Informatieveiligheid & General Data Protection Regulation

Alles over deze dienst

Informatieveiligheid in ziekenhuizen

In dit document (wcag.label.file wcag.label.externalLink) worden gedetailleerde minimale normen opgenomen, die noodzakelijk zijn om de beveiliging van informatie in de ziekenhuizen te waarborgen.

Veiligheidsconsulent - Opleidingen

Het eHealth-platform biedt jaarlijks een opleiding aan rond informatieveiligheid en gegevensbescherming.

In samenwerking met de erkende gespecialiseerde dienst van Smals werd een opleidingsplan opgesteld. Dit opleidingsprogramma legt de nadruk op de kennis die een DPO of informatieveiligheidsconsulent moet hebben om de opdracht naar behoren te vervullen, ongeacht de grootte van de organisatie waarin deze is tewerkgesteld.

Geïnteresseerden die aan deze opleiding wensen deel te nemen, moeten voldoen aan de volgende voorwaarde :

  • de organisatie maakt gebruik van de basisdiensten van het eHealth-Platform

Voor alle praktische inlichtingen (data van de cursussen, inschrijvingen, lokalen, ...) kunt u terecht bij Joëlle Ankaer ( wcag.label.externalLink) (02-787.58.62)
Voor inlichtingen in verband met de inhoud van de cursus kunt u contact opnemen met security@ehealth.fgov.be ( wcag.label.externalLink)

Beschrijving Programma (wcag.label.file wcag.label.externalLink)

Inschrijvingsformulier (wcag.label.file wcag.label.externalLink)

Dates Languages Modules
23/04/20 NL Inleiding & governance + bescherming van de persoonsgegevens
30/04/20 NL Risicobeheer
07/05/20 NL ICT technische veiligheid
14/05/20 NL De fysieke veiligheid + bewustmaking
28/05/20 NL Het beheer van veiligheidsincidenten + continuiteit
04/06/20 NL Data protection by design + Cloud
11/06/20 NL Samenvattende oefening

General Data Protection Regulation

De Europese Algemene Verordening Gegevensbescherming ("European General Data Protection Regulation" afgekort “EU GDPR”) introduceert nieuwe regels rond het beheer en de beveiliging van persoonsgegevens. De Europese Commissie beoogt met deze Verordening om de burgers terug controle te geven over hun persoonsgegevens en het regelgevende kader voor internationale bedrijven te vereenvoudigen door de regels binnen de EU gelijkvormig te maken.

Deze verordening is op 24 mei 2016 in werking getreden. Maar er is in een overgangsperiode van 2 jaar voorzien waardoor alle organisaties tot 25 mei 2018 de tijd krijgen om zich aan de nieuwe eisen van de EU GDPR aan te passen. In tegenstelling tot een Richtlijn is er geen omzetting vereist in de Belgische regelgeving.

Het eHealth-platform wenst via deze webpagina de juiste informatie samen te brengen over deze nieuwe verordening.

Hieronder vindt u de links naar relevante bronnen:

Verdere informatie van de Europese Commissie rond de EU GDPR

De Gegevensbeschermingsautoriteit (GBA) heeft een specifieke webpagina ( wcag.label.externalLink) rond EU GDPR en een stappenplan (wcag.label.file wcag.label.externalLink) uitgetekend voor de implementatie van de EU GDPR.

De Gegevensbeschermingsautoriteit (GBA) heeft ook een aanbeveling (wcag.label.file wcag.label.externalLink) uit eigen beweging uitgebracht met betrekking tot de gegevensbeschermingseffectbeoordeling (“data protection impact assessment” of “DPIA”).

De KSZ heeft een roadmap (wcag.label.file wcag.label.externalLink) uitgetekend voor de implementatie van de EU GDPR.

De KSZ heeft de minimale normen voor informatieveiligheid ( wcag.label.externalLink) aangepast en ook in overeenstemming gebracht met de EU GDPR

Deze webpagina zal geregeld aangepast worden op basis van nieuwe teksten en evoluties.

Het koninklijk besluit van 17/03/2013 omschrijft « informatieveiligheid » als: strategie, regels, procedures en middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid, de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen.

