7   Beheer van bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Informatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening worden gebruikt. Het begrip 'middelen' wordt hierbij ruim opgevat en omvat zowel gegevens en zaken die daaraan direct zijn gerelateerd, als overige voorzieningen die bij de informatievoorziening worden gebruikt.

7.1   Verantwoordelijkheid voor bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bereiken en handhaven van een adequate beveiliging van bedrijfsmiddelen van de organisatie.

7.1.1   Inventarisatie van bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle bedrijfsmiddelen behoren duidelijk te zijn geïdentificeerd en er behoort een inventaris van alle belangrijke bedrijfsmiddelen te worden opgesteld en bijgehouden.
Aandachtspunten en aanbevelingen voor implementatie
Voor het inventariseren van bedrijfsmiddelen gelden de volgende aandachtspunten:
  • Let vooral op bedrijfsmiddelen voor patiëntgegevens.
  • Identificeer alle bedrijfsmiddelen en leg het belang van deze bedrijfsmiddelen vast. . Neem in de inventarislijst van bedrijfsmiddelen alle informatie op die nodig is voor herstel na een calamiteit, waaronder type bedrijfsmiddel, formaat, locatie, informatie over back-up en licenties en bedrijfswaarde. Voorkom duplicatie met andere inventarislijsten en let op dat de inhoud tussen verschillende lijsten is afgestemd.
  • Identificeer medische apparaten die gegevens registreren en/of doorgeven op een unieke manier. Deze kunnen namelijk speciale veiligheidseisen stellen aan de operationele omgeving en aan mogelijke elektromagnetische straling in de omgeving.
  • Leg vast en kom overeen wie de verantwoordelijke is (zie 7.1.2) en wat de informatieclassificatie (zie 7.2) van elk van de bedrijfsmiddelen is. Stel op basis van het belang van het bedrijfsmiddel, de bedrijfswaarde en de beveiligingsclassificatie beschermingsniveaus vast die passen bij het belang van de bedrijfsmiddelen (nadere informatie over het waarderen van bedrijfsmiddelen om hun belang aan te geven is te vinden in ISO/IEC 27005). Veiligheid van patiënten en vertrouwelijkheid van gegevens zijn hierbij essentiële doelen, die tot tegenstrijdige eisen kunnen leiden. Dit vraagt extra aandacht voor de toedeling van verantwoorde­lijkheden.
Overige informatie
Er bestaan veel typen bedrijfsmiddelen, waaronder:
  • a) informatie: databases en gegevensbestanden, contracten en overeenkomsten, systeemdocumentatie, researchinformatie, gebruikershandboeken, cursusmateriaal, bedieningsprocedures en ondersteunende procedures, continuïteitsplannen, uitwijkregelingen, ‘audit trails’ en gearchiveerde informatie;
  • b) programmatuur: toepassingsprogrammatuur, systeemprogrammatuur, ontwikkelingsprogrammatuur en hulpprogrammatuur;
  • c) fysieke bedrijfsmiddelen: computerapparatuur, communicatieapparatuur, uitwisselbare media en overige technische apparatuur;
  • d) diensten: computer- en communicatiediensten, algemene (nuts)voorzieningen, bijvoorbeeld verwarming, verlichting, energievoorziening en airconditioning;
  • e) mensen, en hun opleiding, vaardigheden en ervaring;
  • f) immateriële, zoals reputatie of imago van de organisatie.
Inventarislijsten van bedrijfsmiddelen dragen bij tot een doeltreffende bescherming van die bedrijfsmiddelen en kunnen ook vereist zijn voor andere bedrijfstoepassingen, bijvoorbeeld vanwege gezondheids-, veiligheids-, verzekerings- of financiële (bedrijfsmiddelenbeheer) redenen. Het opstellen van een inventarislijst van bedrijfsmiddelen is een belangrijke voorwaarde voor risicomanagement (zie ook 4.2).

