15   Naleving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

15.1   Naleving van wettelijke voorschriften

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Voorkomen van schending van enige wetgeving, wettelijke en regelgevende of contractuele verplichtingen, en van enige beveiligingseisen.

15.1.1   Identificatie van toepasselijke wetgeving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle relevante wettelijke en regelgevende eisen en contractuele verplichtingen en de benadering van de organisatie in de naleving van deze eisen, behoren expliciet te worden vastgesteld, gedocumenteerd en actueel te worden gehouden voor elk informatiesysteem en voor de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Definieer en documenteer specifieke beheersmaatregelen en individuele verantwoordelijkheden om aan deze eisen te voldoen (zie de WBP en aanverwante documenten).

15.1.2   Intellectuele eigendomsrechten (Intellectual Property Rights, IPR)

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren geschikte procedures te worden geïmplementeerd om te bewerkstelligen dat wordt voldaan aan de wettelijke en regelgevende eisen en contractuele verplichtingen voor het gebruik van materiaal waarop intellectuele eigendomsrechten kunnen berusten en het gebruik van programmatuur waarop intellectuele eigendomsrechten berusten.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende richtlijnen om materiaal te beschermen dat als intellectueel eigendom kan worden beschouwd:
  • a) het publiceren van beleid ten aanzien van de naleving van intellectuele eigendomsrechten, waarin wettig gebruik van programmatuur en informatieproducten wordt gedefinieerd;
  • b) programmatuur alleen aanschaffen via bekende en erkende leveranciers om te waarborgen dat geen auteursrechten worden geschonden;
  • c) instandhouden van het bewustzijn van het beleid voor bescherming van intellectueeleigendomsrechten, evenals van het voornemen om disciplinaire maatregelen te treffen tegen personeel dat dit beleid schendt;
  • d) bijhouden van relevante registers van bedrijfsmiddelen en het identificeren van alle bedrijfsmiddelen met eisen ten aanzien van het beschermen van intellectuele eigendomsrechten;
  • e) het bewaren en onderhouden van bewijzen en bewijsmateriaal waaruit blijkt over welke licenties, originele diskettes of schijven, handboeken enz. de organisatie beschikt;
  • f) het implementeren van beheersmaatregelen om te waarborgen dat het maximaal toegelaten aantal gebruikers niet wordt overschreden;
  • g) controleren dat alleen geautoriseerde programmatuur en producten met licenties zijn geïnstalleerd;
  • h) vaststellen van beleid voor het handhaven van passende licentievoorwaarden;
  • i) vaststellen van beleid voor het verwijderen van programmatuur of het overdragen ervan aan anderen;
  • j) gebruik van geschikte audit-hulpmiddelen;
  • k) voldoen aan bepalingen en voorwaarden voor programmatuur en informatie die zijn verkregen via openbare netwerken;
  • l) niet dupliceren, converteren naar een ander formaat of extraheren van commerciële opnamen (film, audio), tenzij dit auteursrechtelijk is toegestaan;
  • m) niet volledig of gedeeltelijk kopiëren van boeken, artikelen, rapporten of andere documenten, tenzij dit auteursrechtelijk is toegestaan.
Overige informatie
Onder de intellectuele eigendomsrechten vallen auteursrecht op programmatuur of documenten, ontwerprechten, handelsmerken, octrooien en broncodelicenties.
Programmatuur waarop eigendomsrechten berusten, wordt doorgaans geleverd op basis van een licentieovereenkomst die de licentievoorwaarden noemt, bijvoorbeeld het gebruik van de programmatuur beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-up kopieën. Stem de IPR-situatie van programmatuur die door de organisatie zelf is ontwikkeld af met het personeel.
Eisen uit wet- en regelgeving en contractuele eisen kunnen beperkingen inhouden voor het kopiëren van materiaal waarop eigendomsrechten berusten. In het bijzonder kan worden bepaald dat uitsluitend materiaal mag worden gebruikt dat door de organisatie zelf werd ontwikkeld, of dat door de ontwikkelaar in licentie is gegeven aan de organisatie of aan de organisatie is geleverd. Schending van auteursrecht kan leiden tot gerechtelijke stappen en mogelijk tot strafrechtelijke vervolging.

