NEN 7513 Eisen aan instellingen die audits ten behoeve van certificate van informatiebeveiligingsmanagementsystemen in de zorg uitvoeren 2018

Verberg alle toelichting Toon alle toelichting
Voor de toepassing van deze norm gelden de volgende termen en definities.

verwerking in een informatiesysteem, in het kader van een gebeurtenis
OPMERKING 1 bij deze definitie: In het kader van deze norm behoort van een gebeurtenis altijd een van de volgende acties te worden vastgelegd (zie 7.2.2):
CCreate: het creëren van nieuwe gegevens
RRead: het lezen van gegevens door een gebruiker of proces
UUpdate: het aanpassen van bestaande gegevens
DDelete: het verwijderen of als verwijderd markeren van gegevens
EExecute: het starten of stoppen van een proces. Bijvoorbeeld het starten van een proces of het beginnen van een data transfer.

het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek, zoals identiteit
[NEN 7510-1:2017]

het toekennen van bevoegdheden
[NEN 7510-1:2017]

autorisatietabel, die bepaalt welke categorieën cliëntgegevens voor welke categorieën zorginstellingen toegankelijk zijn onder welke voorwaarden.
OPMERKING 1 bij deze definitie: De tabel wordt veelal landelijk, regionaal of lokaal gedefinieerd.

register van beroepsbeoefenaren in de individuele gezondheidszorg, zoals bedoeld in artikel 3, 34 en 36a van de Wet op de Beroepen in de Individuele Gezondheidszorg (wet BIG)
[UZI-register, CIBG [4]]

persoon die zorg vraagt of aan wie zorg wordt verleend of de identificeerbare persoon van wie persoonlijke gezondheidsinformatie wordt verwerkt
OPMERKING 1 bij deze definitie: Voor ‘cliënt’ kan ook ‘patiënt’ worden gelezen.
[NEN 7510-1:2017]

persoon of groep van personen die een organisatie op het hoogste niveau bestuurt en beheert
OPMERKING 1 bij deze definitie: De directie heeft de macht om bevoegdheid te delegeren en de organisatie van middelen te voorzien.
[NEN 7510-1:2017, licht gewijzigd - definitie]

actie op (een deel van) een elektronisch patiëntdossier

verzameling van alle elektronisch vastgelegde persoonlijke gezondheidsinformatie van een cliënt bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt
OPMERKING 1 bij deze definitie: Binnen deze norm wordt consequent de term ‘patiëntdossier’ gehanteerd, geen ‘patiëntendossier’, o.a. om te benadrukken dat het meestal gaat om het dossier van één cliënt.
[NEN 7510-1:2017]

voorval, activiteit of optreden van een wijziging in een informatiesysteem

natuurlijke persoon, organisatie of proces in een informatiesysteem, betrokken bij een actie

verzameling gegevens die eenzelfde eigenschap bezitten

bepalen van de identiteit van een persoon of andere entiteit
[NEN 7510-1:2017]

kenmerk dat een persoon of andere entiteit identificeert

gespecificeerd gebied waarbinnen de verantwoordelijkheden voor de informatievoorziening zijn bepaald, dezelfde regels gelden voor informatiebeveiliging en dezelfde systematiek wordt gevolgd voor identificatie van personen, systemen en andere objecten

toepassingen, diensten, informatietechnologische bedrijfsmiddelen of andere gegevensverwerkende componenten
[NEN-ISO/IEC 27000:2014]

functionaris die binnen een zorginstelling of andere organisatie die persoonlijke gezondheidsinformatie verwerkt, verantwoordelijk is voor het beheren van de logging en het uitvoeren van het door de logverantwoordelijke vastgestelde beleid

elektronisch vastgelegde gegevens die bij een bepaalde gebeurtenis worden gelogd

gebeurtenissen chronologisch vastleggen

resultaat van het loggen
OPMERKING 1 bij deze definitie: Zowel de gegevens die bij een bepaalde gebeurtenis worden gelogd, de ‘loggegevens’, als de ‘logbestanden’ waarin deze worden bewaard kunnen zijn bedoeld.
[NEN 7510-1:2017]

