Overleg:Research and Development 1/^Archief/2007-2008/Veiligheid EPD/Onderzoeksplan
Inhoud
Vragen over Veiligheid EPD
4-5-8 Niels Braakensiek
Bij deze een voorstel voor een bijgewerkt onderzoeksplan en een voorstel voor een vragenlijst [bewerken] onderzoeks plan [bewerken] vragenlijst
Vragenlijst: De meeste vragen die we tot nu toe hebben zijn niet geschikt voor het gebruik in een vragenlijst. Veel vragen zijn open vragen en veel vragen zijn gecombineerde vragen. Ik orden ze hier zoals ze nu zijn zodat we overzicht krijgen over wat we willen weten om vervolgens corresponderende vragen te maken voor de vragenlijst. De vragen moeten nog uitgekozen en er moet nog een zinvolle vragenlijst van gemaakt worden. Misschien moeten we ook nog wat doen aan de antwoordcategorieen. Dit is alvast een opzetje
vragen naar Feiten:
Vragen uit specificatie GBZ en NEN7510
1. Beleid
1.1 Bestaat er überhaupt een IT-Beleid?
1.2 Is er een informatie beveiligings beleid?
1.3 Wie is er verandtwoordelijk voor IB
1.4 Is er een risico analyse geweest?
1.5 Is er een analyse gemaakt van de risico's voor de veiligheid van de informatie van het aansluiten van jullie systemen aan het landelijke epd?
1.6 Wie zijn er allemaal betrokken bij IB
1.7 Is er regelmatig overleg over informatie veiligheid en met de mensen of afdelingen die belangen hebben die in het geding zijn?
1.8 Worden medewerkers regelmatig op de hoogte gehouden van wat er wel en niet mag in verband met de informatie beveiliging? (ergens in de NEnnorm staat dat het personeel op de hoogte moet zijn van het het belang van informatie beveiliging om het beleid goed te kunnen uitvoeren en daar hoort overleg en voorlichting bij)
1.9 Als er beleid is, wordt er regelmatig controleerd of aan deze beleid voldaan wordt? (bv. nagaan of wettelijke eisen veranderd zijn/ System Audits uitvoeren)(Misschien preciser, meer uitgebreid?)
1.10 Zijn ze zelf bezig geweest met de eisen voor een GBZ en NEN of hebben ze dat uitbesteed aan een leverancier (als ze al epd hebben)
1.11 Zijn er praktisch procedures toegevoegd of veranderingen in procedures gekomen of gaan die er komen i.v.m. de invoering van het EPD/EMD mbt. veiligheid?
2 EPD en Landelijk EPD
2.1 zijn alle patientgegevens al digitaal opgeslagen in uw organisatie? (d.w.z. is er al een epd)
2.2 Zijn ze al op de een of andere manier aan het landelijke epd aangesloten?
2.3 Met welke onderdelen van het ladelijk EPD hebben ze te maken, nu of in de toekomst? (Over eisen in het programma onderdeel 5.3 [BVL.e03]prog v eisen)
2.4 Hoe ver zijn ze met de implementatie?
3 Beveiliging van informatie tegen misbruik door bevoegden
3.1 Zijn er mensen van buiten die toegang hebben tot de informatie systemen?
3.2 Hoe wordt er voor gezorgd dat deze mensen geen misbruik maken van de informatie waartoe ze toegang hebben?
3.3 Moeten medewerkers iets ondertekenen dat hen verplicht te zwijgen over informatie die ze in het kader van hun functie inzien?
3.4 Hoe wordt er voor gezorgd dat vertrekkende medewerkers geen toegang meer hebben tot de systemen.
4 Beveiliging tegen toegang door onbevoegden
4.1 Hebben alle medewerkers/krijgen alle medewerkers een uzi pas?
4.2 Hoe wordt er bepaald wie er wel zo'n pas heeft en wie niet. [5.12]prog v eisen
4.3 Heeft ieder gebruiker een eigen account met wachtwoord?(H11 NEN)
4.4 Wordt er een wachtwoord ingetoetst?(H11 NEN)
4.5 Wordt er een smartcard/UZI-Pas gebruikt?(H11 NEN)
4.5 Wordt er biometrie gebruikt (bv. fingerprint reader)?(H11 NEN)
4.6 Delen jullie een pas of heeft iedereen een eigen uzi pas [blv.e04]prog v eisen
4.7 Vraag je wel eens informatie op met de autorisatie van een collega?
4.8 Hoe wordt de proces van In-/Uitloggen in de realiteit omgezet (unieke wachtworden/een wachtwoord voor alle/Windows SSO)en door de medewerkers opgevat? => mbt 4.2
4.9 Als jullie gegevens uit het landelijk EPD hebben opgevraagd, kun je die dan opslaan?
4.10 Als je gegevens uit het landelijk EPD kunt opslaan, kun je daar dan vervolgens bij zonder uzi-pas of kopieren naar een usb stick o.i.d.?
