[
{
“id”: “196723”,
“title”: “Overview”,
“path”: “Overview”,
“depth”: 0,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 7611,
“body”: “

Welkom!
Deze Confluence-omgeving is de centrale kennisomgeving voor het Information Security Management System (ISMS) binnen smartNIS2.

Hier documenteren we het ISMS via gestandaardiseerde templates (beleid, processen, controles en bewijsstukken).
Deze templates vormen het bronmateriaal dat vervolgens gecustomiseerd en overgeheveld wordt naar de specifieke Confluence- of documentomgevingen van onze klanten.

Compliance-by-design, met focus op de zorg

De gegenereerde documentatie is:

Volledig NIS2-compliant
Afgestemd op CyFun (CCB) én ISO/IEC 27001, ISO/IEC 22301 (BCM), ISO/IEC 27701 (Privacy), …
Verrijkt met sector-specifieke accenten voor zorgorganisaties

Deze aanpak ondersteunt:

Risico-gebaseerd werken
Traceability van beleid → control → bewijs
Efficiënte audits en continue verbetering

Van data naar consistente ISMS-documentatie

Deze Confluence bouwt verder op een relationele Notion-architectuur die fungeert als Single Source of Truth (SSOT).

Concreet:

We halen data uit meerdere onderling verbonden Notion-databanken
(Cyfun framework, ISO standaarden, bewijzenregister, beleid generator…)
We leggen cruciale onderlinge relaties en afhankelijkheden expliciet vast
Die relaties worden samengebracht tot consistente, traceerbare documenten

Het resultaat:

Geen losstaande policies of procedures
Maar samenhangende ISMS-documentatie die logisch, volledig en onderhoudbaar is

📄 Recent content that we’ve worked on

55titles

🖐 Get in touch

✉️ smartNIS2@brightphoenix.be

💼 Inge Vandijck| LinkedIn

🔗 www.brightphoenix.be

👤Bright Phoenix| LinkedIn

NIS2 is wetgeving. Het vertrekpunt is moeten.
Maar de echte missie gaat verder dan compliance.

smartNIS2 vertrekt vanuit cyberweerbaarheid als fundament om zorg duurzaam te verankeren —
voor patiënten, medewerkers, organisaties en alle betrokken belanghebbenden.
Niet als papieren oefening, maar als samenhangend systeem dat bescherming, continuïteit en vertrouwen ondersteunt.

“Realiseer je, bij het lezen van deze documentatie, dat alles met alles verbonden is.”
— Leonardo da Vinci

”
},
{
“id”: “196724”,
“title”: “Getting started in Confluence from Jira”,
“path”: “Overview / Getting started in Confluence from Jira”,
“depth”: 1,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 18378,
“body”: “\n0b885b7f-2b42-41b1-8a5e-f0dc5e91cb27:Growth_purple:#EAE6FF🌱

There’s a lot that Confluence and Jira can do together—this page is a reference and resource for successfully incorporating both into your team’s workflow. Feel free to come back to it as often as you like.

\n\n1981\nincomplete\nBookmark this page to reference it later.\n\nhttps://www.youtube.com/watch?v=EyPiFfiBVdg

Jump to a sectionOn-this-page

11trueflat

Move between Jira & Confluence

When you add a Jira issue link in Confluence, or link to a Confluence page from Jira, the Jira links button appears at the top of the Confluence page. This means you can quickly jump from Confluence to Jira, and vice versa, speeding up your workflow.

Jira Link at Top of Confluence Content

Display your progress in Confluence

Give your stakeholders a snapshot of your team’s work or project progress. When you integrate Confluence and Jira, you can see information visualized from Jira. Add a Jira macro by copying & pasting the link from an existing dashboard into your Confluence page. Your stakeholders will be able to see progress in real time.

Jira Issues Macro in Confluence

Jira Project Timeline in Confluence Content

For all teams

Define requirements

You can create issues while viewing or editing, making Confluence great for planning and gathering requirements. Use the product requirements template to define and outline expectations, then create a Jira epic and other issues right from that page.

Here’s how it works

Create a Confluence page using the Product requirements template.
Choose the placeholder text Link to Jira epic or feature and choose Create new issue to create your epic in Jira.
Collaborate with your team to define your stories and save the page.
Highlight text on your requirements page and choose the Create Jira issue link to create stories in Jira, and automatically link them to your epic.
Track the progress of the stories from Confluence or from within Jira.

The tight integration between Confluence and Jira allows for easy access to issues and their statuses from Confluence, along with viewing links to related Confluence pages within Jira.

More about defining requirements in Confluence

Share your roadmap

After you define requirements, share your project or team’s roadmap with the Jira roadmap macro.

Jira Roadmap Macro

\n\n1977\nincomplete\nPress c to create content at any time. Enter /jiraroadmap to insert and configure your roadmap.\n\n

Confluence glossary: Terms & features

Spaces

Spaces are places for individuals, teams, and companies to organize and work on ideas, projects, documentation, and announcements. Spaces can be customized and integrated with both Atlassian tools and others. Create as many spaces as you need to get things done:

Team Spaces

Give each team their own space so they can work closely and make information easier to find.

Project Spaces

Put all the information related to your project in one place so everyone can work together.

Personal Spaces

Store anything you’re working on, keep your to-do lists, and polish content before moving it into a shared space.

\n\n\n16\nincomplete\nIn the main navigation bar, select Spaces → Create space to create a new space.\n\n

More about spaces

Content types

To create content within a space, select the + and choose your content type. You can also create content using the Create button in the main navigation bar.

Whiteboards Purplenew are your team’s place to brainstorm, build connections, and make ideas come to life.

Pages are the building blocks of Confluence. Drop ideas into a page, to collaborate on, refine, and document work.

Blog posts are individually-authored pieces of content that illustrate a particular perspective, typically shared broadly—great for documenting case studies or broad insights.

\n\n36\nincomplete\nPress k for a shareable link to your page or post.\n\n

More about sharing content | More about whiteboards

Real-time editing

You and up to 11 teammates can edit a page together in real time. Changes save and sync automatically so that everyone editing sees the same thing. Start editing together by selecting the Edit icon in the header.

\n\n22\nincomplete\nPress Command + Enter when in the editor to publish.\n\n

More about collaborative editing

Mentions and comments

Comments are a great way to start a conversation about a page or blog post. They allow you to remark on content, add important information, ask questions, and generally drive collaboration and teamwork.

@mention a teammate to bring them into the conversation, and they can reply to and/or like comments.

Leave comments for your team in different places, depending on the type of feedback you have:\n\n23\nincomplete\nInline comment ‘→’ Added to a highlighted section of the content you are editing or viewing’;’ good for targeted comments on a specific word or phrase.\n\n\n24\nincomplete\nGeneral comment ‘→’ Added below the content you are viewing’;’ good for comments that apply to the content as a whole.\n\n\n\n25\nincomplete\nLeave an inline comment when viewing or editing content.\n\n

More about comments

Content tree

The content tree is where your content is organized within a space. Drag and drop to reorder or nest content, so you can more effectively share your work with others.

\n\n1970\nincomplete\nAfter you publish, select [ to expand or collapse the content tree.\n\n

Tables

Tables allow you to organize important information on a page to discuss it with your team. Present the information the way it makes sense to you—resize columns, color cells, rows and columns, and sort the table by clicking the column headers.

\n\n28\nincomplete\nEnter /table to add a table at any time.\n\n

More about tables

Drafts

Confluence autosaves your content as you work—if you select Close in the editor without publishing, you’ll create a draft, or an unpublished page you can get back to at any time.

draft Only you can see your draft, unless you share a link to it.

More about drafts

TL;DR

These are the top three actions we think will help you get the most from Confluence.

\n\n32\nincomplete\nExplore the / menu\n\n\n33\nincomplete\nEmbed a Jira issue\n\n\n34\nincomplete\nCreate a knowledge base article\n\n\n\n

”
},
{
“id”: “52297734”,
“title”: “License statement”,
“path”: “Overview / License statement”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 12388,
“body”: “

Licentieverklaring

smartNIS2 is een beschermd kennis- en methodologiekader ontwikkeld door Bright Phoenix.
Toegang tot smartNIS2 verleent een beperkt, niet-exclusief en niet-overdraagbaar gebruiksrecht,
uitsluitend voor intern gebruik binnen de organisatie waarvoor toegang werd verleend.

Verspreiding, publicatie, doorgeven aan derden of commercieel hergebruik, geheel of gedeeltelijk, is niet toegestaan zonder voorafgaande schriftelijke toestemming van Bright Phoenix.

Juridisch kader en toepasselijke regelgeving

De materialen en inhoud van smartNIS2 zijn beschermd door het auteursrecht en andere intellectuele eigendomsrechten, zoals geregeld in het Belgisch Wetboek van Economisch Recht (Boek XI – Intellectuele eigendom) en de toepasselijke Europese regelgeving inzake auteursrecht.

Bright Phoenix verleent geen eigendomsrechten op de inhoud van smartNIS2, maar uitsluitend een beperkt gebruiksrecht, binnen de voorwaarden waaronder toegang tot smartNIS2 werd verleend. Dit gebruiksrecht wordt contractueel en feitelijk bepaald door de verleende toegang en de bijhorende gebruiksafspraken.

Het gebruik van de materialen van smartNIS2 is beperkt tot interne doeleinden binnen de organisatie die toegang heeft verkregen. Elke vorm van reproductie, verspreiding, openbaarmaking of commercieel hergebruik buiten deze context is uitsluitend toegestaan met voorafgaande schriftelijke toestemming van Bright Phoenix.

Deze aanpak is in overeenstemming met het geldende Belgische en Europese kader inzake auteursrecht, contractsvrijheid en bescherming van intellectuele eigendom.

Juridische onderbouwing – toepasselijke regelgeving760

Belgisch Wetboek van Economisch Recht, Boek XI – Intellectuele eigendom
Dit wetboek regelt de bescherming van auteursrechtelijk beschermde werken en bevestigt dat de maker of rechthebbende het exclusieve recht behoudt op reproductie, mededeling aan het publiek en hergebruik van zijn werken, behoudens verleend gebruiksrecht.
Richtlijn 2001/29/EG betreffende het auteursrecht in de informatiemaatschappij (Infosoc-richtlijn)
Deze richtlijn harmoniseert het auteursrecht binnen de Europese Unie en bevestigt het exclusieve recht van de rechthebbende om werken te reproduceren, te verspreiden en openbaar te maken.
Richtlijn (EU) 2019/790 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt (DSM-richtlijn)
Deze richtlijn versterkt de bescherming van auteursrecht in digitale contexten en bevestigt dat gebruik van beschermde werken afhankelijk is van toestemming of een verleend gebruiksrecht.
Beginselen van contractsvrijheid en gebruiksrechten
Het Belgische en Europese recht erkennen dat rechthebbenden het gebruik van hun werken contractueel kunnen beperken via licenties of gebruiksvoorwaarden, zonder overdracht van intellectuele eigendom.
Beginselen van bescherming van bedrijfsgeheimen en knowhow
Europese en Belgische regelgeving inzake bescherming van bedrijfsgeheimen ondersteunt het beschermen van methodologieën, structuren en kennis die commercieel waardevol zijn en niet vrij openbaar worden gemaakt.

Richtlijnen voor gebruik van smartNIS2

Auteurschap en herkomst

De materialen van smartNIS2 zijn samengesteld, gestructureerd en gedocumenteerd door Bright Phoenix en weerspiegelen professionele expertise, praktijkervaring en samenhangende duiding van normatieve en wettelijke kaders. Het is niet toegestaan het auteurschap of de herkomst van deze materialen extern verkeerd voor te stellen of ze als eigen intellectuele creatie te claimen buiten de context van intern gebruik.

Interne adoptie en herwerking

Interne adoptie en herwerking van de materialen binnen het eigen beleidskader van de organisatie is toegestaan en vereist geen expliciete bronvermelding, zolang het gebruik beperkt blijft tot de eigen organisatie en geen externe verspreiding plaatsvindt.

Intern gebruik

De materialen van smartNIS2 mogen uitsluitend worden gebruikt voor interne doeleinden binnen de organisatie die toegang heeft verkregen. Gebruik is beperkt tot governance-, risicobeheer-, compliance- en beleidsdoeleinden binnen de eigen organisatie.

Geen herverkoop of commercieel hergebruik

Het is niet toegestaan de materialen van smartNIS2 te verkopen, te licentiëren, te bundelen of anderszins commercieel te exploiteren, noch om deze te gebruiken als onderdeel van commerciële producten of diensten voor derden.

Geen externe verspreiding

De materialen van smartNIS2 mogen niet worden gedeeld met, overgedragen aan of ter beschikking gesteld aan derden, waaronder andere organisaties, consultants, auditors of partners, zonder voorafgaande schriftelijke toestemming van Bright Phoenix.

Aanpassing voor eigen context

Het is toegestaan de materialen van smartNIS2 aan te passen aan de eigen organisatorische context, voor zover dit gebeurt binnen de grenzen van intern gebruik en zonder externe verspreiding.

Gebruik door consultants aangesteld door de klant

De organisatie mag de materialen van smartNIS2 delen met externe consultants die zij zelf heeft ingehuurd, uitsluitend voor het doel van interne implementatie, ondersteuning of advies binnen de eigen organisatie.

Deze consultants mogen de materialen enkel raadplegen en gebruiken in functie van de opdracht bij de betrokken organisatie. Het is niet toegestaan dat zij de materialen hergebruiken, kopiëren, verspreiden, commercialiseren of toepassen buiten deze context, noch om de inhoud te gebruiken voor andere klanten, eigen diensten of eigen methodologieën.

De verantwoordelijkheid voor het naleven van deze gebruiksvoorwaarden door externe consultants blijft bij de organisatie die toegang tot smartNIS2 heeft verkregen.

Gebruik door door Bright Phoenix geaccrediteerde consultants

Bright Phoenix kan toegang verlenen tot smartNIS2 aan door haar geaccrediteerde consultants, waaronder zelfstandige consultants, freelancers of medewerkers, voor het uitvoeren van advies- en implementatiediensten in het kader van smartNIS2.

Deze consultants handelen onder het kader en de gebruiksvoorwaarden vastgesteld door Bright Phoenix. De verleende toegang geeft geen zelfstandig recht op gebruik, verspreiding of commercialisering van de materialen buiten opdrachten die expliciet door of namens Bright Phoenix worden uitgevoerd.

Alle intellectuele eigendomsrechten op de materialen blijven te allen tijde bij Bright Phoenix, ongeacht de samenwerkingsvorm met de betrokken consultant.

smartNIS2 is a protected knowledge and methodology framework developed by Bright Phoenix.
Access to smartNIS2 grants a limited, non-exclusive and non-transferable right of use,
solely for internal use within the organization to which access has been granted.

Distribution, publication, sharing with third parties or commercial reuse, in whole or in part, is not permitted without prior written consent from Bright Phoenix.

Legal framework and applicable legislation

The materials and content of smartNIS2 are protected by copyright and other intellectual property rights, as governed by the Belgian Code of Economic Law (Book XI – Intellectual Property) and the applicable European copyright legislation.

Bright Phoenix does not grant any ownership rights in the content of smartNIS2, but solely a limited right of use, within the conditions under which access to smartNIS2 has been granted. This right of use is contractually and factually determined by the granted access and the associated usage arrangements.

Use of the materials of smartNIS2 is limited to internal purposes within the organization that has been granted access. Any form of reproduction, distribution, disclosure or commercial reuse outside this context is only permitted with the prior written consent of Bright Phoenix.

This approach is in line with the applicable Belgian and European legal framework on copyright, freedom of contract and the protection of intellectual property.

Legal basis – applicable legislation760

Belgian Code of Economic Law, Book XI – Intellectual Property
This code governs the protection of copyright and related intellectual property rights and confirms that the author or rights holder retains exclusive rights of reproduction, distribution, communication to the public and reuse of protected works, subject to the granted right of use.
Directive 2001/29/EC on the harmonisation of certain aspects of copyright and related rights in the information society (InfoSoc Directive)
This directive harmonises copyright protection within the European Union and confirms the exclusive rights of rights holders to reproduce, distribute and make works available to the public.
Directive (EU) 2019/790 on copyright and related rights in the Digital Single Market (DSM Directive)
This directive strengthens copyright protection in digital environments and confirms that the use of protected works is subject to authorisation or a granted right of use.
Principles of contractual freedom and licensing
Belgian and European law recognise that rights holders may contractually limit the use of their works through licences or usage conditions, without transferring intellectual property rights.
Principles on the protection of trade secrets and know-how
Belgian and European legislation on the protection of trade secrets supports the protection of methodologies, structures and knowledge that have commercial value and are not made publicly available.

”
},
{
“id”: “52002835”,
“title”: “Terms of use for Consultants – smartNIS2”,
“path”: “Overview / License statement / Terms of use for Consultants – smartNIS2”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5194,
“body”: “

Gebruikersvoorwaarden voor consultants – smartNIS2

1. Doel van deze overeenkomst

Deze gebruiksovereenkomst regelt de voorwaarden waaronder een consultant toegang krijgt tot (delen van) de materialen van smartNIS2, een beschermd kennis- en methodologiekader van Bright Phoenix.

Deze overeenkomst is van toepassing op:

consultants aangesteld door een klant van Bright Phoenix, en
door Bright Phoenix geaccrediteerde consultants.

2. Aard van de materialen

Toegang tot deze materialen verleent geen eigendomsrechten en impliceert geen overdracht van intellectuele eigendom.

3. Toegestaan gebruik

De consultant mag de materialen uitsluitend raadplegen en gebruiken:

in functie van de specifieke opdracht waarvoor toegang werd verleend, en
binnen de organisatie waarvoor de opdracht wordt uitgevoerd.

Het gebruik is beperkt tot interne implementatie, ondersteuning of advies in het kader van governance, risicobeheer, compliance en aanverwante beleidsdoeleinden.

4. Beperkingen op gebruik

Het is de consultant niet toegestaan om, geheel of gedeeltelijk:

de materialen te hergebruiken voor andere klanten of opdrachten,
de materialen te kopiëren, verspreiden, publiceren of extern beschikbaar te stellen,
de inhoud te integreren in eigen methodologieën, sjablonen, frameworks of commerciële diensten,
de materialen als eigen intellectuele creatie voor te stellen of het auteurschap te misrepresenteren.

5. Vertrouwelijkheid

De consultant behandelt de materialen van smartNIS2 als vertrouwelijk en neemt passende maatregelen om ongeoorloofde toegang, kopiëren of verspreiding te voorkomen.

Deze vertrouwelijkheidsverplichting blijft van kracht na afloop van de opdracht.

6. Relatie tot Bright Phoenix

Indien de consultant door Bright Phoenix werd geaccrediteerd, handelt hij of zij uitsluitend binnen het kader van opdrachten uitgevoerd door of namens Bright Phoenix. Deze overeenkomst verleent geen zelfstandig of overdraagbaar gebruiksrecht.

7. Misbruik, sancties en schadevergoeding

Elke vorm van gebruik van de materialen van smartNIS2 in strijd met deze overeenkomst wordt beschouwd als misbruik.

In geval van misbruik is Bright Phoenix gerechtigd om de toegang tot smartNIS2 onmiddellijk en zonder voorafgaande kennisgeving te beperken of in te trekken.

Daarnaast is de consultant een forfaitaire schadevergoeding verschuldigd van €25.000 per vastgestelde inbreuk, onverminderd het recht van Bright Phoenix om:

een hogere schadevergoeding te vorderen indien de werkelijk geleden schade dit bedrag overstijgt, en/of
bijkomende gerechtelijke of buitengerechtelijke maatregelen te nemen om verdere inbreuken te voorkomen.

8. Toepasselijk recht

Op deze overeenkomst is het Belgisch recht van toepassing.

Ondertekening

Door ondertekening verklaart de consultant kennis te hebben genomen van deze gebruiksvoorwaarden en deze volledig na te leven.

Naam consultant: _________________________________

Organisatie (indien van toepassing): _________________________________

E-mailadres: _________________________________

Datum: _________________________________

Handtekening: _________________________________

”
},
{
“id”: “27820033”,
“title”: “Structure of the GRC Knowledge Environment”,
“path”: “Overview / Structure of the GRC Knowledge Environment”,
“depth”: 1,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 19015,
“body”: “

Structuur van de GRC-kennisomgeving

Elke organisatie, ongeacht haar grootte of sector, moet keuzes maken.

Keuzes over:

wat belangrijk is
welke risico’s aanvaardbaar zijn
en hoe verantwoordelijkheid wordt opgenomen tegenover klanten, burgers, patiënten, medewerkers en partners

Soms zijn die keuzes expliciet vastgelegd.
Soms zijn ze impliciet gegroeid.
Maar altijd zijn ze aanwezig.

Governance, Risk & Compliance is het kader waarin die keuzes zichtbaar, bespreekbaar en bestuurbaar worden.

Niet als doel op zich.
Maar als manier om richting te geven, afwegingen te maken en verantwoording af te leggen.

Bij Bright Phoenix beschouwen we GRC niet als een verzameling verplichtingen, maar als één samenhangend geheel.

Governance bepaalt waarvoor een organisatie staat.
Risk helpt begrijpen wat op het spel staat.
Compliance zorgt ervoor dat keuzes aantoonbaar en houdbaar zijn.

Samen vormen ze geen extra laag bovenop de organisatie,
maar een manier om bewust en consistent te sturen.

Deze kennisomgeving vertrekt vanuit dat perspectief.

Om die samenhang werkbaar te maken, hanteren we een vaste manier van denken.
Niet omdat elk detail vooraf moet vastliggen,
maar omdat een gedeeld kader houvast biedt.

Wie vertrouwd is met internationale normen zal het patroon herkennen.
Maar ook zonder die voorkennis blijft de logica begrijpelijk.

We werken steeds met drie lagen die elkaar aanvullen.

Laag	Vraag	Karakter
Principes	Waarom?	Normatief, richtinggevend, stabiel
Framework	Wat?	Structurerend, afbakenend
Processen	Hoe?	Operationeel, veranderlijk
Maatregelen	Waarmee?	Tactisch/technisch

Principes

De eerste laag bestaat uit principes.

Principes maken duidelijk wat richtinggevend is.
Ze drukken waarden, uitgangspunten en grenzen uit.

Ze zeggen niet wat elke dag moet gebeuren,
maar wel waarom bepaalde keuzes logisch of noodzakelijk zijn.

Framework

(of desgewenst Kader)

De tweede laag is het framework.

Het framework is waar principes worden vertaald naar organisatie en bestuur.
Hier wordt vastgelegd:

hoe een domein is ingericht
wie verantwoordelijk is
welke afspraken samen horen
en hoe opvolging en verbetering plaatsvinden

Het framework vormt het organiserend geheel.

Daarom komen binnen het framework alle documenten samen die nodig zijn om een domein te sturen en te beheren:

Beleid – Policies
Controle Objectieven – Control Objectives
Standaarden – Standards
Maatregelen – Controls
Procedures / Controle Activiteiten – Procedures / Control Activities
Richtlijnen – Guidelines
Plannen
Registers
en, waar relevant, Charters

Niet als losse stukken, maar als één samenhangend geheel.

Documenttypes binnen de GRC-kennisomgeving

Om samenhang te bewaren, maken we binnen de GRC-kennisomgeving bewust onderscheid tussen verschillende documenttypes.
Elk documenttype heeft een eigen rol in het verhaal:
waarom iets belangrijk is, hoe het georganiseerd wordt, wat er concreet gebeurt en wie daarbij betrokken is.

ISO-laag	Dimensie	Betekenis	Documenttypes (onder deze laag)	Wie stelt dit vast / beheert dit?
Principes	Waarom	Drukt de fundamentele uitgangspunten, waarden en intenties uit die richting geven aan keuzes	Principes (principle statements)	Bestuur Directie
Framework	Hoe	Organiseert, bestuurt en borgt een GRC-domein binnen de organisatie	Policy (Beleid), Procedure, Plan, Instructie, Richtlijn, Register	Bestuur Directie Domein-verantwoordelijken Proceseigenaars
Proces	Wat	Beschrijft de proceslogica: stappen, volgorde, input en output	(geen documenttypes – het proces ontstaat uit de samenhang van de documenten in het framework)	Organisatiebreed, gestuurd via governance

ISO-laag

Dimensie

Betekenis

Documenttypes (onder deze laag)

Wie stelt dit vast / beheert dit?

Principes

Waarom

Drukt de fundamentele uitgangspunten, waarden en intenties uit die richting geven aan keuzes

Principes (principle statements)

Bestuur

Directie

Framework

Hoe

Organiseert, bestuurt en borgt een GRC-domein binnen de organisatie

Policy (Beleid), Procedure, Plan, Instructie, Richtlijn, Register

Bestuur

Directie

Domein-verantwoordelijken

Proceseigenaars

Proces

Wat

Beschrijft de proceslogica: stappen, volgorde, input en output

(geen documenttypes – het proces ontstaat uit de samenhang van de documenten in het framework)

Organisatiebreed, gestuurd via governance

Proces is geen documenttype binnen de GRC-kennisomgeving.
Het proces beschrijft hoe activiteiten samenhangen en in welke volgorde beslissingen worden genomen.
De concrete uitwerking en uitvoering van dat proces gebeurt via documenten in het framework (zoals policies, procedures, plannen en registers).
Het proces ontstaat dus uit de samenhang van deze documenten en wordt niet afzonderlijk gedocumenteerd als los artefact.

Documenttype	Dimensie	Beschrijving
Principesverklaring (Principles Statement)	Waarom	Beschrijft een fundamenteel uitgangspunt, waarde of overtuiging die richting geeft aan keuzes en gedrag. Principes drukken wat belangrijk is uit, zonder uitvoering te beschrijven.
Beleid (Policy)	Waarom → Hoe	Formeel beleidsdocument dat principes expliciet vastlegt, bekrachtigt en bestuurbaar maakt binnen de organisatie. Een policy vertaalt principes naar beleidskeuzes en verwachtingen.
Objectief (Control objective)
Standaard (Standard)
Maatregel (Control)
Procedure (control activities)	Wat	Beschrijft de afgesproken werkwijze voor het uitvoeren van een proces of processtap. Een procedure legt vast hoe iets wordt gedaan op een consistente en herhaalbare manier.
Richtlijn	Wat	Geeft aanbevelingen, goede praktijken of aandachtspunten. Richtlijnen zijn ondersteunend en niet verplicht.
Plan	Wat	Beschrijft acties en maatregelen voor een specifieke situatie, scenario of gebeurtenis. Een plan is vaak tijds- of contextgebonden en wordt geactiveerd wanneer nodig.
Register	Wat	Gestructureerd overzicht of inventaris waarin informatie systematisch wordt bijgehouden (bv. risico’s, incidenten, complianceverplichtingen, assets).

”
},
{
“id”: “163878”,
“title”: “Organisation-wide GRC Management System”,
“path”: “Overview / Organisation-wide GRC Management System”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 14175,
“body”: “

Governance, Risk & Compliance-kader (GRC)

Introductie – waarom deze structuur

Deze pagina beschrijft de structuur en hiërarchie van alle ISMS-gerelateerde documenten binnen een organisatiebreed Governance, Risk & Compliance (GRC)-kader.

Het Information Security Management System (ISMS) wordt hierbij expliciet:

ingebed in het bredere GRC-framework, en
gekoppeld aan Enterprise Risk Management (ERM), waarbij cyberrisico’s worden behandeld als ondernemingsrisico’s.

In de praktijk zien we dat organisaties beleidsdocumenten, plannen, procedures en richtlijnen vaak door elkaar gebruiken.
Dit leidt tot:

onduidelijkheid over beslissingsniveau,
zwakke governance,
en problemen bij audits en NIS2-verantwoording.

Daarom wordt in deze kennisomgeving elk documenttype strikt en consistent onderscheiden.

