Cursusdag ICT-standaarden in de zorg Nieuwegein, 20 mei 2014 Toelichting NEN 7510 Informatiebeveiliging in de zorg Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC Inhoud • • • • • Toelichting informatiebeveiliging Toelichting NEN 7510 Overige relevante normen Informatiebeveiliging Erasmus MC Afsluiting Toelichting informatiebeveiliging Wat is informatiebeveiliging? (1) Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen ter voorkoming en beperking van het optreden van bedreigingen van binnen- en van buitenaf. Beschikbaarheid Integriteit Vertrouwelijkheid Wat is informatiebeveiliging? (2) Identificatie en authenticatie Autorisatie Role based Access control Waarom informatiebeveiliging? • Patiëntveiligheid • Beschikbaarheid, integriteit, vertrouwelijkheid • Verwachtingen van de omgeving (o.a. patiënten, studenten, toezichthouders, w.o. IGZ en CBP) • Wet- en regelgeving (WGBO, WBP, NEN7510) • Voorkoming van (financiële) schade • Bescherming van het imago van de organisatie Wet- en regelgeving - WBP • Art. 13: “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.” • Patiëntgegevens zijn zogenaamde ‘bijzondere gegevens’ • Art. 21 WBP geeft regels voor de verwerking van patiëntgegevens (o.a. geheimhouding) Wet- en regelgeving - WGBO • Wet op de Geneeskundige Behandelingsovereenkomst (art. 446 t/m 468 Burgerlijk Wetboek) • Behandelrelatie patiënt – zorgverlener staat centraal • Regelt onder andere: – Dossierplicht zorgverlener (art. 454) – Rechten patiënt (inzage, afschrift, aanvulling, correctie, afscherming, verwijdering en vernietiging) – Beperking toegang dossier – Vertrekking patiëntgegevens t.b.v. statistisch en wetenschappelijk onderzoek Wetgeving – Europese privacywetgeving • Bestaande ‘EU Data Protection Directive • Nieuwe ‘EU General Data Protection Directive’ – Privacy by default/design – Privacy Impact Assessment (PIA) – Profiling – ‘Het recht om vergeten te worden’ – Financiële sancties (1-5% bruto omzet) Toelichting NEN 7510 Historie NEN 7510 • 2002-2003 Project van NEN en vertegenwoordigers uit de zorgsector • 2004 uitgebracht als versie 1.0 • Gebaseerd op ‘Code voor Informatiebeveiliging’ • Doel: handvat bieden voor implementatie informatiebeveiliging • Versie 2.0 uitgebracht najaar 2011 • Nadruk op managementsysteem en risicoanalyse Risicoanalyse Risicoanalyse Inventariseer de informatiemiddelen Bepaal de waarde van de informatiemiddelen en afhankelijkheden ertussen Inventariseer de Bepaal de Bepaal de bestaande en bedreigingen kwetsbaarheden geplande maatregelen Beoordeel de risico’s Bepaal af te dekken risico’s Kies de maatregelen Restrisico aanvaarden? Nee Ja Informatiebeveilligingsbeleid Informatiebeveiligingsplan Information Security Management System (ISMS) Plan Interested Parties Het Establish ISMS Establish vaststellen ISMS ISMS Belanghebbenden Do Eisen Information en verwachtingen security t.a.v.requirements informatiebeveiliging and expectations Interested Parties Het ISMS implemenImplement Implementand and teren en the uitvoeren operate ISMS operate the ISMS Het ISMS bijhouden Maintain and Maintain and en verbeteren improve the ISMS improve the ISMS Het Monitor ISMS bewaken Monitorand and enreview beoordelen reviewthe ISMS theISMS ISMS Check Belanghebbenden Act Managed Beheerde informatiesecurity beveiliging NEN 7510 - beheersmaatregelen • • • • • • • • • • • Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Personeel Fysieke beveiliging en beveiliging van de omgeving Beheer van communicatie- en bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling en onderhoud van informatiesystemen Beheer van informatiebeveiligingsincidenten Bedrijfscontinuïteitsbeheer Naleving Voorbeeld beheersmaatregel • 11.1.1 Toegangsbeleid • Er behoort toegangsbeleid te worden vastgesteld, gedocumenteerd en beoordeeld op basis van bedrijfseisen en beveiligingseisen voor toegang. • Een organisatie die patiëntgegevens verwerkt, behoort een toegangsbeleid ten aanzien van deze gegevens te hanteren. Het toegangsbeleid behoort te voldoen aan professionele, ethische, wettelijke en patiëntgerelateerde eisen en tevens tegemoet komen aan de eisen die het werk van zorgprofessionals stelt en speciale aandacht besteden aan de beschikbaarheid van gegevens bij