8   Personeel

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

8.1   Voorafgaand aan het dienstverband

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers hun verantwoordelijkheden begrijpen, en geschikt zijn voor de rollen waarvoor zij worden overwogen, en om het risico van diefstal, fraude of misbruik van faciliteiten te verminderen.

8.1.1   Rollen en verantwoordelijkheden

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De rollen en verantwoordelijkheden van werknemers, ingehuurd personeel en externe gebruikers ten aanzien van beveiliging behoren te worden vastgesteld en gedocumenteerd overeenkomstig het beleid voor informatiebeveiliging van de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Neem in de beveiligingsrollen en -verantwoordelijkheden de eis op om:
  • a) in overeenstemming met het informatiebeveiligingsbeleid van de organisatie te handelen (zie 5.1);
  • b) bedrijfsmiddelen te beschermen tegen ongeoorloofde toegang, openbaarmaking, wijziging, vernietiging of verstoring;
  • c) bepaalde beveiligingsprocessen of -activiteiten uit te voeren;
  • d) te waarborgen dat de verantwoordelijkheid voor genomen handelingen wordt toegewezen aan de persoon;
  • e) beveiligingsgebeurtenissen of potentiële gebeurtenissen of andere beveiligingsrisico’s aan de organisatie te rapporteren.
Definieer voorafgaand aan het dienstverband de beveiligingsrollen en -verantwoordelijkheden en communiceer deze duidelijk naar de kandidaten voor de functie.
Neem voor alle medewerkers, die zijn betrokken bij de verwerking van patiëntgegevens, het volgende in hun taakbeschrijvingen 2) op:
  • de hiervoor genoemde betrokkenheid bij informatiebeveiliging;
  • de vereiste zorgvuldigheid op basis van de gegevensclassificatie, en consequenties die daaruit voortvloeien; voor medewerkers waar dit een beveiligingstaak betreft moet dit expliciet zijn uitgewerkt en vermeld.
Besteed hierbij speciale aandacht aan tijdelijke medewerkers zoals stagiaires, coassistenten, invalkrachten enzovoort en ook aan vrijwilligers in de organisatie.
Neem bij medewerkers die in de organisatie zijn aangesteld via derden en die zijn betrokken bij verwerking van patiëntgegevens in de contracten op welke passages uit taakbeschrijvingen op hen van toepassing zijn.

8.1.2   Screening

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Verificatie van de achtergrond van alle kandidaten voor een dienstverband, ingehuurd personeel en externe gebruikers behoort te worden uitgevoerd overeenkomstig relevante wetten, voorschriften en ethische overwegingen, en behoort te worden afgestemd op de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend, en de waargenomen risico's.
Aandachtspunten en aanbevelingen voor implementatie
Houd bij de screening rekening met alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en/of arbeidswetgeving, en neem, mits toegelaten, het volgende mee:
  • a) beschikbaarheid van positieve referenties, bijvoorbeeld één zakelijke en één persoonlijke;
  • b) controle van (de volledigheid en nauwkeurigheid van) het curriculum vitae van de sollicitant;
  • c) bevestiging van vermelde academische en professionele kwalificaties;
  • d) controle op BIG-registratie (wanneer van toepassing);
  • e) onafhankelijke identiteitscontrole (paspoort of vergelijkbaar document);
  • f) meer gedetailleerde controles, zoals op kredietwaardigheid.
Verifieer van alle medewerkers die mogelijk patiëntgegevens gaan verwerken bij aanstelling ten minste de identiteit, huidig adres en de vorige aanstelling.
Maak bij het aanvragen van een Verklaring Omtrent Gedrag gebruik van een specifiek profiel ontwikkeld voor medewerkers in de gezondheidszorg.
Wanneer bij een eerste aanstelling of promotie sprake is van een functie waarbij de betrokkene toegang heeft tot IT-voorzieningen en in het bijzonder indien daarmee gevoelige informatie wordt verwerkt, bijvoorbeeld financiële informatie of zeer vertrouwelijke informatie, overweeg dan eveneens verdere, meer gedetailleerde controles 3).
Leg de criteria en beperkingen van de screening vast in procedures, bijvoorbeeld wie is gerechtigd om personen te screenen en hoe, wanneer en waarom screening wordt uitgevoerd. Besteed hierbij ook aandacht aan de vernietiging van screeningsinformatie wanneer het niet tot een aanstelling komt.
Voer een screeningproces ook uit voor ingehuurd personeel en externe gebruikers. Indien ingehuurd personeel via een uitzendbureau wordt ingehuurd, leg dan in het contract met dit bureau duidelijk de verantwoordelijkheden van het bureau vast ten aanzien van de screening en de meldingsprocedures die het bureau moet volgen indien de screening nog niet is voltooid of indien de resultaten aanleiding geven tot twijfel of zorg. Leg op overeenkomstige wijze in de overeenkomst met de derde partij (zie ook 6.2.3) duidelijk de verantwoordelijkheden en de meldingsprocedures voor de screening vast.
Verzamel en verwerk informatie over alle kandidaten die worden overwogen voor functies in de organisatie in overeenstemming met de geldende wet- en regelgeving in het relevante rechtsgebied. Informeer de kandidaten over de screeningsactiviteiten rekening houdend met de toepasselijke wetgeving.
Ga voor de professionele staf een voldoende aantal referenties na en voer aanvullende controles uit bij bijvoorbeeld beroepsorganisaties en academische instituten om verkregen gegevens te verifiëren.
Overweeg herhaling van het screeningsproces indien de periode tussen werven van personeel en daadwerkelijke aanstelling een lange tijd betreft.