15.1.3   Bescherming van bedrijfsdocumenten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Belangrijke registraties behoren te worden beschermd tegen verlies, vernietiging en vervalsing, overeenkomstig wettelijke en regelgevende eisen, contractuele verplichtingen en bedrijfsmatige eisen.
Organisaties die patiëntgegevens verwerken behoren ervoor te zorgen dat tot een persoon herleidbare gegevens niet langer worden bewaard dan noodzakelijk en dat het risico van onbedoelde openbaarmaking van persoonsgegevens waar mogelijk wordt beperkt door vernietigen van de gegevens, danwel door anonimiseren of pseudonimiseren. Zie NPR-ISO/TS 25237:2008 [30].
Aandachtspunten en aanbevelingen voor implementatie
Categoriseer registraties naar type, bijvoorbeeld boekhoudkundige registraties, database-records, transactielogbestanden, auditlogbestanden en operationele procedures. Vermeld bij elk type de bewaartermijn en het type opslagmedium, bijvoorbeeld papier, microfiche, magnetische of optische opslag. Bewaar ook alle cryptografische sleutels of programmatuur die verband houden met versleutelde archieven of elektronische handtekeningen (zie 12.3) om ontcijfering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties.
Houdt rekening met de mogelijkheid dat media die voor opslag van records worden gebruikt in kwaliteit achteruit gaan. Implementeer procedures voor opslag en behandeling van deze media in overeenstemming met de aanbevelingen van de fabrikant.
Stel waar elektronische opslagmedia worden gekozen, procedures vast om te waarborgen dat de informatie gedurende de gehele bewaarperiode toegankelijk blijft (leesbaarheid van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingen.
Kies systemen voor gegevensopslag zo dat vereiste gegevens kunnen worden opgevraagd binnen een aanvaardbare tijdspanne en in een aanvaardbaar formaat, afhankelijk van de eisen waaraan moet worden voldaan.
Zorg ervoor dat het systeem waarmee gegevens worden opgeslagen en behandeld, een duidelijke identificatie van registraties en, waar van toepassing, van hun bewaartermijn waarborgen, waar van toepassing in overeenstemming met nationale of regionale wet- of regelgeving. Zorg ervoor dat registraties na afloop van die termijn, als de organisatie ze niet meer nodig heeft, op geschikte wijze kunnen worden vernietigd.
Onderneem om aan de verplichtingen van het veiligstellen van records te voldoen, binnen een organisatie de volgende stappen:
  • a) stel richtlijnen vast voor het bewaren, opslaan, behandelen en verwijderen van records en informatie;
  • b) stel een bewaarschema op waarin registraties zijn vastgelegd, evenals de periode gedurende welke ze worden bewaard;
  • c) houdt een inventarislijst bij van de belangrijkste informatiebronnen;
  • d) implementeer geschikte beheersmaatregelen om registraties en informatie te beschermen tegen verlies, vernietiging en vervalsing.
Overige informatie
Het is van belang sommige registraties veilig te bewaren om te voldoen aan eisen van wet- of regelgeving of contractuele eisen evenals om belangrijke bedrijfsactiviteiten te ondersteunen. Voorbeelden hiervan zijn o.a. registraties die kunnen worden gebruikt als bewijs dat een organisatie handelt in overeenstemming met wettelijke bepalingen of als afdoende verweer in geval van strafrechtelijke of civielrechtelijke procedures of om de financiële status van de organisatie kenbaar te maken aan aandeelhouders, externe partijen en auditors. De bewaartermijn voor informatie en het type informatie dat moet worden bewaard kunnen zijn vastgelegd in nationale wet- en regelgeving.
Meer informatie over het beheer van bedrijfsdocumenten is te vinden in ISO 15489-1.
Voorbeelden van documenttypen zijn declaraties, medische dossiers, daglijsten, transactielogbestanden, audit-logbestanden en operationele procedures. Het opslagmedium kan papier, microfiche, magnetische of optische opslag omvatten. Media die voor opslag van gegevens worden gebruikt, kunnen in de tijd mogelijk kwalitatief achteruitgaan. De bewaartermijn voor het beveiligen van bedrijfsdocumenten is ook afhankelijk van hierbij geldende wettelijke bepalingen.

