Standaard risico- en maatregelenset ziekenhuis
Vanuit de subsidie CIF-NL hebben wij deze standaard risicoset + maatregelen voor ziekenhuizen ontwikkeld. Deze is ontwikkeld in samenwerking met experts van ziekenhuizen (o.a. CISO, ISO’s en FG’s). De set wordt doorlopend ontwikkeld. Ben je op zoek naar een risicomanagement tool die ondersteunt bij het management van deze risico’s? Kijk dan eens naar de risicomanagementtool Risqui, daar staat deze complete set in als template!
De set is iets uitgekleder dan het bronbestand want helaas passen niet alle kolommen op de website. Wil je de uitgebreidere excel-file (dat kan!) of heb je verbetersuggesties? Neem contact met ons op via hallo@pasquil.nl
De laatste versie bevat de maatregelen uit NEN7510:2024
| # | Risico-omschrijving | Categorie | B | I | V | Maatregel 1 | NEN7510(2024) 1 | Maatregel 2 | NEN7510(2024)2 | Maatregel 3 | NEN7510(2024)3 | Maatregel 4 | NEN7510(2024) 4 | Maatregel 5 | NEN7510(2024) 5 | Maatregel 6 | NEN7510(2024) 6 |
| 1 | Gebruiker maakt een onbewuste fout waardoor digitale gevoelige informatie (patiëntinformatie/bedrijfsvoering informatie) door onbevoegden wordt ingezien. | Menselijk | x | Training (Bewustwording) | A.6.3 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28; A.6.8; A.5.43 |
Classificatie van data | A.5.12 | ||||||
| 2 | Hacker misleidt een gebruiker, wat leidt tot onrechtmatige toegang tot gevoelige informatie (patiëntinformatie/bedrijfsvoering informatie) | Menselijk | x | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.5 | Training (social engineering) | A.6.3 | Email beveiliging | A.5.14 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||||
| 3 | Hacker misleidt een gebruiker tot een verkeerde handeling of betaling, met financiële schade als gevolg. | Menselijk | x | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.5 | Training (social engineering) | A.6.3 | 4-ogenprincipe in belangrijke procedures | A.5.3 | ||||||||
| 4 | Boze (oud) medewerker publiceert/lekt informatie (patiëntdata en/of vertrouwelijke bedrijfsvoeringsdata). | Menselijk | x | Toekenning en intrekking van rechten | A.5.18 | Logging, monitoring en detectie | A.8.15; A.8.16 | Screening | A.6.1 | Beleid en procedure voor intreding in dienstverband + Disciplinaire procedure | A.6.1; A.6.2; A.6.4 A.6.6 |
||||||
| 5 | Medewerker laat per ongeluk fysieke informatie slingeren, waardoor onbevoegden toegang hebben tot deze gevoelige gegevens. | Menselijk | x | Training (Bewustwording) Clear desk en clear screen policy | A.6.3; A.7.7 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8 A.5.43 |
Bescherming van opslag media + encryptie | A.7.10; A.8.24 | Classificatie van data | A.5.12 | ||||||
| 6 | Medewerker is onvoldoende kundig voor de uitvoering van de functie, waardoor het zorgproces wordt verstoord. | Menselijk | x | x | Training (bewustwording) | A.6.3 | Screening | A.6.1 | Onboarding/offboarding procedure | A.6.5 | Gedocumenteerde procedures | A.5.37 | Redundanties van back-ups | A.8.13; A.8.14 | |||
| 7 | Onduidelijkheid in rollen en/of functies en de bijbehorende rechten tot informatie leidt tot te ruime autorisatie en daarmee onrechtmatige toegang tot informatie. | Menselijk | x | Functiescheiding | A.5.3 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18 | Identiteitsbeheer | A.5.16 | ||||||||
| 8 | Wijzigingen van rollen en/of functies worden niet goed beheerd, waardoor er een opstapeling van rechten ontstaat met als resultaat onrechtmatige toegang tot patiëntinformatie of bedrijfsvoeringdata | Menselijk | x | Duidelijke rollen en verantwoordelijkheden verdeling | A.5.2 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18 | Identiteitsbeheer | A.5.16 | Controle op toegangsrechten | A.5.18 | ||||||
