James Software B.V. · James Software zal dit dossier, conform NOREA richtlijnen, 7 jaar lang in...

AuditConn_Rapportomslag.indd 1AuditConn_Rapportomslag.indd 1 01-10-2007 16:42:3501-10-2007 16:42:35

James Software B.V.

Third Party Mededeling (TPM) NEN 7510

Uitgebracht door : AuditConnect B.V.

Contactpersoon : drs. M. van der Vliet RE

Uitgebracht aan : James Software B.V.

Datum : 22-07-2016

Versie : 1.0 - Definitief

Classificatie : Openbaar

AuditConn_Vervolgvel.indd 1AuditConn_Vervolgvel.indd 1 08-10-2007 11:46:1808-10-2007 11:46:18

© 2016 AuditConnect B.V. Alle rechten voorbehouden - Openbaar 2 / 31

Contactgegevens:

Postadres : AuditConnect b.v.

Postbus 4355 7320 AJ Apeldoorn

Telefoon : +31 (0)55 30 10 100 Contactpersoon GSM e-mail

: : :

Dhr. M.R. van der Vliet +31 (0)62 50 57951 [email protected]

Bankrelatie : ABN-AMRO bank Zutphen NL12ABNA 0517978210 Handelsregister : Oost Nederland 08162731 BTW : Apeldoorn randmeren NL8184.24.588.B01

©Copyright

Alle rechten in dit document ten aanzien van gebruikte methodes, vastlegging en rapportagevorm berusten bij AuditConnect B.V. Gehele of gedeeltelijke overname, distributie, verveelvoudiging op welke andere wijze dan ook en/of commercieel gebruik van deze informatie is niet toegestaan, tenzij hiervoor uitdrukkelijk schriftelijke toestemming is verleend door AuditConnect B.V. Alle rechten in dit document ten aanzien van klantgegevens en klantinformatie berusten bij de klant in opdracht waarvan AuditConnect de opdracht uitvoert.

Disclaimer

De inhoud van dit document is vertrouwelijk en is alleen bedoeld voor de opdrachtgever. Als dit document niet voor u bedoeld is, gelieve geen kennis te nemen van de inhoud, dan wel het verspreiden en/of distribueren ervan. Neem zo snel mogelijk contact op met de contactpersoon van AuditConnect voor verdere instructies.

mailto:[email protected]



Inhoudsopgave 1 OPDRACHT ........................................................................................................................................... 4

2 UITVOERING ......................................................................................................................................... 4

3 CONCLUSIE .......................................................................................................................................... 5

BIJLAGE A ......................................................................................................................................................... 7



1 Opdracht James Software B.V. heeft AuditConnect B.V. gevraagd een audit uit te voeren op basis van de NEN 7510, uit hoofde van haar verplichtingen uit een overeenkomst met VECOZO. Deze Third Party Mededeling (TPM) bevat het oordeel in welke mate James Software voldoet aan de informatiebeveiligingseisen zoals gesteld in de NEN 7510. In hoofdstuk 2 wordt besproken op welke wijze de audit is uitgevoerd. Hoofdstuk 3 bevat een management samenvatting met de conclusie. Bijlage A bevat tenslotte de uitgebreide bevindingen en oordelen per norm.

2 Uitvoering De audit is uitgevoerd tussen 18-07-2016 en 22-07-2016 door een gekwalificeerde auditor van AuditConnect B.V. Er is getoetst op opzet en bestaan. Tijdens de audit is gesproken met de Security Officer en directielid van James Software B.V. en enkele medewerkers. Daarnaast zijn de bevindingen en oordelen tot stand gekomen door documentstudie van het door James Software samengestelde dossier. James Software zal dit dossier, conform NOREA richtlijnen, 7 jaar lang in bewaring houden. Tenslotte is het pand van James Software bezocht om op deze manier de normen met betrekking tot fysieke beveiliging en gedrag van medewerkers te kunnen beoordelen.



3 Conclusie

James Software kent een excellent niveau van informatiebeveiliging en voldoet aan alle normen van de NEN7510 die van toepassing kunnen worden geacht op de organisatie. Er zijn geen tekortkomingen of aanbevelingen vastgesteld. De organisatie bestaat uit slechts 2 directieleden en 2 medewerkers. Ondanks de beperkte grootte van de organisatie is functiescheiding ingeregeld. Hierbij is één directielid benoemt tot Security Officer die verantwoordelijk is voor het toezicht op het navolgen van de informatiebeveiligingsprincipes die geïmplementeerd zijn door de organisatie. De Security Officer rapporteert informatiebeveiliging specifieke zaken vervolgens aan het andere directielid. Ook houdt hij controle op het functioneren van de medewerkers in het kader van informatiebeveiliging. Er is een informatiebeveiligingsbeleid van kracht dat periodiek geëvalueerd en, indien nodig, geactualiseerd wordt. Wanneer samenwerking met externe partijen wordt aangegaan, dan vindt er eerst een risico analyse plaats en vervolgens worden informatiebeveiligingsprincipes besproken en vastgelegd in de overeenkomsten met deze partij. James Software ziet toe op naleving hiervan. James Software maakt gebruik van een managed hosting partij die zowel ISO27001 als NEN7510 gecertificeerd is. Hierdoor mag worden aangenomen dat de belangrijkste bedrijfsmiddelen correct beheerd worden. Voor de overige bedrijfsmiddelen, zoals o.a. laptops en mobiele telefoons, geldt dat deze toegewezen zijn aan een eigenaar. Laptops zijn encrypted en er wordt gebruik gemaakt van iPhones met toegangsbeveiliging. Nieuwe medewerkers worden gescreend door middel van controle op diploma's, CV's en referenties. Bij twijfel wordt om een VOG gevraagd. Geheimhouding is standaard onderdeel van de arbeidsovereenkomst. Het kantoorpand van James Software kent toegangsbeveiliging in de vorm van een buitendeur en een toegangsdeur tot de verdieping van de organisatie. Beide kunnen worden afgesloten. Daarnaast is er een alarmsysteem dat verbonden is met een alarmcentrale. Er bevinden zich geen kritieke of gevoelige voorzieningen in en rond het pand. Medewerkers kunnen locatie onafhankelijk werken. Er wordt gebruik gemaakt van gescheiden ontwikkel, test, acceptatie en productie omgevingen, in samenwerking met de software leverancier. Wijzigingen worden op gecontroleerde en geautoriseerde wijze doorgezet. Er worden iedere dag volledig backups gemaakt en binnen enkele uren kan restore plaatsvinden. Dit wordt jaarlijks getest. In het geval van de ergste calamiteit kan de dienstverlening binnen enkele uren weer hervat worden. Uitwisseling van gegevens gaat via erkende encryptie standaarden. Er wordt alleen gebruik gemaakt van persoonsgebonden accounts die op gecontroleerde wijze worden verstrekt. Voor interne gebruikers is het gebruik van een encrypted wachtwoordmanager of browser met masterwachtwoordbeveiliging verplicht. Er is geen onbeheerde apparatuur aangetroffen en clear desk en clear screen principes worden zichtbaar nageleefd. James Software conformeert zich aan de geldende wet- en regelgeving en houdt in het bijzonder rekening met de Wet bescherming persoonsgegevens en Wet Gebruik BSN in de Zorg.



Tenslotte is er een incident management procedure en worden storingen, uitval en overige informatiebeveiligingsincidenten besproken met de hele organisatie. Bij incidenten schakelt de Security Officer, indien nodig, met managed hosting provider en software leverancier om zo adequaat mogelijk te kunnen reageren op incidenten. Apeldoorn, 22-07-2016

R.A.N. van Boekholdt MSc CISA


Bijlage A

Norm beoordeling NEN 7510

5. Beveiligingsbeleid

Het belang van informatiebeveiliging wordt door de leiding van een zorginstelling tot uiting gebracht in een beleidsdocument. Naast de te bereiken beveiligingsdoelen wordt daarin de weg beschreven waarlangs informatiebeveiliging door de desbetreffende zorginstelling wordt gerealiseerd. Door deze vastlegging en de publicatie ervan, wordt het voor medewerkers van de zorginstelling duidelijk welke inspanning van hen wordt verwacht om informatiebeveiliging gestalte te geven.

Aandachtsgebied Ref.nr. Norm Oordeel

Beveiligingsbeleid 5.1.1 De leiding van de zorginstelling moet een beleidsdocument opstellen, goedkeuren en op passende wijze uitdragen aan alle medewerkers en andere betrokkenen. Het beleidsdocument moet het omgaan met informatiebeveiliging omschrijven, alsmede de betrokkenheid van de leiding verwoorden. Het beleidsdocument moet aandacht besteden aan: - de betekenis, het doel van de informatiebeveiliging en het belang daarvan voor de organisatie - het ondubbelzinnig vastleggen van de intenties van de leiding in deze - de beleidsmaatregelen, uitgangspunten, en gedragsregels ten aanzien van de informatiebeveiliging, met daarbij nadrukkelijk aangegeven welke zaken voor de instelling van wezenlijk belang zijn.

Voldoet

Beveiligingsbeleid 5.1.2 Het informatiebeveiligingsbeleid en alle ondersteunende informatiebeveiligingsmaatregelen moeten een “verantwoordelijke” hebben. Voor ieder aspect van informatiebeveiliging moet deze verantwoordelijke binnen de zorginstelling bekend zijn gemaakt. De verantwoordelijke moet zorg dragen voor het implementeren, handhaven, periodiek evalueren en, indien nodig, actualiseren van het desbetreffende aspect van informatiebeveiliging.

