
3.44
risico
effect van onzekerheid op het behalen van doelstellingen
Opmerking 1 bij de term: Een effect is een afwijking ten opzichte van de verwachting – positief of negatief.
Opmerking 2 bij de term: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van
een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
Opmerking 3 bij de term: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen (zoals
gedefinieerd in ISO Guide 73:2009, 3.5.1.3) en gevolgen (zoals gedefinieerd in ISO Guide 73:2009, 3.6.1.3), of een
combinatie daarvan.
Opmerking 4 bij de term: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met
inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
Opmerking 5 bij de term: In de context van managementsystemen voor informatiebeveiliging kunnen
informatiebeveiligingsrisico’s worden uitgedrukt als een effect van onzekerheid over de
informatiebeveiligingsdoelstellingen.
Opmerking 6 bij de term: Informatiebeveiligingsrisico wordt geassocieerd met de mogelijkheid dat bedreigingen gebruik
zullen maken van zwakke punten van een informatiebedrijfsmiddel of een groep informatiebedrijfsmiddelen, en de
organisatie daarbij schade toebrengen.
[BRON: NPR-ISO Guide 73:2009, 1.1, gewijzigd – niet alle opmerkingen bij de term zijn letterlijk
overgenomen]
3.45
risicoaanvaarding
onderbouwd besluit tot het nemen van een bepaald risico
Opmerking 1 bij de term: Risicoaanvaarding kan plaatsvinden zonder risicobehandeling of tijdens het proces van
risicobehandeling.
Opmerking 2 bij de term: Aanvaarde risico’s zijn onderhevig aan monitoring en beoordeling.
[BRON: NPR-ISO Guide 73:2009]
3.46
risicoanalyse
proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen
Opmerking 1 bij de term: Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten omtrent risicobehandeling.
Opmerking 2 bij de term: Risicoanalyse omvat risico-inschatting.
[BRON: NPR-ISO Guide 73:2009]
3.47
risicobehandeling
proces waarmee een risico wordt aangepast
19
Ontw. NEN 7510-1:2017
Opmerking 1 bij de term: Risicobehandeling kan het volgende omvatten:
— vermijden van het risico door te besluiten de activiteit waardoor het risico wordt veroorzaakt niet uit te voeren of voort
te zetten;
— nemen of verhogen van het risico teneinde een kans te benutten;
— wegnemen van de risicobron;
— veranderen van de waarschijnlijkheid;
— veranderen van de gevolgen;
— delen van het risico met (een) andere partij(en) (met inbegrip van contracten en risicofinanciering); en
— behouden van het risico op basis van een onderbouwde keuze.
Opmerking 2 bij de term: Een risicobehandeling die gericht is op negatieve gevolgen wordt soms aangeduid met
‘risicovermindering’, ‘risico-eliminatie’, ‘risicopreventie’ of ‘risicoreductie’.
Opmerking 3 bij de term: Door risicobehandeling kunnen nieuwe risico’s ontstaan of bestaande risico’s worden gewijzigd.
[BRON: NPR-ISO Guide 73:2009]
3.48
risicobeoordeling
gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie
[BRON: NPR-ISO Guide 73:2009]
3.49
risicobron
element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te
leiden
[BRON: NPR-ISO Guide 73:2009, 3.5.1.2 gewijzigd – de OPMERKING is niet overgenomen]
3.50
risico-eigenaar
persoon of entiteit met de verantwoordelijkheid en bevoegdheid om het risico te managen
[BRON: NPR-ISO Guide 73:2009]
3.51
risicomanagement
gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s
[BRON: NPR-ISO Guide 73:2009]
3.52
risiconiveau
omvang van een risico uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid
[BRON: NPR-ISO Guide 73:2009, 3.6.1.8, gewijzigd – ‘of combinatie van risico’s,’ is verwijderd]
3.53
solistisch werkende zorgverlener
zorgverlener die niet in dienst en niet (onmiddellijk of middellijk) in opdracht van een zorginstelling
bedrijfsmatig zorg verleent
20
Ontw. NEN 7510-1:2017
3.54
toegangsbeveiliging
middel om te bewerkstelligen dat toegang tot bedrijfsmiddelen wordt goedgekeurd en beperkt op basis van
de eisen voor bedrijfsvoering en beveiliging
3.55
uitbesteden
een overeenkomst treffen waarbij een externe organisatie een deel van een functie of proces van de
organisatie uitvoert
Opmerking 1 bij de term: Een externe organisatie valt buiten het toepassingsgebied van het managementsysteem,
hoewel de uitbestede functie of het uitbestede proces er wel binnen valt.
3.56
verantwoordelijke
degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie,
een object of de inhoud en uitvoering van een proces
3.57
verificatie
bevestiging dat aan gespecificeerde eisen is voldaan door het verschaffen van objectief bewijs
Opmerking 1 bij de term: Dit zou ook ‘testen van naleving’ kunnen worden genoemd.
[BRON: ISO 9000:2015, 3.8.12, gewijzigd – de opmerkingen bij de term zijn niet overgenomen]
3.58
verklaring van toepasselijkheid
gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en
toepasbaar zijn op het managementsysteem voor informatiebeveiliging van de organisatie
Opmerking 1 bij de term: Beheersdoelstellingen en beheersmaatregelen zijn gebaseerd op de resultaten en conclusies
van risicobeoordeling en risicobehandelingsproces, eisen uit wet- of regelgeving, contractuele verplichtingen en de eisen
die de organisatie aan informatiebeveiliging stelt.
3.59
vertrouwelijkheid
eigenschap dat informatie niet beschikbaar of niet bekend wordt gemaakt aan onbevoegde personen,
entiteiten of processen
3.60
waarschijnlijkheid
kans dat iets gebeurt
[BRON: NPR-ISO Guide 73:2009, 3.6.1.1, gewijzigd – de opmerkingen zijn niet overgenomen]
3.61
zorg
zorg als omschreven in de Wet langdurige zorg en de Zorgverzekeringswet en alle andere verrichtingen,
inclusief het onderzoeken en het geven van raad, die rechtstreeks betrekking hebben op een persoon en
ertoe strekken diens gezondheid te bevorderen of te bewaken
3.62
zorginformatiesysteem
informatiesysteem ter ondersteuning van een zorgverlener
21
Ontw. NEN 7510-1:2017
3.63
zorginstelling
rechtspersoon die bedrijfsmatig zorg verleent, alsmede een organisatorisch verband van natuurlijke
personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die
bedrijfsmatig zorg doet verlenen, alsmede een solistisch werkende zorgverlener
3.64
zorgproces
gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgverleners
3.65
zorgverlener
natuurlijke persoon die bedrijfsmatig zorg verleent
4
Context van de organisatie
4.1 Inzicht verkrijgen in de organisatie en haar context
De organisatie moet externe en interne onderwerpen vaststellen die relevant zijn voor haar doelstelling en
die haar vermogen beïnvloeden om het (de) beoogde resulta(a)t(en) van haar managementsysteem voor
informatiebeveiliging te behalen.
OPMERKING
Het vaststellen van deze onderwerpen verwijst naar het vaststellen van de externe en interne context
van de organisatie zoals behandeld in 5.3 van NEN-ISO 31000:2009.
4.2 Inzicht verkrijgen in de behoeften en verwachtingen van belanghebbenden
De organisatie moet vaststellen:
a) welke belanghebbenden relevant zijn voor het managementsysteem voor informatiebeveiliging, en
b) welke eisen van deze belanghebbenden relevant zijn voor informatiebeveiliging.
OPMERKING
De eisen van belanghebbenden kunnen eisen op het gebied van wet- en regelgeving en contractuele
verplichtingen inhouden.
4.3 Het toepassingsgebied van het managementsysteem voor informatiebeveiliging
vaststellen
De organisatie moet de grenzen en toepasselijkheid van het managementsysteem voor informatiebeveiliging
bepalen om het toepassingsgebied ervan vast te stellen.
Bij het vaststellen van dit toepassingsgebied moet de organisatie:
a) de in 4.1 genoemde externe en interne onderwerpen overwegen, evenals;
b) de in 4.2 genoemde eisen, en
c) raakvlakken en afhankelijkheden tussen de activiteiten die door de organisatie en de activiteiten die door
andere organisaties worden verricht.
Het toepassingsgebied moet als gedocumenteerde informatie beschikbaar zijn.
4.4 Managementsysteem voor informatiebeveiliging
De organisatie moet een managementsysteem voor informatiebeveiliging inrichten, implementeren,
onderhouden en continu verbeteren, in overeenstemming met de eisen van deze norm.
22
Ontw. NEN 7510-1:2017
5
Leiderschap
5.1 Leiderschap en betrokkenheid
De directie moet leiderschap en betrokkenheid tonen met betrekking tot het managementsysteem voor
informatiebeveiliging door:
a) te bewerkstelligen dat het informatiebeveiligingsbeleid en de informatiebeveiligingsdoelstellingen worden
vastgesteld en aansluiten bij de strategische richting van de organisatie;
b) te bewerkstelligen dat de eisen van het managementsysteem voor informatiebeveiliging in de processen
van de organisatie worden geïntegreerd;
c) te bewerkstelligen dat de voor het managementsysteem voor informatiebeveiliging benodigde middelen
beschikbaar zijn;
d) het belang van een doeltreffende informatiebeveiliging en van het voldoen aan de eisen van het
managementsysteem voor informatiebeveiliging te communiceren;
e) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en)
behaalt;
f) mensen aan te sturen en te ondersteunen om een bijdrage te leveren aan de doeltreffendheid van het
managementsysteem voor informatiebeveiliging;
g) continue verbetering te bevorderen; en
h) andere relevante managementfuncties te ondersteunen om hun leiderschap te tonen binnen hun
verantwoordelijkheidsgebieden.
5.2 Beleid
De directie moet een informatiebeveiligingsbeleid vaststellen dat:
a) passend is voor het doel van de organisatie;
b) informatiebeveiligingsdoelstellingen bevat (zie 6.2) of het kader biedt voor het vaststellen van
informatiebeveiligingsdoelstellingen;
c) een verbintenis bevat om te voldoen aan van toepassing zijnde eisen in verband met
informatiebeveiliging; en
d) een verbintenis bevat tot continue verbetering van het managementsysteem voor informatiebeveiliging.
Het beleid voor informatiebeveiliging moet:
e) beschikbaar zijn als gedocumenteerde informatie;
f) worden gecommuniceerd binnen de organisatie, en
g) beschikbaar zijn voor belanghebbenden, voor zover van toepassing.
5.3 Rollen, verantwoordelijkheden en bevoegdheden binnen de organisatie
De directie moet bewerkstelligen dat de verantwoordelijkheden en bevoegdheden voor rollen die relevant
zijn voor informatiebeveiliging worden toegekend en gecommuniceerd.
De directie moet de verantwoordelijkheid en bevoegdheid toekennen met betrekking tot:
23
Ontw. NEN 7510-1:2017
a) het bewerkstelligen dat het managementsysteem voor informatiebeveiliging voldoet aan de eisen van
deze norm; en
b) het rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging aan de
directie.
OPMERKING
De directie kan ook verantwoordelijkheden en bevoegdheden toekennen met betrekking tot het
rapporteren over de prestaties van het managementsysteem voor informatiebeveiliging binnen de organisatie.