| 9 | Medewerker (met hoger IT-rechten) maakt (configuratie)fout, waardoor systemen met gevoelige informatie toegankelijk zijn voor onbevoegden. | Menselijk | x | Gedocumenteerde procedures | A.5.37 | Wijzigingsbeheer | A.8.32 | Kwetsbaarheden monitoren en managen | A.8.8; A.8.16 | Training (Bewustwording) | A.6.3 | Incidentbeleid en – procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8 A.5.43 |
||||
| 10 | Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen onbeschikbaar raken | Menselijk | x | MFA | A.8.5 | Toegangsbeleid, procedure en – matrix | A.5.15; A.5.18 | Training (Bewustwording) | A.6.3 | Back-up & restore beleid en procedure | A.8.13 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||
| 11 | Boze medewerker (met hogere IT-rechten) verwijdert bewust gegevens waardoor processen niet meer kunnen worden uitgevoerd. | Menselijk | x | x | Wijzigingsbeheer | A.8.32 | Toegangsbeleid, procedure en – matrix | A.5.15; A.5.18; A.8.5 | Screening | A.6.1 | Logging, monitoring en detectie | A.8.15; A.8.16 | Back-up & restore beleid en procedure | A.8.13 | |||
| 12 | Medewerkers gebruiken eigen applicaties (Shadow IT) wat zorgt voor onbekende kwetsbaarheden die gehackt kunnen worden met als gevolg een verstoring van het proces. | Technisch | x | x | x | Applicatiebeleid en beperking installatie | A.8.18; A.8.19 | Training (Bewustwording) | A.6.3 | Acceptable use policy | A.5.10 | Proces voor nieuwe ideeën voor verbeteringen | A.8.27; 8.32; A.5.38 | Monitoring en kwetsbaarhedenscans voor specifieke webdiensten voor inzichten | A.8.8; A.8.16 | ||
| 13 | Hacker misbruikt bekende of onbekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties, met onbevoegde toegang tot gevoelige informatie en mogelijk onjuiste informatie tot gevolg. | Technisch | x | x | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.5.29; A.5.30 A.6.8; A.5.43 |
Securitytest | A.8.29 | |||
| 14 | Hacker misbruikt bekende of onbekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties, met een verstoring van het zorgproces tot gevolg. | Technisch | x | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8 |
Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.5.29; A.5.30 A.6.8; A.5.43 |
Back-up & restore test | A.8.13 | ||||
| 15 | Hacker misbruikt verschillende technische kwetsbaarheden om autoprisatie te krijgen en rechten te verhogen, met een ransomwareaanval en verstoring van het zorgproces tot gevolg. | Technisch | x | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.5 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8; A.5.43 |
Zero trust principes implementeren | A.8.35 | ||||
| 16 | Een geïnfecteerd apparaat verspreidt malware, waardoor apparatuur onbeschikbaar raakt en het zorgproces wordt verstoord. | Technisch | x | Malwarebescherming | A.8.7 | Mobile device management | A.8.1; | Back-ups & restore procedure | A.8.13 | Beperking installeren software | A.8.19 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Zero trust principes implementeren | A.8.35 | ||
| 17 | Gebruikers worden niet gedwongen om sterke authenticatie te gebruiken of hebben last van MFA-moeheid, waardoor hacker kan inloggen als medewerkers, met als gevolg onrechtmatige inzage van gevoelige gegevens. | Technisch | x | x | x | Veilige authenticatie | A.8.2; A.8.5 | Training (bewustwording) | A.6.3 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||||
| 18 | Door een grootschalige verstoring bij thuismonitoringssystemen, moeten alle thuis-patiënten opgenomen worden in het ziekenhuis, waar niet genoeg plek voor is. | Technisch | x | Noodprocedures & Business continuity plan | A.5.29 A.5.30 A.5.42 |
Redundantie van IT | A.8.14 | ||||||||||
| 19 | Een patiënt heeft onbevoegde toegang tot data, wat leidt tot een inbreuk op de persoonlijke levenssfeer van een andere patiënt. | Gegevens/Data | x | Fysieke toegangsbeveiliging | A.7.1; A.7.2; A.7.3; A.7.4 | Monitoring en logging van activiteiten | A.8.16 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18 | Training (Bewustwording) + clean desk clear screen | A.6.3 | Incidentbeleid en – procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8; A.5.43 |
