Doelstelling: Voorkomen van schendingen van wettelijke, statutaire, regelgevende of contractuele verplichtingen betreffende informatiebeveiliging en beveiligingseisen.
Beheersmaatregel
Alle relevante wettelijke statutaire, regelgevende, contractuele eisen en de aanpak van de organisatie om aan deze eisen te voldoen behoren voor elk informatiesysteem en de organisatie expliciet te worden vastgesteld, gedocumenteerd en actueel gehouden.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Ook de specifieke beheersmaatregelen en individuele verantwoordelijkheden om aan deze eisen te voldoen behoren te worden gedefinieerd en gedocumenteerd.
Managers behoren alle wetgeving die toepasselijk is op hun organisatie vast te stellen om te voldoen aan de eisen voor hun soort bedrijfsactiviteit. Indien de organisatie zakelijke activiteiten in andere landen verricht, behoren managers te letten op naleving in alle relevante landen.
Zorgspecifieke implementatierichtlijn
Zorginstellingen behoren een auditprogramma voor naleving in te stellen dat ingaat op de volledige levenscyclus van de bedrijfsvoering, d.w.z. niet alleen van de processen waarmee knelpunten worden geïdentificeerd, maar ook van de processen die uitkomsten beoordelen, en over updates van het informatiebeveiligingsmanagementsysteem (ISMS) beslissen.
De auditprogramma's van gezondheidsorganisaties behoren formeel te worden gestructureerd zodat ze alle elementen van deze internationale norm, alle risicogebieden en alle geïmplementeerde beheersmaatregelen binnen een cyclus van 12 maanden tot 18 maanden afdekken.
In de sterk gereguleerde en gecontroleerde omgeving van veel zorginstellingen zou het ISMF (information security management forum) zichzelf als doel moeten stellen een gegradeerd kader voor controle op naleving vast te stellen, met als onderste laag een zelfaudit door degenen die de processen uitvoeren en de managers. Vervolgens behoren audits van het ISMS ten behoeve van het ISMF, interne audits, beoordelingen voor het borgen van beheersmaatregelen en externe audits dusdanig te worden gedefinieerd dat elke laag vertrouwen kan ontlenen aan alle lagen eronder.
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Om de naleving van wettelijke, regelgevende en contractuele eisen in verband met intellectuele-eigendomsrechten en het gebruik van eigendomssoftwareproducten te waarborgen behoren passende procedures te worden geïmplementeerd.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
De volgende richtlijnen behoren in overweging te worden genomen om materiaal dat kan worden beschouwd als intellectuele eigendom te beschermen:
a) een beleid ten aanzien van de naleving van intellectuele-eigendomsrechten publiceren dat het wettig gebruik van software en informatieproducten definieert;
b) software alleen verkrijgen bij bekende bronnen met een goede reputatie, om te waarborgen dat het auteursrecht niet wordt geschonden;
c) het bewustzijn in stand houden van het beleid voor de bescherming van intellectuele-eigendomsrechten en bekendheid geven aan het voornemen om disciplinaire maatregelen te nemen tegen personeel dat deze rechten schendt;
d) geschikte registers van bedrijfsmiddelen bijhouden, en alle bedrijfsmiddelen waarbij bescherming van intellectuele-eigendomsrechten vereist is identificeren;
e) bewijs en bewijsmateriaal bijhouden van de eigendom van licenties, masterschijven, handleidingen enz.
f) beheersmaatregelen implementeren om te bewerkstelligen dat een maximumaantal gebruikers dat eventueel door de licentie is toegestaan niet wordt overschreden;
g) beoordelingen uitvoeren om te controleren dat alleen goedgekeurde software en in licentie gegeven producten zijn geïnstalleerd;
h) een beleid vaststellen voor het handhaven van de juiste licentievoorwaarden;
i) een beleid vaststellen voor het verwijderen van of aan anderen overdragen van software;
j) voldoen aan voorwaarden voor software en informatie verkregen van openbare netwerken;
k) niet dupliceren, naar een ander formaat converteren of een uittreksel maken van commerciële opnamen (film, audio), tenzij auteursrechtelijk toegestaan;
l) geen boeken, artikelen, rapporten of andere documenten geheel of ten dele kopiëren, tenzij auteursrechtelijk toegestaan.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Onder intellectuele-eigendomsrechten vallen auteursrechten op software of documenten, ontwerprechten, handelsmerken, patenten en broncodelicenties.
