Voor de toepassing van deze norm gelden de volgende termen en definities.
OPMERKING De termen en definities zijn zo veel mogelijk van een bronvermelding voorzien. Geel gemarkeerde tekst komt uit (de vertaalde) appendix 2 van bijlage SL van ISO/IEC Directives, deel 1, geconsolideerd ISO-supplement.
proces waarbij persoonsgegevens onomkeerbaar worden veranderd, zodanig dat de betreffende persoon niet langer kan worden geïdentificeerd, direct of indirect, hetzij door de beheerder van de persoonsgegevens alleen, hetzij in samenwerking met een andere partij
Opmerking 1 bij de term: Het concept is absoluut, en in de praktijk kan het moeilijk te bereiken zijn.
[BRON: NEN-EN-ISO 25237:2017 (E), vertaald – 3.2 anonymization]
systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal, en het objectief beoordelen daarvan om vast te stellen in welke mate aan de auditcriteria is voldaan
Opmerking 1 bij de term: Een audit kan een interne audit (eerste partij) of een externe audit (tweede of derde partij) zijn, en het kan een gecombineerde audit zijn (waarbij twee of meer disciplines worden gecombineerd).
Opmerking 2 bij de term: Een interne audit wordt door de organisatie zelf uitgevoerd, of namens haar door een externe partij.
Opmerking 3 bij de term: ‘Auditbewijsmateriaal’ en ‘auditcriteria’ zijn gedefinieerd in NEN-EN-ISO 19011.
[BRON: NEN-ISO/IEC 27000:2014, gewijzigd – Opmerking 2 bij de term is toegevoegd]
het verschaffen van zekerheid met betrekking tot de juistheid van een geclaimde karakteristiek
[BRON: NEN-ISO/IEC 27000:2014]
eigenschap dat een entiteit is wat zij claimt te zijn
[BRON: NEN-ISO/IEC 27000:2014]
potentiële oorzaak van een ongewenst incident dat kan resulteren in schade aan een systeem of een organisatie
[BRON: NEN-ISO/IEC 27000:2014]
alles wat waarde heeft voor de organisatie
[BRON: NEN-ISO/IEC 27000:2009 (E), vertaald en gewijzigd – 2.3 asset; NOTE is niet overgenomen]
maatregel waarmee een risico wordt gewijzigd
Opmerking 1 bij de term: Een beheersmaatregel kan elke vorm van proces, beleid, voorziening, werkwijze of andere maatregel zijn waarmee het risico wordt gewijzigd.
Opmerking 2 bij de term: Beheersmaatregelen hebben mogelijk niet altijd het beoogde of veronderstelde effect.
[BRON: NPR-ISO Guide 73:2009, 3.8.1.1]
intenties en richting van een organisatie zoals formeel door haar directie kenbaar gemaakt
activiteit die wordt ondernomen om de geschiktheid, toereikendheid en doeltreffendheid van het desbetreffende onderwerp voor het behalen van vastgestelde doelstellingen te bepalen
[BRON: NPR-ISO Guide 73:2009, 3.8.2.2, gewijzigd – OPMERKING is niet overgenomen]
eigenschap van het toegankelijk en bruikbaar zijn op verzoek van een bevoegde entiteit
[BRON: NEN-ISO/IEC 27000:2014]
programma dat na het opstarten van een computer in het geheugen actief wordt en dat de functionaliteiten aanbiedt om andere programma's uit te voeren
Opmerking 1 bij de term: Het besturingssysteem zorgt onder meer voor het starten en beëindigen van andere programma's en het regelt de toegang tot de hardware. Andere programma’s maken gebruik van de ondersteuning van het besturingssysteem. Zo kan een besturingssysteem de toegang en de autorisatie van software en gebruikers faciliteren. Het besturingssysteem vormt zo een laag tussen de hardware van een computer en de toepassingssoftware en gebruikers.
