6   Organisatie van informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
De leiding van de zorginstelling is verantwoordelijk voor de beveiliging van patiëntgegevens en andere vertrouwelijke informatie die door de organisatie wordt verwerkt. Dit is in het bijzonder van belang voor organisaties die afhankelijk zijn van diensten van derden. Effectieve coördinatie is ook een essentieel onderdeel van het beheer van informatiebeveiliging. Een en ander vereist een toegesneden en robuuste infrastructuur voor informatiebeveiliging.

6.1   Interne organisatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie.

6.1.1   Betrokkenheid van de directie bij informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De directie behoort informatiebeveiliging binnen de organisatie actief te ondersteunen door duidelijk richting te geven, betrokkenheid te tonen en expliciet verantwoordelijkheden voor informatiebeveiliging toe te kennen en te erkennen.
Aandachtspunten en aanbevelingen voor implementatie
Taken en verantwoordelijkheden van de directie:
  • a) waarborgen dat de informatiebeveiligingsdoelstellingen worden vastgesteld, voldoen aan de eisen van de organisatie en zijn geïntegreerd in de relevante processen;
  • b) het informatiebeveiligingsbeleid te formuleren, te beoordelen en goed te keuren;
  • c) de doelmatigheid van de implementatie van het informatiebeveiligingsbeleid te beoordelen;
  • d) te zorgen voor een heldere koers en zichtbare ondersteuning voor beveiligingsinitiatieven;
  • e) te zorgen voor de middelen die nodig zijn voor informatiebeveiliging;
  • f) het toekennen van rollen en verantwoordelijkheden voor de informatiebeveiliging in alle lagen van de organisatie goed te keuren;
  • g) plannen en programma’s te initiëren om het informatiebeveiligingsbewustzijn levend te houden;
  • h) te waarborgen dat de implementatie van de beheersmaatregelen voor informatiebeveiliging in alle lagen van de organisatie wordt gecoördineerd (zie 6.1.2).
De directie stelt de behoefte aan interne of externe bronnen van deskundig advies voor informatiebeveiliging vast en beoordeelt en coördineert de resultaten van het advies in alle lagen van de organisatie.
Afhankelijk van de grootte van de organisatie kunnen deze verantwoordelijkheden worden geëntameerd door een speciale beheergroep of door een bestaand bestuurlijk orgaan, zoals een directie of een bestuur.
Zoals aangegeven in 4.2 heeft de directie ook een verantwoordelijkheid voor het juist functioneren van het ISMS. De verantwoordelijke voor informatiebeveiliging rapporteert hiertoe, naast andere taken, aan het overleg voor informatiebeveiliging en biedt hieraan ondersteuning. De verantwoordelijke voor informatiebeveiliging draagt ook zorg voor het verzamelen, publiceren en becommentariëren van de rapportages van de leden van het overleg voor informatiebeveiliging.
Overige informatie
Nadere informatie is te vinden in NEN-ISO/IEC 27003:2010 [4].
Er wordt op gewezen dat de verantwoordelijkheid voor het beheer van patiëntgegevens alleen over een langere periode goed kan worden ingevuld wanneer de organisatie beschikt over een duurzame organisatie voor informatiebeveiliging (zie ook 4.2).
Welke organisatorische structuur ook is gekozen, het is van groot belang dat deze zo is ontworpen dat toegang tot patiëntgegevens mogelijk is, binnen de bestaande organisatiestructuur kan worden gerapporteerd en dat informatie tijdig kan worden geleverd.

