7 Beheer van bedrijfsmiddelen
Informatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening
worden gebruikt. Het begrip 'middelen' wordt hierbij ruim opgevat en omvat zowel gegevens
en zaken die daaraan direct zijn gerelateerd, als overige voorzieningen die bij de
informatievoorziening worden gebruikt.
7.1 Verantwoordelijkheid voor bedrijfsmiddelen
Doelstelling: Bereiken en handhaven van een adequate beveiliging van bedrijfsmiddelen
van de organisatie.
7.1.1 Inventarisatie van bedrijfsmiddelen
Beheersmaatregel
Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.
Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.
Aandachtspunten en aanbevelingen voor implementatie
Voor het inventariseren van bedrijfsmiddelen gelden de volgende aandachtspunten:
Voor het inventariseren van bedrijfsmiddelen gelden de volgende aandachtspunten:
-
— Let vooral op bedrijfsmiddelen voor patiëntgegevens.
-
— Identificeer alle bedrijfsmiddelen en leg het belang van deze bedrijfsmiddelen vast. . Neem in de inventarislijst van bedrijfsmiddelen alle informatie op die nodig is voor herstel na een calamiteit, waaronder type bedrijfsmiddel, formaat, locatie, informatie over back-up en licenties en bedrijfswaarde. Voorkom duplicatie met andere inventarislijsten en let op dat de inhoud tussen verschillende lijsten is afgestemd.
-
— Identificeer medische apparaten die gegevens registreren en/of doorgeven op een unieke manier. Deze kunnen namelijk speciale veiligheidseisen stellen aan de operationele omgeving en aan mogelijke elektromagnetische straling in de omgeving.
-
— Leg vast en kom overeen wie de verantwoordelijke is (zie 7.1.2) en wat de informatieclassificatie (zie 7.2) van elk van de bedrijfsmiddelen is. Stel op basis van het belang van het bedrijfsmiddel, de bedrijfswaarde en de beveiligingsclassificatie beschermingsniveaus vast die passen bij het belang van de bedrijfsmiddelen (nadere informatie over het waarderen van bedrijfsmiddelen om hun belang aan te geven is te vinden in ISO/IEC 27005). Veiligheid van patiënten en vertrouwelijkheid van gegevens zijn hierbij essentiële doelen, die tot tegenstrijdige eisen kunnen leiden. Dit vraagt extra aandacht voor de toedeling van verantwoordelijkheden.
Overige informatie
Er bestaan veel typen bedrijfsmiddelen, waaronder:
Er bestaan veel typen bedrijfsmiddelen, waaronder:
-
a) informatie: databases en gegevensbestanden, contracten en overeenkomsten, systeemdocumentatie, researchinformatie, gebruikershandboeken, cursusmateriaal, bedieningsprocedures en ondersteunende procedures, continuïteitsplannen, uitwijkregelingen, ‘audit trails’ en gearchiveerde informatie;
-
b) programmatuur: toepassingsprogrammatuur, systeemprogrammatuur, ontwikkelingsprogrammatuur en hulpprogrammatuur;
-
c) fysieke bedrijfsmiddelen: computerapparatuur, communicatieapparatuur, uitwisselbare media en overige technische apparatuur;
-
d) diensten: computer- en communicatiediensten, algemene (nuts)voorzieningen, bijvoorbeeld verwarming, verlichting, energievoorziening en airconditioning;
-
e) mensen, en hun opleiding, vaardigheden en ervaring;
-
f) immateriële, zoals reputatie of imago van de organisatie.
Inventarislijsten van bedrijfsmiddelen dragen bij tot een doeltreffende bescherming
van die bedrijfsmiddelen en kunnen ook vereist zijn voor andere bedrijfstoepassingen,
bijvoorbeeld vanwege gezondheids-, veiligheids-, verzekerings- of financiële (bedrijfsmiddelenbeheer)
redenen. Het opstellen van een inventarislijst van bedrijfsmiddelen is een belangrijke
voorwaarde voor risicomanagement (zie ook
4.2).
7.1.2 Verantwoordelijken voor de bedrijfsmiddelen
Beheersmaatregel
Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een 'verantwoordelijke' 1) te hebben in de organisatie.
Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een 'verantwoordelijke' 1) te hebben in de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
-
— Let vooral op bedrijfsmiddelen voor patiëntgegevens.
-
— Wijs de volgende verantwoordelijkheden toe aan de verantwoordelijke van het bedrijfsmiddel:
-
a) het waarborgen dat informatie en bedrijfsmiddelen die verband houden met de informatievoorziening op de juiste wijze worden geclassificeerd;
-
b) het definiëren en periodiek beoordelen van de toegangsbeperkingen en classificaties, daarbij rekening houdend met het van toepassing zijnde beleid voor toegangscontrole.