het verlenen van acute zorg. Samenstelling NEN 7510 • Combinatie van: – Organisatorische maatregelen – Technische maatregelen – Fysieke maatregelen • Gericht op: – – – – Bedrijfsprocessen Informatievoorziening Infomatietechnologie Geautomatiseerd en niet-geautomatiseerd Certificatieschema NEN7510 • Voorkomt van wildgroei schema’s • Stimuleert implementatie NEN7510 • Bevordert transmurale zorg met ICT • Vergroot zekerheid inzet externe partijen Overige relevante normen • NEN 7512, Vertrouwensbasis voor gegevensuitwisseling (in revisie) • NEN 7513, Logging – Vastleggen van actie op elektronische patiëntdossiers • NEN 7521, Toegang tot patiëntgegevens – Grondslagen voor uitwisseling (in ontwikkeling) • …….. Standaarden en organisaties • ISO/TC 215, WG4, Privacy and Security • CEN/TC 251, WG6, Health care, Security, Privacy, Quality and Safety • ISO270xx (Information security) • ISO27799 (ISM in Health using ISO 27002) • ISO22301, Requirements BCMS • ISO22313, Guidance BCMS • ISO31000, Risk management • Cobit, ITIL, BSIL, ASL, etc. Informatiebeveiliging in het Erasmus MC Missie Erasmus MC Het Erasmus MC staat voor een gezonde bevolking en excellente zorg door onderzoek en onderwijs. Het Erasmus MC is erkend leidend in innovaties voor gezondheid en zorg. Toelichting Erasmus MC • • • • Onderdelen Erasmus MC - centrumlocatie Erasmus MC - Sophia Kinderziekenhuis Erasmus MC - Daniël den Hoed Kliniek Erasmus MC - faculteit • • • • • Kengetallen Aantal klinische bedden: 1.300 Aantal polikliniekbezoeken: 530.000 p.j. Aantal operatiekamers: 30 Aantal medewerkers: 11.000 Aantal studenten: 3.000 Uitgangspunten informatiebeveiliging Erasmus MC • Iedereen heeft een rol bij informatiebeveiliging – integrale managementverantwoordelijkheid • Gestructureerde aanpak • NEN-normen 7510, 7512 en 7513 en wet- en regelgeving • Stimuleren beveiligingsbewustzijn bij management en medewerkers • Aandacht voor informatiebeveiliging bij ontwikkeling en beheer van informatiesystemen • Gedragscode voor medewerkers, inclusief sancties • Toezicht op naleving • Samenwerking met andere partijen, waaronder andere UMC’s, NVZ en het NCSC Managementsysteem voor informatiebeveiliging Beleidsvorming Monitoring, evaluatie en controle Implementatie RisicoAnalyse Planvorming Organisatie informatiebeveiliging Erasmus MC Lijnmanagement Coördinator Informatiebeveiliging Portefeuillehouder RvB CISO / IT Security Officer Functionaris Gegevensbescherming Computer Emergency Response Team Audit Overige betrokkenen Diverse overlegvormen Controle en rapportage via P&C-cyclus De rol van de ‘Security Officer’ • Beheer informatiebeveiligingsbeleid, richtlijnen en standaarden • Coördineren van de implementatie van informatiebeveiliging • Communicatie en voorlichting • Evaluatie, rapportage en advies Communicatiecampagnes • • • • • • • • • Presentaties management Personeelsblad Intranet Posters Toelichting in werkoverleg Introductie nieuwe medewerkers Controle van werkplekken Social engineering Meting van resultaten door enquête Tien geboden voor informatiebeveiliging Houd wachtwoorden geheim Berg vertrouwelijke informatie op Beveilig uw werkplek bij (tijdelijke) afwezigheid Verstrek geen vertrouwelijke informatie ongecontroleerd aan derden Gebruik internet en e-mail op een goede manier Pas op bij het downloaden van bestanden, gebruik geen illegale programmatuur Wees je bewust wat je doet met social media Meld een beveiligingsincident aan de helpdesk, leidinggevende of Coördinator Informatiebeveiliging Wees voorzichtig met mobiele apparatuur (laptop, USB-stick, etc.) Sla gegevens op op het netwerk of zorg anders voor een goede back-up Controle werkplekken Tot slot (1) Valkuilen en aandachtspunten • Management commitment • Beveiliging is niet populair • Verantwoordelijkheid in de lijn • Balans vinden in risico en gebruikersgemak • Balans vinden in continuïteit versus privacy • Het is een zaak van lange adem, vereist continue aandacht Tot slot (2) Drs. J.W.R. Schoemaker CISSP CISO / Business Continuity Manager Erasmus MC, Universitair Medisch Centrum Rotterdam 's-Gravendijkwal 230 Postbus 2040 3000 CA Rotterdam Tel 010 - 703 67 61 E-mail [email protected] Internet www.erasmusmc.nl Tot slot (3)
© Copyright 2024 ExpyDoc