6.1.2   Coördinatie van informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Vertegenwoordigers uit verschillende delen van de organisatie met relevante rollen en functies behoren activiteiten voor informatiebeveiliging te coördineren.
Aandachtspunten en aanbevelingen voor implementatie
Kenmerkend voor de coördinatie van informatiebeveiliging is de medewerking en samenwerking van managers, gebruikers, beheerders, ontwerpers van toepassingen, auditors en beveiligingspersoneel en specialistische kennis op het gebied van bijvoorbeeld verzekeringen, juridische zaken, personeel, IT of risicomanagement. Voor de coördinatie van informatiebeveiliging gelden de volgende aandachtspunten:
  • a) het waarborgen dat de beveiligingsactiviteiten worden uitgevoerd in overeenstemming met het informatiebeveiligingsbeleid;
  • b) vaststellen hoe op te treden bij niet-naleving;
  • c) het goedkeuren van de methoden en processen voor informatiebeveiliging, bijvoorbeeld risicobeoordeling, informatieclassificatie;
  • d) de identificatie van significante wijzigingen in bedreigingen en het blootstellen van informatie en informatievoorziening aan bedreigingen;
  • e) de beoordeling van de geschiktheid en het coördineren van de implementatie van informatiebeveiligingsmaatregelen;
  • f) het effectief bevorderen van opleiding, training en bewustwording van informatiebeveiliging in alle lagen van de organisatie;
  • g) het evalueren van informatie verkregen uit het controleren en beoordelen van informatiebeveiligingsincidenten, en aanbevelen van gepaste handelingen als reactie op de vastgestelde informatiebeveiligingsincidenten.
Richt de coördinatie van informatiebeveiliging in in samenhang met wat over de stuurgroep voor informatiebeveiliging is beschreven in 4.2.3. Zorg dat overleg voor informatiebeveiliging frequent plaatsvindt.
Indien de organisatie geen gebruik maakt van een multidisciplinair team, bijvoorbeeld omdat zo’n team niet past bij de omvang van de organisatie, kunnen de eerder beschreven handelingen worden uitgevoerd door een ander geschikt bestuurlijk lichaam of een individuele manager.

6.1.3   Toewijzing van verantwoordelijkheden voor informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle verantwoordelijkheden voor informatiebeveiliging behoren duidelijk te zijn gedefinieerd.
Organisaties die patiëntgegevens verwerken behoren de verantwoordelijkheden voor de beveiliging van patiëntgegevens eenduidig toe te wijzen.
Aandachtspunten en aanbevelingen voor implementatie
  • Toewijzen van verantwoordelijkheden voor de informatiebeveiliging in overeenstemming met het informatiebeveiligingsbeleid (zie hoofdstuk 5) en het ISMS (zie hoofdstuk 4).
  • Duidelijk definiëren van de verantwoordelijkheid voor de beveiliging van individuele bedrijfsmiddelen en voor het uitvoeren van specifieke beveiligingsprocessen. Deze verantwoordelijkheid indien nodig aanvullen met meer gedetailleerde richtlijnen voor bepaalde locaties en informatievoorziening.
  • Duidelijk definiëren van lokale verantwoordelijkheden voor de beveiliging van bedrijfsmiddelen en voor het uitvoeren van bepaalde beveiligingsprocessen, zoals continuïteitsplanning.
Personen aan wie beveiligingsverantwoordelijkheden zijn opgedragen, mogen beveiligingstaken aan anderen delegeren. Zij blijven echter verantwoordelijk, ook voor het vaststellen dat een gedelegeerde taak op de juiste wijze is uitgevoerd.
Geef de terreinen waarvoor personen verantwoordelijk zijn duidelijk aan; in het bijzonder houdt dit het onderstaande in:
  • a) het vaststellen en duidelijk definiëren van de bedrijfsmiddelen en beveiligingsprocessen van elk afzonderlijk systeem;
  • b) aanwijzen van één entiteit voor elk bedrijfsmiddel of proces en het documenteren van de details van deze verantwoordelijkheid (zie ook 7.1.2);
  • c) het duidelijk definiëren en documenteren van bevoegdheden.
Overige informatie
Veel organisaties zullen een verantwoordelijke voor informatiebeveiliging aanstellen, die de volledige verantwoordelijkheid krijgt voor de ontwikkeling en implementatie van de beveiliging en die ondersteuning verleent bij het vaststellen van de beheersmaatregelen.
De verantwoordelijkheid voor het beschikbaar stellen van middelen en het implementeren van de beheersmaatregelen ligt echter vaak bij individuele managers. Het is goed gebruik voor elk bedrijfsmiddel een ‘verantwoordelijke’ aan te wijzen, die vervolgens verantwoordelijk is voor de dagelijkse beveiliging ervan.

6.1.4   Goedkeuringsproces voor middelen voor de informatievoorziening

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort een goedkeuringsproces voor nieuwe middelen voor de informatievoorziening te worden vastgesteld en geïmplementeerd.
Aandachtspunten en aanbevelingen voor implementatie
  • a) goedkeuring van nieuwe voorzieningen door het management aan gebruikerszijde, waarbij toestemming wordt verleend voor het doel en het gebruik van de voorzieningen. Dit omvat ook goedkeuring van de manager die verantwoordelijk is voor de handhaving van de beveiliging van de lokale informatiesystemen, om te waarborgen dat alle relevante beveiligingseisen en -procedures worden nageleefd;
  • b) controle van hardware en programmatuur op compatibiliteit met andere systeemcomponenten;
  • c) vaststelling en implementatie van beheersmaatregelen in relatie met het gebruik van persoonlijke of eigen informatievoorziening, bijvoorbeeld laptops, huiscomputers of ‘handheld’-apparatuur, voor het verwerken van bedrijfsgegevens.