8.1.3   Arbeidsvoorwaarden

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Als onderdeel van hun contractuele verplichting behoren werknemers, ingehuurd personeel en externe gebruikers de algemene voorwaarden te aanvaarden en ondertekenen van hun arbeidscontract. In dit contract behoren hun verantwoordelijkheden en die van de organisatie ten aanzien van informatiebeveiliging te zijn vastgelegd.
Een organisatie die patiëntgegevens verwerkt behoort in de aanstellingsvoorwaarden van medewerkers, vrijwilligers of contractanten die patiëntgegevens verwerken of gaan verwerken een verklaring op te nemen over de geheimhouding en zorgvuldigheid die daarbij is vereist vanuit het informatiebeveiligingsbeleid van de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Vermeld naast overeenstemming met het beveiligingsbeleid van de organisatie in de arbeidsvoorwaarden het volgende:
  • a) dat alle werknemers, ingehuurd personeel en externe gebruikers die toegang krijgen tot gevoelige informatie een vertrouwelijkheids- of geheimhoudingsovereenkomst behoren te tekenen, voordat men toegang krijgt tot de IT-voorzieningen;
  • b) de wettelijke verantwoordelijkheden en rechten van de werknemer, ingehuurde medewerker en elke andere gebruiker, bijvoorbeeld wat betreft auteursrecht- of wetgeving voor gegevensverwerking (zie ook 15.1.1 en 15.1.2);
  • c) verantwoordelijkheden voor de classificatie van informatie en het beheer van bedrijfsmiddelen van de organisatie, die te maken hebben met informatiesystemen en -diensten die worden gehanteerd door de werknemer, ingehuurde medewerker of externe gebruiker (zie ook 7.2.1 en 10.7.3);
  • d) verantwoordelijkheden van de werknemer, ingehuurde medewerker of externe gebruiker voor het verwerken van informatie die is ontvangen van andere bedrijven of externe partijen;
  • e) verantwoordelijkheden van de organisatie voor het verwerken van persoonlijke informatie, waaronder persoonlijke informatie gecreëerd als resultaat van of gedurende het dienstverband met de organisatie (zie ook 15.1.4);
  • f) verantwoordelijkheden die zich uitstrekken buiten het terrein van de organisatie en buiten de normale kantooruren, bijvoorbeeld bij thuiswerken (zie ook 9.2.5 en 11.7.1);
  • g) handelingen die moeten worden uitgevoerd indien de werknemer, ingehuurde medewerker of een externe gebruiker de beveiligingseisen van de organisatie veronachtzaamt (zie ook 8.2.3).
Waarborg dat werknemers, ingehuurd personeel en externe gebruikers instemmen met de voorwaarden voor informatiebeveiliging die passend zijn voor de aard en de mate van toegang die zij zullen hebben tot de bedrijfsmiddelen van de organisatie die verband houden met informatiesystemen en -diensten.
Zorg waar nodig, ervoor dat deze verantwoordelijkheden na beëindiging van het dienstverband nog een vastgestelde periode van kracht blijven (zie ook 8.3).
Overige aandachtspunten voor de aanstellingsvoorwaarden zijn:
  • a) een verwijzing naar de sancties die worden opgelegd indien schending van het informatiebeveiligingsbeleid wordt aangetoond;
  • b) dat de geheimhouding en zorgvuldigheid zich uitstrekt tot na de dienstbetrekking en eeuwig duurt.
Specificeer voor de klinische staf welke rechten tot toegang van informatie en informatiesystemen zij hebben bij claims van derden.
Overige informatie
Een organisatie mag terugvallen op de gedragscode van een beroepsgroep of contractant waar het gaat om geheimhouding en zorgvuldigheid. Dit omvat dan wel een controle dat op deze manier eenzelfde niveau van waarborg wordt verkregen.