Documenttypes – vaste betekenis

Binnen deze structuur hanteren we vaste definities:

Niveau	Term	Doel	Vastgesteld door
1	Framework	Kapstok / samenhang	Directie / Bestuur
2	Beleid (Policy)	Wat & Waarom
3	Plan	Hoe organiseren
4	Procedure	Hoe uitvoeen
5	Richtlijn / werkinstructie	Goede praktijken

Beleid (Policy)
Bepaalt wat en waarom.
Vastgesteld door directie of bestuur.
Stabiel, richtinggevend en normerend.
Plan
Beschrijft hoe het beleid wordt georganiseerd en uitgevoerd.
Bevat aanpak, verantwoordelijkheden en samenhang.
Procedure
Beschrijft hoe iets concreet gebeurt.
Operationeel, reproduceerbaar en toetsbaar.
Richtlijn
Geeft praktische handvatten en goede praktijken.
Ondersteunend, niet normerend.

Deze consistente scheiding is essentieel om NIS2-compliance aantoonbaar te maken.

Documenthiërarchie:

none

Governance, Risk & Compliance-kader (GRC Framework)

Governance

Governance Foundations

Policy – Corporate Governance Charter

Strategic Alignment

Policy – Security Objectives Alignment Framework (SOAF)

Organizational Oversight

Procedure – Stakeholder Assessment

Performance & Value Governance

Procedure – Value Stream Mapping

Compliance & Accountability

Register – Compliance register

Organisatorisch bestuur en verantwoordelijkheden – Beleid (Policy)

Enterprise Risk Management (ERM)

ERM-beleid – Beleid (Policy)

ERM-proces en aanpak – Plan

Risico-identificatie en -analyse – Procedure

Risicobehandeling en -acceptatie – Procedure

Monitoring en rapportering van risico’s – Plan

Information Security Management System (ISMS)

ISMS-beleid – Beleid (Policy)

ISMS-organisatie en werking – Plan

ISMS-levenscyclus (PDCA) – Plan

Inbedding van het ISMS binnen GRC en ERM – Beleid (Policy)

Cyberbeveiliging en cyberrisicobeheer (onderdeel van ISMS)

Cyberbeveiligingsbeleid – Beleid (Policy)

Cyberbeveiligings- en -risico-aanpak – Plan

Identificatie en analyse van cyberrisico’s – Procedure

Behandeling en opvolging van cyberrisico’s – Procedure

Rapportering en escalatie van cyberrisico’s – Plan

Informatiebeveiligingsbeleid – ISMS-beleidsset

Overkoepelend informatiebeveiligingsbeleid – Beleid (Policy)

Informatiebeveiligings- en risicomanagementbeleid – Beleid (Policy)

Asset- en classificatiebeleid – Beleid (Policy)

Identiteit- en toegangsbeheerbeleid – Beleid (Policy)

Cryptografie- en sleutelbeheerbeleid – Beleid (Policy)

Netwerk- en infrastructuurbeveiligingsbeleid – Beleid (Policy)

Applicatie- en systeembeveiligingsbeleid – Beleid (Policy)

Leveranciers- en derde-partij-beveiligingsbeleid – Beleid (Policy)

Incident- en cybercrisisbeleid – Beleid (Policy)

Bedrijfscontinuïteit & disaster recovery-beleid – Beleid (Policy)

Logging- en monitoringbeleid – Beleid (Policy)

Compliance- en auditbeleid – Beleid (Policy)

Beheersmaatregelen en implementatie (ISMS)

Implementatie van beveiligingsmaatregelen – Plan

Uitvoering van beveiligingsmaatregelen – Procedure

Technische en organisatorische richtlijnen – Richtlijn

Incident-, crisis- en herstelbeheer (ISMS)

Incident Response-beleid – Beleid (Policy)

Incident- en crisisaanpak – Plan

Incidentafhandeling – Procedure

Crisis- en herstelrichtlijnen – Richtlijn

Compliance, audit en assurance

Informatiebeveiligingscompliancebeleid – Beleid (Policy)

Audit- en evaluatieplanning – Plan

Audituitvoering – Procedure

Kennisbeheer en continue verbetering

Document- en versiebeheerbeleid – Beleid (Policy)

Opleidings- en bewustmakingsplan – Plan

Werkinstructies en goede praktijken – Richtlijn

Bestuurlijke opvolging en toezicht

Management Review – Procedure

Rapportering aan directie en bestuur – Plan

”
},
{
“id”: “27590657”,
“title”: “Governance Foundations”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Foundations”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “27459587”,
“title”: “Policy -Corporate Governance Charter”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Foundations / Policy -Corporate Governance Charter”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “27656193”,
“title”: “Strategic Alignment”,
“path”: “Overview / Organisation-wide GRC Management System / Strategic Alignment”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “27623432”,
“title”: “Policy – Security Objectives Alignement”,
“path”: “Overview / Organisation-wide GRC Management System / Strategic Alignment / Policy – Security Objectives Alignement”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20643850”,
“title”: “Governance Framework”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “4390922”,
“title”: “Organisational context (OC)”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC)”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20381842”,
“title”: “Mission, Vision & Values”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Mission, Vision & Values”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “4456480”,
“title”: “6 Capitals-framework”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20611242”,
“title”: “Financial capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Financial capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528628”,
“title”: “Manufactured capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Manufactured capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20611256”,
“title”: “Intellectual capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Intellectual capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21430340”,
“title”: “Human capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Human capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20643966”,
“title”: “Social & Relational capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Social & Relational capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004378”,
“title”: “Natural capital”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / 6 Capitals-framework / Natural capital”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20348932”,
“title”: “Stakeholder landscape”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Stakeholder landscape”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21332053”,
“title”: “Internal context”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20381851”,
“title”: “McKinsey 7S Framework”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528659”,
“title”: “Strategy”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Strategy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528666”,
“title”: “Structure”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Structure”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528673”,
“title”: “Systems”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Systems”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004387”,
“title”: “Shared Values”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Shared Values”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21332068”,
“title”: “Skills”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Skills”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20381860”,
“title”: “Staff”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Staff”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528688”,
“title”: “Style”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / McKinsey 7S Framework / Style”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004394”,
“title”: “VRIO Framework”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / VRIO Framework”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 262,
“body”: “

Value

Rarity

Imitability

Organization

”
},
{
“id”: “20447419”,
“title”: “SWOT”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / SWOT”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004401”,
“title”: “INTERPID”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / Internal context / INTERPID”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 9465,
“body”: “none

INTERPID is een pragmatische checklist om interne context systematisch te verkennen. Elke dimensie focust op een ander type afhankelijkheid of kwetsbaarheid.

Waarom gebruiken we INTERPID?

INTERPID helpt organisaties om hun interne context concreet en volledig in kaart te brengen.
Het maakt zichtbaar waar de organisatie écht van afhankelijk is, voorbij structuren, schema’s en formele rollen.

INTERPID wordt ingezet om:

blinde vlekken te vermijden bij risico-analyse
afhankelijkheden tastbaar te maken
het gesprek tussen management en teams te structureren

Het is een praktisch hulpmiddel, geen norm of verplicht kader.

Hoe gebruiken we INTERPID?

INTERPID wordt gebruikt als aanvullende checklist binnen organisation-wide risk management, naast formele kaders zoals ISO 31000.

Het wordt toegepast:

tijdens workshops of interviews
bij risico-identificatie en scenario-analyse
bij business continuity en afhankelijkheidsanalyses

Elke letter richt de aandacht op één specifiek aspect van de interne context, zodat analyse gestructureerd en volledig blijft.

I – Infrastructure

Infrastuctuur

Focus: fysieke en technische dragers

De fysieke omgeving en technische basis die nodig is om te kunnen werken: gebouwen, installaties, netwerken, energie, water, klimaatbeheersing.

Vraag die hier centraal staat:
“Welke fysieke of technische basis moet er zijn opdat we überhaupt kunnen werken?”

N – Nature of operations

Aard van de activiteiten

Focus: wat de organisatie doet

De aard van de kernactiviteiten: zorg, productie, dienstverlening, kritieke functies, wettelijke taken en hun onderlinge verwevenheid.

Centrale vraag:
“Wat doen we precies, en wat maakt onze activiteiten complex of kritisch?”

T – Technology

Technologie

Focus: digitale hulpmiddelen

De gebruikte technologieën, applicaties, IT-systemen en digitale hulpmiddelen waarop processen steunen.

Centrale vraag:
“Welke technologie hebben we nodig om onze activiteiten uit te voeren?”

E – Employees

Medewerkers

Focus: mensen en competenties

De menselijke factor: sleutelprofielen, kennis, vaardigheden, beschikbaarheid, afhankelijkheid van specifieke personen of teams.

Centrale vraag:
“Wie hebben we nodig om dit werk te kunnen doen?”

R- Resources

Middelen

Focus: verbruikbare en financiële middelen

Financiële middelen, materialen, voorraden, budgetten en andere niet-menselijke middelen die nodig zijn om activiteiten draaiende te houden.

Centrale vraag:
“Welke middelen worden verbruikt of ingezet om te kunnen functioneren?”

P – Processes

Processen

Focus: hoe het werk georganiseerd is

De manier waarop werk wordt uitgevoerd: processen, procedures, workflows, mate van standaardisatie en documentatie.

Centrale vraag:
“Hoe is het werk georganiseerd en uitgevoerd?”

I – Information

Informatie

Focus: inhoud, niet systemen

De informatie zelf: patiëntgegevens, dossiers, beslisinformatie, rapporten, kennis en data die nodig zijn voor uitvoering en besluitvorming.

Centrale vraag:
“Welke informatie is noodzakelijk om correct te handelen en beslissingen te nemen?”

D – Dependencies

Afhankelijkheden

Focus: wat buiten onze directe controle ligt

Afhankelijkheden van derden en externe factoren: leveranciers, partners, cloudproviders, ketenafhankelijkheden, gedeelde infrastructuur.

Centrale vraag:
“Van wie of wat zijn we afhankelijk buiten onze eigen organisatie?”

Wat levert INTERPID concreet op?

De toepassing van INTERPID resulteert in:

een duidelijk beeld van interne kwetsbaarheden en afhankelijkheden
betere onderbouwing van risico’s en continuïteitsmaatregelen
input die herbruikbaar is over meerdere domeinen (BCM, Information Security, Third Parties, Sustainability)

INTERPID ondersteunt besluitvorming, maar vervangt geen beleid, risicokaders of normen.

”
},
{
“id”: “21332044”,
“title”: “External context”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / External context”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20381718”,
“title”: “PESTEL”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / External context / PESTEL”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004290”,
“title”: “Regulatory context”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / External context / Regulatory context”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004364”,
“title”: “Sector context”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Organisational context (OC) / External context / Sector context”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147694”,
“title”: “Target Operating Model (TOM) Security”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Target Operating Model (TOM) Security”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “623454”,
“title”: “Three Lines of Control”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Target Operating Model (TOM) Security / Three Lines of Control”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “524391”,
“title”: “Policies”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 151,
“body”: “

This section contains the policy framework supporting CyFun 2025 and SMART NIS2 implementations.

”
},
{
“id”: “393277”,
“title”: “Policy Statements”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “819264”,
“title”: “PS-IS-01 — Shared responsibility for information security”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS-01 — Shared responsibility for information security”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2356,
“body”: “

Information security is a shared responsibility across the organisation. Every employee, contractor and manager contributes to the protection of information.

Information security is not solely an ICT concern, but an organisation-wide responsibility embedded in governance, management and daily operations.

PS-IS-01 — Gedeelde verantwoordelijkheid voor informatiebeveiliging

Information security is a shared responsibility across the organisation. Every employee, contractor and manager contributes to the protection of information.

Information security is not solely an ICT concern, but an organisation-wide responsibility embedded in governance, management and daily operations.

Related CyFun controls

GV.OC-01.1
GV.OC-02.1
GV.RR-01.1

Used in policies

Information Security Policy
Cybersecurity Governance Policy

”
},
{
“id”: “917554”,
“title”: “PS-IS – 02 – Risk-based security”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS – 02 – Risk-based security”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 889,
“body”: “

Information security measures are aligned with the actual risk profile of processes, systems and information.

Not all information requires the same level of protection.
Security measures are applied proportionally, taking into account impact, likelihood and organisational context.

PS-IS – 02 – Risicogestuurde beveiliging

Informatiebeveiligingsmaatregelen worden afgestemd op het reële risicoprofiel van processen, systemen en informatie.

Niet alle informatie vereist hetzelfde beschermingsniveau.
Beveiliging wordt proportioneel toegepast, rekening houdend met impact, waarschijnlijkheid en context.

”
},
{
“id”: “786532”,
“title”: “PS-IS-03 — Trust requires control”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS-03 — Trust requires control”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 813,
“body”: “

The organisation is built on trust in people and processes, but this trust is supported and confirmed through appropriate control measures.

Monitoring, testing and evaluation of security measures are essential to sustain and reinforce that trust.

PS-IS-03 — Vertrouwen vereist controle

De organisatie bouwt op vertrouwen in mensen en processen, maar onderbouwt dit vertrouwen met passende beheersmaatregelen.

Toetsing, monitoring en evaluatie van beveiligingsmaatregelen zijn essentieel om dat vertrouwen te bevestigen en te behouden.

”
},
{
“id”: “196827”,
“title”: “PS-IS-04 — Compliance driven by purpose”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS-04 — Compliance driven by purpose”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 916,
“body”: “

The organisation complies with applicable legal and normative requirements relating to information security and data protection.

Compliance is approached as a means to support the organisation’s societal mission, quality of services and continuity, rather than as a mere minimum obligation.

PS-IS-04 — Compliance vanuit overtuiging

De organisatie respecteert wettelijke en normatieve vereisten inzake informatiebeveiliging en gegevensbescherming.

Compliance wordt benaderd als een middel om de maatschappelijke opdracht, kwaliteit en continuïteit van de organisatie te ondersteunen, niet als een loutere minimale verplichting.

”
},
{
“id”: “622694”,
“title”: “PS-IS-05 — Prevention before detection and response”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS-05 — Prevention before detection and response”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 796,
“body”: “

The organisation prioritises the prevention of information security incidents.

Detection and response measures are essential, but are only effective within a culture that emphasizes preventive controls and awareness.

PS-IS-05 — Preventie vóór detectie en reactie

De organisatie legt de nadruk op het voorkomen van informatiebeveiligingsincidenten.

Detectie- en responsmaatregelen zijn essentieel, maar zijn pas effectief binnen een cultuur waarin preventieve maatregelen en bewustwording centraal staan.

”
},
{
“id”: “163927”,
“title”: “PS-IS-06 — Transparency strengthens resilience”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Policy Statements / PS-IS-06 — Transparency strengthens resilience”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 776,
“body”: “

The organisation promotes transparency regarding information security risks, vulnerabilities and incidents.

Through openness, follow-up and dialogue with relevant stakeholders, the organisation’s resilience is strengthened.

PS-IS-06 — Transparantie versterkt weerbaarheid

De organisatie bevordert transparantie over risico’s, kwetsbaarheden en beveiligingsincidenten.

Door openheid, opvolging en dialoog met betrokken belanghebbenden wordt de weerbaarheid van de organisatie versterkt.

”
},
{
“id”: “1147410”,
“title”: “Outsourcing policy”,
“path”: “Overview / Organisation-wide GRC Management System / Governance Framework / Policies / Outsourcing policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1118,
“body”: “

Context – zorgsector

Doel van het beleid – zorgsector

Reikwijdte – zorgsector

Eigenaarschap, goedkeuring en herziening – zorgsector

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Eerste lijn – Directies, afdelingshoofden en stafdiensten

Tweede lijn – Functionaris voor informatiebeveiliging

Goedkeuring

Herziening en onderhoud

Beleidsverklaring

Beleidsvereisten

Definities en termen

”
},
{
“id”: “53018625”,
“title”: “Asset Management System (AMS)”,
“path”: “Overview / Asset Management System (AMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “53084161”,
“title”: “Compliance standards Asset Management”,
“path”: “Overview / Asset Management System (AMS) / Compliance standards Asset Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “52592641”,
“title”: “ISO 55000 — Asset management — Overview, principles and terminology”,
“path”: “Overview / Asset Management System (AMS) / Compliance standards Asset Management / ISO 55000 — Asset management — Overview, principles and terminology”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3506,
“body”: “

ISO 55000 — Assetmanagement — Overzicht, principes en terminologie

Waarom deze standaard?

Binnen een organisatie vormen assets – zoals infrastructuur, systemen, technologie, data en ondersteunende middelen – de basis voor het realiseren van de missie en kernprocessen. ISO 55000 biedt een internationaal erkend kader om het beheer van deze assets gestructureerd, risicogebaseerd en strategisch te organiseren, over hun volledige levenscyclus heen.

Voor organisaties waar continuïteit, betrouwbaarheid en veiligheid cruciaal zijn, ondersteunt ISO 55000 bij het afstemmen van assetbeslissingen op organisatiedoelstellingen, wettelijke verplichtingen en maatschappelijke verwachtingen.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 55000 gebruiken als conceptueel en richtinggevend kader voor het opzetten en verbeteren van een Asset Management System (AMS). De standaard helpt om:

assets systematisch te identificeren en te classificeren,
risico’s en prestaties van assets inzichtelijk te maken,
investerings- en onderhoudsbeslissingen onderbouwd te nemen,
en assetbeheer te verankeren in governance, risicobeheer en strategische planning.

ISO 55000 sluit daarbij aan bij bredere management- en risicokaders, zoals ISO 31000 (risicomanagement), ISO/IEC 27001 (informatiebeveiliging) en ISO 22301 (continuïteit), en ondersteunt een geïntegreerde GRC-aanpak.

Wat draagt deze standaard concreet bij?

ISO 55000 draagt bij aan:

een consistente en transparante aanpak voor assetbeheer
risicogebaseerde besluitvorming over investeringen, gebruik en vervanging van assets
betere afstemming tussen strategie, operatie en beheer
aantoonbaarheid richting bestuur, toezichthouders en auditors
een stabiele basis voor betrouwbaarheid, weerbaarheid en continue verbetering

”
},
{
“id”: “35160066”,
“title”: “Enterprise Risk Management System (ERMS)”,
“path”: “Overview / Enterprise Risk Management System (ERMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35225601”,
“title”: “Principles of Enterprise Risk Management (ERM)”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Principles of Enterprise Risk Management (ERM)”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 2046,
“body”: “

Doel en status van de principes

De principes die voor dit managementsysteem zijn vastgelegd, drukken de expliciete intentie en richting uit die door Directie en Bestuur voor dit domein zijn bepaald.

Zij beschrijven waar de organisatie fundamenteel voor staat, welke grenzen richtinggevend zijn voor besluitvorming, en welke prioriteiten het gedrag, de ontwerpkeuzes en de afwegingen in de tijd sturen.

Deze principes vormen het gezaghebbende fundament voor:

het onderliggende framework,
het ontwerp van processen en beheersmaatregelen,
en de dagelijkse beslissingen op alle niveaus van de organisatie.

Na formele goedkeuring fungeren deze principes als een stabiel referentiepunt.
Zij worden geacht duurzaam geldig te blijven en zullen enkel worden herzien in uitzonderlijke omstandigheden, zoals ingrijpende strategische wijzigingen of fundamentele veranderingen in het regelgevend kader.

Alle verdere uitwerkingen — waaronder frameworks, beleidsdocumenten, processen en procedures — moeten in lijn zijn met en ondergeschikt blijven aan deze principes.
Waar deze elementen kunnen evolueren en verfijnd worden, zijn de principes bedoeld om continuïteit, duidelijkheid en samenhang binnen de organisatie te waarborgen.

”
},
{
“id”: “35389719”,
“title”: “Principles Statement Enterprise Risk Management”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Principles of Enterprise Risk Management (ERM) / Principles Statement Enterprise Risk Management”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 14236,
“body”: “

Principesverklaring ziekenhuisbreed risicomanagement

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij risicomanagement organisatiebreed organiseren en aansturen via een Enterprise Risk Management (ERM)-benadering.

In een zorgcontext zijn risico’s onlosmakelijk verbonden met het realiseren van onze maatschappelijke opdracht. Onzekerheden en risico’s kunnen een directe of indirecte impact hebben op patiënten, cliënten, medewerkers, zorgkwaliteit, veiligheid en de continuïteit van de organisatie. Een bewuste en gestructureerde omgang met risico’s is daarom een essentieel onderdeel van goed bestuur.

Wij vertrekken steeds van de noodzaak om risico’s op een samenhangende, proportionele en onderbouwde manier te identificeren, te beoordelen en te beheersen, in functie van onze doelstellingen en de context waarin wij opereren.

Binnen dat kader maken wij bewuste en expliciete keuzes in de wijze waarop wij organisatiebreed risicomanagement vormgeven, gebaseerd op een ‘best of worlds’-benadering.

Daarbij laten wij ons primair leiden door:

ISO 31000 als internationaal erkend referentiekader voor de principes, het raamwerk en het proces van organisatiebreed risicomanagement,
de ISO 31K-familie van aanverwante normen ter ondersteuning en verdieping van specifieke aspecten van risicomanagement,
en waar relevant sluiten wij aan op domeinspecifieke risicostandaarden, zoals ISO/IEC 27005 voor informatiebeveiligingsrisico’s en ISO 22317 voor business impactanalyse en continuïteitsgerelateerde risico’s, om samenhang te borgen met het Information Security Management System en het Business Continuity Management System.

Deze principes:
drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot organisatiebreed risicomanagement, zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader, vormen een stabiel en richtinggevend referentiepunt voor Enterprise Risk Management, en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in context of risicoprofiel.

De principes beantwoorden het waarom van risicomanagement binnen de organisatie.
Zij bepalen niet hoe risico’s concreet worden geïdentificeerd, geanalyseerd of beheerst.

Alle verdere uitwerkingen — waaronder frameworks, methodieken, processen, beheersmaatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Wij beschouwen risicomanagement als een kernonderdeel van goed bestuur.

Bestuur en Directie nemen expliciet verantwoordelijkheid voor de richting, het risicokader en de risicobereidheid van de organisatie en erkennen dat bewuste omgang met risico’s essentieel is voor duurzame, kwaliteitsvolle en veilige zorg.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 5.2 Leadership and commitment
ISO 31000:2018 – 5.4.3 Assigning organizational roles, authorities, responsibilities and accountabilities

Principe 2 – Integratie in strategie en besluitvorming

Wij integreren risicomanagement in de strategische en operationele besluitvorming van de organisatie.

Risico-overwegingen maken structureel deel uit van keuzes over zorgverlening, organisatieontwikkeling, investeringen, verandering en innovatie, zodat risico’s en opportuniteiten in samenhang worden beoordeeld.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 5.3 Integration
ISO 31000:2018 – 5.1 General (integration into governance, including decision-making)

Principe 3 – Organisatiebrede en samenhangende benadering

Wij organiseren risicomanagement organisatiebreed en samenhangend.

Risico’s worden niet geïsoleerd per domein of functie benaderd, maar in hun onderlinge samenhang, met aandacht voor strategische, operationele, financiële, zorginhoudelijke en ondersteunende risico’s.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles: a) Integrated; b) Structured and comprehensive
ISO 31000:2018 – 5.3 Integration

Principe 4 – Focus op zorgdoelstellingen en waardecreatie

Wij richten risicomanagement op het beschermen en ondersteunen van onze zorgdoelstellingen.

Risicomanagement draagt bij aan het realiseren van veilige, kwalitatieve en toegankelijke zorg en ondersteunt waardecreatie voor patiënten, cliënten, medewerkers en de samenleving.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles (purpose: creation and protection of value; supports achievement of objectives)
ISO 31000:2018 – 6.3 Scope, context and criteria (objectives/context as basis for criteria)

Principe 5 – Risicogebaseerde en proportionele aanpak

Wij hanteren een risicogebaseerde en proportionele benadering.

De diepgang en intensiteit van risicobeheersing zijn afgestemd op de aard, waarschijnlijkheid en impact van risico’s, met bijzondere aandacht voor risico’s die de veiligheid, continuïteit en kwaliteit van zorg kunnen beïnvloeden.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles: c) Customized
ISO 31000:2018 – 6.3 Scope, context and criteria
ISO 31000:2018 – 6.4 Risk assessment
ISO 31000:2018 – 6.5 Risk treatment

Principe 6 – Betrokkenheid en gedeelde verantwoordelijkheid

Wij beschouwen risicomanagement als een gedeelde verantwoordelijkheid binnen de organisatie.

Medewerkers op alle niveaus dragen bij aan het herkennen, bespreken en beheersen van risico’s, elk vanuit hun rol, expertise en nabijheid tot de zorgpraktijk.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles: d) Inclusive
ISO 31000:2018 – 5.4.5 Establishing communication and consultation
ISO 31000:2018 – 6.2 Communication and consultation

Principe 7 – Transparantie en onderbouwde keuzes

Wij streven naar transparantie in het identificeren, beoordelen en bespreken van risico’s.

Risicogerelateerde keuzes zijn navolgbaar, onderbouwd en begrijpelijk, zodat zij bijdragen aan vertrouwen, verantwoording en lerend vermogen binnen de organisatie.

Compliance – en normatieve onderbouwing760

Compliance- en normatieve onderbouwing
ISO 31000:2018 – 4 Principles: f) Best available information
ISO 31000:2018 – 6.2 Communication and consultation
ISO 31000:2018 – 6.7 Recording and reporting

Principe 8 – Samenhang met andere managementsystemen

Wij borgen samenhang tussen enterprise risicomanagement en andere managementsystemen.

Risicomanagement ondersteunt en verbindt onder meer informatiebeveiliging, privacy, fysieke beveiliging, bedrijfscontinuïteit, kwaliteit en compliance binnen één samenhangend Governance, Risk & Compliance-kader.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 5.3 Integration (risk management part of governance, strategy, objectives and operations)
ISO 31000:2018 – 5.1 General (integration into significant activities and functions)

Principe 9 – Duurzame en maatschappelijk verantwoorde omgang met risico’s

Wij nemen beslissingen over risico’s met respect voor mens, maatschappij en planetaire grenzen.

Wij vermijden risicokeuzes die op korte termijn voordelen opleveren maar op lange termijn schade toebrengen aan zorgrelaties, maatschappelijke waarden of het vertrouwen in de organisatie.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles: g) Human and cultural factors
ISO 31000:2018 – 5.4.1 Understanding the organization and its context
ISO 31000:2018 – 6.3.3 External and internal context

Principe 10 – Continue evaluatie en verbetering

Wij beschouwen risicomanagement als een dynamisch en continu verbeterend proces.

Enterprise Risk Management evolueert mee met veranderingen in zorgcontext, organisatie, technologie en samenleving en leert uit ervaringen, incidenten en evaluaties.

Compliance – en normatieve onderbouwing760

ISO 31000:2018 – 4 Principles: h) Continual improvement
ISO 31000:2018 – 5.6 Evaluation
ISO 31000:2018 – 5.7 Improvement
ISO 31000:2018 – 6.6 Monitoring and review

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van organisatiebreed risicomanagement.

Zij geven richting aan besluitvorming, prioritering en afwegingen en ondersteunen het maken van onderbouwde en verantwoorde keuzes in het belang van veilige, kwalitatieve en duurzame zorg.

De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen Enterprise Risk Management en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven.

”
},
{
“id”: “21037130”,
“title”: “Enterprise Risk Management (ERM) Framework”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management (ERM) Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147394”,
“title”: “Enterprise risk management policy”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management (ERM) Framework / Enterprise risk management policy”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 37097,
“body”: “none

Context – Zorgsector

Risico’s zijn inherent aan elke vorm van maatschappelijke, operationele en digitale dienstverlening.
Voor organisaties in de zorgsector geldt dit in het bijzonder, gezien hun maatschappelijke opdracht, de kwetsbaarheid van cliënten en patiënten, en de hoge eisen aan continuïteit, kwaliteit, veiligheid en betrouwbaarheid.

Dit beleid beschrijft het organisatiebrede kader voor enterprise risicomanagement. Het is van toepassing op alle types risico’s die de organisatie kunnen beïnvloeden bij het realiseren van haar doelstellingen, ongeacht hun aard of oorsprong. Dit omvat onder meer strategische, operationele, financiële, juridische, kwaliteits-, reputatie- en informatierisico’s.