5 Diefstal en misbruik van de fysieke infrastructuur
5.1 Eventueel een vraag over de beveiliging van computers en de gegevens tegen diefstal van de computers zelf (is het mogelijk om certificaten te stelen? en heeft dat zin) [blv.e02] prog v eisen
5.2 Bevinden de systemen( de fysieke computers/ servers) zich in het gebouw waar ook gewerkt wordt.
5.3 Heeft u daar toegang toe?
5.4 heeft iedereen daar toegang toe?
Nog niet ingedeeld:
In voor situatie wordt het EPD gebruikt: achter de balie om even iets te controleren voordat er iets wordt meegegeven of in geval van ingewikkelder situaties waar de apotheker achter z'n bureau gaat zitten om iets na te kijken en eventueel te overleggen met een huisarts die iets heeft voorgeschreven?
Zijn er praktisch procedures toegevoegd of veranderingen in procedures gekomen of gaan die er komen i.v.m. de invoering van het EPD/EMD?
Worden er regelmatig backups gemaakt?(H10NEN)
6 Mening
6.1 Verwachten ze dat het EPD veel gebruikt gaat worden?
6.2 Vinden ze het een ontwikkeling waar ze naar uitzien of tegenop zien?
6.3 Moet er veel veranderen?
6.4 Toelichting GBZ 4.2.2 praat over een "tijdelijk-onderbreken-functie" die tegenwordig nog niet gerealiseerd kan worden lijkt dit een handige functie. Hoe belangrijk vinden het de medewerkers/hoe belangrijk is dat in de praktijk? En wordt het gemist/hebben zu ne bij hun oplossingen al zoiets? [Hoe gaan we dit formuleren zonder dat het een te technische vraag word]
6.5 Teolichting GBZ 4.3.2 praat over WID-controle. Is dat nu al zo? Hoe vinden dit de zorgverleners? Vinden ze het erg/overbodig. Vinden ze, dat z e niet de politie zijn?
6.6 Is het duidelijk bij wie je terecht kunt als er een vermoeden is dat er iemand misbruik maakt van informatie uit het systeem?
nog niet ingedeeld: deze vragen kunnen vertaald worden naar een vraag naar een feit of naar een menig vraag dus die heb ik nog niet ingedeeld:
Wordt een fatsoenlijke omgang met gebruikergegevens afgedwongen?(H11 NEN)
Wordt er aandacht an bestedt de gebruikte software op een actuele stand te houden?(H10NEN)
Herformulering naar enquete vragen
1. Beleid
1.1 Heeft uw organisatie een automatiserings beleid? [ja, nee, geen idee, n.v.t.]
1.2 heeft uw organisatie een informatiebeveiligings beleid? [ja, nee, geen idee, n.v.t.] alt: heeft uw organisatie een beleid voor de beveiliging van patientgegevens? [ja, nee, geen idee, n.v.t.]
1.3 Is er één persoon of afdeling verantwoordelijk voor het informatie beveiligingsbeleid? [ja, nee, geen idee, n.v.t.] alt: zo nee is er een heldere en expliciete verdeling van deelverantwoordelijkheden? [ja, nee, geen idee, n.v.t.]
1.4 Heeft u een inventarisatie en analyse gemaakt van de mogelijke veiligheidsrisico's? [ja, nee, geen idee, n.v.t.]
1.5 Heeft u een analyse gemaakt of laten maken van de veiligheidsrisico's die de aansluiting op het landelijk EPD met zich meebrengt voor uw gegevens? [ja, nee, geen idee, n.v.t.]
1.6 Zijn er meerdere verschillende personen of afdelingen betrokken bij het nemen van beslissingen over het informatie veiligheidsbeleid? [ja, nee, geen idee, n.v.t.] alt: zijn alle mensen of afdelingen die gevolgen zullen ondervinden van het informatieveiligheids beleid betrokken bij het nemen van beslissingen? [ja, nee, geen idee, n.v.t.]
1.7 Wordt er regelmatig overlegd door de mensen die betrokken zijn bij het veiligheidsbeleid? [ja, nee, geen idee, n.v.t.]
1.8 Wordt het personeel ingelicht over maatregelen om de informatie te beveiligen? [ja, nee, geen idee, n.v.t.] alt:Wordt het personeel regelmatig op de hoogte gebracht van aanpassingen in IB beleid? [ja, nee, geen idee, n.v.t.] alt:Wordt er een pogiging gedaan om het personeel te overtuigen van het belang van Informatie Beveiliging? [ja, nee, geen idee, n.v.t.]