15.1.4   Bescherming van gegevens en geheimhouding van persoonsgegevens

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De bescherming van gegevens en privacy behoort te worden bewerkstelligd overeenkomstig relevante wetgeving, voorschriften en indien van toepassing contractuele bepalingen.
Behoudens wettelijke uitzonderingen, behoort een zorginstelling toestemming te hebben van de patiënt voor het uitwisselen van zijn gegevens.
Aandachtspunten en aanbevelingen voor implementatie
Ontwikkel op organisatieniveau een beleid voor bescherming van persoonsgegevens en voer dit in. Communiceer dit beleid naar alle personen die betrokken zijn bij het verwerken van persoonsgegevens.
Overige informatie
Naleving van dit beleid en alle relevante wetgeving voor gegevensbescherming en regelgeving vereist een geschikte structuur voor beheer en beveiliging. Vaak kan dit het beste worden bereikt door een verantwoordelijke aan te wijzen, zoals een functionaris die belast is met de bescherming van gegevens die ondersteuning biedt aan managers, gebruikers en dienstverlenende bedrijven met betrekking tot hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd. Voer het toewijzen van verantwoordelijkheid voor het verwerken van persoonlijke informatie en het waarborgen dat medewerkers zich bewust zijn van de uitgangpunten van bescherming van gegevens uit in overeenstemming met de relevante wet- en regelgeving. Implementeer passende technische en organisatorische maatregelen om persoonsgegevens te beschermen.
Een aantal landen heeft wetten ingevoerd die beheersmaatregelen opleggen aan het verzamelen, verwerken en verzenden van persoonsgegevens (in het algemeen informatie over levende personen die aan de hand van die informatie kunnen worden geïdentificeerd). Afhankelijk van de vigerende nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan degenen die persoonsgegevens verzamelen, verwerken en verspreiden en kunnen zij de mogelijkheden voor het verzenden van deze gegevens naar andere landen beperken. Koepelorganisaties in de zorg geven in het algemeen aanwijzingen en uitleg.

15.1.5   Voorkomen van misbruik van IT-voorzieningen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Gebruikers behoren ervan te worden weerhouden IT-voorzieningen te gebruiken voor onbevoegde doeleinden.
Aandachtspunten en aanbevelingen voor implementatie
Zorg ervoor dat de directie het gebruik van IT-voorzieningen goedkeurt. Beschouw gebruik van deze voorzieningen voor niet-zakelijke doeleinden zonder toestemming van de directie (zie 6.1.4) of voor enig onbevoegd doel als onoorbaar gebruik van de voorzieningen. Breng indien enige ongeautoriseerde activiteit wordt gesignaleerd door middel van controle of anderszins, deze activiteit onder de aandacht van de desbetreffende manager om te overwegen of disciplinaire en/of juridische maatregelen kunnen worden getroffen.
Win bij het invoeren van controlesystemen vooraf juridisch advies in.
Zorg ervoor dat alle gebruikers op de hoogte zijn van de exacte reikwijdte van hun toegangsrechten en van het feit dat wordt gecontroleerd om onbevoegd gebruik te ontdekken. Dit kan worden bereikt door gebruikers een schriftelijke autorisatieverklaring ter hand te stellen waarvan een kopie door de gebruiker wordt getekend en veilig wordt bewaard door de organisatie. Meldt werknemers van de organisatie, ingehuurd personeel en externe gebruikers dat geen toegang zal worden toegestaan buiten de geautoriseerde toegang.
Zorg ervoor dat bij het inloggen een waarschuwing op het beeldscherm verschijnt die aangeeft dat de IT-voorzieningen waar mee gewerkt wordt eigendom zijn van de organisatie en dat onbevoegde toegang niet is toegelaten. Laat de gebruiker het bericht op het scherm bevestigen en er op de juiste manier op reageren, voordat het inlogproces wordt voorgezet (zie 11.5.1).
Zorg ervoor dat voor het gebruik van informatiemiddelen van de organisatie voor andere dan de beoogde doeleinden toestemming wordt verkregen van de leiding.
Overige informatie
De IT-voorzieningen van een organisatie zijn primair of exclusief bedoeld voor bedrijfsdoeleinden.
Inbraakdetectie, inhoudinspectie en andere controlemiddelen kunnen helpen om misbruik van IT-voorzieningen te voorkomen en te ontdekken.
Het gebruik van een computer voor ongeautoriseerde doeleinden kan strafbaar zijn volgens de Wet op de computercriminaliteit. Het is aan te bevelen de rechtmatigheid van het bewaken van het gebruik van voorzieningen op basis van juridisch advies te bepalen.