Voldoet

6. Organiseren van informatiebeveiliging


Het organiseren van informatiebeveiliging heeft tot doel taken, bevoegdheden en verantwoordelijkheden te verdelen rond het treffen, in stand houden en naleven van beveiligingsmaatregelen. Een en ander wordt vastgelegd in de organisatie van de informatiebeveiliging. Informatiebeveiliging wordt primair door mensen tot stand gebracht en geëffectueerd. Adequate informatiebeveiliging in de zorg is alleen mogelijk als alle partijen, die invloed kunnen uitoefenen op de beveiliging van gegevens binnen een zorgproces, zich van hun taken en bevoegdheden bewust zijn en voor iedereen duidelijk is wie waarvoor verantwoordelijk is. Naast de eigen medewerkers zal ook moeten worden gedacht aan de rol van externe partijen die mogelijk toegang hebben tot de gegevens (of apparatuur) die de zorginstelling gebruikt.


Interne organisatie 6.1.1 De leiding van de organisatie moet zorgen voor toewijzing van verantwoordelijkheden voor informatiebeveiliging, waarbij de volgende zaken in ieder geval expliciet worden belegd: - goedkeuring en herziening van het beveiligingsbeleid en de toegekende verantwoordelijkheden; - signalering van veranderingen in de omgeving die kunnen resulteren in nieuwe bedreigingen voor de informatievoorziening; - bespreking van en toezicht houden op beveiligingsincidenten; - goedkeuring van belangrijke initiatieven ter bevordering van de informatiebeveiliging. Indien binnen de instelling niet voldoende expertise aanwezig is om deze aandacht voor informatiebeveiliging op verantwoorde wijze te verzorgen, dan moet deze kennis van buiten worden betrokken.

Voldoet


Interne organisatie 6.1.2 De implementatie van maatregelen voor informatiebeveiliging moet worden gecoördineerd door hiertoe door de leiding aangewezen vertegenwoordigers. Zij moeten afkomstig zijn uit verschillende onderdelen van de instelling, met relevante rollen en functies. Taak en samenstelling moeten zodanig zijn, dat er in de praktijk een goed werkende schakel tussen beleid en uitvoering is, en dat er een goed hanteerbaar stelsel van regels en maatregelen ontstaat. Daarbij moet ook de specifieke eigen verantwoordelijkheid van de zorgverleners zelf in aanmerking worden genomen.

Voldoet

Interne organisatie 6.1.3 De verantwoordelijkheden voor de bescherming van bedrijfsmiddelen (waartoe ook gegevens worden gerekend) en voor het uitvoeren van bepaalde beveiligingsprocessen moeten duidelijk worden gedefinieerd en belegd. Voor zover de zorginstelling specifieke functies heeft ingesteld voor (onderdelen van) de informatiebeveiliging, moeten deze functies nauwkeurig worden beschreven en bekendgemaakt binnen de zorginstelling.

Voldoet

Interne organisatie 6.1.4 Voor de installatie en het in gebruik nemen van nieuwe middelen voor de informatievoorziening moet een goedkeuringsproces worden vastgesteld. Dit geldt ook voor het koppelen van “nieuwe” middelen aan bestaande voorzieningen. Het gebruik van persoonlijke voorzieningen voor het verwerken van gegevens die behoren tot een zorgproces, moet mede worden goedgekeurd door de verantwoordelijke voor het desbetreffende proces.

Voldoet

Interne organisatie 6.1.5 In de instelling moeten procedures van kracht zijn waarin is vastgelegd hoe de contacten met officiële instanties moeten worden geregeld en hoe eventuele incidenten moeten worden gerapporteerd wanneer een vermoeden bestaat dat wettelijke bepalingen zijn geschonden. In geval er sprake is van bedreigingen via Internet, kan het nodig zijn om externe partijen in te schakelen om actie te ondernemen tegen de bedreiger.

Voldoet

Interne organisatie 6.1.6 De juiste contacten moeten worden onderhouden met communicatiepartners (zoals leveranciers van informatiediensten en telecommunicatiebedrijven, en andere zorginstellingen), om ervoor te zorgen dat in geval van een incident snel de benodigde actie kan worden ondernomen en advies kan worden ingewonnen. Eveneens moet het lidmaatschap van beveiligingsoverleggroepen worden overwogen. Het uitwisselen van beveiligingsinformatie moet worden beperkt, om te waarborgen dat vertrouwelijke informatie van de organisatie niet wordt doorgegeven aan onbevoegden.

Voldoet


Interne organisatie 6.1.7 In het beleidsdocument voor informatiebeveiliging (zie 5.1.1.) zijn het beleid en de verantwoordelijkheden ten aanzien van informatiebeveiliging uiteengezet. De implementatie ervan moet periodiek, en bij belangrijke wijzigingen, onafhankelijk worden beoordeeld, zodat men er zeker van kan zijn dat de praktijk overeenkomt met het vastgestelde beleid en dat de maatregelen uitvoerbaar zijn en het beoogde effect hebben (zie 14.2).

Voldoet

Externe partijen 6.2.1 Er moeten speciale maatregelen worden getroffen tegen misbruik van en ongeautoriseerde toegang tot gegevens en informatie van de zorginstelling door externe partijen. Door een risicoanalyse moet worden bepaald welke maatregelen hiervoor nodig zijn. - Soorten toegang De volgende soorten toegang moeten worden onderscheiden: a) fysieke toegang, zoals tot kantoren, behandel-, spreek- of computerruimten, archiefkasten en apparatuur die in het zorgproces wordt gebruikt. b) logische toegang, zoals tot de gegevens, gegevensbanken of informatiesystemen van een zorginstelling, eventueel door gebruik te maken van een netwerk - Redenen voor toegang De autorisatie van externe partijen tot ruimten en/of gegevens van de zorginstelling moet worden vastgelegd tezamen met de tijdsduur en andere condities die daarbij gelden. Externe partijen moeten pas toegang tot informatie en informatiesystemen verkrijgen, wanneer er passende maatregelen zijn geïmplementeerd en een contract is ondertekend, waarin de voorwaarden voor de verbinding of toegang zijn vastgelegd.

Voldoet

Externe partijen 6.2.2 Om er zeker van te zijn dat aan alle beveiligingseisen en -normen van de zorginstelling kan worden voldaan, moeten in alle schriftelijke contracten met externe partijen clausules over informatiebeveiliging en bijbehorende sancties worden opgenomen. Wanneer een zorginstelling het "management en beheer" over al haar of een deel van haar informatiesystemen, netwerken en/of werkstations uitbesteedt, moeten de beveiligingseisen in het contract tussen de twee partijen zijn opgenomen. Het contract moet het mogelijk maken dat de beveiligingsbehoeften en -procedures worden uitgebreid tot een beheersysteem voor informatiebeveiliging tussen de twee partijen.

Voldoet

7. Beheer van middelen voor de informatievoorziening

Informatiebeveiliging verlangt goed beheer van de middelen die voor de informatievoorziening worden gebruikt. Het begrip "middelen" wordt hier ruim opgevat en omvat zowel gegevens en zaken die daaraan direct zijn gerelateerd, als overige voorzieningen die bij de informatievoorziening worden gebruikt.



Verantwoordelijk-heid voor de middelen

7.1.1 Een zorginstelling moet steeds een volledig overzicht hebben van de middelen die bij de informatievoorziening een rol spelen. Voor elk van de middelen moet het belang daarvan zijn gedocumenteerd. Daaruit volgen eisen ten aanzien van de informatiebeveiliging. Het overzicht moet ook deze aangeven en vermelden aan wie de verantwoordelijkheid voor de desbetreffende middelen is toegewezen en waar de middelen zich bevinden (belangrijk bij het herstel van verlies of schade). De eisen ten aanzien van beschikbaarheid van de middelen kunnen in de meeste gevallen direct in termen van tijd worden weergegeven. Eisen ten aanzien van vertrouwelijkheid hebben betrekking op de vertrouwelijkheid van gegevens. Aan voorzieningen moeten eisen worden gesteld die overeenstemmen met het vereiste vertrouwelijkheidniveau van de gegevens waarvoor de voorzieningen zijn bestemd. Er moet bijzondere aandacht worden besteed aan medische apparatuur waarin gegevens van patiënten worden verwerkt bij het proces van diagnose en behandeling.

Voldoet

Verantwoordelijk-heid voor de middelen

7.1.2 De zorginstelling moet voor alle gegevens en overige middelen verantwoordelijken aanwijzen en dit documenteren. In het zorgproces ligt de verantwoordelijkheid voor gegevens in veel gevallen bij een zorgverlener, terwijl de verantwoordelijkheid voor de middelen voor de verwerking van gegevens bij anderen kan berusten. Dit maakt heldere afspraken noodzakelijk. Iedere verantwoordelijke voor één of meer van de middelen moet een overzicht bijhouden van datgene waarvoor hij verantwoordelijk is en daarvan de beveiligingseisen bepalen en vastleggen. Ook deelverantwoordelijkheden moeten worden vermeld. De leiding van een zorginstelling moet ervoor zorgen dat, door het combineren van deze overzichten, een volledig overzicht van alle gegevens en middelen wordt bijgehouden.

Voldoet

Classificatie van gegevens 7.2.1 Bij het bepalen van de classificatie en de bijbehorende beschermende maatregelen moet rekening worden gehouden met de behoefte of verplichting om gegevens te verspreiden of verspreiding te beperken. Ook moet rekening worden gehouden met de implicaties voor privacy en kwaliteit van de zorg bij ongeautoriseerde toegang tot of schade aan de gegevens. De verantwoordelijke voor de gegevens moet tevens zorg dragen voor het bepalen en onderhouden van de classificatie en de periodieke evaluatie van de classificatie.