Eigendomssoftwareproducten worden gewoonlijk geleverd op basis van een licentieovereenkomst die de licentievoorwaarden vermeldt, bijv. het gebruik van de producten beperken tot bepaalde machines of het kopiëren beperken tot het maken van back-upkopieën. Aan het personeel behoort het belang en het zich bewust zijn van intellectuele-eigendomsrechten met betrekking tot software die door de organisatie is ontwikkeld te worden gecommuniceerd.
Wettelijke, regelgevende en contractuele eisen kunnen beperkingen inhouden voor het kopiëren van eigendomsmateriaal. In het bijzonder kan worden bepaald dat alleen materiaal mag worden gebruikt dat is ontwikkeld door de organisatie zelf of dat door de ontwikkelaar in licentie is gegeven aan de organisatie of aan de organisatie is geleverd. Schending van auteursrecht kan leiden tot gerechtelijke stappen die kunnen resulteren in een geldboete of een strafproces.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Registraties behoren in overeenstemming met wettelijke, regelgevende, contractuele en bedrijfseisen te worden beschermd tegen verlies, vernietiging, vervalsing, onbevoegde toegang en onbevoegde vrijgave.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Bij besluitvorming over bescherming van specifieke registraties van de organisatie behoort de classificatie daarvan, gebaseerd op het classificatieschema van de organisatie, in overweging te worden genomen. Registraties behoren te worden gecategoriseerd naar type, bijv. boekhoudkundige registraties, databaserecords, transactielogbestanden, auditlogbestanden en operationele procedures. Bij elk type behoort de bewaartermijn en toegestane soorten opslagmedia te worden vermeld, bijv. papier, microfiche, magnetische of optische opslag. Gerelateerde cryptografische sleutels en programma’s die samenhangen met versleutelde archieven of digitale handtekeningen (zie hoofdstuk 10), behoren ook te worden bewaard om decodering van de registraties mogelijk te maken gedurende de bewaarperiode van de registraties.
Er behoort rekening te worden gehouden met de mogelijkheid dat media die worden gebruikt om registraties te bewaren in kwaliteit achteruitgaan. Procedures voor bewaren en behandelen van deze media behoren te worden geïmplementeerd in overeenstemming met de aanbevelingen van de fabrikant.
Als elektronische opslagmedia worden gekozen behoren procedures te worden vastgesteld om te waarborgen dat de gegevens tijdens de bewaarperiode toegankelijk blijven (leesbaarheid van zowel de media als van het gegevensformaat), om te voorkomen dat de informatie verloren gaat als gevolg van toekomstige technologische veranderingen.
Systemen voor gegevensopslag behoren zo te worden gekozen dat vereiste gegevens binnen een aanvaardbare tijdsspanne en in een aanvaardbaar formaat kunnen worden opgevraagd, afhankelijk van de eisen waaraan moet worden voldaan.
Het systeem waarmee gegevens worden opgeslagen en behandeld, behoort de identificatie van registraties en hun bewaarperiode te waarborgen zoals gedefinieerd door, indien van toepassing, nationale of regionale wet- of regelgeving. Dit systeem behoort toe te staan dat registraties na afloop van die termijn op een passende manier worden vernietigd als de organisatie ze niet langer nodig heeft.
Om te voldoen aan deze doelstellingen met betrekking tot het veiligstellen van registraties behoren binnen een organisatie de volgende stappen te worden genomen:
a) er behoren richtlijnen te worden verstrekt voor het bewaren, opslaan, behandelen en verwijderen van registraties en informatie;
b) er behoort een bewaarschema te worden opgesteld waarin registraties en de periode dat ze moeten worden bewaard, zijn vastgelegd;
c) er behoort een inventarisoverzicht van bronnen van belangrijke informatie te worden bijgehouden.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Sommige registraties behoren mogelijk veilig te worden bewaard om te voldoen aan statutaire, regelgevende of contractuele eisen, en om essentiële bedrijfsactiviteiten te ondersteunen. Voorbeelden hiervan zijn registraties die mogelijk vereist zijn als bewijs dat een organisatie handelt in overeenstemming met statutaire regels of regelgeving, registraties om het verweer te waarborgen tegen potentiële civiel- of strafrechtelijke actie of om de financiële status van een organisatie kenbaar te maken aan aandeelhouders, externe partijen en auditoren. De bewaartermijn en de soort informatie die behoort te worden bewaard, kunnen zijn vastgelegd in nationale wet- of regelgeving.