6
Planning
6.1 Maatregelen om risico’s te beperken en kansen te benutten
6.1.1
Algemeen
Bij het plannen voor het managementsysteem voor informatiebeveiliging moet de organisatie de in 4.1
genoemde onderwerpen en de in 4.2 genoemde eisen overwegen, en de risico’s en kansen vaststellen die
moeten worden aangepakt om:
a) te bewerkstelligen dat het managementsysteem voor informatiebeveiliging zijn beoogde resulta(a)t(en)
behaalt;
b) ongewenste effecten te voorkomen of te beperken; en
c) continue verbetering te bereiken.
De organisatie moet:
d) maatregelen plannen om deze risico’s te beperken en kansen te benutten;
e) plannen op welke wijze:
1) de maatregelen in haar managementsysteemprocessen voor informatiebeveiliging worden
geïntegreerd en geïmplementeerd; en
2) de doeltreffendheid van deze maatregelen moet worden geëvalueerd.
6.1.2
Risicobeoordeling van informatiebeveiliging
De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen
die:
a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:
1) de risicoacceptatiecriteria; en
2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;
b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en
vergelijkbare resultaten opleveren;
c) de informatiebeveiligingsrisico’s identificeert door:
1) het risicobeoordelingsproces voor informatiebeveiliging toe te passen om de risico’s in verband met
het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het
toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en
2) de risico-eigenaren te identificeren;
24
Ontw. NEN 7510-1:2017
d) de informatiebeveiligingsrisico’s analyseert door:
1) de potentiële gevolgen te beoordelen indien de risico’s die in 6.1.2 c) 1) zijn vastgesteld, zich zouden
voordoen;
2) de realistische waarschijnlijkheid te beoordelen van het voorkomen van de risico’s die zijn vastgesteld
in 6.1.2 c) 1); en
3) de risiconiveaus vast te stellen;
e) de informatiebeveiligingsrisico’s evalueert door:
1) de resultaten te vergelijken van risicoanalyses met de risicocriteria die zijn vastgesteld in 6.1.2 a); en
2) de geanalyseerde risico’s te prioriteren voor risicobehandeling.
De organisatie moet gedocumenteerde informatie bewaren over het risicobeoordelingsproces van
informatiebeveiliging.
6.1.3
Behandeling van informatiebeveiligingsrisico’s
De organisatie moet een behandelprocedure voor informatiebeveiligingsrisico’s definiëren en toepassen om:
a) passende opties voor het behandelen van informatiebeveiligingsrisico’s te kiezen, rekening houdend met
de resultaten van de risicobeoordeling;
b) alle beheersmaatregelen vast te stellen die nodig zijn om de gekozen optie(s) voor het behandelen van
informatiebeveiligingsrisico’s te implementeren;
OPMERKING
halen.
Organisaties kunnen beheersmaatregelen naar behoefte ontwerpen of ze uit een bepaalde bron
c) de beheersmaatregelen die hiervoor in 6.1.3 b) zijn vastgesteld te vergelijken met die in bijlage A, en om
te verifiëren dat geen noodzakelijke beheersmaatregelen zijn weggelaten;
OPMERKING 1
Bijlage A bevat een uitgebreide lijst van beheersdoelstellingen en beheersmaatregelen.
Gebruikers van deze norm worden verwezen naar bijlage A om te bewerkstelligen dat geen noodzakelijke
beheersmaatregelen over het hoofd worden gezien.
OPMERKING 2
Bij de gekozen beheersmaatregelen zijn beheersdoelstellingen impliciet begrepen. De in bijlage A
opgesomde beheersdoelstellingen en beheersmaatregelen zijn niet uitputtend, en mogelijk zijn aanvullende
beheersdoelstellingen en beheersmaatregelen nodig.
d) een verklaring van toepasselijkheid op te stellen die bevat:
 de benodigde beheersmaatregelen (zie 6.1.3 b) en c));
 een rechtvaardiging voor het opnemen ervan;
 de informatie of de benodigde beheersmaatregelen zijn geïmplementeerd of niet, en
 de rechtvaardiging voor het uitsluiten van in bijlage A genoemde beheersmaatregelen.
e) een behandelplan voor informatiebeveiligingsrisico te formuleren; en
f) van de risico-eigenaren goedkeuring te verkrijgen voor het behandelplan voor informatiebeveiligingsrisico
en acceptatie van de overblijvende informatiebeveiligingsrisico’s.
De organisatie moet gedocumenteerde informatie bewaren over de behandelprocedure van
informatiebeveiligingsrisico’s.
25
Ontw. NEN 7510-1:2017
OPMERKING
De beoordelings- en behandelprocedure van informatiebeveiligingsrisico’s in deze norm is in
overeenstemming met de principes en algemene richtlijnen in NEN-ISO 31000.
6.2 Informatiebeveiligingsdoelstellingen en de planning om ze te bereiken
De organisatie moet voor relevante functies en op relevante niveaus informatiebeveiligingsdoelstellingen
vaststellen.
De informatiebeveiligingsdoelstellingen moeten:
a) consistent zijn met het informatiebeveiligingsbeleid;
b) meetbaar zijn (indien praktisch uitvoerbaar);
c) rekening houden met van toepassing zijnde informatiebeveiligingseisen en resultaten van
risicobeoordeling en -behandeling;
d) worden gemonitord;
e) worden gecommuniceerd; en
f) indien van toepassing, worden geactualiseerd.
De organisatie moet gedocumenteerde informatie over de informatiebeveiligingsdoelstellingen bewaren.
Bij het opstellen van planningen voor het bereiken van de informatiebeveiligingsdoelstellingen moet de
organisatie vaststellen:
f) wat er moet worden gedaan;
g) welke middelen er nodig zijn;
h) wie er verantwoordelijk is;
i) wanneer het moet zijn voltooid; en
j) hoe de resultaten zullen worden geëvalueerd.
7
Ondersteuning
7.1 Middelen
De organisatie moet de middelen vaststellen en beschikbaar stellen die nodig zijn voor het inrichten,
implementeren, onderhouden en continu verbeteren van het managementsysteem voor
informatiebeveiliging.
7.2 Competentie
De organisatie moet:
a) de noodzakelijke competentie vaststellen van de perso(o)n(en) die onder haar gezag werkzaamheden
verricht(en) die de prestaties van de organisatie op het gebied van informatiebeveiliging beïnvloeden;
b) bewerkstelligen dat deze personen competent zijn op basis van de juiste scholing, opleiding of ervaring;
c) waar van toepassing, maatregelen nemen om de benodigde competentie te verwerven, en de
doeltreffendheid van de genomen maatregelen evalueren; en
26
Ontw. NEN 7510-1:2017
d) geschikte gedocumenteerde informatie als bewijsmateriaal van competentie bewaren.
OPMERKING
Geschikte maatregelen kunnen bijvoorbeeld zijn: het voorzien in training van, het begeleiden van, of
het in een andere functie benoemen van mensen die al in dienst zijn; of het inhuren of contracteren van competente
personen.
7.3 Bewustzijn
Personen die werkzaamheden verrichten onder het gezag van de organisatie, moeten zich bewust zijn van:
a) het informatiebeveiligingsbeleid;
b) hun bijdrage aan de doeltreffendheid van het managementsysteem voor informatiebeveiliging, met
inbegrip van de voordelen van verbeterde informatiebeveiligingsprestaties;
c) de gevolgen van het niet voldoen aan de eisen van het managementsysteem voor informatiebeveiliging.
7.4 Communicatie
De organisatie moet de behoefte vaststellen aan interne en externe communicatie die relevant is voor het
managementsysteem voor informatiebeveiliging, waaronder:
a) waarover te communiceren;
b) wanneer te communiceren;
c) met wie te communiceren;
d) wie moet communiceren; en
e) volgens welke processen de communicatie moet plaatsvinden.
7.5 Gedocumenteerde informatie
7.5.1
Algemeen
Het managementsysteem voor informatiebeveiliging van de organisatie moet onder andere bevatten:
a) gedocumenteerde informatie die deze norm vereist; en
b) de gedocumenteerde informatie die de organisatie vaststelt als noodzakelijk voor de doeltreffendheid van
het managementsysteem voor informatiebeveiliging.
OPMERKING
De uitgebreidheid van gedocumenteerde informatie voor een managementsysteem voor
informatiebeveiliging kan van organisatie tot organisatie verschillen vanwege:
1) de omvang van de organisatie en het type van haar activiteiten, processen, producten en diensten;
2) de complexiteit van de processen en hun interacties; en
3) de competentie van de mensen.
7.5.2
Creëren en actualiseren
Bij het creëren en actualiseren van gedocumenteerde informatie moet de organisatie zorgen voor de/het
passende:
a) identificatie en beschrijving (bijv. een titel, datum, auteur of referentienummer);
27
Ontw. NEN 7510-1:2017
b) format (bijv. taal, softwareversie, afbeeldingen) en media (bijv. papier, elektronisch); en
c) beoordeling en goedkeuring van geschiktheid en adequaatheid.
7.5.3
Beheer van gedocumenteerde informatie
Gedocumenteerde informatie zoals het managementsysteem voor informatiebeveiliging en deze norm
vereisen, moet worden beheerd om te bewerkstelligen dat:
a) de informatie beschikbaar is en geschikt is voor gebruik, waar en wanneer het nodig is;
b) de informatie adequaat is beveiligd (bijv. tegen verlies van vertrouwelijkheid, oneigenlijk gebruik en
aantasting).
Voor het beheren van gedocumenteerde informatie moet de organisatie, voor zover van toepassing, invulling
geven aan de volgende activiteiten:
c) distributie, toegang, het terugvinden alsmede het gebruik;
d) opslag en behoud, waaronder behoud van leesbaarheid;
e) beheersing van wijzigingen (bijv. versiebeheer); en
f) bewaring en vernietiging.
Gedocumenteerde informatie van externe oorsprong die de organisatie nodig acht voor de planning en
uitvoering van het managementsysteem voor informatiebeveiliging, moet worden geïdentificeerd voor zover
van toepassing en beheerd.
OPMERKING
Toegang betekent een besluit tot toestemming om de gedocumenteerde informatie alleen in te zien, of
tot toestemming en bevoegdheid om de gedocumenteerde informatie in te zien en te wijzigen, enz.
8
Uitvoering
8.1 Operationele planning en beheersing
Om te voldoen aan de informatiebeveiligingseisen en om de in 6.1 vastgestelde maatregelen te
implementeren moet de organisatie de benodigde processen plannen, implementeren en beheersen. De
organisatie moet ook plannen implementeren om de in 6.2 vastgestelde informatiebeveiligingsdoelstellingen
te bereiken.
De organisatie moet gedocumenteerde informatie bijhouden in de omvang die nodig is om het vertrouwen te
hebben dat de processen volgens planning zijn uitgevoerd.
De organisatie moet geplande wijzigingen beheersen en de consequenties van onbedoelde wijzigingen
beoordelen, en zo nodig maatregelen treffen om nadelige effecten tegen te gaan.
De organisatie moet bewerkstelligen dat uitbestede processen worden vastgesteld en beheerst.
8.2 Risicobeoordeling van informatiebeveiliging
De organisatie moet risicobeoordelingen van informatiebeveiliging met geplande tussenpozen uitvoeren, of
als significante veranderingen worden voorgesteld of zich voordoen, rekening houdend met de criteria die
zijn vastgesteld in 6.1.2 a).