Voldoet

Classificatie van gegevens 7.2.2 In het zorgproces moet bij alle gegevens worden vastgelegd wie inhoudelijk verantwoordelijk is. Passende procedures moeten worden opgesteld voor het classificeren en verwerken van gegevens, overeenkomstig het classificatiesysteem. Deze procedures moeten tevens betrekking hebben op zowel elektronische als fysieke informatiemiddelen. Per soort gegevens moeten verwerkingsprocedures worden opgesteld die de informatieverwerkende activiteiten (bijvoorbeeld kopiëren en opslaan van gegevens) dekken.

Voldoet


8. Beveiligingseisen ten aanzien van personeel

Beveiligingseisen ten aanzien van personeel hebben als doel het verminderen van de risico's van menselijke fouten, diefstal, fraude of misbruik van gegevens en informatiebedrijfsmiddelen. Door gebruikers van informatiebedrijfsmiddelen te trainen, kan worden gewaarborgd dat zij zich bewust zijn van de bedreigingen voor en het belang van informatiebeveiliging. Gebruikers moeten worden voorzien van de correcte middelen om het beveiligingsbeleid te ondersteunen tijdens het uitvoeren van hun normale werkzaamheden.


Beveiligingseisen bij het aannemen van personeel

8.1.1 De beveiligingseisen die bij de aanname zijn besproken, moeten worden opgenomen in functieomschrijvingen. De leiding moet bepalen welk toezicht nodig is voor nieuw en onervaren personeel dat geautoriseerd is voor toegang tot gevoelige systemen. De werkzaamheden van individuele personeelsleden moeten periodiek worden onderworpen aan beoordelings- en goedkeuringsprocedures door een lid van het hoger kader. Deze evaluatie moet ook de informatiebeveiliging omvatten.

Voldoet


8.1.2 Potentiële nieuwe medewerkers moeten tijdens de sollicitatieprocedure passend worden “gescreend”. Informatiebeveiliging moet worden besproken bij het aannemen van nieuwe personeelsleden en worden opgenomen in functieomschrijvingen en contracten. De naleving ervan moet tijdens het dienstverband van de medewerker worden gecontroleerd. In een personeelsbeleid moeten deze zaken zijn gewaarborgd. Voor tijdelijke externe medewerkers moet er op worden toegezien, dat met hen ook dergelijke afspraken zijn gemaakt via hun werkgever; dit moet worden vastgelegd in een contract of anderszins schriftelijk worden bevestigd.

Voldoet


8.1.3 In het arbeidscontract moet de verantwoordelijkheid van de werknemer op het gebied van informatiebeveiliging zijn vastgelegd. Ook de maatregelen die zullen worden getroffen indien de werknemer de regels met betrekking tot informatiebeveiliging veronachtzaamt, moeten hierin zijn opgenomen. De wettelijke rechten en plichten van de werknemer, zoals ten aanzien van de wetgeving op het gebied van gegevensbescherming moeten worden toegelicht en zijn opgenomen in het arbeidscontract. Voorts moet de verantwoordelijkheid voor de classificatie en het beheer van de gegevens van de werkgever in het arbeidscontract worden opgenomen. Waar van toepassing moet het arbeidscontract vermelden dat deze verantwoordelijkheden zich uitstrekken tot buiten het bedrijfsterrein van de zorginstelling en ook buiten de normale werktijden gelden, zoals in het geval van visitatie. Voor externe medewerkers moeten via hun werkgever vergelijkbare zaken schriftelijk zijn vastgelegd.

Voldoet



8.1.4 De zorginstelling moet vaststellen en waarborgen dat personen die onder de wettelijke zwijgplicht vallen, daarvan op de hoogte zijn. Alle eigen en externe medewerkers die gebruik maken van middelen voor de informatievoorziening, moeten bij het begin van hun dienstverband een geheimhoudingsverklaring ondertekenen als onderdeel van het arbeidscontract. Geheimhoudingsverklaringen moeten worden aangepast, wanneer wijzigingen optreden in de arbeidsvoorwaarden of het contract, in het bijzonder wanneer werknemers de zorginstelling gaan verlaten of contracten binnenkort zullen aflopen.

Voldoet

Taakuitvoering 8.2.1 De leiding moet eigen medewerkers, externe medewerkers en externe gebruikers stimuleren om de vastgestelde beveiligingsmaatregelen en procedures in acht te nemen. De leiding moet er daarom voor zorgen dat eigen medewerkers, externe medewerkers en externe gebruikers: - voldoende op de hoogte zijn gebracht van hun rol en hun verantwoordelijkheden ten aanzien van de informatiebeveiliging, voordat zij toegang krijgen tot gevoelige informatie of informatiesystemen - richtlijnen hebben ontvangen waarin voor de rol die zij in de instelling moeten vervullen, wordt aangegeven wat daarbij de verwachtingen zijn ten aanzien van de beveiliging - worden gemotiveerd om de beveiligingsvoorschriften van de instelling na te leven een niveau van beveiligingsbewustwording bereiken, dat past bij hun rol en verantwoordelijkheden binnen de instelling (zie ook 8.2.2) - handelen conform de regels en voorwaarden die in de instelling gelden, inclusief het informatiebeveiligingsbeleid en passende werkmethoden.

Voldoet

Taakuitvoering 8.2.2 Alle eigen en externe medewerkers binnen de zorginstelling moeten een passende training en regelmatige nascholing krijgen inzake het informatiebeveiligingsbeleid en de daarbij behorende procedures van de zorginstelling, om eventuele beveiligingsrisico’s te minimaliseren.

Voldoet

Taakuitvoering 8.2.3 De zorginstelling moet een disciplinair proces vaststellen voor werknemers die de beveiliging bewust doorbreken. Voldoet

Einde van de aanstelling 8.3.1 De verantwoordelijkheden om het proces van vertrek van medewerkers te begeleiden, moeten duidelijk zijn gedefinieerd en belegd, zodat alle medewerkers en externe partijen een helder inzicht krijgen in hun verantwoordelijkheden na het beëindigen van hun relatie met de organisatie. Met de medewerker die de zorginstelling gaat verlaten, moet een afsluitingsgesprek worden gevoerd. Tijdens dit gesprek wordt ingegaan op de beveiligingsaspecten van de zorginstelling en de implicaties die hieruit volgen voor de vertrekkende medewerker.

Voldoet

Einde van de aanstelling 8.3.2 Wanneer de aanstelling van een medewerker, of de relatie met een externe partij, wijzigt of wordt beëindigd, moet worden nagegaan, welke risico’s er bestaan dat betrokkene(n) nog toegang kunnen krijgen tot informatie of informatiesystemen van de instelling.

Voldoet

Einde van de aanstelling 8.3.3 Alle (eigen of externe) medewerkers of externe partijen moeten bij het beëindigen van hun contract met de instelling alle nog in hun bezit zijnde eigendommen van de instelling teruggeven.

Voldoet

Einde van de aanstelling 8.3.4 De toegangsrechten tot de informatiesystemen van de instelling, waarover de medewerker of externe partijen beschikte(n), worden ongeldig bij het beëindigen van de aanstelling of het contract.

Voldoet


9. Fysieke beveiliging en beveiliging van de omgeving

Fysieke beviliging van omgeving, gebouwen , ruimten en apparatuur van een zorginstelling is noodzakelijk ter voorkoming van verstoring van de informatievoorziening, diefstal van gegevens en bezittingen, beschadiging aan gebouwen en bezittingen en onveilige situaties voor patiënten, bezoekers, eigen en externe medewerkers. Dit vergt bijzondere aandacht, want zorginstellingen zijn in veel gevallen vrij toegankelijk. Kritische of gevoelige apparatuur voor informatieverwerking moet zijn opgesteld in beveiligde ruimten, omgeven door een goed gedefinieerde beveiligingsgrens, met passende toegangsbelemmeringen en ingangscontroles. Deze voorzieningen moeten ook fysiek beveiligd zijn tegen ongeoorloofde toegang, het toebrengen van schade en andere inmenging.


Beveiligde ruimten 9.1.1 Fysieke beveiliging kan worden bereikt door het opwerpen van barrières rond het terrein van een organisatie en een analyse van activiteiten die in de directe omgeving plaatsvinden. In het geval van zorginstellingen is zo’n barrière in de praktijk meestal niet mogelijk.

Voldoet

Beveiligde ruimten 9.1.2 Er moeten beveiligde zones worden aangewezen waarin personeel, apparatuur en gegevens kunnen worden beschermd. Door adequate toegangsbeheersing kan worden geregeld dat alleen geautoriseerd personeel toegang heeft.

Voldoet

Beveiligde ruimten 9.1.3 Bij de keuze en het ontwerp van een beveiligde zone moet rekening worden gehouden met de mogelijkheid van schade door brand, wateroverlast, explosies, ordeverstoringen en andere natuurlijke of door mensen veroorzaakte calamiteiten.

Voldoet

Beveiligde ruimten 9.1.4 Om de beveiliging van een beveiligde ruimte te kunnen waarborgen, moeten aanvullende maatregelen worden getroffen en richtlijnen worden uitgevaardigd. Hiertoe behoren tevens maatregelen voor eigen en externe medewerkers of derden die in de beveiligde zone werkzaam zijn.

Voldoet

Beveiligde ruimten 9.1.5 Laad - en losruimten moeten worden bewaakt en zo mogelijk worden afgezonderd van de IT-voorzieningen om toegang door ongeautoriseerde personen te voorkomen.

Voldoet

Beveiliging van apparatuur 9.2.1 Apparatuur moet zo worden geplaatst en beveiligd, dat de risico's van schade en storing van buitenaf en de kansen op ongeautoriseerde toegang of gebruik, zijn beperkt.

