Informatieveiligheid

1. Inleiding

Het informatiebeveiligingsbeleid betreft hoofdzakelijk strategische uitgangspunten over de toegang tot en uitwisseling van cliënt informatie. Informatiebeveiliging heeft betrekking op zowel de geautomatiseerde als niet geautomatiseerde informatie.

2. Verantwoordelijkheden

De directie van de organisatie is eindverantwoordelijk voor de informatiebeveiliging. Daaronder valt ook de verantwoordelijkheid voor de implementatie van het informatiebeveiligingsbeleid in de organisatie.

Functionaris en Verantwoordelijk

  • Directie: Het vaststellen en wijzigen van het informatiebeveiligingsbeleid
  • Directie: Het toekennen van verantwoordelijkheden
  • Directie: Het signaleren van belangrijke wijzigingen in bedreigingen waaraan de bedrijfsinformatie wordt blootgesteld
  • Directie: Het bespreken van en toezicht houden op beveiligingsincidenten
  • Directie: Het goedkeuren van maatregelen ter verbetering van de informatiebeveiliging
  • Directie: Het implementeren van het informatiebeveiligingsbeleid in de organisatie
  • Directie: Het controleren of het informatiebeveiligingsbeleid wordt nageleefd
  • Directie: Het nemen van maatregelen ter verbetering van de informatiebeveiliging

Voorbeelden van informatiebeveiligingsgebeurtenissen en -incidenten zijn:

  1. Verlies van dienst, apparatuur of voorzieningen;
  2. Systeemstoringen of overbelasting;
  3. Menselijke fouten;
  4. Niet-naleving van beleid of richtlijnen;
  5. Inbreuk op fysieke beveiligingsvoorzieningen;
  6. Onbeheerste systeemwijzigingen;
  7. Storingen aan programmatuur of apparatuur;
  8. Toegangsovertredingen.

3. Beschrijving procedure

Informatiebeveiliging heeft betrekking op het behoud van vertrouwelijkheid, integriteit en beschikbaarheid van (cliënt) informatie binnen de organisatie. 

  • Vertrouwelijkheid: het waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe geautoriseerd zijn.
  • Integriteit: het waarborgen van de correctheid en de volledigheid van informatie e verwerking.
  • Beschikbaarheid: het waarborgen dat geautoriseerde gebruikers op het juiste moment toegang hebben tot informatie en middelen.

3.1 Uitgangspunten

Uitgangspunten informatiebeveiliging van DJIM’sz kent de volgende algemene uitgangspunten voor het informatiebeveiligingsbeleid: 

  • De fysieke en logistieke beveiliging van de computers en gebouwen van de organisatie is zodanig dat de vertrouwelijkheid, integriteit en continuïteit van de gegevens en gegevensverwerking gewaarborgd zijn.
  • Aanschaf, installatie en onderhoud van geautomatiseerde gegevensverwerkende systemen mogen geen afbreuk doen aan het bestaande niveau van veiligheid van de geautomatiseerde informatievoorziening.
  • Opdrachten verstrekt door de organisatie aan derden worden omgeven met maatregelen, zodat geen inbreuk kan ontstaan op vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening.
  • Binnen het personeelsbeleid wordt aandacht geschonken aan het leveren van een bijdrage aan de vertrouwelijkheid, integriteit en continuïteit van de geautomatiseerde informatievoorziening.
  • Bij de verwerking en het gebruik van gegevens worden maatregelen getroffen om de privacy van cliënten en medewerkers te waarborgen.
  • Logische toegangsbeveiliging zorgt ervoor dat alleen geautoriseerde personen toegang krijgen tot geautomatiseerde systemen, gegevensbestanden en programmatuur binnen de organisatie.
  • Het beheer en opslag van gegevens zijn zodanig dat geen informatie verloren kan gaan.

Vanuit de doelstelling van de organisatie zijn de volgende specifieke uitgangspunten voor het informatiebeveiligingsbeleid geformuleerd:

  • Voor de cliënt en de zorgverlener is een snelle toegang tot zijn cliëntinformatie, met voldoende actuele en relevante informatie van belang voor goede kwaliteit van zorg.
  • Informatiebeveiliging is de verantwoordelijkheid van iedere medewerker van de organisatie. Iedere medewerker dient zich in het functioneren en het gedrag hiernaar te richten. Door middel van voorlichting wordt dit bewustwordingsproces opgestart, gestimuleerd en gecontinueerd.

3.2 Wet- en regelgeving

De organisatie verplicht zich te houden aan alle relevante wetgeving met betrekking tot cliënt gegevens en bedrijfsvoering. 

3.3 Controle en naleving

De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van de Wet Bescherming Persoonsgegevens. De Inspectie voor de Gezondheidszorg (IGZ) richt zich op het naleven van regels rondom verantwoorde zorg.