De organisatie moet gedocumenteerde informatie bewaren van de resultaten van de risicobeoordelingen van
informatiebeveiliging.
28
Ontw. NEN 7510-1:2017
8.3 Informatiebeveiligingsrisico’s behandelen
De organisatie moet het behandelplan van informatiebeveiligingsrisico’s implementeren.
De organisatie moet gedocumenteerde informatie bewaren van de resultaten van het behandelen van
informatiebeveiligingsrisico’s.
9
Evaluatie van de prestaties
9.1 Monitoren, meten, analyseren en evalueren
De organisatie moet de informatiebeveiligingsprestaties en de doeltreffendheid van het
managementsysteem voor informatiebeveiliging evalueren.
De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van informatiebeveiligingsprocessen en
-beheersmaatregelen;
b) welke methoden worden toegepast voor het, voor zover van toepassing, monitoren, meten, analyseren
en evalueren, om geldige resultaten te bewerkstelligen;
De gekozen methoden behoren vergelijkbare en reproduceerbare resultaten op te leveren om als geldig
te worden beschouwd.
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd; en
f) wie deze resultaten moet analyseren en evalueren.
De organisatie moet geschikte gedocumenteerde informatie bewaren als bewijsmateriaal van de resultaten
van het monitoren en meten.
9.2 Interne audit
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het
managementsysteem voor informatiebeveiliging:
a) overeenkomt met:
1) de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging; en
2) de eisen van deze norm;
b) doeltreffend is geïmplementeerd en onderhouden.
De organisatie moet:
c) (een) auditprogramma(’s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de
frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage. Het auditprogramma moet
rekening houden met het belang van de betrokken processen en de resultaten van voorgaande audits;
d) de auditcriteria voor en de reikwijdte van elke audit definiëren;
29
Ontw. NEN 7510-1:2017
e) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het
auditproces worden bewerkstelligd;
f) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management; en
g) gedocumenteerde informatie bewaren als bewijsmateriaal van het auditprogramma en de auditresultaten.
9.3 Directiebeoordeling
De directie moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de
organisatie beoordelen, om de continue geschiktheid, adequaatheid en doeltreffendheid te bewerkstelligen.
Bij de directiebeoordeling moet onder andere in overweging worden genomen:
a) de status van acties als gevolg van voorgaande directiebeoordelingen;
b) wijzigingen in externe en interne onderwerpen die relevant zijn voor het managementsysteem voor
informatiebeveiliging;
c) feedback over de informatiebeveiligingsprestaties, met inbegrip van trends in:
1) afwijkingen en corrigerende maatregelen;
2) resultaten van monitoren en meten;
3) auditresultaten; en
4) voldoen aan informatiebeveiligingsdoelstellingen;
d) feedback van belanghebbenden;
e) resultaten van risicobeoordeling en de status van het risicobehandelplan; en
f) kansen voor continue verbetering.
De resultaten van de directiebeoordeling moeten beslissingen omvatten met betrekking tot kansen voor
continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor
informatiebeveiliging.
De organisatie moet gedocumenteerde informatie bewaren als bewijsmateriaal van de resultaten van de
directiebeoordeling.
10 Verbetering
10.1 Afwijkingen en corrigerende maatregelen
Wanneer zich een afwijking voordoet, moet de organisatie:
a) op de afwijking reageren, en indien van toepassing:
1) maatregelen treffen om de afwijking te beheersen en te corrigeren; en
2) de consequenties aanpakken;
b) de noodzaak evalueren om maatregelen te treffen om de oorzaken van de afwijking weg te nemen, zodat
de afwijking zich niet herhaalt of zich elders voordoet, door:
1) de afwijking te beoordelen;
30
Ontw. NEN 7510-1:2017
2) de oorzaken van de afwijking vast te stellen; en
3) vast te stellen of zich gelijksoortige afwijkingen voordoen of zouden kunnen voordoen;
c) de benodigde maatregelen implementeren;
d) de doeltreffendheid van getroffen corrigerende maatregelen beoordelen;
e) zo nodig, wijzigingen aanbrengen in het managementsysteem voor informatiebeveiliging.
Corrigerende maatregelen moeten passend zijn voor de effecten van de opgetreden afwijkingen.
De organisatie moet gedocumenteerde informatie bewaren als bewijsmateriaal van:
— de aard van de afwijkingen en de vervolgens genomen maatregelen; en
— de resultaten van corrigerende maatregelen.
10.2 Continue verbetering
De organisatie moet continu de geschiktheid, adequaatheid en doeltreffendheid van het
managementsysteem voor informatiebeveiliging verbeteren.
31
Ontw. NEN 7510-1:2017
Bijlage A
(normatief)
Referentiebeheersdoelstellingen en -maatregelen
De beheersdoelstellingen en beheersmaatregelen die zijn opgenomen in tabel A.1, zijn rechtstreeks afgeleid
van en in overeenstemming met die in NEN-ISO/IEC 27002+C1+C2:2015 en NEN-EN-ISO 27799:2016,
hoofdstukken 5 tot en met 18, en moeten worden gebruikt in samenhang met 6.1.3.
In die laatste internationale norm zijn zorgspecifieke aanscherpingen van het dwingende moeten (shall)
voorzien op basis van een universele risicobeoordeling voor de zorg. Aangezien in de systematiek van deze
NEN 7510 een verklaring van toepasselijkheid (6.1.3 van deel 1) de selectie van beheersmaatregelen
bepaalt, is die formuleringswijze hier niet overgenomen.
In deel 2 staan immers ‘best practices’ of richtlijnen om aan de doelvoorschriften te voldoen. Dit zijn
mogelijke keuzes, dus in deel 2 staan de beheersmaatregelen niet normatief beschreven; er staat dus geen
moeten, maar er staat behoren.
Daarin ligt ook het verschil met de doelvoorschriften in deze bijlage. Zorginstellingen moeten deze
doelvoorschriften selecteren op basis van de risicoanalyse en dit vastleggen in de verklaring van
toepasselijkheid en daarmee kunnen aantonen dat de doelvoorschriften wel of niet van toepassing zijn. In
deze bijlage A staan de beheersmaatregelen daarom wel normatief beschreven (moeten en niet behoren).
Tabel A.1 — Beheersdoelstellingen en beheersmaatregelen
A.5
Informatiebeveiligingsbeleid
A.5.1
Aansturing door de directie van de informatiebeveiliging
Doelstelling: Het verschaffen van directieaansturing van en -steun voor informatiebeveiliging in
overeenstemming met bedrijfseisen en relevante wet- en regelgeving.
Beheersmaatregel
A.5.1.1
Beleidsregels voor
informatiebeveiliging
Ten behoeve van informatiebeveiliging moet een reeks
beleidsregels worden gedefinieerd, goedgekeurd door de
directie, gepubliceerd en gecommuniceerd aan
medewerkers en relevante externe partijen.
Zorgspecifieke beheersmaatregel
Organisaties moeten beschikken over een schriftelijk
informatiebeveiligingsbeleid dat door het management
wordt goedgekeurd, wordt gepubliceerd en vervolgens
wordt gecommuniceerd aan alle werknemers en relevante
externe partijen.
32
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.5.1.2
Beoordelen van het
informatiebeveiligingsbeleid
Het beleid voor informatiebeveiliging moet met geplande
tussenpozen of als zich significante veranderingen
voordoen, worden beoordeeld om te waarborgen dat het
voortdurend passend, adequaat en doeltreffend is.
Zorgspecifieke beheersmaatregel
Het informatiebeveiligingsbeleid moet aan voortdurende,
gefaseerde beoordelingen worden onderworpen zodat het
volledige beleid ten minste eenmaal per jaar wordt
beoordeeld. Het beleid moet worden beoordeeld als er
zich een ernstig beveiligingsincident heeft voorgedaan.
A.6
Organiseren van informatiebeveiliging
A.6.1
Interne organisatie
Doelstelling: Een beheerkader vaststellen om de implementatie en uitvoering van de informatiebeveiliging
binnen de organisatie te initiëren en te beheersen.
Beheersmaatregel
Alle verantwoordelijkheden bij informatiebeveiliging
moeten worden gedefinieerd en toegewezen.
Zorgspecifieke beheersmaatregel
Organisaties moeten:
a) duidelijk verantwoordelijkheden op het gebied van
informatiebeveiliging definiëren en toewijzen
A.6.1.1
Rollen en verantwoordelijkheden bij
informatiebeveiliging
b) over een informatiebeveiligingsmanagementforum
(IBMF) beschikken om te garanderen dat er duidelijke
aansturing en zichtbare ondersteuning vanuit het
management is voor beveiligingsinitiatieven die
betrekking hebben op de beveiliging van
gezondheidsinformatie, zoals beschreven in B3 en B4
van bijlage B (6.1.1) in NEN 7510-2.
Er moet minimaal één individu verantwoordelijk zijn voor
beveiliging van gezondheidsinformatie binnen de
organisatie.
Het gezondheidsinformatiebeveiligingsforum moet
regelmatig, maandelijks of bijna maandelijks, vergaderen.
(Het is meestal het effectiefst als het forum vergadert op
een tijdstip halverwege tussen twee vergaderingen van
het bestuursorgaan waaraan het forum rapporteert. Zo
kunnen urgente zaken binnen een korte periode in een
geschikte vergadering worden besproken.)
Er moet een formele verklaring van het
toepassingsgebied worden geproduceerd waarin de grens
wordt gedefinieerd van nalevingsactiviteiten wat betreft
mensen, processen, plekken, platformen en
toepassingen.
33
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.6.1.2
Scheiding van taken
Conflicterende taken en verantwoordelijkheidsgebieden
moeten worden gescheiden om de kans op onbevoegd of
onbedoeld wijzigen of misbruik van de bedrijfsmiddelen
van de organisatie te verminderen.
Zorgspecifieke beheersmaatregel
Organisaties moeten, indien dit haalbaar is, plichten en
verantwoordelijkheidsgebieden scheiden teneinde de
kansen te verkleinen van onbevoegde wijziging of
misbruik van persoonlijke gezondheidsinformatie.
Beheersmaatregel
A.6.1.3
Contact met overheidsinstanties
Er moeten passende contacten met relevante
overheidsinstanties worden onderhouden.
Beheersmaatregel
A.6.1.4
Contact met speciale
belangengroepen
Er moeten passende contacten met speciale
belangengroepen of andere gespecialiseerde
beveiligingsfora en professionele organisaties worden
onderhouden.
Beheersmaatregel
Informatiebeveiliging moet aan de orde komen in
projectbeheer, ongeacht het soort project.
A.6.1.5
Informatiebeveiliging in
projectbeheer
Zorgspecifieke beheersmaatregel
Bij het management van projecten moet de
patiëntveiligheid als projectrisico in aanmerking worden
genomen voor elk project dat gepaard gaat met het
verwerken van persoonlijke gezondheidsinformatie.
A.6.2
Mobiele apparatuur en telewerken
Doelstelling: Het waarborgen van de veiligheid van telewerken en het gebruik van mobiele apparatuur.
Beheersmaatregel
A.6.2.1
Beleid voor mobiele apparatuur
Beleid en ondersteunende beveiligingsmaatregelen
moeten worden vastgesteld om de risico’s die het gebruik
van mobiele apparatuur met zich meebrengt, te beheren.
