Doelstelling: De bescherming van informatie in netwerken en de ondersteunende informatieverwerkende faciliteiten waarborgen.
Beheersmaatregel
Netwerken behoren te worden beheerd en beheerst om informatie in systemen en toepassingen te beschermen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Er behoren beheersmaatregelen te worden geïmplementeerd om de veiligheid van informatie in netwerken te waarborgen en aangesloten diensten tegen onbevoegde toegang te beschermen. Met de volgende aspecten behoort in het bijzonder rekening te worden gehouden:
a) er behoren verantwoordelijkheden en procedures voor het beheer van netwerkapparatuur te worden vastgesteld;
b) operationele verantwoordelijkheid voor netwerken behoort voor zover van toepassing te worden gescheiden van computerbewerkingen (zie 6.1.2);
c) om de vertrouwelijkheid en integriteit van gegevens die via openbare netwerken of draadloze netwerken circuleren te waarborgen en om de aangesloten systemen en toepassingen te beschermen behoren speciale beheersmaatregelen te worden vastgesteld (zie hoofdstuk 10 en 13.2); er kunnen ook speciale beheersmaatregelen vereist zijn om de beschikbaarheid van de netwerkdiensten en aangesloten computers te handhaven;
d) om acties die van invloed kunnen zijn op of relevant zijn voor de informatiebeveiliging te kunnen vastleggen en opsporen behoren passende maatregelen voor registreren en monitoren te worden toegepast;
e) beheeractiviteiten behoren nauwgezet te worden gecoördineerd, zowel om de dienstverlening voor de organisatie te optimaliseren als om te waarborgen dat beheersmaatregelen consistent in de hele informatieverwerkende infrastructuur worden toegepast;
f) systemen in het netwerk behoren te worden geauthentiseerd;
g) er behoort een beperking te gelden voor het aantal systemen dat met het netwerk verbonden is.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Aanvullende informatie over netwerkbeveiliging is opgenomen in de ISO/IEC 27033-reeks (zie bibliografie).
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Beveiligingsmechanismen, dienstverleningsniveaus en beheerseisen voor alle netwerkdiensten behoren te worden geïdentificeerd en opgenomen in overeenkomsten betreffende netwerkdiensten. Dit geldt zowel voor diensten die intern worden geleverd als voor uitbestede diensten.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
De kundigheid van de aanbieder van de netwerkdienst om de overeengekomen diensten veilig te beheren behoort te worden vastgesteld en regelmatig te worden gemonitord, en het recht om een audit uit te voeren behoort te worden overeengekomen.
De beveiligingsprocedures die nodig zijn voor bepaalde diensten, zoals beveiligingskenmerken, dienstverleningsniveaus en beheerseisen, behoren te worden vastgesteld. De organisatie behoort ervoor te zorgen dat aanbieders van netwerkdiensten deze maatregelen implementeren.
Zorgspecifieke implementatierichtlijn
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren zorgvuldig te overwegen welke gevolgen het wegvallen van de beschikbaarheid van netwerkdiensten heeft voor de klinische praktijk. Zie ook hoofdstuk 17.
Overige informatie
Tot netwerkdiensten behoren het leveren van aansluitingen, particuliere netwerkdiensten, netwerken met toegevoegde waarde en beheerde netwerkbeveiligingsoplossingen zoals firewalls en inbraakdetectiesystemen. Deze diensten kunnen variëren van eenvoudige onbeheerde bandbreedte tot en met complexe aanbiedingen met toegevoegde waarde.