7.1.2   Verantwoordelijken voor de bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle informatie en bedrijfsmiddelen die verband houden met de informatievoorziening behoren een 'verantwoordelijke' 1) te hebben in de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
  • Let vooral op bedrijfsmiddelen voor patiëntgegevens.
  • Wijs de volgende verantwoordelijkheden toe aan de verantwoordelijke van het bedrijfsmiddel:
    • a) het waarborgen dat informatie en bedrijfsmiddelen die verband houden met de informatievoorziening op de juiste wijze worden geclassificeerd;
    • b) het definiëren en periodiek beoordelen van de toegangsbeperkingen en classificaties, daarbij rekening houdend met het van toepassing zijnde beleid voor toegangscontrole.
Overige informatie
Er kan een verantwoordelijke worden aangewezen voor:
  • a) een bedrijfsproces;
  • b) een gedefinieerde groep activiteiten;
  • c) een toepassing of
  • d) een gedefinieerde groep gegevens.
In het zorgproces ligt de verantwoordelijkheid voor gegevens in veel gevallen bij een zorgverlener, terwijl de verantwoordelijkheid voor de bedrijfsmiddelen voor de verwerking van gegevens bij anderen kan berusten. Dit maakt heldere afspraken noodzakelijk.
Routinetaken mogen worden gedelegeerd, bijvoorbeeld aan iemand die het dagelijkse beheer van het bedrijfsmiddel op zich neemt, maar de verantwoordelijkheid blijft berusten bij de verantwoordelijke.
Op ieder functieniveau zijn verschillende verantwoordelijkheden voor informatiebeveiliging aan te geven. Bijvoorbeeld de leidinggevende voor het uitgeven van bedrijfsmiddelen via een uitgifteprocedure en de medewerker voor correct gebruik.
In complexe informatiesystemen kan het zinvol zijn om groepen bedrijfsmiddelen te definiëren die samenwerken om een bepaalde functie als ‘service’ te leveren. In dit geval is de verantwoordelijke van de service verantwoordelijk voor de dienstverlening, waaronder het functioneren van de bedrijfsmiddelen die de service verzorgen.

7.1.3   Aanvaardbaar gebruik van bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren regels te worden vastgesteld, gedocumenteerd en geïmplementeerd voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die verband houden met informatievoorziening.
Aandachtspunten en aanbevelingen voor implementatie
Let vooral op bedrijfsmiddelen voor patiëntgegevens Zorg ervoor dat alle werknemers, ingehuurd personeel en externe gebruikers zich houden aan de regels voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen die te maken hebben met informatievoorziening, waaronder:
  • a) regels voor elektronische post (e-mail), gebruik van internet, social media, messaging services, enz. (zie 10.8);
  • b) richtlijnen voor het gebruik van draagbare apparatuur, in het bijzonder voor gebruik buiten het terrein van de organisatie (zie 11.7.1).
Verstrek specifieke regels of richtlijnen voor het aanvaard gebruik van informatie en bedrijfsmiddelen. Zorg dat werknemers, ingehuurd personeel en externe gebruikers die gebruikmaken van of toegang hebben tot de bedrijfsmiddelen van de organisatie zich bewust zijn van de grenzen die bestaan voor hun gebruik van de informatie en bedrijfsmiddelen die te maken hebben met informatievoorziening en hulpmiddelen. Zij zijn verantwoordelijk voor hun gebruik van informatievoorzieningen en voor elk gebruik uitgevoerd onder hun verantwoordelijkheid.

7.2   Classificatie van informatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat informatie een passend niveau van bescherming krijgt.

7.2.1   Richtlijnen voor classificatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Informatie behoort te worden geclassificeerd met betrekking tot de waarde, wettelijke eisen, gevoeligheid en onmisbaarheid voor de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Houdt bij de classificaties en de bijbehorende beschermende beheersmaatregelen voor informatie rekening met:
  • de eisen die de zorg stelt aan de beschikbaarheid van bepaalde gegevens;
  • de zakelijke behoefte aan het delen van informatie of het beperken ervan en de invloed van deze behoeften op de organisatie;
  • de behoefte of verplichting om gegevens te verspreiden of verspreiding te beperken;
  • de implicaties voor privacy en kwaliteit van de zorg bij ongeautoriseerde toegang tot of schade aan de gegevens;
  • het verzameleffect genoemd in 10.7.2.
Neem in richtlijnen voor classificatie de conventies voor initiële classificatie en herclassificatie door de tijd heen op. Dit heeft mogelijk gevolgen voor een eerder vastgesteld toegangsbeleid (zie 11.1.1).
Het definiëren, periodiek beoordelen en op het juiste niveau houden van de classificatie van een bedrijfsmiddel is de verantwoordelijkheid van de verantwoordelijke van het bedrijfsmiddel (zie 7.1.2). Denk na over het aantal classificatiecategorieën en de te verwachten voordelen van het gebruik ervan. Te complexe schema's kunnen omslachtig en onrendabel worden of onpraktisch blijken te zijn. Wees voorzichtig met de interpretatie van classificatielabels op documenten van andere organisaties; er worden wellicht andere definities gehanteerd voor dezelfde of vergelijkbare labels.
Behalve classificatie van gegevens op basis van vertrouwelijkheid is ook classificatie nodig van het belang van de informatie voor het zorgproces in termen van beschikbaarheid en integriteit. Deze classificatie heeft behalve op de gegevens ook betrekking op processen, (computer)apparatuur, software, ruimten en personeel. Bepaal deze classificatie aan de hand van een risicobeoordeling.
Overige informatie
Belangrijke wetgeving hierover is de Kwaliteitswet Zorginstellingen, de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (WBP). Zie ook de aanwijzingen van het CBP en publicaties van de beroepsorganisaties.
Het beschermingsniveau kan worden beoordeeld door het analyseren van de vertrouwelijkheid, integriteit en beschikbaarheid en eventuele andere eisen voor de informatie die wordt beschouwd.
Na verloop van tijd is informatie vaak niet langer gevoelig of kritiek, bijvoorbeeld wanneer de informatie is openbaar gemaakt. Ook daarmee kan rekening worden gehouden, omdat overclassificatie kan leiden tot de implementatie van overbodige beheersmaatregelen die leiden tot onnodige extra uitgaven.
Het tegelijk bestuderen van documenten met soortgelijke beveiligingseisen bij het toewijzen van classificatieniveaus kan helpen bij het vereenvoudigen van de classificatietaak.
In het algemeen is de classificatie die aan informatie wordt gegeven een snelle manier om te bepalen hoe deze informatie moet worden verwerkt en beschermd.
Aangezien verschillende bedrijfsmiddelen worden gebruikt om diverse soorten gegevens te verzamelen, te verwerken, te transporteren of op te slaan, is het ook noodzakelijk deze te classificeren en te labelen om ze met de gewenste beveiligingsmaatregelen te kunnen omringen. Laag te classificeren gegevens zijn bijvoorbeeld gegevens samenhangend met huishoudelijke verzorging in tegenstelling tot gegevens samenhangend met verpleging. Het verdient aanbeveling een eensluidende wijze te hanteren bij het bepalen van de classificatie. Deze kan centraal dan wel decentraal worden vastgesteld.
Vanwege de complexiteit en vereiste eenduidigheid is het voor de solopraktijk raadzaam om hier aan te sluiten bij initiatieven hierin door de koepel- of de wetenschappelijke beroepsorganisaties.