6.1.5   Geheimhoudingsovereenkomst

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Eisen voor vertrouwelijkheid die een weerslag vormen van de behoefte van de organisatie aan beveiliging van informatie behoren in een geheimhoudingsovereenkomst te worden vastgesteld. Deze eisen en deze overeenkomst behoren regelmatig te worden beoordeeld.
Aandachtspunten en aanbevelingen voor implementatie
De eis te stellen aan vertrouwelijkheids- of geheimhoudingsovereenkomst zou moeten zijn om vertrouwelijke informatie te beveiligen binnen juridisch afdwingbare voorwaarden. Voor het vaststellen van de eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst gelden de volgende aandachtspunten:
  • a) een definitie van de informatie die moet worden beveiligd (bijvoorbeeld vertrouwelijke informatie);
  • b) verwachte looptijd van een vertrouwelijkheids- of geheimhoudingsovereenkomst, waaronder gevallen waar de vertrouwelijkheid mogelijk onbeperkt moet worden aangehouden;
  • c) benodigde handelingen wanneer een overeenkomst is beëindigd;
  • d) verantwoordelijkheden en handelingen van de ondertekenaars om niet-geautoriseerde bekendmaking van informatie te voorkomen;
  • e) eigendom van de informatie, intellectueel eigendom, en hoe dit verband houdt met de bescherming van vertrouwelijke informatie;
  • f) toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
  • g) recht om activiteiten te auditen en te controleren waarbij vertrouwelijke informatie betrokken is;
  • h) proces voor notificatie en rapportage van ongeoorloofde bekendmaking of inbreuk op vertrouwelijke informatie;
  • i) voorwaarden waarop de informatie moet worden teruggegeven of worden vernietigd na beëindiging van de overeenkomst; en
  • j) verwachte acties die moeten worden ondernomen bij inbreuk op deze overeenkomst.
Er zouden nog andere elementen nodig kunnen zijn voor een vertrouwelijkheids- of geheimhoudingsovereenkomst, afhankelijk van de beveiligingseisen van de organisatie.
Besteed bij het opstellen van vertrouwelijkheids- of geheimhoudingsovereenkomst aandacht aan alle van toepassing zijnde wet- en regelgeving voor het rechtsgebied waar de verklaring van kracht is (zie ook 15.1.1).
Beoordeel de eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomst regelmatig en tevens wanneer zich veranderingen voordoen die van invloed zijn op deze eisen.
Besteed in de overeenkomst aandacht aan sancties die mogelijk zijn wanneer een overtreding van het informatiebeveiligingsbeleid wordt geconstateerd. Eventueel kan hier worden volstaan met een verwijzing naar het informatiebeveiligingsbeleid.
Overige informatie
Vertrouwelijkheids- of geheimhoudingsovereenkomsten beschermen de informatie van de organisatie en stellen de ondertekenaars in kennis van hun verantwoordelijkheid om informatie op een verantwoorde en bevoegde manier te beschermen, te gebruiken en bekend te maken.
Een organisatie kan er behoefte aan hebben om onder verschillende omstandigheden verschillende manieren van vertrouwelijkheids- of geheimhoudingsovereenkomsten te gebruiken.