[BRON: NEN 7510:2011, licht gewijzigd – Opmerking 1 bij de term]
eigenschap van consistent beoogd gedrag en consistente resultaten
[BRON: NEN-ISO/IEC 27000:2014]
persoon die zorg vraagt of aan wie zorg wordt verleend of de identificeerbare persoon van wie persoonlijke gezondheidsinformatie wordt verwerkt
Opmerking 1 bij de term: Voor ‘cliënt’ kan in de meeste gevallen ook ‘patiënt’ worden gelezen.
medische, verpleegkundige, sociale en administratieve gegevens betreffende individuele cliënten
persoon of entiteit die wat betreft de zaak in kwestie, als onafhankelijk van de betrokken partijen wordt gezien
[BRON: NEN 7510:2011]
relatie van een persoon met een organisatie voor het uitvoeren van bepaalde taken door die persoon
Opmerking 1 bij de term: Het begrip ‘dienstverband’ is hier gebruikt als aanduiding voor de tewerkstelling in een bepaalde functie of rol en omvat behalve werknemers van de organisatie ook anderen, zoals vrijwilligers of studenten.
Opmerking 2 bij de term: Het begrip ‘dienstverband’ is bedoeld als containerbegrip voor de volgende situaties: tewerkstelling van personen (tijdelijk of langer verband), benoeming in functies, wisseling van functies, toewijzing van contracten, en de beëindiging van enige van deze overeenkomsten.
persoon of groep van personen die een organisatie op het hoogste niveau bestuurt en beheert
Opmerking 1 bij de term: De directie heeft de macht om bevoegdheid te delegeren en de organisatie van middelen te voorzien.
Opmerking 2 bij de term: Indien het toepassingsgebied van het managementsysteem slechts een deel van een organisatie omvat, dan verwijst de directie naar degenen die dat gedeelte van de organisatie besturen en beheren.
optreden van of wijziging in een bepaalde combinatie van omstandigheden
Opmerking 1 bij de term: Een gebeurtenis kan een- of meerledig zijn en kan diverse oorzaken hebben.
Opmerking 2 bij de term: Een gebeurtenis kan er ook in bestaan dat iets niet gebeurt.
Opmerking 3 bij de term: Een gebeurtenis kan soms ook worden aangeduid als ‘incident’ of ‘ongeval’.
[BRON: NPR-ISO Guide 73:2009, 3.5.1.3, gewijzigd – OPMERKING 4 is niet overgenomen]
systeem van geleiding en beheersing
[BRON: NEN-ISO/IEC 38500:2015 (E), vertaald – 2.8 governance]
systeem waarmee het huidige en toekomstige gebruik van IT wordt geleid en beheerst
Opmerking 1 bij de term: Governance van IT is een onderdeel of een subset van organisatorische governance.
Opmerking 2 bij de term: De term 'governance van IT' is equivalent aan de term 'organisatorische governance van IT'.
[BRON: NEN-ISO/IEC 38500:2015, vertaald en gewijzigd – 2.10 governance of IT; in Note 2 to entry worden meer (Engelse) synoniemen genoemd. Zie ook 3.41 ‘organisatorische governance’.]
bepalen van de identiteit van een persoon of andere entiteit
[BRON: NEN 7510:2011]
degene die kan worden geïdentificeerd, direct of indirect, in het bijzonder via een verwijzing naar een identificatienummer of naar een of meer kenmerken gerelateerd aan zijn fysieke, psychologische, geestelijke, economische, culturele of sociale identiteit
[BRON: NEN-ISO 22857:2014]
behoud van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie
Opmerking 1 bij de term: Dit kan ook andere eigenschappen betreffen, zoals authenticiteit, verantwoordelijkheid, onweerlegbaarheid en betrouwbaarheid.
