Document toolboxDocument toolbox

A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen


Norm

Rationale

Persoonlijke gezondheidsgegevens moeten versleuteld worden opgeslagen. Dit heeft als doel dat de vertrouwelijkheid en integriteit van de gezondheidsgegevens gewaarborgd is, ook indien:

·      Een onbevoegd persoon toegang krijgt tot de datadrager (het hardware medium)

·      Een onbevoegd persoon toegang verkrijgt tot de logische dataopslag (de database of het gegevensbestand)

Implementatie

Opgeslagen persoonlijke gezondheidsgegevens MOETEN beschermd worden door middel van encryptie. Hiervoor wordt verwezen naar de aanbevelingen die gelden voor 'near term protection' en 'long-term protection' in de aanbevelingen, zie https://www.keylength.com/.

Toelichting
  1. Deze maatregel mag uitgesloten worden indien DVA onder zijn verantwoording geen persoonlijke gezondheidsgegevens opslaat.
  2. Een overzicht van publicaties is te vinden op https://www.keylength.com/
  3. Er kan gebruik gemaakt worden van de ECRYPT-CSA aanbevelingen, NIST of BSI aanbevelingen
  4. Deze norm betreft alle opgeslagen persoonlijke gezondsheidsgegevens, inclusief logfiles, backups en/of archieven.
NEN 7510:2017A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen
NEN 7510:2011A.12.3.1 Beleid voor het gebruik van cryptografische beheersmaatregelen

Beoordeling

Auditmethode

  • Stel op basis van de architectuurdiagrammen vast of er wordt voldaan aan de aanbevelingen die gelden voor 'near term protection' en 'long-term protection’ volgens de door deelnemer gekozen invulling van encryptie standaarden en sleutels bijvoorbeeld ECRYPT-CSA,NIST of BSI (zie https://www.keylength.com/). De deelnemer zal moeten aangeven welke encryptiestandaarden en sleutellengtes etc er gekozen zijn voor de opslag van gezondheidsgegevens. 
  • Stel op basis van een steekproef vast of aanbevelingen ook daadwerkelijk geïmplementeerd zijn.

Verificatie

  • Welke versie van de aanbevelingen is gehanteerd.
  • Welke versie van de architectuurdiagrammen zijn ingezien.
  • Evidence m.b.t. de daadwerkelijke implementatie.


Rollen

DVP

(tick)

DVA

(tick)

BO

DVP = Dienstverlener persoon, DVA = Dienstverlener aanbieder, BO = Beheerorganisatie