Breadcrumbs

8.4 | Risicoanalyse

Beschikbaarheid, integriteit en vertrouwelijkheid

De Twiin Organisatie voert periodiek, in overleg met Twiin Deelnemers, Twiin Dienstverleners, GTK Beheerders en GTK Leveranciers een risicoanalyse uit gericht op informatieveiligheidsrisico's, zoals vastgelegd in het informatiebeveiligingsbeleid. Dit zijn risico's die kunnen leiden tot inbreuken op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie. Hiermee geven partijen invulling aan de plicht in de NEN 7512. Het gaat hier om een risicoanalyse op stelselniveau, dat wil zeggen dat het om de risico’s gaat in de onderlinge relatie tussen de betrokken partijen en niet de specifieke analyse bij een betrokken partij. Daarmee zijn alle onderdelen uit het Twiin Afsprakenstelsel onderwerp van de risicoanalyse. Maatregelen die voortkomen uit de analyse kunnen betrekking hebben op de Twiin Deelnemers, GTK Beheerders, GTK Leveranciers en de Twiin Organisatie.

Uitgangspunten bij de risicoanalyse

  1. De scope van de risicoanalyse wordt bepaald door de architectuur, met name de principes. Op basis hiervan worden uitspraken gedaan over beschikbaarheid, vertrouwelijkheid en integriteit van de informatie binnen scope van het afsprakenstelsel.

  2. De risicoanalyse wordt uitgevoerd op basis van de, op het moment van uitvoering, laatst gepubliceerde release van het Twiin Afsprakenstelsel.

  3. In de analyse is een vertegenwoordiging van de Twiin Deelnemers, Twiin Dienstverleners, GTK Beheerders en GTK Leveranciers betrokken.

  4. Voldoen aan geldende wet- en regelgeving is een startpunt voor alle partijen en een vereiste in de definitie van maatregelen.

  5. Het bestuur van de Twiin Organisatie streeft naar een voor de Twiin Deelnemers, GTK Beheerders en GTK Leveranciers aanvaardbaar risiconiveau aan de hand van de impact op de volgende onderwerpen: gezondheid, privacy, financiën, imago en vertrouwen. De Twiin Organisatie bepaalt met betrokkenen wat dit aanvaardbare risiconiveau is. De Twiin Organisatie stelt de risicoanalyse, de risicotolerantie en beveiligingsmaatregelen vast en laat dit proces toetsen in de Privacy- en Securityraad van Twiin.

Processtappen

Iedere risicoanalyse volgt dezelfde systematiek zoals in NEN 7512 is beschreven:

  1. Afstemmen scope en uitgangspunten: 

Hieronder valt het bepalen van de toepasselijke kaders, het type data, betrokken partijen, communicatiepatronen en de locatie van de data.

  1. Bepaling risicobereidheid (risk appetite) 

De risico’s zullen ingeschat worden aan de hand van de risicoklassentabel uit de NEN 7512 (A t/m E). Het netto risico moet uiteindelijk binnen de risicobereidheid vallen én binnen een toegestane risicotolerantie die vooraf wordt bepaald.

  1. Inventariseren dreigingsbeeld en bedreigingen 

Aan de hand van publieke bronnen en eventuele individuele analyses van Twiin Deelnemers wordt een dreigingsbeeld gevormd die van toepassing is op het stelsel. Dit beeld bestaat uit zowel de dreigingen als haar actoren.

  1. Vaststellen van gebeurtenissen 

Met behulp van de dreigingen worden de gebeurtenissen geïdentificeerd die tot een risico kunnen leiden.

  1. Kwantificeren van de bruto risico’s 

De gevolgklasse en kans zonder mitigerende maatregelen leiden tot het bruto risico. Hierbij is de gevolgklasse gedifferentieerd in de impact voor een patiënt, betrokkene, organisatie en maatschappij. De bruto- en later ook de netto risico’s worden ingeschat met behulp van de klassentabellen uit de norm.

  1. Bepalen maatregelen (risicobehandeling) 

Na de bepaling van de bruto risico’s voor de gebeurtenissen, worden deze zoveel mogelijk gekoppeld aan de “Techniques” uit het Mitre Att&ck framework versie 18 (zie: https://attack.mitre.org/versions/v18/matrices/enterprise/ ). Bij deze techniques horen aanbevolen maatregelen, terug te vinden onder ‘Techniques Addressed by Mitigation’.

  1. Bepalen restrisico (netto risico) 

Het netto risico volgt uit de inschatting wanneer alle maatregelen zijn toegepast. Deze moet lager of gelijk zijn aan de risicobereidheid uit stap 2.


Maatregelen

De geformuleerde maatregelen kunnen op verschillende manieren worden opgenomen in het afsprakenstelsel. Er kunnen technische specificaties worden geformuleerd voor deelnemers in de technische kern. Beleid en operationele processen kunnen worden vormgegeven, dan wel de voorwaarden worden aangevuld. In een aantal gevallen is de maatregel gekoppeld aan een norm uit de NEN 7510-1 waarbij een Verklaring van Toepasselijkheid kan aantonen dat de maatregel is geïmplementeerd. Bij de overige maatregelen zal een technische validatie of een zelfverklaring worden gevraagd via het proces validatie.

Per maatregel is aangegeven welke rol (Twiin Deelnemers, GTK Leveranciers en de Twiin Organisatie) primair verantwoordelijk is voor de implementatie.


Verwerking in het afsprakenstelsel

Aantoonbaar voldoen aan de NEN 7510 is wettelijk verplicht bij de gegevensuitwisseling tussen zorgaanbieders. Het Twiin Afsprakenstelsel verplicht de GTK Leverancier, GTK Beheerder en Twiin Deelnemer dan ook aan te tonen dat wordt voldaan aan NEN 7510.

Een NEN 7510-certificering in samenhang met het proces toetreding en aansluiten en het proces Valideren, dekt de belangrijkste informatiebeveiligingsrisico’s van het stelsel af.

Op een aantal onderwerpen zijn maatregelen uit de NEN 7512-norm meer specifiek ingevuld voor uitwisseling op basis van het Twiin Afsprakenstelsel. Deze maatregelen staan in het Normenkader informatiebeveiliging. Daarnaast staan in de architectuur, de technische kern en in het proces Incidentmelding maatregelen uit de risicoanalyse op stelselniveau. De uitvoering van deze maatregelen wordt onder meer getoetst via het proces Validatie.

Herijking risicoanalyse

De risicoanalyse is een dienst die in ieder geval jaarlijks en bij bepaalde wijzingen moet worden uitgevoerd. Herijking van de risicoanalyse is nodig op het moment dat:

  • wijzigingen in het afsprakenstelsel van invloed kunnen zijn op de risicoanalyse

  • er incidenten met aanzienlijke impact zijn

  • er bekende wijzigingen zijn in het dreigingslandschap

  • er significante technische wijzigingen zijn in de werking van het stelsel

  • er wijziging is van wetgeving waar het Twiin Afsprakenstelsel aan moet voldoen

  • één van de uitgangspunten wordt gewijzigd