6.1.6   Contact met overheidsinstanties

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren geschikte contacten met relevante overheidsinstanties te worden onderhouden.
Aandachtspunten en aanbevelingen voor implementatie
Implementeer procedures die beschrijven wanneer en door wie er met autoriteiten contact behoort te worden opgenomen (bijvoorbeeld politie, brandweer, toezichthouders) en hoe de vastgestelde informatiebeveiligingsincidenten tijdig worden gerapporteerd, indien het vermoeden bestaat dat er wetgeving is overtreden.
Organisaties die via het internet worden aangevallen, kunnen bijstand van externe partijen (bijvoorbeeld een leverancier van internetdiensten of een telecommunicatiebedrijf) nodig hebben om actie tegen de aanvaller te ondernemen.
Overige informatie
Het onderhouden van dergelijke contacten kan een eis zijn voor het ondersteunen van het beheer van informatiebeveiligingsincidenten ( 13.2) of het bedrijfscontinuïteit- en noodplanproces ( hoofdstuk 14). Contacten met regelgevende instanties zijn ook nuttig om in te spelen en zich voor te bereiden op komende veranderingen in wet- of regelgeving, die door de organisatie moeten worden opgevolgd. Tot de contacten met andere instanties behoren contacten met nutsbedrijven, eerstehulpdiensten, gezondheids- en veiligheidsinstanties, bijvoorbeeld brandweer (in samenhang met bedrijfscontinuïteit), telecommunicatiebedrijven (in samenhang met lijnroutering en beschikbaarheid), waterleidingbedrijven (in samenhang met koelvoorzieningen voor apparatuur).

6.1.7   Contact met speciale belangengroepen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren geschikte contacten met speciale belangengroepen of andere specialistische platforms voor beveiliging en professionele organisaties te worden onderhouden.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg het lidmaatschap van bepaalde belangengroeperingen of forums als een middel om:
  • a) kennis te vergroten van beproefde werkwijzen (‘best practice’) en op de hoogte te blijven van de laatste stand van zaken op het gebied van informatiebeveiliging;
  • b) te waarborgen dat kennis en begrip van het vakgebied informatiebeveiliging zo veel mogelijk aanwezig zijn;
  • c) vroegtijdig signalen te krijgen van waarschuwingen, adviezen en ‘patches’ die verband houden met aanvallen en kwetsbaarheden;
  • d) toegang te verkrijgen tot deskundig informatiebeveiligingsadvies;
  • e) informatie over nieuwe technologieën, producten, bedreigingen of kwetsbaarheden te delen en uit te wisselen;
  • f) geschikte aanspreekpunten te leveren wanneer men te maken heeft met informatiebeveiligingsincidenten (zie ook 13.2.1).
Overige informatie
Er kunnen overeenkomsten voor gezamenlijk gebruik van informatie worden opgezet om de samenwerking en coördinatie van beveiligingszaken te verbeteren. Dergelijke overeenkomsten zouden eisen moeten vaststellen voor de bescherming van gevoelige informatie.

6.1.8   Onafhankelijke beoordeling van informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De benadering van de organisatie voor het beheer van informatiebeveiliging en de implementatie daarvan (d.w.z. beheersdoelstellingen, beheersmaatregelen, beleid, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen te worden beoordeeld, of zodra zich significante wijzigingen voordoen in de implementatie van de beveiliging.
Aandachtspunten en aanbevelingen voor implementatie
  • Richt de onafhankelijke beoordeling van informatiebeveiliging in in samenhang met de beoordeling van het ISMS (zie 4.5).
  • De onafhankelijke beoordeling van informatiebeveiliging kan worden geïnitieerd door de directie. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. In de beoordeling kan aandacht worden besteed aan de mogelijkheden voor verbetering en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak, waaronder het beleid en de beheersdoelstellingen.
  • Laat een dergelijke beoordeling uitvoeren door personen die onafhankelijk zijn ten opzichte van de omgeving die wordt beoordeeld, bijvoorbeeld de interne auditor of een derde partij die in dergelijke beoordelingen is gespecialiseerd, voor zover zij beschikken over de juiste vaardigheden en ervaring.
  • Leg de resultaten van de onafhankelijke beoordeling vast en rapporteer aan de directie van de organisatie. Bewaar de verslagen.
  • Overweeg corrigerende maatregelen indien in de onafhankelijke beoordeling wordt vastgesteld dat de aanpak en implementatie van het beheer van informatiebeveiliging van de organisatie ontoereikend zijn of niet in overeenstemming zijn met de koers voor informatiebeveiliging die is vastgelegd in het beleidsdocument over informatiebeveiliging (zie 5.1.1).
Overige informatie
Het gebied dat managers regelmatig beoordelen (zie 15.2.1), mag ook onafhankelijk worden beoordeeld. Tot de beoordelingstechnieken behoren interviews met de directie, controleren van verslagen of beoordeling van documenten van beveiligingsbeleid. ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing, kan ook nuttig advies bieden voor het uitvoeren van een onafhankelijke beoordeling, waaronder het opstellen en implementeren van een beoordelingsprogramma. In 15.3 zijn beheersmaatregelen beschreven die van toepassing zijn op de onafhankelijke beoordeling van bedrijfsinformatiesystemen en het gebruik van hulpmiddelen voor systeemaudits.
Het onafhankelijk beoordelen kan op verschillende manieren plaatsvinden, bijvoorbeeld: collegiale toets, visitatie of een externe toets.