-
Overige informatie
Er kan een verantwoordelijke worden aangewezen voor:
Er kan een verantwoordelijke worden aangewezen voor:
-
a) een bedrijfsproces;
-
b) een gedefinieerde groep activiteiten;
-
c) een toepassing of
-
d) een gedefinieerde groep gegevens.
In het zorgproces ligt de verantwoordelijkheid voor gegevens in veel gevallen bij
een zorgverlener, terwijl de verantwoordelijkheid voor de bedrijfsmiddelen voor de
verwerking van gegevens bij anderen kan berusten. Dit maakt heldere afspraken noodzakelijk.
Routinetaken mogen worden gedelegeerd, bijvoorbeeld aan iemand die het dagelijkse
beheer van het bedrijfsmiddel op zich neemt, maar de verantwoordelijkheid blijft berusten
bij de verantwoordelijke.
Op ieder functieniveau zijn verschillende verantwoordelijkheden voor informatiebeveiliging
aan te geven. Bijvoorbeeld de leidinggevende voor het uitgeven van bedrijfsmiddelen
via een uitgifteprocedure en de medewerker voor correct gebruik.
In complexe informatiesystemen kan het zinvol zijn om groepen bedrijfsmiddelen te
definiëren die samenwerken om een bepaalde functie als ‘service’ te leveren. In dit
geval is de verantwoordelijke van de service verantwoordelijk voor de dienstverlening,
waaronder het functioneren van de bedrijfsmiddelen die de service verzorgen.
7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen
Beheersmaatregel
Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening.
Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening.
Aandachtspunten en aanbevelingen voor implementatie
Let vooral op bedrijfsmiddelen voor patiëntgegevens Zorg ervoor dat alle werknemers,
ingehuurd personeel en externe gebruikers zich houden aan de regels voor aanvaardbaar
gebruik van informatie en bedrijfsmiddelen die te maken hebben met informatievoorziening,
waaronder:
Verstrek specifieke regels of richtlijnen voor het aanvaard gebruik van informatie
en bedrijfsmiddelen. Zorg dat werknemers, ingehuurd personeel en externe gebruikers
die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie
zich bewust zijn van de grenzen die bestaan voor hun gebruik van de informatie en
bedrijfsmiddelen die te maken hebben met informatievoorziening en hulpmiddelen. Zij
zijn verantwoordelijk voor hun gebruik van informatievoorzieningen en voor elk gebruik
uitgevoerd onder hun verantwoordelijkheid.
7.2 Classificatie van informatie
Doelstelling: Bewerkstelligen dat informatie een passend niveau van bescherming krijgt.
7.2.1 Richtlijnen voor classificatie
Beheersmaatregel
Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Houdt bij de classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie rekening met:
Houdt bij de classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie rekening met:
-
— de eisen die de zorg stelt aan de beschikbaarheid van bepaalde gegevens;
-
— de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op de organisatie;
-
— de behoefte of verplichting om gegevens te verspreiden of verspreiding te beperken;
-
— de implicaties voor privacy en kwaliteit van de zorg bij ongeautoriseerde toegang tot of schade aan de gegevens;
-
— het verzameleffect genoemd in 10.7.2.
Neem in richtlijnen voor classificatie de conventies voor initiële classificatie en
herclassificatie door de tijd heen op. Dit heeft mogelijk gevolgen voor een eerder
vastgesteld toegangsbeleid (zie
11.1.1).
Het definiëren, periodiek beoordelen en op het juiste niveau houden van de classificatie
van een bedrijfsmiddel is de verantwoordelijkheid van de verantwoordelijke van het
bedrijfsmiddel (zie
7.1.2). Denk na over het aantal classificatiecategorieën en de te verwachten voordelen
van het gebruik ervan. Te complexe schema's kunnen omslachtig en onrendabel worden
of onpraktisch blijken te zijn. Wees voorzichtig met de interpretatie van classificatielabels
op documenten van andere organisaties; er worden wellicht andere definities gehanteerd
voor dezelfde of vergelijkbare labels.
Behalve classificatie van gegevens op basis van vertrouwelijkheid is ook classificatie
nodig van het belang van de informatie voor het zorgproces in termen van beschikbaarheid
en integriteit. Deze classificatie heeft behalve op de gegevens ook betrekking op
processen, (computer)apparatuur, software, ruimten en personeel. Bepaal deze classificatie
aan de hand van een risicobeoordeling.
Overige informatie
Belangrijke wetgeving hierover is de Kwaliteitswet Zorginstellingen, de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (WBP). Zie ook de aanwijzingen van het CBP en publicaties van de beroepsorganisaties.
Belangrijke wetgeving hierover is de Kwaliteitswet Zorginstellingen, de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (WBP). Zie ook de aanwijzingen van het CBP en publicaties van de beroepsorganisaties.
Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid,
integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt
beschouwd.
Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld
wanneer de informatie is openbaar gemaakt. Ook daarmee kan rekening worden gehouden,
omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen
die leiden tot onnodige extra uitgaven.
Het tegelijk bestuderen van documenten met soortgelijke beveiligingseisen bij het
toewijzen van classificatieniveaus kan helpen bij het vereenvoudigen van de classificatietaak.
In het algemeen is de classificatie die aan informatie wordt gegeven een snelle manier
om te bepalen hoe deze informatie moet worden verwerkt en beschermd.
Aangezien verschillende bedrijfsmiddelen worden gebruikt om diverse soorten gegevens
te verzamelen, te verwerken, te transporteren of op te slaan, is het ook noodzakelijk
deze te classificeren en te labelen om ze met de gewenste beveiligingsmaatregelen
te kunnen omringen. Laag te classificeren gegevens zijn bijvoorbeeld gegevens samenhangend
met huishoudelijke verzorging in tegenstelling tot gegevens samenhangend met verpleging.
Het verdient aanbeveling een eensluidende wijze te hanteren bij het bepalen van de
classificatie. Deze kan centraal dan wel decentraal worden vastgesteld.
Vanwege de complexiteit en vereiste eenduidigheid is het voor de solopraktijk raadzaam
om hier aan te sluiten bij initiatieven hierin door de koepel- of de wetenschappelijke
beroepsorganisaties.
7.2.2 Labeling en verwerking van informatie
Beheersmaatregel
Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.
Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.
Alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers, bijvoorbeeld
via een inlogboodschap, te wijzen op de vertrouwelijkheid van de gegevens die via
het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk
“vertrouwelijk” te zijn voorzien.
Aandachtspunten en aanbevelingen voor implementatie
Zorg dat de procedures voor het labelen van informatiebedrijfsmiddelen zowel fysieke als elektronische hulpmiddelen omvatten.
Zorg dat de procedures voor het labelen van informatiebedrijfsmiddelen zowel fysieke als elektronische hulpmiddelen omvatten.
Voorzie de uitvoer van systemen die informatie bevatten die als gevoelig of kritiek
wordt geclassificeerd, van het benodigde classificatielabel (in de uitvoer). Zorg
dat het label de classificatie weergeeft volgens de regels van
7.2.1. Items die hiervoor in aanmerking komen zijn afgedrukte rapporten, weergaven op het
beeldscherm, beschreven media (bijvoorbeeld banden, schijven, cd's), elektronische
berichten en bestandsoverdrachten.
Stel voor elk classificatieniveau verwerkingsprocedures op, waaronder beveiligd verwerken,
opslag, transmissie, declassificatie en vernietiging. Besteedt hierbij ook aandacht
aan procedures voor de beheersketen en voor het registreren van gebeurtenissen die
relevant zijn voor de beveiliging.
Zorg dat overeenkomsten met externe partijen waarin het delen van informatie aan de
orde is, procedures omvatten voor de identificatie van de classificatie van die informatie
en voor het interpreteren van de classificatielabels van andere organisaties.
Niet alle informatie in de zorg is vertrouwelijk en niet alle zorginformatiesystemen
geven gebruikers toegang tot patiëntgegevens. Zorg ervoor dat voor de gebruiker van
een zorginformatiesysteem duidelijk is wanneer deze toegang heeft tot patiëntgegevens.
Overige informatie
Labelen en veilig verwerken van geclassificeerde informatie is een hoofdeis voor overeenkomsten waarin het delen van informatie wordt vastgelegd. Fysieke labels zijn een gebruikelijke manier van labelen. Echter, bij sommige informatiebedrijfsmiddelen, bijvoorbeeld bij elektronische verzending van gegevens, zijn fysieke labels niet mogelijk en is het nodig om over te gaan tot het aanbrengen van elektronische labels. Er kan bijvoorbeeld een notificatielabel op het scherm of de monitor verschijnen. Waar labelen niet mogelijk is, kunnen andere manieren van classificatie van informatie worden toegepast, bijvoorbeeld via procedures of via metadata.
Labelen en veilig verwerken van geclassificeerde informatie is een hoofdeis voor overeenkomsten waarin het delen van informatie wordt vastgelegd. Fysieke labels zijn een gebruikelijke manier van labelen. Echter, bij sommige informatiebedrijfsmiddelen, bijvoorbeeld bij elektronische verzending van gegevens, zijn fysieke labels niet mogelijk en is het nodig om over te gaan tot het aanbrengen van elektronische labels. Er kan bijvoorbeeld een notificatielabel op het scherm of de monitor verschijnen. Waar labelen niet mogelijk is, kunnen andere manieren van classificatie van informatie worden toegepast, bijvoorbeeld via procedures of via metadata.