Tot veiligheidsaspecten van netwerkdiensten kunnen behoren:
a) technologie die wordt toegepast voor de beveiliging van netwerkdiensten, zoals authenticatie, codering en beheersmaatregelen voor netwerkverbinding;
b) technische parameters die nodig zijn voor een veilige verbinding met de netwerkdiensten, in overeenstemming met de regels voor beveiliging en netwerkverbinding;
c) procedures voor het gebruik van netwerkdiensten ter beperking van toegang tot netwerkdiensten of, voor zover noodzakelijk, -toepassingen.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Groepen van informatiediensten, -gebruikers en -systemen behoren in netwerken te worden gescheiden.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Een van de methoden om de beveiliging van grote netwerken te beheren is ze te verdelen in gescheiden netwerkdomeinen. De domeinen kunnen worden gekozen op basis van betrouwbaarheidsniveaus (bijv. openbaar toegankelijk domein, bureaubladdomein, serverdomein), naast organisatieafdelingen (bijv. personeelszaken, financiën, marketing) of een combinatie (bijv. serverdomein verbonden met meerdere afdelingen van de organisatie). De scheiding kan tot stand worden gebracht door hetzij fysiek verschillende netwerken, hetzij verschillende logische netwerken te gebruiken (bijv. virtueel particulier netwerken).
De perimeter van elk domein behoort goed te worden gedefinieerd. Toegang tussen netwerkdomeinen is toegelaten maar behoort bij de perimeter te worden beheerst door een gateway te gebruiken (bijv. een firewall, een filterende router). De criteria voor het scheiden van netwerken in domeinen, en de toegang die via de gateways wordt toegestaan, behoren te worden gebaseerd op een beoordeling van de beveiligingseisen voor elk domein. De beoordeling behoort in overeenstemming te zijn met het toegangsbeveiligingsbeleid (zie 9.1.1), de toegangseisen, waarde en classificatie van verwerkte informatie en behoort ook rekening te houden met de relatieve kosten en de gevolgen voor de prestaties van het integreren van gatewaytechnologie.
Draadloze netwerken vereisen een speciale behandeling in verband met de slecht gedefinieerde netwerkperimeter. Voor gevoelige omgevingen behoort te worden overwogen om elke draadloze toegang te behandelen als externe verbinding en om deze toegang te scheiden van interne netwerken totdat de toegang een gateway is gepasseerd, in overeenstemming met het netwerkcontrolebeleid (zie 13.1.1), alvorens toegang tot interne systemen wordt verleend.
De authenticatie, codering en technologie van de netwerktoegangsbeveiliging voor het gebruikersniveau van moderne, op normen gebaseerde draadloze netwerken zijn, indien correct geïmplementeerd, mogelijk voldoende voor directe verbinding met het interne netwerk van de organisatie.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Netwerken strekken zich vaak uit tot buiten de muren van de organisatie omdat bedrijfsmatige partnerschappen worden gevormd waarvoor onderlinge verbinding of het delen van informatieverwerkende en netwerkfaciliteiten vereist is. Door dergelijke uitbreidingen kan het risico van onbevoegde toegang tot de informatiesystemen van de organisatie die gebruikmaken van het netwerk toenemen, waarbij sommige gevoelige en essentiële informatiesystemen bescherming tegen andere netwerkgebruikers nodig hebben.
Overige zorgspecifieke informatie
<geen>
Doelstelling: Handhaven van de beveiliging van informatie die wordt uitgewisseld binnen een organisatie en met een externe entiteit.
Beheersmaatregel
Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, behoren formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht te zijn.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Bij procedures die moeten worden gevolgd en beheersmaatregelen die moeten worden uitgevoerd bij het gebruik van communicatiefaciliteiten voor informatietransport behoren de volgende punten in overweging te worden genomen:
a) procedures die zijn ontworpen ter beveiliging van overgedragen informatie tegen interceptie, kopiëren, wijziging, foutieve routering en vernietiging;
b) procedures voor het opsporen van en beschermen tegen malware die kan worden overgebracht door het gebruik van elektronische communicatie (zie 12.2.1);
c) procedures ter bescherming van als bijlage gecommuniceerde gevoelige elektronische informatie;
d) beleid of richtlijnen die aanvaardbaar gebruik van communicatiefaciliteiten omschrijven (zie 8.1.3);
e) verantwoordelijkheden van personeel, van externe partijen en van andere gebruikers om de organisatie niet te compromitteren, bijv. door laster, pesten, aannemen van een valse hoedanigheid, kettingbrieven, onbevoegde inkopen enz.