[BRON: NEN-ISO/IEC 27000:2014, licht gewijzigd – definitie]
het zich voordoen en waargenomen worden van een systeem-, dienst- of netwerksituatie die op een mogelijke schending van het informatiebeveiligingsbeleid of falen van beheersmaatregelen wijst, of van een voorheen onbekende situatie die mogelijk relevant is voor de beveiliging
[BRON: NEN-ISO/IEC 27000:2014]
afzonderlijke gebeurtenis of een reeks informatiebeveiligingsgebeurtenissen waarvan het zeer waarschijnlijk is dat deze de bedrijfsactiviteiten compromitteren en de informatiebeveiliging in gevaar brengen
[BRON: NEN-ISO/IEC 27000:2014, gewijzigd]
orgaan waarin overleg en afstemming over informatiebeveiliging plaatsvindt en dat namens (enerzijds) de directie (en anderzijds de organisatie), beslissingen neemt over de inrichting van de informatiebeveiliging
Opmerking 1 bij de term: Het informatiebeveiligingsmanagementforum doet in veel gevallen bindende voordrachten aan de directie m.b.t. het inrichten van de informatiebeveiliging.
toepassingen, diensten, informatietechnologische bedrijfsmiddelen of andere gegevensverwerkende componenten
[BRON: NEN-ISO/IEC 27000:2014]
elk(e) systeem, dienst of infrastructuur voor informatieverwerking, of de fysieke locaties waarin ze zijn ondergebracht
[BRON: NEN 7510:2011]
persoon die gebruikmaakt van diensten of faciliteiten van de organisatie
[BRON: NEN 7510:2011]
zwak punt
zwakheid van een bedrijfsmiddel of van een beheersmaatregel waar een of meer bedreigingen gebruik van kunnen maken
[BRON: NEN-ISO/IEC 27000:2014]
voorvallen, activiteiten of het optreden van wijzigingen in een informatiesysteem chronologisch vastleggen
[BRON: Ontw. NEN 7513:2017]
resultaat van het loggen
Opmerking 1 bij de term: Zowel de gegevens die bij een bepaalde gebeurtenis worden gelogd, de 'loggegevens', als de 'logbestanden' waarin deze worden bewaard, kunnen zijn bedoeld.
[BRON: Ontw. NEN 7513:2017]
geheel van samenhangende of elkaar beïnvloedende elementen van een organisatie om een beleid en doelstellingen vast te stellen, alsmede de processen om die doelstellingen te bereiken
Opmerking 1 bij de term: Een managementsysteem kan betrekking hebben op een of meer disciplines.
Opmerking 2 bij de term: Tot de elementen van het systeem behoren de organisatiestructuur, rollen en verantwoordelijkheden, planning en uitvoering.
Opmerking 3 bij de term: Het toepassingsgebied van een managementsysteem kan de gehele organisatie omvatten, specifieke en geïdentificeerde functies van de organisatie, specifieke en geïdentificeerde onderdelen van de organisatie, of een of meer functies in een groep van organisaties.
ISMS
dat deel van een managementsysteem dat op basis van een beoordeling van bedrijfsrisico’s tot doel heeft het vaststellen, implementeren, uitvoeren, controleren, beoordelen, onderhouden en verbeteren van informatiebeveiliging
Opmerking 1 bij de term: Het managementsysteem omvat structuur, beleid, planningsactiviteiten, verantwoordelijkheden, werkwijzen, procedures, processen en middelen van de organisatie.
[NEN-ISO/IEC 27001:2005]
apparatuur die wordt gebruikt als hulpmiddel voor een zorgproces
Opmerking 1 bij de term: Dit omvat apparatuur voor diagnostiek, monitoring, behandeling en verzorging. Het gebruik kan binnen of buiten een zorginstelling plaatsvinden door zorgverleners of anderen.
Opmerking 2 bij de term: Apparatuur die bedoeld is voor het zorgproces, valt onder de Europese richtlijn Medische hulpmiddelen. Deze definitie omvat ook apparatuur die niet bedoeld is voor het zorgproces, maar er wel voor wordt gebruikt.
[BRON: NEN 7510:2011]
interpreteerbare of uitvoerbare software die (door serversystemen) via een netwerk aan desktopcomputer of computerterminal wordt overgedragen
Opmerking 1 bij de term: Meestal is dit onderdeel van overgedragen informatie zonder dat de gebruiker bewust of expliciet deze software installeert of activeert.