Beheersmaatregel
A.6.2.2
34
Telewerken
Beleid en ondersteunende beveiligingsmaatregelen
moeten worden geïmplementeerd ter beveiliging van
informatie die vanaf telewerklocaties wordt bereikt,
verwerkt of opgeslagen.
Ontw. NEN 7510-1:2017
A.7
Veilig personeel
A.7.1
Voorafgaand aan het dienstverband
Doelstelling: Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en
geschikt zijn voor de functies waarvoor zij in aanmerking komen.
Beheersmaatregel
Verificatie van de achtergrond van alle kandidaten voor
een dienstverband moet worden uitgevoerd in
overeenstemming met relevante wet- en regelgeving en
ethische overwegingen en moet in verhouding staan tot
de bedrijfseisen, de classificatie van de informatie
waartoe toegang wordt verleend, en de vastgestelde
risico’s.
Zorgspecifieke beheersmaatregel
Organisaties moeten minimaal de identiteit, het huidige
adres en de vorige werkkring van personeel en
contractanten en vrijwilligers op het moment van de
sollicitatie verifiëren.
A.7.1.1
Screening
Verificatiecontroles van de achtergrond van alle
kandidaten voor een dienstverband moeten een verificatie
omvatten van de toepasselijke kwalificaties voor
zorgverleners, indien er sprake is van accreditatie voor de
beroepsgroep op basis van die kwalificaties (bijv. artsen,
verplegend personeel enz.)
Als een persoon wordt ingehuurd voor een specifieke
beveiligingsfunctie, moet de organisatie zich ervan
vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om
de beveiligingsfunctie te vervullen;
b) de functie de kandidaat toevertrouwd kan worden, in
het bijzonder als de functie cruciaal is voor de
organisatie.
Beheersmaatregel
De contractuele overeenkomst met medewerkers en
contractanten moet hun verantwoordelijkheden voor
informatiebeveiliging en die van de organisatie vermelden.
Zorgspecifieke beheersmaatregel
A.7.1.2
Arbeidsvoorwaarden
Alle organisaties waarvan personeelsleden betrokken zijn
bij het verwerken van persoonlijke gezondheidsinformatie,
moeten die betrokkenheid in relevante
functieomschrijvingen vastleggen. Beveiligingsrollen en
verantwoordelijkheden, zoals vastgelegd in het
informatiebeveiligingsbeleid van de organisatie, moeten
ook in relevante functieomschrijvingen worden
vastgelegd.
Er moet speciale aandacht worden besteed aan de rollen
en verantwoordelijkheden van tijdelijk personeel of
personeel met een kort dienstverband zoals vervangers,
studenten, stagiairs enz.
35
Ontw. NEN 7510-1:2017
A.7.2
Tijdens het dienstverband
Doelstelling: Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun
verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
Beheersmaatregel
A.7.2.1
Directieverantwoordelijkheden
De directie moet van alle medewerkers en contractanten
eisen dat ze informatiebeveiliging toepassen in
overeenstemming met de vastgestelde beleidsregels en
procedures van de organisatie.
Beheersmaatregel
Alle medewerkers van de organisatie en, voor zover
relevant, contractanten moeten een passende
bewustzijnsopleiding en -training krijgen en regelmatige
bijscholing van beleidsregels en procedures van de
organisatie, voor zover relevant voor hun functie.
Zorgspecifieke beheersmaatregel
A.7.2.2
Bewustzijn, opleiding en training ten
aanzien van informatiebeveiliging
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten garanderen dat onderwijs en training
over informatiebeveiliging worden gegeven bij de
introductie van nieuwe medewerkers en dat er regelmatig
updates van beveiligingsbeleid en -procedures van de
organisatie worden verstrekt aan alle werknemers en,
indien relevant, derde-contractanten, onderzoekers,
studenten en vrijwilligers die persoonlijke
gezondheidsinformatie verwerken.
Werknemers van de organisatie en, waar relevant, derdecontractanten moeten worden gewezen op disciplinaire
processen en gevolgen met betrekking tot schendingen
van informatiebeveiliging.
Beheersmaatregel
A.7.2.3
A.7.3
Disciplinaire procedure
Er moet een formele en gecommuniceerde disciplinaire
procedure zijn om actie te ondernemen tegen
medewerkers die een inbreuk hebben gepleegd op de
informatiebeveiliging.
Beëindiging en wijziging van dienstverband
Doelstelling: Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of
beëindigingsprocedure van het dienstverband.
Beheersmaatregel
A.7.3.1
36
Beëindiging of wijziging van
verantwoordelijkheden van het
dienstverband
Verantwoordelijkheden en taken met betrekking tot
informatiebeveiliging die van kracht blijven na beëindiging
of wijziging van het dienstverband moeten worden
gedefinieerd, gecommuniceerd aan de medewerker of
contractant, en ten uitvoer worden gebracht.
Ontw. NEN 7510-1:2017
A.8
Beheer van bedrijfsmiddelen
A.8.1
Verantwoordelijkheid voor bedrijfsmiddelen
Doelstelling: Bedrijfsmiddelen van de organisatie identificeren en passende verantwoordelijkheden ter
bescherming definiëren.
Beheersmaatregel
Informatie, andere bedrijfsmiddelen die samenhangen
met informatie en informatieverwerkende faciliteiten
moeten worden geïdentificeerd, en van deze
bedrijfsmiddelen moet een inventaris worden opgesteld
en onderhouden.
Zorgspecifieke beheersmaatregel
A.8.1.1
Inventariseren van bedrijfsmiddelen
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten:
a) verantwoording afleggen over
informatiebedrijfsmiddelen (d.w.z. een inventaris
bijhouden van dergelijke bedrijfsmiddelen);
b) een eigenaar hebben aangewezen voor deze
informatiebedrijfsmiddelen (zie 8.1.2);
c) regels hebben voor het aanvaardbare gebruik van
deze bedrijfsmiddelen die geïdentificeerd,
gedocumenteerd en geïmplementeerd worden.
Beheersmaatregel
A.8.1.2
Eigendom van bedrijfsmiddelen
Bedrijfsmiddelen die in het inventarisoverzicht worden
bijgehouden, moeten een eigenaar hebben.
Beheersmaatregel
A.8.1.3
Aanvaardbaar gebruik van
bedrijfsmiddelen
Voor het aanvaardbaar gebruik van informatie en van
bedrijfsmiddelen die samenhangen met informatie en
informatieverwerkende faciliteiten, moeten regels worden
geïdentificeerd, gedocumenteerd en geïmplementeerd.
Beheersmaatregel
Alle medewerkers en externe gebruikers moeten alle
bedrijfsmiddelen van de organisatie die ze in hun bezit
hebben, bij beëindiging van hun dienstverband, contract
of overeenkomst teruggeven.
Zorgspecifieke beheersmaatregel
A.8.1.4
Teruggeven van bedrijfsmiddelen
Alle werknemers en contractanten moeten, na beëindiging
van hun dienstverband, alle persoonlijke
gezondheidsinformatie in niet-elektronische vorm die zij in
hun bezit hebben, teruggeven en erop toezien dat alle
persoonlijke gezondheidsinformatie in elektronische vorm
die zij in hun bezit hebben, op relevante systemen wordt
bijgewerkt en vervolgens op beveiligde wijze wordt gewist
van alle apparaten waarop deze aanwezig was.
37
Ontw. NEN 7510-1:2017
A.8.2
Informatieclassificatie
Doelstelling: Bewerkstelligen dat informatie een passend beschermingsniveau krijgt dat in overeenstemming
is met het belang ervan voor de organisatie.
Beheersmaatregel
Informatie moet worden geclassificeerd met betrekking tot
wettelijke eisen, waarde, belang en gevoeligheid voor
onbevoegde bekendmaking of wijziging.
A.8.2.1
Classificatie van informatie
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten dergelijke gegevens op uniforme wijze
als vertrouwelijk classificeren.
Beheersmaatregel
Om informatie te labelen moet een passende reeks
procedures worden ontwikkeld en geïmplementeerd in
overeenstemming met het informatieclassificatieschema
dat is vastgesteld door de organisatie.
Zorgspecifieke beheersmaatregel
A.8.2.2
Informatie labelen
Alle gezondheidsinformatiesystemen die persoonlijke
gezondheidsinformatie verwerken, moeten de gebruikers
wijzen op de vertrouwelijkheid van persoonlijke
gezondheidsinformatie die toegankelijk is vanaf het
systeem (bijv. bij het opstarten of inloggen), en moeten
papieren output als vertrouwelijk labelen als die output
persoonlijke gezondheidsinformatie bevat.
Beheersmaatregel
A.8.2.3
A.8.3
Behandelen van bedrijfsmiddelen
Procedures voor het behandelen van bedrijfsmiddelen
moeten worden ontwikkeld en geïmplementeerd in
overeenstemming met het informatieclassificatieschema
dat is vastgesteld door de organisatie.
Behandelen van media
Doelstelling: Onbevoegde openbaarmaking, wijziging, verwijdering of vernietiging van informatie die op
media is opgeslagen, voorkomen.
Beheersmaatregel
Voor het beheren van verwijderbare media moeten
procedures worden geïmplementeerd in
overeenstemming met het classificatieschema dat door de
organisatie is vastgesteld.
A.8.3.1
Beheer van verwijderbare media
Zorgspecifieke beheersmaatregel
Media die persoonlijke gezondheidsinformatie bevatten
moeten fysiek worden beschermd of de gegevens ervan
moeten versleuteld worden. De status en locatie van
media die niet-versleutelde persoonlijke
gezondheidsinformatie bevatten, moeten gemonitord
worden.
38
Ontw. NEN 7510-1:2017
Beheersmaatregel
Media moeten op een veilige en beveiligde manier
worden verwijderd als ze niet langer nodig zijn,
overeenkomstig formele procedures.
A.8.3.2
Verwijderen van media
Zorgspecifieke beheersmaatregel
Alle persoonlijke gezondheidsinformatie moet veilig
worden gewist of anders moeten de media worden
vernietigd als ze niet meer gebruikt hoeven te worden.
Beheersmaatregel
A.8.3.3
Media fysiek overdragen
A.9
Toegangsbeveiliging
A.9.1
Bedrijfseisen voor toegangsbeveiliging
Media die informatie bevatten, moeten worden beschermd
tegen onbevoegde toegang, misbruik of corruptie tijdens
transport.
Doelstelling: Toegang tot informatie en informatieverwerkende faciliteiten beperken.
Beheersmaatregel
Een beleid voor toegangsbeveiliging moet worden
vastgesteld, gedocumenteerd en beoordeeld op basis van
bedrijfs- en informatiebeveiligingseisen.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten de toegang tot dergelijke informatie
controleren. In het algemeen moeten de gebruikers van
gezondheidsinformatiesystemen hun toegang tot
persoonlijke gezondheidsinformatie beperken tot situaties:
a) waarin er een zorgrelatie bestaat tussen de gebruiker
en de persoon waarop de gegevens betrekking
hebben (de cliënt tot wiens persoonlijke
gezondheidsinformatie er toegang wordt gemaakt);
b) waarin de gebruiker een activiteit uitvoert namens de
persoon waarop de gegevens betrekking hebben;
A.9.1.1
Beleid voor toegangsbeveiliging
c) waarin er specifieke gegevens nodig zijn om deze
activiteit te ondersteunen.
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten een toegangscontrolebeleid hebben
waarmee de toegang tot deze gegevens wordt geregeld.
