3   Termen en definities

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Voor de toepassing van deze norm gelden de volgende termen en definities.

OPMERKING De termen en definities zijn zo veel mogelijk van een bronvermelding voorzien. Geel gemarkeerde tekst komt uit (de vertaalde) appendix 2 van bijlage SL van ISO/IEC Directives, deel 1, geconsolideerd ISO-supplement.

3.1
anonimisatie
proces waarbij persoonsgegevens onomkeerbaar worden veranderd, zodanig dat de betreffende persoon niet langer kan worden geïdentificeerd, direct of indirect, hetzij door de beheerder van de persoonsgegevens alleen, hetzij in samenwerking met een andere partij
Noot 1 bij deze definitie: Het concept is absoluut, en in de praktijk kan het moeilijk te bereiken zijn.
[BRON: NEN-EN-ISO 25237:2017 (E), vertaald - 3.2 anonymization]
3.2
audit
systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal, en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan
Noot 1 bij deze definitie: Een audit kan een interne audit (eerste partij) of een externe audit (tweede of derde partij) zijn, en het kan een gecombineerde audit zijn (waarbij twee of meer disciplines worden gecombineerd).
Noot 2 bij deze definitie: Een interne audit wordt door de organisatie zelf uitgevoerd, of namens haar door een externe partij.
Noot 3 bij deze definitie: ‘Auditbewijsmateriaal’ en ‘auditcriteria’ zijn gedefinieerd in NEN-EN-ISO 19011.
[BRON: NEN-ISO/IEC 27000:2014, gewijzigd - Opmerking 2 bij de term is toegevoegd]
3.3
authenticatie
het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek
[BRON: NEN-ISO/IEC 27000:2014]
3.4
authenticiteit
eigenschap dat een entiteit is wat zij claimt te zijn
[BRON: NEN-ISO/IEC 27000:2014]
3.5
autorisatie
toekennen van bevoegdheden
[BRON: NEN 7510:2011]
3.6
bedreiging
potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie
[BRON: NEN-ISO/IEC 27000:2014]
3.7
bedrijfsmiddel
alles wat waarde heeft voor de organisatie
[BRON: NEN-ISO/IEC 27000:2009 (E), vertaald en gewijzigd - 2.3 asset; NOTE is niet overgenomen]
3.8
beheersmaatregel
maatregel waarmee een risico wordt gewijzigd
Noot 1 bij deze definitie: Een beheersmaatregel kan elke vorm van proces, beleid, voorziening, werkwijze of andere maatregel zijn waarmee het risico wordt gewijzigd.
Noot 2 bij deze definitie: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde effect.
[BRON: NPR-ISO Guide 73:2009, 3.8.1.1]
3.9
beleid
intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
3.10
beoordeling
activiteit die wordt ondernomen om de geschiktheid, toereikendheid en doeltreffendheid van het desbetreffende onderwerp voor het behalen van vastgestelde doelstellingen te bepalen
[BRON: NPR-ISO Guide 73:2009, 3.8.2.2, gewijzigd - OPMERKING is niet overgenomen]
3.11
beschikbaarheid
eigenschap van het toegankelijk en bruikbaar zijn op verzoek van een bevoegde entiteit
[BRON: NEN-ISO/IEC 27000:2014]
3.12
besturingssysteem
programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten aanbiedt om andere programma's uit te voeren
Noot 1 bij deze definitie: Het besturingssysteem zorgt onder meer voor het starten en beëindigen van andere programma's en het regelt de toegang tot de hardware. Andere programma’s maken gebruik van de ondersteuning van het besturingssysteem. Zo kan een besturingssysteem de toegang en de autorisatie van software en gebruikers faciliteren. Het besturingssysteem vormt zo een laag tussen de hardware van een computer en de toepassingssoftware en gebruikers.
[BRON: NEN 7510:2011, licht gewijzigd - Opmerking 1 bij de term]
3.13
betrouwbaarheid
eigenschap van consistent beoogd gedrag en consistente resultaten
[BRON: NEN-ISO/IEC 27000:2014]
3.14
cliënt
persoon die zorg vraagt of aan wie zorg wordt verleend of de identificeerbare persoon van wie persoonlijke gezondheidsinformatie wordt verwerkt
Noot 1 bij deze definitie: Voor ‘cliënt’ kan in de meeste gevallen ook ‘patiënt’ worden gelezen.