MFA | A.8.5 | ||
| 20 | Gevoelige gegevens worden niet veilig verwijderd, waardoor onbevoegden toegang hebben tot de informatie. | Gegevens/Data | x | Veilig verwijderen van apparatuur/data beleid en procedure | A.8.10; A.7.14 | Encryptie | A.8.24 | Training (Bewustwording) | A.6.3 | Leverancierseisen | A.5.20 | ||||||
| 21 | Een ontwikkel, test of acceptatiesystemen is beperkter beveiligd en wordt gehackt, met een datalek als gevolg | Verkrijging en openbaarmaking van informatie | x | Gebruik testdata | A.8.33 | Pseudonimisering van data | A.8.12 A.5.33 A.5.35 |
||||||||||
| 22 | Bij een incident blijken de back-up(s)/systemen niet goed te werken, waardoor data onbeschikbaar blijft en of wetgeving niet wordt nageleefd. | Gegevens/Data | x | Back-up & restore beleid en procedure | A.8.13 | Check op bewaartermijnen en wet- en regelgeving | A.5.31; A.5.33 | Sterke eisen aan leveranciers | A.5.20 | Beleid en procedure voor retentie termijnen | A.5.14 A.5.33 A.8.10 |
||||||
| 23 | Door configuratiefouten of kapotte apparatuur raakt data corrupt, wat zorgt voor een verstoring van de zorgprocessen. | Gegevens/Data | x | x | Back-up & restore beleid en procedure | A.8.13 | Onderhoud van apparatuur en bekabeling | A.7.12 | Redundantie IT | A.8.14 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8; A.5.43 |
|||||
| 24 | Gegevens worden gedurende uitwisseling onderschept, waardoor een kwaadwillende de data inziet en/of aanpast. | Gegevens/Data | x | x | Beleid en procedure voor het delen van informatie | A.5.14 | Gegevensversleuteling (+ beleid) | A.8.24 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 A.6.8; A.5.43 |
Logging, monitoring en detectie | A.8.15; A.8.16 | |||||
| 25 | IT-onderhoudswerkzaamheden leiden tot verstoring van de continuïteit van de zorgprocessen, waardoor data niet beschikbaar is. | Gegevens/Data | x | Veilig test en ontwikkeling beleid en procedure | A.8.27; A.8.28; A.8.31 | Bedrijfscontinuïteit plan | A.5.29 A.5.30 |
Redundantie (noodomgeving) | A.8.14 | Securitytest | A.8.29 | ||||||
| 26 | Thuismonitoring applicaties zijn niet goed beveiligd waardoor een hacker gegevens kan aanpassen, wat leidt tot onjuiste beslissingen in de zorg. | Gegevens/Data | x | Leveranciersmanagement | A.5.19; A.5.20; A.5.21 | Securitytest | A.8.29 | Gegevensversleuteling | A.8.24 | Logging, monitoring en detectie | A.8.15; A.8.16 | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.5 | ||||
| 27 | Medewerker verkoopt gevoelige en waardevolle (persoons)gegevens voor financieel gewin, met onrechtmatige toegang als gevolg | Gegevens/Data | x | Screening | A.6.1 | Logging, monitoring en detectie | A.8.15; A.8.16 | Vertrouwelijkheidsclausule in arbeidscontract + disciplinaire procedure | A.6.2; A.6.4; A.6.5; A.6.6 | Bewustwording | A.6.3 | ||||||
| 28 | Door onduidelijkheid in verantwoordelijkheden worden risico’s niet goed gemanaged en wordt de kans op een ernstig incident groter. | Organisatorisch | x | x | x | Duidelijke rollen en verantwoordelijkheden verdeling | A.5.2; A.5.4 | Bewustwording | A.6.3; A.6.9 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28; A.6.8; A5.43 | ||||||
| 29 | Incidenten worden niet tijdig gemeld, niet goed gemeld of niet goed gemanaged, waardoor deze onnodig groter worden. | Organisatorisch | x | x | x | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Training (Bewustwording) | A.6.3 | ||||||||
| 30 | Vanuit directie/bestuur is onvoldoende budget en of prioriteit voor informatiebeveiliging en privacy, waardoor informatiebeveiligings- en privacymaatregelen niet worden opgepakt of worden uitgesteld. | Organisatorisch | x | x | x | IB-Beleid | A.5.1 | Bewustwording bestuur over rol en verantwoordelijkheid | A.6.3; A.5.2; A.5.4; A.6.9 | Controles en Internal audits | A.5.35 | Prioritering & capaciteitsbeheer | A.8.6 | ||||