Het beleid van de organisatie met betrekking tot
toegangscontrole moet worden vastgesteld op basis van
vooraf gedefinieerde rollen met bijbehorende
bevoegdheden die passen bij, maar beperkt zijn tot, de
behoeften van die rol.
Het toegangscontrolebeleid, als bestanddeel van het in
5.1.1 beschreven beleidskader voor informatiebeveiliging,
moet professionele, ethische, juridische en
cliëntgerelateerde eisen weerspiegelen en moet de taken
die worden uitgevoerd door zorgverleners, en de workflow
van de taak in aanmerking nemen.
39
Ontw. NEN 7510-1:2017
De organisatie moet alle partijen identificeren en
documenteren waarmee cliëntgegevens worden
uitgewisseld, en met deze partijen moeten contractuele
afspraken over toegang en rechten worden gemaakt,
alvorens cliëntgegevens uit te wisselen.
Beheersmaatregel
A.9.1.2
A.9.2
Toegang tot netwerken en
netwerkdiensten
Gebruikers moeten alleen toegang krijgen tot het netwerk
en de netwerkdiensten waarvoor zij specifiek bevoegd
zijn.
Beheer van toegangsrechten van gebruikers
Doelstelling: Toegang voor bevoegde gebruikers bewerkstelligen en onbevoegde toegang tot systemen en
diensten voorkomen.
Beheersmaatregel
Een formele registratie- en uitschrijvingsprocedure moet
worden geïmplementeerd om toewijzing van
toegangsrechten mogelijk te maken.
Zorgspecifieke beheersmaatregel
A.9.2.1
Registratie en uitschrijving van
gebruikers
De toegang tot gezondheidsinformatiesystemen die
persoonlijke gezondheidsinformatie verwerken, moet
onderhevig zijn aan een formeel
gebruikersregistratieproces. Procedures voor het
registreren van gebruikers moeten garanderen dat het
vereiste niveau van authenticatie van de geclaimde
identiteit van gebruikers overeenkomt met het (de)
toegangsniveau(s) waarover de gebruiker zal gaan
beschikken.
De gebruikersregistratiegegevens moeten regelmatig
worden beoordeeld om te garanderen dat ze volledig en
juist zijn en dat toegang nog altijd vereist is.
Beheersmaatregel
A.9.2.2
Gebruikers toegang verlenen
Een formele gebruikerstoegangsverleningsprocedure
moet worden geïmplementeerd om toegangsrechten voor
alle typen gebruikers en voor alle systemen en diensten
toe te wijzen of in te trekken.
Beheersmaatregel
A.9.2.3
Beheren van speciale
toegangsrechten
A.9.2.4
Beheer van geheime authenticatieinformatie van gebruikers
A.9.2.5
Beoordeling van toegangsrechten
van gebruikers
Het toewijzen en gebruik van bevoorrechte
toegangsrechten moeten worden beperkt en
gecontroleerd.
Beheersmaatregel
Het toewijzen van geheime authenticatie-informatie moet
worden beheerst via een formeel beheersproces.
Beheersmaatregel
40
Eigenaren van bedrijfsmiddelen moeten toegangsrechten
van gebruikers regelmatig beoordelen.
Ontw. NEN 7510-1:2017
Beheersmaatregel
De toegangsrechten van alle medewerkers en externe
gebruikers voor informatie en informatieverwerkende
faciliteiten moeten bij beëindiging van hun dienstverband,
contract of overeenkomst worden verwijderd, en bij
wijzigingen moeten ze worden aangepast.
A.9.2.6
A.9.3
Toegangsrechten intrekken of
aanpassen
Zorgspecifieke beheersmaatregel
Alle organisaties die persoonlijke gezondheidsinformatie
verwerken moeten voor elke vertrekkende afdelings- of
tijdelijke medewerker, derde-contractant of vrijwilliger zo
snel mogelijk na beëindiging van het dienstverband of de
werkzaamheden als contractant of vrijwilliger de
toegangsrechten als gebruikers tot dergelijke informatie
beëindigen.
Gebruikersverantwoordelijkheden
Doelstelling: Gebruikers verantwoordelijk maken voor het beschermen van hun authenticatie-informatie.
Beheersmaatregel
A.9.3.1
A.9.4
Geheime authenticatie-informatie
gebruiken
Van gebruikers moet worden verlangd dat zij zich bij het
gebruiken van geheime authenticatie-informatie houden
aan de praktijk van de organisatie.
Toegangsbeveiliging van systeem en toepassing
Doelstelling: Onbevoegde toegang tot systemen en toepassingen voorkomen.
Beheersmaatregel
Toegang tot informatie en systeemfuncties van applicaties
moet worden beperkt in overeenstemming met het beleid
voor toegangsbeveiliging.
Zorgspecifieke beheersmaatregel
A.9.4.1
Beperking toegang tot informatie
Gezondheidsinformatiesystemen die persoonlijke
gezondheidsinformatie verwerken, moeten de identiteit
van gebruikers vaststellen en dit moet worden gedaan
door middel van authenticatie waarbij ten minste twee
factoren betrokken worden.
De toegang tot functies van informatie- en
toepassingssystemen in verband met het verwerken van
persoonlijke gezondheidsinformatie moet geïsoleerd (en
gescheiden) worden van de toegang tot
informatieverwerkingsinfrastructuur die geen verband
houdt met het verwerken van persoonlijke
gezondheidsinformatie.
Beheersmaatregel
A.9.4.2
Beveiligde inlogprocedures
Indien het beleid voor toegangsbeveiliging dit vereist,
moet toegang tot systemen en toepassingen worden
beheerst door een beveiligde inlogprocedure.
Beheersmaatregel
A.9.4.3
Systeem voor wachtwoordbeheer
Systemen voor wachtwoordbeheer moeten interactief zijn
en sterke wachtwoorden waarborgen.
41
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.9.4.4
Speciale systeemhulpmiddelen
gebruiken
A.9.4.5
Toegangsbeveiliging op
programmabroncode
Het gebruik van systeemhulpmiddelen die in staat zijn om
beheersmaatregelen voor systemen en toepassingen te
omzeilen, moet worden beperkt en nauwkeurig worden
gecontroleerd.
Beheersmaatregel
A.10
Toegang tot de programmabroncode moet worden
beperkt.
Cryptografie
A.10.1 Cryptografische beheersmaatregelen
Doelstelling: Zorgen voor correct en doeltreffend gebruik van cryptografie om de vertrouwelijkheid,
authenticiteit en/of integriteit van informatie te beschermen.
Beheersmaatregel
A.10.1.1
Beleid inzake het gebruik van
Ter bescherming van informatie moet een beleid voor het
cryptografische beheersmaatregelen gebruik van cryptografische beheersmaatregelen worden
ontwikkeld en geïmplementeerd.
Beheersmaatregel
A.10.1.2
A.11
Sleutelbeheer
Met betrekking tot het gebruik, de bescherming en de
levensduur van cryptografische sleutels moet tijdens hun
gehele levenscyclus een beleid worden ontwikkeld en
geïmplementeerd.
Fysieke beveiliging en beveiliging van de omgeving
A.11.1 Beveiligde gebieden
Doelstelling: Onbevoegde fysieke toegang tot, schade aan en interferentie met informatie en
informatieverwerkende faciliteiten van de organisatie voorkomen.
Beheersmaatregel
Beveiligingszones moeten worden gedefinieerd en
gebruikt om gebieden te beschermen die gevoelige of
essentiële informatie en informatieverwerkende faciliteiten
bevatten.
Zorgspecifieke beheersmaatregel
A.11.1.1
Fysieke beveiligingszone
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten gebruikmaken van beveiligde zones
om gebieden te beschermen die
informatieverwerkingsfaciliteiten bevatten die dergelijke
gezondheidstoepassingen ondersteunen. Deze beveiligde
gebieden moeten worden beschermd door passende
beheersmaatregelen voor de fysieke toegang om ervoor
te zorgen dat alleen bevoegd personeel toegang krijgt.
Beheersmaatregel
A.11.1.2
Fysieke toegangsbeveiliging
A.11.1.3
Kantoren, ruimten en faciliteiten
beveiligen
Beveiligde gebieden moeten worden beschermd door
passende toegangsbeveiliging om ervoor te zorgen dat
alleen bevoegd personeel toegang krijgt.
Beheersmaatregel
42
Voor kantoren, ruimten en faciliteiten moet fysieke
beveiliging worden ontworpen en toegepast.
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.11.1.4
Beschermen tegen bedreigingen van Tegen natuurrampen, kwaadwillige aanvallen of
buitenaf
ongelukken moet fysieke bescherming worden ontworpen
en toegepast.
Beheersmaatregel
A.11.1.5
Werken in beveiligde gebieden
Voor het werken in beveiligde gebieden moeten
procedures worden ontwikkeld en toegepast.
Beheersmaatregel
A.11.1.6
Laad- en loslocatie
Toegangspunten zoals laad- en loslocaties en andere
punten waar onbevoegde personen het terrein kunnen
betreden, moeten worden beheerst, en zo mogelijk
worden afgeschermd van informatieverwerkende
faciliteiten om onbevoegde toegang te vermijden.
A.11.2 Apparatuur
Doelstelling: Verlies, schade, diefstal of compromittering van bedrijfsmiddelen en onderbreking van de
bedrijfsvoering van de organisatie voorkomen.
Beheersmaatregel
A.11.2.1
Plaatsing en bescherming van
apparatuur
Apparatuur moet zo worden geplaatst en beschermd dat
risico’s van bedreigingen en gevaren van buitenaf, alsook
de kans op onbevoegde toegang worden verkleind.
Beheersmaatregel
A.11.2.2
Nutsvoorzieningen
Apparatuur moet worden beschermd tegen stroomuitval
en andere verstoringen die worden veroorzaakt door
ontregelingen in nutsvoorzieningen.
Beheersmaatregel
A.11.2.3
Beveiliging van bekabeling
Voedings- en telecommunicatiekabels voor het versturen
van gegevens of die informatiediensten ondersteunen,
moeten worden beschermd tegen interceptie, verstoring
of schade.
Beheersmaatregel
A.11.2.4
Onderhoud van apparatuur
Apparatuur moet correct worden onderhouden om de
continue beschikbaarheid en integriteit ervan te
waarborgen.
Beheersmaatregel
Apparatuur, informatie en software mogen niet van de
locatie worden meegenomen zonder voorafgaande
goedkeuring.
Zorgspecifieke beheersmaatregel
A.11.2.5
Verwijdering van bedrijfsmiddelen
Organisaties die uitrusting, gegevens of software voor het
ondersteunen van een zorgtoepassing met persoonlijke
gezondheidsinformatie leveren of gebruiken, mogen niet
toestaan dat die uitrusting, gegevens of software van de
locatie wordt of worden verwijderd of er binnen wordt of
worden verplaatst zonder dat de organisatie hiervoor haar
goedkeuring heeft gegeven.
43
Ontw. NEN 7510-1:2017
Beheersmaatregel
Bedrijfsmiddelen die zich buiten het terrein bevinden,
moeten worden beveiligd, waarbij rekening moet worden
gehouden met de verschillende risico’s van werken buiten
het terrein van de organisatie.