Opmerking 2 bij de term: Gewoonlijk is deze mobile code platformonafhankelijk en kan deze onderdeel zijn van o.a. e‑mail, webpagina’s of documenten. Voorbeelden zijn JavaScript, VBScript, Java applets, ActiveX, Flash, Shockwave en macro’s binnen documenten.
[BRON: NEN 7510:2011, licht gewijzigd – definitie en Opmerking 2 bij de term]
het vermogen om te bewijzen dat een geclaimde gebeurtenis of actie en de entiteiten die ze veroorzaken, zich daadwerkelijk hebben voorgedaan
[BRON: NEN-ISO/IEC 27000:2014]
persoon of groep van personen die zijn eigen functies heeft met verantwoordelijkheden, bevoegdheden en relaties om zijn doelstellingen te bereiken
Opmerking 1 bij de term: Het begrip organisatie omvat maar is niet beperkt tot eenmanszaak, bedrijf, vennootschap, firma, onderneming, autoriteit, partnerschap, liefdadigheidsinstelling of genootschap, of een deel of combinatie daarvan, hetzij als rechtspersoon erkend of niet, publiek of privaat.
[BRON: NEN-ISO/IEC 27000:2014]
systeem waarmee organisaties worden geleid en beheerst
[BRON: NEN-ISO/IEC 38500:2015 (E), vertaald en gewijzigd – 2.4 corporate governance; de Notes to entry zijn niet overgenomen]
zie cliënt
Opmerking 1 bij de term: De term ‘patiënt’ wordt in deze norm vermeden. Alleen in enkele samengestelde woorden als patiëntveiligheid, patiëntgegevens en patiëntdossier wordt deze term gebruikt. Waar in deze norm gesproken wordt van ‘cliënt’, kan vaak ook ‘patiënt’ worden gelezen.
verzameling van alle vastgelegde persoonlijke gezondheidsinformatie bij een zorginstelling of een andere organisatie die persoonlijke gezondheidsinformatie verwerkt
Opmerking 1 bij de term: Binnen deze norm wordt consequent de term 'patiëntdossier' gehanteerd, niet ‘patiëntendossier’, o.a. om te benadrukken dat het meestal gaat om het dossier van één cliënt.
informatie over een identificeerbare persoon die verband houdt met de lichamelijke of geestelijke gesteldheid van, of de verlening van zorgdiensten aan, de persoon in kwestie, waaronder ook begrepen kan worden:
a) informatie over de registratie van de persoon voor de verlening van zorgdiensten;
b) informatie over betalingen of het in aanmerking komen voor zorg met betrekking tot de persoon;
c) een aan een persoon toegewezen nummer, symbool of bijzonderheid als unieke identificatie van die persoon voor medische doeleinden;
d) alle informatie over de persoon die wordt vergaard tijdens het verlenen van zorgdiensten aan de persoon;
e) informatie die is ontleend aan een beproeving of onderzoek van een lichaamsdeel of lichaamseigen stof, en
f) identificatie van een persoon (bijvoorbeeld een zorgprofessional) als verlener van zorg aan de persoon.
Opmerking 1 bij de term: Persoonlijke gezondheidsinformatie omvat niet informatie die, op zichzelf of in combinatie met andere informatie die beschikbaar is voor de houder, geanonimiseerd is. Geanonimiseerd wil zeggen dat de identiteit van de persoon die de informatie betreft, niet aan de hand van de informatie kan worden vastgesteld.
[BRON: NEN-EN 15224:2017, gewijzigd – Opmerking 1 bij de term]
het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld
[BRON: AVG, art. 4]
risico dat overblijft na risicobehandeling
Opmerking 1 bij de term: Een restrisico kan niet-geïdentificeerde risico’s omvatten.
Opmerking 2 bij de term: Een restrisico kan ook worden aangeduid als een risico dat wordt behouden.
[BRON: NEN-ISO/IEC 27000:2014]
beschrijving die verduidelijkt wat behoort te worden gedaan en hoe, om de doelstellingen te bereiken die in het beleid zijn vastgelegd
[BRON: NEN-ISO/IEC 27000:2009 (E), vertaald en gewijzigd – 2.16 guideline]
effect van onzekerheid op het behalen van doelstellingen
Opmerking 1 bij de term: Een effect is een afwijking ten opzichte van de verwachting – positief of negatief.