6.2   Externe partijen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Beveiligen van de informatie en informatievoorziening van de organisatie handhaven waartoe externe partijen toegang hebben of die door externe partijen worden verwerkt of beheerd, of die naar externe partijen wordt gecommuniceerd.

6.2.1   Identificatie van risico's die betrekking hebben op externe partijen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De risico's voor de informatie en informatievoorziening van de organisatie vanuit bedrijfsprocessen waarin externe partijen betrokken zijn, behoren te worden geïdentificeerd en er behoren geschikte beheersmaatregelen te worden geïmplementeerd voordat toegang wordt verleend.
Aandachtspunten en aanbevelingen voor implementatie
Bepaal:
  • a) de informatievoorziening waartoe de externe partij toegang moet hebben;
  • b) het soort toegang dat de externe partij zal hebben tot de informatie en informatievoorziening, bijvoorbeeld:
    • 1) fysieke toegang, zoals tot kantoren, computerruimten, archiefkasten;
    • 2) logische toegang, zoals tot de databases of informatiesystemen van een organisatie;
    • 3) netwerkverbindingen tussen de netwerken van de organisatie en de externe partij, zoals permanente verbinding, verbinding op afstand;
    • 4) of de toegang op locatie of van buitenaf wordt verkregen;
  • c) de waarde en gevoeligheid van de desbetreffende informatie, en hoe bedrijfskritisch de informatie is;
  • d) de beheersmaatregelen die nodig zijn om informatie te beschermen die niet toegankelijk mag zijn voor de externe partijen;
  • e) het personeel van de externe partij dat is betrokken bij het verwerken van de informatie van de organisatie;
  • f) hoe de organisatie of het personeel dat geautoriseerde toegang heeft kan worden vastgesteld, hoe de autorisatie kan worden geverifieerd en hoe vaak dit moet worden herbevestigd;
  • g) de verschillende middelen en beheersmaatregelen die door de externe partij worden gehanteerd bij het opslaan, verwerken, communiceren, delen en uitwisselen van informatie;
  • h) de gevolgen van het ontbreken van toegang voor de externe partij wanneer dat is vereist en van het invoeren of ontvangen van onjuiste of misleidende informatie door de externe partij;
  • i) werkvoorschriften en procedures om informatiebeveiligingsincidenten en potentiële schade af te handelen en de voorwaarden waaronder in geval van een informatiebeveiligingsincident de toegang voor de externe partij kan worden voortgezet;
  • j) eisen van wet- en regelgeving en andere contractuele verplichtingen met betrekking tot de externe partij waarmee rekening behoort te worden gehouden;
  • k) de invloed van de overeenkomsten op de belangen van mogelijke andere belanghebbenden.
Geef externe partijen pas toegang tot de informatie van de organisatie wanneer er geschikte beheersmaatregelen zijn geïmplementeerd en, waar mogelijk, een contract is getekend waarin de voorwaarden voor de verbinding of de toegang en de werkafspraken zijn vastgelegd. Zorg ervoor dat de beveiligingseisen die samenhangen met het werken met externe partijen en de interne beheersmaatregelen tot uitdrukking komen in de overeenkomst met de externe partij (zie ook 6.2.2 en 6.2.3).
Waarborg dat de externe partij kennis draagt van zijn verplichtingen en de verantwoordelijkheden en aansprakelijkheid aanvaardt die gepaard gaan met de toegang tot informatie en informatievoorziening van de organisatie en het verwerken, communiceren of beheren ervan.
Risicoanalyse is essentieel voor een effectief beheer van toegang van externe partijen tot patiëntgegevens. Het is van belang zorg te dragen voor de bescherming van de rechten van patiënten, ook wanneer de externe partij die mogelijk toegang kan krijgen tot patiëntgegevens, valt onder ander toezicht dan de patiënten of de organisatie zelf. Zie ook 4.3.
Overige informatie
Zonder afdoende beveiligingsbeheer vormt toegang door externe partijen een risico voor informatie. Het is van belang beheersmaatregelen vast te stellen en toe te passen om de toegang door externe partijen tot de informatievoorziening te beheren. Gelden er bijvoorbeeld bijzondere eisen ten aanzien van de vertrouwelijkheid van de informatie, dan zouden geheimhoudingsovereenkomsten kunnen worden gebruikt.
Organisaties kunnen te maken krijgen met risico’s verbandhoudend met processen, beheer en communicatie tussen organisaties indien een grote mate van uitbesteding wordt toegepast of waarbij verschillende externe partijen zijn betrokken.
De beheersmaatregelen in 6.2.2 en 6.2.3 beschrijven verschillende contracten met externe partijen, waaronder:
  • a) dienstverlenende bedrijven, zoals ISP’s, leveranciers van netwerkdiensten, van telefoondiensten, van onderhoudsdiensten;
  • b) beheerde beveiligingsdiensten;
  • c) klanten;
  • d) uitbesteding van voorzieningen en/of bedrijfsactiviteiten, bijvoorbeeld IT-systemen, databasediensten, call-centerdiensten;
  • e) management- en businessconsultants, en auditors;
  • f) ontwikkelaars en leveranciers, bijvoorbeeld van programmatuur en IT-systemen;
  • g) schoonmaakdiensten, catering en andere uitbestede facilitaire diensten;
  • h) tijdelijk personeel, stagiairs, en andere kortlopende gelegenheidsaanstellingen.
Dergelijke overeenkomsten kunnen de risico’s van werken met externe partijen verminderen.