In grote lijnen betreft het de beveiliging van alle vormen van informatie van een organisatie tegen onbevoegde toegang of wijziging, waarbij er maatregelen worden genomen om volgende informatie-eigenschappen te garanderen:

  • beschikbaarheid: op het gewenste moment toegang hebben tot gegevens en erover kunnen beschikken;
  • integriteit: de juistheid en volledigheid van gegevens;
  • vertrouwelijkheid: de gegevens enkel beschikbaar stellen voor bevoegde personen en entiteiten of voor de juiste processen;
  • authenticiteit: de mate van betrouwbaarheid van de originaliteit en herkomst van de gegevens;
  • onweerlegbaarheid: het kunnen aantonen dat een actie of een gebeurtenis effectief plaatsvond;
  • eveneens is het begrip auditeerbaarheid belangrijk, m.a.w. het opspoorbaar zijn van handelingen en activiteiten door bevoegde (of onbevoegde) personen.

In het domein van informatieveiligheid staan vragen centraal zoals: Wie heeft toegang tot welke informatie en wanneer? Zijn de activiteiten, bij het opvragen van informatie, traceerbaar (en dus auditeerbaar)? Hoe beveiligen we de opslag en de uitwisseling van gevoelige informatie tussen verschillende partijen? Wat zijn onze beveiligingsrisico’s en welke maatregelen kunnen we nemen om de risico’s te verminderen en te beantwoorden aan de wetgeving? Hoe kunnen we aantonen dat onze organisatie informatiebeveiliging onder controle heeft? Hoe realiseren we informatiebeveiliging op een effectieve, efficiënte (en kostenefficiënte) manier? Wie is verantwoordelijk voor wat?...etc..

De elektronische uitwisseling van persoonsgegevens tussen de diverse actoren in de gezondheidssector en het belang van de kwaliteit van de gegevens zijn niet meer weg te denken, evenals de risico’s gekoppeld aan de technologische evolutie en de digitalisering van informatie. Hoewel deze evolutie een aanzienlijke verbetering inhoudt van de kwaliteit van de dienstverlening groeit de nood aan bijkomende waarborgen om te beschikken over betrouwbare informatie en het aanbieden van het gewenste niveau van dienstverlening.

Door het groeiend aantal gegevensbanken en de aanzienlijke toename van het aantal uitwisselingen van persoonsgegevens vormen er zich ook bijkomende risico’s waardoor de bescherming van de privacy (zoals de medische gegevens van patiënten) in gedrang kan komen. Daarom is het nodig een visie uit te werken inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer.

Het koninklijk besluit van 23 oktober 1964 voorziet een informatieveiligheidsdienst in alle ziekenhuisinstellingen. Deze informatieveiligheidsdienst staat onder leiding van een veiligheidsconsulent, eventueel bijgestaan door één of meerdere adjuncten. De informatieveiligheidsconsulenten worden aangesteld na advies van het sectoraal comité van de sociale zekerheid en van de gezondheid.

Alvorens een advies uit te brengen, gaat het sectoraal comité van de sociale zekerheid en van de gezondheid na of de kandidaten voldoende bekwaam zijn, over de nodige tijd beschikken om hun opdrachten uit te voeren en of ze geen activiteiten uitoefenen die onverenigbaar zijn met de functie van informatieveiligheidsconsulent.

Het volstaat om volgend formulier in te vullen en terug te sturen:

Onderstaande URL zal worden geïntegreerd in de webpagina.

  1. ofwel via mail naar security@ehealth.fgov.be
  2. ofwel via de post naar de voorzitter van het Sectoraal comité van de sociale zekerheid en van de gezondheid, Willebroekkaai 38, 1000 Brussel.

Het Sectoraal comité zal de kandidatuur onderzoeken en als de kandidaat geschikt blijkt voor de functie, zal het een positief advies verlenen voor de aanstelling tot  informatieveiligheidsconsulent of (adjunct-) informatieveiligheidsconsulent.

Het sectoraal comité kan ook oordelen dat de kandidaat een bijkomende opleiding in een bepaald domein dient te volgen.