ISO 15489-1 biedt nadere informatie over het beheren van registraties van een organisatie.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Privacy en bescherming van persoonsgegevens behoren, voor zover van toepassing, te worden gewaarborgd in overeenstemming met relevante wet- en regelgeving.
Zorgspecifieke beheersmaatregel
Organisaties die persoonlijke gezondheidsinformatie verwerken, behoren de geïnformeerde toestemming van cliënten te beheren.
Waar mogelijk behoort geïnformeerde toestemming van cliënten te worden verkregen voordat persoonlijke gezondheidsinformatie per e-mail, fax of telefonisch wordt gecommuniceerd of anderszins bekend wordt gemaakt aan partijen buiten de zorginstelling.
Implementatierichtlijn
Organisaties behoren een beleid te ontwikkelen en te implementeren voor de privacy en bescherming van persoonsgegevens. Dit beleid behoort te worden gecommuniceerd aan alle personen die betrokken zijn bij het verwerken van persoonsgegevens.
Naleving van dit beleid en van alle relevante wet- en regelgeving betreffende het beschermen van de privacy van personen en de bescherming van persoonsgegevens vereist een geschikte beheerstructuur en beheersing. Vaak kan dit het beste worden bereikt door een persoon te benoemen die hiervoor verantwoordelijk is, zoals een privacyfunctionaris, die richtlijnen behoort te geven aan managers, gebruikers en aanbieders van diensten over hun individuele verantwoordelijkheden en de specifieke procedures die behoren te worden gevolgd. Het toewijzen van verantwoordelijkheid voor het hanteren van persoonsgegevens en het waarborgen dat medewerkers zich bewust zijn van de privacyprincipes behoort te worden uitgevoerd in overeenstemming met relevante wet- en regelgeving. Er behoren passende technische en organisatorische maatregelen te worden geïmplementeerd om persoonsgegevens te beschermen.
Zorgspecifieke implementatierichtlijn
Een voorbeeld van wet- of regelgeving waar geïnformeerde toestemming van cliënten wordt vereist, is de Aanbeveling van de Raad van Europa, R (97)5 betreffende de bescherming van medische gegevens, Raad van Europa, Straatsburg, 12 februari 1997:
Alvorens een genetisch onderzoek wordt verricht behoort de betrokkene te worden geïnformeerd over het doel van het onderzoek en de mogelijkheid van onverwachte ontdekkingen.
De aan een genetisch onderzoek onderworpen persoon behoort te worden ingelicht over onverwachte ontdekkingen indien aan de volgende voorwaarden is voldaan:
a. dergelijke informatie is niet krachtens het interne recht verboden;
b. de betrokkene heeft uitdrukkelijk om de informatie gevraagd;
c. de informatie zal geen ernstige schade berokkenen:
i. aan de gezondheid van de betrokkene; of
ii. aan een bloedverwant van de betrokkene van vader- of moederszijde, iemand uit zijn directe omgeving, of iemand die direct verwant is aan dezelfde genetische stam als betrokkene.
Een voorbeeld van een ethische beroepsrichtlijn die toestemming van de cliënt vereist, is de Verklaring van Helsinki van de Wereldgezondheidsorganisatie over medisch onderzoek op mensen.
