Informatiebeveiliging

7. Veilig personeel

A.7.1.1 Staat de screening van nieuwe medewerkers in verhouding tot de gevoeligheid van de te verwerken informatie?

A.7.1.2* Staan eisen t.a.v. Informatiebeveiliging in de arbeidsovereenkomst?

A.11.2.9* Wordt het clean desk clear screen beleid nageleefd?

A.7.3.1 Worden voor vertrek afspraken gemaakt over informatiebeveiligingseisen voor de periode na ontslag?

A.8.1.4 Is het geregeld en geborgd, dat medewerkers voor vertrek ziekenhuiseigendommen inleveren?

A.9.2.6 Is geborgd dat bij vertrek de toegangsrechten geblokkeerd worden?

8.0 Overzicht en inzicht middelen

A.8.1.1 Heeft de afdeling een overzicht van informatiebestanden, info verwerkende apparatuur en faciliteiten met vermelding van de eigenaar?

A.8.1.3* Heeft de afdeling regels opgesteld over het gebruik van informatiebestanden, info verwerkende apparatuur en faciliteiten?

A.8.3.3* Zijn regels opgesteld over het gebruik van verwijderbare media (bijv. USB sticks, mobiele harde schijven, bijv. I.r.t. Medische apparatuur)?

Toegang

A.9.2.1 Heeft de afdeling een registratie en een uitschrijvingsprocedure m.b.t. toegangsrechten?

A.9.2.5 Wordt jaarlijks gecontroleerd of de verstrekte bevoegdheden nog nodig zijn?

A.11.1.3* Is de toegang tot kantoren, ruimten en faciliteiten beveiligd tegen onbevoegdheden?

Overeenkomsten met derden

15.0 Heeft de afdeling overeenkomsten met derden die informatie voor de afdeling bewerken?

A.15.2.2 Worden veranderingen in dienstverlening van leveranciers beoordeeld op hun impact?

15.2.2 Kunt u een voorbeeld laten zien van wat gedaan is naar aanleiding van veranderde dienstverlening?

A.15.2.1 Worden leveranciers jaarlijks beoordeeld?

Continuïteit

A.17.1.1* Is de continuïteit en de veiligheid van de informatie in geval van een crisis vastgelegd in een noodplan?

A.17.1.3* Is het noodplan op het gebied van informatiebeveiliging en continuïteit (Noodprocedures, gebruik nood PC voor Epic) geoefend en geactualiseerd?

Naleving

Is/zijn er op de afdeling kwaliteitsrondes gelopen m.b.t. Informatiebeveiliging en privacybescherming of eerdere interne audits uitgevoerd?

Wat is er gedaan met de bevindingen van de veiligheidsronde/interne audit?

Privacy

1.0* Zijn alle bewerkingen van persoonsgegevens (verzamelen, bewaren, gebruik, wijziging, etc.) waar de afdeling verantwoordelijk voor is bekend?

1.1* Welke informatiesystemen worden hierbij gebruikt?

1.2* Wat is de risicoklasse van deze bewerkingen? (Laag, midden, hoog)

2.2 Worden gegevens gebruikt voor onderzoek?

2.2.b Is geborgd dat de gegevens alleen gebruikt worden voor het doel waarvoor toestemming is gegeven?

2.3* zijn de bewerkingen echt noodzakelijk voor het bereiken van doelstellingen?

3.0* Is het afgelopen jaar gecontroleerd of de informatie niet langer wordt bewaard dan nodig of in W&R toegestaan?

4.0 Is vastgesteld dat de bewerking gebaseerd is op minimaal één van de rechtsgronden?

4.1* Worden medische gegevens alleen bewerkt door personen met een geheimhoudingsplicht?

4.2 Als toestemming nodig is is die verkregen, vastgelegd en zijn daarvoor procedures ingericht?

5.0* Zijn procedures/maatregelen getroffen om de kwaliteit van de invoer van gegevens te waarborgen?

5.1* worden persoonsgegevens regelmatig gecontroleerd op actualiteit/juistheid en bijgewerkt?

6.0* Worden betrokkenen geïnformeerd over de verwerkingen en hun rechten?

6.1* Zijn procedures ingericht voor betrokkenen om gebruik te maken van hun rechten incl. het verkrijgen of doorsturen van informatie?

8.0 Zijn er contracten gesloten die betrekking hebben op persoonsgegevens?

8.1 Is daarin vastgelegd wat derden met de informatie mogen en moeten doen?

8.2 Zijn deze overeenkomsten actueel?

9.0 Worden gegevens doorgegeven/zijn ze toegankelijk voor bedrijven/instanties buiten de EU?

9.1 Is de bescherming gewaarborgd, passend bij de risicoklasse?

10.0* Wordt het bewust rekening houden met privacy levend gehouden bij de medewerkers?

10.1* Maken privacyaspecten van het werk aantoonbaar deel uit van de introductie en/of inwerktraject?

10.2* Zijn de medewerkers geïnformeerd over wat datalekken zijn en hoe ze die moeten melden?

10.3* Is het privacykader (DocPortal) bekend bij medewerkers?

Please note that this checklist is a hypothetical example and provides basic information only. It is not intended to take the place of, among other things, workplace, health and safety advice; medical advice, diagnosis, or treatment; or other applicable laws. You should also seek your own professional advice to determine if the use of such checklist is permissible in your workplace or jurisdiction.