3.15
cliëntgegevens
medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele cliënten
3.16
derde partij
persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien
[BRON: NEN 7510:2011]
3.17
dienstverband
relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken door die persoon
Noot 1 bij deze definitie: Het begrip ‘dienstverband’ is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten.
Noot 2 bij deze definitie: Het begrip ‘dienstverband’ is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten.
3.18
directie
persoon of groep van personen die een organisatie op het hoogste niveau bestuurt en beheert
Noot 1 bij deze definitie: De directie heeft de macht om bevoegdheid te delegeren en de organisatie van middelen te voorzien.
Noot 2 bij deze definitie: Indien het toepassingsgebied van het managementsysteem slechts een deel van een organisatie omvat, dan verwijst de directie naar degenen die dat gedeelte van de organisatie besturen en beheren.
3.19
gebeurtenis
optreden van of wijziging in een bepaalde combinatie van omstandigheden
Noot 1 bij deze definitie: Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.
Noot 2 bij deze definitie: Een gebeurtenis kan er ook in bestaan dat iets niet gebeurt.
Noot 3 bij deze definitie: Een gebeurtenis kan soms ook worden aangeduid als ‘incident’ of ‘ongeval’.
[BRON: NPR-ISO Guide 73:2009, 3.5.1.3, gewijzigd - OPMERKING 4 is niet overgenomen]
3.20
governance
systeem van geleiding en beheersing
[BRON: NEN-ISO/IEC 38500:2015 (E), vertaald - 2.8 governance]
3.21
governance van IT
systeem waarmee het huidige en toekomstige gebruik van IT wordt geleid en beheerst
Noot 1 bij deze definitie: Governance van IT is een onderdeel of een subset van organisatorische governance.
Noot 2 bij deze definitie: De term 'governance van IT' is equivalent aan de term 'organisatorische governance van IT'.
[BRON: NEN-ISO/IEC 38500:2015, vertaald en gewijzigd - 2.10 governance of IT; in Note 2 to entry worden meer (Engelse) synoniemen genoemd. Zie ook 3.41 ‘organisatorische governance’.]
3.22
identificatie
bepalen van de identiteit van een persoon of andere entiteit
[BRON: NEN 7510:2011]
3.23
identificeerbare persoon
degene die kan worden geïdentificeerd, direct of indirect, in het bijzonder via een verwijzing naar een identificatienummer of naar een of meer kenmerken gerelateerd aan zijn fysieke, psychologische, geestelijke, economische, culturele of sociale identiteit
[BRON: NEN-ISO 22857:2014]
3.24
informatiebeveiliging
behoud van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie
Noot 1 bij deze definitie: Dit kan ook andere eigenschappen betreffen, zoals authenticiteit, verantwoordelijkheid, onweerlegbaarheid en betrouwbaarheid.
[BRON: NEN-ISO/IEC 27000:2014, licht gewijzigd - definitie]
3.25
informatiebeveiligingsgebeurtenis
het zich voordoen en waargenomen worden van een systeem-, dienst- of netwerksituatie die op een mogelijke schending van het informatiebeveiligingsbeleid of falen van beheersmaatregelen wijst, of van een voorheen onbekende situatie die mogelijk relevant is voor de beveiliging
[BRON: NEN-ISO/IEC 27000:2014]
3.26
informatiebeveiligingsincident
afzonderlijke gebeurtenis of een reeks informatiebeveiligingsgebeurtenissen waarvan het zeer waarschijnlijk is dat deze de bedrijfsactiviteiten compromitteren en de informatiebeveiliging in gevaar brengen
[BRON: NEN-ISO/IEC 27000:2014, gewijzigd]
3.27
informatiebeveiligingsmanagementforum
orgaan waarin overleg en afstemming over informatiebeveiliging plaatsvindt en dat namens (enerzijds) de directie (en anderzijds de organisatie), beslissingen neemt over de inrichting van de informatiebeveiliging
Noot 1 bij deze definitie: Het informatiebeveiligingsmanagementforum doet in veel gevallen bindende voordrachten aan de directie m.b.t. het inrichten van de informatiebeveiliging.
