Breadcrumbs

8.4 | Risicoanalyse

Beschikbaarheid, integriteit en vertrouwelijkheid

De Twiin Organisatie voert periodiek samen met Twiin Deelnemers, Twiin Dienstverleners, GtK Beheerders en GtK Leveranciers een risicoanalyse uit gericht op informatieveiligheidsrisico's, zoals vastgelegd in het informatiebeveiligingsbeleid. Dit zijn risico's die kunnen leiden tot inbreuken op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Hiermee geven partijen invulling aan de plicht in de NEN 7512. Het gaat hier om een risicoanalyse op stelselniveau, dat wil zeggen dat het om de risico’s gaat in de onderlinge relatie tussen de betrokken partijen en niet de specifieke analyse bij een betrokken partij. Daarmee zijn alle onderdelen uit het Twiin Afsprakenstelsel onderwerp van de risicoanalyse. Maatregelen die voortkomen uit de analyse kunnen betrekking hebben op de Twiin Deelnemers, GtK Beheerders, GtK Leveranciers en de Twiin Organisatie.

De risicoanalyse is niet publiekelijk beschikbaar gelet op het vertrouwelijke karakter ervan, maar is wel op te vragen door Twiin Deelnemers en GtK Leveranciers die gevalideerd zijn voor één of meer zorgtoepassingen. Twiin Deelnemers kunnen de analyse delen met hun Twiin Dienstverlener.

Uitgangspunten bij de risicoanalyse

  1. De scope van de risicoanalyse wordt bepaald door de architectuur, met name de principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel.

  1. De risicoanalyse wordt uitgevoerd op basis van de, op het moment van uitvoering, laatst gepubliceerde release van het Twiin Afsprakenstelsel.

  1. In de analyse is een vertegenwoordiging van de Twiin Deelnemers, Twiin Dienstverleners, GtK Beheerders en GtK Leveranciers betrokken.

  1. Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen.

  1. Het bestuur van de Twiin Organisatie streeft naar een voor de betrokken partijen aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financiën, imago en vertrouwen. De Twiin Organisatie bepaalt met betrokkenen wat dit aanvaardbare risiconiveau is. De Twiin Organisatie stelt de risicoanalyse, de risicotolerantie en beveiligingsmaatregelen vast.

Maatregelen

De risicoanalyse leidt tot het formuleren van drie typen maatregelen:

  1. Maatregelen die direct betrekking hebben op risico’s voor de werking en veiligheid van het stelsel en daarom uniform moeten worden vastgesteld.

  1. Maatregelen voor risico’s die kunnen leiden tot stelselrisico's (een gebeurtenis bij een Twiin Deelnemer die schade toebrengt aan andere deelnemers of de Twiin Organisatie). Deze zijn gespecificeerd in het stelsel om eenduidige interpretatie af te dwingen.

  1. Maatregelen die vanuit het oogpunt van efficiëntie in het stelsel staan, zodat niet iedere partij deze afzonderlijk hoeft te definiëren.

De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers in de technische kern. Beleid en operationele processen kunnen worden vormgegeven, dan wel de voorwaarden worden aangevuld.

Verwerking in het afsprakenstelsel

Aantoonbaar voldoen aan de NEN 7510 is wettelijk verplicht bij de gegevensuitwisseling tussen zorgaanbieders. Het Twiin Afsprakenstelsel verplicht de GtK Leverancier, GtK Beheerder en Twiin Deelnemer dan ook aan te tonen dat wordt voldaan aan NEN 7510.

Een NEN 7510-certificering in samenhang met het proces toetreding en aansluiten en het proces Valideren, dekt de belangrijkste informatiebeveiligingsrisico’s van het stelsel af.

Op een aantal onderwerpen zijn maatregelen uit de NEN 7512-norm meer specifiek ingevuld voor uitwisseling op basis van het Twiin Afsprakenstelsel. Deze maatregelen staan in het Normenkader informatiebeveiliging. Daarnaast staan in de architectuur, de technische kern en in het proces Incidentmelding maatregelen uit de risicoanalyse op stelselniveau. De uitvoering van deze maatregelen wordt onder meer getoetst via het proces Validatie.

Herijking risicoanalyse

De risicoanalyse is een dienst die periodiek en bij bepaalde wijzingen moet worden uitgevoerd. Herijking van de risicoanalyse is nodig op het moment dat:

  • wijzigingen in het afsprakenstelsel van invloed kunnen zijn op de risicoanalyse

  • er incidenten met aanzienlijke impact zijn

  • er bekende wijzigingen zijn in het dreigingslandschap

  • er significante technische wijzigingen zijn in de werking van het stelsel

  • er wijziging is van wetgeving waar het Twiin Afsprakenstelsel aan moet voldoen

  • één van de uitgangspunten wordt gewijzigd