De organisatie opereert in een complexe en sterk gereguleerde omgeving, met een hoge mate van afhankelijkheid van processen, mensen, informatie, technologie en externe partners. Verstoringen, incidenten of tekortkomingen in deze samenhang kunnen directe gevolgen hebben voor de continuïteit van zorg, de veiligheid van betrokkenen, de kwaliteit van dienstverlening en het vertrouwen van stakeholders.

Risicomanagement is daarom geen afzonderlijke of gespecialiseerde functie, maar een integraal onderdeel van besluitvorming, strategiebepaling en operationele aansturing op alle niveaus van de organisatie. Het biedt een gestructureerde manier om onzekerheden systematisch te identificeren, te beoordelen en beheerst om te gaan met risico’s die de werking en maatschappelijke opdracht van de organisatie kunnen beïnvloeden.

Een systematisch, proportioneel en contextueel afgestemd enterprise risicobeheer vormt dan ook een fundamentele bouwsteen van goed bestuur, duurzame zorgverlening en organisatorische weerbaarheid binnen de zorgsector.

Doel van het beleid – zorgsector

Dit beleid heeft als doel de principes, verantwoordelijkheden en structuur vast te leggen voor het identificeren, analyseren, beoordelen, behandelen en opvolgen van risico’s die een impact kunnen hebben op het realiseren van de doelstellingen van de organisatie.

Het beleid vormt het formele en organisatiebrede kader waarbinnen risicomanagement wordt toegepast als een continu, systematisch en proportioneel proces, geïntegreerd in governance, strategie, besluitvorming en operationele werking.

Binnen dit kader worden alle relevante risicocategorieën op een samenhangende en consistente manier beheerd, ongeacht hun aard of oorsprong. Dit beleid creëert daarmee het referentiekader waarbinnen specifieke risicodomeinen verder kunnen worden uitgewerkt in onderliggende, thematische beleidsdocumenten, zonder afbreuk te doen aan de organisatiebrede benadering van risicomanagement.

Compliance- en normatieve onderbouwing

Dit Enterprise Risk Management-beleid is opgesteld in overeenstemming met ISO 31000:2018 – Risk management – Guidelines.

ISO 31000 beschrijft risicomanagement als een integraal onderdeel van governance, leiderschap, strategie en besluitvorming. De standaard benadrukt dat risicomanagement systematisch, organisatiebreed, proportioneel en contextafhankelijk moet worden toegepast, en geïntegreerd moet zijn in alle activiteiten van de organisatie.

Dit beleid volgt de principes en het procesmodel van ISO 31000 en vormt het normatieve kader voor risicomanagement binnen de organisatie. De concrete uitwerking van specifieke risicodomeinen gebeurt in onderliggende beleidsdocumenten en kaders die consistent zijn met dit ERM-raamwerk.

Waar relevant sluit dit beleid tevens aan bij erkende governance- en risicomanagementpraktijken zoals het Three Lines Model (IIA) en enterprise risk management-benaderingen zoals COSO ERM.

Reikwijdte – zorgsector

Dit beleid is van toepassing op alle activiteiten, processen, beslissingen en relaties van de organisatie waarbij onzekerheden of gebeurtenissen de verwezenlijking van organisatiedoelstellingen kunnen beïnvloeden.

Het beleid omvat alle relevante categorieën van risico’s, waaronder strategische, operationele, financiële, juridische, compliance-, reputatie- en continuïteitsrisico’s. Deze risico’s kunnen voortkomen uit interne en externe factoren, waaronder organisatorische keuzes, menselijke handelingen, processen, technologie, informatie, infrastructuur, regelgeving en externe partijen.

Dit beleid geldt organisatiebreed en is van toepassing op alle entiteiten, diensten en organisatorische niveaus, ongeacht schaal of functie. Het vormt het overkoepelende kader waarbinnen domeinspecifieke en decentrale risicomanagementprocessen worden ingericht, zodat risico’s op een consistente, geïntegreerde en proportionele wijze worden geïdentificeerd, beoordeeld, behandeld en opgevolgd.

Toelichting reikwijdte en toepassingsgebied

ISO 31000 vereist dat risicomanagement organisatiebreed wordt toegepast en alle relevante risico’s omvat die de realisatie van doelstellingen kunnen beïnvloeden.

In lijn met deze standaard omvat de reikwijdte van dit beleid alle risicocategorieën, ongeacht hun aard of oorsprong, en alle organisatorische niveaus en entiteiten. Dit voorkomt een gefragmenteerde of silo-gebonden benadering van risico’s en ondersteunt consistente besluitvorming op bestuurs- en managementniveau.

Decentrale entiteiten en diensten behouden hun verantwoordelijkheid voor het identificeren en beheren van risico’s binnen hun eigen context, maar doen dit binnen de gemeenschappelijke principes, definities en kaders die in dit beleid zijn vastgelegd.

Eigenaarschap, goedkeuring en herziening – zorgsector

Dit beleid verankert risicomanagement als een organisatiebreed, continu en geïntegreerd proces.
De verantwoordelijkheden voor risicomanagement zijn verdeeld volgens het three lines of defence-model, in lijn met principes van goed bestuur en de zorgspecifieke context waarin de organisatie opereert.

Three Lines Model – toelichting

De inrichting van verantwoordelijkheden voor risicomanagement is gebaseerd op het Three Lines Model zoals beschreven door het Institute of Internal Auditors (IIA, 2020).

Dit model onderscheidt:

de eerste lijn, verantwoordelijk voor het identificeren en beheersen van risico’s binnen de dagelijkse werking;
de tweede lijn, die kaders, methodieken en toezicht biedt op risicomanagement en interne beheersing;
de derde lijn, die onafhankelijke assurance verschaft over de effectiviteit van governance, risicomanagement en interne controle.

Het Three Lines Model wordt internationaal erkend als goede praktijk voor governance en risicobeheer en ondersteunt duidelijke rolafbakening, transparantie en verantwoordingsplicht.

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan draagt de eindverantwoordelijkheid voor het risicomanagementbeleid en het bijbehorende kader.

Het bestuur:

bepaalt de strategische risicohouding en de algemene risicobereidheid van de organisatie;
ziet toe op de samenhang tussen risicomanagement, strategie, kwaliteitszorg en maatschappelijke opdracht;
bewaakt dat significante risico’s tijdig worden geïdentificeerd, besproken en beheerst;
ontvangt periodiek rapportering over het risicoprofiel en de effectiviteit van het risicomanagement.

Binnen de zorgsector omvat dit expliciet risico’s die de kwaliteit, veiligheid, continuïteit en betrouwbaarheid van zorg en ondersteuning kunnen beïnvloeden.

Eerste lijn – Directies, afdelingshoofden en stafdiensten

De eerste lijn bestaat uit directies, afdelingshoofden en stafdiensten die verantwoordelijk zijn voor de dagelijkse werking van de organisatie.

Zij:

identificeren en beoordelen risico’s binnen hun eigen processen, diensten en verantwoordelijkheidsdomeinen;
nemen passende beheersmaatregelen in overeenstemming met het vastgelegde risicokader;
documenteren risico’s, maatregelen en opvolging binnen de afgesproken structuren;
signaleren en escaleren materiële risico’s die de eigen entiteit overstijgen.

Risicomanagement is daarmee een integraal onderdeel van operationele aansturing en besluitvorming.

Tweede lijn

De tweede lijn ondersteunt en bewaakt het organisatiebrede risicomanagementkader.

Deze lijn omvat functies zoals risicomanagement, interne controle, compliance en kwaliteitszorg, en heeft als opdracht:

het ontwikkelen en onderhouden van methodieken, kaders en richtlijnen voor risicomanagement;
het ondersteunen van de eerste lijn bij risico-identificatie, analyse en beoordeling;
het bewaken van samenhang, consistentie en proportionaliteit in risicoanalyses;
het consolideren en rapporteren van risico-informatie aan directie en bestuur;
het opvolgen van verbeteracties en structurele aandachtspunten.

De tweede lijn heeft geen operationele verantwoordelijkheid voor risicobeheersing, maar vervult een adviserende, coördinerende en toezichthoudende rol.

Relatie met thematische risicodomeinen

Dit Enterprise Risk Management-beleid vormt het overkoepelende kader voor alle risicodomeinen binnen de organisatie.

Specifieke risicodomeinen, zoals informatiebeveiliging, kwaliteit en patiëntveiligheid, financiële risico’s, compliance en ketenafhankelijkheden, worden verder uitgewerkt in afzonderlijke beleidsdocumenten en kaders.

Deze thematische policies zijn ondergeschikt aan dit ERM-beleid en zorgen voor verdieping en operationalisering, zonder afbreuk te doen aan de organisatiebrede samenhang van risicomanagement.

Goedkeuring

Dit beleid wordt goedgekeurd door het Bestuursorgaan, op voorstel van het Dagelijks Bestuur.

De goedkeuring gebeurt na toetsing door de tweede lijn, die bevestigt dat het beleid:

in lijn is met de organisatiedoelstellingen;
aansluit bij wet- en regelgeving;
toepasbaar is binnen de zorgcontext en de operationele realiteit van de organisatie.

Herziening en onderhoud

Dit beleid wordt minimaal jaarlijks geëvalueerd en, indien nodig, geactualiseerd.

Een tussentijdse herziening vindt plaats wanneer wijzigingen in wetgeving, organisatiecontext, risicoprofiel of incidenten daartoe aanleiding geven.

Wijzigingen worden opnieuw ter goedkeuring voorgelegd aan het Bestuursorgaan.

Beleidsverklaring

De organisatie engageert zich tot een systematische, proportionele en organisatiebrede benadering van risicomanagement, als integraal onderdeel van goed bestuur en verantwoord leiderschap.

Risicomanagement wordt erkend als een strategisch instrument om de realisatie van de organisatiedoelstellingen te ondersteunen en om de kwaliteit, veiligheid, continuïteit en betrouwbaarheid van de dienstverlening duurzaam te waarborgen binnen de zorgcontext waarin de organisatie opereert.

Dit beleid legt het overkoepelende kader vast voor het identificeren, analyseren, beoordelen, behandelen, monitoren en communiceren van risico’s. Het verankert risicomanagement in besluitvorming, beleidsvorming en operationele sturing, en creëert duidelijke rollen, verantwoordelijkheden en processen op alle niveaus van de organisatie.

De organisatie beschouwt risicomanagement niet als een louter controlemechanisme, maar als een hefboom voor transparantie, lerend vermogen, verantwoorde keuzes en verhoogde weerbaarheid in een complexe en veranderende maatschappelijke context.

Beleidsvereisten

De organisatie hanteert de volgende beleidsvereisten voor Enterprise Risk Management (ERM).
Deze vereisten zijn afgeleid van de principes en richtlijnen van ISO 31000 en vormen het bindend kader voor het organisatiebreed beheren van risico’s.

Systematische identificatie van risico’s

De organisatie identificeert op continue en gestructureerde wijze risico’s die de realisatie van haar doelstellingen kunnen beïnvloeden.
Risico-identificatie gebeurt organisatiebreed en omvat alle relevante risicocategorieën, ongeacht hun aard of oorsprong.
Dit proces is proactief, herhaalbaar en ondersteund door vastgelegde methodieken en verantwoordelijkheden.

Contextuele risicoanalyse en -beoordeling

Geïdentificeerde risico’s worden geanalyseerd en beoordeeld in functie van hun waarschijnlijkheid, impact en context.
Bij de beoordeling wordt rekening gehouden met interne en externe factoren, bestaande beheersmaatregelen en relevante belanghebbenden.
Risico’s worden geprioriteerd op basis van vastgelegde en transparante risicocriteria.

Organisatiebrede risicobewustwording

De organisatie stimuleert een risicobewuste cultuur waarin medewerkers op alle niveaus actief bijdragen aan het herkennen, melden en beheersen van risico’s.
Risicobewustwording maakt integraal deel uit van leiderschap, onboarding, opleiding en interne communicatie.

Inventarisatie van processen, middelen en afhankelijkheden

Een actuele en betrouwbare inventaris van kernprocessen, middelen, informatie, systemen en externe afhankelijkheden vormt de basis voor risicoanalyse.
Deze inventaris ondersteunt inzicht in kriticiteit, samenhang en potentiële kwetsbaarheden binnen de organisatie.

Periodieke en ad-hoc risicobeoordelingen

Risicoanalyses worden periodiek uitgevoerd en herzien, evenals bij significante wijzigingen in strategie, context, processen of externe omstandigheden.
De resultaten van risicoanalyses worden gedocumenteerd en opgenomen in een centraal risicoregister.

Risicobehandeling

Voor elk materieel risico wordt een passende risicobehandelingsstrategie bepaald: vermijden, verminderen, overdragen of accepteren.
De gekozen behandeling is proportioneel, onderbouwd en afgestemd op de doelstellingen en prioriteiten van de organisatie.
Behandelingsmaatregelen worden vastgelegd in actieplannen met duidelijke verantwoordelijkheden en opvolging.

Risicobereidheid (risk appetite)

De organisatie bepaalt en documenteert haar risicobereidheid op organisatieniveau en, waar relevant, per risicodomein.
De risicobereidheid vormt het referentiekader voor besluitvorming, risicobehandeling en risicoacceptatie.

De concrete uitwerking van de risicobereidheid, inclusief domeinspecifieke grenzen en drempels, is vastgelegd in het Risk Appetite Framework (RAF).

Risk appetite binnen Enterprise Risk Management

ISO 31000 vereist dat organisaties expliciet bepalen hoe zij omgaan met onzekerheid bij het realiseren van hun doelstellingen.

Risicobereidheid (risk appetite) geeft richting aan welke mate en welk type risico de organisatie bereid is te aanvaarden. Dit concept wordt ook erkend binnen enterprise risk management-raamwerken zoals COSO ERM.

De vaststelling van de risicobereidheid is een bestuursverantwoordelijkheid en vormt een essentieel referentiekader voor risicobeoordeling, risicobehandeling en besluitvorming.

De concrete uitwerking van risicobereidheid en -toleranties is vastgelegd in een afzonderlijk Risk Appetite Framework (RAF), dat periodiek wordt geëvalueerd en aangepast aan strategische en contextuele veranderingen.

Risicotolerantie, monitoring en opvolging

Voor significante risico’s worden tolerantiegrenzen vastgelegd.
Risico’s en beheersmaatregelen worden gemonitord via het risicoregister en periodieke rapportering aan management en bestuursorgaan.
Afwijkingen, overschrijdingen en trends worden tijdig geëscaleerd en opgevolgd.

Monitoring, rapportering en escalatie

ISO 31000 benadrukt het belang van continue monitoring en evaluatie als onderdeel van het risicomanagementproces.

Monitoring houdt in dat risico’s en beheersmaatregelen systematisch worden opgevolgd om veranderingen in risico-exposure, effectiviteit van maatregelen en context tijdig te detecteren.

Rapportering zorgt voor transparantie richting management en bestuur en ondersteunt toezicht en besluitvorming. Rapportages zijn afgestemd op het beslissingsniveau en bevatten informatie over significante risico’s, trends en overschrijdingen van vastgestelde toleranties.

Escalatie is noodzakelijk wanneer risico’s de vastgestelde risicotolerantie overschrijden of wanneer gebeurtenissen een potentiële impact hebben op strategische doelstellingen of continuïteit. Dit ondersteunt tijdige bestuurlijke betrokkenheid en bijsturing, conform de governanceprincipes van ISO 31000.

Integratie in governance en besluitvorming

Risicomanagement is geïntegreerd in strategische besluitvorming, beleidsontwikkeling, projectwerking en operationele sturing.
Het ERM-kader ondersteunt transparantie, verantwoording en continue verbetering binnen de governance van de organisatie.

Integratie van risicomanagement in besluitvorming

ISO 31000 stelt dat risicomanagement geïntegreerd moet zijn in alle organisatorische processen, inclusief strategie, beleid, projecten en operationele besluitvorming.

Deze integratie betekent dat risico-informatie expliciet wordt meegenomen bij strategische keuzes, investeringsbeslissingen, verandertrajecten en prioriteitenstelling.

Door risicomanagement structureel te verankeren in besluitvorming ondersteunt de organisatie transparantie, consistentie en verantwoorde keuzes, en wordt het vermogen versterkt om onzekerheden op een beheerste manier te adresseren.

Definities en termen

Governance en organisatie

Bestuursorgaan (Board)
Dagelijks bestuur (Executive management)
Senior management (Senior management)
Leidinggevenden (Management)
Risico-eigenaar (Risk owner)
Verantwoordelijkheid (Responsibility)
Bevoegdheid (Authority)
Aansprakelijkheid (Accountability)
Belanghebbenden (Stakeholders)
Governance (Governance)
GRC (Governance, Risk and Compliance)

Risicomanagement

Risico (Risk)
Risicobeheer (Risk management)
Organisatiebreed risicobeheer (Enterprise Risk Management – ERM)
Risicobereidheid (Risk appetite)
Risicotolerantie (Risk tolerance)
Restrisico (Residual risk)
Risicocriteria (Risk criteria)
Risicobeoordeling (Risk assessment)
Risicobehandeling (Risk treatment)
Risicoacceptatie (Risk acceptance)
Risicoregister (Risk register)
Risicocommunicatie (Risk communication)
Risicobewustzijn (Risk awareness)

Processen & opvolging

Monitoring (Monitoring)
Rapportering (Reporting)
Escalatie (Escalation)Escalation
Continue verbetering (Continuous improvement)
Corrigerende maatregel (Corrective action)

Beleid, kader en naleving

Beleid (Policy)
Beheersmaatregel (Control)
Naleving (Compliance)
Wettelijke vereisten (Legal requirements)
Regelgevende vereisten (Regulatory requirements)
Contractuele vereisten (Contractual requirements)
Uitzondering (Exception)
Afwijking (Deviation)

Derden & keten (op ERM-niveau)

Derde partij (Third party)
Leverancier (Supplier)
Toeleveringsketen (Supply chain)

”
},
{
“id”: “12189697”,
“title”: “Uniform Risk Rating Policy (URR)”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management (ERM) Framework / Uniform Risk Rating Policy (URR)”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 105390,
“body”: “

Beleid Uniforme Risicobeoordeling (URR)

none

Doel van dit document

Dit document beschrijft de methodologie die door de organisatie en haar entiteiten (indien van toepassing) wordt gebruikt voor het beoordelen van risico’s.

Het doel van de Uniforme Risicobeoordeling (URR) is het verkrijgen van een beter inzicht in risico’s door het bepalen van de verwachte impact en de waarschijnlijkheid dat een risico-event zich voordoet.

De URR definieert een schaal voor de beoordeling van:

de impact van een risico; en
de waarschijnlijkheid dat een risico zich materialiseert.

De URR wordt gebruikt door de drie verdedigingslinies om operationele risico’s te beoordelen, inclusief informatie- en cyberrisico’s.

Definities

“Risico” is het effect van onzekerheid op doelstellingen.
Een effect is een afwijking van het verwachte en kan zowel positief als negatief zijn.

Een operationeel risico-gerelateerd “incident” is elk voorval waarbij sprake is van:

een falend of onvoldoende functionerend intern proces of procedure;
mensen die niet of niet correct handelen;
systemen die niet of niet correct functioneren;
een externe gebeurtenis die de goede werking van processen, mensen of systemen beïnvloedt.

Impact van risico’s

Impactcategorieën

Gezondheid
Impact op de fysieke of mentale gezondheid van personen
Persoonlijke sfeer
Impact op privacy, persoonlijke levenssfeer en bescherming van persoonsgegevens.
Dagelijks leven
Impact op het normaal functioneren van het dagelijks leven van personen.
Welzijn
Impact op het algemeen welzijn, comfort of gevoel van veiligheid van personen.
Financiële impact
Rechtstreekse financiële schade of kosten voor personen of organisaties.
Economics
Impact op economische activiteiten, markten of bedrijfscontinuïteit.
Veiligheid en openbare orde
Impact op openbare veiligheid, ordehandhaving of maatschappelijke stabiliteit.
Impact op internationale instellingen
Impact op het functioneren, de reputatie of de samenwerking van internationale instellingen.
Reputatie
Impact op het vertrouwen en de geloofwaardigheid van de organisatie bij interne en externe stakeholders.
Regulatory impact
Impact als gevolg van niet-naleving van wettelijke of regelgevende verplichtingen.

Compliance – en normatieve onderbouwing760

Bron: impactschalen van CCB.
—> Hoewel reputatie niet expliciet als aparte impactcategorie is opgenomen door CCB, wordt deze hier toegevoegd omdat reputatieschade een significante indirecte impact kan hebben op continuïteit, vertrouwen en maatschappelijke legitimiteit.

—> Hoewel regulatory impact niet expliciet als aparte impactcategorie wordt onderscheiden door CCB, wordt deze hier opgenomen omdat niet-naleving van regelgeving een zelfstandige en significante impact kan hebben op organisaties onder NIS2.

Beoordelen van impact

De impact wordt bepaald op basis van het slechtst mogelijke effect, rekening houdend met het slechtst mogelijke moment waarop dit effect zich kan voordoen..

Voorbeeld: Een risico dat wordt beoordeeld als “Medium” voor financiële impact, “Laag” voor reputatie-impact en “Laag” voor regelgevende impact, maar “Zeer Hoog” voor economische impact, wordt in totaal beoordeeld als “Zeer Hoog”.

Uniforme impactschaal

5 – Zeer Hoog (ZH)
4 – Hoog (H)
3 – Medium (M)
2 – Laag (L)
1 – Zeer laag (ZL)

Impactschaal gezondheid

Impactschaal	Impact op de gezondheid
5 – Zeer Hoog (ZH)	Meer dan 200 doden, chronisch zieken of personen met een langdurige handicap. Meer dan 75 000 personen met ernstige of langdurige gezondheidsproblemen. Ernstige milieuschade die het natuurlijke leefmilieu van het land bedreigt.
4 – Hoog (H)	Tientallen doden of blijvend zwaar gewonden. Grote groepen mensen met ernstige gezondheidsproblemen of langdurige medische zorgbehoefte. Ziekenhuiscapaciteit ernstig onder druk; nood aan nationale of internationale medische bijstand. Belangrijke milieuschade met langdurige gevolgen voor ecosystemen of voedselketens.
3 – Medium (M)	Aanzienlijke schade aan de gezondheid van personen, zonder dodelijke of levensbedreigende verwondingen. Individuen ervaren aanzienlijke fysieke of psychologische hinder (angst, stress, tijdelijke invaliditeit). Grote milieuschade die het natuurlijke leefmilieu van het land bedreigt.
2 – Laag (L)	Beperkte impact op de gezondheid van personen; tijdelijke letsels of gezondheidsproblemen die zonder langdurige behandeling herstellen. Beperkte noodzaak tot medische opvolging of lokale hulpverlening. Kleine milieuschade, lokaal herstelbaar binnen korte termijn.
1 – Zeer Laag (ZL)	Beperkte schade aan de gezondheid van personen, zonder levensbedreigende of ernstige verwondingen. Geen langdurige medische gevolgen; enkel minimale hinder of ongemak.

Impactschaal persoonlijke sfeer

Impactschaal	Impact op de persoonlijke sfeer
5 – Zeer Hoog (ZH)	Ernstige en grootschalige schending van de persoonlijke levenssfeer. Gevoelige of medische persoonsgegevens van grote groepen personen worden publiek of misbruikt. Aanhoudend verlies van vertrouwen in instellingen of diensten, langdurige maatschappelijke onrust. Individuen ondervinden langdurige psychologische of sociale schade door verlies van privacy of identiteit.
4 – Hoog (H)	Aanzienlijke schending van privacy waarbij gevoelige gegevens worden gelekt of misbruikt. Individuen ervaren ernstige persoonlijke of professionele gevolgen (stigmatisering, identiteitsfraude, reputatieschade). Beperkte groep betrokkenen, maar met zware impact op hun persoonlijke levenssfeer. Tijdelijk verlies van vertrouwen in betrokken organisaties of diensten.
3 – Medium (M)	Inbreuk op privacy met merkbare maar herstelbare gevolgen voor betrokken personen. Beperkte verspreiding van persoonlijke gegevens of inbreuk op vertrouwelijkheid. Tijdelijke hinder of ongemak (b.v. correctie van gegevens, beperkte reputatieschade). Geen blijvend verlies van vertrouwen of maatschappelijke impact.
2 – Laag (L)	Kleine en incidentele schending van privacy zonder merkbare schade. Beperkte blootstelling van persoonsgegevens binnen gecontroleerde kring. Individuen ervaren hooguit tijdelijke irritatie of administratieve last.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare inbreuk op de persoonlijke levenssfeer. Geen schade of hinder voor betrokken personen.

Impactschaal dagelijks leven

Impactschaal	Impact op het dagelijks leven
5 – Zeer Hoog (ZH)	Ernstige en langdurige verstoring van het dagelijks leven van een groot aantal burgers. Noodvoorzieningen of vitale infrastructuren vallen uit (bv. energie, water, transport, communicatie). Burgers verliezen langdurig toegang tot essentiële diensten of basisbehoeften. Wijdverspreide maatschappelijke ontwrichting of onrust; afhankelijkheid van noodhulp.
4 – Hoog (H)	Aanzienlijke verstoring van het dagelijks leven, met impact op een brede bevolkingsgroep. Tijdelijke onbeschikbaarheid van essentiële diensten (bv. gezondheidszorg, nutsvoorzieningen, mobiliteit). Burgers ervaren ernstige hinder, stress of verlies van vertrouwen in publieke voorzieningen. Lokale of regionale noodsituatie vereist coördinatie van hulpdiensten.
3 – Medium (M)	Merkbare verstoring van het dagelijks leven, maar van beperkte duur of schaal. Tijdelijke onderbreking van publieke of digitale diensten met ongemak voor burgers. Beperkte nood tot alternatieve maatregelen of tijdelijke compensaties. Geen langdurige maatschappelijke schade of structureel verlies van vertrouwen.
2 – Laag (L)	Kleine hinder in het dagelijks functioneren, beperkt tot lokale of kortstondige incidenten. Burgers ervaren hooguit irritatie of kleine vertragingen (bv. korte IT-storingen, beperkte serviceonderbreking). Geen nood aan externe hulp of grootschalige herstelmaatregelen.
1 – Zeer Laag (ZL)	Geen merkbare verstoring van het dagelijks leven. Geen gevolgen voor burgers of publieke dienstverlening.

Impactschaal welzijn

Impactschaal	Impact op welzijn
5 – Zeer Hoog (ZH)	Ernstige en langdurige aantasting van het welzijn van grote groepen mensen. Massale gevoelens van angst, onzekerheid of verlies van veiligheid. Wijdverspreide psychosociale schade, trauma of maatschappelijke ontwrichting. Blijvend verlies van vertrouwen in instellingen of gemeenschappen.
4 – Hoog (H)	Aanzienlijke impact op het welzijn van groepen of gemeenschappen. Individuen ervaren langdurige stress, angst of sociale uitsluiting. Beperkte toegang tot noodzakelijke ondersteuning (gezondheid, financiën, werk). Tijdelijk verlies van vertrouwen in overheid, zorg of werkgever.
3 – Medium (M)	Merkbare maar herstelbare vermindering van het welzijn van individuen of kleine groepen. Tijdelijke stress, onzekerheid of frustratie door incident of verstoring. Beperkte sociale of economische gevolgen (bv. verlies van productiviteit of motivatie). Herstel mogelijk met beperkte interventie of communicatie.
2 – Laag (L)	Lichte hinder of ongemak zonder blijvende effecten op welzijn. Korte periode van onzekerheid of irritatie, snel hersteld. Geen nood aan professionele hulp of langdurige opvolging.
1 – Zeer Laag (ZL)	Geen merkbare impact op het welzijn van individuen of groepen. Geen stress, onzekerheid of verlies van vertrouwen vastgesteld.