resultaat van een enkele gebeurtenis in de logging

directie van zorginstelling of andere organisatie die persoonlijke gezondheidsinformatie verwerkt

zaak of persoon waarop een actie betrekking heeft

verzameling objecten die eenzelfde eigenschap bezitten

zie cliënt
OPMERKING 1 bij deze definitie: De term ‘patiënt’ wordt in deze norm vermeden. Alleen in enkele samengestelde woorden als patiëntveiligheid, patiëntgegevens en patiëntdossier wordt deze term gebruikt. Waar in deze norm wordt gesproken van ‘cliënt’, kan ook ‘patiënt’ worden gelezen.

verzameling van alle vastgelegde persoonlijke gezondheidsinformatie van een cliënt bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt
OPMERKING 1 bij deze definitie: Binnen deze norm wordt consequent de term ‘patiëntdossier’ gehanteerd, niet ‘patiëntendossier’, o.a. om te benadrukken dat het meestal gaat om het dossier van één cliënt.
[NEN 7510-1:2017]

informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
  • a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
  • b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
  • c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
  • d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
  • e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
  • f)identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
OPMERKING 1 bij deze definitie: Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
[ISO 27799:2016]
[NEN-EN 15224:2017]

universeel toegankelijk, voor leken begrijpelijk, gebruikersvriendelijk en levenslang digitaal hulpmiddel om relevante gezondheidsinformatie te verzamelen, te beheren en te delen; om de regie te kunnen nemen over gezondheid en zorg en om zelfmanagement te ondersteunen

aansluiting van waaruit de gebruiker de gebeurtenis in het informatiesysteem heeft doen plaatsvinden

regeling van de toegang tot het gebruik van applicatiefuncties en gegevens in een informatiesysteem

vastlegging, landelijk, regionaal of lokaal, door de cliënt zelf bepaald, van wie in welke omstandigheden al of niet toegang mag krijgen tot bepaalde gegevens van de desbetreffende cliënt
OPMERKING 1 bij deze definitie: Een toestemmingsprofiel biedt een cliënt de mogelijkheid afwijkingen te kiezen van een algemeen geldend autorisatieprotocol.

functie van een persoon die binnen een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt, dan wel landelijk of regionaal toezicht houdt op de naleving van weten regelgeving rond de toegang tot elektronische patiëntdossiers
OPMERKING 1 bij deze definitie: De toezichthouder kan ook aanspreekpunt zijn voor een cliënt of zorgverlener met vragen of klachten over vermeend misbruik van toegang.

systeem dat uitwisseling van cliëntgegevens faciliteert tussen agerende en reagerende zorgsystemen, zonder zelf informatie toe te voegen of te onttrekken aan de uitwisseling anders dan het toepassen van een autorisatieprotocol of toestemmingsprofiel
OPMERKING 1 bij deze definitie: Het landelijk schakelpunt (LSP) is een voorbeeld van zo’n uitwisselingsbemiddelaar.

natuurlijke persoon die verantwoordelijk is voor een actie
OPMERKING 1 bij deze definitie: Een actie kan behalve door de verantwoordelijke gebruiker, ook namens deze worden geïnitieerd door een andere gebruiker of door een geautomatiseerd proces.
OPMERKING 2 bij deze definitie: De verantwoordelijke gebruiker is meestal degene die de uitvoerende medewerker opdracht heeft gegeven of heeft gemandateerd tot het uitvoeren van de actie.

een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
[Algemene Verordening Gegevensbescherming (AVG) Verordening (EU) 2016/679 van het Europese Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming)]

dienst die de complete logging volgens een gevraagde selectie oplevert in de vorm van een XML-bestand waarbij alle velden herleidbaar zijn naar de in hoofdstuk 7 van deze norm benoemde gegevensvelden

zorgverlener of zorginstelling

rechtspersoon die bedrijfsmatig zorg verleent, alsmede een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen, alsmede een solistisch werkende zorgverlener

een natuurlijke persoon die beroepsmatig zorg verleent
[NEN 7510-1:2017]