Voldoet


Beveiliging van apparatuur 9.2.2 Apparatuur moet worden beveiligd tegen stroomstoringen en andere elektrische storingen. Er moet een geschikte stroomvoorziening aanwezig zijn die voldoet aan de specificaties van de leverancier van de apparatuur.

Voldoet

Beveiliging van apparatuur 9.2.3 Voedings - en telecommunicatiebekabeling die wordt gebruikt voor gegevensverkeer of ondersteunende informatiediensten moet worden beschermd tegen interceptie of beschadiging.

Voldoet

Beveiliging van apparatuur 9.2.4 Apparatuur moet op correcte wijze worden onderhouden, zodat deze conform de gestelde eisen beschikbaar is en in goede staat verkeert. Voldoet

Beveiliging van apparatuur 9.2.5 Apparatuur die buiten de instelling wordt gebruikt, moet gelijkwaardig worden beveiligd als apparatuur binnen de instelling. Daarbij moet tevens rekening worden gehouden met extra risico’s.

Voldoet

Beveiliging van apparatuur 9.2.6 Opslagmedia die gevoelige gegevens bevatten, moeten op een zodanige manier worden bewerkt, dat de gegevens niet meer kunnen worden hersteld.

Voldoet

Algemene beveiligings-maatregelen

9.3.1 Waar mogelijk, moet de organisatie een “clear desk” beleid voeren voor wat betreft papieren en andere verwijderbare informatiedragers, en een “clear screen” beleid voor alle informatieverwerkende apparatuur.

Voldoet

Algemene beveiligings-maatregelen

9.3.2 Er moeten regels zijn voor het meenemen van apparatuur, gegevens en programmatuur van de zorginstelling buiten het bedrijfsterrein. Voldoet

10. Operationeel beheer van informatie- en communicatievoorzieningen

Goed beheer van voorzieningen is van belang voor informatiebeveiliging. Het vastleggen van procedures en verantwoordelijkheden moet een correcte en veilige bediening van ICT-voorzieningen zo veel mogelijk waarborgen. Een goede planning en voorbereiding zijn noodzakelijk om te kunnen garanderen dat de correcte systeemcapaciteit en de correcte hulpbronnen beschikbaar zijn. De integriteit en beschikbaarheid van apparatuur, gegevens en gegevensverwerkende diensten en communicatiediensten moet worden beschermd om het risico van beveiligingsincidenten tot een minimum te beperken.



Bedienings-procedures en verantwoordelijk-heden

10.1.1 Bedieningsprocedures moeten worden gedocumenteerd en onderhouden. Bedieningsprocedures moeten worden behandeld als officiële documenten. Wijzigingen behoeven de autorisatie van de leiding.

Voldoet


10.1.2 Wijzigingen in IT-voorzieningen en -systemen moeten worden beheerst. Veel storingen in systemen of in de beveiliging worden veroorzaakt doordat de wijzigingen, die worden aangebracht in IT-voorzieningen en -systemen, onvoldoende worden beheerst. Het is noodzakelijk om de verantwoordelijkheden en procedures van het management vast te leggen, zodat er voldoende controle is op alle wijzigingen aan apparatuur, programmatuur en procedures. De in gebruik zijnde programmatuur moet aan een streng wijzigingsbeheer worden onderworpen. Wanneer programmatuur wordt gewijzigd, moet een audit-logboek worden bijgehouden waarin alle belangrijke informatie wordt vermeld. Wijzigingen in de omgeving kunnen van invloed zijn op de toepassingen. Waar mogelijk moet het wijzigingenbeheer van verschillende soorten programmatuur, zoals voor toepassingen en voor besturing, worden geïntegreerd.

Voldoet


10.1.3 Functiescheiding vermindert het risico van nalatigheid en opzettelijk misbruik van systemen en bevoegdheden. Er moet worden vastgelegd dat bepaalde taken (of verantwoordelijkheden) worden gescheiden en indien mogelijk worden verdeeld over meer personen.

Voldoet


10.1.4 Ontwikkel-, toets-, opleidings- en productievoorzieningen moeten van elkaar zijn gescheiden. Er moeten regels worden vastgesteld en gedocumenteerd voor het overdragen van programmatuur van het ontwikkel- of toetsstadium naar het productiestadium.

Voldoet

Uitbesteding 10.2.1 De risico’s van het uitbesteden van het beheer van middelen moeten vooraf worden bepaald. Met de externe medewerkers moeten passende beveiligingsmaatregelen worden overeengekomen in het contract.

Voldoet


Uitbesteding 10.2.2 In het contract moeten maatregelen zijn opgenomen die de instelling in staat stellen de overeengekomen beveiligingsmaatregelen te controleren. De dienstverlening moet regelmatig op beveiligingsaspecten worden beoordeeld. Zie ook hoofdstuk 14.

Voldoet

Uitbesteding 10.2.3 De instelling moet bij wijzigingen in de dienstverlening de eisen ten aanzien van informatiebeveiliging daarin opnieuw betrekken. Het contract moet daartoe mogelijkheden bieden. Gewijzigde eisen aan de informatiebeveiliging kunnen overigens zelf de aanleiding vormen tot wijzigingen in de dienstverlening.

Voldoet

Systeemplanning en -acceptatie

10.3.1 Het capaciteitsbeslag moet worden bewaakt en er moet een prognose worden gemaakt van de toekomstige capaciteitseisen, zodat storingen die een gevolg zijn van een gebrek aan capaciteit kunnen worden voorkomen. In deze prognose moet rekening worden gehouden met nieuwe bedrijfs- en systeemeisen en ook met de huidige en verwachte trends in het gebruik van de voorzieningen.

Voldoet

Systeemplanning en -acceptatie

10.3.2 Acceptatiecriteria voor nieuwe informatiesystemen, verbeterde versies, provisorische programmacorrecties (“patches”) en nieuwe versies moeten worden vastgesteld. De systemen moeten adequaat worden getoetst alvorens tot acceptatie kan worden overgegaan.

Voldoet

Bescherming tegen kwaadaardige programmatuur

10.4.1 Gebruikers moeten bewust worden gemaakt van de gevaren van ongeoorloofde of kwaadaardige programmatuur. Maatregelen moeten worden getroffen om de invoer van kwaadaardige programmatuur te voorkomen en te ontdekken.

Voldoet

“Back-up” 10.5.1 Regelmatig moeten reservekopieën worden gemaakt van essentiële gegevens en programmatuur. De procedures voor het maken van reservekopieën voor de afzonderlijke systemen moeten regelmatig worden getoetst om te waarborgen dat ze voldoen aan de eisen die zijn vastgelegd in het continuïteitsplan (zie 14.3). Hierbij moet rekening worden gehouden met de wettelijke eisen aan de bewaartermijn van gegevens.

Voldoet

Netwerkbeheer 10.6.1 Zorginstellingen moeten ervoor zorgen dat de benodigde maatregelen worden getroffen voor de beveiliging van gegevens in netwerken en moeten de aangesloten diensten beschermen tegen ongeautoriseerde toegang. Het is van groot belang om de beheeractiviteiten nauwkeurig te coördineren om enerzijds de dienstverlening voor de organisatie te optimaliseren en anderzijds ervoor te zorgen dat de beveiligingsmaatregelen consistent worden toegepast in de gehele netwerkinfrastructuur.

Voldoet

Netwerkbeheer 10.6.2 Zorginstellingen die gebruikmaken van netwerkdiensten, zowel intern als extern, moeten ervoor zorgen dat er een duidelijke beschrijving wordt geboden van de beveiligingskenmerken van alle gebruikte diensten.

Voldoet


Behandeling en beveiliging van media

10.7.1 Er moeten procedures worden vastgesteld om media zoals banden, schijven, diskettes, in- en uitvoergegevens op papier, systeemdocumentatie en (medische) dossiers te beveiligen tegen schade, diefstal en ongeautoriseerde toegang. Alle procedures en autorisatieniveaus moeten duidelijk worden gedocumenteerd.

Voldoet


10.7.2 Media moeten op een veilige en beveiligde manier worden afgevoerd wanneer zij niet langer nodig zijn. Gegevens moeten worden gewist voordat een medium wordt gebruikt in een andere toepassing binnen de zorginstelling. Indien media niet meer in de organisatie worden gebruikt, moeten de op die media aanwezige gegevens worden vernietigd alvorens de media worden afgevoerd. Het afvoeren van media moet worden geregistreerd, om een audit traject te kunnen onderhouden.

Voldoet


10.7.3 Er moeten procedures worden vastgesteld voor de behandeling van media om de erop opgeslagen gegevens te beschermen tegen ongeoorloofde openbaarmaking of misbruik. Deze procedures moeten in overeenstemming zijn met de gestelde classificatie en de bijbehorende beveiligingseisen.

Voldoet


10.7.4 Er moeten maatregelen worden getroffen om systeemdocumentatie te beveiligen tegen ongeautoriseerde toegang, beschadiging en verlies. Voldoet

Uitwisseling van gegevens 10.8.1 Er moet een beleid worden vastgesteld, waarin wordt opgenomen welke gegevens in aanmerking komen voor uitwisseling, zowel intern als extern, en de daarbij geldende voorwaarden.

Voldoet

Uitwisseling van gegevens 10.8.2 Overeenkomsten moeten worden opgesteld zowel voor het uitwisselen (elektronisch, mondeling of op papier) van gegevens tussen zorginstellingen onderling als tussen zorginstellingen en andere partijen. In een dergelijke overeenkomst moet aandacht worden geschonken aan de gevoeligheid van de desbetreffende gegevens. In de overeenkomst moeten de benodigde beveiligingsmaatregelen worden opgenomen.

