5   Beveiligingsbeleid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

5.1   Informatiebeveiligingsbeleid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Directie richting en ondersteuning bieden voor informatiebeveiliging overeenkomstig de bedrijfsmatige eisen en relevante wetten en voorschriften.

5.1.1   Beleidsdocument voor informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De directie behoort een beleidsdocument voor informatiebeveiliging goed te keuren, te publiceren en kenbaar te maken aan alle werknemers en relevante externe partijen.
Aandachtspunten en aanbevelingen voor implementatie
Zorg ervoor dat de betrokkenheid van de directie in het beleidsdocument voor informatiebeveiliging wordt verwoord, evenals de benadering van de organisatie ten aanzien van het beheer van informatiebeveiliging.
Aandachtspunten voor de inhoud van het beleidsdocument zijn:
  • a) een definitie van informatiebeveiliging, de algemene doelstellingen en reikwijdte ervan en het belang van informatiebeveiliging als een instrument dat het gezamenlijke gebruik van informatie mogelijk maakt (zie 0 Inleiding);
  • b) een intentieverklaring van de directie ter ondersteuning van de doelstellingen en uitgangspunten van informatiebeveiliging in overeenstemming met de bedrijfsstrategie en -doelstellingen;
  • c) een kader voor het stellen van beheersdoelstellingen en beheersmaatregelen, waaronder invulling van risicomanagement (zie 4.3);
  • d) een beknopte uiteenzetting van beleid, uitgangspunten, normen en nalevingeisen ten aanzien van de beveiliging, die voor de organisatie van specifiek belang zijn, waaronder:
    • 1) naleving van verplichtingen in het kader van wet- en regelgeving en contracten;
    • 2) eisen met betrekking tot beveiligingsscholing, -training en bewustwording;
    • 3) beheerproces van bedrijfscontinuïteit;
    • 4) gevolgen van het niet naleven van informatiebeveiligingsbeleid;
  • e) vaststelling van de algemene en specifieke verantwoordelijkheden voor het beheer van informatiebeveiliging, waaronder het rapporteren van beveiligingsincidenten;
  • f) verwijzingen naar documentatie die het beleid kan ondersteunen, bijvoorbeeld meer gedetailleerde beveiligingsrichtlijnen en procedures voor specifieke informatiesystemen of beveiligingsvoorschriften voor gebruikers.
  • g) Uitspraken over:
    • de noodzaak van informatiebeveiliging in de zorg;
    • de doelstellingen van informatiebeveiliging in de zorg;
    • de reikwijdte voor naleving (zie 4.3a));
    • wet- en regelgeving en contractuele verplichtingen, waaronder die voor de beveiliging van patiëntgegevens en de wettelijke en ethische verantwoordelijkheden van zorgprofessionals voor de beveiliging van deze informatie;
    • mogelijkheden voor de melding van beveiligingsincidenten, waaronder een kanaal om zorgen over vertrouwelijkheid te melden zonder angst voor verwijten of andere negatieve gevolgen.
De vaststelling van het ISMS (zie hoofdstuk 4) kan een onderdeel vormen van het informatiebeveiligingsbeleid.
Het is van belang het informatiebeveiligingsbeleid aan gebruikers in de gehele organisatie kenbaar te maken, in een vorm die geschikt, toegankelijk en begrijpelijk is voor de beoogde lezer.
Baseer de revisie van het beleid op de bevindingen van de risicobeoordeling van de organisatie. Hierbij wordt opgemerkt dat het beleid zelf alleen de richting aangeeft, de principes weergeeft en verwijst naar andere documenten, waar specifieke informatie kan worden gevonden, die vaker wijzigt.
Besteed bij het opstellen van het informatiebeveiligingsbeleid ook specifiek aandacht aan:
  • a) de draagwijdte van zorggerelateerde informatie (wat kan de impact zijn van niet-beschikbare of onjuiste informatie);
  • b) de rechten en ethische verantwoordelijkheden van medewerkers, zoals vastgelegd in de wet, en zoals geaccepteerd door beroepsgroepen;
  • c) de rechten van patiënten, waar van toepassing, met betrekking tot privacy en toegang tot hun gegevens;
  • d) de verplichtingen van zorgverleners met betrekking tot het verkrijgen van toestemming van patiënten en het waarborgen van de vertrouwelijkheid van patiëntgegevens;
  • e) de gerechtigde noodzaak van zorgverleners en zorgaanbieders om de reguliere beveiliging te overrulen wanneer de noodzaak hiervoor aanwezig is; en het toepassen van procedures om dit vast te leggen;
  • f) de verplichtingen van zorgaanbieders en patiënten in het geval van het verlenen van zorg op een gedeelde of uitgebreide basis;
  • g) de protocollen en procedures die worden toegepast bij het delen van informatie voor onderzoeksdoeleinden en clinical trials;
  • h) de regelingen en beperkingen voor tijdelijke medewerkers, zoals studenten en invalkrachten;
  • i) de regelingen en beperkingen voor toegang tot patiëntgegevens voor vrijwilligers, geestelijke verzorgers en dergelijke.
Wanneer organisaties diensten afnemen van derde partijen en/of met hen samenwerken, in het bijzonder wanneer deze onder een ander wetgevingsregime vallen, besteed dan in het informatiebeveiligingsbeleid aandacht aan beleid, maatregelen en procedures die ingaan op deze samenwerking en de vastlegging van verantwoordelijkheden van de betrokkenen. Wanneer persoonsgegevens over nationale of wetgrenzen wordt uitgewisseld, volg dan de aanwijzingen van NEN-EN 14484 [38], NEN-EN 14485 [39] en ISO 22857 [37].
Overige informatie
Het informatiebeveiligingsbeleid kan onderdeel uitmaken van een algemeen beleidsdocument. Indien het informatiebeveiligingsbeleid buiten de organisatie wordt verspreid, behoort erop te worden gelet geen gevoelige informatie bekend te maken.
Het is zinvol het informatiebeveiligingsbeleid elektronisch via intranet ter beschikking te stellen.