6.2.2   Beveiliging in de omgang met klanten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle geïdentificeerde beveiligingseisen behoren te worden geadresseerd voordat klanten toegang wordt verleend tot de informatie of bedrijfsmiddelen van de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Overweeg de volgende punten alvorens klanten toegang te geven tot enige van de bedrijfsmiddelen (afhankelijk van type en omvang van de verleende toegang, behoeven ze niet allemaal van toepassing te zijn):
  • a) de bescherming van bedrijfsmiddelen, waaronder:
    • 1) procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie en programmatuur en beheer van bekende kwetsbare punten;
    • 2) procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van gegevens heeft voorgedaan;
    • 3) waarborging van de integriteit;
    • 4) beperkingen ten aanzien van het kopiëren en openbaar maken van informatie;
  • b) een beschrijving van het product dat of de dienst die beschikbaar wordt gesteld;
  • c) de verschillende redenen, eisen en voordelen voor toegang voor klanten;
  • d) afspraken over toegangsbeleid, waaronder:
    • 1) goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties (ID's);
    • 2) een autorisatieproces voor toegang en speciale bevoegdheden van gebruikers;
    • 3) een verklaring dat elke toegang die niet expliciet is geautoriseerd, verboden is;
    • 4) een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen;
  • e) afspraken over rapportage, kennisgeving en onderzoek naar onjuistheden in informatie (bijvoorbeeld persoonsgegevens), van informatiebeveiligingsincidenten en lekken in de beveiliging;
  • f) een beschrijving van elke dienst die beschikbaar moet worden gesteld;
  • g) het beoogde serviceniveau en onaanvaardbare serviceniveaus;
  • h) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of te blokkeren;
  • i) de respectievelijke aansprakelijkheden van de organisatie en van de klant;
  • j) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen (zie ook 15.1);
  • k) overdracht van intellectuele eigendomsrechten (IPR's) (zie 15.1.2) en bescherming van gezamenlijk werk (zie ook 6.1.5).
Overige informatie
De beveiligingseisen voor klanten die toegang hebben tot bedrijfsmiddelen kan aanzienlijk variëren, afhankelijk van de informatievoorziening en de informatie waartoe toegang wordt gegeven. Deze beveiligingseisen kunnen worden opgenomen in klantenovereenkomsten, waarin alle vastgestelde risico’s en beveiligingseisen zijn opgenomen (zie 6.2.1).
Overeenkomsten met externe partijen mogen zich ook uitstrekken tot andere partijen. Overeenkomsten die toegang aan een externe partij verlenen, behoren ruimte te laten voor aanwijzing van andere partijen en voorwaarden voor hun toegang en betrokkenheid.