Voldoet

Uitwisseling van gegevens 10.8.3 Er moeten maatregelen worden getroffen om gegevens op verwijderbare media tijdens transport te beveiligen tegen beschadiging, verlies, ongeautoriseerde toegang, misbruik en manipulatie.

Voldoet

Uitwisseling van gegevens 10.8.4 Er moeten maatregelen worden getroffen om gegevens tijdens geautomatiseerde gegevensuitwisseling te beveiligen tegen beschadiging, verlies, ongeautoriseerde toegang, misbruik en manipulatie.

Voldoet


Uitwisseling van gegevens 10.8.5 Voor communicatie in en tussen organisaties wordt steeds meer gebruik gemaakt van elektronische middelen (e-mail, videoconferencing enz.) in plaats van de traditionele vormen van communicatie. Op een aantal punten wijkt elektronische communicatie duidelijk af, bijvoorbeeld in snelheid, in structuur van berichten, in informaliteit en in kwetsbaarheid voor ongeautoriseerde handelingen. Zorginstellingen moeten een duidelijk beleid opstellen ten aanzien van het gebruik van elektronische communicatie. Om de risico's voor de organisatie te beperken, moeten er passende maatregelen worden vastgesteld.

Voldoet

Uitwisseling van gegevens 10.8.6 Gegevens die in “on line” transacties betrokken zijn, moeten worden beschermd tegen onvolledige overdracht, verkeerd terechtkomen, ongeautoriseerde wijziging, ongeautoriseerde openbaarmaking en multiplicatie.

Voldoet

Uitwisseling van gegevens 10.8.7 Er moet een beleid en richtlijnen worden opgesteld en geïmplementeerd om de zakelijke en beveiligingsrisico's die elektronische kantoorsystemen met zich meebrengen, te beheersen. Met elektronische kantoorsystemen kan bedrijfsinformatie sneller worden verspreid en ook gemeenschappelijk worden gebruikt, aangezien ze gebruik maken van een combinatie van documenten, computers, mobiele computers, mobiele communicatiemiddelen, post, voicemail, stemcommunicatie in het algemeen, multimedia, postdiensten/-voorzieningen en faxapparatuur. De gevolgen voor de organisatie en de beveiliging van het onderling op elkaar aansluiten van dergelijke faciliteiten moeten in de beleidslijnen worden betrokken.

Voldoet

Uitwisseling van gegevens 10.8.8 Er moet aandacht worden besteed aan het beschermen van de integriteit van elektronisch gepubliceerde informatie, om ongeoorloofde wijzigingen te voorkomen die de reputatie van de instelling zou kunnen schaden. Informatie op een publiek beschikbaar systeem, bijvoorbeeld informatie op een webserver die toegankelijk is via het Internet, moet voldoen aan de wetgeving, regels en voorschriften in het desbetreffende rechtsgebied waar het systeem zich bevindt. Er moet een autorisatieproces plaatsvinden, voor de informatie publiek beschikbaar wordt.

Voldoet


11. Toegangsbeveiliging

Toegangsbeveiliging moet ervoor zorgen dat toegang tot voorzieningen en gegevens wordt verleend aan gebruikers die daartoe gerechtigd zijn en wordt geweigerd aan andere. Het doel ervan is te waarborgen dat het lezen en toevoegen, wijzigen en verwijderen van gegevens en programmatuur slechts gecontroleerd kan plaatsvinden. Dit si zeker voor de gezondheidszorg een essentiële eis aan de informatievoorziening. Het belang en de wensen van de patiënt moeten hierin worden betrokken. Toegang tot gegevens moet worden beperkt met het oog op de integriteit en vertrouwelijkheid. De beschikbaarheid kan echter tegenovergestelde eisen stellen. De classificatie van gegevens (zie 7.2) is bepalend voor de te treffen maatregelen. Toegangsbeveiliging strekt zich uit over alle middelen voor de informatievoorziening: centrale computers, netwerken, werkstations, systeem- en toepassingsprogrammatuur en gegevens. Voor verschillende middelen kunnen verschillende eisen worden gesteld aan de toegangsbeveiliging. Aan de andere kant kunnen verschillende gebruikers van dezelfde middelen ook verschillende toegangsrechten hebben. Toegangsbeveiliging is bijzonder complex.

In de gezondheidszorg komen bovendien omstandigheden voor die het nodig maken in bepaalde gevallen de reguliere toegangsbeveiliging te doorbreken. Dan moet controle achteraf mogelijk zijn. De toegangsbeveiliging zal daarom moeten voorzien in mogelijkheden voor registratie van verleende toegang,


Eisen ten aanzien van toegangsbeveiliging

11.1.1 Een instelling moet regels en rechten voor toegang opstellen en onderhouden voor elke gebruiker of groep gebruikers. Op basis hiervan moet toegangsbeveiliging worden geconcretiseerd in beheersmaatregelen en procedures. De eisen waaraan de toegangsbeveiliging moet voldoen, moeten duidelijk worden gemaakt aan gebruikers en beheerders van de middelen voor de informatievoorziening.

Voldoet

Identificatie en authenticatie 11.2.1 De toegang tot informatiesystemen en -diensten moet worden beheerst via een geformaliseerde gebruikersregistratie. De instelling moet procedures voor het registreren en afmelden van gebruikers vaststellen. Niet-geregistreerde gebruikers moeten slechts toegang kunnen krijgen tot publieke gegevens en faciliteiten.

Voldoet

Identificatie en authenticatie 11.2.2 Alle geregistreerde gebruikers moeten een unieke gebruikersidentificatie (gebruikers-ID) hebben voor persoonlijk gebruik. Gebruikersidentificaties mogen geen indicatie geven van de bevoegdheid van een persoon. De instelling moet procedures voor het toewijzen van gebruikersidentificaties vaststellen.

Voldoet


Identificatie en authenticatie 11.2.3 Er moet minimaal een wachtwoordsysteem worden gebruikt om de identiteit van een gebruiker bij toegang te verifiëren. Naast wachtwoorden kunnen andere technologieën voor gebruikersidentificatie en authenticatie worden toegepast, zoals biometrie en het gebruik van identificatietekens (hardware tokens). Door het toepassen van “smartcards” kan meer zekerheid worden verkregen (sterkere authenticatie). De keuze van een passende authenticatiewijze moet op basis van een risicoanalyse worden bepaald. Bijzondere aandacht moet daarbij worden geschonken aan toegang via externe verbindingen en openbare netwerken.

Voldoet

Identificatie en authenticatie 11.2.4 De instelling moet procedures en regels vaststellen voor het instellen, wijzigen en intrekken van wachtwoorden. Gebruikers moeten op de hoogte worden gesteld hoe om te gaan met wachtwoorden. Systemen en procedures voor het uitgeven van middelen voor sterkere authenticatie, zoals “smartcards”, moeten met meervoudige beveiliging worden omgeven.

Voldoet

Identificatie en authenticatie 11.2.5 Toegang tot informatiediensten moet verlopen via een veilig inlogproces. Beeldschermapparatuur moet zo worden opgesteld dat het beeld voor onbevoegden niet leesbaar is.

Voldoet

Identificatie en authenticatie 11.2.6 Gebruikers moeten goede beveiligingsgewoontes in acht nemen bij het kiezen en gebruiken van wachtwoorden en ervoor zorgen dat anderen hun wachtwoord en/of authenticatiemiddel niet kunnen gebruiken.

Voldoet

Identificatie en authenticatie 11.2.7 Voor toepassingen waarbij het belangrijk is dat een sessie uitsluitend wordt gestart vanaf een bepaalde locatie of een bepaald werkstation kan een automatisch identificatiesysteem voor werkstations worden gebruikt om verbindingen met specifieke locaties en mobiele apparatuur te verifiëren.

Voldoet

Identificatie en authenticatie 11.2.8 Automatische verbindingen met computersystemen op afstand moeten worden geauthenticeerd. N.v.t

Identificatie en authenticatie 11.2.9 Gebruikers moeten ervoor zorgen dat tijdelijk onbeheerde apparatuur voldoende is beveiligd. Voldoet

Identificatie en authenticatie 11.2.10 Voor inactieve werkstations op locaties met verhoogd risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de zorginstelling vallen, of die systemen met een verhoogd risico bedienen, moet na een bepaalde periode van inactiviteit een “time-out” worden ingesteld om toegang door onbevoegden te voorkomen.

Voldoet

Autorisatie en toegangscontrole

11.3.1 Gebruikers moeten toegang krijgen tot gegevens en functies in overeenstemming met een vastgesteld toegangsbeleid, gebaseerd op de beveiligingseisen voor de afzonderlijke toepassingen en in overeenstemming met het toegangsbeleid van de zorginstelling. De regels voor autorisatie moeten worden geformuleerd door de verantwoordelijken voor de desbetreffende voorzieningen en gegevens. De verantwoordelijken houden daarbij rekening met de rol van de gebruiker, de gevoeligheid van de gegevens en de belangen van de patiënten. Voor gebruik in onvoorziene noodsituaties kan aan bepaalde gebruikers de bevoegdheid worden toegekend de normale afscherming te doorbreken. Het gebruik van die bijzondere bevoegdheid moet als zodanig worden vastgelegd.

N.v.t


11.3.2 De instelling moet procedures en regels vaststellen voor de toekenning en intrekking van bevoegdheden. Voldoet


11.3.3 Toepassingen, systemen en netwerkvoorzieningen moeten zodanig worden ingericht dat toegang alleen mogelijk is in overeenstemming met geldige bevoegdheden.