f) gebruik van cryptografische technieken, bijv. om de vertrouwelijkheid, integriteit en authenticiteit van informatie te beschermen (zie hoofdstuk 10);
g) richtlijnen voor bewaren en vernietigen van alle bedrijfscorrespondentie, waaronder berichten, in overeenstemming met relevante nationale en lokale wet- en regelgeving;
h) beheersmaatregelen en beperkingen die samenhangen met het gebruik van communicatiefaciliteiten, bijv. het geautomatiseerd doorsturen van e-mail naar externe e-mailadressen;
i) personeel adviseren om passende voorzorgsmaatregelen te treffen om geen vertrouwelijke informatie bekend te maken;
j) geen berichten die vertrouwelijke informatie bevatten achterlaten op antwoordapparaten omdat deze kunnen worden afgespeeld door onbevoegde personen, op gemeenschappelijke systemen kunnen worden opgeslagen of onjuist kunnen worden opgeslagen als gevolg van foutieve nummerkeuze;
k) personeel informeren over problemen in verband met het gebruiken van faxapparatuur of -diensten, namelijk:
1) onbevoegde toegang tot ingebouwde berichtenboxen om berichten op te vragen;
2) opzettelijk of onbedoeld programmeren van machines waardoor berichten naar bepaalde nummers worden gestuurd;
3) documenten en berichten naar het verkeerde nummer sturen door onjuiste nummerkeuze of door het verkeerde opgeslagen nummer te gebruiken.
Bovendien behoort personeel eraan te worden herinnerd dat ze geen vertrouwelijke gesprekken voeren in openbare gebieden of via onbeveiligde communicatiekanalen, in open kantoren en op vergaderlocaties.
Diensten op het gebied van informatietransport behoren te voldoen aan relevante wettelijke eisen (zie 18.1).
Zorgspecifieke implementatierichtlijn
Organisaties behoren te garanderen dat de beveiliging van dergelijke uitwisseling van informatie het onderwerp is van beleidsontwikkeling en van audits van de naleving ervan (zie hoofdstuk 18).
De beveiliging van informatie-uitwisseling kan sterk worden geholpen door gebruik te maken van overeenkomsten over informatie-uitwisseling waarin wordt voorgeschreven welke beheersmaatregelen minimaal moeten worden geïmplementeerd.
Er behoort speciale aandacht te worden besteed aan de bruikbaarheid van cryptografische hulpmiddelen. Indien dergelijke hulpmiddelen te complex zijn, zouden gebruikers in de zorg van het gebruik ervan kunnen afzien.
Zie ook de zorgspecifieke implementatierichtlijn in 8.2.1.
Overige informatie
Informatie kan worden overgedragen via het gebruik van een aantal verschillende communicatiefaciliteiten, waaronder e-mail, telefoon, fax en video.
Software kan worden overgedragen via een aantal verschillende media, waaronder downloaden van het internet en verkrijgen via leveranciers die standaardproducten verkopen.
De zakelijke, wettelijke en beveiligingsimplicaties die samenhangen met elektronische gegevensuitwisseling, elektronische handel en elektronische communicatie en de eisen voor beheersmaatregelen behoren in overweging te worden genomen.
Overige zorgspecifieke informatie
Specifieke richtlijnen over beleid voor het uitwisselen van gezondheidsinformatie zijn te vinden in ISO 22857. Hoewel die internationale norm expliciet verwijst naar grensoverschrijdend verkeer van persoonlijke gezondheidsinformatie (waarbij grenzen in deze context voor grenzen van rechtsgebieden met betrekking tot de zorg staan en niet per se voor landsgrenzen), kunnen veel van de adviezen ervan waar nodig worden aangepast met het oog op de uitwisseling van gegevens van de ene organisatie naar een andere.