7.2.2   Labeling en verwerking van informatie

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoren geschikte, samenhangende procedures te worden ontwikkeld en geïmplementeerd voor de labeling en verwerking van informatie overeenkomstig het classificatiesysteem dat de organisatie heeft geïmplementeerd.
Alle informatiesystemen die patiëntgegevens verwerken behoren de gebruikers, bijvoorbeeld via een inlogboodschap, te wijzen op de vertrouwelijkheid van de gegevens die via het systeem toegankelijk zijn. Documenten met patiëntgegevens behoren van het kenmerk “vertrouwelijk” te zijn voorzien.
Aandachtspunten en aanbevelingen voor implementatie
Zorg dat de procedures voor het labelen van informatiebedrijfsmiddelen zowel fysieke als elektronische hulpmiddelen omvatten.
Voorzie de uitvoer van systemen die informatie bevatten die als gevoelig of kritiek wordt geclassificeerd, van het benodigde classificatielabel (in de uitvoer). Zorg dat het label de classificatie weergeeft volgens de regels van 7.2.1. Items die hiervoor in aanmerking komen zijn afgedrukte rapporten, weergaven op het beeldscherm, beschreven media (bijvoorbeeld banden, schijven, cd's), elektronische berichten en bestandsoverdrachten.
Stel voor elk classificatieniveau verwerkingsprocedures op, waaronder beveiligd verwerken, opslag, transmissie, declassificatie en vernietiging. Besteedt hierbij ook aandacht aan procedures voor de beheersketen en voor het registreren van gebeurtenissen die relevant zijn voor de beveiliging.
Zorg dat overeenkomsten met externe partijen waarin het delen van informatie aan de orde is, procedures omvatten voor de identificatie van de classificatie van die informatie en voor het interpreteren van de classificatielabels van andere organisaties.
Niet alle informatie in de zorg is vertrouwelijk en niet alle zorginformatiesystemen geven gebruikers toegang tot patiëntgegevens. Zorg ervoor dat voor de gebruiker van een zorginformatiesysteem duidelijk is wanneer deze toegang heeft tot patiëntgegevens.
Overige informatie
Labelen en veilig verwerken van geclassificeerde informatie is een hoofdeis voor overeenkomsten waarin het delen van informatie wordt vastgelegd. Fysieke labels zijn een gebruikelijke manier van labelen. Echter, bij sommige informatiebedrijfsmiddelen, bijvoorbeeld bij elektronische verzending van gegevens, zijn fysieke labels niet mogelijk en is het nodig om over te gaan tot het aanbrengen van elektronische labels. Er kan bijvoorbeeld een notificatielabel op het scherm of de monitor verschijnen. Waar labelen niet mogelijk is, kunnen andere manieren van classificatie van informatie worden toegepast, bijvoorbeeld via procedures of via metadata.