Voldoet



11.3.4 De toewijzing en het gebruik van bijzondere bevoegdheden voor noodprocedures, systeembeheer, onderhoud en dergelijke moeten worden beperkt en gecontroleerd. De meeste computersystemen bevatten een of meer systeemprogramma's waarmee de normale beveiliging in systemen en toepassingen kan worden omzeild. Het is van wezenlijk belang dat het gebruik van dergelijke systeemprogramma's nauwlettend wordt beheerst.

Voldoet


11.3.5 Om de toegang tot gegevens en informatiediensten effectief te beheersen, moet de verantwoordelijke op gezette tijden een procedure uitvoeren om de uitgegeven toegangsrechten te controleren.

N.v.t

Toegangsbeveiliging voor netwerken

11.4.1 Er moet een beleid worden geformuleerd ten aanzien van het gebruik van netwerken en netwerkdiensten. De organisatorische en technische complexiteit brengt extra bedreigingen met zich mee. Het beleid moet aandacht schenken aan: - de netwerken en netwerkdiensten waartoe men toegang heeft; - de autorisatieprocedures om te bepalen wie toegang heeft tot welke netwerken en netwerkdiensten; - beheersmaatregelen en -procedures om de toegang tot netwerkverbindingen en netwerkdiensten te beveiligen. Dit beleid moet aansluiten bij het beleid voor toegangsbeveiliging (zie 11.1.1).

N.v.t


11.4.2 Voor gevoelige en kritische computersystemen is beveiliging tegen gebruik door andere netwerkgebruikers vereist. Een methode hiervoor is het splitsen van netwerken in afzonderlijke logische domeinen. In een extreem geval kan dit leiden tot volledige isolatie van een systeem.

N.v.t


11.4.3 Risico’s van ongeautoriseerd gebruik van kritische informatievoorzieningen moeten worden verminderd door het inbouwen van beveiligingsmaatregelen in de route tussen werkstation en netwerkdiensten. Het kan voorkomen dat toegangsbeveiligingseisen voor kritische toepassingen ook beperking van de verbindingsmogelijkheden tussen instellingen noodzakelijk maken.

Voldoet


11.4.4 Poorten die dienen voor systeemdiagnose ten behoeve van onderhoud op afstand moeten door een beveiligingsmechanisme en een beveiligingsprocedure worden beveiligd.

Voldoet

Mobiele computers en telewerken

11.5.1 Er moet voor het gebruik van mobiele computers een beleid worden vastgesteld, waarin rekening wordt gehouden met de risico's van het werken met mobiele voorzieningen, in het bijzonder in onbeveiligde omgevingen. Een dergelijk beleid moet onder meer eisen bevatten ten aanzien van fysieke bescherming, toegangsbeveiliging, versleuteling, reservekopieën en virusbeveiliging. Dit beleid moet verder regels bevatten voor het aansluiten van mobiele voorzieningen op netwerken en richtlijnen voor het gebruik van deze voorzieningen in openbare gelegenheden.

Voldoet

Mobiele computers en telewerken

11.5.2 De telewerklocatie moet zijn voorzien van adequate bescherming, zoals tegen diefstal van apparatuur en gegevens, ongeautoriseerde externe toegang tot de interne systemen van de zorginstelling of misbruik van voorzieningen. Het is belangrijk dat het telewerken zowel wordt geautoriseerd als gecontroleerd door de leiding en dat de benodigde maatregelen worden getroffen voor deze manier van werken.

Voldoet

12. Aanschaf, ontwikkeling en onderhoud van informatiesystemen


De ontwikkeling van de informatievoorziening brengt een combinatie met zich mee van aanschaf van producten, aanpassingen aan de specifieke situatie en invoeren van procedures. Bij de aanschaf, ontwikkeling en onderhoud van informatiesystemen, moet informatiebeveiliging in twee opzichten in acht worden genomen. functionele eisen die informatiebeveiliging stelt, moeten worden meegenomen in het ontwerp en de ontwikkeling van informatiesystemen. Daarnaast moeten voor een veilig informatiesysteem ook de processen van ontwikkeling en onderhoud zelf voldoende worden beveiligd. Risico analyse en risicobeheer worden geïntegreerd tijdens de ontwikkeling en het onderhoud van informatiesystemen om tijdig, regelmatig en adequaat de beveiligingsbehoefte te analyseren en de maatregelen te bepalen om hieraan te voldoen.


Beveiligingseisen voor systemen

12.1.1 Om te zorgen dat de beveiliging in nieuwe of aangepaste informatiesystemen wordt ingebouwd, moeten de beveiligingseisen die volgen uit het beveiligingsbeleid (zie hoofdstuk 5) aan de hand van een risicoanalyse voor het desbetreffende systeemterrein worden gespecificeerd. Deze beveiligingseisen moeten betrokken worden in het pakket van eisen voor een aanschaf of ontwerp voor een wijziging in de informatievoorziening. Maatregelen om aan deze eisen te voldoen moeten zoveel mogelijk in geautomatiseerde systemen worden ingebouwd. In aansluiting daarop moeten eisen voor aanvullende maatregelen, zoals handmatige procedures, worden gespecificeerd De beveiligingseisen en - maatregelen moeten tegemoetkomen aan de wettelijke eisen en bovendien een afspiegeling zijn van de waarde die een zorginstelling hecht aan de desbetreffende informatiesystemen en de mogelijke schade die de zorginstelling kan oplopen als gevolg van het falen of het ontbreken van beveiliging. Risicoanalyse en risicobeheer vormen het kader voor het analyseren van de beveiligingsbehoefte en het vaststellen van de maatregelen om hieraan te voldoen.

Voldoet

De beveiligingseisen voor informatiesystemen moeten voldoende beschikbaarheid, integriteit en vertrouwelijkheid van gegevens waarborgen. Voor gegevens die nodig zijn voor het zorgproces kan een risicoafweging leiden tot prioriteit voor beschikbaarheid en integriteit. De vertrouwelijkheid mag niet worden geschonden, maar de maatregelen die met het oog op het handhaven van de vertrouwelijkheid worden getroffen, moeten niet zo rigide zijn dat daardoor de beschikbaarheid in gevaar kan komen. De vertrouwelijkheidmaatregelen moeten voor zorgtoepassingen dan ook zodanig worden ontworpen en ingericht dat de afscherming gecontroleerd kan worden doorbroken. Daaruit volgen dan weer eisen voor bijbehorende controlemaatregelen.

Voldoet

Beveiliging in toepassingssystemen

12.2.1 Gegevens die worden ingevoerd in toepassingssystemen moeten worden gevalideerd op juistheid, volledigheid en mate van actualiteit. Voldoet


12.2.2 Gegevens die correct zijn ingevoerd in toepassingssystemen kunnen verminkt raken als gevolg van verwerkingsfouten of opzettelijke handelingen. In toepassingssystemen moeten controles zijn opgenomen om het risico van fouten, die ontstaan ten gevolge van gegevensverwerking en die tot verlies van integriteit leiden, te beperken.

Voldoet



12.2.3 Gegevensuitvoer vanuit een toepassingssysteem moet worden gevalideerd, om te waarborgen dat de verwerking van opgeslagen gegevens op de correcte manier plaatsvindt en passend is gezien de omstandigheden. Bij de bouw van de meeste systemen wordt ten onrechte uitgegaan van de aanname, dat wanneer de correcte validatie, verificatie en toetsen zijn uitgevoerd, de uitvoer altijd correct zal zijn.

Voldoet


12.2.4 Authenticatie van berichten moet worden overwogen voor toepassingen waarbij bescherming van de inhoud van berichten van essentieel belang is, zoals bij berichten die worden opgenomen in elektronische patiëntendossiers, administratieve patiëntensystemen en laboratoriumsystemen met gegevens over gezondheid van personen. Er moet een risicoanalyse worden uitgevoerd, om vast te stellen of authenticatie van berichten nodig is en om vast te stellen wat de meest geschikte implementatiemethode is. Authenticatie van berichten is niet bedoeld om de inhoud van een bericht te beveiligen tegen ongeautoriseerde openbaarmaking. Authenticatie van berichten kan goed worden geïmplementeerd cryptografische technieken (zie 12.3).

Voldoet


Cryptografische beveiliging 12.3.1 De beslissing of een cryptografische oplossing moet worden ingezet, moet worden gezien als een onderdeel van een breder proces van risicoanalyse en het kiezen van maatregelen. Om het beveiligingsniveau dat nodig is voor opslag, gebruik en transport van bepaalde gegevens te kunnen vaststellen, moet een risicoanalyse worden uitgevoerd. Deze risicoanalyse kan vervolgens worden gebruikt om te bepalen of cryptografische beveiliging geschikt is, welk type beheer moet worden toegepast, met welk doel en voor welke bedrijfsprocessen. Een zorginstelling moet beleid ontwikkelen inzake het gebruik van cryptografische beveiligingsmaatregelen ter bescherming van haar gegevens. Een dergelijk beleid is nodig om het gebruik ervan te optimaliseren en om misplaatst en/of onjuist gebruik ervan te voorkomen.In het beleid moet duidelijk worden gemaakt hoe met cryptografische sleutels moet worden omgegaan en hoe de verantwoordelijkheden voor de implementatie van het beleid en het sleutelbeheer zijn verdeeld. In dienstverleningsovereenkomsten of contracten met externe leveranciers van cryptografische diensten, bijvoorbeeld met een uitgever van digitale certificaten en “smartcards”, moeten thema's als aansprakelijkheid, betrouwbaarheid van diensten en responstijden voor het leveren van diensten worden geregeld. Met cryptografie kunnen verschillende beveiligingsdoelen worden gediend: - Authenticatie Sterke authenticatie met “smartcards” (zie 11.2.3) is gebaseerd op cryptografie. - Versleuteling (encryptie) Om de vertrouwelijkheid van gegevens te waarborgen moet versleuteling worden overwogen ter bescherming van gevoelige of kritische gegevens. - Elektronische handtekeningen Elektronische handtekeningen vormen een middel om de authenticiteit en integriteit van elektronische documenten te waarborgen. Ze kunnen worden gebruikt wanneer er een noodzaak bestaat om te verifiëren wie een elektronisch document heeft ondertekend en te controleren of de inhoud van het ondertekende document is gewijzigd, zoals bijvoorbeeld een elektronisch patiëntendossier. - Onweerlegbaarheid In situaties waar mogelijk geschillen over het al dan niet plaatsvinden van een gebeurtenis of handeling kunnen ontstaan, bijvoorbeeld een geschil over het gebruik van een elektronische handtekening in een medicatieopdracht, moet gebruik worden gemaakt van een dienst die de onweerlegbaarheid kan aantonen. Dit kan bewijsmateriaal opleveren ter onderbouwing van de vraag of en onder wiens verantwoordelijkheid een bepaalde gebeurtenis of handeling heeft plaatsgevonden.