Financiële impactschaal

Impactschaal	Financiële impact
5 – Zeer Hoog (ZH)	Zeer grote economische schade met langdurige gevolgen voor de organisatie of sector. Structureel verlies van inkomsten of activa; bedreiging van de continuïteit. Ernstige marktverstoring of domino-effect in de waardeketen. Herstel vergt externe steun of overheidsinterventie.
4 – Hoog (H)	Aanzienlijke financiële schade door langdurige onderbreking van activiteiten of verlies van kapitaal. Grote herstellings- of vervangingskosten, impact op liquiditeit en strategische projecten. Tijdelijke aantasting van financiële stabiliteit of kredietwaardigheid.
3 – Medium (M)	Merkbare financiële schade die invloed heeft op operationele marges of budgetten. Tijdelijk omzetverlies, bijkomende kosten voor herstel of juridische afhandeling. Geen bedreiging voor continuïteit, maar wel nood aan managementinterventie of herprioritering van middelen.
2 – Laag (L)	Beperkte financiële schade, binnen het tolerantie- of verzekeringsniveau. Kleine bijkomende uitgaven of tijdelijke kostenstijging. Geen blijvende invloed op winst, cashflow of strategie.
1 – Zeer Laag (ZL)	Verwaarloosbare of geen financiële schade. Geen meetbare invloed op budgetten of economische prestaties

Impactschaal economics

Impactschaal	Impact op economics
5 – Zeer Hoog (ZH)	Ernstige ontwrichting van de nationale of sectorale economie. Langdurige stilstand van vitale economische processen of markten. Massaal banenverlies, structureel verlies van concurrentievermogen. Nood aan grootschalige steunmaatregelen of overheidsinterventie.
4 – Hoog (H)	Aanzienlijke schade aan economische activiteiten of ketens. Tijdelijke sluiting van ondernemingen of productielijnen. Grote impact op toeleveringsketens, handel of investeringen. Herstel mogelijk, maar vereist coördinatie en financiële steun.
3 – Medium (M)	Merkbare maar herstelbare verstoring van economische processen. Tijdelijk productieverlies, vertraging in leveringen of projecten. Beperkte sectorale gevolgen; geen langdurige macro-impact.
2 – Laag (L)	Kleine economische hinder of lokale verliezen. Tijdelijke kostenstijging of vertraging zonder structurele schade.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare economische impact. Geen merkbare invloed op productie, handel of diensten.

Impactschaal veiligheid en openbare orde

Impactschaal	Impact op veiligheid en openbare orde
5 – Zeer Hoog (ZH)	Ernstige bedreiging van nationale veiligheid of openbare orde. Massale paniek, rellen of geweldsincidenten. Uitval van vitale veiligheids- of noodsystemen. Grootschalige inzet van politie, leger of civiele bescherming vereist.
4 – Hoog (H)	Aanzienlijke aantasting van de openbare orde of veiligheid. Gecoördineerde criminele activiteit, cyberaanvallen of sabotage met regionaal effect. Tijdelijke instabiliteit of onrust in meerdere steden of sectoren.
3 – Medium (M)	Beperkte maar merkbare verstoring van orde of veiligheid. Lokaal incident met beperkte media- of publieke aandacht. Tijdelijke noodmaatregelen door lokale autoriteiten.
2 – Laag (L)	Kleine veiligheidsincidenten of ordeverstoringen, snel ingedamd. Geen structurele dreiging of noodtoestand.
1 – Zeer Laag (ZL)	Geen invloed op veiligheid of openbare orde. Geen nood aan interventie of crisisbeheer.

Impactschaal Internationale Instellingen

Impactschaal	Impact op internationale instellingen
5 – Zeer Hoog (ZH)	Ernstige ontwrichting van de werking van internationale instellingen op Belgisch grondgebied. Structureel verlies van vertrouwen of samenwerking binnen internationale organisaties. Schade aan internationale betrekkingen of reputatie van België.
4 – Hoog (H)	Aanzienlijke hinder of reputatieschade voor internationale instellingen. Tijdelijke onderbreking van activiteiten of samenwerking tussen lidstaten. Negatieve diplomatieke gevolgen voor België of EU-partners.
3 – Medium (M)	Merkbare maar tijdelijke verstoring van administratieve of operationele processen. Beperkt effect op de reputatie of internationale samenwerking.
2 – Laag (L)	Kleine hinder of vertraging in procedures of communicatie. Geen blijvende gevolgen voor relaties of werking.
1 – Zeer Laag (ZL)	Geen merkbare impact op internationale instellingen. Geen invloed op samenwerking of reputatie van België.

Impactschaal reputatie

Impactschaal	Impact op reputatie
5 – Zeer Hoog (ZH)	Ernstige en langdurige aantasting van het vertrouwen in de organisatie. Structureel verlies van geloofwaardigheid bij stakeholders. Langdurige negatieve publieke of maatschappelijke impact.
4 – Hoog (H)	Aanzienlijke reputatieschade met brede externe aandacht. Verlies van vertrouwen bij belangrijke stakeholders. Herstel vereist langdurige inspanningen en bestuurlijke betrokkenheid.
3 – Medium (M)	Merkbare reputatieschade met tijdelijke impact. Beperkt verlies van vertrouwen bij specifieke stakeholdergroepen. Herstel mogelijk met gerichte communicatie en maatregelen.
2 – Laag (L)	Beperkte en lokale reputatieschade. Tijdelijke negatieve perceptie zonder structurele gevolgen. Beperkte opvolging volstaat.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare reputatie-impact. Geen merkbare invloed op vertrouwen of perceptie.

Impactschaal regulatory impact

Impactschaal	Regulatory impact
5 – Zeer Hoog (ZH)	Ernstige niet-naleving met zware sancties of handhavingsmaatregelen. Structurele beperkingen op activiteiten of vergunningen. Langdurig verhoogd toezicht door toezichthouders.
4 – Hoog (H)	Aanzienlijke niet-naleving met boetes of formele sancties. Verplicht corrigerend optreden onder toezicht van regulatoren. Relevante impact op bestuur en compliance-organisatie.
3 – Medium (M)	Niet-naleving met formele waarschuwingen of herstelverplichtingen. Verhoogde rapportering of tijdelijke toezichtsmaatregelen. Beperkte juridische of administratieve gevolgen.
2 – Laag (L)	Kleine inbreuk op regelgeving zonder sancties. Informele opvolging of corrigerende acties vereist. Geen structurele gevolgen voor compliance positie.
1 – Zeer Laag (ZL)	Geen of verwaarloosbare niet-naleving. Geen actie of tussenkomst van toezichthouders.

Waarschijnlijkheid van risico’s

Beoordelen van waarschijnlijkheid

De organisatie hanteert een eenvoudige ordinale schaal om risico’s te rangschikken op basis van de waarschijnlijkheid dat de geïdentificeerde risico’s zich voordoen.
De schaal geeft de mate van waarschijnlijkheid weer, geordend van één tot vijf.

De waarschijnlijkheidsscore weerspiegelt hoe waarschijnlijk het is dat de beschreven nadelige impact zich zal voordoen.

De waarschijnlijkheid dat een risico, gerelateerd aan een kwetsbaarheid, zich materialiseert, wordt beoordeeld op basis van de kans dat dit risico zich in de voorzienbare toekomst zal voordoen (d.w.z. binnen de komende 3 tot 5 jaar).

Waarschijnlijkheidschaal

Waarschijnlijkheid	Bandbreedte	Definitie
5 – Zeer Hoog (ZH)	81-100%	Het risico-event is (bijna) zeker binnen de voorzienbare toekomst (3–5 jaar). De aard van de activiteit, de blootstelling en de context maken dat dit scenario structureel plausibel en herhaaldelijk voorkomend is.
4 – Hoog (H)	61 – 80%	Het risico-event is waarschijnlijk binnen 3–5 jaar. De combinatie van blootstelling, sectorcontext en gekende risicopatronen maakt het scenario realistisch, ook zonder uitzonderlijke omstandigheden.
3 – Medium (M)	41 – 60%	Het risico-event is mogelijk, maar vereist specifieke omstandigheden of samenloop van factoren. Het scenario is plausibel, maar niet dominant of vanzelfsprekend.
2 – Laag (L)	21 – 40%	Het risico-event is onwaarschijnlijk, maar niet uitgesloten. De aard van de activiteiten en context maken dat het scenario slechts in uitzonderlijke omstandigheden kan optreden.
1 – Zeer Laag	0 – 20%	Het risico-event is zeer onwaarschijnlijk binnen 3–5 jaar. Er zijn geen sterke indicaties dat dit scenario zich in de normale context van de organisatie zal voordoen, al blijft het theoretisch mogelijk.

Waarschijnlijkheid en dreigingsactoren

Inzichten over dreigingsactoren maken deel uit van het bredere dreigingslandschap en dragen bij aan de inschatting van de waarschijnlijkheid dat risico-events zich voordoen.

Deze inzichten worden gebruikt als context bij de beoordeling van waarschijnlijkheid.

Waarschijnlijkheid	Perspectief dreigingsactor
5 – Zeer Hoog (ZH)	Dit type dreigingsactor is bekend met dit soort aanvallen vaak in onze sector uit te voeren. Het aanvalspatroon is goed gedocumenteerd en het is zeer waarschijnlijk dat soortgelijke aanvallen zich in de nabije toekomst opnieuw zullen voordoen.
4 – Hoog (H)	Dit type dreigingsactor heeft dit soort aanvallen eerder in onze sector uitgevoerd. Hoewel het misschien niet zo vaak voorkomt als “zeer waarschijnlijk’, zijn er sterke aanwijzingen dat dit risico relevant blijft en waarschijnlijk opnieuw zal optreden.
3 – Medium (M)	Dit type dreigingsactor heeft dit soort aanvallen uitgevoerd in vergelijkbare industrieën of regio’s, maar met minder bevestigde gevallen in onze sector. Er is een redelijke kans dat deze dreiging zich in de nabije toekomst zal voordoen.
2 – Laag (L)	Dit type dreigingsactor heeft dit soort aanvallen op wereldschaal uitgevoerd, maar niet specifiek in onze sector. Er is een kans dat het zich voordoet maar er zijn geen sterke indicatoren die wijzen op een onmiddellijk sectorspecifiek risico.
1 – Zeer Laag	Er zijn geen gegevens over dit soort dreigingsactoren die soort aanvallen uitvoeren in onze sector of vergelijkbare industrieën. Er zijn geen aanwijzingen dat dit in de nabije toekomst zal gebeuren, hoewel het een theoretische mogelijkheid blijft.

Compliance – en normatieve onderbouwing760

Bovenstaand kader is gebaseerd op richtlijnen en voorbeelden van het Centre for Cybersecurity Belgium (CCB), waarin inzichten over dreigingsactoren worden gebruikt om de waarschijnlijkheid van cyberrisico’s te contextualiseren binnen sectoren en dreigingslandschappen.

Aanvullende dreigingsinformatie
Ter verdere onderbouwing van deze context maakt de organisatie aanvullend gebruik van internationale databanken en rapporten, zoals MITRE. Deze bronnen bieden waardevolle inzichten in aanvalspatronen, tactieken en daderprofielen, die helpen om risico’s beter te duiden en de waarschijnlijkheid ervan geïnformeerd in te schatten.

Uniforme risicobeoordeling

Uniforme schaal voor risicobeoordeling

De organisatie gebruikt een 5-niveau schaal om risico’s te beoordelen:

Uniforme risicobeoordelingsschaal
Kritisch risico
Significant risico
Matig risico
Beperkt risico

Hittemap

De risicoscores maken het mogelijk risico’s weer te geven op een gestandaardiseerde hittemap (heatmap).

Waarschijnlijkheid
5 – ZH	Matig	Matig	Significant	Kritisch	Kritisch
4 – H	Matig	Matig	Significant	Kritisch	Kritisch
3 – M	Beperkt	Matig	Significant	Significant	Kritisch
2 – L	Beperkt	Matig	Matig	Significant	Kritisch
1 – ZL	Beperkt	Beperkt	Matig	matig	Significant
Impact	1 – ZL	2 – L	3 – M	4 – H	5 – ZH

Risicobehandeling (Risk treatment)

Voor elk geïdentificeerd risico wordt, in lijn met ISO 31000, een passende risicobehandelingsoptie bepaald.

De keuze voor een risicobehandelingsoptie houdt rekening met de risicobereidheid en risicotolerantie van de organisatie.

Risicobehandelingsopties

In lijn met ISO 31000 onderscheidt de organisatie de volgende risicobehandelingsopties:

Risico vermijden
Het stoppen of niet starten van activiteiten die aanleiding geven tot het risico, waardoor het risico niet langer kan optreden.
Risico verminderen
Het nemen van maatregelen om de waarschijnlijkheid en/of impact van het risico te verlagen.
Risico overdragen
Het geheel of gedeeltelijk overdragen van het risico aan een derde partij, bijvoorbeeld via contractuele afspraken, uitbesteding of verzekering, zonder dat de eindverantwoordelijkheid volledig verdwijnt.
Risico aanvaarden
Het bewust accepteren van het risico, zonder aanvullende maatregelen, binnen de vastgestelde risicobereidheid en risicotolerantie.

Voor elk risico wordt bewust één of meerdere risicobehandelingsopties gekozen, in functie van de context en het vastgestelde risiconiveau.

Governance

Eerste lijn

De eerste lijn omvat de functies die operationeel verantwoordelijk zijn voor processen, assets en activiteiten binnen de organisatie.

Tweede lijn (risicofunctie)

De tweede lijn omvat de functies die verantwoordelijk zijn voor het opzetten, faciliteren en bewaken van het risicokader binnen de organisatie.
Afhankelijk van het risicodomein kan deze rol worden opgenomen door onder meer de CRO, CISO, DPO, Compliance, kwaliteitsfunctie of een andere onafhankelijke tweedelijnsfunctie.

Derde lijn

De derde lijn omvat de onafhankelijke interne auditfunctie, die assurance verschaft over de doeltreffendheid van governance, risicobeheer en interne beheersing.

De organisatiebrede governance, inclusief de rolverdeling volgens het Three Lines Model, is vastgelegd in het document “Beleid voor organisatiebreed risicobeheer” (Enterprise Risk Management Policy).

Behandeling van kritische risico’s

Beleid

Kritische risico’s vereisen onmiddellijke aandacht en een expliciete bestuurlijke beslissing.

Toegelaten risicobehandelingsopties

Risico vermijden
Risico verminderen
Risico aanvaarden, mits formele en gemotiveerde besluitvorming

Niet toegelaten

Risico aanvaarden, zonder formele en gemotiveerde besluitvorming
Risico uitsluitend overdragen

Governance bij kritische risico’s

Kritische risico’s overstijgen het operationele niveau en vereisen expliciete besluitvorming op bestuursniveau, gezien hun potentiële impact op de continuïteit, veiligheid of wettelijke verplichtingen van de organisatie.

Rol	Governance bij kritische risico’s
Eerste lijn	identificeren kritische risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; leveren inhoudelijke input over oorzaken, gevolgen en haalbaarheid van mogelijke maatregelen.
Tweede lijn risicofuncties	faciliteert en coördineert het risicoanalyseproces; bewaakt de toepassing van het vastgestelde risicokader (URR); toetst de consistentie, volledigheid en kwaliteit van de analyses; consolideert het kritische risico tot een besluitvormingsklaar dossier
Directiecomité	beoordeelt het kritische risico in functie van strategische en operationele doelstellingen; weegt de voorgestelde risicobehandelingsopties af; formuleert een gemotiveerd advies over risicobehandeling of aanvaarding.
Bestuursorgaan	beslist over de behandeling of aanvaarding van het kritische risico; keurt de motivatie en randvoorwaarden goed; draagt de eindverantwoordelijkheid voor de genomen beslissing.

Kritische risico’s worden geïdentificeerd en geanalyseerd in de eerste lijn,
gecoördineerd en bewaakt door de tweede lijn (risicofuncties), en formeel beslist door het bestuursorgaan.

Behandeling van significante risico’s

Beleid

Significante risico’s vereisen actieve risicobehandeling en een expliciete beslissing op directieniveau, gezien hun potentiële impact op de werking en doelstellingen van de organisatie.

Toegelaten risicobehandelingsopties

Risico verminderen
Risico overdragen (geheel of gedeeltelijk)
Risico aanvaarden, mits expliciete en gemotiveerde besluitvorming

Niet toegelaten

Risico aanvaarden zonder expliciete en gemotiveerde besluitvorming

Governance bij significante risico’s

Rol	Governance bij significante risico’s
Eerste lijn	identificeren significante risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; leveren inhoudelijke input over oorzaken, gevolgen en haalbaarheid van mogelijke maatregelen
Tweede lijn risicofuncties	faciliteert en coördineert het risicoanalyseproces; bewaakt de toepassing van het vastgestelde risicokader (URR); toetst de consistentie, volledigheid en kwaliteit van de analyses; consolideert significante risico’s voor besluitvorming.
Directiecomité	beoordeelt het significante risico in functie van strategische en operationele doelstellingen; beslist over de risicobehandeling of aanvaarding; bepaalt randvoorwaarden voor opvolging en monitoring.
Bestuursorgaan	ontvangt periodieke rapportering over significante risico’s; oefent toezicht uit op het risicobeheer.

Significante risico’s worden geïdentificeerd en geanalyseerd in de eerste lijn,
gecoördineerd en bewaakt door de tweede lijn, en beslist door het directiecomité.

Behandeling van matige risico’s

Beleid

Matige risico’s zijn beheersbaar binnen de reguliere werking van de organisatie en vereisen een bewuste afweging over verdere risicobehandeling.

Toegelaten risicobehandelingsopties

Risico verminderen
Risico overdragen
Risico aanvaarden

Niet toegelaten

N.v.t.

Governance bij matige risico’s

Matige risico’s worden behandeld binnen de eerste lijn, binnen het vastgestelde risicokader en de risicotolerantie van de organisatie.

Rol	Governance bij matige risico’s
Eerste lijn	identificeren matige risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; beslissen over de risicobehandeling of aanvaarding; implementeren en opvolgen eventuele maatregelen.
Tweede lijn risicofuncties	faciliteert en bewaakt de toepassing van het risicokader (URR); toetst de consistentie en kwaliteit van de risico-inschattingen; consolideert en rapporteert matige risico’s via de reguliere risicorapportering.

Matige risico’s worden geïdentificeerd, geanalyseerd en behandeld in de eerste lijn,
binnen het risicokader bewaakt door de tweede lijn.

Behandeling van beperkte risico’s

Beleid

Beperkte risico’s worden beschouwd als aanvaardbaar binnen de vastgestelde risicotolerantie en vereisen geen aanvullende risicobehandeling, tenzij dit eenvoudig of efficiënt kan worden gerealiseerd.

Toegelaten risicobehandelingsopties

Risico aanvaarden
Risico verminderen (optioneel, indien proportioneel)

Niet toegelaten

N.v.t.

Governance bij beperkte risico’s

Beperkte risico’s worden beheerd volledig binnen de eerste lijn, zonder escalatie naar hogere bestuursniveaus.

Rol	Governance bij beperkte risico’s
Eerste lijn	identificeren beperkte risico’s binnen hun verantwoordelijkheidsdomein; analyseren deze risico’s binnen hun operationele context; aanvaarden en monitoren deze risico’s binnen de reguliere werking.
Tweede lijn risicofuncties	bewaakt de toepassing van het risicokader (URR); consolideert en rapporteert beperkte risico’s op geaggregeerd niveau.

Beperkte risico’s worden geïdentificeerd, geanalyseerd en aanvaard in de eerste lijn,
binnen het risicokader bewaakt door de tweede lijn.

Voorwaarden bij aanvaarding

Aanvaarding van een kritisch of significant risico is enkel toegestaan indien:

de aanvaarding expliciet en formeel wordt gedocumenteerd;
de argumentatie aantoont waarom het risico onvermijdelijk, proportioneel of tijdelijk wordt aanvaard;
eventuele compenserende maatregelen of monitoring worden beschreven;
de beslissing wordt genomen op het hoogste bevoegde niveau.

Herziening en actualisatie

De Uniforme Methodologie voor Risicobeoordeling (URR) wordt minstens eenmaal om de drie jaar herzien, of eerder indien nodig, bijvoorbeeld naar aanleiding van:

significante wijzigingen in het risicoprofiel of de organisatiecontext;
relevante wijzigingen in wet- en regelgeving;
belangrijke incidenten of evaluaties.

Termen en definities

Risico (Risk)
Risico-event (Risk event)
Inherent risico (Inherent risk)
Restrisico (Residual risk)
Impact
Waarschijnlijkheid (Likelihood)
Risicobeoordeling (Risk assessment)
Risicomatrix (Risk matrix)
Risicobehandeling (Risk treatment)
Risicobehandelingsopties (Risk treatment options)
Risicobereidheid (Risk appetite)
Risicotolerantie (Risk tolerance)
Dreigingsactor (Threat actor)
Risicoscenario (Risk scenario)

”
},
{
“id”: “1147617”,
“title”: “Risk Appetite Framework (RAF)”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management (ERM) Framework / Risk Appetite Framework (RAF)”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35323905”,
“title”: “Enterprise Risk Management Process”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “15925253”,
“title”: “Risk Management smartNIS2”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process / Risk Management smartNIS2”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “820017”,
“title”: “Risk Assessments”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process / Risk Management smartNIS2 / Risk Assessments”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147709”,
“title”: “Business process security risk assessment”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process / Risk Management smartNIS2 / Risk Assessments / Business process security risk assessment”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “820024”,
“title”: “Application security risk assessments”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process / Risk Management smartNIS2 / Risk Assessments / Application security risk assessments”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “426832”,
“title”: “Supplier security risk assessments”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Enterprise Risk Management Process / Risk Management smartNIS2 / Risk Assessments / Supplier security risk assessments”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21430389”,
“title”: “Compliance Standards Enterprise Risk Management”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 316,
“body”: “true

”
},
{
“id”: “20971549”,
“title”: “ISO 31K Family of Standards”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20643891”,
“title”: “ISO 31000 Risk Management – Guidelines”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31000 Risk Management – Guidelines”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2156,
“body”: “

ISO 31000 — Risicomanagement — Richtlijnen

Waarom deze standaard?

ISO 31000 biedt een internationaal erkend kader om alle soorten risico’s systematisch en consistent te beheren. De standaard helpt organisaties om risico’s niet geïsoleerd of ad hoc te benaderen, maar als integraal onderdeel van bestuur, strategie en besluitvorming.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 31000 gebruiken als het overkoepelend risicokader binnen hun GRC-aanpak. De standaard definieert hoe risico’s worden geïdentificeerd, geanalyseerd, geëvalueerd en opgevolgd, onafhankelijk van het risicodomein. ISO 31000 vormt daarmee de gemeenschappelijke basis waarop domeinspecifieke kaders, zoals informatiebeveiliging (ISO/IEC 27001) en continuïteit (ISO 22301), worden opgebouwd.

Wat draagt deze standaard concreet bij?

ISO 31000 draagt bij aan:

een gedeelde en consistente risicotaal binnen de organisatie
beter onderbouwde beslissingen op alle niveaus
samenhang tussen strategie, risico’s en beheersmaatregelen
transparantie richting bestuur en toezichthouders

”
},
{
“id”: “35389517”,
“title”: “ISO 31004 – Metrics”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31004 – Metrics”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21004315”,
“title”: “ISO 31010 — Risk management — Risk assessment techniques”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 2102,
“body”: “

ISO 31010 — Risicomanagement — Technieken voor risicobeoordeling

Waarom deze standaard?

Risicoanalyse vraagt meer dan één vaste methode. Afhankelijk van context, maturiteit en doel zijn verschillende technieken geschikt. ISO 31010 biedt een gestructureerd overzicht van risicobeoordelingstechnieken die organisaties helpen om risico’s op een passende en proportionele manier te analyseren.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 31010 gebruiken als methodologische leidraad bij het uitvoeren van risicoanalyses binnen hun GRC-aanpak. De standaard helpt bij het kiezen van geschikte technieken — van eenvoudige kwalitatieve methodes tot meer diepgaande analyses — in lijn met de principes en het proces van ISO 31000 en, waar relevant, domeinspecifieke standaarden zoals ISO/IEC 27005.

Wat draagt deze standaard concreet bij?

ISO 31010 draagt bij aan:

bewuste en onderbouwde keuze van risicoanalysetechnieken
consistentie in hoe risico’s worden beoordeeld
proportionaliteit tussen inspanning en complexiteit
transparantie over aannames, beperkingen en resultaten

”
},
{
“id”: “21233672”,
“title”: “Bowtie Risk Assessment”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques / Bowtie Risk Assessment”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1631,
“body”: “

Vlinderdas riscobeoordeling

Waarom deze methode?

De Bowtie-methode is geschikt voor risico’s met hoge impact en meerdere oorzaken, waarbij inzicht nodig is in zowel preventie als mitigatie. Ze maakt complexe risico’s visueel en bespreekbaar over disciplines heen.

Hoe wordt deze methode gebruikt?

Het risico wordt centraal geplaatst, met links de mogelijke oorzaken en preventieve maatregelen, en rechts de mogelijke gevolgen en mitigerende maatregelen. De focus ligt op barrières en hun effectiviteit.

Wat draagt deze methode bij?

De Bowtie-methode biedt:

inzicht in oorzaak–gevolgrelaties
overzicht van bestaande en ontbrekende beheersmaatregelen
een gemeenschappelijk beeld voor management en specialisten

”
},
{
“id”: “20447278”,
“title”: “Consequence–Likelihood Risk Assessment”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques / Consequence–Likelihood Risk Assessment”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1581,
“body”: “

Gevolgen-Waarschijnlijkheid risiobeoordeling

Waarom deze methode?

Deze methode laat toe om risico’s gestructureerd en proportioneel te beoordelen, ook wanneer weinig detailinformatie beschikbaar is. Ze is geschikt voor een breed scala aan risicodomeinen.

Hoe wordt deze methode gebruikt?

Risico’s worden beoordeeld op basis van hun potentiële gevolgen (impact) en de waarschijnlijkheid van optreden. De combinatie resulteert in een risicoscore die verdere behandeling en prioritering ondersteunt.

Wat draagt deze methode bij?

De methode zorgt voor:

consistentie in risicobeoordeling
vergelijkbaarheid tussen risico’s
duidelijke prioriteiten voor besluitvorming

”
},
{
“id”: “21331969”,
“title”: “Delphi Technique”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques / Delphi Technique”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1505,
“body”: “

Delphi Techniek

Waarom deze methode?

Wanneer objectieve data ontbreekt en onzekerheid groot is, biedt de Delphi-techniek een gestructureerde manier om expert judgement te benutten zonder groepsdruk of hiërarchische vertekening.

Hoe wordt deze methode gebruikt?

Een groep experts geeft onafhankelijk inschattingen, die in meerdere rondes worden samengebracht en verfijnd. Feedback gebeurt anoniem en iteratief, tot een stabiel oordeel ontstaat.

Wat draagt deze methode bij?

De Delphi-techniek levert:

onderbouwde risico-inschattingen bij onzekerheid
bredere en evenwichtigere perspectieven
transparantie over aannames en meningsverschillen

”
},
{
“id”: “20447286”,
“title”: “5 Whys”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques / 5 Whys”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1383,
“body”: “

Waarom deze methode?

De 5 Whys-methode is geschikt om grondoorzaken te identificeren bij incidenten, fouten of afwijkingen. Ze voorkomt dat symptomen worden aangepakt in plaats van oorzaken.

Hoe wordt deze methode gebruikt?

Door herhaaldelijk de vraag “waarom?” te stellen, wordt stap voor stap dieper gegaan tot een onderliggende oorzaak zichtbaar wordt. De focus ligt op processen en systemen, niet op personen.

Wat draagt deze methode bij?

De 5 Whys-methode biedt:

inzicht in structurele oorzaken
gerichte verbetermaatregelen
versterking van lerend vermogen binnen de organisatie

”
},
{
“id”: “21004424”,
“title”: “Layers of Protection Analysis (LOPA)”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31K Family of Standards / ISO 31010 — Risk management — Risk assessment techniques / Layers of Protection Analysis (LOPA)”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20348985”,
“title”: “ISO 31073 — Risk management — Vocabulary”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Compliance Standards Enterprise Risk Management / ISO 31073 — Risk management — Vocabulary”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2094,
“body”: “

ISO 31073 — Risicomanagement — Begrippen en definities

Waarom deze standaard?