6.2.3   Beveiliging in overeenkomsten met een derde partij

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
In overeenkomsten met derden waarbij toegang tot, het verwerken van, communicatie van of beheer van informatie of informatievoorziening van de organisatie, of toevoeging van producten of diensten aan informatievoorziening waarbij sprake is van toegang, behoren alle relevante beveiligingseisen te zijn opgenomen.
Aandachtspunten en aanbevelingen voor implementatie
Voor de invulling van de vastgestelde beveiligingseisen (zie 6.2.1) gelden de volgende aandachtspunten:
  • a) het informatiebeveiligingsbeleid;
  • b) beheersmaatregelen voor het waarborgen van de bescherming van bedrijfsmiddelen, waaronder:
    • 1) procedures voor de bescherming van bedrijfsmiddelen, waaronder informatie, programmatuur en hardware;
    • 2) alle benodigde fysieke beschermingsmaatregelen en -mechanismen;
    • 3) beheersmaatregelen ter bescherming tegen kwaadaardige programmatuur (zie 10.4.1);
    • 4) procedures om vast te stellen of bedrijfsmiddelen gecompromitteerd zijn, bijvoorbeeld of zich verlies of wijziging van informatie, programmatuur en hardware heeft voorgedaan;
    • 5) beheersmaatregelen om de teruggave of vernietiging van informatie en andere bedrijfsmiddelen aan het einde van of op een overeengekomen tijdstip tijdens de looptijd van de overeenkomst te waarborgen;
    • 6) geheimhouding, integriteit, beschikbaarheid en enige andere relevante eigenschap van de bedrijfsmiddelen;
    • 7) beperkingen ten aanzien van het kopiëren en openbaar maken van informatie en het gebruik van geheimhoudingsovereenkomsten (zie 6.1.5);
  • c) opleiding voor gebruikers en beheerders op het gebied van methoden, procedures en beveiliging;
  • d) waarborgen dat gebruikers zich bewust zijn van verantwoordelijkheden en aspecten van informatiebeveiliging;
  • e) een voorziening voor het overplaatsen van personeel, waar van toepassing;
  • f) verantwoordelijkheden ten aanzien van installatie en onderhoud van hardware en programmatuur;
  • g) een duidelijke rapportagestructuur en afspraken over de vorm van de rapportage;
  • h) een duidelijk en gespecificeerd proces voor het beheer van wijzigingen;
  • i) afspraken over toegangsbeleid, waaronder:
    • 1) de verschillende redenen, eisen en voordelen die de toegang voor de derde partij noodzakelijk maken;
    • 2) goedgekeurde toegangsmethoden, evenals beheersing en gebruik van unieke identificatiemethoden zoals gebruikersidentificaties (ID's) en wachtwoorden;
    • 3) een autorisatieproces voor toegang en speciale bevoegdheden van gebruikers;
    • 4) een verplichting tot het bijhouden van een lijst van personen die bevoegd zijn de ter beschikking gestelde dienst te gebruiken, en wat hun rechten en speciale bevoegdheden zijn ten aanzien van een dergelijk gebruik;
    • 5) een verklaring dat elke toegang die niet expliciet is geautoriseerd, verboden is;
    • 6) een proces voor het intrekken van toegangsrechten of voor het onderbreken van de verbinding tussen de systemen;
  • j) afspraken over rapportage, kennisgeving en onderzoek naar informatiebeveiligingsincidenten en lekken in de beveiliging; evenals schendingen van de eisen opgesomd in de overeenkomst;
  • k) een beschrijving van het product dat of de dienst die beschikbaar wordt gesteld, en een beschrijving van de informatie die moet worden verstrekt samen met de beveiligingsclassificatie (zie 7.2.1);
  • l) het beoogde serviceniveau en onaanvaardbare serviceniveaus;
  • m) de definitie van verifieerbare prestatiecriteria en het controleren daarvan en rapportage daarover;
  • n) het recht om elke activiteit verband houdend met de bedrijfsmiddelen van de organisatie te controleren of in te trekken;
  • o) het recht de in de overeenkomst vastgelegde verantwoordelijkheden te auditen, deze audit door een derde partij te laten uitvoeren en de statutaire rechten van de auditors te benoemen;
  • p) het vaststellen van een escalatieproces voor het oplossen van problemen;
  • q) eisen voor servicecontinuïteit, waaronder maatregelen voor beschikbaarheid en betrouwbaarheid, in overeenstemming met de bedrijfsprioriteiten van de organisatie;
  • r) de respectievelijke aansprakelijkheden van de partijen die bij de overeenkomst betrokken zijn;