1.9 wordt er met enige regelmaat gecontroleerd of men zich aan de voorschriften houd? [ja, nee, geen idee, n.v.t.] alt: wordt met enige regelmaat geevalueerd of het beleid de informatiebeveiliging ook verbeterd? [ja, nee, geen idee, n.v.t.]
1.10 Bent u binnen uw organisatie zelf bezig met het voldoen aan de normen die landelijk aan de informatiesystemen binnen de zorg gesteld worden of heeft u dat uitbesteed? [zelf, uitbesteed]
1.11 zijn er al wijzigingen in procedures in verband met de aansluiting van uw epd aan het landelijke epd? [ja, nee, geen idee, n.v.t.]
2 EPD en Landelijk EPD
2.1 zijn alle patientgegevens al digitaal opgeslagen in uw organisatie? (d.w.z. is er al een epd) [ja, nee, geen idee, n.v.t.]
2.2 Bent u al op de een of andere manier aangesloten op het landelijke EPD (bijvoorbeeld het EMD) [ja, nee, geen idee, n.v.t.] alt: bent u al op de een of andere manier aangesloten op een landelijk EPD? [ja, nee, geen idee, n.v.t.]
2.3 ??
2.4 Hoeveel maanden schat u dat het nog zal duren voordat u volledig bent aangesloten op het landelijk EPD [0-6,6-12,12-18,18-24,24-]
3 Beveiliging van informatie tegen misbruik door bevoegden
3.1 Zijn er mensen van buiten uw organisatie die toegang hebben tot uw gegevens? [ja, nee, geen idee, n.v.t.]
3.2 Zijn er juridische maatregelen genomen om te zorgen dat deze mensen geen misbruik maken van de informatie waartoe ze toegang hebben? [ja, nee, geen idee, n.v.t.] alt:Heeft u maatregelen genomen om te zorgen dat zij geen misbruik kunnen maken van de informatie waartoe ze teogang hebben? [ja, nee, geen idee, n.v.t.]
3.3 Moeten medewerkers binnen uw organisatie die toegang hebben tot patientengegevens zoiets als een geheimhoudingsverklaring tekenen? [ja, nee, geen idee, n.v.t.]
3.4 Controleert u of vertrekkende medewerkers geen misbruik maken van kennis die ze bij u hebben opgedaan? [ja, nee, geen idee, n.v.t.] alt: Is er een procedure die er voor zorgt dat vertrekkende medewerkers geen toegang meer hebben tot patientengegevens? [ja, nee, geen idee, n.v.t.]
4 Beveiliging tegen toegang door onbevoegden
4.1 Moeten medewerkers inloggen voordat ze toegang hebben tot patient gegevens? [ja, nee, geen idee, n.v.t.] Hebben alle medewerkers toegang tot de patientengegevens? Maakt u al gebruikt
4.2 Is er een duidelijke officieel omschreven manier om te bepalen wie wel en wie geen pasje krijgt [ja, nee, geen idee, n.v.t.]
4.3 Heeft iedere gebruiker een eigen account/ wachtwoord? [ja, nee, geen idee, n.v.t.]
4.4 Wordt er een smartcard/UZI-Pas gebruikt?(H11 NEN) [ja, nee, geen idee, n.v.t.]
4.5 Wordt er biometrie gebruikt (bv. fingerprint reader)?(H11 NEN) [ja, nee, geen idee, n.v.t.]
4.6 Delen werknemers wel eens een pas/wachtwoord? [ja, nee, geen idee, n.v.t.]
4.7 Vraagt u wel eens informatie op met de authorisatie van een collega? [ja, nee, geen idee, n.v.t.]
4.8 ??
4.9 Als u gegevens uit het landelijk EPD opvraagt, kunt u die dan opslaan? [ja, nee, geen idee, n.v.t.]
4.10 Als u gegevens uit het landelijk EPD hebt opgeslagen, kunt u die dan opvragen zonder UZI pas? [ja, nee, geen idee, n.v.t.]
5 Diefstal en misbruik van de fysieke infrastructuur
5.1 ??
5.2 Bevinden de systemen( de fysieke computers/ servers) zich in het gebouw waar ook gewerkt wordt. [ja, nee, geen idee, n.v.t.]
5.3 Heeft u toegang tot de fysieke plek waar de gegevens bewaard worden? [ja, nee, geen idee, n.v.t.]
5.4 Heeft iedereen daar toegang toe? [ja, nee, geen idee, n.v.t.]