Beheersmaatregel
Overeenkomsten behoren betrekking te hebben op het beveiligd transporteren van bedrijfsinformatie tussen de organisatie en externe partijen.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Overeenkomsten over informatietransport behoren het volgende te bevatten:
a) directieverantwoordelijkheden voor het beheersen en notificeren van overdracht, verzending en ontvangst;
b) procedures om de traceerbaarheid en onweerlegbaarheid te waarborgen;
c) technische minimumeisen voor het verpakken en versturen;
d) borgovereenkomsten;
e) koerieridentificatienormen;
f) verantwoordelijkheden en aansprakelijkheden in geval van informatiebeveiligingsincidenten, zoals verlies van gegevens;
g) gebruik van een afgesproken labelsysteem voor gevoelige of essentiële informatie dat waarborgt dat de betekenis van de labels meteen duidelijk is en dat de informatie passend is beschermd (zie 8.2);
h) technische normen voor het vastleggen en lezen van informatie en software;
i) speciale beheersmaatregelen die vereist zijn om gevoelige informatie te beschermen, zoals cryptografie (zie hoofdstuk 10);
j) handhaven van een bewakingsketen voor informatie tijdens verzending;
k) acceptabele niveaus van toegangsbeveiliging.
Ter bescherming van informatie en fysieke media tijdens overdracht behoren beleidsregels, procedures en normen te worden vastgesteld en gehandhaafd (zie 8.3.3), en hiernaar behoort in overdrachtsovereenkomsten te worden verwezen.
De informatiebeveiligingsinhoud van een overeenkomst behoort de gevoeligheid van de desbetreffende bedrijfsinformatie weer te geven.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Overeenkomsten kunnen elektronisch beschikbaar zijn of in de vorm van een handboek en mogen de vorm van een formeel contract hebben. Met betrekking tot vertrouwelijke informatie behoort het specifieke mechanisme dat wordt gebruikt voor het overdragen van dergelijke informatie consistent te zijn voor alle organisaties en soorten overeenkomsten.
Overige zorgspecifieke informatie
Zoals in 13.2.1 wordt vermeld, zijn specifieke richtlijnen over beleid voor het uitwisselen van gezondheidsinformatie te vinden in ISO 22857. Hoewel die internationale norm expliciet verwijst naar grensoverschrijdend verkeer van persoonlijke gezondheidsinformatie (waarbij grenzen in deze context voor grenzen van rechtsgebieden met betrekking tot de zorg staan en niet per se voor landsgrenzen), kunnen veel van de adviezen ervan waar nodig worden aangepast met het oog op de uitwisseling van gegevens van de ene organisatie naar een andere.
Beheersmaatregel
Informatie die is opgenomen in elektronische berichten, behoort passend te zijn beschermd.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Overwegingen betreffende informatiebeveiliging van elektronisch berichtenverkeer behoren de volgende aspecten te behelzen:
a) berichten beschermen tegen onbevoegde toegang, wijziging of weigering van dienstverlening in overeenstemming met het classificatieschema dat de organisatie heeft aangenomen;
b) correcte adressering en transport van het bericht waarborgen;
c) betrouwbaarheid en beschikbaarheid van de dienst;
d) wettelijke overwegingen, bijv. eisen voor elektronische handtekeningen;
e) toestemming verkrijgen voorafgaand aan het gebruiken van externe openbare diensten zoals instant messaging, sociale netwerken of delen van bestanden;
f) hogere niveaus van authenticatie voor het controleren van de toegang vanuit openbaar toegankelijke netwerken.
Zorgspecifieke implementatierichtlijn
Organisaties die persoonlijke gezondheidsinformatie door middel van elektronische berichtgeving overdragen, behoren stappen te ondernemen om de vertrouwelijkheid en integriteit van die informatie te garanderen. Het is belangrijk om op te merken dat het beveiligen van e-mail en berichten met persoonlijke gezondheidsinformatie die via instant messaging worden verzonden, procedures voor gezondheidspersoneel met zich kan meebrengen die niet kunnen worden opgelegd aan cliënten en het publiek.
De uitwisseling van e-mail met persoonlijke gezondheidsinformatie tussen zorgverleners behoort versleuteld te worden verzonden. Hiervoor bestaat een benadering die gepaard gaat met het gebruik van digitale certificaten. Zie de bibliografie voor een lijst van normen in verband met het gebruik van digitale certificaten in gezondheidsomgevingen.