Overige informatie
ISO/IEC 29100 biedt een hoogwaardige structuur voor het beschermen van persoonsgegevens binnen systemen voor informatie- en communicatietechnologie. Een aantal landen heeft wetgeving geïntroduceerd die beheersmaatregelen oplegt aan het verzamelen, verwerken en versturen van persoonsgegevens (in het algemeen informatie over levende personen die op basis van die informatie kunnen worden geïdentificeerd). Afhankelijk van de respectieve nationale wetgeving kunnen dergelijke beheersmaatregelen verplichtingen opleggen aan personen die persoonsgegevens verzamelen, verwerken en verspreiden, en kunnen zij ook de mogelijkheden voor het versturen van persoonsgegevens naar andere landen beperken.
Overige zorgspecifieke informatie
Verdere informatie over het managen van geïnformeerde toestemming in de zorg is te vinden in ISO/TS 17975.
Beheersmaatregel
Cryptografische beheersmaatregelen behoren te worden toegepast in overeenstemming met alle relevante overeenkomsten, wet- en regelgeving.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Voor de naleving van relevante overeenkomsten, wet- en regelgeving behoort met de volgende punten rekening te worden gehouden:
a) beperkingen op de import of export van computerhardware en -software voor het uitvoeren van cryptografische functies;
b) beperkingen op de import of export van computerhardware en -software die zo zijn ontworpen dat er cryptografische functies aan kunnen worden toegevoegd;
c) beperkingen op de toepassing van codering;
d) verplichte of discretionaire toegang voor nationale autoriteiten tot informatie die door hardware of software is versleuteld om in de vertrouwelijkheid van de inhoud te voorzien.
Om naleving van de relevante wet- en regelgeving te waarborgen behoort juridisch advies te worden ingewonnen. Ook voordat versleutelde informatie of cryptografische beheersmaatregelen over grenzen van rechtsgebieden worden verstuurd, behoort juridisch advies te worden ingewonnen.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
<geen>
Overige zorgspecifieke informatie
<geen>
Doelstelling: Verzekeren dat informatiebeveiliging wordt geïmplementeerd en uitgevoerd in overeenstemming met de beleidsregels en procedures van de organisatie.
Beheersmaatregel
De aanpak van de organisatie ten aanzien van het beheer van informatiebeveiliging en de implementatie ervan (bijv. beheersdoelstellingen, beheersmaatregelen, beleidsregels, processen en procedures voor informatiebeveiliging) behoren onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen, te worden beoordeeld.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Deze onafhankelijke beoordeling behoort door de directie te worden geïnitieerd. Een dergelijke onafhankelijke beoordeling is nodig om te waarborgen dat de organisatie continu een geschikte, toereikende en doeltreffende aanpak van het beheer van informatiebeveiliging hanteert. Deze beoordeling behoort tevens het beoordelen van verbetermogelijkheden en de noodzaak om wijzigingen aan te brengen in de beveiligingsaanpak te omvatten, met inbegrip van het beleid en de beheersdoelstellingen.
Een dergelijke beoordeling behoort te worden uitgevoerd door personen met een onafhankelijke positie ten opzichte van het te beoordelen gebied, bijv. door de interne auditor, een onafhankelijke manager of een externe organisatie die gespecialiseerd is in dergelijke beoordelingen. Personen die deze beoordelingen uitvoeren behoren te beschikken over passende vaardigheden en ervaring.
De resultaten van de onafhankelijke beoordeling behoren te worden vastgelegd en te worden gerapporteerd aan de directie die de beoordeling heeft geïnitieerd. Deze verslagen behoren te worden bewaard.
Indien in de onafhankelijke beoordeling wordt vastgesteld dat de aanpak en de implementatie van het beheer van informatiebeveiliging van de organisatie ontoereikend zijn, bijv. gedocumenteerde doelstellingen en eisen zijn niet gehaald of niet in overeenstemming met de koers voor informatiebeveiliging zoals opgenomen in de beleidsregels voor informatiebeveiliging (zie 5.1.1), behoort de directie corrigerende maatregelen te overwegen.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
Ook ISO/IEC 27007, Guidelines for information security management systems auditing en ISO/IEC TR 27008, Guidelines for auditors on information security controls bieden richtlijnen voor het uitvoeren van de onafhankelijke beoordeling.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
De directie behoort regelmatig de naleving van de informatieverwerking en -procedures binnen haar verantwoordelijkheidsgebied te beoordelen aan de hand van de desbetreffende beleidsregels, normen en andere eisen betreffende beveiliging.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Managers behoren vast te stellen op welke manier wordt beoordeeld of is voldaan aan informatiebeveiligingseisen zoals gedefinieerd in beleidsregels, normen en andere toepasselijke regelgeving. Voor een doeltreffende regelmatige beoordeling behoort te worden overwogen om automatische meet- en rapportage-instrumenten in te zetten.
