5   Risicobeheersing van de gegevensuitwisseling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren

5.1   Inleiding

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Voor het bepalen van de vereiste maatregelen voor de gegevensuitwisseling moeten de communicerende partijen een risicobeoordeling uitvoeren. In dit hoofdstuk worden hiervoor aanwijzingen gegeven.
Bij het uitvoeren van de risicobeoordeling van de gegevensuitwisseling kunnen de volgende aspecten een rol spelen:
  • a) het doel van de gegevensuitwisseling, zoals informeren van patiënten en anderen, documenteren van zorg, overdragen van zorg, opdrachten voor onderzoek, rapportage van onderzoek, opdrachten voor behandeling, administratieve verwerking enz.;
  • b) de aard van de gegevens die worden uitgewisseld, bijvoorbeeld: NAW-gegevens, patiëntidentificatie, medisch inhoudelijke informatie;
  • c) de omvang van de gegevens die worden uitgewisseld en de frequentie van gegevensuitwisseling;
  • d) de mate van vertrouwelijkheid van de gegevens, zoals openbaar, globale doelgroep, beperkte kring of strikt kader;
  • e) de aard van het proces, zoals vastleggen, raadplegen, aanvullen of corrigeren;
  • f) het gebruikte communicatiekanaal;
  • g) de verantwoordelijke voor de gegevensuitwisseling;
  • h) de kwaliteit van de gegevensuitwisseling;
  • i) de zender en de ontvanger van de gegevens;
  • j) de stand van de techniek en de kosten van de te treffen beheersmaatregelen.

5.2   Classificeren van de gegevensuitwisseling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Als onderdeel van de risicobeoordeling moeten de communicerende partijen de gegevensuitwisseling classificeren aan de hand van de volgende drie zekerheidsaspecten:
  • beschikbaarheid, het kenmerk dat de gegevensuitwisseling toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit;
  • integriteit, de eigenschap dat de juistheid en volledigheid van de gegevensuitwisseling wordt beschermd;
  • vertrouwelijkheid, de eigenschap dat informatie niet beschikbaar wordt gesteld of wordt ontsloten aan onbevoegde personen, entiteiten of processen.
Voor het bepalen van de classificatie van de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensuitwisseling wordt het niveau uit respectievelijk Tabel 1, Tabel 2 en Tabel 3 gehanteerd.
Bij het bepalen van de aard van de gevolgen van de schending van de beschikbaarheid, integriteit of vertrouwelijkheid voor de gegevensuitwisseling is de omvang van de gevolgen afhankelijk van de context van de gegevensuitwisseling waarvoor de risicobeoordeling wordt uitgevoerd. Wat in de ene situatie aanzienlijk is, kan in een andere situatie gering van omvang zijn. Dit is weergegeven in Tabel 4.
Daarnaast geldt dat de zwaarste impact van één van de drie categorieën (gevolgen voor patiënten, betrokken organisatie of de maatschappij) de omvang van de gevolgen bepaalt. Bijvoorbeeld, wanneer de gevolgen van schending van de vertrouwelijkheid van de gegevensuitwisseling geen lichamelijke en/of psychische schade bij patiënten tot gevolg hebben, maar wel kan leiden tot aanzienlijke financiële gevolgen én tot beperkte maatschappelijke schade, dan worden de gevolgen als ‘Hoog / omvangrijke gevolgen’ ingeschat.
Tabel 1Classificatie beschikbaarheid van de gegevensuitwisseling
Beschikbaarheid
Niveau Omschrijving van gevolgen
Laag Uitval van de gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen
Midden Uitval van de gegevensuitwisseling levert matige gevolgen op voor de betrokkenen
Hoog Uitval van de gegevensuitwisseling levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog Uitval van de gegevensuitwisseling levert catastrofale gevolgen op voor de betrokkenen
Tabel 2Classificatie van integriteit van de gegevensuitwisseling
Integriteit
Niveau Omschrijving van gevolgen
Laag Onjuistheid of onvolledigheid van de gegevensuitwisseling levert geringe gevolgen op voor de betrokkenen
Midden Onjuistheid of onvolledigheid van de gegevensuitwisseling levert matige gevolgen op voor de betrokkenen
Hoog Onjuistheid of onvolledigheid van de gegevensuitwisseling levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog Onjuistheid of onvolledigheid van de gegevensuitwisseling levert catastrofale gevolgen op voor de betrokkenen
Tabel 3Classificatie van vertrouwelijkheid van de gegevensuitwisseling
Vertrouwelijkheid
Niveau Omschrijving van gevolgen
Laag Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert geringe gevolgen op voor de betrokkenen
Midden Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert matige gevolgen op voor de betrokkenen
Hoog Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert omvangrijke gevolgen op voor de betrokkenen
Zeer Hoog Ongewenste openbaarmaking of verspreiding van de uitgewisselde gegevens levert catastrofale gevolgen op voor de betrokkenen
Tabel 4Bepaling gevolgen
Gevolgklasse Gevolgen voor patiënten Gevolgen voor de betrokken organisaties Gevolgen voor de maatschappij
Laag / geringe gevolgen Geen lichamelijke en/of psychische schade bij patiënten Gering verlies van middelen/ bezittingen
Geringe financiële gevolgen
Geen imagoschade
Geen maatschappelijke impact
Midden / matige gevolgen Beperkte lichamelijke en/of psychische schade bij een beperkt aantal patiënten Verlies van middelen/ bezittingen
Financiële gevolgen
Imagoschade
Zeer beperkte maatschappelijke impact
Hoog / omvangrijke gevolgen Omvangrijke lichamelijke en/of psychische schade bij een beperkt tot groot aantal patiënten en/of overlijden van één patiënt Aanzienlijk verlies van middelen/ bezittingen
Aanzienlijke financiële gevolgen
Omvangrijke imagoschade
Beperkte maatschappelijke impact
Zeer Hoog / catastrofale gevolgen Omvangrijke lichamelijke en/of psychische schade bij een zeer groot aantal patiënten en/of overlijden van meerdere patiënten Faillissement / sluiting zorginstelling of vergelijkbare gevolgen Omvangrijke maatschappelijke impact