Opmerking 2 bij de term: Onzekerheid is het geheel of gedeeltelijk ontbreken van informatie over, inzicht in of kennis van een gebeurtenis, de gevolgen daarvan of de waarschijnlijkheid dat deze zich voordoet.
Opmerking 3 bij de term: Een risico wordt vaak gekarakteriseerd door verwijzingen naar potentiële gebeurtenissen (zoals gedefinieerd in NPR-ISO Guide 73:2009, 3.5.1.3) en gevolgen (zoals gedefinieerd in NPR‑ISO Guide 73:2009, 3.6.1.3), of een combinatie daarvan.
Opmerking 4 bij de term: Een risico wordt vaak uitgedrukt als een combinatie van de gevolgen van een gebeurtenis (met inbegrip van wijzigingen in omstandigheden) en de bijbehorende waarschijnlijkheid dat de gebeurtenis zich voordoet.
Opmerking 5 bij de term: In de context van managementsystemen voor informatiebeveiliging kunnen informatiebeveiligingsrisico’s worden uitgedrukt als een effect van onzekerheid over de informatiebeveiligingsdoelstellingen.
Opmerking 6 bij de term: Informatiebeveiligingsrisico wordt geassocieerd met de mogelijkheid dat bedreigingen gebruik zullen maken van zwakke punten van een informatiebedrijfsmiddel of een groep informatiebedrijfsmiddelen, en de organisatie daarbij schade toebrengen.
[BRON: NPR-ISO Guide 73:2009, 1.1, gewijzigd – OPMERKING 1 en 3 zijn licht gewijzigd, OPMERKING 2 is niet overgenomen en opmerkingen 5 en 6 bij de term zijn toegevoegd]
onderbouwd besluit tot het nemen van een bepaald risico
Opmerking 1 bij de term: Risicoaanvaarding kan plaatsvinden zonder risicobehandeling of tijdens het proces van risicobehandeling.
Opmerking 2 bij de term: Aanvaarde risico’s zijn onderhevig aan monitoring en beoordeling.
[BRON: NPR-ISO Guide 73:2009, 3.7.1.6]
proces dat tot doel heeft de aard van het risico te begrijpen en het risiconiveau vast te stellen
Opmerking 1 bij de term: Risicoanalyse vormt de basis voor risico-evaluatie en voor besluiten omtrent risicobehandeling.
Opmerking 2 bij de term: Risicoanalyse omvat risico-inschatting.
[BRON: NPR-ISO Guide 73:2009, 3.6.1]
proces waarmee een risico wordt aangepast
Opmerking 1 bij de term: Risicobehandeling kan het volgende omvatten:
— vermijden van het risico door te besluiten de activiteit waardoor het risico wordt veroorzaakt niet uit te voeren of voort te zetten;
— nemen of verhogen van het risico teneinde een kans te benutten;
— wegnemen van de risicobron;
— veranderen van de waarschijnlijkheid;
— veranderen van de gevolgen;
— delen van het risico met (een) andere partij(en) (met inbegrip van contracten en risicofinanciering); en
— behouden van het risico op basis van een onderbouwde keuze.
Opmerking 2 bij de term: Een risicobehandeling die gericht is op negatieve gevolgen, wordt soms aangeduid met ‘risicovermindering’, ‘risico-eliminatie’, ‘risicopreventie’ of ‘risicoreductie’.
Opmerking 3 bij de term: Door risicobehandeling kunnen nieuwe risico’s ontstaan of bestaande risico’s worden gewijzigd.