Elke wijziging van informatieveiligheidsconsulent moet onmiddellijk worden gemeld aan het Sectoraal comité van de sociale zekerheid en van de gezondheid: indien nodig moet een nieuwe kandidatuur worden ingediend op basis van het bovenstaande referentieformulier.

De informatieveiligheidsconsulent staat mede garant voor de informatieveiligheid en de bescherming van de persoonlijke levenssfeer binnen de ziekenhuizen. Zijn rol is niet altijd even eenvoudig en ook de reglementeringen en andere regels die op hem van toepassing zijn vragen soms om verduidelijking.

Een informatieveiligheidsconsulent heeft een:

  • adviserende, stimulerende, documenterende,  controlerende1 en rapporterende opdracht inzake informatieveiligheid en de bescherming van de persoonlijke levenssfeer. De leidinggevenden binnen de betrokken instantie (bv. een ziekenhuis) behouden de beslissingsbevoegdheid en  eindverantwoordelijkheid over de verwerking van de persoonsgegevens.
  • De informatieveiligheidsconsulent bevordert de naleving van de informatieveiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling en bevordert eveneens het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in het ziekenhuis.
  • De informatieveiligheidsconsulent staat in rechtstreeks contact met de verantwoordelijke voor het dagelijks bestuur. Hij verleent het bestuur advies, op vraag van of op eigen initiatief, over alle aspecten van de informatieveiligheid.
  • Tenzij de risico's niet zwaarwegend zijn, worden de adviezen schriftelijk en gemotiveerd uitgebracht. Als de verantwoordelijke voor het dagelijks bestuur afwijkt van een schriftelijk advies, dient hij de informatieveiligheidsdienst hiervan schriftelijk en gemotiveerd op de hoogte te brengen. Op die manier kan de informatieveiligheidsdienst de noodzakelijke opvolging verzekeren met betrekking tot de getroffen veiligheidsmaatregelen.
  • De informatieveiligheidsconsulent werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn. Afhankelijk van de grootte van de organisatie is dit inzonderheid (echter niet uitsluitend) met de hoofdgeneesheer, informaticadienst, de preventiedienst, dienst interne audit/interne controle en dienst communicatie.
  • De informatieveiligheidsconsulent dient een gedegen kennis te bezitten van de informatica-omgeving van de organisatie en de domeinen van informatieveiligheid. Hij dient deze kennis op peil te houden.
  • De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van informatieveiligheidsplan op voor een bepaalde termijn, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren.

 De term “controlerende” staat synoniem voor “beheersen “ en/of “toezicht houden op”.

De invulling van de functie van informatieveiligheidsconsulent is niet alleen afhankelijk van de wetgeving en reglementeringen maar ook van de verwachtingen van het bevoegde orgaan binnen de instelling, de geïdentificeerde operationele risico’s en de expertise van de informatieveiligheidsconsulent. Het is echter belangrijk dat de omvang van de functie bepaald wordt in overleg met de verantwoordelijke voor het dagelijks bestuur en verenigbaar is met zijn reglementaire opdracht (zie pt. 3). Onderaan vindt u een (niet exhaustief) lijst van mogelijke activiteiten;