Zie ook 18.1.4 voor een bespreking van toestemming voorafgaand aan communicatie buiten de organisatie.
Overige informatie
Er zijn veel soorten elektronische berichtendiensten, zoals e-mail, elektronische gegevensuitwisseling en sociale netwerken, die een rol spelen in bedrijfscommunicatie.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten die de behoeften van de organisatie betreffende het beschermen van informatie weerspiegelen, behoren te worden vastgesteld, regelmatig te worden beoordeeld en gedocumenteerd.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren te beschikken over een vertrouwelijkheidsovereenkomst waarin de vertrouwelijke aard van deze informatie staat omschreven. De overeenkomst behoort van toepassing te zijn op al het personeel dat toegang heeft tot gezondheidsinformatie.
Implementatierichtlijn
Vertrouwelijkheids- of geheimhoudingsovereenkomsten behoren de eis van bescherming van vertrouwelijke informatie te behandelen binnen juridisch afdwingbare voorwaarden. Vertrouwelijkheids- of geheimhoudingsovereenkomsten zijn van toepassing op externe partijen of medewerkers van de organisatie. Rekening houdend met de aard van de andere partij en de haar toegestane toegang of hantering van vertrouwelijke informatie behoren elementen van de overeenkomst te worden gekozen of toegevoegd. Bij het vaststellen van eisen voor vertrouwelijkheids- of geheimhoudingsovereenkomsten, behoren de volgende elementen in overweging te worden genomen:
a) een definitie van de te beschermen informatie (bijv. vertrouwelijke informatie);
b) verwachte looptijd van een overeenkomst, met inbegrip van gevallen waarin de vertrouwelijkheid mogelijk onbeperkt moet worden gehandhaafd;
c) vereiste acties als een overeenkomst is beëindigd;
d) verantwoordelijkheden en acties van de ondertekenaars betreffende het vermijden van onbevoegd openbaar maken van informatie;
e) eigendom van informatie, handelsgeheimen en intellectuele eigendom, en hoe dit zich verhoudt tot de bescherming van vertrouwelijke informatie;
f) het toegelaten gebruik van vertrouwelijke informatie en de rechten van de ondertekenaar om informatie te gebruiken;
g) het recht om activiteiten waar vertrouwelijke informatie bij betrokken is te auditen en te monitoren;
h) procedure voor het notificeren en melden van ongeoorloofde openbaarmaking of lekken van vertrouwelijke informatie;
i) voorwaarden voor teruggeven of vernietigen van informatie na beëindiging van de overeenkomst;
j) verwachte acties die moeten worden ondernomen in geval van schending van de overeenkomst.
Afhankelijk van de eisen van de organisatie betreffende informatiebeveiliging behoren mogelijk nog andere elementen te worden opgenomen in een vertrouwelijkheids- of geheimhoudingsovereenkomst.
Vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren te voldoen aan alle toepasselijke wetten en regelgeving voor het rechtsgebied waar zij voor gelden (zie 18.1).
Eisen voor vertrouwelijkheids- en geheimhoudingsovereenkomsten behoren periodiek te worden beoordeeld, en als zich veranderingen voordoen die van invloed zijn op deze eisen.
Zorgspecifieke implementatierichtlijn
De bovenbedoelde overeenkomst behoort een verwijzing te bevatten naar de straffen die mogelijk zijn als er een schending van het informatiebeveiligingsbeleid wordt geconstateerd.
Overige informatie
Vertrouwelijkheids- en geheimhoudingsovereenkomsten beschermen informatie van de organisatie en informeren de ondertekenaars over hun verantwoordelijkheid om informatie op een verantwoordelijke en bevoegde manier te beschermen, te gebruiken en openbaar te maken.
Het kan voor een organisatie nodig zijn om onder verschillende omstandigheden verschillende vormen van vertrouwelijkheids- of geheimhoudingsovereenkomsten te gebruiken.
Overige zorgspecifieke informatie
<geen>
