De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012

GepubliceerdGerda Vermeiren Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012"— Transcript van de presentatie:

1 NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012
NEN norm voor Informatiebeveiliging voor de zorgsector in Nederland “Beveiliging kan niet een sluitpost zijn”. 21 october 2012 Ricoh Nederland Market Development Healthcare, Pieter Rahusen mmBusiness Consultancy, Robert Reemer en Gerald Lie

2 Overzicht van de presentatie
Waarom informatiebeveiliging in de zorg? Wat is de NEN 7510 norm? Doel van de NEN 7510 norm Historie van de NEN 7510 norm Context NEN 7510 norm Aandachtsgebieden NEN 7510 norm Implementatie NEN 7510 norm Stappenplan invoering NEN 7510 norm Relevante partijen in de zorg Veelgestelde vragen

3 Waarom informatiebeveiliging in de zorg?
Steeds meer nadruk op ketenzorg Goede communicatie tussen zorginstellingen nodig - informatie is van levensbelang (patiëntveiligheid) - kwaliteit van de informatie dus ook (juistheid en volledigheid) Conclusies onderzoek IGZ naar informatie uitwisseling (2011): - Grootste risico’s in de zorg bij informatie uitwisseling, ongeacht wel of niet inzet van ICT hierbij - Patiëntgerelateerde informatie is versnipperd opgeslagen (zelfs binnen instellingen) - Ondanks toenemend gebruik van een EPD (Elektronisch Patiënten Dossier) - Dossiers zijn niet actueel - Dossiers zijn niet compleet - Bevatten deels informatie die niet relevant is voor de zorgprofessional

4 Wat is de NEN 7510 norm Norm voor Informatiebeveiliging voor de zorgsector in Nederland Ontwikkeld door het Nederlands Normalisatie-instituut (NEN) De norm is gebaseerd op de Code voor Informatiebeveiliging Aangepast vanwege privacybescherming en taalgebruik De NEN 7510 norm is aanvulbaar met: - NEN 7511 (gericht op voorschrift solopraktijken, samenwerkings-verbanden en grote instellingen) - NEN 7512 (gericht op AORTA, nationale infrastructuur voor uitwisseling elektronische gegevens in de zorg) - NEN 7513 (gericht op vastleggen/logging van acties op het elektronisch patiëntendossier)

5 Doel van de NEN 7510 norm Doel van NEN 7510: een kader bieden voor het realiseren van adequate informatiebeveiliging, door: - Borgen van de kwaliteitscriteria (kader bieden) - Mogelijk maken dat de benodigde informatiebeveiligingsmaatregelen op controleerbare wijze zijn ingericht (ondersteuning bij implementatie) Onder informatiebeveiliging in de zorg wordt verstaan: - het waarborgen van de beschikbaarheid van alle informatie - het waarborgen van de integriteit van alle informatie - het waarborgen van de vertrouwelijkheid van alle informatie benodigd om patiënten verantwoorde zorg te kunnen bieden

6 Historie van de NEN 7510 norm
In 2004 is de Nederlandse norm NEN 7510 gepubliceerd. Elke vijf jaar wordt een beslissing genomen of een norm wordt gehandhaafd, gereviseerd of ingetrokken. In 2009 is de NEN 7510 norm door de normcommissie 'Informatievoorziening in de zorg gecontroleerd op actualiteit. Mede gezien de publicatie van de norm NEN-EN-ISO (in 2008) is besloten dat NEN 7510 moet worden gereviseerd, met als gewenst resultaat: - De eisen worden enigszins aangescherpt - De norm wordt gemakkelijker implementeerbaar Aangezien de driedelige norm NEN 7511 samenhangt met NEN 7510 is deze norm in de revisie meegenomen. De gereviseerde norm NEN 7510 is recent (eind oktober 2011) gepubliceerd. Na publicatie zijn NEN 7510:2004 en NEN 7511:2005 ingetrokken.

7 Context NEN 7510 norm

8 Aandachtsgebieden NEN 7510 norm
Onderwerp en toepassingsgebied Normatieve verwijzingen Termen en definities Structuur van de norm Beveiligingsbeleid Organiseren van informatiebeveiliging Beheer van middelen voor de informatievoorziening Beveiligingseisen t.a.v. personeel Fysieke beveiliging en beveiliging van de omgeving Operationeel beheer van informatie en communicatie voorzieningen Beveiliging toegang tot informatie Aanschaf, ontwikkeling en onderhoud van informatiesyst. Continuïteitsbeheer Naleving Beveiligingsincidenten

9 5. Beveiligingsbeleid Informatiebeveiligingsbeleid
Beleidsdocument voor informatiebeveiliging Beoordeling van het informatiebeveiligingsbeleid - Evaluatie - actualisatie

10 6. Organiseren van informatiebeveiliging
Organisatorische infrastructuur - Betrokkenheid directie - Coördinatie van informatiebeveiliging - Toewijzing verantwoordelijkheden Onafhankelijke beoordeling van informatiebeveiliging Beveiliging van toegang door derden - Identificatie van risico’s - Beveiliging in omgang met derden - Beveiliging in overeenkomsten met derden Uitbesteding