  • Interpreteren van de informatieveiligheidsreglementering op maat van de organisatie
  • Verder ontwikkelen van het veiligheidsbeleid
  • Voorstellen van een informatieveiligheidsstrategie
  • Nemen van initiatieven omtrent informatieveiligheid
  • Coördineren van activiteiten omtrent informatieveiligheid
  • Beheren van het “Information security management”-system (ISMS)
  • Beheren van het informatieveiligheidsplan (ISP)
  • Verstrekken van adviezen op het gebied van informatieveiligheid
  • Opvolging conformiteit met wetgeving en regelgevingen
  • Bewerkstelligen van een samenwerking tussen interne en externe organisaties
  • Organiseren van bewustwordingstrainingen betreffende informatieveiligheid op alle niveaus van de organisatie
  • Bezieler van het overlegplatform voor de informatieveiligheid
  • Evaluatie van het jaarlijks budget voor informatieveiligheid in overleg met de betrokken partijen
  • Identificeren van de informatieveiligheidsrisico's en erover rapporteren
  • Voorbereiden en begeleiden van interne en externe audits betreffende informatieveiligheid en opvolgen van aanbevelingen
  • Opsporen van mogelijke informatieveiligheidsinbreuken (op vraag van de directie, de rechtbank) inzake vertrouwelijkheid, integriteit, machtiging, etc.
  • Evalueren van belangrijke informatieveiligheidsincidenten
  • Opvolgen van de evolutie van bedreigingen, tegenmaatregelen, technologie, ...
  • Ondersteunen van het management tijdens de beveiligingsprocedure
  • Ontwikkelen van doelstellingen, strategieën en informatieveiligheidsrichtlijnen
  • Evalueren van informatieveiligheidsrapporten en nagaan in welke mate belangrijke informatie uiteengezet wordt en wat de businessimpact ervan is
  • Nagaan in hoeverre de verschillende informatieveiligheidsinitiatieven gevorderd zijn
  • Goedkeuren van alle wijzigingen aan het IT-veiligheidsbeleid
  • Etc.

a.Wetgeving

  • Koninklijk besluit van 23/10/1964: koninklijk besluit tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd.
  • Wet van 08/08/1983: Wet tot regeling van een Rijksregister van de natuurlijke personen.
  • Wet van 15/01/1990: Wet houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid.
  • Wet van 08/12/1992: Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
  • Koninklijk besluit van 13/01/2001: Koninklijk besluit ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.
  • Protocol CARENET van 19/04/2001: Bepaalt de rol van de veiligheidsconsulent in de uitwisseling met verzekeringsinstellingen.
  • Koninklijk besluit van 15/06/2001: KB tot vaststelling van de erkenningscriteria voor de tariferingsdiensten.
  • Wet van  12/02/2008: wet houdende bepaling van de regels volgens welke de beheerder van de ziekenhuizen aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, mededeling doet van de identiteit van de personen verantwoordelijk voor het mededelen van gegevens die met de inrichting verband houden.
  • Wet van 21/08/2008: wet houdende oprichting en organisatie van het eHealth-platform.
  • Koninklijk besluit van 17/03/2013: Koninklijk besluit betreffende de veiligheidsadviseurs ingevoerd door de wet van 15 augustus 2012 houdende oprichting en organisatie van een federale dienstenintegrator

b.Omzendbrieven

  • 09/11/2011: Omzendbrief FOD Volksgezondheid (DG1/ST/LN/ van 09/09/2011) gericht aan de ziekenhuizen.
  • 09/01/2002: betreft toegang tot de informatiegegevens die in het rijksregister van de natuurlijke personen zijn opgenomen. Maatregelen ter beveiliging van de gegevens.
  • 24/09/2007: Verplichtingen voor de verantwoordelijken van de gegevensverwerking.
  • 12/03/2008: Bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Toegang tot de informatiegegevens van het Rijksregister-Veiligheidsmaatregelen die ertoe strekken de vertrouwelijkheid en de integriteit van de gegevens, de authentificatie van de gebruikers en het spoor van activiteiten die uitgevoerd werden op de informatiesystemen, te waarborgen.
  • 10/07/2008: Bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. Naleving van de doeleinden waarvoor toestemming werd gegeven om toegang te krijgen tot de informatiegegevens in het Rijksregister of om er mededeling van te bekomen.
  • 5/07/2011: Het sectoraal comité van de sociale zekerheid en  van de gezondheid heeft op 5 juli 2011 beslist dat de ziekenhuizen die niet over een veiligheidsconsulent beschikken, geen toegang meer zullen hebben tot persoonsgegevens van het Rijksregister.