15.1.6   Voorschriften voor het gebruik van cryptografische beheersmaatregelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Cryptografische beheersmaatregelen behoren overeenkomstig alle relevante overeenkomsten, wetten en voorschriften te worden gebruikt.
Aandachtspunten en aanbevelingen voor implementatie
Win juridisch advies in om te waarborgen dat nationale wet- en regelgeving wordt nageleefd. Win ook juridisch advies in vóór verzending van versleutelde gegevens of cryptografische beveiligingen van het ene naar het andere land.

15.2   Naleving van beveiligingsbeleid en -normen en technische naleving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat systemen voldoen aan het beveiligingsbeleid en de beveiligingsnormen van de organisatie.

15.2.1   Naleving van beveiligingsbeleid en -normen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Managers behoren te bewerkstelligen dat alle beveiligingsprocedures die binnen hun verantwoordelijkheid vallen correct worden uitgevoerd om naleving te bereiken van beveiligingsbeleid en -normen.
Aandachtspunten en aanbevelingen voor implementatie
Bewerkstellig dat managers regelmatig beoordelen of de informatieverwerking binnen hun verantwoordelijkheidsgebied voldoet aan het geldende beveiligingsbeleid, normen en andere beveiligingseisen.
Bewerkstellig dat managers indien als resultaat van de beoordeling een geval van niet-naleving wordt ontdekt:
  • a) de oorzaken van deze niet-naleving vaststellen:
  • b) de noodzaak voor handelen beoordelen om te waarborgen dat niet-naleving zich niet opnieuw voordoet;
  • c) passende corrigerende maatregelen vaststellen en implementeren;
  • d) de uitgevoerde correctieve maatregel beoordelen.
Registreer de resultaten van de beoordelingen en de corrigerende handelingen die door managers zijn uitgevoerd, en bewaar deze registraties. Bewerkstellig dat de managers wanneer de onafhankelijke beoordeling plaatsvindt in hun verantwoordelijkheidsgebied de resultaten rapporteren aan de personen die de onafhankelijke beoordelingen uitvoeren (zie 6.1.8).
Richt het auditprogramma formeel in zodat alle onderwerpen van deze norm, alle risicogebieden en alle geïmplementeerde maatregelen, met een vaste cyclus van bijvoorbeeld 12-18 maanden, aan bod komen.
Voor informatiebeveiliging wordt een gelaagd kader aanbevolen. De onderste laag bestaat hierbij uit zelfevaluatie door managers en uitvoerders. Vervolgens komen lagen van interne audit, specifieke assessments en externe controles. Richt die zo in dat ze gebruikmaken van de resultaten van de onderliggende niveaus.
Overige informatie
De operationele controle van het systeemgebruik wordt behandeld in 10.10.

