0   Inleiding

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

0.1   Informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Informatiebeveiliging is het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.
Informatie is een bedrijfsmiddel, dat net als andere belangrijke bedrijfsmiddelen waarde heeft voor een organisatie en voortdurend op een geschikte manier moet zijn beschermd. Dit is vooral belangrijk in de steeds nauwer verweven maatschappij. Door deze toenemende verwevenheid wordt informatie blootgesteld aan een toenemend aantal en breder scala van bedreigingen en zwakke plekken.
Informatie kan in verschillende vormen voorkomen. De informatie kan onder meer zijn afgedrukt of geschreven op papier, elektronisch zijn opgeslagen, per post of via elektronische media worden verzonden, op film worden getoond of mondeling worden uitgewisseld. Informatie behoort altijd op geschikte wijze te worden beschermd, rekening houdend met de vorm of de wijze waarop deze wordt gedeeld of opgeslagen.
Verstoringen in de informatievoorziening en schade als gevolg daarvan kunnen worden voorkomen of beperkt door een geschikte set beheersmaatregelen in te zetten, waaronder beleid, werkwijzen, procedures, organisatiestructuren en programmatuur- en apparatuurfuncties. De keuze van maatregelen voor informatiebeveiliging houdt een afweging in van risico’s, kosten en praktische mogelijkheden. Deze factoren veranderen voortdurend. De afweging zal dan ook telkens opnieuw moeten worden gemaakt. Informatiebeveiliging vereist dan ook een besturingsproces.

0.2   Specifiek voor de gezondheidszorg

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Specifiek voor de gezondheidszorg is de combinatie van bijzondere functionele eisen aan de informatie­voorziening (‘een overal bereikbaar patiëntdossier’) met bijzondere risico’s (soms levensbedreigend, zeer privacygevoelig). De gezondheidszorg vraagt daarom een specifieke weging van de bovengenoemde aspecten van informatiebeveiliging.
Zorginstellingen zijn open organisaties waar patiënten, familie en bezoekers in beginsel toegang hebben. Bij grote zorginstellingen kan het aantal mensen dat in operationele gebieden komt aanzienlijk zijn. Dit maakt de informatiesystemen in de zorg extra kwetsbaar.
De organisatie van de gezondheidszorg met zijn diversiteit in organisatievormen en verdeling van verantwoordelijkheden verlangt bijzondere aandacht. Een patiënt heeft te maken met verschillende zorgverleners, in eenmanspraktijken en in grote zorginstellingen, maar verlangt ‘naadloze’ zorg. De informatiebeveiliging moet zich dus uitstrekken over de grenzen van de onderscheiden verantwoordelijkheidsdomeinen.
Naarmate zorginstellingen voor de levering van zorg steeds afhankelijker worden van informatiesystemen (bijvoorbeeld door toepassen van beslissingsondersteuning en de toenemende toepassing van medische apparatuur met ingebouwde programmatuur), wordt het steeds duidelijker dat gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, ingrijpende klinische gevolgen kunnen hebben. Met verwijzing naar ethische of wettelijke verplichtingen kan het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen worden aangemerkt als nalatigheid.
De verantwoordelijkheden en plichten van zorgverleners en zorginstellingen volgen onder meer uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO). Volgens de WGBO sluit de behandelaar met de patiënt een behandelings­overeenkomst, heeft hij/zij daarbij de plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan.
Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging. In welke mate beschikbaarheid, integriteit en vertrouwelijkheid moeten worden gewaarborgd, hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico's waaraan deze wordt blootgesteld.
Voor systemen met patiëntgegevens is hoge beschikbaarheid een eerste eis. Tijdigheid van informatie is vaak een kritische factor voor de juiste zorg. Bij spoedeisende zorg kan een extreem hoge eis aan tijdigheid moeten worden gesteld, wat specifieke aandacht vraagt voor het tegelijkertijd waarborgen van de vertrouwelijkheid. Integriteit van de gegevens is ook zeker vereist. Verder behoort ter bescherming van de privacy voor alle persoonsgegevens de vertrouwelijkheid te worden gewaarborgd.
Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging voor elk van de drie onderscheiden aspecten wordt vereist. De resultaten van regelmatige risicobeoordeling worden vervolgens gebruikt voor het bepalen van de prioriteiten en noodzakelijke middelen van de implementerende organisatie.
Toepassing van de relevante beheersmaatregelen in de hoofdstukken 5 tot en met 15 dient het behoud van beschikbaarheid, integriteit en vertrouwelijkheid van de informatie en maakt dat de omgang met de informatie kan worden ge-audit en verantwoord. De beheersmaatregelen kunnen helpen de kans op fouten in de zorg die ontstaan door verlies van integriteit in patiëntinformatie te verminderen. Brede toepassing van norm en maatregelen zijn belangrijk voor de continuïteit van zorg.

0.3   Deze Nederlandse norm

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Deze norm biedt een gemeenschappelijk kader voor het inrichten van de informatiebeveiliging in de gezondheidszorg. Dit gemeenschappelijke kader is nodig met het oog op de samenwerking binnen en tussen verschillende organisaties in de zorg.
De Nederlandse norm voor informatiebeveiliging in de zorg is van toepassing op alle organisaties werkzaam in de gezondheidszorg, ongeacht de aard en de omvang van het bedrijfsproces. Maar iedere organisatie is anders. Zelfs wanneer organisaties zich met dezelfde dienstverlening bezighouden kunnen er grote verschillen bestaan. Deze verschillen kunnen zich uiten in de manier waarop processen zijn ingericht, in de vorm van de informatieverwerking die wordt gebruikt of in de cultuur van de mensen die er werken. Omdat iedere organisatie anders is, bestaat niet één algemeen toepasbaar stelsel van maatregelen om informatiebeveiliging in te richten. In plaats daarvan zal een sluitend stelsel van beveiligingsmaatregelen op de specifieke organisatie moeten worden toegespitst.
Het beleidsproces voor informatiebeveiliging evenals het invoeren van de daarvoor noodzakelijke maatregelen, zijn organisatorische processen. Normen voor organisatorische processen kunnen niet als een technische specificatie worden geformuleerd. Deze norm geeft de verantwoordelijke(n) aanwijzingen bij het bepalen van doelstellingen en een afgewogen realisatie.
De norm geeft aan wat een organisatie moet doen om informatie te beveiligen, maar bevat geen expliciete aanwijzingen voor specifieke technische maatregelen. Bijvoorbeeld niet te lezen zal zijn welke methode van encryptie moet worden toegepast.
Dit document is bedoeld voor degenen die een rol spelen bij het organiseren en bewaken van de informatiebeveiliging in de zorg. Die rollen kunnen op uiteenlopende wijzen zijn ingevuld en belegd in verschillende betrokken organisaties, zoals individuele zorgverleners, zorginstellingen, (regionale) netwerkorganisaties, verzekeraars, certificerende organisaties en de Inspectie voor de Gezondheidszorg. De norm is in eerste instantie gericht op de leiding van de verschillende organisaties. Deze moet zorgen voor het toewijzen en invullen van de rollen en verantwoordelijkheden voor het organiseren en bewaken van de informatiebeveiliging. De norm richt zich vervolgens tot de degenen die aldus in het informatiebeveiligingsproces zijn betrokken.