5.1.2   Beoordeling van het informatiebeveiligingsbeleid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Het informatiebeveiligingsbeleid behoort met geplande tussenpozen, na het optreden van een omvangrijk informatiebeveiligingsincident of zodra zich belangrijke wijzigingen voordoen, te worden beoordeeld om te bewerkstelligen dat het geschikt, toereikend en doeltreffend blijft.
Aandachtspunten en aanbevelingen voor implementatie
De voor het informatiebeveiligingsbeleid verantwoordelijke heeft een door de directie goedgekeurde verantwoordelijkheid voor het ontwikkelen, beoordelen en evalueren van het beveiligingsbeleid.
Kijk bij de beoordeling ook naar mogelijkheden voor verbetering van het informatiebeveiligingsbeleid van de organisatie en haar benadering van beheren van de informatiebeveiliging als reactie op veranderingen in de omgeving van de organisatie, bedrijfsomstandigheden, wettelijke voorwaarden of technische omgeving.
Houd bij de beoordeling van het informatiebeveiligingsbeleid rekening met de resultaten van directiebeoordelingen. Hanteer vaste directiebeoordelingsprocedures, waaronder een schema of periode voor de beoordeling.
De directiebeoordeling van het informatiebeveiligingsbeleid kan deel uitmaken van de directiebeoordeling van het ISMS (zie 4.5.3).
Aandachtspunten voor de inhoud van de directiebeoordeling zijn:
  • a) terugkoppeling van belanghebbende partijen;
  • b) resultaten van onafhankelijke beoordelingen (zie 6.1.8);
  • c) status van preventieve en corrigerende handelingen (zie 4.6.3, 4.6.4, 14.1.1e) en 15.2.1c));
  • d) resultaten van voorgaande directiebeoordelingen;
  • e) procesprestaties en naleving van het informatiebeveiligingsbeleid;
  • f) veranderingen die van invloed zouden kunnen zijn op de aanpak van de organisatie voor het beheren van informatiebeveiliging; voorbeeld hiervan zijn veranderingen in de omgeving van de organisatie, bedrijfsomstandigheden, beschikbaarheid van middelen, contractuele voorwaarden of voorwaarden uit wet- of regelgeving, of de technische omgeving;
  • g) trends in verband met bedreigingen en kwetsbaarheden;
  • h) gerapporteerde informatiebeveiligingsincidenten (zie 13.1);
  • i) aanbevelingen verstrekt door de relevante autoriteiten (zie 6.1.6).
Aandachtspunten voor de resultaten van de directiebeoordeling zijn:
  • a) verbetering van de aanpak van de organisatie voor het beheren van informatiebeveiliging en onderliggende processen;
  • b) verbetering van beheersdoelstellingen en beheersmaatregelen;
  • c) verbetering van de toewijzing van middelen en/of verantwoordelijkheden.
Het verdient aanbeveling een verslag van de directiebeoordeling bij te houden.
Zorg ervoor dat ook het herziene beleid goedkeuring verkrijgt van de directie.
Specifiek voor de zorg gelden voor de beoordeling van het informatiebeveiligingsbeleid de volgende aandachtspunten:
  • a) de wijzigingen in de aard van de werkzaamheden van de organisatie en de bijbehorende wijzigingen in het risicoprofiel en de vereisten voor de beheersing van deze risico’s;
  • b) de wijzigingen in de IT-infrastructuur van de organisatie en de bijbehorende wijzigingen in het risicoprofiel;
  • c) de wijzigingen in de externe omgeving en hun impact op het risicoprofiel;
  • d) de recente maatregelen en verplichtingen opgelegd door toezichthouders of door wet- en regelgeving;
  • e) de recente aanwijzingen en aanbevelingen van koepels en toezichthouders met betrekking tot de bescherming van patiëntgegevens;
  • f) de uitkomsten van rechtszaken en jurisprudentie die hebben geleid tot precedenten en toegepaste werkwijzen;
  • g) de uitdagingen en aandachtspunten met betrekking tot het beleid, zoals aangegeven door medewerkers, patiënten, zorgverleners, onderzoekers en overheden, waaronder toezichthouders.
  • h) de effectiviteit van het beleid, en de wijze waarop dit moet worden gemeten (zie ook EN-ISO/IEC 27004 [5]);
  • i) de kosten en het effect van de maatregelen op het functioneren van de organisatie;
  • j) het effect van veranderingen in de technologie.