8.2   Tijdens het dienstverband

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat alle werknemers, ingehuurd personeel en externe gebruikers zich bewust zijn van bedreigingen en gevaren voor informatiebeveiliging, van hun verantwoordelijkheid en aansprakelijkheid, en dat ze zijn toegerust om het beveiligingsbeleid van de organisatie in hun dagelijkse werkzaamheden te ondersteunen, en het risico van een menselijke fout te verminderen.

8.2.1   Directieverantwoordelijkheid

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De directie behoort van werknemers, ingehuurd personeel en externe gebruikers te eisen dat ze beveiliging toepassen overeenkomstig vastgesteld beleid en vastgestelde procedures van de organisatie.
Aandachtspunten en aanbevelingen voor implementatie
Zorg ervoor dat werknemers, ingehuurd personeel en externe gebruikers:
  • a) goed zijn ingelicht over hun informatiebeveiligingsrollen en -verantwoordelijkheden voordat de toegang wordt verleend tot gevoelige informatie of informatiesystemen;
  • b) zijn voorzien van richtlijnen die de beveiligingsverwachtingen van hun rol in de organisatie aangeven;
  • c) gemotiveerd zijn om het beveiligingsbeleid van de organisatie uit te voeren;
  • d) een zodanig niveau van veiligheidsbewustzijn verwerven, als nodig voor hun rollen en verantwoordelijkheden binnen de organisatie (zie ook 8.2.2);
  • e) handelen in overeenstemming met de arbeidsvoorwaarden, waarin het informatiebeveiligingsbeleid en gepaste werkmethoden van de organisatie zijn opgenomen;
  • f) hun desbetreffende vaardigheden en kwalificaties blijven behouden.

8.2.2   Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle werknemers van de organisatie en, voorzover van toepassing, ingehuurd personeel en externe gebruikers, behoren geschikte training en regelmatige bijscholing te krijgen met betrekking tot beleid en procedures van de organisatie, voorzover relevant voor hun functie.
Een organisatie die patiëntgegevens verwerkt behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien.
Aandachtspunten en aanbevelingen voor implementatie
Zorg ervoor dat ook alle tijdelijke medewerkers, vrijwilligers, medewerkers van contractanten, studenten en wetenschappelijk onderzoekers de training ontvangen.
Start de bewustmakingstraining met een formeel introductieprogramma dat is ontworpen om het informatiebeveiligingsbeleid en de verwachtingen van de organisatie hierover te behandelen, voordat toegang tot informatie of diensten wordt verleend.
Behandel in de voortgezette training de beveiligingseisen, wettelijke plichten en bedrijfsbeheersmaatregelen, evenals training in het correcte gebruik van de IT-voorzieningen, bijvoorbeeld de inlogprocedure, gebruik van programmatuur en informatie over de disciplinaire maatregelen (zie 8.2.3).
Overige informatie
Let erop dat de activiteiten voor aankweken van beveiligingsbewustzijn, opleiding en training geschikt en van toepassing zijn op de rol, verantwoordelijkheden en vaardigheden van de desbetreffende persoon en informatie bevatten over bekende bedreigingen, met wie er contact moet worden opgenomen voor nader beveiligingsadvies en over de juiste kanalen voor het rapporteren van informatiebeveiligingsincidenten (zie ook 13.1).
De training voor het verhogen van het bewustzijn is bedoeld om personen in staat te stellen informatiebeveiligingsproblemen en -incidenten te onderkennen en daarop te reageren volgens de behoeften van hun werkrol.

