NEN 7510 - Beveiligingseisen personeel en fysieke beveiliging

In gesprekken met de diverse ziekenhuizen merk ik dat er behoefte bestaat aan een vertaling van de richtlijnen uit de NEN 7510 naar concrete toepassingen. Binnen de ziekenhuizen worden in het kader van de NEN 7510 certificering projectgroepen gevormd die tot doel hebben om de richtlijnen uit de NEN 7510 te vertalen naar toepasbare oplossingen die goed in de praktijk te implementeren zijn.

Om de zorgorganisaties een praktische handleiding te bieden voor verbetering van de punten waarop eerder zwak gescoord is, heb ik voor een aantal richtlijnen uit de NEN 7510 een vertaling gemaakt naar oplossingen die hierin kunnen voorzien en zich in de praktijk bewezen hebben.

In drie blog artikelen geef ik in ieder deel aan de hand van een onderwerp uit de NEN 7510 een vertaling van een aantal richtlijnen naar concreet toepasbare oplossingen. Dit blog artikel is het eerste deel en richt zich op beveiligingseisen ten aanzien van personeel en fysieke beveiliging. De genoemde richtlijnen en maatregelen in dit blog verwijzen naar de NEN 7510: 2004. Wanneer de definitieve versie van de herziening van de NEN 7510, de NEN 7510: 2010 beschikbaar komt (naar verwachting in september 2011), zal ik hier op dit blog uitgebreid ingaan op de punten waar de NEN7510 op dit gebied is aangescherpt.

8.3.2 Risico van toegang tot gegevens – intrekken toegangsrechten
De NEN 7510 stelt dat voorkomen dient te worden dat medewerkers of externe leveranciers na wijziging dienstverband of uit-diensttreding nog toegang hebben tot informatie of informatiesystemen van de instelling. Voor een goed systeembeheerder wordt deze eis als vanzelfsprekend beschouwd, maar vaak wordt vanuit de organisatie niet doorgegeven dat een medewerker uit-dienst is en blijft de IT-afdeling deze informatie onthouden. Dit heeft tot gevolg dat het account van de medewerker blijft bestaan, met het risico dat de medewerker na uit-diensttreding of functiewijziging nog steeds bij alle gegevens kan waar de medewerker tijdens zijn of haar actieve dienstverband ook toegang toe had.

Met het inrichten van een Identity Management (IdM) oplossing kan het inrichten van toegangsrechten goed en secuur ingericht worden middels een automatische ontmantelingsprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. De IdM oplossing zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienst medewerkers (externe partij, uitzendkrachten, maatschappen, etc.) kunnen dan middels de Identity Management oplossing zaken ingeregeld worden als beperkte levensduur van het user account, periodieke terugkoppeling met leidinggevende, overzichten van niet gebruikte user accounts, etc.

Een veel gebruikte Identity Management oplossing in de ziekenhuiswereld is User Management Resource Aministrator (UMRA) van Tools4ever. Deze oplossing wordt inmiddels bij 25 Nederlandse ziekenhuizen met veel succes ingezet en heeft bij deze ziekenhuizen een sterke bijdrage geleverd aan het voldoen aan de NEN 7510.

8.3.3 Teruggeven van voorzieningen
De NEN 7510 stelt dat medewerkers na uitdiensttreding alle eigendommen van de instelling die ze in bezit hebben terug dienen te geven. Deze eis lijkt heel logisch, maar blijkt in de praktijk vaak lastig te handhaven.

Het teruggeven van voorzieningen vormt een logische aansluiting op het intrekken van toegangsrechten als omschreven onder richtlijn 8.3.2. Naast het intrekken van de digitale toegang vormt het ontnemen van o.a. fysieke toegang (toegangspas) en het terugkrijgen van goederen en andere aan de instelling gerelateerde voorzieningen een minstens net zo belangrijk onderdeel van de ontmantelingsprocedure bij uit-diensttreding van medewerkers.

Een Identity Management oplossing biedt de mogelijkheid om een koppeling te realiseren met facility management systemen zoals Ultimo, Planon en TOPdesk. Dankzij deze koppelingen en de koppeling met het personeelssysteem kan bepaald worden welke items een vertrekkende medewerker in bezit heeft. Afhankelijk van de gebruikte procedure in de zorginstelling zorgt de Identity Management oplossing ervoor dat de betrokken medewerkers (directe leidinggevende, medewerker PZ en FM) geïnformeerd worden en de voorzieningen geretourneerd worden. De eerder besproken IdM oplossing UMRA biedt out-of-the-box koppelingen met Ultimo, Planon en TOPdesk en kan hiermee uitstekend voorzien in een sluitende ontmantelingsprocedure waarbij de betrokken personen en afdelingen geïnformeerd worden over de aanstaande uit-diensttreding van een medewerker en de in te leveren voorzieningen.

9.1.2 Fysieke toegangsbeveiliging
De NEN 7510 stelt dat middels fysieke toegangsbeveiliging beveiligde zones ingericht moeten worden waartoe alleen geautoriseerd personeel toegang toe heeft. Deze zones dienen ter bescherming van gegevens, apparatuur en personeel.

Voor het goed inrichten van fysieke toegangsbeveiliging is een koppeling met het personeelssysteem essentieel om de verstrekking en intrekking van een toegangspas/smartcard te kunnen relateren aan een geldig dienstverband van een medewerker. Een Identity Management oplossing kan uitstekend voorzien in de mogelijkheid om de informatie uit het personeelssysteem met een automatische koppeling te verbinden aan de beheerapplicatie van het toegangssysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een toegangspas/smartcard krijgt op het moment dat deze een geldig dienstverband heeft. Daarnaast is het mogelijk een verband te leggen tussen de functie/afdeling van het contract van de medewerker en de beveiligde zones waar een medewerker toegang toe behoort te hebben. De eerder besproken IdM oplossing UMRA kan koppelen met de meeste fysieke toegangssystemen, zoals Galaxy, Chubb – Afx, EAL ATS, Nedap – AEOS en Keyprocessor - iProtect.

Voor meer informatie over de toepassing van de NEN 7510 - Informatiebeveiliging in de zorg en de mogelijkheden die hiertoe te behalen zijn met een Identity and Access Management oplossing, kunt gratis de white paper NEN 7510 compliance als pdf downloaden: White paper NEN 7510 compliance (pdf)