c.Varia

  • Privacy
  • KSZ-website
  • Minimale veiligheidsnormen KSZ (2015)
  • Hervorming van de wetgeving over gegevensbescherming
  • Ethische gedragsregels
  • KB van 12/08/1993: houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid.
  • Wet van 11 december 1998 betreffende de classificatie en de veiligheidsmachtigingen.
  • Wet van 28 november 2000 inzake informaticacriminaliteit.
  • Wet van 9 juli 2001 houdende vaststelling van bepaalde regels in verband met het juridisch kader voor elektronische handtekeningen, de elektronisch aangetekende zending en certificatiediensten.
  • CAO 81: 12 JUNI 2002: Koninklijk besluit waarbij algemeen verbindend wordt verklaard de collectieve arbeidsovereenkomst nr. 81 van 26 april 2002, gesloten in de Nationale Arbeidsraad, tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische online communicatiegegevens.
  • Telecomwet: De wet van 13 juni 2005 betreffende de elektronische communicatie ([Laatste wijziging: 10 juli 2012. - Wet houdende diverse bepalingen inzake elektronische communicatie - Het betreft hier de omzetting in Belgische wetgeving van de Europese Richtlijn “Elektronische communicatie” 2009/136/EG]).
  • Wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera's.
  • Wet van 4 februari 2010 betreffende de methoden voor het verzamelen van gegevens door de inlichtingen- en veiligheidsdiensten.
  • Wet van 1 juli 2011 betreffende de beveiliging en de bescherming van de kritieke infrastructuren (gedeeltelijke omzetting van de Europese richtlijn 2008/114/EG van 8 december 2008).

De rol van de informatieveiligheidsconsulent is louter adviserend. Het bevoegde orgaan binnen de instelling is verantwoordelijk voor de goede werking van de instelling, waartoe uiteraard ook informatieveiligheid behoort.

De adviezen van de informatieveiligheidsconsulent dienen wel schriftelijk en gemotiveerd uitgebracht, behalve bij zeer beperkte risico's. Indien de verantwoordelijke voor het dagelijks bestuur van het schriftelijk advies afwijkt, dient hij dit op een schriftelijke en gemotiveerde wijze mee te delen aan de informatieveiligheidsdienst. Op die manier is de  informatieveiligheidsconsulent verzekerd van de noodzakelijke feedback inzake de genomen maatregelen.

Belangrijk is toch wel te vermelden dat de genomen maatregelen om de veiligheid van informatie te waarborgen alleen maar effectief kunnen zijn als die integraal deel uitmaken van de bedrijfscultuur. M.a.w. als alle medewerkers van de instelling, eveneens de leveranciers of andere externe partners hun verantwoordelijkheid opnemen bij het verwerken van waardevolle en gevoelige informatie.

Gezien de toenemende informatisering van de gezondheidssector dient een informatieveiligheidsconsulent een gedegen kennis te bezitten van de organisatie van informatieveiligheid, de risico’s eigen aan het verwerken en communiceren van informatie, bijhorende processen en beheersmaatregelen en de verschillende (technische) domeinen eigen aan ICT (informatie- en communicatietechnologie). Belangrijk is ook dat deze kennis permanent op peil wordt gehouden gezien de snelle evolutie van ICT. De informatieveiligheidsconsulent hoeft op zich geen informaticus te zijn, maar dient wel een goede kennis van informatica en informatieveiligheid te bezitten o.a. door het volgen van opleidingen of door werkervaring.

De informatieveiligheidsconsulent moet eveneens goed op de hoogte zijn van de werking van de organisatie. Hij moet weten wie met welke persoonsgegevens omgaat, op welke manier en wat de daaraan verbonden risico’s zijn. Uiteraard wordt het grootste gedeelte van die informatie afgehandeld via ICT-systemen. Daarom is het dus noodzakelijk dat de informatieveiligheidsconsulent ook op dat gebied een gedegen kennis kan aantonen.

Dit wil niet zeggen dat een informatieveiligheidsconsulent een expert moet zijn in alle ICT-domeinen, zoals op het gebied van cryptografie. Het is zelfs aangewezen om de hulp van experts in te roepen indien nodig. Het is echter wel belangrijk om een overzicht (“helikopterview”) te hebben, de risico’s eigen aan het beheren van (persoons)gegevens te kunnen duiden en de nodige beheersmaatregelen hier tegenover te kunnen zetten, al dan niet in samenwerking met derden.