Voldoet

Beveiliging van systeembestanden

12.4.1 De implementatie van programmatuur en aanpassingen daarop op operationele systemen moet worden beheerst. Bij de besluitvorming over verbeteren naar een nieuwe programmatuurversie moet rekening worden gehouden met de beveiliging. Leveranciers moeten alleen wanneer dit nodig is fysieke of logische toegang krijgen en dan alleen met toestemming van de leiding van de zorginstelling. De activiteiten van de leverancier moeten worden bewaakt, in het bijzonder bij onderhoud op afstand.

Voldoet


12.4.2 Toetsgegevens moeten worden beveiligd en beheerst. Het gebruik van originele persoonsgegevens moet worden vermeden. Indien dergelijke gegevens toch worden gebruikt, moeten deze eerst worden geanonimiseerd.

Voldoet


12.4.3 Om verminking van computerprogramma's tot een minimum te beperken, is strikt toezicht op de toegang tot bronbestanden vereist (zie ook 11.3). Voldoet


Beveiliging bij ontwikkel - en ondersteuningsprocessen

12.5.1 Om de kans op verminking van informatiesystemen te beperken, is beheersing vereist van de implementatie van wijzigingen. Er moeten procedures voor het wijzigingenbeheer worden opgesteld. Deze procedures moeten ervoor zorgen dat beveiligings - en beheerprocedures niet in gevaar worden gebracht, dat medewerkers uitsluitend toegang hebben tot voor hen nodige delen van het systeem en dat wijzigingen niet zonder autorisatie worden doorgevoerd. Wijzigingen in de toepassingsprogramma's kunnen invloed hebben op de operationele omgeving. Zo mogelijk moeten wijzigingsprocedures voor toepassingsprogrammatuur en voor systeemprogrammatuur worden geïntegreerd.

Voldoet


12.5.2 Het is onvermijdelijk dat er regelmatig wijzigingen worden aangebracht in het besturingssysteem. Wanneer wijzigingen plaatsvinden, moeten de toepassingssystemen opnieuw worden beoordeeld om te waarborgen dat er geen nadelige gevolgen zijn, onder andere voor de beveiliging.

Voldoet


12.5.3 Wijzigingen in programmatuurpakketten moeten worden vermeden. Voor zover mogelijk en uitvoerbaar moeten kant-en-klaar geleverde programmatuurpakketten ongewijzigd worden gebruikt. Indien wijzigingen absoluut noodzakelijk zijn, moet de oorspronkelijke programmatuur worden bewaard en moeten de wijzigingen worden aangebracht in een duidelijk gemarkeerde kopie van de programmatuur. Alle wijzigingen moeten volledig worden gedocumenteerd zodat zij eventueel opnieuw kunnen worden aangebracht in toekomstige verbeterde versies van programmatuur.

Voldoet


12.5.4 Er moeten maatregelen worden getroffen om te voorkomen dat gegevens kunnen worden bereikt via verborgen communicatiekanalen. Detectie van mogelijke verborgen kanalen (veroorzaakt door bijvoorbeeld zwakke plekken in de programmatuur) en actieve bestrijding ervan zijn nodig.

Voldoet


12.5.5 Indien de ontwikkeling van programmatuur wordt uitbesteed moeten afspraken worden gemaakt om de kwaliteit van de programmatuur te kunnen waarborgen. Ook moeten afspraken worden gemaakt over eigendomsrechten, toetsprocedures en voor het geval een externe partij in gebreke blijft.

Voldoet

13. Continuïteitsbeheer

Om de bedrijfscontinuïteit van een zorginstelling te kunne waarborgen moet met een risico analyse een continuiïteitsstrategie worden opgezet. Deze continuïteitsstrategie is gericht op het adequaat reageren op verstoringen van bedrijfsactiviteiten en op het beschermen van de kritieke bedrijfsprocessen tegen de effecten van grootschalige storingen of calamiteiten. Om zoveel mogelijk te waarborgen dat bedrijfsprocessen binnen de gewenste tijdslimiteten kunnen worden hersteld, zijn continuïteitsvoorzieningen en -plannen noodzakelijk.



Aspecten van continuïteitsbeheer

13.1.1 Er moet een proces van continuïteitsbeheer worden geïmplementeerd om de verstoring als gevolg van calamiteiten en beveiligingsincidenten tot een aanvaardbaar niveau te beperken, door een combinatie van preventieve en herstelmaatregelen. Het continuïteitsbeheer moet maatregelen bevatten voor het vaststellen en verminderen van risico's, het beperken van de gevolgen van incidenten die schade toebrengen en het tijdig hervatten van essentiële werkzaamheden.

Voldoet


13.1.2 De gevolgen van calamiteiten, beveiligingsincidenten en uitval van diensten moeten met een risicoanalyse worden bepaald. In een continuïteitsstrategie moet voor ieder bedrijfsproces een maximaal toegelaten uitvalduur (MUD) en een maximaal toelaatbaar verlies aan gegevens (MGV) worden vastgesteld. Mede op basis van de MUD, moet met inachtneming van organisatorische, (ICT-)technische, maatschappelijke en economische aspecten een keuze worden gemaakt voor herstelmaatregelen binnen of buiten het reguliere proces.

Voldoet


13.1.3 Er moeten plannen worden ontwikkeld om de bedrijfsactiviteiten na een onderbreking of verstoring van kritische bedrijfsprocessen in stand te houden of tijdig te herstellen. Het planningsproces moet zijn gericht op de bedrijfsdoelstellingen, zoals het herstel van bepaalde diensten binnen een aanvaardbare periode. Er moet rekening worden gehouden met de diensten en middelen die nodig zijn om de strategie te verwezenlijken, zoals uitwijkmogelijkheden voor ICT-voorzieningen, personele bezetting en afspraken met leveranciers voor snelle levering van goederen en diensten.

Voldoet


13.1.4 In elk continuïteitsplan moeten duidelijke voorwaarden voor het activeren van het plan worden gespecificeerd, evenals welke personen verantwoordelijk zijn voor het uitvoeren van elk onderdeel van het continuïteitsplan. Wanneer nieuwe behoeften worden vastgesteld, moeten de bestaande procedures voor noodsituaties, zoals evacuatieplannen of bestaande uitwijkvoorzieningen, dienovereenkomstig worden aangepast. Elk continuïteitsplan moet een specifieke "verantwoordelijke" hebben. De verantwoordelijke heeft tot taak de continuïteitsplannen regelmatig te beproeven en te onderhouden.

Voldoet


13.1.5 Continuïteitsplannen moeten regelmatig worden beproefd om zeker te stellen dat ze actueel en effectief zijn. Dergelijke beproevingen moeten tevens ervoor zorgen dat alle leden van het herstelteam en andere betrokken medewerkers op de hoogte zijn en blijven van de continuïteitsplannen. Continuïteitsplannen moeten regelmatig worden onderhouden, door evaluaties en actualisering, om te waarborgen dat ze doeltreffend blijven. De procedures moeten worden opgenomen in het wijzigingenbeheer van de zorginstelling, om ervoor te zorgen dat de voor de continuïteit van de bedrijfsvoering belangrijke zaken op de correcte manier worden aangepakt.

Voldoet

14. Naleving


Door de periodieke beoordeling van naleving wordt gewaarborgd dat de informatievoorziening die voor de zorgprocessen van belang is, (nog) voldoet aan het beveiligingsbeleid en de daaruit afgeleide maatregelen van de zorginstelling. Daardoor is een terugkoppeling mogelijk naar het informatiebeveiligingsbeleid en de daaruit afgeleide maatregelen van de zorginstelling. Daardoor is een terugkoppeling mogelijk naar het informatiebeveiligingsbeleid en wordt de beheercyclus gesloten. Onder de controle op de naleving valt ook de controle op de naleving van relevante wetgeving. Bij het uitvoeren van systeemaudits moet het risico van verstoringen van bedrijfsprocessen tot een minimum worden beperkt.


Naleving van de wettelijke voorschriften

14.1.1 Alle van toepassing zijnde wettelijke, reglementaire en contractuele eisen moeten expliciet worden gespecificeerd en gedocumenteerd. De specifieke maatregelen en individuele verantwoordelijkheden om aan deze verplichtingen te voldoen moeten eveneens worden gespecificeerd en gedocumenteerd. Deze moeten in protocollen voor werkprocessen zijn verwerkt.