GRC valt of staat met taal. Als “risico”, “impact”, “maatregel” of “restrisico” per team iets anders betekent, ontstaat ruis, discussie en verkeerde beslissingen. ISO 31073 levert één gedeelde woordenlijst voor risicomanagement.

Hoe kunnen organisaties deze standaard gebruiken?

ISO 31073 kan gebruikt worden als het centrale begrippenkader voor risicomanagement binnen GRC: één consistente terminologie over alle risicodomeinen heen (strategie, informatiebeveiliging, continuïteit, kwaliteit, fysieke veiligheid, leveranciers…). Dit voorkomt interpretatieverschillen tussen disciplines, leveranciers en toezichthouders.

Wat draagt deze standaard concreet bij?

ISO 31073 zorgt voor:

één uniforme risicotaal in analyses, rapporten en besluitvorming
minder misverstanden en snellere afstemming
betere vergelijkbaarheid van risico’s over domeinen heen
een stevige basis om ISO 31000 consequent toe te passen

”
},
{
“id”: “82771970”,
“title”: “Template risk registration”,
“path”: “Overview / Enterprise Risk Management System (ERMS) / Template risk registration”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 88,
“body”: “

Template risicoregistratie

”
},
{
“id”: “27426825”,
“title”: “Information Security Management System (ISMS)”,
“path”: “Overview / Information Security Management System (ISMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 11401,
“body”: “

Definitie

Een Information Security Management System (ISMS) is het managementsysteem waarmee een organisatie informatiebeveiliging structureel bestuurt, beheert en continu verbetert, als onderdeel van haar bredere Governance, Risk & Compliance (GRC)-aanpak.

Het ISMS omvat de principes, het framework en de processen waarmee de organisatie de vertrouwelijkheid, integriteit en beschikbaarheid van informatie beschermt, op een risicogebaseerde, bestuurbare en aantoonbare manier.

Een ISMS is geen verzameling technische maatregelen, maar een bestuurlijk en organisatorisch systeem dat gedragen wordt door management en bestuur.

Waarom – waarom een ISMS?

Organisaties zijn in toenemende mate afhankelijk van informatie en informatiesystemen, terwijl:

dreigingen complexer worden
afhankelijkheden toenemen
wet- en regelgeving strenger wordt

Zonder samenhangende aanpak ontstaat informatiebeveiliging vaak:

ad hoc
versnipperd
technisch gedreven
persoonsafhankelijk

Een ISMS is nodig om:

informatiebeveiliging expliciet te verankeren in governance
beveiligingskeuzes risicogebaseerd te maken
verantwoordelijkheden duidelijk te beleggen
naleving van wetgeving en normen aantoonbaar te maken
informatiebeveiliging duurzaam en schaalbaar te organiseren

Het ISMS zorgt ervoor dat informatiebeveiliging geen los initiatief is, maar een structureel onderdeel van goed bestuur.

Hoe – hoe is een ISMS opgebouwd?

Het ISMS is opgebouwd volgens drie vaste en samenhangende lagen, die altijd vanuit de GRC-bril worden ingevuld:

Principes

De principes bepalen wat richtinggevend is voor informatiebeveiliging.

Vanuit Governance:

management en bestuur nemen expliciet verantwoordelijkheid

Vanuit Risk:

beveiligingskeuzes zijn gebaseerd op risico’s en proportionaliteit

Vanuit Compliance:

principes houden rekening met wettelijke, normatieve en contractuele verplichtingen

De principes vormen het inhoudelijk fundament van het ISMS en worden expliciet vastgelegd in het informatiebeveiligingsbeleid.

Framework

Het ISMS-framework is het organiserend en bestuurlijk geheel waarin informatiebeveiliging wordt ingericht.

Het framework:

vertaalt principes naar beleid en afspraken
organiseert rollen, verantwoordelijkheden en besluitvorming
bundelt alle documentatie (policies, procedures, plannen, instructies, richtlijnen en registers)
zorgt voor samenhang, beheersbaarheid en aantoonbaarheid

Vanuit GRC bekeken:

Governance zorgt voor sturing en eigenaarschap
Risk voor consistente risicobeoordeling en opvolging
Compliance voor naleving en controleerbaarheid

Proces

Het ISMS-proces beschrijft hoe informatiebeveiliging in de praktijk functioneert, als samenhang van activiteiten.

Het proces omvat onder andere:

identificatie en beoordeling van informatiebeveiligingsrisico’s
selectie en toepassing van beveiligingsmaatregelen
afhandeling van incidenten
monitoring, evaluatie en continue verbetering

Het proces:

beschrijft logica en samenhang, niet uitvoeringsdetails
wordt ondersteund door procedures en plannen binnen het framework
functioneert als onderdeel van de bredere GRC-cyclus

Wat – wat omvat een ISMS concreet?

Concreet omvat een ISMS:

Principes

vastgelegd in het informatiebeveiligingsbeleid

Framework

één overkoepelende informatiebeveiligingspolicy
ondersteunende thematische policies
procedures, plannen, instructies en richtlijnen
registers voor opvolging en aantoonbaarheid

Proces

een samenhangende werking rond risico’s, maatregelen, incidenten en verbetering

Daarnaast omvat het ISMS:

governance en managementbetrokkenheid
monitoring, evaluatie en management review
continue verbetering (PDCA-denken)

Het ISMS is afgestemd op Enterprise Risk Management, maar blijft een zelfstandig managementsysteem vanuit informatiebeveiligingsperspectief.

Het ISMS past de principes van Governance, Risk en Compliance toe op informatiebeveiliging, via richtinggevende principes, een organiserend framework en samenhangende processen.

”
},
{
“id”: “35520560”,
“title”: “Principles of Information Security”,
“path”: “Overview / Information Security Management System (ISMS) / Principles of Information Security”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3979,
“body”: “

Purpose and status of the principles

The principles defined for this management system express the explicit intent and direction set by Executive Management and the Board for this domain.

They describe what the organisation fundamentally stands for, the boundaries that guide decision-making, and the priorities that shape behaviour, design choices and trade-offs over time.

These principles form the authoritative foundation for:

the underlying framework,
the design of processes and controls,
and day-to-day decisions at all levels of the organisation.

Once formally approved, these principles act as a stable reference point.
They are intended to remain valid over time and will only be reviewed in exceptional circumstances, such as significant strategic shifts or fundamental changes in the regulatory landscape.

All further elaboration — including frameworks, policies, processes and procedures — must remain aligned with and subordinate to these principles.
While those elements may evolve and be refined, the principles are intended to ensure continuity, clarity and coherence across the organisation.

Doel en status van de principes

De principes die voor dit managementsysteem zijn vastgelegd, drukken de expliciete intentie en richting uit die door Directie en Bestuur voor dit domein zijn bepaald.

Deze principes vormen het gezaghebbende fundament voor:

het onderliggende framework,
het ontwerp van processen en beheersmaatregelen,
en de dagelijkse beslissingen op alle niveaus van de organisatie.

”
},
{
“id”: “28180483”,
“title”: “Principles Statement of Information Security”,
“path”: “Overview / Information Security Management System (ISMS) / Principles of Information Security / Principles Statement of Information Security”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 17583,
“body”: “

Principesverklaring Informatiebeveiliging

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij informatiebeveiliging binnen de organisatie organiseren en aansturen via een Information Security Management System (ISMS).

Informatiebeveiliging is voor ons een onderdeel van goed bestuur en een essentiële voorwaarde voor het betrouwbaar, continu en verantwoord functioneren van de organisatie. Zij beschermt informatie in al haar vormen en omvat zowel organisatorische, fysieke als digitale aspecten, waaronder cyberbeveiliging.

Cyberbeveiliging vormt daarbij een essentieel onderdeel van informatiebeveiliging en richt zich op het beheersen van digitale dreigingen voor netwerken, informatiesystemen en ondersteunende technologieën. De bestuurlijke verantwoordelijkheid hiervoor is expliciet verankerd in toepasselijke wet- en regelgeving, waaronder NIS2.

Wij vertrekken steeds van de verplichte naleving van toepasselijke wet- en regelgeving, met bijzondere aandacht voor wettelijke verplichtingen inzake cyberbeveiliging.
Binnen dat kader maken wij bewuste en expliciete keuzes in de manier waarop wij informatie- en cyberbeveiliging vormgeven, gebaseerd op een ‘best of worlds’-benadering.

Daarbij laten wij ons leiden door:

ISO/IEC 27001 als referentiekader voor de inrichting en besturing van informatiebeveiliging,
de bredere ISO/IEC 2700x-reeks ter ondersteuning en verdieping,
NIST-referentiekaders voor risicodenken en cyberbeveiligingspraktijken,
en het CyFun-perspectief als organisatiebreed governance-, risico- en controleraamwerk.

Deze principes:

drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot informatie- en cyberbeveiliging,
zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt voor het ISMS,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in risico’s of context.

De principes beantwoorden het waarom van informatie- en cyberbeveiliging binnen de organisatie.
Zij bepalen niet hoe beveiliging concreet wordt ingericht, noch welke specifieke maatregelen worden genomen.

Alle verdere uitwerkingen — waaronder frameworks, beleid, processen, beheersmaatregelen en continue verbetering — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Wij beschouwen informatie- en cyberbeveiliging als een kerntaak van goed bestuur.

Bestuur en Directie nemen hiervoor expliciet eigenaarschap op, bepalen de richting en prioriteiten, en zorgen voor passende middelen en sturing. Informatie- en cyberbeveiliging is daarmee geen louter technische of operationele aangelegenheid, maar een bestuurlijke verantwoordelijkheid die integraal deel uitmaakt van governance, risicobeheer en verantwoording.

Compliance- en normatieve onderbouwing 1011

ISO 27001 Leadership & Commitment

Principe 2 – Risicogebaseerde informatiebeveiliging

Wij organiseren informatie- en cyberbeveiliging op basis van risico’s, niet op basis van checklists of standaardmaatregelen.

Beslissingen over beveiliging worden genomen op basis van een systematische identificatie en beoordeling van risico’s voor informatie, systemen en digitale diensten. Maatregelen zijn proportioneel, gericht op het beheersen van relevante risico’s, en restrisico’s worden bewust aanvaard of behandeld.

Dit principe waarborgt focus, prioritering en doelmatigheid.

Compliance- en normatieve onderbouwing1011

ISO 27001: Risk-based approach

Principe 3 – Bescherming van informatie-eigenschappen en persoonsgegevens

Wij streven naar een passend beschermingsniveau voor informatie in al haar vormen.

Daarbij richten wij ons op het beschermen van:

vertrouwelijkheid, integriteit en beschikbaarheid van informatie en systemen,
evenals authenticiteit en onweerlegbaarheid waar relevant,
en de rechtmatige, zorgvuldige en doelgebonden verwerking van persoonsgegevens.

Deze eigenschappen vormen gezamenlijk het uitgangspunt voor risicobeoordeling en richtinggevende keuzes inzake informatie- en cyberbeveiliging.

Compliance- en normatieve onderbouwing1011

ISO 27001: Information security objectives

Principe 4 – Gelaagde en samenhangende beveiliging

Wij hanteren een gelaagde en samenhangende benadering van informatie- en cyberbeveiliging.

Beveiliging wordt gerealiseerd door een samenhangend geheel van organisatorische, technische en procedurele maatregelen, waarin preventie, detectie, respons en herstel elkaar versterken. Hierdoor verhogen wij de weerbaarheid van de organisatie en vermijden wij afhankelijkheid van individuele maatregelen.

Compliance- en normatieve onderbouwing1011

ISO 27001: Risk treatment and control selection
ISO 27002: Defence-in-depth principle

Principe 5 – Integratie in organisatie en businessprocessen

Wij beschouwen informatie- en cyberbeveiliging als een integraal onderdeel van de organisatie en haar werking.

Beveiliging wordt ingebed in processen, besluitvorming en dagelijkse activiteiten, en functioneert niet als een losstaand of parallel systeem. Zij ondersteunt de organisatiedoelstellingen en wordt afgestemd op bestaande governance-, risico- en compliance-structuren.

Compliance- en normatieve onderbouwing1011

ISO27001: Integration into organizational processes

Principe 6 – Samenhang met andere managementsystemen

Wij borgen expliciete samenhang tussen informatie- en cyberbeveiliging en andere managementsystemen, waaronder fysieke beveiliging, bedrijfscontinuïteit, privacy en risicomanagement.

Afhankelijkheden en raakvlakken worden bewust beheerd om consistente keuzes en geïntegreerde risicobeheersing over de organisatie heen te waarborgen.

Compliance- en normatieve onderbouwing1011

ISO 27001: Context of the organization

Principe 7 – Naleving van wetgeving, normen en verplichtingen

Wij voldoen aantoonbaar aan toepasselijke wet- en regelgeving en andere bindende verplichtingen met betrekking tot informatie- en cyberbeveiliging.

Dit omvat onder meer wettelijke verplichtingen inzake cyberbeveiliging, zoals voortvloeiend uit NIS2, evenals contractuele en sectorale vereisten. Naleving is geen bijkomstigheid, maar een fundamenteel uitgangspunt bij de inrichting en aansturing van het ISMS.

Compliance- en normatieve onderbouwing1011

ISO 27001: Compliance obligations

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Wij achten duidelijke rollen, verantwoordelijkheden en verantwoordelijkheidszin essentieel voor effectieve informatie- en cyberbeveiliging.

Iedereen binnen de organisatie heeft hierin een rol, afgestemd op zijn of haar verantwoordelijkheid. Wij bevorderen bewustzijn, betrokkenheid en competentie, zodat beveiliging gedragen wordt op alle niveaus van de organisatie.

Compliance- en normatieve onderbouwing1011

ISO 27001: Roles, responsibiliteies and authorities
ISO 27001: Awareness and competence

Principe 9 – Duurzame en verantwoorde besluitvorming

Wij nemen beslissingen over informatie- en cyberbeveiliging op een duurzame en verantwoorde manier, met respect voor mens, maatschappij en planetaire grenzen.

Bij keuzes rond technologie, beveiligingsmaatregelen en risicoacceptatie houden wij rekening met de langetermijnimpact en vermijden wij korte-termijnoplossingen die sociale of ecologische schade veroorzaken.

Compliance- en normatieve onderbouwing1011

ISO 27001: Leadership and commitment

Principe 10 – Continue verbetering

Wij beschouwen informatie- en cyberbeveiliging als een continu verbeterproces.

Het ISMS wordt periodiek opgevolgd en geëvalueerd, leert uit incidenten, wijzigingen en nieuwe dreigingen, en evolueert mee met veranderingen in de organisatie en haar context. Zo borgen wij de blijvende doeltreffendheid en relevantie van informatie- en cyberbeveiliging.

Compliance- en normatieve onderbouwing1011

ISO 27001: Continual improvement

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van informatie- en cyberbeveiliging binnen de organisatie.

Zij geven richting aan besluitvorming, prioritering en risicobehandeling, en zorgen voor samenhang, consistentie en duidelijkheid in hoe informatie en digitale diensten worden beschermd en beheerd.

De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen het Information Security Management System en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven..

”
},
{
“id”: “20643918”,
“title”: “Information Security Framework”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 11335,
“body”: “

Kader voor informatiebeveiliging

Definitie

Het Information Security Framework is het organiserend en structurerend kader binnen het Information Security Management System (ISMS).

Het framework beschrijft hoe informatiebeveiliging wordt ingericht, bestuurd en geborgd binnen de organisatie, door:

principes te vertalen naar beleid
verantwoordelijkheden en afspraken vast te leggen
samenhang te brengen tussen documentatie en uitvoering

Het Information Security Framework zorgt ervoor dat informatiebeveiliging consistent, beheersbaar en aantoonbaar wordt toegepast.

Waarom een Information Security Framework?

Zonder framework ontstaat informatiebeveiliging vaak als:

losse policies
versnipperde procedures
ad-hocmaatregelen
individuele interpretaties

Dit leidt tot:

inconsistentie
onduidelijke verantwoordelijkheden
beperkte aantoonbaarheid
verhoogd risico

Een Information Security Framework is nodig om:

informatiebeveiliging structureel te organiseren
beleidskeuzes consistent toe te passen
samenhang te brengen tussen documenten
duidelijkheid te creëren over rollen en verantwoordelijkheden
informatiebeveiliging bestuurbaar te maken binnen GRC

Het framework vormt de brug tussen principes en uitvoering.

Hoe is het Information Security Framework opgebouwd?

Het Information Security Framework maakt integraal deel uit van het ISMS en wordt ingevuld vanuit de Governance, Risk & Compliance-bril.

Vanuit Governance

vastleggen van rollen en verantwoordelijkheden
beleidsmatige besluitvorming
managementbetrokkenheid en toezicht

Vanuit Risk

verankering van risicogebaseerde beveiligingskeuzes
consistente omgang met informatiebeveiligingsrisico’s
afstemming met het enterprise risicokader

Vanuit Compliance

borging van wet- en regelgeving
aansluiting op normen (zoals ISO/IEC 27001)
aantoonbaarheid via documentatie en registers

Het framework zorgt ervoor dat informatiebeveiliging:

niet losstaat van governance
niet louter technisch wordt ingevuld
maar geïntegreerd is in de organisatie

wat omvat het Information Security Framework concreet?

Het Information Security Framework omvat alle documentatie en afspraken die nodig zijn om informatiebeveiliging te sturen en te ondersteunen.

Beleidskader

Overkoepelend informatiebeveiligingsbeleid
Ondersteunende thematische informatiebeveiligingspolicies

Uitvoerende documentatie

Procedures
Plannen
Instructies
Richtlijnen

Registers en opvolging

Risicoregister informatiebeveiliging
Incidentenregister
Asset- en dataclassificatieregisters

Governance-elementen

Rollen en verantwoordelijkheden
Rapportering en opvolging
Management review en bijsturing

Alle bovenstaande elementen:

maken deel uit van het framework
zijn onderling afgestemd
ondersteunen samen het informatiebeveiligingsproces

Relatie met ISMS en proces

Het Information Security Framework:

is een kernonderdeel van het ISMS
vertaalt ISMS-principes naar concrete afspraken
ondersteunt de uitvoering van het informatiebeveiligingsproces

Het framework is geen proces op zich, maar:

het kader waarbinnen processen worden uitgevoerd en geborgd

Afsluitende duiding

Het Information Security Framework organiseert informatiebeveiliging.
Het ISMS bestuurt het geheel.
Processen zorgen voor werking en verbetering.

”
},
{
“id”: “28114957”,
“title”: “ISMS Policy Structure”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / ISMS Policy Structure”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 41100,
“body”: “

Structuur van Beleidsdocumenten

none

Status	Betekenis
Planned	Beleidsdocument is voorzien binnen het ISMS, maar inhoud is nog niet uitgewerkt.
Drafting	Beleidsdocument wordt actief opgesteld en kan nog inhoudelijk wijzigen.
Internal Review	Interne kwaliteitsreview door Bright Phoenix; nog niet gedeeld met klanten.
Customer Review	Inhoudelijk goedgekeurde versie, gedeeld met klanten voor feedback en afstemming op hun context.
Published	Definitieve en stabiele versie, geschikt voor overname en toepassing in klantomgevingen.

Beleidsdocumenten evolueren volgens een gecontroleerde lifecycle. Enkel documenten met status Published worden beschouwd als stabiele referentie voor implementatie.

GOVERN

Beleid	Policy	Status
Beleid voor organisatiebreed risicobeheer (adoptie ERMS)	Enterprise Risk Management Policy	Customer review
Beleid voor risicobeheer van informatiebeveiliging	Information Security Risk Management Policy	Customer review
Beleid informatiebeveiliging	Information Security Policy	Customer review
Beleid Cybersecurity	Cybersecurity Policy	Customer review
Beleid Data Privacy (adoptie PMS)	Data Privacy Policy	Planned
Beleid Third Party & Supply Management (adoptie TPSCMS)	Third Party & Supply Chain Management Policy	Customer review
Beleid Third Party & Supply Chain Security	Third Party & Supply Chain Security Policy	Internal Review
Beleid Compliance & Audit (adoptie CMS)	Compliance & Audit Policy	Planned

IDENTIFY

Beleid	Policy	Status
Beleid Assetmanagement	Asset Management Policy	in herziening, komt einde dag 3/2
Beleid IT Assetmanagement	IT Asset Management Policy	in herziening, komt einde dag 3/2
Beleid OT Assetmanagement	OT Asset Management Policy	in herziening, komt einde dag 3/2
Beleid MD Assetmanagement	MD Asset Management Policy	in herziening, komt einde dag 3/2
Beleid Assetclassificatie	Asset Classification Policy	Published
Beleid Uniforme Risicobeoordeling	Uniform Risk Rating Policy (URR)	Published

PROTECT

Authentication & Access Control (AA)

Beleid	Policy	Status
Beleid Authenticatie & Toegangscontrole	Authentication & Access Control Policy	Customer review
Beleid Toegang op Afstand	Remote Access Policy	Customer review
Beleid Fysieke Beveiliging	Physical Security Policy	Planned

Awareness & Training (AT)

Beleid	Policy	Status
Beleid Personeelsbeveiliging	Personnel Security Policy	Planned
Beleid Awareness & Training	Awareness & Training Policy	Customer review
Beleid Aanvaardbaar Gebruik van IT-middelen	Acceptable Use Policy (AUP)	Planned
Beleid Bring Your Own Device	Bring Your Own Device Policy (BYOD)	Planned
Beleid Screening	Screening Policy	Customer review

Data Security (DS)

Beleid	Policy	Status
Beleid Informatie- en Gegevensbescherming	Information & Data Protection Policy	Planned
Beleid Gegevensbewaring & – Vernietiging	Data Retention & Disposal Policy	Planned
Beleid Cryptograhie	Cryptography Policy	Planned

Platform Security

Beleid	Policy	Status
Beleid Veilige Configuratie	Secure Configuration Policy	Planned
Beleid Veilige Softwareontwikkeling (SDLC)	SDLC Policy	Planned
Beleid Patch- en Vulnerability Management	Vulnerability & Patch Management Policy	Planned
Beleid Malwarebescherming	Malware Protection Policy	Planned
Beleid Netwerkbeveiliging	Network Security Policy	Planned
Beleid Communicatiebeveiliging	Communications Security Policy	Planned
Beleid Cloudbeveiliging	Cloud Security Policy	Planned
Beleid Beveiliging van Mobiele Apparaten	Mobile Device Security Policy	Planned
Beleid Beveiliging van Artificiële Intelligentie (AI) Systemen	AI Security Policy	Planned

Infrastructure Resilience (IR)

Beleid	Policy	Status
	Infrastructure Security Policy	Planned

DETECT

Beleid	Policy	Status
Beleid Logging & Monitoring	Logging & Monitoring Policy	Internal review
Beleid Detectie & Analyse van Security Events	Security Event Detection & Analysis Policy	Planned
Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden	Responsible Disclosure Policy	Planned

RESPOND

Beleid	Policy	Status
Beleid Incidentmanagement	Incident Management Policy	Planned
Beleid Information Security Incident Management	Information Security Incident Management Policy	Customer review

RECOVER

Beleid	Policy	Status
Beleid Business Continuity Management Policy	Business Continuity Management Policy	Internal review
Beleid Back-up & Herstel	Back-up & Recovery Policy	Planned
Beleid Disaster Recovery	Disaster Recovery Policy	Planned
Beleid Herstel en Verbetering na Incidenten	Post-Incident Recovery & Improvement Policy	Planned

”
},
{
“id”: “31719498”,
“title”: “GOVERN”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 8100,
“body”: “

De GOVERN-functie beschrijft hoe informatiebeveiliging bestuurlijk wordt verankerd, aangestuurd en opgevolgd binnen de organisatie, in lijn met de organisatorische context, risico’s en verantwoordelijkheden.

Deze functie vormt het besturingsniveau van informatiebeveiliging en bepaalt wat de organisatie wil bereiken, waarom, en wie waarvoor verantwoordelijk is.

Binnen GOVERN worden de volgende kernelementen behandeld:

Organisatorische context (OC)

De organisatie bepaalt:

haar missie, doelstellingen en context
relevante interne en externe factoren
verwachtingen van stakeholders

Deze context vormt het vertrekpunt voor alle keuzes rond informatiebeveiliging en risicobeheer.

Risk Management (RM)

Binnen GOVERN wordt vastgelegd:

hoe risico’s rond informatiebeveiliging worden geïdentificeerd
hoe risico’s worden beoordeeld en geprioriteerd
welke risicobereidheid (risk appetite) wordt gehanteerd

Risk management zorgt ervoor dat beveiligingsmaatregelen proportioneel, onderbouwd en verdedigbaar zijn.

Rollen & verantwoordelijkheden (RR)

GOVERN bepaalt:

wie verantwoordelijk is voor informatiebeveiliging
welke rollen betrokken zijn (management, business, IT, security)
hoe verantwoordelijkheden en mandaten zijn verdeeld

Duidelijke rollen en verantwoordelijkheden zijn essentieel om informatiebeveiliging effectief en aanspreekbaar te organiseren.

Overkoepelend beleid (PO)

Binnen GOVERN wordt het overkoepelend informatiebeveiligingsbeleid vastgesteld en opgevolgd.

Dit omvat:

beleidsprincipes en uitgangspunten
samenhang tussen verschillende beleidsdomeinen
toezicht op naleving en effectiviteit

Het beleid fungeert als normerend kader voor alle onderliggende maatregelen en domeinen.

Toezicht en sturing (Oversight)

GOVERN omvat ook:

opvolging van de werking van het ISMS
rapportering aan management
beoordeling van prestaties en maturiteit
bijsturing waar nodig

Oversight zorgt ervoor dat informatiebeveiliging geen statisch geheel is, maar actief wordt opgevolgd en verbeterd.

Supply Chain Management binnen GOVERN

Leveranciers en derde partijen spelen een cruciale rol in de werking en beveiliging van de organisatie.
Zij verwerken informatie, leveren kritieke diensten en vormen een belangrijk onderdeel van de digitale keten.

Daarom wordt Supply Chain Management binnen de GOVERN-functie volledig uitgewerkt vanuit het perspectief van informatiebeveiliging.

Deze uitwerking richt zich op:

governance en toezicht op leveranciersrelaties
informatiebeveiligingsrisico’s in de keten
beleidskeuzes en verantwoordelijkheden
integratie met information security risk management

Tegelijk is supply chain risico breder dan informatiebeveiliging alleen.
Leveranciers brengen ook operationele, financiële, juridische en continuïteitsrisico’s met zich mee.

Om die reden maakt deze GOVERN-uitwerking expliciet de brug naar een organisatiebreed Supply Chain Management System, waarin supply chain risico’s integraal en over alle risicodomeinen heen worden beheerd.

Binnen GOVERN focussen we op informatiebeveiliging in de supply chain.
Binnen het organisatiebrede Supply Chain Management System worden alle supply chain risico’s samen beheerd.

2true0”
},
{
“id”: “57835521”,
“title”: “Organisational context (CyFun 2025 OC)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “77201422”,
“title”: “Value Stream Map”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / Value Stream Map”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8062,
“body”: “

Waardestroommap

Context

Digitale weerbaarheid kan slechts doeltreffend worden aangestuurd wanneer zij vertrekt vanuit de organisatorische context.

Digitale risico’s zijn geen geïsoleerde technische risico’s. Hun relevantie wordt bepaald door de mate waarin zij:

de missie van de organisatie raken,
kritieke waardestromen verstoren,
economische of maatschappelijke waarde aantasten.

Bestuurlijke verantwoordelijkheid voor digitale risico’s veronderstelt daarom een gestructureerd inzicht in hoe de organisatie waarde creëert, waarop deze waarde steunt, en welke bredere impact zij genereert.

Om deze samenhang expliciet te maken hanteert de organisatie een Value Stream Map als referentiekader voor haar digitale governance.alue Stream Map als referentiekader.

Een Value Stream Map is een gestructureerde weergave van hoe waarde binnen de organisatie ontstaat, wordt ondersteund en wordt geleverd.

De Value Stream Map omvat drie onderling verbonden dimensies.