3.28
informatiesysteem
toepassingen, diensten, informatietechnologische bedrijfsmiddelen of andere gegevensverwerkende componenten
[BRON: NEN-ISO/IEC 27000:2014]
3.29
informatievoorziening
elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht
[BRON: NEN 7510:2011]
3.30
integriteit
eigenschap van nauwkeurigheid en volledigheid
[BRON: NEN-ISO/IEC 27000:2014]
3.31
klant
persoon die gebruikmaakt van diensten of faciliteiten van de organisatie
[BRON: NEN 7510:2011]
3.32
kwetsbaarheid
zwak punt
zwakheid van een bedrijfsmiddel of van een beheersmaatregel waar een of meer bedreigingen gebruik van kunnen maken
[BRON: NEN-ISO/IEC 27000:2014]
3.33
loggen
voorvallen, activiteiten of het optreden van wijzigingen in een informatiesysteem chronologisch vastleggen
[BRON: Ontw. NEN 7513:2017]
3.34
logging
resultaat van het loggen
Noot 1 bij deze definitie: Zowel de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', als de 'logbestanden' waarin deze worden bewaard, kunnen zijn bedoeld.
[BRON: Ontw. NEN 7513:2017]
3.35
managementsysteem
geheel van samenhangende of elkaar beïnvloedende elementen van een organisatie om een beleid en doelstellingen vast te stellen, alsmede de processen om die doelstellingen te bereiken
Noot 1 bij deze definitie: Een managementsysteem kan betrekking hebben op een of meer disciplines.
Noot 2 bij deze definitie: Tot de elementen van het systeem behoren de organisatiestructuur, rollen en verantwoordelijkheden, planning en uitvoering.
Noot 3 bij deze definitie: Het toepassingsgebied van een managementsysteem kan de gehele organisatie omvatten, specifieke en geïdentificeerde functies van de organisatie, specifieke en geïdentificeerde onderdelen van de organisatie, of een of meer functies in een groep van organisaties.
3.36
managementsysteem voor informatiebeveiliging
ISMS
dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico’s tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging
Noot 1 bij deze definitie: Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie.
[BRON: NEN-ISO/IEC 27001:2005]
3.37
medische apparatuur
apparatuur die wordt gebruikt als hulpmiddel voor een zorgproces
Noot 1 bij deze definitie: Dit omvat apparatuur voor diagnostiek, monitoring, behandeling en verzorging. Het gebruik kan binnen of buiten een zorginstelling plaatsvinden door zorgverleners of anderen.
Noot 2 bij deze definitie: Apparatuur die bedoeld is voor het zorgproces, valt onder de Europese richtlijn Medische hulpmiddelen. Deze definitie omvat ook apparatuur die niet bedoeld is voor het zorgproces, maar er wel voor wordt gebruikt.
[BRON: NEN 7510:2011]
3.38
mobile code
interpreteerbare of uitvoerbare software die (door serversystemen) via een netwerk aan desktopcomputer of computerterminal wordt overgedragen
Noot 1 bij deze definitie: Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze software installeert of activeert.
Noot 2 bij deze definitie: Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. e-mail, webpagina’s of documenten. Voorbeelden zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro’s binnen documenten.
[BRON: NEN 7510:2011, licht gewijzigd - definitie en Opmerking 2 bij de term]
3.39
onweerlegbaarheid
het vermogen om te bewijzen dat een geclaimde gebeurtenis of actie en de entiteiten die ze veroorzaken, zich daadwerkelijk hebben voorgedaan
[BRON: NEN-ISO/IEC 27000:2014]
3.40
organisatie
persoon of groep van personen die zijn eigen functies heeft met verantwoordelijkheden, bevoegdheden en relaties om zijn doelstellingen te bereiken
Noot 1 bij deze definitie: Het begrip organisatie omvat maar is niet beperkt tot eenmanszaak, bedrijf, vennootschap, firma, onderneming, autoriteit, partnerschap, liefdadigheidsinstelling of genootschap, of een deel of combinatie daarvan, hetzij als rechtspersoon erkend of niet, publiek of privaat.
[BRON: NEN-ISO/IEC 27000:2014]
3.41
organisatorische governance
systeem waarmee organisaties worden geleid en beheerst
[BRON: NEN-ISO/IEC 38500:2015 (E), vertaald en gewijzigd - 2.4 corporate governance; de Notes to entry zijn niet overgenomen]
3.42
patiënt
zie cliënt
Noot 1 bij deze definitie: De term ‘patiënt’ wordt in deze norm vermeden. Alleen in enkele samengestelde woorden als patiëntveiligheid, patiëntgegevens en patiëntdossier wordt deze term gebruikt. Waar in deze norm gesproken wordt van ‘cliënt’, kan vaak ook ‘patiënt’ worden gelezen.