In een informatieveiligheidsbeleid staan de visie en de algemene doelstellingen van de instelling weergegeven en vertaald in een geheel van maatregelen om bepaalde problemen op te lossen, te verminderen of te voorkomen. In een beleid wordt geformuleerd waarom de instelling het werken aan informatieveiligheid belangrijk vindt.

Het beleid biedt het management een raamwerk ter aansturing en ondersteuning van de informatieveiligheid en dit in overeenstemming met de business vereisten en relevante regelgeving. Tevens worden rollen en (high-level) verantwoordelijkheden binnen de eigen organisatie toegekend met bijhorende prioriteiten, eveneens wordt de draagwijdte (scope) toegelicht in termen van organisatie, van lokalisatie en bijhorende werkingsmiddelen (resources).

De rol van de informatieveiligheidsconsulent hierbij is louter adviserend. Het management zelf neemt het initiatief voor de veiligheid, zorgt voor de ondersteuning en neemt in dit kader zijn verantwoordelijkheid op. Cruciaal bij de uitvoering van het informatieveiligheidsbeleid is de deelname van alle medewerkers van de instelling. Ook de bijdrage van leveranciers, 'klanten' of andere externe partners is belangrijk.

Deze maatregelen dienen natuurlijk correct geïmplementeerd te worden, m.a.w. correct vertaald te worden naar een pakket van technische en organisatorische informatieveiligheidsmaatregelen, rekeninghoudend met de specifieke context en werkingsmiddelen. Een dergelijk passend beveiligingsniveau vergt dus een afweging tussen enerzijds de aard van de gegevens en potentiële risico’s en anderzijds de stand van de techniek en kosten van de maatregelen, evenals is belangrijk om voortdurend te toetsen of de bestaande maatregelen nog wel nodig zijn en worden nageleefd.

  • Informatieveiligheidsbeleid
  • Organisatie van informatiebeveiliging
  • Risicomanagement
  • Fysieke beveiliging en beveiliging van de omgeving
  • Logische toegangsbeveiliging
  • Beveiliging van een ICT-architectuur, applicatiebeveiliging, netwerkbeveiliging en systeembeveiliging
  • De ontwikkeling en het onderhoud van systemen
  • Beheer van informatieveiligheidsincidenten
  • Operationeel beheer van beveiliging
  • Business Continuity Management & IT Disaster Recovery
  • Opzetten van interne beheersmaatregelen en de effectieve naleving
  • Informatieveiligheidsbewustzijn
  • Etc

In een informatieveiligheidsplan staan o.a. de concrete maatregelen die getroffen worden samen met het desbetreffende budget om te voldoen aan het uitgestippelde informatieveiligheidsbeleid. Om dit beleid correct te implementeren dient dit vertaald te worden naar concrete organisatorische, procesmatige en technische informatieveiligheidsmaatregelen, waarbij rekening wordt gehouden met de specifieke doelstellingen van de organisatie, de geïdentificeerde risico’s en de waarde en gevoeligheid van de te beveiligen informatie.

Een informatieveiligheidsplan vergt dus een afweging tussen enerzijds de aard van de gegevens en potentiële risico’s en anderzijds de implementatie, prioriteiten en kosten van de overeenstemmende beheersmaatregelen. Het is dus een verzameling van maatregelen en afspraken betreffende de beveiliging (vertrouwelijkheid, integriteit en beschikbaarheid) van systemen en informatie.

In een informatieveiligheidsplan staan dus o.a. de concrete beheersmaatregelen, wie verantwoordelijk is voor wat en over welke budgetten men kan beschikken om te voldoen aan het uitgestippelde informatieveiligheidsbeleid. Typisch wordt een informatieveiligheidsplan opgesteld voor een termijn van 3 (tot 5) jaar, waarbij jaarlijks de situatie wordt herzien en eventueel bijgestuurd in functie van de noden, vastgestelde risico’s en prioriteiten van de organisatie.