5.3   Bepalen van de bedreigingen

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Als onderdeel van de risicobeoordeling moeten de communicerende partijen de bedreigingen bepalen die relevant zijn voor de gegevensuitwisseling.
Een bedreiging wordt gedefinieerd als een ‘potentiële oorzaak van een ongewenst incident dat een systeem, een organisatie en/of patiënten schade toe kan brengen’.
Voor het bepalen van de bedreigingen die relevant zijn voor de gegevensuitwisseling kunnen NEN-ISO/IEC 27005 [1] en NEN-EN-ISO 27799 [2] worden geraadpleegd. De volgende indeling van categorieën kan bruikbaar zijn bij het bepalen van de relevante bedreigingen:
  • fysieke incidenten en calamiteiten, zoals brand en wateroverlast;
  • incidenten en calamiteiten in de omgeving, zoals extreme natuurverschijnselen of een gifwolk;
  • technische incidenten en calamiteiten, zoals uitval van apparatuur of programmatuur;
  • verstoringen in voorzieningen, zoals uitval van stroom of van klimaatbeheersing;
  • onopzettelijke menselijke incidenten, zoals fouten van medewerkers of beheerders;
  • opzettelijke menselijke incidenten, zoals diefstal van gegevens of kwaadaardige programmatuur;
  • overige incidenten en calamiteiten, zoals afhankelijkheid van derden, bijvoorbeeld bij hosting of outsourcing.
Bij het analyseren van bedreigingen zijn twee elementen van bedreigingen van belang: de kans en het gevolg (zie voor mogelijke gevolgen paragraaf 5.2).
De kans van optreden van een bedreiging is als volgt ingedeeld, ontleend aan NPR-ISO/TS 25238:2007 [3]:
  • zeer klein: uiterst geringe mogelijkheid van optreden;
  • klein: zou kunnen optreden, maar zal in vrijwel alle gevallen niet optreden;
  • middelmatig: mogelijk; optreden niet onwaarschijnlijk;
  • groot: zeer goed mogelijk; zal in een groot deel van de gevallen optreden;
  • zeer groot: zal zeker of vrijwel zeker optreden.

5.4   Bepalen van de kwetsbaarheden

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Als onderdeel van de risicobeoordeling moeten de communicerende partijen de kwetsbaarheden bepalen die samenhangen met de gegevensuitwisseling. Een kwetsbaarheid kan leiden tot gevoeligheid voor een risicobron en uiteindelijk leiden tot een gebeurtenis met gevolg. De kwetsbaarheden kunnen worden gerangschikt naar belangrijkheid.
Termen die in dit verband ook worden genoemd, zijn ‘robuustheid’ en ‘veerkracht’ (resilience). De gegevensuitwisseling moet zodanig zijn opgezet dat deze in staat is bedreigingen te kunnen opvangen zonder dat dit tot (omvangrijke) negatieve gevolgen leidt.