3.43
patiëntdossier
verzameling van alle vastgelegde persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt
Noot 1 bij deze definitie: Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, niet ‘patiëntendossier’, o.a. om te benadrukken dat het meestal gaat om het dossier van één cliënt.
3.44
persoonlijke gezondheidsinformatie
informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
  • a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
  • b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
  • c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
  • d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
  • e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
  • f) identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
Noot 1 bij deze definitie: Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
[BRON: NEN-EN 15224:2017, gewijzigd - Opmerking 1 bij de term]
3.45
pseudonimisering
het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld
[BRON: AVG, art. 4]
3.46
restrisico
risico dat overblijft na risicobehandeling
Noot 1 bij deze definitie: Een restrisico kan niet-geïdentificeerde risico’s omvatten.
Noot 2 bij deze definitie: Een restrisico kan ook worden aangeduid als een risico dat wordt behouden.
[BRON: NEN-ISO/IEC 27000:2014]
3.47
richtlijn
beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd
[BRON: NEN-ISO/IEC 27000:2009 (E), vertaald en gewijzigd - 2.16 guideline]
3.48
risico
effect van onzekerheid op het behalen van doelstellingen
Noot 1 bij deze definitie: Een effect is een afwijking ten opzichte van de verwachting - positief of negatief.
Noot 2 bij deze definitie: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
Noot 3 bij deze definitie: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.5.1.3) en gevolgen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.6.1.3), of een combinatie daarvan.
Noot 4 bij deze definitie: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
Noot 5 bij deze definitie: In de context van managementsystemen voor informatiebeveiliging kunnen informatiebeveiligingsrisico’s worden uitgedrukt als een effect van onzekerheid over de informatiebeveiligingsdoelstellingen.
Noot 6 bij deze definitie: Informatiebeveiligingsrisico wordt geassocieerd met de mogelijkheid dat bedreigingen gebruik zullen maken van zwakke punten van een informatiebedrijfsmiddel of een groep informatiebedrijfsmiddelen, en de organisatie daarbij schade toebrengen.
[BRON: NPR-ISO Guide 73:2009, 1.1, gewijzigd - OPMERKING 1 en 3 zijn licht gewijzigd, OPMERKING 2 is niet overgenomen en opmerkingen 5 en 6 bij de term zijn toegevoegd]
3.49
risicoaanvaarding
onderbouwd besluit tot het nemen van een bepaald risico
Noot 1 bij deze definitie: Risicoaanvaarding kan plaatsvinden zonder risicobehandeling of tijdens het proces van risicobehandeling.
Noot 2 bij deze definitie: Aanvaarde risico’s zijn onderhevig aan monitoring en beoordeling.
[BRON: NPR-ISO Guide 73:2009, 3.7.1.6]
3.50
risicoanalyse
proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen
Noot 1 bij deze definitie: Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten omtrent risicobehandeling.
Noot 2 bij deze definitie: Risicoanalyse omvat risico-inschatting.
[BRON: NPR-ISO Guide 73:2009, 3.6.1]
3.51
risicobehandeling
proces waarmee een risico wordt aangepast
Noot 1 bij deze definitie: Risicobehandeling kan het volgende omvatten:
  • vermijden van het risico door te besluiten de activiteit waardoor het risico wordt veroorzaakt niet uit te voeren of voort te zetten;
  • nemen of verhogen van het risico teneinde een kans te benutten;
  • wegnemen van de risicobron;
  • veranderen van de waarschijnlijkheid;
  • veranderen van de gevolgen;
  • delen van het risico met (een) andere partij(en) (met inbegrip van contracten en risicofinanciering); en
  • behouden van het risico op basis van een onderbouwde keuze.
Noot 2 bij deze definitie: Een risicobehandeling die gericht is op negatieve gevolgen, wordt soms aangeduid met ‘risicovermindering’, ‘risico-eliminatie’, ‘risicopreventie’ of ‘risicoreductie’.
Noot 3 bij deze definitie: Door risicobehandeling kunnen nieuwe risico’s ontstaan of bestaande risico’s worden gewijzigd.