11 7. Beheer van bedrijfsmiddelen
- Verantwoordelijkheid voor bedrijfsmiddelen - Verantwoordelijken voor bedrijfsmiddelen - Inventarisatie van bedrijfsmiddelen - Aanvaardbaar gebruik van bedrijfsmiddelen Classificatie van informatie - Richtlijnen voor classificatie - Labeling en verwerking van informatie

12 8. Beveiligingseisen t.a.v. personeel
Voorafgaand aan dienstverband - Rollen en verantwoordelijkheden - Screening - Arbeidsvoorwaarden Tijdens het dienstverband - Directieverantwoordelijkheid - Bewustzijn, opleiding en training t.a.v. informatiebeveiliging Disciplinaire maatregelen Beëindiging of wijziging van dienstverband - Beëindiging van verantwoordelijkheden - Retourneren van bedrijfsmiddelen - Intrekken van toegangsrechten

13 9. Fysieke beveiliging en omgeving
Beveiligde ruimten - Fysieke toegangsbeveiliging - Beveiliging van kantoren, ruimten en faciliteiten - Bescherming tegen bedreigingen van buitenaf - Werken in beveiligde ruimten Beveiliging van apparatuur - Plaatsing en bescherming apparatuur - Bekabeling - Onderhoud van apparatuur - Beveiliging van apparatuur buiten het terrein - Verwijdering van bedrijfseigendommen

14 10. Operationeel beheer info/voorzieningen
Bedieningsprocedures en verantwoordelijkheden - Wijzigingsbeheer - Functiescheiding Beheer van dienstverlening door derden Systeemplanning en -acceptatie Bescherming tegen kwaadaardige software en “mobile code” Back-up en herstel Netwerkbeheer Behandeling en beveiliging van opslagmedia Uitwisseling van informatie en software

15 11. Beveiliging toegang tot informatie
Beleid ten aanzien van toegangsbeveiliging Identificatie en authentificatie - Registratie van gebruikers - Gebruikersidentificatie - Keuze van authentificatiewijze - Beheer van identificatie-/authentificatiesystemen - Gebruik van wachtwoorden en authentificatiemiddelen Autorisatie en toegangscontrole - Management van toegangsrechten/autorisatiebeheer - Toegangsbeveiliging voor netwerken - Toegangsbeveiliging voor besturingssystemen - Toegangsbeveiliging voor toepassingen - Monitoring van toegang en gebruik van systemen - Mobiele computers en telewerken

16 12. Aanschaf, ontwikkeling en onderhoud
Beveiligingseisen voor systemen Beveiliging in toepassingssystemen Cryptografische beveiliging Beveiliging van systeembestanden Beveiliging bij ontwikkel- en ondersteuningsprocessen

17 Ondersteuning implementatie NEN 7510
Stappenplan Implementatiekaarten Voorbeelden Artikelen Checklists ‘Top-tien’ Bedreigingen en maatregelen Sjablonen Bewustwording Beeldvorming Prioriteitstelling Ontwerp Planning Implementatie Onderhoud Evaluatie

18 Stappenplan invoering NEN 7510 norm
Breng de bedrijfsprocessen in kaart Bepaal de afhankelijkheid van elektronische informatie uitwisseling Inventariseer en analyseer de mogelijke bedreigingen - Risico analyse uitvoeren (kans x impact) - Beoordelen op beschikbaarheid, integriteit en vertrouwelijkheid Maak keuze voor de te nemen beveiligingsmaatregelen Leg maatregelen vast in een informatiebeveiligingsplan Implementeer de beveiligingsmaatregelen

19 Stappenplan invoering NEN 7510 norm
CBP: Privacy College Bescherming Persoonsgegevens,houdt toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen IGZ: Kwaliteit Inspectie voor de Gezondheidszorg, bevordert de volksgezondheid door effectieve handhaving van de kwaliteit van zorg, preventie en medische producten. CVZ: Doelmatigheid College voor Zorgverzekeringen, overheidsorganisatie die erover waakt dat verzekerden via de Zorgverzekeringswet en de Algemene Wet Bijzondere Ziektekosten de zorg kunnen krijgen die voor hen noodzakelijk is NEN: normen NEderlandse Norm (samenwerkingsverband van Normalisatie-instituut en de Stichting NEC), begeleidt het maken van afspraken over producten, werkwijzen en diensten, en publiceert deze NICTIZ: GBZ (goed beheerd zorgsysteem) i.v.m. aansluiting op (ex-)LSP Nationaal ICT instituut in de zorg, landelijk expertisecentrum dat ontwikkeling van ICT in de zorg faciliteert

20 Veelgestelde vragen Is het gebruik van NEN 7510 verplicht? 1
Bij verantwoorde zorg hoort ook hoe de zorginstelling en de hulpverlener de informatie verwerken, die noodzakelijk is voor goede patiëntenzorg. Informatieverwerking en beveiliging is dan ook onderdeel van verantwoorde zorg en valt daarmee onder het toezichtsterrein van de Inspectie voor de Gezondheidszorg (IGZ). Sinds 2010 is de NEN 7510 norm voor zorginstellingen verplicht (als gevolg van de invoering van het BSN en gebruik van een EPD). De IGZ toetst zorginstellingen op basis van de NEN 7510 norm of de juiste maatregelen zijn getroffen voor invoering en handhaving van een adequate informatiebeveiliging.