8.2.3   Disciplinaire maatregelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Er behoort een formeel disciplinair proces zijn vastgesteld voor werknemers die inbreuk op de beveiliging hebben gepleegd.
Aandachtspunten en aanbevelingen voor implementatie
Start het disciplinaire proces niet zonder voorafgaande verificatie dat zich een inbreuk op de beveiliging heeft voorgedaan (zie ook 13.2.3 voor het verzamelen van bewijsmateriaal).
Zorg ervoor dat:
  • het formele disciplinaire proces waarborgt dat werknemers die worden verdacht van inbreuk op de beveiliging een correcte en eerlijke behandeling krijgen.
  • Het formele disciplinaire proces voorziet in een getrapte aanpak die rekening houdt met factoren als aard en ernst van de inbreuk en de gevolgen ervan voor de organisatie, of het de eerste overtreding is of een herhaalde inbreuk, of degene die inbreuk heeft gepleegd correct was getraind, waar nodig met relevante wetgeving, zakelijke contracten en met andere factoren.
  • Het proces bij ernstige gevallen van inbreuk voorziet in onmiddellijke schorsing, ontnemen van toegangsrechten en speciale bevoegdheden, en indien nodig het onmiddellijk verwijderen uit de locatie.
Leg als onderdeel van het disciplinaire proces ook de sancties vast die van toepassing zijn op een overtreding van de regels voor informatiebeveiliging.
Zorg ervoor wanneer de organisatie patiëntgegevens verwerkt dat in geval van overtreden van de informatiebeveiliging de disciplinaire maatregelen aansluiten bij het beleid van de organisatie, dat dus bekend is bij de medewerkers. In aanvulling op toepasbare wetten moeten dergelijke maatregelen in de pas lopen met overeenkomsten bereikt tussen zorgprofessionals en zorgkoepels.
Overige informatie
De disciplinaire maatregelen hebben ook een functie als afschrikking om werknemers, ingehuurd personeel en externe gebruikers te verhinderen om beveiligingsbeleid en -procedures van de organisatie te overtreden en andere inbreuken op de beveiliging te plegen.

8.3   Beëindiging of wijziging van dienstverband

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Doelstelling: Bewerkstelligen dat werknemers, ingehuurd personeel en externe gebruikers de organisatie ordelijk verlaten respectievelijk hun dienstverband ordelijk wijzigen.

8.3.1   Beëindiging van verantwoordelijkheden

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De verantwoordelijkheden bij beëindiging of wijziging van het dienstverband behoren duidelijk te zijn vastgesteld en toegewezen.
Aandachtspunten en aanbevelingen voor implementatie
Neem in de communicatie over de verantwoordelijkheid voor beëindiging courante beveiligingseisen en wettelijke plichten op. Zorg waar van toepassing ook ervoor dat de verantwoordelijkheden zijn vastgelegd in een geheimhoudingsovereenkomst (zie 6.1.5) en dat de arbeidsvoorwaarden (zie 8.1.3) nog gedurende een bepaalde termijn na beëindiging van het dienstverband van de werknemer, ingehuurde medewerker of externe gebruiker van kracht blijven.
Neem verantwoordelijkheden en verplichtingen die nog steeds van kracht zijn na beëindiging van het dienstverband op in de contracten met werknemer, ingehuurde medewerker of externe gebruiker.
Behandel wijziging van verantwoordelijkheid of dienstverband als de beëindiging van de desbetreffende verantwoordelijkheid of het desbetreffende dienstverband en beschrijf de nieuwe verantwoordelijkheid of het nieuwe dienstverband als beschreven in hoofdstuk 8.1.
Een belangrijk gegeven in de zorg is dat veel typen staf, bijvoorbeeld artsen en verpleegkundigen, bijvoorbeeld in het kader van hun opleiding, verschillende ‘rollen’ kunnen vervullen met fundamenteel verschillende rechten. Behandel dergelijke wijzigingen van tewerkstelling in opzet overeenkomstig het verlaten van de dienstbetrekking om beëindiging van eerdere rechten te kunnen garanderen.
Overige informatie
De afdeling personeelszaken is doorgaans verantwoordelijk voor het totale beëindigingproces en werkt samen met de directe leidinggevende van de persoon die vertrekt, om de beveiligingsaspecten van de desbetreffende procedures af te handelen. In het geval van een ingehuurde medewerker kan dit beëindigingproces worden uitgevoerd door het uitzendbureau dat voor de ingehuurde medewerker verantwoordelijk is, en in het geval van een externe gebruiker zou dit kunnen worden afgehandeld door de organisatie van de externe gebruiker.
Het kan nodig zijn om werknemers, klanten, ingehuurd personeel of externe gebruikers op de hoogte te stellen van de wijzigingen in functies en verantwoordelijken.