Zorgspecifieke beheersmaatregel
A.11.2.6
Beveiliging van apparatuur en
bedrijfsmiddelen buiten het terrein
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten garanderen dat het eventuele gebruik
buiten hun gebouw van medische apparaten die worden
gebruikt om gegevens te registreren of te rapporteren,
geautoriseerd is. Dit moet apparatuur omvatten die door
werknemers op afstand wordt gebruikt, zelfs indien dit
gebruik permanent is (d.w.z. waar het een kernaspect is
van de rol van de werknemer, zoals het geval is bij
ambulancepersoneel, therapeuten enz.)
Beheersmaatregel
A.11.2.7
Veilig verwijderen of hergebruiken
van apparatuur
Alle onderdelen van de apparatuur die opslagmedia
bevatten, moeten worden geverifieerd om te waarborgen
dat gevoelige gegevens en in licentie gegeven software
voorafgaand aan verwijdering of hergebruik zijn
verwijderd of veilig zijn overschreven.
Zorgspecifieke beheersmaatregel
Organisaties die gezondheidsinformatie verwerken,
moeten alle media met toepassingssoftware voor
gezondheidsinformatie of persoonlijke
gezondheidsinformatie erop veilig wissen of vernietigen
als ze niet meer gebruikt hoeven te worden.
Beheersmaatregel
A.11.2.8
Onbeheerde gebruikersapparatuur
Gebruikers moeten ervoor zorgen dat onbeheerde
apparatuur voldoende beschermd is.
Beheersmaatregel
A.11.2.9
A.12
‘Clear desk’- en ‘clear screen’-beleid
Er moet een ‘clear desk’-beleid voor papieren
documenten en verwijderbare opslagmedia en een ‘clear
screen’-beleid voor informatieverwerkende faciliteiten
worden ingesteld.
Beveiliging bedrijfsvoering
A.12.1 Bedieningsprocedures en verantwoordelijkheden
Doelstelling: Correcte en veilige bediening van informatieverwerkende faciliteiten waarborgen.
Beheersmaatregel
A.12.1.1
44
Gedocumenteerde
bedieningsprocedures
Bedieningsprocedures moeten worden gedocumenteerd
en beschikbaar gesteld aan alle gebruikers die ze nodig
hebben.
Ontw. NEN 7510-1:2017
Beheersmaatregel
Veranderingen in de organisatie, bedrijfsprocessen,
informatieverwerkende faciliteiten en systemen die van
invloed zijn op de informatiebeveiliging, moeten worden
beheerst.
Zorgspecifieke beheersmaatregel
A.12.1.2
Wijzigingsbeheer
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten de veranderingen aan
informatieverwerkingsfaciliteiten en systemen die
persoonlijke gezondheidsinformatie verwerken, door
middel van een formeel en gestructureerd
wijzigingsbeheersproces beheersen om de gepaste
beheersing van host-toepassingen en -systemen en de
continuïteit van de cliëntenzorg te garanderen.
Beheersmaatregel
A.12.1.3
Capaciteitsbeheer
Het gebruik van middelen moet worden gemonitord en
afgestemd, en er moeten verwachtingen worden
opgesteld voor toekomstige capaciteitseisen om de
vereiste systeemprestaties te waarborgen.
Beheersmaatregel
Ontwikkel-, test- en productieomgevingen moeten worden
gescheiden om het risico van onbevoegde toegang tot of
veranderingen aan de productieomgeving te verlagen.
Zorgspecifieke beheersmaatregel
A.12.1.4
Scheiding van ontwikkel-, test- en
productieomgevingen
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten ontwikkel- en testomgevingen voor
gezondheidsinformatiesystemen die dergelijke informatie
verwerken (fysiek of virtueel) scheiden van operationele
omgevingen waar die gezondheidsinformatiesystemen
gehost worden. Er moeten regels voor het migreren van
software van de ontwikkel- naar een operationele status
worden gedefinieerd en gedocumenteerd door de
organisatie die de betroffen toepassing(en) host.
A.12.2 Bescherming tegen malware
Doelstelling: Waarborgen dat informatie en informatieverwerkende faciliteiten beschermd zijn tegen malware.
Beheersmaatregel
Ter bescherming tegen malware moeten
beheersmaatregelen voor detectie, preventie en herstel
worden geïmplementeerd, in combinatie met een passend
bewustzijn van gebruikers.
A.12.2.1
Beheersmaatregelen tegen malware
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten gepaste preventie-, detectie- en
responsbeheersmaatregelen implementeren om
bescherming te bieden tegen kwaadaardige software, en
passende bewustzijnstraining voor gebruikers
implementeren.
45
Ontw. NEN 7510-1:2017
A.12.3 Back-up
Doelstelling: Beschermen tegen het verlies van gegevens.
Beheersmaatregel
Regelmatig moeten back-upkopieën van informatie,
software en systeemafbeeldingen worden gemaakt en
getest in overeenstemming met een overeengekomen
back-upbeleid.
Zorgspecifieke beheersmaatregel
A.12.3.1
Back-up van informatie
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten back-ups maken van alle persoonlijke
gezondheidsinformatie en deze in een fysiek beveiligde
omgeving opslaan om te garanderen dat de informatie in
de toekomst beschikbaar is.
Om de vertrouwelijkheid ervan te beschermen moeten er
versleutelde back-ups worden gemaakt van persoonlijke
gezondheidsinformatie.
A.12.4 Verslaglegging en monitoren
Doelstelling: Gebeurtenissen vastleggen en bewijs verzamelen.
Beheersmaatregel
A.12.4.1
Gebeurtenissen registreren
Logbestanden van gebeurtenissen die
gebruikersactiviteiten, uitzonderingen en
informatiebeveiligingsgebeurtenissen registreren, moeten
worden gemaakt, bewaard en regelmatig worden
beoordeeld.
Beheersmaatregel
Logfaciliteiten en informatie in logbestanden moeten
worden beschermd tegen vervalsing en onbevoegde
toegang.
A.12.4.2
Beschermen van informatie in
logbestanden
Zorgspecifieke beheersmaatregel
Auditverslagen moeten beveiligd zijn en niet
gemanipuleerd kunnen worden. De toegang tot
hulpmiddelen voor audits van systemen en audittrajecten
moet worden beveiligd om misbruik of compromittering te
voorkomen.
Beheersmaatregel
A.12.4.3
46
Logbestanden van beheerders en
operators
Activiteiten van systeembeheerders en -operators moeten
worden vastgelegd en de logbestanden moeten worden
beschermd en regelmatig worden beoordeeld.
Ontw. NEN 7510-1:2017
Beheersmaatregel
De klokken van alle relevante informatieverwerkende
systemen binnen een organisatie of beveiligingsdomein
moeten worden gesynchroniseerd met één
referentietijdbron.
A.12.4.4
Kloksynchronisatie
Zorgspecifieke beheersmaatregel
Gezondheidsinformatiesystemen die tijdkritische
activiteiten voor gedeelde zorg ondersteunen, moeten in
tijdssynchronisatiediensten voorzien om het traceren en
reconstrueren van de tijdlijnen voor activiteiten waar
vereist te ondersteunen.
A.12.5 Beheersing van operationele software
Doelstelling: De integriteit van operationele systemen waarborgen.
Beheersmaatregel
A.12.5.1
Software installeren op operationele
systemen
Om het op operationele systemen installeren van software
te beheersen moeten procedures worden
geïmplementeerd.
A.12.6 Beheer van technische kwetsbaarheden
Doelstelling: Benutting van technische kwetsbaarheden voorkomen.
Beheersmaatregel
Informatie over technische kwetsbaarheden van
informatiesystemen die worden gebruikt, moet tijdig
worden verkregen, de blootstelling van de organisatie aan
dergelijke kwetsbaarheden moet worden geëvalueerd en
passende maatregelen moeten worden genomen om het
risico dat ermee samenhangt, aan te pakken.
A.12.6.1
Beheer van technische
kwetsbaarheden
A.12.6.2
Beheersmaatregel
Beperkingen voor het installeren van
Voor het door gebruikers installeren van software moeten
software
regels worden vastgesteld en geïmplementeerd.
A.12.7 Overwegingen betreffende audits van informatiesystemen
Doelstelling: De impact van auditactiviteiten op uitvoeringssystemen zo gering mogelijk maken.
Beheersmaatregel
A.12.7.1
A.13
Beheersmaatregelen betreffende
audits van informatiesystemen
Auditeisen en -activiteiten die verificatie van
uitvoeringssystemen met zich meebrengen, moeten
zorgvuldig worden gepland en afgestemd om
bedrijfsprocessen zo min mogelijk te verstoren.
Communicatiebeveiliging
A.13.1 Beheer van netwerkbeveiliging
Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende
faciliteiten waarborgen.
Beheersmaatregel
A.13.1.1
Beheersmaatregelen voor netwerken Netwerken moeten worden beheerd en beheerst om
informatie in systemen en toepassingen te beschermen.
47
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.13.1.2
Beveiliging van netwerkdiensten
Beveiligingsmechanismen, dienstverleningsniveaus en
beheerseisen voor alle netwerkdiensten moeten worden
geïdentificeerd en opgenomen in overeenkomsten
betreffende netwerkdiensten. Dit geldt zowel voor
diensten die intern worden geleverd als voor uitbestede
diensten.
Beheersmaatregel
A.13.1.3
Scheiding in netwerken
Groepen van informatiediensten, -gebruikers en
-systemen moeten in netwerken worden gescheiden.
A.13.2 Informatietransport
Doelstelling: Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en
met een externe entiteit.
Beheersmaatregel
A.13.2.1
Beleid en procedures voor
informatietransport
Ter bescherming van het informatietransport, dat via alle
soorten communicatiefaciliteiten verloopt, moeten formele
beleidsregels, procedures en beheersmaatregelen voor
transport van kracht zijn.
Beheersmaatregel
A.13.2.2
Overeenkomsten over
informatietransport
Overeenkomsten moeten betrekking hebben op het
beveiligd transporteren van bedrijfsinformatie tussen de
organisatie en externe partijen.
Beheersmaatregel
A.13.2.3
Elektronische berichten
Informatie die is opgenomen in elektronische berichten,
moet passend beschermd zijn.
Beheersmaatregel
Eisen voor vertrouwelijkheids- of
geheimhoudingsovereenkomsten die de behoeften van de
organisatie betreffende het beschermen van informatie
weerspiegelen, moeten worden vastgesteld, regelmatig
worden beoordeeld en gedocumenteerd.
A.13.2.4
Vertrouwelijkheids- of
geheimhoudingsovereenkomst
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten beschikken over een
vertrouwelijkheidsovereenkomst waarin de vertrouwelijke
aard van deze informatie staat omschreven. De
overeenkomst moet van toepassing zijn op al het
personeel dat toegang heeft tot gezondheidsinformatie.
48
Ontw. NEN 7510-1:2017
A.14
Acquisitie, ontwikkeling en onderhoud van informatiesystemen
A.14.1 Beveiligingseisen voor informatiesystemen
Doelstelling: Waarborgen dat informatiebeveiliging integraal deel uitmaakt van informatiesystemen in de
gehele levenscyclus. Hiertoe behoren ook de eisen voor informatiesystemen die diensten verlenen via
openbare netwerken.
Beheersmaatregel
A.14.1.1
Analyse en specificatie van
informatiebeveiligingseisen
De eisen die verband houden met informatiebeveiliging
moeten worden opgenomen in de eisen voor nieuwe
informatiesystemen of voor uitbreidingen van bestaande
informatiesystemen.