| 31 | Doordat er geen actuele kennis is van dreigingen en kwetsbaarheden worden belangrijke maatregelen over het hoofd gezien met een grootschalig incident als gevolg. | Organisatorisch | x | x | x | Up to date blijven over de nieuwe ontwikkelingen op gebied van kwetsbaarheden | A.5.6; A.5.7 | Check op wet- en regelgeving | A.5.31 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.43 | ||||||
| 32 | Door een gebrek van kennis met betrekking tot wet- en regelgeving is er niet voldaan aan wettelijke eisen en volgt er een boete of imagoschade. | Organisatorisch | x | Overzicht van wettelijke, statutaire, regelgevende en contractuele eisen | A.5.31; A.5.33 | Training (Bewustwording) | A.6.3; A.6.9 | Naleving van beleid, regels en normen voor informatiebeveiliging | A.5.36 | ||||||||
| 33 | Management legt prioriteiten elders, wat leidt tot geld tekorten/ bezuinigingen die zorgen voor onvoldoende investeringen in de IT, en kwetsbare systemen. Wat leidt tot de storing van het zorgproces. | Organisatorisch | x | x | x | Training (Bewustwording) | A.6.3; A.6.9 | IB onderdeel maken van projectmanagement | A.5.8 | ||||||||
| 34 | Door een ramp (brand, weersinvloeden, aardbeving of anders) is de informatievoorziening beschadigd en niet beschikbaar. | Omgeving/Fysiek | x | Beschermen tegen fysieke en omgevingsdreigingen | A.7.5 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Business continuïteit plan | A.5.29 A.5.30 A.5.42 |
||||||
| 35 | Door falende infrastructuur (dijkdoorbraak, leidingbreuk) of instorting/verzakking is de informatievoorziening beschadigd en niet beschikbaar. | Omgeving/Fysiek | x | Beschermen tegen fysieke en omgevingsdreigingen | A.7.5 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Business continuïteit plan | A.5.29 A.5.30 A.5.42 |
||||||
| 36 | Door falende nutsvoorziening (elektriciteit, internet) is de informatievoorziening niet beschikbaar. | Omgeving/Fysiek | x | Bescherming van de nutsvoorzieningen | A.7.11 | Noodprocedures & Bescherming van de nutsvoorzieningen | A.5.29 A.5.30 |
Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Onderhoud van apparatuur en bekabeling | A.7.12 | ||||
| 37 | Door kwetsbaarheden in de fysieke beveiliging, kan een inbreker inbreken op het kantoor en datadragers met gevoelige data ontvreemden met een datalek als gevolg. | Omgeving/Fysiek | x | x | x | Zonering fysieke beveiliging | A.7.1: A.7.6 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.29; A.6.8; A.5.43 | Clean desk clear screen | A.7.7 | ||||||
| 38 | Vandalen vernielen onderdelen van de infrastructuur of andere onderdelen van de informatievoorziening waardoor deze niet meer beschikbaar is. | Omgeving/Fysiek | x | Fysieke toegangsbeveiliging | A.7.1 A.7.2; A.7.3 A.7.4 |
Beschermen apparatuur | A.7.8; A.7.12 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure | A.8.13 | ||||||
| 39 | Door onvoldoende beheersing van bedrijfsmiddelen ontstaat het risico dat deze buiten de invloedsfeer van de organisatie raken | Omgeving/Fysiek | x | x | x | Beleid en procedure voor het gebruik van bedrijfsmiddelen buiten de organisatie | A.7.9 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18 | Zero trust principes implementeren | A.8.35 | ||||||
| 40 | Een gebrek aan duidelijke eisen bij de inkoop van een systeem of (Cloud)dienst leidt tot kwetsbare techniek, processen, menselijke aspecten met een onderbreking van de bedrijfsvoerings- /zorgprocessen en overtreding van wet en regelgeving. | Leverancier/Keten | x | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.43 | Leveranciersmanagement (inkoopeisen) | A.5.19; A.5.20; A.5.21; A.5.38 | Security in projectmanagement | A.5.8 | Privacywetgeving uitvoeren | A.5.31 | Processen voor het gebruik van clouddiensten | A.5.23 | ||||