21 Veelgestelde vragen 2 Wat is een geavanceerde elektronische handtekening en is zo’n handtekening wel veilig? Voor een 'gewone' elektronische handtekening zijn de eisen verbonden: - dat deze op een unieke wijze aan de ondertekenaar verbonden moeten zijn - het moet mogelijk zijn de ondertekenaar te identificeren - deze moet tot stand komen met middelen die de ondertekenaar onder zijn controle kan houden - tevens dient iedere wijziging van de gegevens achteraf te kunnen worden opgespoord. De geavanceerde elektronische handtekening gaat nog een stap verder en moet gebaseerd zijn op een gekwalificeerd certificaat en zijn gegenereerd door een veilig middel voor het aanmaken van elektronische handtekeningen. Dit is conform de Europese Richtlijn 1999/91/EG.

22 Veelgestelde vragen 3 Moet in gebruik genomen software gecertificeerd zijn tegen NEN 7510? Nee. De zorginstelling dient te voldoen aan NEN Zij stellen een pakket van eisen op en leggen dit voor bij de softwareleverancier. De leverancier moet, via specificaties, kunnen aantonen dat hij kan voldoen aan de gestelde eisen.

23 NEN7510 Document

24 Dank voor uw aandacht

25 Vragen? 25

26 26

Download ppt "NEN 7510 “Beveiliging kan niet een sluitpost zijn”. 21 october 2012"

Verwante presentaties

Op weg naar meerjarenafspraken van GGZ Nederland, IGZ en HKZ over de toetsing van veiligheidsnormen, aansluitend op de doelstellingen van het patiëntveiligheidsprogramma.

Op weg naar meerjarenafspraken van GGZ Nederland, IGZ en HKZ over de toetsing van veiligheidsnormen, aansluitend op de doelstellingen van het patiëntveiligheidsprogramma.
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Een gebrek aan patiëntveiligheid

Een gebrek aan patiëntveiligheid
Informatiebeveiliging

Informatiebeveiliging
Subsetten & Anonimiseren

Subsetten & Anonimiseren
Zelfregie Grote doorbraken komen altijd voort uit cliënten acties en initiatieven. De overheid, de instellingen en de professionals lopen altijd achter.

Zelfregie Grote doorbraken komen altijd voort uit cliënten acties en initiatieven. De overheid, de instellingen en de professionals lopen altijd achter.
Gegevensbeheer Karin Diederiks KOAC•NPC.

Gegevensbeheer Karin Diederiks KOAC•NPC.
Kwaliteitshandboek CLB Genk-Maasland.

Kwaliteitshandboek CLB Genk-Maasland.
“HDN en de zorgplicht in de keten”

“HDN en de zorgplicht in de keten”
Praktische toepassing van de Europese normen in de lastechniek

Praktische toepassing van de Europese normen in de lastechniek
Haven Amsterdam is een bedrijf van de gemeente Amsterdam De invoering van de havenbrede richtlijn Project Havenbrede Richtlijn.

Haven Amsterdam is een bedrijf van de gemeente Amsterdam De invoering van de havenbrede richtlijn Project Havenbrede Richtlijn.
Accreditatierichtlijn beveiliging van bestanden

Accreditatierichtlijn beveiliging van bestanden
© Copyright 1998 by KPMG Management Consulting N.V. 2.2 De fasen in het leven van de IV- infrastructuur.

© Copyright 1998 by KPMG Management Consulting N.V. 2.2 De fasen in het leven van de IV- infrastructuur.
Collectieve en Individuele valbeveiliging

Collectieve en Individuele valbeveiliging
Doel informatievergadering

Doel informatievergadering
Het veilig uitwisselen van elektronische patiëntengegevens.

Het veilig uitwisselen van elektronische patiëntengegevens.
De Patiëntenrichtlijn

De Patiëntenrichtlijn
EVALUATIE & PLANNING Ondersteuning kwaliteitshandboek IBO/KDV

EVALUATIE & PLANNING Ondersteuning kwaliteitshandboek IBO/KDV
1.3 Kwaliteitsborging.

1.3 Kwaliteitsborging.
1 juni 2010 Verdiepingsdag Toezicht Integraal Toezicht nu en in de toekomst.

1 juni 2010 Verdiepingsdag Toezicht Integraal Toezicht nu en in de toekomst.

Verwante presentaties

Ads door Google