Toelichting op uitnodiging vragenlijst Informatiebeveiliging
Voldoen aan GBZ-eisen
Om gegevens uit te mogen wisselen via het Landelijk Schakelpunt moeten organisaties voldoen aan de eisen van het zogeheten Goed Beheerd Zorgsysteem (GBZ). Deze eisen zijn opgenomen in de eisen voor de zorgtoepassingen die de zorgaanbieder wil gebruiken. Zie zorgtoepassingen op de huidige AORTA documentatie.
Om gegevens uit te mogen wisselen via het Landelijk Schakelpunt moeten organisaties voldoen aan de eisen van het zogeheten Goed Beheerd Zorgsysteem (GBZ). Deze eisen kunt u hier downloaden.
Een GBZ is een zorginformatiesysteem (of verzameling zorginformatiesystemen) waarin u het dossier van uw patiënt vastlegt en waarmee u en uw collega’s patiëntgegevens kunnen uitwisselen met andere zorgaanbieders. Bij aansluiting op het Landelijk Schakelpunt heeft u een Gebruiksovereenkomst met VZVZ gesloten. Hierin is de verplichting opgenomen om blijvend aan de eisen voor informatiebeveiliging van uw GBZ te voldoen.
Aan een deel van de GBZ-eisen voldoet u reeds doordat u gebruik maakt van een zorginformatiesysteem en een netwerk dat VZVZ heeft goedgekeurd. Daarnaast omvatten de GBZ-eisen organisatorische maatregelen op het gebied van informatiebeveiliging die u zelf moet inregelen om te voldoen. Dit betreft onder meer procedures voor het aanvragen/wijzigen/intrekken van toegangsrechten tot het GBZ (zorginformatiesysteem).
Vragenlijst Informatiebeveiliging
Met de vragenlijst kan VZVZ beoordelen welke beheersmaatregelen u op het gebied van informatiebeveiliging heeft ingevoerd en of deze voldoende en correct zijn toegepast voor aansluiting op het Landelijk Schakelpunt. De vragenlijst houdt rekening mee als uw organisatie (aantoonbaar) aan NEN7510 voldoet en zal bepaalde IB vragen niet stellen.
Het betreft uitdrukkelijk geen (veiligheids-)audit, maar een inventariserend en adviserend onderzoek. De focus ligt op motivering voor verbetering en niet op sanctionering van geconstateerde tekortkomingen. Aan de resultaten kunnen ook geen rechten worden ontleend. Het blijft uw verantwoordelijkheid om, ook na een positieve beoordeling, blijvend te voldoen aan de gebruiksvoorwaarden die worden gesteld voor het functioneren en veilig gebruik van het GBZ.
Wie moet deze vragenlijst invullen?
De vragenlijst kan het beste worden ingevuld door de persoon die zich binnen uw organisatie bezighoudt met informatiebeveiliging of ICT.
Wat gebeurt er met de antwoorden?
Op basis van uw antwoorden ontvangt u van ons een terugkoppeling in de vorm van een advies ter verbetering van de informatiebeveiliging in uw organisatie.
Wij verwerken de resultaten geanonimiseerd in een rapport dat uitsluitend bestemd zal zijn voor intern gebruik. Wij behandelen de informatie strikt vertrouwelijk en verstrekken deze niet aan derden. Waar van toepassing zullen wij de resultaten gebruiken om u informatie en/of ondersteuning te bieden om de informatiebeveiliging te verbeteren. De verkregen gegevens worden niet voor andere doeleinden gebruikt.
Verplichting om mee te werken aan dit onderzoek?
Uw organisatie is er in eerste instantie zelf voor verantwoordelijk dat uw GBZ aan de eisen voldoet. Deze verplichting vloeit voort uit de Gebruiksovereenkomst. Dit onderzoek is bedoeld om u en ons te helpen om duidelijkheid te krijgen of uw organisatie voldoet aan de GBZ-eisen. Wij raden het dan ook ten zeerste aan om de vragenlijst in te vullen.
Steekproef
Aan de hand van de uitkomsten kunt u via een steekproef geselecteerd worden voor een bezoek bij u op locatie. Wij maken dan een afspraak met u om de vragenlijst door te nemen en u kunt een toelichting geven op uw antwoorden. Wij bieden u waar nodig handvatten om uw GBZ-beheer optimaal in te richten.
Vragen?
Heeft u vragen naar aanleiding van deze e-mail? Neem dan contact op met het Risk & Security team van VZVZ via vragenlijst.informatiebeveiliging@vzvz.nl of 070-3173447.