[BRON: NPR-ISO Guide 73:2009, 3.8.1, licht gewijzigd – Opmerking 1 bij de term]
gehele proces van risico-identificatie, risicoanalyse en risico-evaluatie
[BRON: NPR-ISO Guide 73:2009, 3.4.1]
element dat afzonderlijk of in combinatie met andere elementen de mogelijkheid in zich heeft tot een risico te leiden
[BRON: NPR-ISO Guide 73:2009, 3.5.1.2, gewijzigd – de OPMERKING is niet overgenomen]
persoon of entiteit met de verantwoordelijkheid en bevoegdheid om het risico te managen
[BRON: NPR-ISO Guide 73:2009, 3.5.1.5]
gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot risico’s
[BRON: NPR-ISO Guide 73:2009, 2.1]
omvang van een risico uitgedrukt als een combinatie van gevolgen en hun waarschijnlijkheid
[BRON: NPR-ISO Guide 73:2009, 3.6.1.8, gewijzigd – ‘of combinatie van risico’s,’ is verwijderd]
een zorgverlener die, anders dan in dienst of onmiddellijk of middellijk in opdracht van een instelling beroepsmatig zorg verleent
[BRON: Wet kwaliteit, klachten en geschillen zorg]
middel om te bewerkstelligen dat toegang tot bedrijfsmiddelen wordt goedgekeurd en beperkt op basis van de eisen voor bedrijfsvoering en beveiliging
[BRON: NEN-ISO/IEC 27000:2014]
een overeenkomst treffen waarbij een externe organisatie een deel van een functie of proces van de organisatie uitvoert
Opmerking 1 bij de term: Een externe organisatie valt buiten het toepassingsgebied van het managementsysteem, hoewel de uitbestede functie of het uitbestede proces er wel binnen valt.
[BRON: NEN-ISO/IEC 27000:2014, licht gewijzigd – definitie en Opmerking 1 bij de term]
degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces
[BRON: NEN 7510:2011]
bevestiging dat aan gespecificeerde eisen is voldaan door het verschaffen van objectief bewijs
Opmerking 1 bij de term: Dit zou ook ‘testen van naleving’ kunnen worden genoemd.
[BRON: NEN-EN-ISO 9000:2015, 3.8.12, gewijzigd – de opmerkingen bij de term zijn niet overgenomen en Opmerking 1 bij de term is toegevoegd]
gedocumenteerde verklaring die de beheersdoelstellingen en beheersmaatregelen beschrijft die relevant en toepasbaar zijn op het managementsysteem voor informatiebeveiliging van de organisatie
Opmerking 1 bij de term: Beheersdoelstellingen en beheersmaatregelen zijn gebaseerd op de resultaten en conclusies van risicobeoordeling en risicobehandelingsproces, eisen uit wet- of regelgeving, contractuele verplichtingen en de eisen die de organisatie aan informatiebeveiliging stelt.
[BRON: NEN 7510:2011, licht gewijzigd]
eigenschap dat informatie niet beschikbaar of niet bekend wordt gemaakt aan onbevoegde personen, entiteiten of processen
[BRON: NEN-ISO/IEC 27000:2014]
bewerking of geheel van bewerkingen van persoonsgegevens of geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens
[BRON: AVG, art. 4, licht gewijzigd]
kans dat iets gebeurt
[BRON: NPR-ISO Guide 73:2009, 3.6.1.1, gewijzigd – de opmerkingen zijn niet overgenomen]
zorg als omschreven in de Wet langdurige zorg en de Zorgverzekeringswet en alle andere verrichtingen, inclusief het onderzoeken en het geven van raad, die rechtstreeks betrekking hebben op een persoon en ertoe strekken diens gezondheid te bevorderen of te bewaken
informatiesysteem ter ondersteuning van een zorgverlener
[BRON: NEN 7510:2011, gewijzigd]
rechtspersoon die bedrijfsmatig zorg verleent, alsmede een organisatorisch verband van natuurlijke personen die bedrijfsmatig zorg verlenen of doen verlenen, alsmede een natuurlijke persoon die bedrijfsmatig zorg doet verlenen, alsmede een solistisch werkende zorgverlener
gekoppelde en geïntegreerde taken in de zorgsector, uitgevoerd door zorgverleners
[BRON: NEN 7510:2011, gewijzigd]
een natuurlijke persoon die beroepsmatig zorg verleent
[BRON: Wet kwaliteit, klachten en geschillen zorg]