8.3.2   Retournering van bedrijfsmiddelen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
Alle werknemers, ingehuurd personeel en externe gebruikers behoren alle bedrijfsmiddelen van de organisatie die ze in hun bezit hebben te retourneren bij beëindiging van hun dienstverband, contract of overeenkomst.
Aandachtspunten en aanbevelingen voor implementatie
Leg in het beëindigingproces formeel vast dat alle eerder verstrekte programmatuur, bedrijfsdocumenten en apparatuur wordt teruggegeven. Hetzelfde geldt voor bedrijfsmiddelen zoals draagbare computerapparatuur, creditcards, toegangskaarten, programmatuur, handboeken en informatie opgeslagen op elektronische media.
Wanneer een werknemer, ingehuurde medewerker of externe gebruiker apparatuur van de organisatie koopt of zijn eigen persoonlijke apparatuur gebruikt, zorg ervoor dat procedures worden gevolgd om te waarborgen dat alle relevante informatie wordt overgedragen aan de organisatie en nauwkeurig wordt gewist van de apparatuur (zie ook 10.7.1).
Zorg ervoor dat informatie wordt gedocumenteerd en overgedragen aan de organisatie wanneer een werknemer, ingehuurde medewerker of externe gebruiker beschikt over kennis die belangrijk is voor de lopende bedrijfsvoering.

8.3.3   Intrekken van toegangsrechten

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Beheersmaatregel
De toegangsrechten van alle werknemers, ingehuurd personeel en externe gebruikers tot informatie en IT-voorzieningen behoren te worden ingetrokken bij beëindiging van het dienstverband, het contract of de overeenkomst, of behoort na wijziging te worden aangepast.
Aandachtspunten en aanbevelingen voor implementatie
Tot de in te trekken en aan te passen toegangsrechten behoren fysieke en logische toegang, sleutels, legitimatiebewijzen, IT-voorzieningen (zie ook 11.2.4), abonnementen en het verwijderen van alle documentatie die hen identificeert als een huidig lid van de organisatie.
Indien een vertrekkende werknemer, ingehuurde medewerker of externe gebruiker bekende wachtwoorden heeft voor accounts die actief blijven, zorg er dan voor dat deze worden gewijzigd bij beëindiging of wijziging van dienstverband, contract of overeenkomst.
Zorg ervoor dat de toegangsrechten voor bedrijfsmiddelen in de vorm van informatie en IT-voorzieningen worden verminderd of ingetrokken voordat het dienstverband eindigt of de werkkring wijzigt, afhankelijk van risicofactoren als:
  • a) of de beëindiging of wisseling is geïnitieerd door werknemer, ingehuurde medewerker of externe gebruiker of door het management en de reden voor de beëindiging;
  • b) de huidige verantwoordelijkheden van werknemer, ingehuurde medewerker of externe gebruiker;
  • c) de waarde van de bedrijfsmiddelen die momenteel toegankelijk zijn.
Overige informatie
Onder bepaalde omstandigheden kunnen toegangsrechten zijn toegekend aan een bredere groep dan vertrekkende werknemer, ingehuurde medewerker of externe gebruiker. In die gevallen strekt het intrekken van de rechten zich uit over bijvoorbeeld verwijdering van de vertrekkende personen uit alle groepstoegangslijsten en het maken van afspraken om alle andere betrokken werknemers, ingehuurd personeel of externe gebruikers te adviseren de informatie van de groep niet langer te delen met de vertrekkende persoon.
Het niet blokkeren van toegangsrechten vergroot het risico van misbruik van informatie en informatievoorzieningen. Bijvoorbeeld: Wanneer de beëindiging is geïnitieerd door het management kunnen misnoegde werknemers, ingehuurd personeel of externe gebruikers opzettelijk de informatie corrumperen of de IT-voorzieningen saboteren.