|
|
NEN 7512: Vertrouwensbasis voor gegevensuitwisselingDeze norm is in twee opzichten een aanvulling op de richtlijnen die NEN 7510 aan organisaties in de zorg geeft voor hun informatiebeveiliging.
In de eerste plaats richt deze norm zich op de zekerheid die partijen elkaar moeten bieden als voorwaarde voor vertrouwde gegevensuitwisseling. Ten tweede levert deze norm een nadere invulling voor een aantal van de richtlijnen van NEN 7510. Dat betreft dan vooral de aanzet tot risicoclassificatie en de uitwerking van de eisen over identificatie en authenticatie die behoren bij een bepaalde risicoklasse. Het toepassingsgebied van deze norm is de elektronische communicatie in
de zorg, tussen zorgverleners en zorginstellingen onderling en met
patiënten en cliënten, met zorgverzekeraars en andere partijen die bij
de zorg zijn betrokken.
NEN 7512 geeft een schematische benadering voor het classificeren van
communicatieprocessen naar het risico dat zij voor de gezondheidszorg
met zich meebrengen. Aansluitend bij die classificatie worden voor
uitwisseling van gegevens minimumeisen gesteld met betrekking tot de
bron van de gegevens, het transportkanaal en de ontvanger van de
gegevens. Bron en ontvanger kunnen personen zijn, maar ook organisaties
of hun informatiesystemen. Als overkoepelend begrip wordt hiervoor in
deze norm de term "entiteiten" gebruikt.
De kwalificaties van de betrokken partijen zijn voor het te stellen
vertrouwen zeer belangrijk. Op die kwalificaties zelf gaat deze norm
niet in. De kwalificaties horen echter bij een identiteit en het met
voldoende zekerheid vaststellen van de identiteit van de te vertrouwen
partij is dan ook een eerste vereiste. In deze norm wordt aangegeven
welke zekerheid over de identiteit van de te vertrouwen partij voor de
onderscheiden risicoklassen voldoende wordt geacht.
Een te vertrouwen partij zal zijn identiteit en eventueel kwalificaties
moeten aantonen en de vertrouwende partij moet die kunnen controleren.
Door deze authenticatie wordt de vereiste zekerheid bereikt. Bij elk
van de risicoklassen geeft deze norm de minimaal vereiste wijze van
authenticatie en de bijbehorende bewijsstukken. Voor de acceptatie van
bewijsstukken is vertrouwen nodig in de uitgevende instantie en in de
mate waarin het bewijsstuk bestand is tegen vervalsing en onrechtmatig
gebruik.
In deze norm wordt zoveel mogelijk aangesloten bij methoden en
voorzieningen die ook buiten de zorg worden toegepast. Waar de hoogste
zekerheidseisen gelden, wordt verwezen naar de normen die gelden voor
een "Public Key Infrastructure". Bij lagere eisen wordt aangegeven
welke andere methoden en middelen dan in aanmerking komen. |
Zoeken
Contact
|