1. De kapitaalsvormen waarop waardecreatie steunt

Menselijk kapitaal
Informatie- en kenniskapitaal
Technologisch kapitaal
Financieel kapitaal
Relationeel kapitaal (inclusief keten- en leveranciersrelaties)
Fysiek kapitaal (infrastructuur en materiële middelen)

Deze kapitaalsvormen vormen de structurele afhankelijkheden van elke waardestroom.

2. De strategische kern

Missie
Visie
Waarden

Deze bepalen welke waarde de organisatie wil realiseren en welke verstoringen als onaanvaardbaar worden beschouwd.

3. De gerealiseerde waarde

Operationele output
Economische of publieke waarde
Maatschappelijke bijdrage, gekoppeld aan relevante Sustainable Development Goals (SDG’s)

De expliciete koppeling tussen waarde en SDG’s positioneert waardecreatie niet uitsluitend in economische termen, maar ook in haar maatschappelijke betekenis en verantwoordelijkheid.

De Value Stream Map fungeert als contextuele structuur voor risicobeheer en digitale beveiliging.

Hoe wordt de Value Stream Map toegepast?

4.1 Identificatie van kritieke waardestromen

De organisatie identificeert:

welke activiteiten essentieel zijn voor de realisatie van de missie;
welke output zij genereren;
welke stakeholders afhankelijk zijn van deze output;
aan welke SDG’s deze waardecreatie bijdraagt, waar relevant.

Dit bepaalt de strategische en maatschappelijke kritikaliteit van de waardestroom.

4.2 Analyse van kapitaalsafhankelijkheden

Voor elke kritieke waardestroom wordt geanalyseerd in welke mate zij afhankelijk is van:

menselijk kapitaal;
informatie- en kenniskapitaal;
technologisch kapitaal;
relationeel kapitaal;
fysiek kapitaal;
financieel kapitaal.

Digitale risico’s worden beoordeeld in functie van deze afhankelijkheden.

4.3 Integratie in risicobeheer

De inzichten uit de Value Stream Map vormen de basis voor:

impactanalyse;
risicobeoordeling;
bepaling van beschermingsniveaus;
selectie en onderbouwing van beheersmaatregelen.

Beschermingsmaatregelen worden afgestemd op de impact op missie, continuïteit en maatschappelijke waarde.

Resultaat en governance-impact

Door het hanteren van een Value Stream Map bereikt de organisatie:

een gedeeld en bestuurlijk gedragen begrip van wat beschermd moet worden;
een expliciete koppeling tussen missie, digitale weerbaarheid en maatschappelijke verantwoordelijkheid;
proportionele en risicogebaseerde beveiligingsmaatregelen;
een consistente context voor verdere risico- en compliance-documentatie;
integratie van digitale risico’s binnen een breder governance-, risk- en compliancekader.

De Value Stream Map vormt daarmee een structurele basis voor de bestuurlijke aansturing van digitale weerbaarheid en duurzame waardecreatie.

”
},
{
“id”: “57933825”,
“title”: “ISMS objectives”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / ISMS objectives”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8314,
“body”: “

GV.OC-01 – De missie van de organisatie is begrepen en stuurt de cybersecuritydoelstellingen

Doel van dit bewijs760

Dit bewijs toont aan dat de missie van de organisatie expliciet wordt begrepen, vertaald en toegepast in concrete cybersecuritydoelstellingen binnen het ISMS, conform CyFun 2025 en NIS2. Voor ziekenhuisorganisaties betekent dit dat cybersecurity geen louter technische aangelegenheid is, maar een enabler voor veilige, continue en kwalitatieve zorg.

Adoptie-instructie760

Dit document is opgesteld als standaard ISMS-document.
Na adoptie vervangt de organisatie de term “de organisatie” door “[Ziekenhuis X]” en valideert de inhoud formeel via het bevoegde management.

ISMS-doelstellingen

Doel van dit document

Dit document beschrijft de ISMS-doelstellingen van de organisatie en legt vast hoe deze doelstellingen rechtstreeks voortvloeien uit de missie en strategische doelstellingen van de organisatie.

De ISMS-doelstellingen geven richting aan beslissingen, prioriteiten en maatregelen op het vlak van cybersecurity en informatiebeveiliging. Ze zorgen ervoor dat cybersecurity structureel bijdraagt aan de kernopdracht van de organisatie en geen louter technische of operationele activiteit is.

Voor ziekenhuisorganisaties betekent dit dat cybersecurity wordt benaderd als een noodzakelijke voorwaarde voor veilige, continue en kwalitatieve zorgverlening.

Context: missie van de organisatie

De organisatie heeft als kernopdracht:

het leveren van veilige, kwalitatieve en continue zorg,
het beschermen van patiëntveiligheid en vertrouwelijkheid,
het waarborgen van de continuïteit van zorgprocessen, ook in crisissituaties,
het naleven van wettelijke, ethische en maatschappelijke verplichtingen.

Digitale systemen, data en technologie zijn onlosmakelijk verbonden met deze opdracht. Cybersecurity is daarom een essentieel onderdeel van goed bestuur en risicobeheersing binnen de organisatie.

Vertaling van de missie naar ISMS-doelstellingen

De organisatie vertaalt haar missie en strategische doelstellingen naar concrete ISMS-doelstellingen. Deze doelstellingen sturen:

de identificatie en beoordeling van risico’s,
de prioritering van maatregelen,
de inrichting en werking van het ISMS,
de opvolging door management en bestuur.

De ISMS-doelstellingen worden opgesteld en uitgewerkt door het dagelijks bestuur en vormen een sturend referentiekader voor beslissingen en prioriteiten op het vlak van cybersecurity en informatiebeveiliging.

ISMS-doelstellingen

ISMS-doelstelling 1 – Bescherming van patiëntveiligheid

De organisatie richt haar cybersecurity en informatiebeveiliging zo in dat risico’s die een impact kunnen hebben op de veiligheid van patiënten maximaal worden voorkomen en beheerst.

De focus ligt daarbij op:

de beschikbaarheid en integriteit van zorgkritische systemen,
het voorkomen van verstoringen in klinische processen,
het tijdig detecteren en beheersen van incidenten met mogelijke zorgimpact.

ISMS-doelstelling 2 – Continuïteit van zorg en dienstverlening

De organisatie waarborgt de continuïteit van essentiële zorgprocessen en ondersteunende diensten, ook bij cyberincidenten of andere digitale verstoringen.

Dit omvat:

afstemming tussen cybersecurity, continuïteitsplanning en crisisbeheer,
bescherming van essentiële digitale diensten,
voorbereiding op realistische incident- en crisisscenario’s.

ISMS-doelstelling 3 – Bescherming van vertrouwelijkheid en privacy

De organisatie beschermt de vertrouwelijkheid van patiëntgegevens en andere gevoelige informatie tegen ongeoorloofde toegang, verlies of misbruik.

De organisatie streeft hierbij naar:

gecontroleerde en proportionele toegang tot informatie,
betrouwbare logging en opvolging,
een zorgvuldige omgang met persoonsgegevens in alle processen.

ISMS-doelstelling 4 – Beheersing van wettelijke en organisatorische verplichtingen

De organisatie gebruikt het ISMS als instrument om haar wettelijke, contractuele en organisatorische verplichtingen op een gestructureerde en beheersbare manier na te leven.

Cybersecurity en informatiebeveiliging worden daarbij geïntegreerd in bredere governance- en risicobeheersingsprocessen.

ISMS-doelstelling 5 – Bestuurlijke verankering en verantwoordelijkheden

De organisatie verankert cybersecurity en informatiebeveiliging op bestuurs- en managementniveau.

Dit houdt in:

duidelijke verantwoordelijkheden en rollen,
actieve betrokkenheid van management en bestuur,
structurele aandacht voor kennis, bewustzijn en besluitvorming.

Vaststelling en opvolging

De ISMS-doelstellingen worden opgesteld door het dagelijks bestuur en formeel bekrachtigd door het Bestuur. Ze worden periodiek geëvalueerd en, indien nodig, aangepast bij relevante wijzigingen in de organisatie, haar context of haar risico’s.

De opvolging van de ISMS-doelstellingen gebeurt door het dagelijks bestuur, met rapportering aan het Bestuur via de reguliere governance- en managementstructuren van de organisatie.

”
},
{
“id”: “55083009”,
“title”: “The world around the hospital”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 4039,
“body”: “

External forces shaping care, security and resilience

De wereld rond het ziekenhuis

Externe krachten die zorg, veiligheid en veerkracht vormgeven

Ziekenhuizen functioneren vandaag in een wereld die sneller verandert dan ooit tevoren. Zorgverlening wordt niet alleen bepaald door medische expertise en interne organisatie, maar ook door externe ontwikkelingen die zich buiten de muren van het ziekenhuis afspelen. Geopolitieke spanningen, digitale afhankelijkheden, technologische innovaties, cyberdreiging, complexe regelgeving en mondiale ketens beïnvloeden rechtstreeks hoe zorg wordt georganiseerd, ondersteund en beschermd.

In het kader van governance, informatiebeveiliging en risicobeheer is het daarom essentieel om deze externe context expliciet te begrijpen. Niet als een opsomming van losse trends, maar als samenhangende krachten die het zorglandschap vormgeven en mee bepalen welke keuzes vandaag nodig zijn om zorg morgen mogelijk te blijven maken.

Zorg organiseren begint bij begrijpen in welke wereld het ziekenhuis opereert.

De volgende hoofdstukken beschrijven zeven externe contexten die vandaag een structurele impact hebben op ziekenhuizen. Samen vormen zij het bredere kader waarbinnen beleid, governance en informatiebeveiliging betekenis krijgen:

Zorg in een geopolitieke wereld – over internationale spanningen, strategische afhankelijkheden en hun impact op zorg en digitalisering.
Wanneer zorg een doelwit wordt – over het veranderende dreigingslandschap en de toenemende gerichtheid op de zorgsector.
AI in de zorg – over algoritmen als externe factor die zorgprocessen en besluitvorming beïnvloeden.
Digitale zorg, digitale afhankelijkheid – over cloud, platformen en de verschuiving van controle en verantwoordelijkheid.
De onzichtbare keten – over leveranciers, technologiepartners en ketenafhankelijkheden.
Regels die de zorg mee vormgeven – over de groeiende complexiteit van wet- en regelgeving.
Duurzame zorg ontwerpen – over hoe al deze contexten samenkomen in de nood aan toekomstgerichte, veerkrachtige zorg.

Deze externe context vormt het uitgangspunt voor verdere beleidskeuzes, risicobeoordelingen en governance-structuren. Ze maakt zichtbaar dat informatiebeveiliging en cybersecurity geen geïsoleerde disciplines zijn, maar ingebed moeten worden in een breder begrip van de wereld waarin ziekenhuizen vandaag functioneren.

Wie de context begrijpt, kan bewust sturen.

true”
},
{
“id”: “55410689”,
“title”: “When healthcare becomes a target”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / When healthcare becomes a target”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3532,
“body”: “

The modern cyber threat landscape

Wanneer zorg een doelwit wordt

Het moderne cyberdreigingslandschap

Context en definitie

Ziekenhuizen behoren tot de meest kritieke en kwetsbare organisaties binnen de samenleving. Door hun essentiële rol, hoge mate van digitalisering en afhankelijkheid van continue beschikbaarheid zijn zij een aantrekkelijk doelwit voor cyberaanvallen. Dreigingsactoren variëren van georganiseerde cybercriminelen tot statelijke en statelijk ondersteunde groepen, waarbij aanvallen zich richten op digitale infrastructuur, medische systemen, data en operationele processen.

Wie zorg verstoort, raakt rechtstreeks aan het functioneren van de samenleving.

Waarom ziekenhuizen een aantrekkelijk doelwit zijn

De combinatie van kritieke dienstverlening, tijdsdruk en beperkte fouttolerantie maakt ziekenhuizen bijzonder kwetsbaar voor digitale dreiging. Aanvallers weten dat verstoringen in zorgomgevingen directe impact hebben op patiëntveiligheid en continuïteit, waardoor de bereidheid tot snelle beslissingen groot is. Daarnaast beschikken ziekenhuizen over waardevolle gegevens en complexe IT-omgevingen waarin legacy-systemen, medische technologie en moderne digitale platformen naast elkaar bestaan.

In zorgomgevingen is stilstand geen optie, en dat weten aanvallers.

Hoe dreiging zich manifesteert in de digitale zorgomgeving

Digitale dreiging in ziekenhuizen uit zich op verschillende manieren: ransomware-aanvallen die systemen onbeschikbaar maken, datalekken van gevoelige patiëntinformatie, misbruik van kwetsbaarheden in medische apparatuur en verstoringen van gekoppelde zorgprocessen. De sterke verwevenheid tussen IT, medische systemen en zorgprocessen vergroot de impact van incidenten, waarbij een digitale aanval snel kan uitgroeien tot een operationele of zelfs klinische crisis.

Een digitale aanval stopt niet bij systemen, maar raakt zorgprocessen.

Wat dit betekent voor governance en informatiebeveiliging

Deze realiteit vereist dat ziekenhuizen digitale dreiging benaderen als een strategisch bestuursvraagstuk en niet louter als een technisch probleem. Informatiebeveiliging en cybersecurity moeten worden ingebed in governance, risicobeheer en besluitvorming, met aandacht voor preventie, detectie en respons binnen een complexe zorgcontext. Door dreiging structureel te plaatsen binnen de bredere externe en digitale context, kunnen ziekenhuizen hun weerbaarheid versterken en voorbereid blijven op incidenten die verder reiken dan klassieke IT-risico’s.

Cybersecurity in de zorg is uiteindelijk een kwestie van bestuur en verantwoordelijkheid.

”
},
{
“id”: “54362113”,
“title”: “AI in Healthcare”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / AI in Healthcare”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3346,
“body”: “

AI in de Zorg

Context en definitie

Artificiële intelligentie is in snel tempo een structureel onderdeel geworden van het zorglandschap. Ziekenhuizen maken steeds vaker gebruik van algoritmen en datagedreven systemen ter ondersteuning van diagnostiek, klinische besluitvorming, capaciteitsplanning en administratieve processen. Deze technologieën worden zelden volledig in eigen beheer ontwikkeld, maar zijn ingebed in software, medische systemen en digitale platformen die deel uitmaken van een bredere, vaak internationale, technologische context.

AI verschijnt zelden als aparte toepassing, maar steeds vaker als onzichtbare laag in zorgsystemen.

Waarom AI een externe contextfactor is voor ziekenhuizen

AI wordt in belangrijke mate vormgegeven buiten het ziekenhuis, door technologiebedrijven, softwareleveranciers en internationale markten. Ontwikkelkeuzes, trainingsdata, modelupdates en wettelijke kaders ontstaan grotendeels buiten de directe invloedssfeer van zorgorganisaties. Hierdoor is AI geen louter interne innovatie, maar een externe factor die de manier waarop zorg wordt georganiseerd, ondersteund en aangestuurd fundamenteel beïnvloedt.

Beslissingen die buiten het ziekenhuis worden genomen, kunnen binnen het ziekenhuis richtinggevend worden.

Hoe AI doorwerkt in digitale zorg en besluitvorming

AI-systemen beïnvloeden steeds vaker hoe informatie wordt geanalyseerd, gepresenteerd en geïnterpreteerd binnen zorgprocessen. Ze kunnen klinische beslissingen ondersteunen, processen versnellen en inzichten genereren op schaal, maar brengen ook nieuwe afhankelijkheden en risico’s met zich mee. De combinatie van complexe algoritmen, beperkte transparantie en sterke integratie met digitale zorgsystemen maakt dat fouten, bias of technische verstoringen zich snel en breed kunnen manifesteren.

Wie AI inzet, vertrouwt niet alleen op technologie, maar ook op aannames die daarin vervat zitten.

Wat dit betekent voor governance en informatiebeveiliging

De opkomst van AI vraagt dat ziekenhuizen hun governance en informatiebeveiliging afstemmen op deze nieuwe realiteit. Het vereist inzicht in waar en hoe AI wordt ingezet, welke externe partijen hierbij betrokken zijn en hoe verantwoordelijkheid, toezicht en controle worden georganiseerd. Door AI expliciet te beschouwen als onderdeel van de externe en digitale context, kunnen ziekenhuizen beter anticiperen op risico’s en hun besluitvorming versterken in een steeds complexere zorgomgeving.

AI vraagt geen blind vertrouwen, maar bewust bestuur.

”
},
{
“id”: “55115778”,
“title”: “Healthcare in a geopolitical world”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / Healthcare in a geopolitical world”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3817,
“body”: “

Dependencies, tensions and strategic risk

Zorg in een geopolitieke wereld

Afhankelijkheden, spanningen en strategische risico’s

Context en definitie

Ziekenhuizen maken deel uit van een sterk gedigitaliseerd zorglandschap dat zich uitstrekt over nationale en Europese grenzen. Digitale zorgprocessen, cloudgebaseerde platformen, medische software en verbonden medische technologie zijn steeds vaker afhankelijk van internationale infrastructuren, leveranciers en dienstverleners. Geopolitieke spanningen, handelsbeperkingen en strategische machtsverschuivingen beïnvloeden daardoor niet alleen fysieke toeleveringsketens, maar ook de digitale fundamenten waarop moderne zorgverlening steunt.

Wat zich buiten het ziekenhuis afspeelt, bepaalt steeds vaker wat er binnen mogelijk is.

Waarom geopolitiek onlosmakelijk verbonden is met digitale zorg

De digitalisering van zorg heeft geleid tot een hoge mate van afhankelijkheid van externe technologieën en diensten, waarvan de controle en eigendom zich vaak buiten de eigen organisatie of zelfs buiten Europa bevinden. Geopolitieke ontwikkelingen maken duidelijk dat deze digitale afhankelijkheden niet neutraal zijn: politieke beslissingen, sancties, exportrestricties of conflicten kunnen de beschikbaarheid, betrouwbaarheid en veiligheid van digitale zorgoplossingen rechtstreeks beïnvloeden. Voor ziekenhuizen betekent dit dat geopolitiek niet alleen een strategisch of economisch vraagstuk is, maar ook een digitaal en cyberveiligheidsvraagstuk.

Digitale afhankelijkheid is geen technisch detail, maar een strategische realiteit.

Hoe geopolitieke spanningen doorwerken in digitale zorg en cybersecurity

Geopolitieke spanningen vertalen zich in verhoogde cyberdreiging, veranderende dreigingsactoren en een grotere kans op verstoringen van digitale diensten. Statelijke en statelijk ondersteunde actoren richten zich steeds vaker op kritieke sectoren zoals de gezondheidszorg, waarbij digitale infrastructuur, cloudomgevingen en medische systemen expliciete doelwitten vormen. Tegelijk vergroten complexe internationale afhankelijkheden het risico op kwetsbaarheden in software, platformen en toeleveringsketens die buiten de directe controle van het ziekenhuis liggen.

Cyberdreiging volgt steeds vaker geopolitieke lijnen.

Wat dit betekent voor governance en informatiebeveiliging

Deze realiteit vraagt dat ziekenhuizen hun informatiebeveiliging en cybersecurity niet los benaderen van de bredere geopolitieke en digitale context. Governance en ISMS-context moeten expliciet aandacht besteden aan digitale afhankelijkheden, internationale leveranciersrelaties en veranderende dreigingslandschappen. Door geopolitieke en digitale factoren structureel te integreren in risicobeheer en beleidsvorming, wordt informatiebeveiliging een strategisch instrument dat bijdraagt aan de weerbaarheid en continuïteit van zorg in een onvoorspelbare wereld.

Goede governance begint bij begrijpen in welke wereld het ziekenhuis opereert.

”
},
{
“id”: “55345153”,
“title”: “Digital care, digital dependency”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / Digital care, digital dependency”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3423,
“body”: “

Cloud, platforms and shared responsibility

Digitale zorg, digitale afhankelijkheid

Cloud, platformen en gedeelde verantwoordelijkheid

Context en definitie

De zorgsector is in hoog tempo gedigitaliseerd. Elektronische patiëntendossiers, cloudgebaseerde zorgplatformen, gekoppelde medische systemen en digitale samenwerkingsomgevingen vormen vandaag het fundament van ziekenhuiswerking. Zorgprocessen zijn daardoor niet alleen afhankelijk geworden van interne IT-omgevingen, maar ook van externe digitale diensten, netwerken en platformen die zich buiten de organisatorische en geografische grenzen van het ziekenhuis bevinden.

Digitale zorg reikt verder dan de muren van het ziekenhuis.

Waarom digitalisering leidt tot nieuwe afhankelijkheden

De voordelen van digitale zorg gaan gepaard met een groeiende afhankelijkheid van externe technologieën en dienstverleners. Cloudproviders, softwareleveranciers en platformen nemen een centrale rol in bij de opslag, verwerking en beschikbaarheid van zorginformatie. Deze afhankelijkheden zijn vaak complex, moeilijk te doorgronden en slechts beperkt beïnvloedbaar door het ziekenhuis zelf. Hierdoor verschuift digitale zorg van een intern beheersbaar vraagstuk naar een strategische afhankelijkheid van externe ecosystemen.

Waar zorg digitaliseert, verschuift controle.

Hoe digitale afhankelijkheid doorwerkt in zorgprocessen en beveiliging

Digitale afhankelijkheden beïnvloeden rechtstreeks de betrouwbaarheid, beschikbaarheid en veiligheid van zorgprocessen. Storingen bij externe platformen, uitval van cloudinfrastructuur of kwetsbaarheden in gedeelde softwarecomponenten kunnen onmiddellijke impact hebben op klinische en operationele activiteiten. De sterke verwevenheid van systemen maakt dat een probleem buiten het ziekenhuis zich snel vertaalt naar verstoringen binnen de zorgverlening.

Een externe digitale verstoring wordt snel een interne zorgcrisis.

Wat dit betekent voor governance en informatiebeveiliging

Deze realiteit vraagt dat ziekenhuizen digitale zorg niet los zien van governance en risicobeheer. Informatiebeveiliging en cybersecurity moeten rekening houden met externe digitale afhankelijkheden, gedeelde verantwoordelijkheden en beperkte directe controle. Door digitale afhankelijkheid expliciet op te nemen in de ISMS-context en governance-structuren, kunnen ziekenhuizen beter anticiperen op risico’s en hun digitale weerbaarheid versterken binnen een steeds complexer zorglandschap.

Digitale afhankelijkheid vraagt om bewust bestuur.

”
},
{
“id”: “55640065”,
“title”: “The invisible chain”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / The invisible chain”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3346,
“body”: “

Vendors, technology partners and supply chain risk

De onzichtbare keten

Leveranciers, technologiepartners en supply chain-risico’s

Context en definitie

Ziekenhuizen zijn ingebed in een uitgebreid netwerk van leveranciers, technologiepartners en dienstverleners die samen de zorg mogelijk maken. Van medische apparatuur en geneesmiddelen tot software, cloud-diensten en onderhoudscontracten: een groot deel van de ziekenhuiswerking steunt op externe partijen. Deze keten is vaak grotendeels onzichtbaar in het dagelijks zorgproces, maar vormt een cruciale randvoorwaarde voor continuïteit en kwaliteit van zorg.

Wat onzichtbaar is in de zorgketen, is niet noodzakelijk onbelangrijk.

Waarom afhankelijkheid van de keten een strategisch risico vormt

De afhankelijkheid van externe partijen brengt risico’s met zich mee die verder reiken dan klassieke contractuele of operationele kwesties. Leveranciersconcentratie, beperkte alternatieven, internationale toeleveringsketens en asymmetrische machtsverhoudingen maken ziekenhuizen kwetsbaar voor verstoringen buiten hun directe controle. Wanneer één schakel faalt, kan dit gevolgen hebben voor meerdere zorgprocessen tegelijk.

De sterkte van zorg wordt bepaald door de zwakste schakel in de keten.

Hoe ketenrisico’s doorwerken in digitale en klinische zorg

Risico’s in de toeleveringsketen manifesteren zich niet alleen fysiek, maar steeds vaker ook digitaal. Kwetsbaarheden in softwarecomponenten, afhankelijkheid van externe cloudplatformen en onderhoud op afstand van medische technologie vergroten het aanvalsoppervlak en de impact van incidenten. De verwevenheid van leveranciers met kritieke zorgsystemen maakt dat problemen in de keten zich snel vertalen naar verstoringen in klinische en ondersteunende processen.

Een incident bij een leverancier stopt zelden aan de contractgrens.

Wat dit betekent voor governance en informatiebeveiliging

Deze context vereist dat ziekenhuizen hun leveranciersrelaties en toeleveringsketens expliciet meenemen in governance en risicobeheer. Informatiebeveiliging, continuïteit en compliance kunnen niet los worden gezien van de externe partijen waarop het ziekenhuis steunt. Door ketenrisico’s structureel te integreren in ISMS-context en beleid, kunnen ziekenhuizen hun weerbaarheid versterken in een zorglandschap dat steeds afhankelijker wordt van externe ecosystemen.

Zorgbestuur reikt verder dan de eigen organisatie.

”
},
{
“id”: “54886402”,
“title”: “Rules that shape healthcare”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / Rules that shape healthcare”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3432,
“body”: “

Regulation, oversight and societal expectations

Regels die de zorg mee vormgeven

Wetgeving, toezicht en maatschappelijke verwachtingen

Context en definitie

De zorgsector opereert binnen een steeds dichter wordend web van wet- en regelgeving. Ziekenhuizen worden geconfronteerd met Europese en nationale kaders die betrekking hebben op patiëntveiligheid, gegevensbescherming, medische technologie, digitale weerbaarheid en organisatorische governance. Deze regelgeving ontstaat vaak in verschillende beleidsdomeinen en ontwikkelt zich in parallelle trajecten, wat leidt tot een complexe en dynamische compliance-omgeving.

Zorg wordt niet alleen geleverd binnen medische kaders, maar ook binnen juridische.

Waarom regelgeving een structurele contextfactor is geworden

De toename en verbreding van regelgeving weerspiegelt maatschappelijke verwachtingen rond veiligheid, transparantie en verantwoordelijkheid in de zorg. Tegelijk zorgt de opeenstapeling van verplichtingen ervoor dat compliance geen afgebakend project meer is, maar een permanente realiteit. Voor ziekenhuizen betekent dit dat wet- en regelgeving niet langer uitsluitend randvoorwaarden zijn, maar actieve sturende factoren in beleid, technologiekeuzes en organisatie-inrichting.

Regelgeving stuurt gedrag, ook wanneer zij dat niet expliciet beoogt.

Hoe complexe regelgeving doorwerkt in digitale zorg en governance

Regelgevingskaders zoals gegevensbescherming, cybersecurity, medische hulpmiddelen en opkomende digitale regelgeving grijpen steeds vaker in elkaar. Digitale zorgoplossingen en technologieën moeten gelijktijdig voldoen aan meerdere wettelijke regimes, elk met eigen definities, verantwoordelijkheden en toezichtmechanismen. Deze verwevenheid vergroot de complexiteit voor ziekenhuizen en vraagt om samenhang in interpretatie, implementatie en toezicht.

Complexiteit ontstaat niet door één regel, maar door hun samenloop.

Wat dit betekent voor governance en informatiebeveiliging

Deze realiteit vereist dat ziekenhuizen regelgeving benaderen vanuit samenhang en governance, in plaats van geïsoleerde compliance-inspanningen. Informatiebeveiliging, risicobeheer en beleidsvorming moeten rekening houden met overlappende verplichtingen en veranderende toezichtverwachtingen. Door regelgeving expliciet te positioneren als onderdeel van de externe context, kunnen ziekenhuizen beter sturen op consistentie, prioriteiten en duurzame naleving binnen een steeds complexer zorglandschap.

Goede compliance begint bij overzicht en samenhang.