Indien de beoordeling een geval van niet-naleving oplevert, behoren managers:
a) de oorzaken van de niet-naleving vast te stellen;
b) de noodzaak te evalueren tot het treffen van maatregelen om naleving te bewerkstelligen;
c) passende corrigerende maatregelen te implementeren;
d) de getroffen corrigerende maatregelen te beoordelen om de doeltreffendheid ervan te verifiëren en om gebreken of zwakke plekken te identificeren.
Resultaten van door managers uitgevoerde beoordelingen en getroffen corrigerende maatregelen behoren te worden geregistreerd en deze verslagen behoren te worden bewaard. Managers behoren de resultaten te rapporteren aan de personen die onafhankelijke beoordelingen uitvoeren (zie 18.2.1) wanneer een onafhankelijke beoordeling plaatsvindt binnen hun verantwoordelijkheidsgebied.
Zorgspecifieke implementatierichtlijn
<geen>
Overige informatie
De operationele controle van het systeemgebruik wordt behandeld in 12.4.
Overige zorgspecifieke informatie
<geen>
Beheersmaatregel
Informatiesystemen behoren regelmatig te worden beoordeeld op naleving van de beleidsregels en normen van de organisatie voor informatiebeveiliging.
Zorgspecifieke beheersmaatregel
<geen>
Implementatierichtlijn
Technische naleving behoort bij voorkeur te worden beoordeeld met behulp van geautomatiseerde instrumenten die technische rapporten vervaardigen, die vervolgens door een technisch specialist worden geïnterpreteerd. Als alternatief kunnen handmatige beoordelingen (indien nodig ondersteund door passende software-instrumenten) door een ervaren systeemtechnicus worden uitgevoerd.
Indien penetratietests of kwetsbaarheidsbeoordelingen worden toegepast is voorzichtigheid geboden omdat dergelijke activiteiten de beveiliging van het systeem kunnen compromitteren. Dergelijke tests behoren te worden gepland en gedocumenteerd en behoren herhaalbaar te zijn.
Beoordeling van technische naleving behoort uitsluitend te worden uitgevoerd door competente, bevoegde personen of onder toezicht van dergelijke personen.
Zorgspecifieke implementatierichtlijn
Er wordt speciaal gewezen op naleving in het kader van technische interoperabiliteit, aangezien grootschalige gezondheidsinformatiesystemen meestal uit een groot aantal onderling samenwerkende systemen bestaan.
Overige informatie
Beoordelingen van technische naleving omvatten onderzoek van productiesystemen om te waarborgen dat beheersmaatregelen voor hardware en software correct zijn geïmplementeerd. Dit soort beoordeling van naleving vereist specialistische technische expertise.
Beoordelingen van naleving behelzen bijvoorbeeld ook penetratietests en kwetsbaarheidsbeoordelingen die kunnen worden uitgevoerd door onafhankelijke deskundigen die specifiek voor dit doel zijn gecontracteerd. Dit kan nuttig zijn om in het systeem kwetsbaarheden op te sporen en om te onderzoeken hoe doeltreffend de beheersmaatregelen zijn in het voorkomen van onbevoegde toegang als gevolg van deze kwetsbaarheden.
Penetratietests en kwetsbaarheidsbeoordelingen geven een momentopname van een systeem in een bepaalde staat op een bepaald moment. De momentopname is beperkt tot die delen van het systeem die werkelijk tijdens de penetratiepoging(en) zijn getest. Penetratietests en kwetsbaarheidsbeoordelingen zijn geen vervanging van een risicobeoordeling.
ISO/IEC TR 27008 biedt specifieke richtlijnen met betrekking tot beoordelingen van technische naleving.
Overige zorgspecifieke informatie
<geen>