15.2.2   Controle op technische naleving

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Informatiesystemen behoren regelmatig te worden gecontroleerd op naleving van implementatie van technische beveiligingsnormen.
Aandachtspunten en aanbevelingen voor implementatie
Voer controle uit op naleving van technische normen, ofwel handmatig door een ervaren systeemtechnicus (zonodig met ondersteuning van geschikte programmatuurhulpmiddelen) ofwel automatisch met behulp van geautomatiseerde hulpmiddelen waarmee een technisch rapport wordt gegenereerd dat vervolgens door een technisch deskundige wordt geïnterpreteerd.
Indien penetratieproeven of kwetsbaarheidsbeoordelingen worden toegepast, is voorzichtigheid geboden, daar deze activiteiten kunnen leiden tot compromittering van de beveiliging van het systeem. Plan en documenteer zulke testen en maak ze herhaalbaar.
Laat controle op naleving van technische normen uitsluitend uitvoeren door gekwalificeerde, bevoegde personen of onder toezicht van zo een persoon.
Overige informatie
Controle op naleving van technische normen omvat onderzoek van productiesystemen om te waarborgen dat maatregelen voor apparatuur en programmatuur correct zijn geïmplementeerd. Voor dit soort controles is technische ondersteuning van een deskundige vereist.
Controle op naleving van technische normen omvat verder bijvoorbeeld penetratieproeven en kwetsbaarheidsbeoordelingen die kunnen worden uitgevoerd door onafhankelijke deskundigen die speciaal voor dit doel worden ingehuurd. Een dergelijke controle kan nuttig zijn om zwakke plekken in het systeem te ontdekken en om te controleren hoe doeltreffend de beheersmaatregelen zijn bij het voorkómen van onbevoegde toegang als gevolg van deze zwakke plekken.
Penetratieproeven en kwetsbaarheidsbeoordelingen geven een momentopname van een systeem in een bepaalde toestand op een bepaald tijdstip. De momentopname blijft beperkt tot die delen van het systeem die werkelijk zijn getest tijdens de penetratiepoging(en). Penetratieproeven en kwetsbaarheidsbeoordelingen zijn geen vervanging van een risicobeoordeling.

15.3   Overwegingen bij audits van informatiesystemen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Doeltreffendheid van audits van het informatiesysteem maximaliseren en verstoring als gevolg van systeemaudits minimaliseren.

15.3.1   Beheersmaatregelen voor audits van informatiesystemen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Eisen voor audits en andere activiteiten waarbij controles worden uitgevoerd op productiesystemen, behoren zorgvuldig te worden gepland en goedgekeurd om het risico van verstoring van bedrijfsprocessen tot een minimum te beperken.
Aandachtspunten en aanbevelingen voor implementatie
Neem de volgende richtlijnen in acht:
  • a) kom de auditeisen overeen met de juiste managers;
  • b) kom de reikwijdte van de controles overeen en beheerst die;
  • c) beperk de controles tot alleen-lezen-toegang (‘read-only’) tot programmatuur en gegevens;
  • d) laat andere toegang dan ‘alleen lezen’ uitsluitend toe voor geïsoleerde kopieën van systeembestanden, die na beëindiging van de audit weer worden gewist of op een juiste wijze beschermd indien de auditdocumenatie dit vereist;
  • e) stel hulpmiddelen voor de uitvoering van de controles expliciet vast en stel ze beschikbaar;
  • f) kom eisen voor bijzondere of aanvullende verwerking overeen en stel ze vast;
  • g) controleer alle toegang, leg die vast in een logbestand om een ‘reference trail’ te produceren; overweeg voor kritische gegevens of systemen een ‘reference trail’ met tijdregistratie;
  • h) documenteer alle procedures, eisen en verantwoordelijkheden;
  • i) bewerkstellig dat de persoon/personen die de audit uitvoert/uitvoeren geen belangen heeft/hebben bij de activiteiten die worden geaudit.

15.3.2   Bescherming van audithulpmiddelen voor audits van informatiesystemen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Toegang tot hulpmiddelen voor audits van informatiesystemen behoort te worden beschermd om mogelijk misbuik of compromittering te voorkomen.
Aandachtspunten en aanbevelingen voor implementatie
Scheid de hulpmiddelen voor systeemaudits, bijvoorbeeld programmatuur of gegevensbestanden, van ontwikkelingssystemen en productiesystemen en sla deze niet op in magneetbandbibliotheken of gebruikersruimte, tenzij hiervoor aanvullende beschermingsmaatregelen van een geschikt niveau zijn getroffen.
Overige informatie
Indien derden bij een audit zijn betrokken bestaat het risico dat de audithulpmiddelen en de informatie waartoe toegang is verkregen door deze derde partij worden misbruikt. Maatregelen zoals genoemd in 6.2.1 (beoordelen van risico’s) en in 9.1.2 (fysieke toegang beperken) kunnen worden overwogen om dit risico aan te pakken, en alle eruit voorbloeiende maatregelen zoals het onmiddellijk wijzigen van de wachtwoorden die aan auditors zijn bekendgemaakt.
Bij hulpmiddelen voor systeemaudits kan worden gedacht aan programmatuur of gegevensbestanden.