| 41 | Een gebrek aan duidelijke eisen bij de aanschaf van een dienst leidt tot kwetsbare techniek, processen, menselijke aspecten, met een datalek tot gevolg. | Leverancier/Keten | x | x | x | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.43 | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; | Pentest (securitytest) | A.8.29 | Sterke eisen aan leveranciers | A.5.20; A.5.38 | ||||
| 42 | Leverancier/sub leverancier van een essentieel systeem/ dienst wordt gehackt, wat leidt tot verstoring van zorgprocessen. | Leverancier/Keten | x | x | x | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.43 | Leveranciersmanagement | A.5.19; A.5.20; A.5.21 | Sterke eisen aan leveranciers | A.5.20; A.5.38 | ||||||
| 43 | Door onvoldoende control of onbewuste medewerkers wordt een patiënt aan het verkeerde dossier gekoppeld, waardoor er verkeerde data in een dossier staat, dat leidt tot een verkeerde behandeling. | Organisatorisch | x | Patiëntcheck/validatie en tonen informatie van gegevens | A.5.39; A.5.40 | Gedocumenteerde procedures | A.5.37 | ||||||||||
| 44 | Door onvoldoende control of onbewuste medewerkers wordt er verkeerde informatie gepubliceerd (intern: protocollen/extern: patiëntwebsite), resulterend in een verkeerde behandeling, verkeerd geïnformeerd patiënten of imagoschade (Corona-publicatie-Prinses Maxima Centrum) | Organisatorisch | x | Openbaar beschikbare gezondheidsinformatie | A.5.41 |
| # | Risico-omschrijving | Maatregel 1 | ISO-referentie 1 | Maatregel 2 | ISO-referentie 2 | Maatregel 3 | ISO-referentie 3 | Maatregel 4 | ISO-referentie 4 | Maatregel 5 | ISO-referentie 5 |
| 1 | Gebruiker maakt een onbewuste fout waardoor digitale gevoelige informatie (patiëntinformatie/bedrijfsvoering informatie) door onbevoegden wordt ingezien. | Training (Bewustwording) | A.6.3 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 | Classificatie van data | A.5.12 | ||
| 2 | Hacker misleidt een gebruiker, wat leidt tot onrechtmatige toegang tot gevoelige informatie (patiëntinformatie/bedrijfsvoering informatie) | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.5 | Training (social engineering) | A.6.3 | Email beveiliging | A.5.14 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||
| 3 | Hacker misleidt een gebruiker tot een verkeerde handeling of betaling, met financiële schade als gevolg. | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.6 | Training (social engineering) | A.6.4 | 4-ogenprincipe in belagrijke procedure | A.5.3 | ||||
| 4 | Boze (oud) medewerker publiceert/lekt informatie (patiëntdata en/of vertrouwelijke bedrijfsvoeringsdata). | Toekenning en intrekking van rechten | A.5.18 | Logging, monitoring en detectie | A.8.15; A.8.16 | Screening | A.6.1 | Beleid en procedure voor intreding in diensverband + Disciplinaire procedure | A.6.4; A.6.1; A.6.2; A.6.6 | ||
| 5 | Medewerker laat per ongeluk fysieke informatie slingeren, waardoor onbevoegden toegang hebben tot deze gevoelige gegevens. | Training (Bewustwording) Clear desk en clear screen policy | A.6.3; A.7.7 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 | Bescherming van opslag media + encryptie | A.7.10; A.8.24 | Classificatie van data | A.5.12 | ||
| 6 | Medewerker is onvoldoende kundig voor de uitvoering van de functie, waardoorhet zorgproces wordt verstoord. | Training (bewustwording) | A.6.3 | Screening | A.6.1 | Onboarding/offboarding procedure | A.6.5 | Gedocumenteerde procedures | A.5.37 | Redundanties van backups | A.8.13; A.8.14 |
| 7 | Onduidelijkheid in rollen en/of functies en de bijbehorende rechten tot informatie leidt tot te ruime autorisatie en daarmee onrechtmatige toegang tot informatie. | Functiescheiding | A.5.3 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18; A.8.5 | Identiteitsbeheer | A.5.16 | ||||