[BRON: NPR-ISO Guide 73:2009, 3.8.1, licht gewijzigd - Opmerking 1 bij de term]
3.52
risicobeoordeling
gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie
[BRON: NPR-ISO Guide 73:2009, 3.4.1]
3.53
risicobron
element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden
[BRON: NPR-ISO Guide 73:2009, 3.5.1.2, gewijzigd - de OPMERKING is niet overgenomen]
3.54
risico-eigenaar
persoon of entiteit met de verantwoordelijkheid en bevoegdheid om het risico te managen
[BRON: NPR-ISO Guide 73:2009, 3.5.1.5]
3.55
risicomanagement
gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s
[BRON: NPR-ISO Guide 73:2009, 2.1]
3.56
risiconiveau
omvang van een risico uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid
[BRON: NPR-ISO Guide 73:2009, 3.6.1.8, gewijzigd - ‘of combinatie van risico’s,’ is verwijderd]
3.57
solistisch werkende zorgverlener
een zorgverlener die, anders dan in dienst of onmiddellijk of middellijk in opdracht van een instelling beroepsmatig zorg verleent
[BRON: Wet kwaliteit, klachten en geschillen zorg]
3.58
toegangsbeveiliging
middel om te bewerkstelligen dat toegang tot bedrijfsmiddelen wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en beveiliging
[BRON: NEN-ISO/IEC 27000:2014]
3.59
uitbesteden
een overeenkomst treffen waarbij een externe organisatie een deel van een functie of proces van de organisatie uitvoert
Noot 1 bij deze definitie: Een externe organisatie valt buiten het toepassingsgebied van het managementsysteem, hoewel de uitbestede functie of het uitbestede proces er wel binnen valt.
[BRON: NEN-ISO/IEC 27000:2014, licht gewijzigd - definitie en Opmerking 1 bij de term]
3.60
verantwoordelijke
degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces
[BRON: NEN 7510:2011]
3.61
verificatie
bevestiging dat aan gespecificeerde eisen is voldaan door het verschaffen van objectief bewijs
Noot 1 bij deze definitie: Dit zou ook ‘testen van naleving’ kunnen worden genoemd.
[BRON: NEN-EN-ISO 9000:2015, 3.8.12, gewijzigd - de opmerkingen bij de term zijn niet overgenomen en Opmerking 1 bij de term is toegevoegd]
3.62
verklaring van toepasselijkheid
gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en toepasbaar zijn op het managementsysteem voor informatiebeveiliging van de organisatie
Noot 1 bij deze definitie: Beheersdoelstellingen en beheersmaatregelen zijn gebaseerd op de resultaten en conclusies van risicobeoordeling en risicobehandelingsproces, eisen uit wet- of regelgeving, contractuele verplichtingen en de eisen die de organisatie aan informatiebeveiliging stelt.
[BRON: NEN 7510:2011, licht gewijzigd]
3.63
vertrouwelijkheid
eigenschap dat informatie niet beschikbaar of niet bekend wordt gemaakt aan onbevoegde personen, entiteiten of processen
[BRON: NEN-ISO/IEC 27000:2014]
3.64
verwerking
bewerking of geheel van bewerkingen van persoonsgegevens of geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
[BRON: AVG, art. 4, licht gewijzigd]
3.65
waarschijnlijkheid
kans dat iets gebeurt
[BRON: NPR-ISO Guide 73:2009, 3.6.1.1, gewijzigd - de opmerkingen zijn niet overgenomen]
3.66
zorg
zorg als omschreven in de Wet langdurige zorg en de Zorgverzekeringswet en alle andere verrichtingen, inclusief het onderzoeken en het geven van raad, die rechtstreeks betrekking hebben op een persoon en ertoe strekken diens gezondheid te bevorderen of te bewaken
3.67
zorginformatiesysteem
informatiesysteem ter ondersteuning van een zorgverlener
[BRON: NEN 7510:2011, gewijzigd]
3.68
zorginstelling
rechtspersoon die bedrijfsmatig zorg verleent, alsmede een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen, alsmede een solistisch werkende zorgverlener
3.69
zorgproces
gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgverleners
[BRON: NEN 7510:2011, gewijzigd]
3.70
zorgverlener
een natuurlijke persoon die beroepsmatig zorg verleent
[BRON: Wet kwaliteit, klachten en geschillen zorg]