5.5   Risicobeoordeling

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Op basis van de verzamelde gegevens (classificatie, bedreigingen, kwetsbaarheden) moeten de communicerende partijen de risico’s van de gegevensuitwisseling bepalen.
In deze stap van de risicobeoordeling van de gegevensuitwisseling komen de geïnventariseerde elementen bij elkaar. Deze stap omvat de volgende onderdelen:
  • Bepaal het gewenste niveau van beschikbaarheid, integriteit en vertrouwelijkheid aan de hand van de classificatie van de gegevensuitwisseling ( 5.2).
    Figuur 2Illustratieve indeling van risico's naar kans en gevolgklasse
    fig_2
  • Classificeer de bedreigingen kans en gevolg en plaats deze in een rangorde ( 5.3). Hierdoor wordt het duidelijk wat de belangrijkste bedreigingen zijn voor de gegevensuitwisseling. De bedreigingen kunnen worden uitgezet in een matrix van kans en gevolg. Hierbij wordt zowel voor de kansen als de gevolgen de indeling gehanteerd die in de voorgaande paragrafen is beschreven. De aandacht gaat uit naar bedreigingen die (relatief gezien) een hoge kans van optreden hebben en potentieel gevolgen kunnen veroorzaken ( figuur 2).
  • Bepaal de kwetsbaarheden en geef deze weer met een aanduiding naar belangrijkheid ( 5.4). Hierdoor ontstaat inzicht in de kwetsbaarheden die samenhangen met de gegevensuitwisseling.
  • Bepaal de vereiste maatregelen op basis van deze risicobeoordeling ( 5.6). Daar waar deze maatregelen niet normatief worden voorgeschreven, wordt aandacht besteed aan de verschillende mogelijkheden voor het behandelen van risico’s.

5.6   Behandelen van de risico’s

Notitie toevoegen
Annuleren
Document toevoegen

Toegestaan: documenten (PDF, Word en Excel) en afbeeldingen (.png, .gif en .jpg). De maximale grootte per bestand is 5 MB.

Annuleren
Op basis van de geanalyseerde risico’s moeten de communicerende partijen keuzes maken voor het behandelen van de risico’s die relevant zijn voor de gegevensuitwisseling.
Risicobehandeling wordt gedefinieerd als ‘het proces waarmee een risico wordt aangepast’.
Voor het behandelen van risico’s zijn in theorie de volgende alternatieven beschikbaar:
  • a) het vermijden van risico’s;
    Door de gegevensuitwisseling technisch en/of procedureel zodanig aan te passen dat daarmee het risico in het geheel niet meer kan voorkomen, kan een onacceptabel risiconiveau worden weggenomen.
  • b) het treffen van geschikte beheersmaatregelen;
    Wanneer een bedreiging of risiconiveau te hoog is en er beheersmaatregelen normatief worden voorgeschreven, moeten deze beheersmaatregelen worden getroffen. De normatief voorgeschreven beheersmaatregelen worden in hoofdstuk 6 van deze norm uitgewerkt per niveau van de classificatie voor de drie kwaliteitsaspecten, beschikbaarheid, integriteit en vertrouwelijkheid van de gegevensuitwisseling. De communicerende partijen kunnen ervoor kiezen om daarnaast andere maatregelen te treffen om het risico verder te verminderen.
  • c) het overdragen van risico’s;
    Een ander alternatief betreft het overdragen van risico’s, bijvoorbeeld door het afsluiten van verzekeringen. Dit alternatief kan bruikbaar zijn voor bedreigingen met een lage kans van optreden en potentieel hoge gevolgen. Door de lage kans van optreden is het soms niet mogelijk om op basis van een afweging van kosten en baten tot een keuze van beheersmaatregelen te komen. De lage kans van optreden rechtvaardigt namelijk geen beheersmaatregelen waarvoor op jaarbasis omvangrijke kosten moeten worden gemaakt. Het overdragen van risico’s is dan een alternatief voor het treffen van beheersmaatregelen.
  • d) het bewust en objectief aanvaarden van risico’s.
    Het laatste alternatief betreft het bewust en objectief aanvaarden van risico’s. Risico’s kunnen namelijk niet volledig tot nul worden gereduceerd. Voorwaarde hiervoor is dat het aanvaarden van het risico in overeenstemming is met hetgeen normatief wordt voorgeschreven en past binnen de criteria die de communicerende partijen stellen voor aanvaardbare risiconiveaus. Wet- en regelgeving en eventuele contractuele verplichtingen spelen hierbij ook een rol. Een risiconiveau kan namelijk niet als aanvaardbaar worden gekenmerkt als hiermee de wet wordt overtreden.