ISD Informatiestandaarden Zorg en Ondersteuning
-
Het Zorginstituut Nederland bundelt op haar website iStandaarden de veelgestelde vragen over verschillende onderwerpen en modules.
U vindt daar antwoorden over onder meer: iWmo, de Validatiemodule, Conversiemodule, Wachtlijstinformatie, Verwijsindex Productcodes en de iStandaarden overgang 2015-2016.
ISD Normenkader en verantwoording
-
De gemeente doet als verantwoordelijke een risicoinschatting / risicoanalyse. Daaruit volgen dan beveiligingsmaatregelen die nodig zijn bij de bewerker die de gemeente als verantwoordelijke eist.
De beveiligingseisen horen terug te komen in de volgende documenten van de gemeente:
- Programma van eisen en wensen (knock out criterium)
- Inkoopvoorwaarden en informatiebeveiligingseisen (IBD, januari 2014, pdf)
Aanscherpen van de gemeentelijke inkoop voorwaarden. - Contractmanagement (IBD, april 2014, pdf)
Aandachtspunten voor contractmanagement, inkoop en beveiligingseisen. - Model voor een verwerkersovereenkomst (IBD, februari 2017, pdf)
De beveiligingseisen dienen periodiek gecontroleerd te worden door de gemeente, of de leverancier overlegt een TPM.
-
Ja, bij het gebruik van persoonsgegevens blijft de gemeente verantwoordelijk, zie Wet Bescherming Persoonsgegevens, artikel 14.
-
Hergebruik buiten het doel (doelbinding) waarvoor verzameld is niet toegestaan (zie paragraaf 2.1 van de Wbp). Doorlevering is in principe niet toegestaan tenzij daarvoor een bepaalde wettelijke basis is.
-
Nee. Iedere gemeente moet zelf verantwoorden hoe het staat ten opzichte van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Elke gemeente regelt in het convenant met een samenwerkingsverband wat de rechten, de plichten en de verantwoording zijn naar de gemeente toe. Dit convenant kan ook gezien worden als een vorm van een Bewerkersovereenkomst.
-
Dit kan onder andere door:
- Periodiek een TPM of eigen audit
- Inzage krijgen in, of het verstrekken van logginggegevens
Zie ook:
- BIG - Aanwijzing logging (IBD, januari 2014, pdf)
-
Er is gekozen voor een optimale aansluiting bij de wereld van geaccepteerde standaarden, ISO 27001:2005 en ISO 27002:2007 en de daarvan afgeleide overheidsstandaarden zoals de VIR/BIR.
Als een organisatieonderdeel of een toeleverancier haar zaken op orde heeft volgens ISO 27001:2005, rekening houdend met de implementatiemaatregelen uit ISO 27002:2007, dan hoeft die organisatie slechts te controleren op de aanvullende bepalingen voor bijvoorbeeld aansluitvoorwaarden voor een specifiek register.
De volgende normen bestaan binnen de rijksoverheid. Ze zijn niet van toepassing op gemeenten maar de Strategische en Tactische Baseline BIG) zijn nauw verwant aan deze normen:
- Het Besluit Voorschrift Informatiebeveiliging Rijksdienst (VIR)
- Het Besluit Voorschrift Informatiebeveiliging - Bijzondere Informatie (VIR-bi)
- De Baseline Informatiebeveiliging Rijk (BIR), bestaande uit BIR-TNK (tactisch normenkader) en BIR-OP (Operationele baseline)
- De Interprovinciale Baseline Informatiebeveiliging
Het VIR heeft ook een relatie met het Algemeen Rijksambtenarenreglement (ARAR). Het ARAR is niet op gemeenten van toepassing, daarvoor heeft men de CAR-UWO en de Ambtenarenwet.
-
Ja. De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) leidt het project Eenduidige Normatiek Single Information Audit (ENSIA). Dit project moet antwoord geven op de vraag hoe horizontaal (intern) en verticaal (extern) verantwoord moet worden. Verticale verantwoording is in de lijn (naar de wetgevers toe) en horizontale verantwoording is naar de Raad en naar de inwoners.
De voorlopige uitkomst van ENSIA is dat er een selfassessment komt waarvan de uitkomst getekend moet worden door de gemeentesecretaris (In Control Statement). Daarna kan het geheel door de interne of huisauditor beoordeeld worden (proces audit) en wordt de rapportage meegenomen in de SISA verantwoordingbijlage en daarnaast horizontaal aan de Raad en de inwoners met het jaarverslag.
Let wel: het project is nog niet afgelopen en dus is bovenstaande onder voorbehoud.
-
Ja, voorlopig wel. De wijzigingen onder invloed van het project Eenduidige Normatiek Single Information Audit (ENSIA) hebben tijd nodig om politiek te landen bij de verschillende wetgevers en inspecties. Daarnaast is het project ENSIA nog niet afgelopen is, dus er zijn nog geen conclusies getrokken en er zijn nog geen adviezen naar de verschillende wetgevers gegaan.
Dat neemt niet weg dat de horizontale en verticale verantwoording niet nu al niet kan worden ingericht. Als een gemeente de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) implementeert en binnen het gemeentelijke informatiebeveiligingsbeleid en het informatiebeveiligingsplan, de verschillende normen (SUWI, BPR, BAG, reisdocumenten, DigiD) nadrukkelijk een plaats geeft, dan kan de auditlast afnemen als gevolg van het sneller kunnen doorlopen van de verschillende audits. Het kernpunt hierbij is dossiervorming en bewijsvoering.
-
Voor de gemeente zijn de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) operationele producten van de Informatie Beveiligingsdienst (IBD) het normenkader voor informatiebeveiliging.
ISD Privacy en gegevensuitwisseling
-
Wat de eisen zijn hangt helemaal af van het soort softwarepakket, het doel en de functie en waar het softwarepakket gebruikt wordt. Aandachtspunt is dat vaak pakketten worden aangeschaft waarbij 'one size fits all' geldt voor de leverancier. Terwijl het gebruik, de registratie van gegevens en de soort gegevens per gemeente kunnen verschillen, waardoor er bijvoorbeeld beveiligingseisen ontstaan waar de leverancier niet op gerekend heeft.
Een voorbeeld daarvan is de mogelijkheid om gegevens af te schermen voor specifieke gebruikers of groepen, maar ook de mate waarin logging wordt ondersteund. Denk ook aan integratie met andere systemen. In dit voorbeeld bestaat de kans dat de gemeente met meer eisen zal opdraaien voor de kosten, of erger, een eigen specifieke versie van een product krijgt.
-
Het antwoord op veel algemene beveiligingsvragen vindt u in:
- Handreiking informatieveiligheid sociaal domein (VNG/KING, juni 2014, pdf)