  • s) verantwoordelijkheden met betrekking tot juridische aangelegenheden en hoe wordt gewaarborgd dat wordt voldaan aan de wettelijke eisen, bijvoorbeeld de wetgeving voor gegevensbescherming, waarbij in het bijzonder rekening wordt gehouden met de verschillende nationale rechtssystemen als de overeenkomst betrekking heeft op samenwerking met organisaties in andere landen (zie ook 15.1);
  • t) overdracht van intellectuele eigendomsrechten (IPR's) en auteursrecht (zie 15.1.2) en bescherming van gezamenlijk werk (zie ook 6.1.5);
  • u) betrokkenheid van een derde partij met onderaannemers, en de beveiligingsmaatregelen die deze onderaannemers moeten implementeren;
  • v) voorwaarden voor heronderhandeling/beëindigen van overeenkomsten:
    • 1. er behoort een noodplan beschikbaar te zijn voor het geval een van de partijen de relatie voor het einde van de overeenkomst wil beëindigen;
    • 2. heronderhandeling van overeenkomsten indien de beveiligingseisen van de organisatie veranderen;
    • 3. bijgewerkte documentatie van inventarissen van bedrijfsmiddelen, licenties, overeenkomsten, of de daarmee verband houdende rechten.
  • w) voldoende afdekking van de aansprakelijkheid van de derde partij.
Voor formele contracten met derde partijen die diensten leveren waarbij patiëntgegevens worden verwerkt, gelden de volgende aandachtspunten:
  • a) de vertrouwelijke aard en waarde van patiëntgegevens;
  • b) de relevante beveiligingsmaatregelen;
  • c) de beperkingen voor toegang tot de diensten voor externe partijen;
  • d) de dienstenniveaus die moeten worden geleverd;
  • e) het formaat en de frequentie voor de rapportage aan de beveiligingsfunctie;
  • f) de regeling voor de vertegenwoordiging van de derde partij in de relevante bijeenkomsten en werkgroepen van de organisatie;
  • g) de regelingen voor naleving van audits van de derde partijen;
  • h) de sancties die gelden bij het tekortschieten in het naleven van het bovenstaande.
Het bovenstaande is bedoeld om te waarborgen dat de beschikbaarheid, integriteit en vertrouwelijkheid van patiëntgegevens blijft bestaan als de informatie zich buiten de directe invloedsfeer van de organisatie begeeft. Wanneer dit buiten juridische grenzen is, volg dan de aanwijzingen van NEN-EN 14484 [38], NEN-EN 14485 [39] en ISO 22857 [37].
Wanneer een derde partij geen patiëntgegevens verwerkt, kan een subset van bovenstaande contractvereisten van toepassing zijn.
Sluit in alle gevallen van dienstverlening door een derde partij een overeenkomst af die een minimum set van maatregelen beschrijft.
Overige informatie
De overeenkomsten kunnen voor de verschillende organisaties en tussen de verschillende typen derden aanzienlijk uiteenlopen. Het verdient daarom aanbeveling aandacht te besteden aan het opnemen van de risico’s en beveiligingseisen (zie ook 4.2) in de overeenkomsten.
Sommige verschillen tussen uitbesteding en de andere vormen van dienstverlening door een derde partij betreffen de aansprakelijkheid, het plannen van de overgangsperiode en de mogelijke verstoring van de bedrijfsvoering in deze periode, afspraken over noodplannen en ‘due diligence’-beoordelingen en het verzamelen en het beheer van informatie over beveiligingsincidenten. Het is daarom belangrijk dat de organisatie de overgang naar uitbesteding plant en beheert en dat geschikte processen worden toegepast voor het beheer van wijzigingen en de heronderhandeling/beëindiging van overeenkomsten.
Overwogen kan worden procedures op te nemen voor het voortzetten van de activiteiten, mocht de derde partij niet langer in staat zijn diensten te verlenen. Dit is van belang om vertraging in het regelen van vervangende dienstverlening te vermijden.
Overeenkomsten met derden kunnen zich ook uitstrekken tot andere partijen. In overeenkomsten die toegang aan een derde partij verlenen, kan ruimte worden gemaakt voor aanwijzing van andere partijen en voorwaarden voor hun toegang en betrokkenheid.
In het algemeen worden de overeenkomsten door de organisatie zelf opgesteld. Er kunnen zich echter situaties voordoen waarin een overeenkomst wordt opgesteld en aan de organisatie wordt opgelegd door een derde partij. Het is dit geval belangrijk dat de beveiliging niet onnodig wordt beïnvloed door de bepalingen die door derden zijn opgenomen in de opgelegde overeenkomst.