”
},
{
“id”: “54558725”,
“title”: “Designing sustainable healthcare”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / The world around the hospital / Designing sustainable healthcare”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4371,
“body”: “

Resilience, responsibility and long-term value in a digital care ecosystem

Duurzame zorg ontwerpen

Veerkracht, verantwoordelijkheid en langetermijnwaarde in een digitaal zorgecosysteem

Context en definitie

Zorg organiseren is altijd een keuze geweest, maar vandaag is het ook een verantwoordelijkheid tegenover de toekomst. Ziekenhuizen opereren binnen grenzen die verder reiken dan budgetten en capaciteit: ecologische draagkracht, maatschappelijke verwachtingen en langdurige beschikbaarheid van zorg komen steeds nadrukkelijker samen. Duurzame zorg gaat daarbij niet over één afzonderlijk thema, maar over de manier waarop zorgsystemen als geheel worden ontworpen, bestuurd en beschermd.

Zorg die vandaag werkt, maar morgen niet meer houdbaar is, is geen duurzame zorg.

Waarom duurzaamheid een bestuurlijke opdracht is

De uitdagingen waarmee ziekenhuizen geconfronteerd worden — digitalisering, geopolitieke spanningen, cyberdreiging, complexe regelgeving en ketenafhankelijkheden — tonen aan dat zorg niet langer kan worden georganiseerd vanuit kortetermijnoplossingen. Duurzaamheid betekent in deze context het bewust maken van keuzes die zorg toegankelijk, veilig en betrouwbaar houden, ook wanneer omstandigheden veranderen. Het vraagt van bestuur en management om verder te kijken dan onmiddellijke efficiëntie, en te sturen op langetermijnwaarde voor patiënten, zorgverleners en samenleving.

Duurzaamheid begint waar bestuur verantwoordelijkheid durft te nemen voor de lange termijn.

Hoe duurzaamheid richting geeft aan digitale en veilige zorg

Digitale zorg, informatiebeveiliging en governance zijn geen losstaande disciplines, maar hefbomen om zorg duurzaam te organiseren. Technologie die transparant, veilig en beheersbaar wordt ingezet, versterkt vertrouwen en continuïteit. Risicogestuurd werken, aandacht voor externe context en bewuste omgang met afhankelijkheden maken het mogelijk om schokken op te vangen zonder de kern van zorgverlening te verliezen. Zo wordt duurzaamheid geen abstract ideaal, maar een leidend principe in ontwerp en besluitvorming.

Duurzame zorg ontstaat waar technologie de zorg ondersteunt, en niet dicteert.

Wat dit betekent voor visie, governance en handelen

Duurzame zorg vraagt om samenhang: tussen beleid en praktijk, tussen digitale innovatie en menselijke waarden, tussen veiligheid en toegankelijkheid. Het betekent dat ziekenhuizen hun keuzes expliciet plaatsen binnen een breder maatschappelijk en toekomstgericht kader. Door duurzaamheid te verankeren in governance, risicobeheer en informatiebeveiliging, wordt zorg niet alleen beschermd tegen bedreigingen van vandaag, maar ook voorbereid op de vragen van morgen.

Duurzame zorg is geen eindpunt, maar een voortdurende ontwerpkeuze.

Waarom dit het kompas is

Dit perspectief verbindt alle externe contexten die ziekenhuizen vandaag raken. Geopolitiek, digitale afhankelijkheid, dreiging, regelgeving, ketens en technologie komen samen in één fundamentele vraag: hoe organiseren we zorg die standhoudt?
Dit hoofdstuk is geen afsluiting, maar een kompas — een richtinggevend uitgangspunt voor alles wat volgt.

Wie zorg duurzaam ontwerpt, kiest bewust voor veerkracht, verantwoordelijkheid en vertrouwen.

”
},
{
“id”: “76251150”,
“title”: “PESTEL Assessment Healthcare Sector”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Organisational context (CyFun 2025 OC) / PESTEL Assessment Healthcare Sector”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “58228749”,
“title”: “Roles & Responsibilities (CyFun 2025 RR)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “58032160”,
“title”: “CISO role & responsibilities”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR) / CISO role & responsibilities”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 17150,
“body”: “

GV.RR-01 – Het leiderschap van de organisatie is verantwoordelijk en eindverantwoordelijk voor informatiebeveiligingsrisico’s en bevordert een cultuur die risicobewust, ethisch en gericht op continue verbetering is.

GV.RR-02 – Rollen, verantwoordelijkheden en bevoegdheden met betrekking tot het beheer van informatiebeveiligingsrisico’s zijn vastgesteld, gecommuniceerd, begrepen en afdwingbaar binnen de organisatie.

Doel van dit document760

Dit document maakt zichtbaar hoe het leiderschap van de organisatie verantwoordelijkheid en eindverantwoordelijkheid opneemt voor informatiebeveiligingsrisico’s (inclusief cybersecurity), en hoe deze verantwoordelijkheid concreet wordt ondersteund door een duidelijk gedefinieerde CISO-rol.

Het document verduidelijkt de rolverdeling tussen het dagelijks bestuur, het bestuursorgaan en de CISO, en toont hoe informatiebeveiliging wordt gestuurd, bewaakt en opgevolgd als onderdeel van goed bestuur. Hierdoor wordt een risicobewuste, ethische en continu verbeterende cultuur ondersteund binnen de organisatie.

Daarnaast legt het document vast hoe rollen, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiligingsrisicobeheer expliciet zijn vastgesteld, gecommuniceerd en toegepast binnen de werking van het ISMS.

Voor ziekenhuisorganisaties betekent dit dat informatiebeveiliging geen impliciete of gedelegeerde IT-verantwoordelijkheid is, maar een expliciet onderdeel van leiderschap, governance en zorgverantwoordelijkheid.

Adoptie instructie760

Dit document is opgesteld als standaard governance-document binnen het ISMS.

Na adoptie:

bevestigt het dagelijks bestuur formeel de rol, positionering en verantwoordelijkheden van de CISO;
bekrachtigt het bestuursorgaan deze rolverdeling als onderdeel van zijn toezicht op informatiebeveiligingsrisico’s;
wordt de rol van de CISO actief gecommuniceerd binnen de organisatie;
en wordt deze rolafbakening toegepast en gehandhaafd binnen de werking van het ISMS.

Hiermee zijn rollen, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiligingsrisicobeheer expliciet vastgesteld, begrepen en afdwingbaar binnen de organisatie.

De rol en de verantwoordelijkheden van de CISO

none

Doel van dit document

Dit document beschrijft de rol en verantwoordelijkheden van de Chief Information Security Officer (CISO) binnen de organisatie.

Het document verduidelijkt hoe de CISO bijdraagt aan de governance, sturing en beheersing van informatiebeveiliging (inclusief cybersecurity), en hoe deze rol samenwerkt met het dagelijks bestuur en het bestuursorgaan.

Het document fungeert als richtinggevend governance-artefact binnen het ISMS en ondersteunt duidelijke besluitvorming, samenhang en toezicht.

Positionering van de CISO

De CISO is verantwoordelijk voor de inhoudelijke sturing en samenhang van informatiebeveiliging binnen de organisatie.

De CISO:

vertaalt de missie en strategische doelstellingen van de organisatie naar richtinggevende uitgangspunten voor informatiebeveiliging,
ondersteunt het dagelijks bestuur bij besluitvorming over risico’s, prioriteiten en investeringen,
informeert en ondersteunt het bestuursorgaan in zijn toezichtrol,
verbindt beleid, risico’s en uitvoering tot een samenhangend geheel.

De CISO geeft richting en bewaakt samenhang; uitvoering ligt in de lijn en besluitvorming ligt bij het dagelijks bestuur en het bestuursorgaan.

RASCI-matrix – rol van de CISO

Onderstaande RASCI-matrix verduidelijkt de rol van de CISO ten opzichte van andere governance-actoren.

Legenda
R = Responsible (uitvoerend verantwoordelijk: organiseert en zorgt dat het gebeurt)
A = Accountable (eindverantwoordelijk: beslist, keurt goed en draagt eindverantwoordelijkheid)
S = Support (ondersteunend: levert middelen, expertise of capaciteit)
C = Consulted (geconsulteerd: levert input of advies vooraf)
I = Informed (geïnformeerd: wordt op de hoogte gehouden)

Activiteit	CISO	Dagelijks bestuur	Bestuursorgaan
Vertalen van missie naar uitgangspunten voor informatiebeveiliging, incl. cybersecurity	R	A	I
Opstellen en onderhouden van ISMS-doelstellingen	R	A	I
Vaststellen van risicoacceptatie	C	A	I
Identificatie en analyse van informatiebeveiligingsrisico’s	R	A	I
Prioritering van beheersmaatregelen	C	A	I
Opzet, werking en samenhang van het ISMS	R	A	I
Rapportering over status en maturiteit van informatiebeveiliging	R	A	I
Escalatie van materiële risico’s en incidenten	R	A	I
Voorbereiding op incidenten en crisissituaties	R	A	I
Evaluatie en lessons learned na incidenten	R	A	I
Bewustzijn en opleiding inzake informatiebeveiliging	R	A	I

Compliance- en normatieve onderbouwing760

De uitwerking van de rol en verantwoordelijkheden van de CISO, inclusief de RASCI-positionering, is gebaseerd op internationaal erkende standaarden en best practices voor informatiebeveiliging en governance.

Deze referenties hanteren consistent dezelfde principes: duidelijke rolafbakening, scheiding tussen sturing en toezicht, en verankering van informatiebeveiliging op bestuursniveau.

ISO/IEC 27001:2022 vereist dat rollen, verantwoordelijkheden en bevoegdheden voor informatiebeveiliging expliciet worden toegewezen en gecommuniceerd (clause 5.3). Daarnaast veronderstelt de norm dat informatiebeveiligingsdoelstellingen inhoudelijk worden gestuurd en opgevolgd binnen het ISMS (clause 6.2). Deze bepalingen ondersteunen de positionering van de CISO als inhoudelijk sturende rol, in afstemming met management en bestuur.
ISO/IEC 27002:2022 geeft aanvullende richtlijnen voor het definiëren en toewijzen van rollen en verantwoordelijkheden voor informatiebeveiliging (control 5.2), inclusief adviserende en coördinerende rollen zoals die van de CISO.
ISO/IEC 27014 (Governance of information security) beschrijft principes voor bestuurlijke verankering van informatiebeveiliging. De norm benadrukt de rol van het bestuursorgaan in toezicht, de rol van het management in sturing, en de nood aan een onafhankelijke, inhoudelijk adviserende rol voor informatiebeveiliging.
Het NIST Cybersecurity Framework benadrukt het belang van duidelijke verantwoordelijkheden, een centrale rol voor informatiebeveiliging in risicobeheer, en gestructureerde rapportering naar management en bestuur. Dit ondersteunt een CISO-rol die risico’s vertaalt naar bestuurlijke besluitvorming.
COBIT (governance van informatie en technologie) hanteert expliciet het principe van gescheiden verantwoordelijkheden, duidelijke accountability en het gebruik van RASCI-modellen om governance en managementrollen af te bakenen. Informatiebeveiliging wordt daarbij geïntegreerd in bredere enterprise governance.
ENISA Binnen het European Cybersecurity Skills Framework (ECSF) positioneert ENISA de CISO als een strategische rol die verantwoordelijk is voor het vertalen van risico’s en beveiligingsvereisten naar bestuurlijke besluitvorming en organisatiebrede sturing. De focus ligt daarbij op governance, risicobeheer en samenhang, eerder dan op operationele uitvoering.

In de mapping van NIS2-verplichtingen naar ECSF-rolprofielen gebruikt ENISA de CISO als referentierol voor het organiseren, coördineren en adviseren rond cybersecurity- en informatiebeveiligingsverplichtingen. Dit bevestigt het belang van een duidelijk gedefinieerde, inhoudelijk sturende rol binnen het governance-model van de organisatie.

Daarnaast benadrukt ENISA in haar technische implementatierichtlijnen voor NIS2 het belang van duidelijke verantwoordelijkheden, rapportering naar management en bestuur, en structurele verankering van risicobeheer. Deze principes ondersteunen een rolverdeling waarbij de CISO risico’s en maturiteit inzichtelijk maakt en vertaalt naar besluitvorming, zonder zelf de bestuurlijke verantwoordelijkheid over te nemen.

Over deze standaarden en frameworks heen bestaat brede consensus dat informatiebeveiliging bestuurlijk moet worden verankerd, dat de CISO een inhoudelijk sturende en adviserende rol vervult, dat besluitvorming en risicoacceptatie bij het management liggen, en dat toezicht bij het bestuursorgaan wordt uitgeoefend. Deze consensus vormt de basis voor de rolverdeling zoals in dit document vastgelegd.

Toelichting bij de rolverdeling

De CISO is uitvoerend verantwoordelijk (Responsible) voor de inhoudelijke kwaliteit, samenhang en werking van informatiebeveiliging en het ISMS.
Het dagelijks bestuur is eindverantwoordelijk (Accountable) voor keuzes, prioriteiten en risicoacceptatie.
Het bestuursorgaan wordt geïnformeerd (Informed) en oefent toezicht uit op basis van rapportering.

Deze rolverdeling ondersteunt heldere governance, effectieve sturing en transparant toezicht.

”
},
{
“id”: “58163233”,
“title”: “Roles and responsibilities for information- & cybersecurity”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR) / Roles and responsibilities for information- & cybersecurity”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 79592,
“body”: “

Rollen en verantwoordelijkheden voor informatiebeveiliging en cybersecurity

none

Context

Ziekenhuizen zijn in toenemende mate afhankelijk van digitale systemen, gegevens en technologie voor het leveren van veilige, continue en kwalitatieve zorg. Informatiebeveiliging en cybersecurity zijn daardoor onlosmakelijk verbonden met patiëntveiligheid, zorgcontinuïteit en goed bestuur.

Het beheer van informatiebeveiligingsrisico’s raakt vele rollen binnen het ziekenhuis: bestuur, directie, zorgafdelingen, IT, ondersteunende diensten en onafhankelijke controlefuncties. Zonder expliciete rolverdeling ontstaat onduidelijkheid over wie beslist, wie uitvoert, wie adviseert en wie toezicht houdt.

Een heldere en gedeelde rolafbakening is daarom essentieel om informatiebeveiliging effectief te sturen, risico’s beheersbaar te houden en samenwerking mogelijk te maken.

Doel van dit document

Dit document beschrijft welke rollen binnen het ziekenhuis betrokken zijn bij informatiebeveiliging en cybersecurity, en welke verantwoordelijkheden zij opnemen in het beheer van informatiebeveiligingsrisico’s.

Per rol wordt expliciet gemaakt:

waarvoor de rol verantwoordelijk (Responsible) is,
waarvoor de rol eindverantwoordelijk (Accountable) is,
waar de rol ondersteuning (Support) levert,
waar de rol geconsulteerd (Consulted) wordt,
en waar de rol geïnformeerd (Informed) wordt.

Deze beschrijving vormt het gemeenschappelijke referentiekader voor samenwerking, besluitvorming en toezicht rond informatiebeveiliging en cybersecurity binnen het ziekenhuis.

Bestuursorgaan

Onderstaande tabel verduidelijkt de rol van het bestuursorgaan in het toezicht op informatiebeveiliging en cybersecurity als onderdeel van goed bestuur, volgens de RASCI-logica.

	Bestuursorgaan
R	Verantwoordelijk voor:	het uitoefenen van actief, geïnformeerd en aantoonbaar toezicht op informatiebeveiliging en cybersecurity het opvolgen van rapportering over risico’s, incidenten en maturiteit het stellen van kritische en richtinggevende vragen aan het directiecomité
A	Eindverantwoordelijk voor:	het bekrachtigen van ISMS-beleidskaders en strategische documenten inzake informatiebeveiliging en cybersecurity het toezicht op informatiebeveiliging en cybersecurity als onderdeel van de bestuurlijke verantwoordelijkheid het opnemen van de zorgplicht en persoonlijke aansprakelijkheid zoals bedoeld in artikel 20 van de NIS2-richtlijn *
S	Ondersteunt bij:	het versterken van goed bestuur door aandacht voor proportionaliteit, zorgcontinuïteit en risicobewustzijn
C	Wordt geconsulteerd bij:	strategische keuzes en majeure risicoacceptatie belangrijke investeringen of structurele veranderingen met impact op informatiebeveiliging
I	Wordt geïnformeerd over:	het actuele risicoprofiel en de maturiteit van informatiebeveiliging en cybersecurity significante incidenten, crisissituaties en hun opvolging bevindingen uit audits en assurance-activiteiten

* Persoonlijke aansprakelijkheid onder NIS2 (artikel 20)760

De NIS2-richtlijn introduceert expliciet verantwoordelijkheid op bestuurs- en directieniveau. Artikel 20 bepaalt dat het bestuursorgaan en het dagelijks bestuur verantwoordelijk zijn voor het goedkeuren, opvolgen en handhaven van maatregelen inzake informatiebeveiliging en cybersecurity.

In de praktijk wordt dit vaak omschreven als “persoonlijke aansprakelijkheid”. Het is belangrijk dit correct te duiden. Artikel 20 maakt bestuurders en leidinggevenden niet persoonlijk aansprakelijk voor het optreden van cyberincidenten op zich. Incidenten kunnen zich ook voordoen in goed bestuurde organisaties. Waar artikel 20 wél op stuurt, is de verantwoordelijkheid om aantoonbaar te besturen.

Besturen betekent in deze context onder meer:
– passende maatregelen laten vaststellen en goedkeuren,
– toezicht houden op de uitvoering en effectiviteit ervan,
– geïnformeerd zijn over risico’s en incidenten,
– en bijsturen waar nodig.

Persoonlijke aansprakelijkheid ontstaat niet door het bestaan van risico’s of incidenten, maar door het ontbreken van aantoonbare governance, toezicht of redelijke besluitvorming. Met andere woorden: wanneer bestuur of management hun rol niet opnemen of geen zorgvuldige afwegingen kunnen aantonen.

Door rollen, verantwoordelijkheden en besluitvorming expliciet te organiseren en te documenteren, nemen bestuur en dagelijks bestuur hun verantwoordelijkheid op zoals bedoeld in artikel 20. Dit vormt geen extra risico, maar net een bescherming: het maakt zichtbaar dat bestuurders en leidinggevenden hun zorgplicht ernstig nemen.

Directiecomité (DC)

Onderstaande tabel verduidelijkt de rol van het directiecomité (DC) in de goedkeuring, sturing en opvolging van informatiebeveiliging en cybersecurity binnen de organisatie, volgens de RASCI-logica.

DC	Directiecomité
R	Verantwoordelijk voor:	het agenderen, beoordelen en laten goedkeuren van ISMS-beleidsdocumenten en bijhorende beslispunten het vertalen van beleidskeuzes naar prioriteiten, middelen en opdrachten voor de eerste lijn het organiseren van besluitvorming, opvolging en escalatie rond risico’s en maatregelen het aansturen van de organisatie in de uitvoering van goedgekeurd beleid
A	Eindverantwoordelijk voor:	de goedkeuring van ISMS-beleidsdocumenten en richtlijnen binnen het mandaat van het directiecomité beslissingen over prioriteiten, investeringen en risicoacceptatie inzake informatiebeveiliging en cybersecurity het opnemen van de leidinggevende zorgplicht en persoonlijke aansprakelijkheid zoals bedoeld in artikel 20 van de NIS2-richtlijn *
S	Ondersteunt bij:	het creëren van randvoorwaarden (middelen, mandaat, prioriteit) zodat beleid uitvoerbaar wordt het uitdragen van een risicobewuste en lerende cultuur
C	Wordt geconsulteerd bij:	analyses en adviezen van CISO, CRO, DPO en andere tweede-lijnsfuncties escalaties en beslispunten met organisatiebrede impact
I	Wordt geïnformeerd overj:	risico’s, incidenten en evoluties die sturing of bijsturing vereisen bevindingen uit audits, evaluaties en onafhankelijke assurance

* Persoonlijke aansprakelijkheid onder NIS2 (artikel 20)760

Eerste lijn – Eigenaarschap en uitvoering

De eerste lijn draagt het eigenaarschap van risico’s binnen haar processen en staat in voor de uitvoering van maatregelen zoals vastgelegd in het goedgekeurde beleid.

Directies en afdelingshoofden

Onderstaande tabel verduidelijkt de rol van directies en afdelingshoofden als eerste lijn in de toepassing van informatiebeveiliging en cybersecurity binnen hun respectieve domeinen, volgens de RASCI-logica.

	Directies en afdelingshoofden
R	Verantwoordelijk voor:	het toepassen van het goedgekeurde ISMS-beleid binnen hun respectieve domeinen het identificeren, beheren en opvolgen van risico’s binnen hun processen en activiteiten het uitvoeren van vastgestelde maatregelen in de dagelijkse werking het melden en opvolgen van incidenten en afwijkingen binnen hun verantwoordelijkheid
A	Eindverantwoordelijk voor:	de effectieve en correcte toepassing van informatiebeveiliging en cybersecurity binnen hun domein het beheer van risico’s en maatregelen in hun processen en afdelingen het naleven van goedgekeurd beleid en vastgestelde richtlijnen
S	Ondersteunt bij:	het beschikbaar stellen van medewerkers, tijd en middelen voor uitvoering van maatregelen het stimuleren van veilig en verantwoord gedrag binnen teams
C	Wordt geconsulteerd bij:	risicoanalyses, maatregelkeuzes en prioriteiten die hun domein raken wijzigingen in beleid, processen of systemen met impact op hun werking
I	Wordt geïnformeerd over:	relevante risico’s, maatregelen en beslissingen met impact op hun domein incidenten, lessons learned en verbetermaatregelen

IT-departement

Onderstaande tabel verduidelijkt de rol van het IT-departement als eerste lijn in de technische realisatie, beveiliging en continuïteit van informatiesystemen en digitale infrastructuur, volgens de RASCI-logica.

IT	IT-departement
R	Verantwoordelijk voor:	het technisch ontwerpen, uitwerken en onderhouden van de IT-architectuur het implementeren en toepassen van goedgekeurde technische en operationele maatregelen voor informatiebeveiliging en cybersecurity het veilig, beschikbaar en betrouwbaar houden van informatiesystemen, applicaties en digitale infrastructuur het operationeel beheren, detecteren en opvolgen van technische kwetsbaarheden en IT-incidenten
A	Eindverantwoordelijk voor:	de kwaliteit, samenhang en technische correctheid van de IT-architectuur de veilige, betrouwbare en continue werking van IT-systemen en IT-diensten de effectiviteit van technische en operationele beveiligingsmaatregelen binnen het IT-domein
S	Ondersteunt bij:	ondersteuning van gebruikers en afdelingen bij veilig gebruik van IT-systemen technische ondersteuning bij incidentafhandeling, herstel en continuïteit aanleveren van technische input voor risicoanalyses en besluitvorming
C	Wordt geconsulteerd bij:	beleidskeuzes en beslissingen met impact op IT-diensten, IT-architectuur of IT-beveiliging risicoanalyses en maatregelkeuzes met technische implicaties uitzonderingen of afwijkingen op vastgestelde architectuur- en beveiligingsprincipes
I	Wordt geïnformeerd over:	vastgestelde beleidskaders, prioriteiten en beslissingen met impact op IT goedgekeurde risicoacceptaties of afwijkingen die het IT-domein raken bevindingen uit audits, evaluaties en assurance-activiteiten met IT-impact

De rol van IT in governance van informatiebeveiliging en cybersecurity760

De rolverdeling voor het IT-departement zoals beschreven in bovenstaande tabel sluit aan bij internationaal erkende standaarden en best practices voor IT-governance, risicobeheer en informatiebeveiliging.

COBIT (Governance of Enterprise IT) maakt een expliciet onderscheid tussen governance en management. Binnen dit model is het management, en dus het IT-departement, verantwoordelijk en eindverantwoordelijk voor de uitwerking, kwaliteit en werking van IT-processen en IT-architectuur (build, run, maintain), terwijl governance-organen beslissen over richting, prioriteiten en risicoacceptatie.

ITIL 4 bevestigt dit door IT expliciet verantwoordelijk te maken voor het ontwerpen, bouwen en beheren van IT-diensten en onderliggende architectuur. IT draagt hierbij eigenaarschap over de technische kwaliteit, betrouwbaarheid en continuïteit van IT-diensten, binnen de beleidskaders die door het management zijn vastgesteld.

ISO/IEC 27001 en ISO/IEC 27002 positioneren IT als uitvoerende en verantwoordelijke functie voor de implementatie en werking van technische en operationele beveiligingsmaatregelen. De normen maken duidelijk dat informatiebeveiliging beleidsmatig wordt gestuurd door het management, maar technisch wordt gerealiseerd en beheerd door IT.

ISO/IEC 38500 (IT governance) beschrijft expliciet dat bestuur en directie richting geven en toezicht houden, terwijl IT verantwoordelijk is voor het ontwerpen en uitvoeren van IT-oplossingen die aan die richting beantwoorden. Architectuur wordt daarbij beschouwd als een professioneel IT-domein.

Ook het NIST Cybersecurity Framework hanteert dit onderscheid: management stelt verwachtingen en prioriteiten vast, terwijl IT verantwoordelijk is voor de concrete implementatie, werking en verbetering van technische beveiligingsmaatregelen.

De hier gehanteerde RASCI-verdeling voor IT weerspiegelt deze breed gedragen principes en positioneert IT als eerste lijn met duidelijke verantwoordelijkheid en eindverantwoordelijkheid voor technische uitwerking en werking, zonder dat beleidsbeslissingen of risicoacceptatie bij IT worden gelegd.

Tweede lijn – Kaders, advies en samenhang

De tweede lijn stelt kaders vast, adviseert en bewaakt samenhang.

CRO – Chief Risk Officer

Onderstaande tabel verduidelijkt de rol van de CRO (Chief Risk Officer) in het organisatiebrede risicomanagement en de samenhang met informatiebeveiliging en cybersecurity, volgens de RASCI-logica.

CRO	Chief Risk Officer
R	Verantwoordelijk voor:	het uitwerken, onderhouden en toepassen van het risicomanagementkader de methodiek voor risico-identificatie, analyse en rapportering de samenhang en consistentie van risico-overzichten over de organisatie heen
A	Eindverantwoordelijk voor:	de professionele en onafhankelijke uitvoering van de CRO-rol de kwaliteit, consistentie en toepasbaarheid van het risicomanagementkader de correctheid en volledigheid van organisatiebrede risicorapportering
S	Ondersteunt bij:	risico-identificatie, analyse en rapportering in de eerste lijn voorbereiding van management- en bestuursrapportering integratie van risico’s in besluitvorming
C	Wordt geconsulteerd bij:	risicoafwegingen en strategische besluitvorming vastleggen en herzien van risicokaders, -methodes en -criteria
I	Wordt geïnformeerd over:	belangrijke risico’s en incidenten significante wijzigingen in context of risicoprofiel

CISO – Chief Information Security Officer

Onderstaande tabel verduidelijkt de rol van de CISO (Chief Information Security Officer) in de sturing, samenhang en kwaliteit van informatiebeveiliging en cybersecurity, volgens de RASCI-logica.

CISO	Chief Information Security Officer
R	Verantwoordelijk voor:	het uitwerken, onderhouden en toepassen van het kader voor informatiebeveiliging en cybersecurity de samenhang, kwaliteit en werking van het ISMS de methodiek voor identificatie, analyse en opvolging van informatiebeveiligingsrisico’s het voorbereiden van rapportering en escalaties richting management en bestuur
A	Eindverantwoordelijk voor:	de professionele en onafhankelijke uitvoering van de CISO-rol de kwaliteit, samenhang en consistentie van het informatiebeveiligingskader en het ISMS de correctheid en volledigheid van rapportering over informatiebeveiliging en cybersecurity
S	Ondersteunt bij:	vertaling van risico’s naar maatregelen en prioriteiten advies aan directies, afdelingen en IT voorbereiding van besluitvorming en beleidskeuzes
C	Wordt geconsulteerd bij:	beslissingen met impact op informatiebeveiligings- en cyberrisico’s risicoafwegingen, uitzonderingen en afwijkingen belangrijke wijzigingen in context, processen en systemen
I	Wordt geïnformeerd over:	significante incidenten en afwijkingen relevante wijzigingen in organisatie, processen en technologie

DPO – Data Protection Officer

Onderstaande tabel verduidelijkt de rol van de DPO (Data Protection Officer) in het kader van gegevensbescherming en privacy, inclusief de wettelijke taken onder de GDPR, volgens de RASCI-logica.