| 8 | Wijzigingen van rollen en/of functies worden niet goed beheerd, waardoor er een opstapeling van rechten ontstaat met als resultaat onrechtmatige toegang tot patiëntinformatie of bedrijfsvoeringdata | Duidelijke rollen en verantwoordelijkheden verdeling | A.5.2 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18; A.8.5 | Identiteitsbeheer | A.5.16 | Controle op toegangsrechten | A.5.18 | ||
| 9 | Medewerker (met hoger IT rechten) maakt (configuratie)fout, waardoor systemen met gevoelige informatie toegankelijk zijn voor onbevoegden. | Gedocumenteerde procedures | A.5.37 | Wijzigingsbeheer | A.8.32 | Kwetsbaarheden monitoren en managen | A.8.8; A.8.16 | Training (Bewustwording) | A.6.3 | Incidentbeleid en – procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 |
| 10 | Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen onbeschikbaar raken | Toegangsbeleid, procedure en – matrix + MFA | A.5.15; A.5.18; A.8.5 | Toegangsbeleid, procedure en – matrix | A.5.15; A.5.18; A.8.5 | Training (Bewustwording) | A.6.3 | Backup & restore beleid en procedure | A.8.13 | Logging, monitoring en detectie | A.8.15; A.8.16 |
| 11 | Boze medewerker (met hogere IT-rechten) verwijdert bewust gegevens waardoor processen niet meer kunnen worden uitgevoerd. | Wijzigingbeheer | A.8.32 | Toegangsbeleid, procedure en – matrix | A.5.15; A.5.18; A.8.5 | Screening | A.6.1 | Logging, monitoring en detectie | A.8.15; A.8.16 | Back-up & restore beleid en procedure | A.8.13 |
| 12 | Medewerkers gebruiken eigen applicaties (Shadow IT) wat zorgt voor onbekende kwetsbaarheden die gehackt kunnen worden met als gevolg een verstoring van het proces. | Applicatiebeleid en beperking installatie | A8.18; A.8.19 | Training (Bewustwording) | A.6.3 | Acceptable use policy | A.5.10 | Proces voor nieuwe ideeen voor verbeteringen | A.8.27; 8.32 | Monitoring en kwetsbaarhedenscans voor specifieke webdiensten voor inzichten | A.8.8; A.8.16 |
| 13 | Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang tot gevoelige informatie en mogelijk onjuiste informatie. | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29; A.5.30 | Securitytest | A.8.29 |
| 14 | Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot een verstoring van het zorgproces. | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29 | Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29; A.5.30 | Backup & restore test | A.8.13 |
| 15 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang en openbaring van informatie. | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29 | ||
| 16 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot het onbeschikbaar raken van informatie en systemen (bijv. ransomware). | Kwetsbaarhedenmanagement (patch beleid) | A.8.8; A.8.1; A.7.13 | Netwerksegmentatie | A.8.22 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.28 | Bedrijfscontinuiteitsplan | A.5.30 | Back-up & restore beleid en procedure | A.8.13 |
| 17 | Een geïnfecteerd apparaat verspreidt malware, waardoor apparatuur onbeschikbaar raakt en het zorgproces wordt vestoord. | Malwarebescherming | A.8.7 | Mobile device management | A.8.1; | Back-ups & restore procedure | A.8.13 | Beperking installeren software | A.8.19 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 |
| 18 | Gebruikers worden niet gedwongen om sterke authenticatie te gebruiken of hebben last van MFA moeheid, waardoor hacker kan inloggen als medewerkers, met als gevolg onrechtmatige inzage van gevoelige gegevens. | Veilige authenticatie | A.8.2; A.8.5 | Training (bewustwording) | A.6.3 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||
| 19 | Door een grootschalige verstoring bij de thuismonitoring, moeten al deze patienten opgenomen worden in het ziekenhuis, waar niet genoeg plek voor is. | Noodprocedures & Business continuity plan | A.5.30 | Redundantie van IT | A.8.14 | ||||||