Voldoet


14.1.2 Er moeten passende maatregelen worden getroffen om te waarborgen dat wordt voldaan aan de wettelijke beperkingen met betrekking tot het gebruik van materiaal waarop intellectuele eigendomsrechten rusten, zoals auteursrecht, octrooirechten of handelsmerken.

Voldoet


14.1.3 Belangrijke bedrijfsdocumenten moeten worden beveiligd tegen verlies, vernietiging en vervalsing. Deze bedrijfsdocumenten moeten worden gecategoriseerd naar documenttype. Bij elk documenttype moet de bewaartermijn en het type opslagmedium, zoals papier, microfiche, magnetische of optische opslag, worden vermeld. Er moet rekening mee worden gehouden dat de media die voor opslag van gegevens worden gebruikt mogelijk kwalitatief achteruitgaan. Waar elektronische opslagmedia worden gebruikt moeten de procedures maatregelen bevatten die ervoor zorgen dat de gegevens leesbaar blijven (zowel de media zelf, als het gegevensformaat) gedurende de gehele bewaarperiode. Systemen voor gegevensopslag moeten zo worden gekozen dat vereiste gegevens kunnen worden opgevraagd op een wijze die geschikt is voor juridische procedures.

Voldoet


14.1.4 Naleving van de privacywetgeving verlangt een sluitend overzicht van verwerkingen van persoonsgegevens. Dit is een verbijzondering van hetgeen in hoofdstuk 7 aangaande het beheer van gegevens en overige middelen is gesteld. De verantwoordelijke voor de gegevens moet zorgen voor implementatie van de wettelijke voorschriften in maatregelen en procedures en voor stelselmatige controle op de naleving daarvan.

Voldoet


14.1.5 Voor het gebruik van middelen voor de informatievoorziening van een zorginstelling voor andere dan de beoogde doeleinden moet toestemming worden verkregen van de leiding. De rechtmatigheid van het bewaken van het gebruik van voorzieningen moet op basis van juridisch advies worden bepaald. Het gebruik van een computer voor ongeautoriseerde doeleinden kan strafbaar zijn volgens de wet op de computercriminaliteit. Alle gebruikers moeten daarom op de hoogte zijn van de exacte reikwijdte van hun geautoriseerde toegang.

Voldoet



14.1.6 Aan het toepassen van cryptografie zijn in bepaalde gebieden wettelijke beperkingen opgelegd. Voor gegevensverkeer moet worden vastgesteld welke beperkingen van toepassing zijn. Indien het hanteren van die beperkingen in strijd blijkt met de eigen beveiligingseisen moet het gegevensverkeer worden geblokkeerd.

Voldoet

Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten

14.2.1 Procesverantwoordelijken moeten ervoor zorgen dat alle beveiligingsprocedures binnen hun verantwoordelijkheidsgebied op de correcte manier worden ingevoerd, geactualiseerd en nageleefd. Alle verantwoordelijkheidsgebieden binnen de zorginstelling moeten regelmatig worden onderworpen aan een beoordeling, om na te gaan of wordt voldaan aan het beveiligingsbeleid en de beveiligingsnormen. De naleving moet met controles worden geborgd.

Voldoet

Beoordeling van de naleving van het beveiligingsbeleid en de technische vereisten

14.2.2 Informatiesystemen moeten regelmatig worden geaudit, waarbij wordt nagegaan of wordt voldaan aan de beveiligingsnormen. Controles op naleving van de technische normen moeten uitsluitend worden uitgevoerd door, of onder toezicht van, gekwalificeerde en geautoriseerde personen.

Voldoet

Systeemaudits 14.3.1 Systeemaudits en andere activiteiten waarbij controles moeten worden uitgevoerd op operationele systemen, moeten zorgvuldig worden gepland en goedgekeurd om het risico van verstoringen van bedrijfsprocessen tot een minimum te beperken. Zowel interne als externe systeemaudits zijn mogelijk. Daarbij moet rekening worden gehouden met het feit dat de betrokkenen bij de externe systeemaudit “externe partijen” zijn.

Voldoet

Systeemaudits 14.3.2 De toegang tot hulpmiddelen voor systeemaudits, dat wil zeggen programmatuur of gegevensbestanden, moet worden beveiligd. Voldoet

15. Beveiligingsincidenten

Alle eigen en externe medewerkers moeten bekend worden gemaakt met de procedures voor het rapporteren van beveiligingsincidenten. Zij moeten ook worden verplicht alle incidenten die zij ontdekken of vermoeden, zo snel mogelijk te rapporteren bij de verantwoordelijke contactpersoon.


Bewaking 15.1.1 Uitzonderingen en andere gebeurtenissen die van belang zijn voor de beveiliging moeten worden vastgelegd in zogenaamde audit-logboeken. Deze audit-logboeken moeten worden bijgehouden en gedurende een overeengekomen periode worden bewaard, ter ondersteuning van toekomstige onderzoeken en toegangsbewaking.

Voldoet

Bewaking 15.1.2 Er moeten procedures worden vastgesteld om het systeemgebruik te bewaken en vast te leggen. Dergelijke procedures zijn nodig om te waarborgen dat gebruikers uitsluitend activiteiten uitvoeren waarvoor zij expliciet zijn geautoriseerd.

Voldoet


Bewaking 15.1.3 Systeembeheerders moeten een logboek bijhouden van de werkzaamheden die zij verrichten. Het logboek moet een bevestiging bevatten dat gegevensbestanden en computeruitvoer op correcte wijze zijn verwerkt. Regelmatig moet door een onafhankelijke persoon worden gecontroleerd of het logboek van een systeembeheerder wordt bijgehouden volgens de geldende procedures.

Voldoet

Bewaking 15.1.4 Storingen moeten worden gerapporteerd en gecorrigeerd. Storingen die door gebruikers worden gerapporteerd en die betrekking hebben op problemen met een computer of een communicatiesysteem, moeten in een logboek worden bijgehouden. Er moeten duidelijke regels bestaan voor de behandeling van gerapporteerde storingen.

Voldoet

Bewaking 15.1.5 Een juiste instelling van de systeemklokken is van wezenlijk belang om de nauwkeurigheid van audit-logboeken te waarborgen. Voldoet

Bewaking 15.1.6 Om maatregelen te kunnen nemen tegen personen of organisaties is het nodig over afdoende bewijsmateriaal te beschikken. De zorginstelling moet zodanige regels hebben opgesteld dat het verzamelen van bewijs in voorkomende gevallen wordt vereenvoudigd en bespoedigd. Voor het verzamelen van bewijsmateriaal voor interne disciplinaire maatregelen moet het benodigde bewijs in interne procedures worden beschreven. Om te bereiken dat bewijsmateriaal wordt toegelaten, moeten zorginstellingen ervoor zorgen dat hun informatiesystemen in overeenstemming zijn met gepubliceerde normen of praktijkcodes voor het genereren van toelaatbaar bewijsmateriaal. Om te bereiken dat het bewijsmateriaal voldoet aan de eisen ten aanzien van kwaliteit en volledigheid, is een krachtige bewijsvorming vereist. De zorginstelling moet zodanige regels hebben opgesteld dat de kwaliteit en volledigheid van bewijs in voorkomende gevallen wordt gewaarborgd.

Voldoet

Melden van incidenten en zwakke plekken

15.2.1 Er moet een procedure worden vastgesteld voor melding van incidenten. Onvolkomenheden in de programmatuur moeten eveneens worden gerapporteerd. Het gebruik van een stil alarm om onder dwang verkregen toegang te signaleren moet worden overwogen voor gebruikers die de kans lopen het doelwit te worden van dwang of bedreiging.

Voldoet

Melden van incidenten en zwakke plekken

15.2.2 Gebruikers moeten ervan op de hoogte worden gesteld dat zij zwakke plekken in de beveiliging moeten rapporteren, maar onder geen enkele voorwaarde de mogelijke aanwezigheid van een zwakke plek mogen proberen te bewijzen. Dit is voor hun eigen bescherming, omdat pogingen om een zwakke plek te toetsen, kunnen worden gezien als mogelijk misbruik van het systeem.

Voldoet

Afhandeling en verbeteringen na incidenten

15.3.1 Er moet een procedure worden vastgesteld voor afhandeling van incidenten. Daarin zijn de acties en verantwoordelijkheden beschreven die moeten worden ondernomen naar aanleiding van de melding van een incident. Passende terugkoppelingsprocessen moeten worden geïmplementeerd, die ervoor zorgen dat degenen die een incident rapporteren ook worden geïnformeerd over de resultaten na behandeling en afronding van het incident.

Voldoet


Afhandeling en verbeteringen na incidenten

15.3.2 Er moeten binnen de zorginstelling mechanismen beschikbaar zijn, waarmee de aard, de omvang en de kosten van incidenten en storingen kunnen worden gekwantificeerd en bewaakt. Deze informatie moet worden gebruikt om terugkerende of zeer ingrijpende incidenten of storingen vast te stellen. Hieruit kan blijken dat uitgebreidere of aanvullende maatregelen noodzakelijk zijn om de frequentie, schade en kosten van toekomstige incidenten te beperken.

Voldoet

EINDE DOCUMENT

AuditConnect b.v.

Postbus 43557320 AJ Apeldoorn

t. 055 - 30 10 100f. 055 - 30 10 011

[email protected]

AuditConn_Rapportomslag.indd 2AuditConn_Rapportomslag.indd 2 01-10-2007 16:42:3501-10-2007 16:42:35

Date post:	21-Aug-2020
Category:	Documents
Upload:	others
View:	4 times
Download:	0 times

James Software B.V. · James Software zal dit dossier, conform NOREA richtlijnen, 7 jaar lang in...

Documents