Het betreft tevens een inventarisatie van de huidige toestand inzake informatieveiligheid binnen de volledige organisatie. Eventuele aandachtspunten en/of probleemsituaties kunnen hierin worden aangehaald om aldus de nodige adviezen te formuleren die probleemsituaties kunnen verhelpen. Op basis van de inventaris van de vastgestelde risico’s, voortkomende uit een risico analyse, wordt er een actieplan opgemaakt om deze zwakke punten binnen een aanvaardbare termijn weg te werken.

Enkele belangrijke componenten van een informatieveiligheidsplan zijn:

  • Het weergeven van de omvang (scope) van het informatieveiligheidsplan
  • Het beschrijven van de taken, verantwoordelijkheden en bevoegdheden binnen de organisatie
  • Het aanbrengen van structuur binnen de te nemen beheersmaatregelen
  • Het formaliseren van de doelstelling van de te nemen beheersmaatregelen
  • Het oplijsten van de verantwoordelijken voor de effectieve uitvoering
  • Het weergeven van de termijn waarin de acties dienen uitgevoerd te worden
  • De concrete werkingsmiddelen (budgetten/resources) die worden vrijgemaakt (op jaarbasis)
  • Stand van zaken (“as is”) en/of te ondernemen acties (“to be”)
  • Validatie door het bevoegde orgaan binnen de instelling (of personen belast met het dagelijks bestuur)

Fundamenteel bij uitbesteding of onderaanneming is dat het toewijzen van verantwoordelijkheden en bevoegdheden goed wordt vastgelegd en dat de eisen op het gebied van informatiebeveiliging worden opgenomen in het contract.

Indien de “verantwoordelijke voor de verwerking” (de persoon of instelling die het doel en de middelen van de verwerking bepaalt) de verwerking van gegevens toevertrouwt aan een “verwerker” (onderaannemer), dienen eveneens de toepasselijke artikelen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens nageleefd te worden. In het geval van persoonsgegevens die betrekking hebben op de gezondheid houdt dit onder meer in dat de verwerking van deze gezondheidsgegevens, zowel door de verantwoordelijke als door de verwerker, steeds onder toezicht van een beoefenaar van een gezondheidszorgberoep, bij voorkeur een geneesheer, moet gebeuren.

Krachtens artikel 16 van voormelde wet van 8 december 1992 moet de verantwoordelijke voor de verwerking voldoende waarborgen bieden voor een passend beveiligingsniveau op het vlak van de bescherming van de persoonlijke levenssfeer, eveneens dienen er technische en organisatorische beveiligingsmaatregelen te worden genomen met betrekking tot de te verrichten verwerking.

De verantwoordelijke voor de verwerking moet o.a. bepalen wie toegang mag hebben tot de gegevens, vastleggen wanneer en onder welke voorwaarden dit kan gebeuren (vertrouwelijkheid van de gegevens), en moet bepalen op welke manier de gegevens worden ingezameld en wie die gegevens mag verwerken of wijzigen.

De verantwoordelijke voor de verwerking zal ook de termijn vastleggen waarbinnen de gegevens toegankelijk zijn en met welke methode ze beschikbaar zijn (beschikbaarheid van de gegevens), en ten slotte moet hij vastleggen welke bewijzen er aangemaakt moeten worden (wie heeft wanneer toegang gehad tot welke gegevens).

Een volledig overzicht van de verplichtingen betreffende deze wetgeving kan teruggevonden worden in art. 16 van de wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (08/12/1992).

Enkele van de door het eHealth-platform gehanteerde normen zijn:

ISO27799: Deze norm beschrijft eigenlijk de aandachtsgebieden voor de medische sector inzake de implementatie van ISO27001- en ISO27002-normeringen.

De Kruispuntbank van de Sociale Zekerheid van haar kant heeft een set minimale normen opgesteld die gebaseerd zijn op de ISO27000-normen. Het eHealth-platform gebruikt deze minimale normen ter inspiratie bij de uitwerking van haar informatieveiligheidsbeleid.

NEN 7510: richt zich tot zorginstellingen en andere organisaties die bij informatievoorziening/beveiliging in de gezondheidszorg zijn betrokken.

COBIT: algemeen geaccepteerde Best Practices om ICT-beheersmaatregelen in te richten.