| 20 | Een patiënt heeft onbevoegde toegang tot data, wat leidt tot een inbreuk op de persoonlijke levenssfeer van een andere patiënt. | Fysieke toegangsbeveiliging | A.7.1; A.7.2; A.7.3; A.7.4 | Monitoring en logging van activiteiten | A.8.16 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18; A.8.5 | Training (Bewustwording) + clean desk clear screen | A.6.3 | Incidentbeleid en – procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29 |
| 21 | Gevoelige ggevens worden niet veilig verwijderd, waardoor onbevoegden toegang hebben tot de informatie. | Veilig verwijderen van apparatuur/data beleid en procedure | A.8.10; A.7.14 | Encryptie | A.8.24 | Training (Bewustwording) | A.6.3 | Leverancierseisen | A.5.20 | ||
| 22 | Een ontwikkel, test of acceptatiesystemen is minder beveiligd en wordt gehackt, met een datalek als gevolg | Gebruik testdata | A.8.33 | Pseudonimisering van data | A.8.12 A.5.33 A.5.35 | ||||||
| 23 | Bij een incident blijken de back-up(s)/systemen niet goed te werken, waardoor data onbeschikbaar blijft en of wetgeving niet wordt nageleefd. | Back-up & restore beleid en procedure | A.8.13 | Check op bewaartermijnen en wet en regelgeving | A.5.31; A.5.33 | Sterke eisen aan leveranciers | A.5.20 | Beleid en procedure voor retentie termijnen | |||
| 24 | Door configuratiefouten of kapotte apparatuur raakt data corrupt, wat zorgt voor een verstoring van de zorgprocessen. | Back-up & restore beleid en procedure | A.8.13 | Onderhoud van apparatuur en bekabeling | A.7.12 | Redundantie IT | A.8.14 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29 | ||
| 25 | Gegevens worden gedurende uitwisseling onderschept, waardoor een kwaadwillende de data inziet en/of aanpast. | Beleid en procedure voor het delen van informatie | A.5.14 | Gegevensversleuteling (+ beleid) | A.8.24 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||
| 26 | IT onderhoudswerkzaamheden leiden tot verstoring van de continuïteit van de zorgprocessen, waardoor data niet beschikbaar is. | Veilig test en ontwikkeling beleid en procedure | A.8.27; A.8.28; A.8.31 | Bedrijfscontinuïteit plan | A.5.30 | Redundantie (noodomgeving) | A.8.14 | Securitytest | A.8.29 | ||
| 27 | Thuismonitoring applicaties zijn niet goed beveiligd waardoor een hacker gegevens kan aanpassen, wat leidt tot onjuiste beslissingen in de zorg. | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A5.20 | Securitytest | A.8.29 | Gegevensversleuteling | A.8.24 | Logging, monitoring en detectie | A.8.15; A.8.16 | Toegangsbeleid en -procedure | A.5.15; A.5.18; A.8.5 |
| 28 | Medewerker verkoopt gevoelige en waardevolle (persoons)gegegevens voor financieel gewin, met onrechtmatige toegang als gevolg | Screening | A.6.1 | Logging, monitoring en detectie | A.8.15; A.8.16 | Vertrouwelijkheidsclausule in arbeidscontract + disciplinaire procedure | A.6.2; A.6.4; A.6.5; A.6.6 | Bewustwording | A.6.3 | ||
| 29 | Door onduidelijkheid in verantwoordelijkheden worden risico’s niet goed gemanaged en wordt de kans op een ernstig incident groter. | Duidelijke rollen en verantwoordelijkheden verdeling | A.5.2; A.5.4 | Bewustwording | A.6.3 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | ||||
| 30 | Incidenten worden niet tijdig gemeld, niet goed gemeld of niet goed gemanaged, waardoor deze onnodig groter worden. | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Training (Bewustwording) | A.6.3 | ||||||
| 31 | Vanuit directie/bestuur is onvoldoende budget en of prioriteit voor informatiebeveiliging en privacy, waardoor informatiebeveiligings- en privacymaatregelen niet worden opgepakt of worden uitgesteld. | IB-Beleid | A.5.1 | Bewustwording bestuur over rol en verantwoordelijkheid | A.6.3; A.5.2; A.5.4 | Controles en Internal audits | A.5.35; A5.36; | Prioritering & capaciteitsbeheer | A.8.6 | ||