Zorgspecifieke beheersmaatregel
Gezondheidsinformatiesystemen die persoonlijke
gezondheidsinformatie verwerken, moeten:
A.14.1.1.1
Zorgontvangers op unieke wijze
identificeren
a) zekerstellen dat elke cliënt op unieke wijze kan worden
geïdentificeerd binnen het systeem;
b) in staat zijn dubbele of meerdere registraties samen te
voegen indien wordt vastgesteld dat er onbedoeld
meer registraties voor dezelfde cliënt zijn aangemaakt,
of tijdens een medisch noodgeval.
Zorgspecifieke beheersmaatregel
A.14.1.1.2 Validatie van outputgegevens
Gezondheidsinformatiesystemen die persoonlijke
gezondheidsinformatie verwerken, moeten voorzien in
persoonsidentificatie-informatie die zorgverleners helpt
bevestigen dat de opgevraagde elektronische
gezondheidsregistratie overeenkomt met de cliënt die
wordt behandeld.
Beheersmaatregel
A.14.1.2
Toepassingsdiensten op openbare
netwerken beveiligen
Informatie die deel uitmaakt van uitvoeringsdiensten en
die via openbare netwerken wordt uitgewisseld, moet
worden beschermd tegen frauduleuze activiteiten,
geschillen over contracten en onbevoegde
openbaarmaking en wijziging.
Beheersmaatregel
A.14.1.3
Informatie die deel uitmaakt van transacties van
Transacties van toepassingsdiensten toepassingsdiensten, moet worden beschermd ter
voorkoming van onvolledige overdracht, foutieve
beschermen
routering, onbevoegd wijzigen van berichten, onbevoegd
openbaar maken, onbevoegd vermenigvuldigen of
afspelen.
49
Ontw. NEN 7510-1:2017
Zorgspecifieke beheersmaatregel
Openbaar beschikbare gezondheidsinformatie (niet zijnde
persoonlijke gezondheidsinformatie) moet worden
gearchiveerd.
A.14.1.3.1
Openbaar beschikbare
gezondheidsinformatie
De integriteit van openbaar beschikbare
gezondheidsinformatie moet worden beschermd om
onbevoegde wijzigingen te voorkomen.
De bron (auteurschap) van openbaar beschikbare
gezondheidsinformatie moet worden vermeld en de
integriteit ervan moet worden beschermd.
A.14.2 Beveiliging in ontwikkelings- en ondersteunende processen
Doelstelling: Bewerkstelligen dat informatiebeveiliging wordt ontworpen en geïmplementeerd binnen de
ontwikkelingslevenscyclus van informatiesystemen.
Beheersmaatregel
A.14.2.1
Beleid voor beveiligd ontwikkelen
Voor het ontwikkelen van software en systemen moeten
regels worden vastgesteld en op ontwikkelactiviteiten
binnen de organisatie worden toegepast.
Beheersmaatregel
A.14.2.2
Procedures voor wijzigingsbeheer
met betrekking tot systemen
Wijzigingen aan systemen binnen de levenscyclus van de
ontwikkeling moeten worden beheerst door het gebruik
van formele controleprocedures voor wijzigingsbeheer.
Beheersmaatregel
A.14.2.3
Technische beoordeling van
toepassingen na wijzigingen
bedieningsplatform
Als bedieningsplatforms zijn veranderd, moeten
bedrijfskritische toepassingen worden beoordeeld en
getest om te waarborgen dat er geen nadelige impact is
op de activiteiten of de beveiliging van de organisatie.
Beheersmaatregel
A.14.2.4
Beperkingen op wijzigingen aan
softwarepakketten
Wijzigingen aan softwarepakketten moeten worden
ontraden, beperkt tot noodzakelijke veranderingen en alle
veranderingen moeten strikt worden gecontroleerd.
Beheersmaatregel
A.14.2.5
Principes voor engineering van
beveiligde systemen
Principes voor de engineering van beveiligde systemen
moeten worden vastgesteld, gedocumenteerd,
onderhouden en toegepast voor alle verrichtingen
betreffende het implementeren van informatiesystemen.
Beheersmaatregel
A.14.2.6
Beveiligde ontwikkelomgeving
Organisaties moeten beveiligde ontwikkelomgevingen
vaststellen en passend beveiligen voor verrichtingen op
het gebied van systeemontwikkeling en integratie die
betrekking hebben op de gehele levenscyclus van de
systeemontwikkeling.
Beheersmaatregel
A.14.2.7
50
Uitbestede softwareontwikkeling
Uitbestede systeemontwikkeling moet onder supervisie
staan van en worden gemonitord door de organisatie.
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.14.2.8
Testen van systeembeveiliging
Tijdens ontwikkelactiviteiten moet de
beveiligingsfunctionaliteit worden getest.
Beheersmaatregel
Voor nieuwe informatiesystemen, upgrades en nieuwe
versies moeten programma’s voor het uitvoeren van
acceptatietests en gerelateerde criteria worden
vastgesteld.
A.14.2.9
Systeemacceptatietests
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten acceptatiecriteria vaststellen voor
geplande nieuwe informatiesystemen, upgrades en
nieuwe versies. Voorafgaand aan acceptatie moeten ze
geschikte testen van het systeem uitvoeren.
A.14.3 Testgegevens
Doelstelling: Bescherming waarborgen van gegevens die voor het testen zijn gebruikt.
Beheersmaatregel
A.14.3.1
A.15
Bescherming van testgegevens
Testgegevens moeten zorgvuldig worden gekozen,
beschermd en gecontroleerd.
Leveranciersrelaties
A.15.1 Informatiebeveiliging in leveranciersrelaties
Doelstelling: De bescherming waarborgen van bedrijfsmiddelen van de organisatie die toegankelijk zijn voor
leveranciers.
Beheersmaatregel
Met de leverancier moeten de informatiebeveiligingseisen
om risico’s te verlagen die verband houden met de
toegang van de leverancier tot de bedrijfsmiddelen van de
organisatie, worden overeengekomen en
gedocumenteerd.
A.15.1.1
Informatiebeveiligingsbeleid voor
leveranciersrelaties
Zorgspecifieke beheersmaatregel
Organisaties die gezondheidsinformatie verwerken
moeten de risico's in verband met toegang door externe
partijen tot deze systemen of gegevens die zij bevatten,
beoordelen en vervolgens
beveiligingsbeheersmaatregelen implementeren die bij
het geïdentificeerde risiconiveau en de toegepaste
technologieën passen.
Beheersmaatregel
A.15.1.2
Opnemen van beveiligingsaspecten
in leveranciersovereenkomsten
Alle relevante informatiebeveiligingseisen moeten worden
vastgesteld en overeengekomen met elke leverancier die
toegang heeft tot IT-infrastructuurelementen ten behoeve
van de informatie van de organisatie, of deze verwerkt,
opslaat, communiceert of biedt.
51
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.15.1.3
Overeenkomsten met leveranciers moeten eisen bevatten
Toeleveringsketen van informatie- en die betrekking hebben op de informatiebeveiligingsrisico’s
communicatietechnologie
in verband met de toeleveringsketen van de diensten en
producten op het gebied van informatie- en
communicatietechnologie.
A.15.2 Beheer van dienstverlening van leveranciers
Doelstelling: Een overeengekomen niveau van informatiebeveiliging en dienstverlening in overeenstemming
met de leveranciersovereenkomsten handhaven.
Beheersmaatregel
A.15.2.1
Monitoring en beoordeling van
dienstverlening van leveranciers
Organisaties moeten regelmatig de dienstverlening van
leveranciers monitoren, beoordelen en auditen.
Beheersmaatregel
A.15.2.2
A.16
Beheer van veranderingen in
dienstverlening van leveranciers
Veranderingen in de dienstverlening van leveranciers, met
inbegrip van handhaving en verbetering van bestaande
beleidslijnen, procedures en beheersmaatregelen voor
informatiebeveiliging, moeten worden beheerd, rekening
houdend met het kritieke karakter van bedrijfsinformatie,
betrokken systemen en processen en herbeoordeling van
risico’s.
Beheer van informatiebeveiligingsincidenten
A.16.1 Beheer van informatiebeveiligingsincidenten en -verbeteringen
Doelstelling: Een consistente en doeltreffende aanpak bewerkstelligen van het beheer van
informatiebeveiligingsincidenten, met inbegrip van communicatie over beveiligingsgebeurtenissen en zwakke
plekken in de beveiliging.
Beheersmaatregel
A.16.1.1
52
Verantwoordelijkheden en
procedures
Directieverantwoordelijkheden en -procedures moeten
worden vastgesteld om een snelle, doeltreffende en
ordelijke respons op informatiebeveiligingsincidenten te
bewerkstelligen.
Ontw. NEN 7510-1:2017
Beheersmaatregel
Informatiebeveiligingsgebeurtenissen moeten zo snel
mogelijk via de juiste leidinggevende niveaus worden
gerapporteerd.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten verantwoordelijkheden en procedures
met betrekking tot het managen van
beveiligingsincidenten vaststellen:
A.16.1.2
Rapportage van
informatiebeveiligingsgebeurtenissen a) om een doeltreffende en tijdige respons op
informatiebeveiligingsincidenten te bewerkstelligen;
b) om te garanderen dat er een doeltreffend en
geprioriteerd escalatiepad is voor incidenten zodat in
de juiste omstandigheden en tijdig een beroep kan
worden gedaan op plannen voor crisismanagement en
bedrijfscontinuïteitsmanagement;
c) om incidentgerelateerde auditverslagen en ander
relevant bewijs te verzamelen en in stand te houden.
Beheersmaatregel
A.16.1.3
Rapportage van zwakke plekken in
de informatiebeveiliging
Van medewerkers en contractanten die gebruikmaken
van de informatiesystemen en -diensten van de
organisatie, moet worden geëist dat zij de in systemen of
diensten waargenomen of vermeende zwakke plekken in
de informatiebeveiliging registreren en rapporteren.
Beheersmaatregel
A.16.1.4
Beoordeling van en besluitvorming
Informatiebeveiligingsgebeurtenissen moeten worden
over
beoordeeld en er moet worden geoordeeld of zij moeten
informatiebeveiligingsgebeurtenissen worden geclassificeerd als
informatiebeveiligingsincidenten.
Beheersmaatregel
A.16.1.5
Respons op
informatiebeveiligingsincidenten
Op informatiebeveiligingsincidenten moet worden
gereageerd in overeenstemming met de
gedocumenteerde procedures.
Beheersmaatregel
A.16.1.6
Lering uit
informatiebeveiligingsincidenten
Kennis die is verkregen door
informatiebeveiligingsincidenten te analyseren en op te
lossen moet worden gebruikt om de waarschijnlijkheid of
impact van toekomstige incidenten te verkleinen.
Beheersmaatregel
A.16.1.7
Verzamelen van bewijsmateriaal
De organisatie moet procedures definiëren en toepassen
voor het identificeren, verzamelen, verkrijgen en bewaren
van informatie die als bewijs kan dienen.
53
Ontw. NEN 7510-1:2017
A.17
Informatiebeveiligingsaspecten van bedrijfscontinuïteitsbeheer
A.17.1 Informatiebeveiligingscontinuïteit
Doelstelling: Informatiebeveiligingscontinuïteit moet worden ingebed in de systemen van het
bedrijfscontinuïteitsbeheer van de organisatie.