| 32 | Doordat er geen actuele kennis is van dreigingen en kwetsbaarheden worden belangrijke maatregelen over het hoofd gezien met een grootschalig incident als gevolg. | Up to date blijven over de nieuwe ontwikkeleingen op gebied van kwetsbaarheden | A.5.6; A.5.7 | Check op wet en regelgeving | A.5.31 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | ||||
| 33 | Door een gebrek van kennis met betrekking tot wet- en regelgeving is er niet voldaan aan wettelijke eisen en volgt er een boete of imagoschade. | Overzicht van wettelijke, statutaire, regelgevende en contractuele eisen | A.5.31; A.5.33 | Training (Bewustwording) | A.6.3 | Naleving van beleid, regels en normen voor informatiebeveiliging | A.5.36 | ||||
| 34 | Management legt prioriteiten elders, wat leidt tot geld tekorten / bezuinigingen die zorgen voor onvoldoende investeringen in de IT, en kwetsbare systemen. Wat leidt tot de storing van het zorgproces. | Training (Bewustwording) | A.6.3 | IT onderdeel maken van projectmanagement | A.5.8 | ||||||
| 35 | Door een ramp (brand, weersinvloeden, aardbeving of anders) is de informatievoorziening beschadigd en niet beschikbaar. | Beschermen tegen fysieke en omgevingsdreigingen | A.7.5 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Business continuïteit plan | A.5.30 | ||
| 36 | Door falende infrastructuur (dijkdoorbraak, leidingbreuk) of instorting/verzakking is de informatievoorziening beschadigd en niet beschikbaar. | Beschermen tegen fysieke en omgevingsdreigingen | A.7.5 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Business continuïteit plan | A.5.30 | ||
| 37 | Door falende nutsvoorziening (elektriciteit, internet) is de informatievoorziening niet beschikbaar. | Bescherming van de nutsvoorzieningen | A.7.11 | Noodprocedures & Business continuity plan | A.5.30 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure & restore test | A.8.13 | Onderhoud van apparatuur en bekabeling | A.7.12 |
| 38 | Door kwetsbaarheden in de fysieke beveiliging, kan een inbreker inbreken op het kantoor en datadragers met gevoelige data ontvreemden met een datalek als gevolg. | Zonering fysieke beveiliging | A.7.1: A.7.6 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.29; A.6.8 | Clean desk clear screen | A.7.7 | ||||
| 39 | Vandalen vernielen onderdelen van de infrastructuur of andere onderdelen van de informatievoorziening waardoor deze niet meer beschikbaar is. | Fysieke toegangsbeveiliging | A.7.2; A.7.3; A.7.4 | Beschermen apparatuur | A.7.8; A.7.12 | Redundantie van IT | A.8.14 | Back-up & restore beleid en procedure | A.8.13 | ||
| 40 | Door onvoldoende beheersing van bedrijfsmiddelen ontstaat het risico dat deze buiten de invloedsfeer van de organisatie raken | Beleid en procedure voor het gebruik van bedrijfsmiddelen buiten de organisatie | A.7.9 | Toegangsbeleid, procedure en -matrix | A.5.15; A.5.18; A.8.5 | ||||||
| 41 | Een gebrek aan duidelijke eisen bij de inkoop van een systeem of (Cloud)dienst leidt tot kwetsbare techniek,processen, menselijke aspecten met een onderbreking van de bedrijfsvoerings- /zorgprocessen en overtreding van wet en regelgeving. | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Leveranciersmanagement (inkoopeisen) | A.5.19; A.5.20; A.5.21; A5.20 | Security in project management | A.5.8 | Privacy wetgeving | A.5.31 | Processen voor het gebruik van clouddiensten | A.5.23 |
| 42 | Een gebrek aan duidelijke eisen bij de aanschaf van een dienst leidt tot kwetsbare techniek, processen, menselijke aspecten, met een datalek tot gevolg. | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A5.20 | Pentest (securitytest) | A.8.29 | Sterke eisen aan leveranciers | A.5.20 | ||
| 43 | Leverancier/sub leverancier van een essentieel systeem/ dienst wordt gehackt, wat leidt tot verstoring van zorgprocessen. | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A5.20 | Sterke eisen aan leveranciers | A.5.20 |