Beheersmaatregel
A.17.1.1
Informatiebeveiligingscontinuïteit
plannen
De organisatie moet haar eisen voor informatiebeveiliging
en voor de continuïteit van het
informatiebeveiligingsbeheer in ongunstige situaties, bijv.
een crisis of een ramp, vaststellen.
Beheersmaatregel
A.17.1.2
Informatiebeveiligingscontinuïteit
implementeren
De organisatie moet processen, procedures en
beheersmaatregelen vaststellen, documenteren,
implementeren en handhaven om het vereiste niveau van
continuïteit voor informatiebeveiliging tijdens een
ongunstige situatie te waarborgen.
Beheersmaatregel
A.17.1.3
Informatiebeveiligingscontinuïteit
verifiëren, beoordelen en evalueren
De organisatie moet de ten behoeve van
informatiebeveiligingscontinuïteit vastgestelde en
geïmplementeerde beheersmaatregelen regelmatig
verifiëren om te waarborgen dat ze deugdelijk en
doeltreffend zijn tijdens ongunstige situaties.
A.17.2 Redundante componenten
Doelstelling: Beschikbaarheid van informatieverwerkende faciliteiten bewerkstelligen.
Beheersmaatregel
A.17.2.1
A.18
Beschikbaarheid van
informatieverwerkende faciliteiten
Informatieverwerkende faciliteiten moeten met voldoende
redundantie worden geïmplementeerd om aan
beschikbaarheidseisen te voldoen.
Naleving
A.18.1 Naleving van wettelijke en contractuele eisen
Doelstelling: Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele
verplichtingen betreffende informatiebeveiliging en beveiligingseisen.
Beheersmaatregel
A.18.1.1
Vaststellen van toepasselijke
wetgeving en contractuele eisen
Alle relevante wettelijke statutaire, regelgevende,
contractuele eisen en de aanpak van de organisatie om
aan deze eisen te voldoen moeten voor elk
informatiesysteem en de organisatie expliciet worden
vastgesteld, gedocumenteerd en actueel gehouden.
Beheersmaatregel
A.18.1.2
54
Intellectuele-eigendomsrechten
Om de naleving van wettelijke, regelgevende en
contractuele eisen in verband met intellectueleeigendomsrechten en het gebruik van
eigendomssoftwareproducten te waarborgen moeten
passende procedures worden geïmplementeerd.
Ontw. NEN 7510-1:2017
Beheersmaatregel
A.18.1.3
Beschermen van registraties
Registraties moeten in overeenstemming met wettelijke,
regelgevende, contractuele en bedrijfseisen worden
beschermd tegen verlies, vernietiging, vervalsing,
onbevoegde toegang en onbevoegde vrijgave.
Beheersmaatregel
Privacy en bescherming van persoonsgegevens moeten,
voor zover van toepassing, worden gewaarborgd in
overeenstemming met relevante wet- en regelgeving.
Zorgspecifieke beheersmaatregel
A.18.1.4
Privacy en bescherming van
persoonsgegevens
Organisaties die persoonlijke gezondheidsinformatie
verwerken, moeten de geïnformeerde toestemming van
cliënten beheren.
Waar mogelijk moet geïnformeerde toestemming van
cliënten worden verkregen voordat persoonlijke
gezondheidsinformatie per e-mail, fax of telefonisch wordt
gecommuniceerd of anderszins bekend wordt gemaakt
aan partijen buiten de zorginstelling.
Beheersmaatregel
A.18.1.5
Voorschriften voor het gebruik van
Cryptografische beheersmaatregelen moeten worden
cryptografische beheersmaatregelen toegepast in overeenstemming met alle relevante
overeenkomsten, wet- en regelgeving.
A.18.2 Informatiebeveiligingsbeoordelingen
Doelstelling: Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in
overeenstemming met de beleidsregels en procedures van de organisatie.
Beheersmaatregel
A.18.2.1
Onafhankelijke beoordeling van
informatiebeveiliging
De aanpak van de organisatie ten aanzien van het beheer
van informatiebeveiliging en de implementatie ervan (bijv.
beheersdoelstellingen, beheersmaatregelen,
beleidsregels, processen en procedures voor
informatiebeveiliging), moeten onafhankelijk en met
geplande tussenpozen of zodra zich belangrijke
veranderingen voordoen worden beoordeeld.
Beheersmaatregel
A.18.2.2
Naleving van beveiligingsbeleid en
-normen
De directie moet regelmatig de naleving van de
informatieverwerking en -procedures binnen haar
verantwoordelijkheidsgebied beoordelen aan de hand van
de desbetreffende beleidsregels, normen en andere eisen
betreffende beveiliging.
Beheersmaatregel
A.18.2.3
Beoordeling van technische naleving Informatiesystemen moeten regelmatig worden
beoordeeld op naleving van de beleidsregels en normen
van de organisatie voor informatiebeveiliging.
55
Ontw. NEN 7510-1:2017
Bijlage B
(informatief)
Kruistabel NEN 7510:2011 naar NEN 7510-1:2017 en NEN 7510-2:2017
De kruistabel volgt in de definitieve versie.
56
Ontw. NEN 7510-1:2017
Bibliografie
NEN 7512, Medische informatica – Informatiebeveiliging in de zorg – Vertrouwensbasis voor
gegevensuitwisseling
NEN 7513, Medische informatica – Logging – Vastleggen van acties op elektronische patiëntdossiers
NEN-EN 15224, Kwaliteitsmanagementsystemen – EN ISO 9001:2015 voor zorg en welzijn
NEN-EN-ISO 19011, Richtlijnen voor het uitvoeren van audits van managementsystemen
NEN-EN-ISO 27799:2016, Medische informatica – Informatiebeveiligingsmanagement in de
gezondheidszorg volgens ISO/IEC 27002
NPR-ISO Guide 73:2009, Risicomanagement – Verklarende woordenlijst
NPR-ISO/TR 20514:2005, Health informatics – Electronic health record – Definition, scope and context
NEN-ISO 22857:2013, Health informatics – Guidelines on data protection to facilitate trans-border flows of
personal health data
NEN-ISO 31000:2009, Risicomanagement  Principes en richtlijnen
NEN-ISO/IEC 27000:2016, Information technology – Security techniques – Information security management
systems – Overview and vocabulary
NEN-ISO/IEC 27001+C11+C1+C2, Informatietechnologie – Beveiligingstechnieken – Managementsystemen
voor informatiebeveiliging – Eisen
NEN-ISO/IEC 27002+C1+C2, Informatietechnologie – Beveiligingstechnieken – Praktijkrichtlijn met
beheersmaatregelen op het gebied van informatiebeveiliging
NEN-ISO/IEC 27003, Information technology  Security techniques  Information security management
system implementation guidance
NEN-ISO/IEC 27004, Information technology  Security techniques  Information security management 
Monitoring, measurement, analysis and evaluation
NEN-ISO/IEC 27005, Information technology  Security techniques  Information security risk management
ISO/IEC Directives, Part 1, Consolidated ISO Supplement – Procedures specific to ISO, 2016
57
Waarom betaalt u voor een norm?
Normen zijn afspraken voor en door de markt, zo ook deze norm. NEN begeleidt het gehele
normalisatieproces. Van het bijeenbrengen van partijen, het maken en vastleggen van de afspraken en het
bieden van hulp bij de toepassing van de normen. Om deze diensten te kunnen bekostigen betalen alle
belanghebbende partijen die aan tafel zitten voor het normalisatieproces, en u als gebruiker voor normen en
trainingen. NEN is een stichting en heeft geen winstoogmerk.
Wat is nu precies de toegevoegde waarde van normen?
Stelt u zich eens voor … u wilt in het buitenland geld pinnen, maar uw bankpas past niet. Of uw nieuwe
telefoon herkent uw simkaart niet. De samenstelling van de benzine over de grens is anders, waardoor u niet
kunt tanken. Het dagelijks leven zou zonder goede afspraken over producten, processen en diensten een
stuk complexer zijn.
Het maken en vastleggen van afspraken door belanghebbende partijen noemen we het normalisatieproces.
Normalisatie had vanouds betrekking op techniek en producten. Nu worden steeds vaker normen voor
diensten ontwikkeld. Zo zijn er afspraken op het gebied van gezondheidszorg, schuldhulpverlening,
kennisintensieve dienstverlening, externe veiligheid en MVO.
Normen zorgen voor verbetering van producten, diensten en processen; qua veiligheid, gezondheid,
efficiëntie, kwaliteit en duurzaamheid. Dit ziet u op de werkvloer, in de omgang met elkaar en in de
samenleving als geheel. Organisaties die normalisatie onderdeel van hun strategie maken, vergroten hun
professionaliteit, betrouwbaarheid en concurrentiekracht.
Wat doet NEN?
NEN ondersteunt in Nederland het normalisatieproces. Als een partij zich tot NEN richt met de vraag om een
afspraak tot stand te brengen, gaan wij aan de slag. We onderzoeken in hoeverre normalisatie mogelijk is en
er interesse voor bestaat. Wij nodigen vervolgens alle belanghebbende partijen uit om deel te nemen. Een
breed draagvlak is een randvoorwaarde. De afspraken komen op basis van consensus tot stand en worden
vastgelegd in een document. Dit is meestal een norm. Afspraken die in een NEN-norm zijn vastgelegd
mogen niet conflicteren met andere geldige NEN-normen. NEN-normen vormen samen een coherent
geheel. Een belanghebbende partij kan een producent, ondernemer, dienstverlener, gebruiker, maar ook de
overheid of een consumenten- of onderzoeksorganisatie zijn.
De vraag is niet altijd om een norm te ontwikkelen. Vanuit de overheid komt regelmatig het verzoek om te
onderzoeken of er binnen een bepaalde sector of op een bepaald terrein normalisatie mogelijk is. NEN doet
dan onderzoek en start afhankelijk van de uitkomsten een project. Deelname staat open voor alle
belanghebbende partijen. NEN beheert ruim 30.000 normen. Dit zijn de in Nederland aanvaarde
internationale (ISO, IEC), Europese (EN) en nationale normen (NEN). In totaal zijn er ruim 800
normcommissies actief met in totaal bijna 5.000 normcommissieleden. Een goed beheer van de omvangrijke
normencollectie en de afstemming tussen nationale, Europese en internationale normcommissies vereisen
dan ook een zeer goede infrastructuur.
Betalen kleine organisaties net zoveel als grote organisaties?
Het uitgangspunt is dat alle partijen die deelnemen aan het normalisatieproces een evenredig deel betalen.
De normcommissieleden kunnen onderling andere afspraken maken. Zo worden er wel eens afspraken
gemaakt dat de grote partijen een groter deel betalen dan de kleinere bedrijven. De prijzen voor normen zijn
voor iedereen gelijk. De kosten voor licenties zijn afhankelijk van de omvang van een organisatie en het
aantal gebruikers.
Voordelen van normalisatie en normen
Gegarandeerde kwaliteit | Veiligheid geborgd | Bevordert duurzaamheid | Opschalen en vermarkten van
nieuwe innovatieve producten | Meer (internationale) handelsmogelijkheden | Verhoogde effectiviteit en
efficiëntie | Onderscheidend in de markt.
Voordelen van deelname
Invloed op de (internationale en Europese) afspraken | Als eerste op de hoogte van veranderingen |
Netwerk; ook op Europees en internationaal niveau | Kennisvergroting.