DPO	Data Protection Officer
R	Verantwoordelijk voor:	toezicht op naleving van GDPR en interne regels voor gegevensbescherming adviseren over verplichtingen en risico’s bij verwerkingen van persoonsgegevens organiseren, bewaken en kwaliteitscontrole van het verwerkingsregister (ROPA) begeleiden en adviseren bij gegevensbeschermingseffectbeoordelingen (DPIA) functioneren als centraal aanspreekpunt voor privacyvragen binnen de organisatie fungeren als contactpunt richting toezichthoudende autoriteit (GBA)
A	Eindverantwoordelijk voor:	de onafhankelijke en correcte uitvoering van de wettelijke taken van de DPO de kwaliteit, objectiviteit en volledigheid van DPO-adviezen en toezicht de formele contacten met de toezichthoudende autoriteit (GBA) in zijn hoedanigheid van DPO
S	Ondersteunt bij:	vertaling van privacy- en gegevensbeschermingsrisico’s naar passende maatregelen (privacy by design/by default) opmaak en onderhoud van privacybeleid, richtlijnen en bewustmaking incidentafhandeling met privacy-impact (triage, impactinschatting, communicatie-advies) opleiding en sensibilisering rond gegevensbescherming
C	Wordt geconsulteerd bij:	nieuwe of gewijzigde verwerkingen van persoonsgegevens projecten en beslissingen met impact op persoonsgegevens DPIA’s, risicoafwegingen en uitzonderingen met privacy-impact contractuele afspraken rond verwerkers en gegevensdeling
I	Wordt geïnformeerd over:	datalekken en incidenten met (mogelijke) impact op persoonsgegevens relevante wijzigingen in processen, systemen of gegevensstromen uitkomsten van controles, audits of beoordelingen met privacy-impact

Kwaliteit en Patiëntveiligheid

Onderstaande tabel verduidelijkt de rol van het diensthoofd Kwaliteit en Patiëntveiligheid in het beheer van informatiebeveiligings- en cyberrisico’s met impact op zorgkwaliteit en patiëntveiligheid, volgens de RASCI-logica.

	Kwaliteit en Patiëntveiligheid (diensthoofd)
R	Verantwoordelijk voor:	het bewaken van de samenhang tussen informatiebeveiliging, patiëntveiligheid en zorgkwaliteit het signaleren van risico’s en incidenten met mogelijke impact op patiëntveiligheid het inbrengen van patiëntveiligheidsperspectief in risicoanalyses en evaluaties
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de rol Kwaliteit en Patiëntveiligheid binnen het governance- en risicokader de kwaliteit en betrouwbaarheid van input rond patiëntveiligheid in risico- en incidentanalyses
S	Ondersteunt bij:	beoordeling van impact van informatiebeveiligingsincidenten op zorgprocessen en patiëntveiligheid analyse van incidenten en bijna-incidenten met zorgimpact formuleren van verbeteracties vanuit patiëntveiligheidsperspectief
C	Wordt geconsulteerd bij:	risicoafwegingen en beslissingen met mogelijke impact op patiëntveiligheid incidenten en crisissituaties waarbij zorgcontinuïteit of patiëntveiligheid in het gedrang komt wijzigingen in processen of systemen met zorginhoudelijke impact
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten met (mogelijke) impact op zorgverlening relevante risico’s en maatregelen die patiëntveiligheid raken

Personeelsdienst (HR)

Onderstaande tabel verduidelijkt de rol van de personeelsdienst (HR) in het ondersteunen en verankeren van informatiebeveiliging en cybersecurity via mens, organisatie en competenties, volgens de RASCI-logica.

HR	Personeelsdienst
R	Verantwoordelijk voor:	het verankeren van informatiebeveiliging en cybersecurity in personeelsbeleid en HR-processen het bewaken van rollen, verantwoordelijkheden en toegangsrechten vanuit HR-perspectief het signaleren van personeelsgebonden risico’s met impact op informatiebeveiliging
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de HR-rol binnen het governance- en risicokader de kwaliteit en toepasbaarheid van HR-processen die informatiebeveiliging ondersteunen
S	Ondersteunt bij:	opleiding, bewustmaking en gedragsverandering rond informatiebeveiliging onboarding, functiewijzigingen en offboarding met aandacht voor toegangsbeheer integratie van informatiebeveiliging in functieprofielen en evaluatiecriteria
C	Wordt geconsulteerd bij:	maatregelen of beslissingen met impact op medewerkers, functies of competenties incidenten waarbij menselijk gedrag of personeelsaspecten een rol spelen wijzigingen in rollen of organisatiestructuur met impact op verantwoordelijkheden
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten met personeelsimpact relevante risico’s en maatregelen die HR-processen raken

Preventiedienst (welzijn & veiligheid op het werk)

Onderstaande tabel verduidelijkt de rol van de preventiedienst (welzijn en veiligheid op het werk) in het beheer van informatiebeveiligings- en cyberrisico’s met mogelijke impact op medewerkersveiligheid en arbeidsomstandigheden, volgens de RASCI-logica.

	Preventiedienst (welzijn & veiligheid op het werk)
R	Verantwoordelijk voor:	het bewaken van de samenhang tussen informatiebeveiliging, fysieke veiligheid en welzijn op het werk het signaleren van risico’s en incidenten met mogelijke impact op de veiligheid of het welzijn van medewerkers het inbrengen van welzijns- en veiligheidsaspecten in risicoanalyses en evaluaties
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de rol preventiedienst binnen het governance- en risicokader de kwaliteit en betrouwbaarheid van input rond welzijn en veiligheid in risico- en incidentanalyses
S	Ondersteunt bij:	beoordeling van impact van informatiebeveiligingsincidenten op medewerkersveiligheid analyse van incidenten en bijna-incidenten met impact op welzijn en veiligheid formuleren van preventieve en corrigerende maatregelen vanuit welzijns- en veiligheidsperspectief
C	Wordt geconsulteerd bij:	risicoafwegingen en beslissingen met mogelijke impact op welzijn en veiligheid van medewerkers incidenten en crisissituaties met impact op werkomstandigheden wijzigingen in processen of infrastructuur die welzijn of veiligheid raken
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten met (mogelijke) impact op medewerkers relevante risico’s en maatregelen die welzijn en veiligheid op het werk raken

Communicatiedienst

Onderstaande tabel verduidelijkt de rol van de communicatiedienst in het beheer van informatiebeveiligings- en cyberrisico’s, in het bijzonder bij incidenten en crisissituaties met interne of externe communicatie-impact, volgens de RASCI-logica.

	Communicatiedienst
R	Verantwoordelijk voor:	het ontwikkelen en ondersteunen van organisatiebrede bewustmaking en communicatie rond informatiebeveiliging en cybersecurity het vertalen van beleidskaders en risico’s naar begrijpbare communicatie voor medewerkers het uitwerken en toepassen van communicatieaanpakken bij informatiebeveiligings- en cyberincidenten het bewaken van consistente, correcte en afgestemde communicatie in preventie, incidenten en nazorg het signaleren van reputatie- en vertrouwensrisico’s verbonden aan informatiebeveiliging
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de communicatierol binnen het governance- en crisiskader de kwaliteit en betrouwbaarheid van interne en externe communicatie bij incidenten
S	Ondersteunt bij:	voorbereiding van crisiscommunicatie en communicatieprotocollen afstemming tussen management, IT, CISO, DPO en andere betrokken functies communicatie naar medewerkers, patiënten, partners en andere stakeholders
C	Wordt geconsulteerd bij:	incidenten en crisissituaties met mogelijke externe of interne communicatie-impact beslissingen over timing, inhoud en vorm van communicatie afstemming met toezichthouders of externe partijen waarbij communicatie vereist is
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten en crisissituaties relevante risico’s en maatregelen met mogelijke reputatie- of vertrouwensimpact

Facility / Infrastructure / Safety

Onderstaande tabel verduidelijkt de rol van Facility / Infrastructure / Safety in het beheer van informatiebeveiligings- en cyberrisico’s met impact op fysieke infrastructuur, omgevingsveiligheid en continuïteit van zorg, volgens de RASCI-logica.

	Communicatiedienst
R	Verantwoordelijk voor:	het bewaken van de fysieke beveiliging van gebouwen, infrastructuur en kritische installaties het signaleren van fysieke en omgevingsrisico’s met impact op informatiebeveiliging en zorgcontinuïteit het integreren van fysieke beveiliging en infrastructuurveiligheid in risicobeoordelingen
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de rol Facility / Infrastructure / Safety binnen het governance- en risicokader de kwaliteit en betrouwbaarheid van input over fysieke beveiliging en infrastructuurveiligheid
S	Ondersteunt bij:	preventieve maatregelen rond fysieke toegang, omgevingsbeveiliging en kritische infrastructuur voorbereiding en opvolging van nood- en continuïteitsmaatregelen incidentafhandeling met fysieke of infrastructurele impact
C	Wordt geconsulteerd bij:	risicoafwegingen en beslissingen met impact op gebouwen, infrastructuur of veiligheid wijzigingen in infrastructuur, installaties of toegangscontrole incidenten en crisissituaties met fysieke of omgevingsimpact
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten met mogelijke fysieke of infrastructurele impact relevante risico’s en maatregelen die gebouwen of installaties raken

Centrale Aankoop

Onderstaande tabel verduidelijkt de rol van Centrale Aankoop in het beheer van informatiebeveiligings- en cyberrisico’s binnen leveranciers- en ketenrelaties, volgens de RASCI-logica.

	Communicatiedienst
R	Verantwoordelijk voor:	het integreren van informatiebeveiliging en cybersecurity in aankoop- en contractprocessen het signaleren van leveranciers- en ketenrisico’s met impact op informatiebeveiliging het toepassen van vastgestelde vereisten bij selectie en contractering van leveranciers
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de rol Centrale Aankoop binnen het governance- en risicokader de kwaliteit en consistentie van aankoopprocessen waarin informatiebeveiliging wordt meegenomen
S	Ondersteunt bij:	opname van informatiebeveiligings- en cybervereisten in contracten en bestekken opvolging van leveranciersverplichtingen samen met inhoudelijke verantwoordelijken ondersteuning van derde-partij- en ketenrisicobeheer
C	Wordt geconsulteerd bij:	selectie van leveranciers en partners met toegang tot systemen of gegevens beslissingen met impact op leveranciersrelaties en contractuele afspraken uitzonderingen of afwijkingen op vastgestelde vereisten
I	Wordt geïnformeerd over:	significante risico’s of incidenten bij leveranciers met impact op de organisatie relevante wijzigingen in vereisten of beleid die aankoopprocessen raken

Legal

Onderstaande tabel verduidelijkt de rol van Legal in het beheer van informatiebeveiligings- en cyberrisico’s vanuit juridisch, contractueel en aansprakelijkheidsperspectief, volgens de RASCI-logica.

	Communicatiedienst
R	Verantwoordelijk voor:	het bewaken van juridische en contractuele aspecten van informatiebeveiliging en cybersecurity het signaleren van juridische risico’s en aansprakelijkheden verbonden aan informatiebeveiligingsincidenten het interpreteren van relevante wet- en regelgeving in relatie tot informatiebeveiliging
A	Eindverantwoordelijk voor:	de professionele en correcte uitoefening van de juridische rol binnen het governance- en risicokader de kwaliteit en juistheid van juridisch advies met betrekking tot informatiebeveiliging en cybersecurity
S	Ondersteunt bij:	opmaak, beoordeling en interpretatie van contractuele bepalingen rond informatiebeveiliging ondersteuning bij incidentafhandeling met juridische of aansprakelijkheidsimpact afstemming met CRO, DPO, CISO en communicatie bij juridische aspecten van incidenten
C	Wordt geconsulteerd bij:	beslissingen met juridische of contractuele impact op informatiebeveiliging contracten, samenwerkingen en leveranciersafspraken met toegang tot systemen of gegevens uitzonderingen, afwijkingen of escalaties met mogelijke aansprakelijkheidsgevolgen
I	Wordt geïnformeerd over:	significante informatiebeveiligingsincidenten met mogelijke juridische impact relevante risico’s, maatregelen of beslissingen met juridische consequenties

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van het governance-, risico- en beheerskader voor informatiebeveiliging en cybersecurity. De derde lijn opereert onafhankelijk van de eerste en tweede lijn en ondersteunt het bestuur en het dagelijks bestuur in hun toezichtsrol.

	Communicatiedienst
R	Verantwoordelijk voor:	het uitvoeren van onafhankelijke beoordelingen van governance, risicobeheer en beheersmaatregelen het evalueren van de opzet en werking van het kader voor informatiebeveiliging en cybersecurity het formuleren van objectieve bevindingen, conclusies en aanbevelingen
A	Eindverantwoordelijk voor:	de professionele, onafhankelijke en objectieve uitvoering van assurance-activiteiten de kwaliteit, betrouwbaarheid en onderbouwing van audit- en assurance-rapportering
S	Ondersteunt bij:	versterken van toezicht door bestuur en dagelijks bestuur identificeren van verbeterpunten in governance, processen en beheersmaatregelen
C	Wordt geconsulteerd bij:	de planning en scopebepaling van audits en assurance-activiteiten interpretatie van bevindingen en aanbevelingen
I	Wordt geïnformeerd over:	relevante beleidskaders, processen en wijzigingen significante risico’s, incidenten en evoluties die de scope van assurance beïnvloeden

”
},
{
“id”: “80543745”,
“title”: “Appointment of the Chief Information Security Officer (CISO)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR) / Appointment of the Chief Information Security Officer (CISO)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 24081,
“body”: “

Aanstelling Chief Information Security Officer (CISO)

1. Doel van dit document

Dit document formaliseert de aanstelling van de Chief Information Security Officer (CISO) binnen de organisatie.

Het document bevestigt:

het formeel mandaat van de CISO
de rapporteringslijn op directieniveau
de onafhankelijkheid van de functie
de verantwoordelijkheden inzake organisatiebreed informatie- en cyberrisicobeheer
de positionering binnen het Information Security Management System (ISMS)

Compliance met wetgeving760

Richtlijn (EU) 2022/2555 van het Europees Parlement en de Raad van 14 december 2022 betreffende maatregelen voor een hoog gemeenschappelijk niveau van cyberbeveiliging in de Unie, tot wijziging van Verordening (EU) nr. 910/2014 en Richtlijn (EU) 2018/1972 en tot intrekking van Richtlijn (EU) 2016/1148 (NIS2-richtlijn)
Verplicht Directiecomités en bestuursleden om cyberrisicobeheermaatregelen goed te keuren, toezicht te houden op de implementatie ervan en hiervoor verantwoordelijkheid te dragen. Dit vereist een formeel aangeduide functionaris met mandaat, rapporteringslijn en escalatierecht inzake informatiebeveiliging.
Wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid
Zet Richtlijn (EU) 2022/2555 om in Belgisch recht en verankert de nationale zorgplicht, meldingsverplichtingen, toezichtmechanismen en bestuurlijke aansprakelijkheid inzake cyberbeveiliging. Dit impliceert een aantoonbare interne toewijzing van verantwoordelijkheden en bevoegdheden voor het beheer, de opvolging en de rapportering van cyberrisico’s aan Directiecomité en Bestuursorgaan.
Koninklijk Besluit van 9 juni 2024 tot uitvoering van de wet van 26 april 2024 tot vaststelling van een kader voor de cyberbeveiliging van netwerk- en informatiesystemen van algemeen belang voor de openbare veiligheid
Bepaalt de nadere regels inzake onder meer meldingsprocedures, toezichtstructuren en organisatorische vereisten. Deze operationalisering veronderstelt een duidelijke interne governance-structuur met formeel aangeduide verantwoordelijken voor informatiebeveiliging.
Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene Verordening Gegevensbescherming – AVG / GDPR) en Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Vereisen het nemen van passende technische en organisatorische beveiligingsmaatregelen (artikel 32 GDPR) en het organiseren van detectie, beoordeling en melding van inbreuken in verband met persoonsgegevens (artikelen 33–34 GDPR).
De Data Protection Officer (DPO) ziet toe op de naleving van de gegevensbeschermingswetgeving. De CISO is verantwoordelijk voor de organisatie en het beheer van de informatiebeveiligingsmaatregelen die deze beveiligingsverplichtingen mogelijk maken. Beide functies opereren complementair binnen het governance-kader, met duidelijk onderscheiden verantwoordelijkheden. De CISO treedt niet op als DPO en vervangt deze functie niet.

Conformiteit met standaarden760

CyFun Framework 2025 – Centre for Cybersecurity Belgium (CCB), referentiecontrole GV.RR-02.2
Bepaalt binnen het Belgische NIS2-maturiteitsmodel de vereiste formele toewijzing van verantwoordelijkheden inzake cybersecurity governance.
De aanstelling van een CISO concretiseert deze controle en verankert de strategische verantwoordelijkheid voor informatie- en cyberrisicobeheer binnen de organisatie.
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements, clausule 5.3
Vereist het vastleggen van leiderschap, verantwoordelijkheden en bevoegdheden binnen het Information Security Management System (clausule 5).
De formele aanstelling van een CISO ondersteunt de structurele verankering van het ISMS en de expliciete toewijzing van accountability op bestuursniveau.
ISO/IEC 27002:2022 – Information security, cybersecurity and privacy protection — Information security controls, control 5.2
Beschrijft de beheersmaatregelen ter ondersteuning van een effectief informatiebeveiligingsbeleid, inclusief organisatorische controles rond rollen en verantwoordelijkheden.
De CISO-functie structureert de implementatie, coördinatie en opvolging van deze controles binnen het bredere governancekader.
NIST Cybersecurity Framework (CSF) 2.0 – National Institute of Standards and Technology
Positioneert “Govern” als expliciete kernfunctie binnen cybersecuritybeheer.
De formele aanduiding van een verantwoordelijke voor governance en risicobeheer sluit aan bij de vereisten inzake toezicht, strategie, risicobereidheid en rapportering aan het bestuur.
ISO/IEC 27701:2019 – Privacy Information Management System (PIMS), 5.3
Breidt ISO/IEC 27001 uit met privacy-specifieke governancevereisten.
Waar toegepast vereist dit een duidelijke afstemming tussen informatiebeveiligingsgovernance (CISO) en gegevensbeschermingsgovernance (DPO), met heldere rolafbakening en samenwerking.
ISO 22301:2019 – Security and resilience — Business continuity management systems — Requirements, clause 5.3
Vereist formele toewijzing van verantwoordelijkheden inzake continuïteit en crisisbeheer.
In organisaties waar cyberincidenten directe impact hebben op zorgcontinuïteit, ondersteunt de CISO-rol de integratie tussen ISMS en Business Continuity Governance.
ISO 31000:2018 – Risk Management — Guidelines
Bepaalt dat risicobeheer geïntegreerd moet zijn in governance, strategie en besluitvorming.
De positionering van de CISO binnen het ERM-kader verzekert dat cyberrisico wordt behandeld als volwaardig organisatierisico.
ISO 37301:2021 – Compliance Management Systems, clause 5.3
Vereist een gestructureerde toewijzing van verantwoordelijkheden voor compliancebeheer.
De CISO draagt bij aan de naleving van wettelijke en regulatoire vereisten inzake informatie- en cyberbeveiliging, waaronder NIS2.

De toepasselijke wetgeving bepaalt de Compliance-verplichtingen waaraan Directiecomité en het Bestuursorgaan onderworpen zijn. De relevante standaarden structureren de Conformiteit van het Information Security Management System en concretiseren de inrichting van rollen, verantwoordelijkheden en toezicht. De formele aanstelling van een CISO vormt de organisatorische verankering die beide kaders samenbrengt binnen een coherent governance-model.

2. Formele beslissing

Het Directiecomité beslist tot de aanstelling van:

Naam: [Naam CISO]
Functie: Chief Information Security Officer (CISO)
Ingangsdatum: [dd/mm/jjjj]

De CISO wordt aangesteld als verantwoordelijke voor het organisatiebrede informatie- en cyberrisicobeheer en voor de aansturing van het Information Security Management System (ISMS).

Deze aanstelling wordt bekrachtigd door het Bestuursorgaan, dat toezicht houdt op het strategisch kader en de governance inzake informatie- en cyberbeveiliging.

3. Positionering en rapportering

3.1 Positionering binnen het governance-model (Drie Lijnen Model)

De CISO opereert binnen het organisatiebrede governance-kader volgens het Drie Lijnen Model (Three Lines Model – Institute of Internal Auditors, IIA):

Eerste lijn (1e lijn – Operations):
Operationele diensten en proceseigenaars zijn verantwoordelijk voor de uitvoering van beveiligingsmaatregelen binnen hun domein en dragen het dagelijkse risico-eigenaarschap.
Tweede lijn (2e lijn – Risk & Compliance oversight):
De CISO fungeert als tweede lijn en is verantwoordelijk voor het definiëren van het informatiebeveiligingskader, het ontwikkelen van beleid en richtlijnen, het bewaken van risico’s en het toezien op de Conformiteit met standaarden en de Compliance met wetgeving.
Derde lijn (3e lijn – Internal Audit):
De interne auditfunctie verleent onafhankelijke assurance over de effectiviteit van het governance-, risico- en controlesysteem, inclusief het ISMS.

De CISO maakt geen deel uit van de eerste lijn en vervult geen onafhankelijke assurance-rol zoals bedoeld in de derde lijn.

3.2 Rapportering

De CISO:

rapporteert rechtstreeks aan het Directiecomité
heeft toegang tot het Bestuursorgaan voor strategische risico- en compliance-aangelegenheden
rapporteert periodiek over cyberrisico’s, incidenten, maturiteit van het ISMS en de status van Conformiteit en Compliance

3.3 Onafhankelijkheid

De CISO:

opereert onafhankelijk van IT-operaties
kan risico’s escaleren naar Directiecomité en het Bestuursorgaan
beschikt over voldoende autonomie om beveiligingsmaatregelen voor te stellen en te laten implementeren

4. Mandaat en bevoegdheden

De CISO krijgt het formeel mandaat om:

het Information Security Management System (ISMS) te ontwikkelen, implementeren en onderhouden
organisatiebrede informatie- en cyberrisicoanalyses te coördineren
beveiligingsbeleid en -procedures vast te stellen en periodiek te actualiseren
de Compliance met alle toepasselijke wet- en regelgeving inzake informatiebeveiliging, cyberbeveiliging en cyberweerbaarheid op te volgen
de Conformiteit met relevante standaarden en frameworks te bewaken
beveiligingsincidenten op strategisch niveau te coördineren en de rapportering aan Directiecomité en het Bestuursorgaan te ondersteunen
aanbevelingen te formuleren inzake investeringen in beveiligingsmaatregelen, inclusief onderbouwde analyse van de Return on Security Investment (ROSI)
audits, maturity-assessments en onafhankelijke evaluaties van het ISMS te initiëren en op te volgen

De CISO heeft toegang tot alle noodzakelijke informatie, systemen en verantwoordelijken om dit mandaat effectief uit te voeren.

5. Verantwoordelijkheden

De CISO is verantwoordelijk voor:

het definiëren, actualiseren en bewaken van de organisatiebrede informatie- en cyberbeveiligingsstrategie
het ontwikkelen, implementeren en continu verbeteren van het Information Security Management System (ISMS)
het toezien op de beveiliging van informatie-assets, in samenhang met het Asset Management System (AMS), waaronder processen, data, applicaties, systeeminfrastructuur en leveranciers
het coördineren van informatie- en cyberrisicoanalyses in afstemming met de risicomanagementfunctie binnen het Enterprise Risk Management System (ERMS)
het verzekeren van structurele afstemming tussen informatiebeveiliging en gegevensbescherming, in samenwerking met de Data Protection Officer (DPO) binnen het Privacy Management System (PMS)
het bewaken van informatiebeveiligings- en cyberrisico’s bij derde partijen en in de toeleveringsketen, in samenwerking met de verantwoordelijke functies binnen het Third-Party & Supply Chain Management System (TPSCMS)
het aansturen en bewaken van het informatiebeveiligings- en cyberincidentbeheer binnen het ISMS, en het escaleren van significante incidenten naar het organisatiebrede incident- en crisismanagement binnen het Resilience Management System (ReMS)
het afstemmen van cyberweerbaarheid met continuïteitsverantwoordelijken binnen het Business Continuity Management System (BCMS)
het integreren van informatiebeveiliging in de langetermijn- en duurzaamheidsdoelstellingen van de organisatie, in afstemming met de verantwoordelijken binnen het Sustainability Management System
het opvolgen van Compliance-verplichtingen inzake informatie- en cyberbeveiliging in afstemming met de compliancefunctie binnen het Compliance Management System (CMS)
het rapporteren van significante informatie- en cyberrisico’s aan Directiecomité en het Bestuursorgaan

De nadere uitwerking van deze verantwoordelijkheden wordt vastgelegd in de documenten die deel uitmaken van het ISMS.

6. Middelen, doelstellingen en ondersteuning

De organisatie verbindt zich ertoe:

voldoende middelen en budget te voorzien om het Information Security Management System (ISMS) effectief te laten functioneren
de CISO tijdig te betrekken bij strategische beslissingen met impact op informatie- en cyberrisico’s
toegang te verlenen tot relevante informatie, systemen en verantwoordelijken
interne of externe expertise beschikbaar te stellen waar nodig

De CISO werkt met meetbare doelstellingen en indicatoren ter opvolging van:

maturiteit van het ISMS
evolutie van informatie- en cyberrisico’s
status van Compliance-verplichtingen
Conformiteit met relevante standaarden
effectiviteit van incidentbeheer en cyberweerbaarheid

Deze doelstellingen worden periodiek afgestemd met het Directiecomité en geïntegreerd in het organisatiebrede risicokader binnen het Enterprise Risk Management System (ERMS).

De concrete KPI’s en meetmethodieken worden vastgelegd binnen de ISMS-documentatie.

7. Governance, aansturing en evaluatie

7.1 Rol van het Directiecomité

Het Directiecomité:

beslist over de aanstelling van de CISO
zorgt voor de operationele inbedding van het Information Security Management System (ISMS)
stelt de middelen en prioriteiten vast
ontvangt periodieke rapportering over informatie- en cyberrisico’s
ziet toe op de uitvoering van goedgekeurde beveiligingsmaatregelen
evalueert jaarlijks de uitvoering van het mandaat van de CISO

Het Directiecomité is verantwoordelijk voor de effectieve implementatie van het cyberrisicobeheer binnen de organisatie.

7.2 Rol van het Bestuursorgaan

Het Bestuursorgaan:

bekrachtigt de aanstelling van de CISO
keurt het strategisch informatie- en cyberbeveiligingskader goed
houdt toezicht op het cyberrisicobeheer
ontvangt periodieke rapportering over significante informatie- en cyberrisico’s
ziet toe op de naleving van wettelijke verplichtingen inzake informatie- en cyberbeveiliging

Het Bestuursorgaan draagt de eindverantwoordelijkheid voor toezicht en governance inzake cyberweerbaarheid.

8. Documentbeheer en herziening

Dit document wordt minstens om de drie jaar herzien, of eerder indien significante wijzigingen optreden in toepasselijke wetgeving, governance-structuur of het organisatiebrede GRC-kader.

De herziening gebeurt onder verantwoordelijkheid van het Directiecomité en wordt ter bekrachtiging voorgelegd aan het Bestuursorgaan.

9. Formele aanstelling door het Directiecomité

Het Directiecomité beslist tot aanstelling van:

Naam: __________________________
Functie: Chief Information Security Officer (CISO)
Ingangsdatum: ___________________

Handtekening Voorzitter Directiecomité: ___________________

10. Bekrachtiging door het Bestuursorgaan

Het Bestuursorgaan bekrachtigt deze aanstelling en bevestigt de governance- en toezichtverantwoordelijkheid inzake informatie- en cyberbeveiliging.

Naam: __________________________
Functie: ________________________
Datum: _________________________

Handtekening: ___________________

”
},
{
“id”: “80314384”,
“title”: “Nota aan het Directiecomité – Onderwerp: Formele aanstelling Chief Information Security Officer (CISO)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR) / Appointment of the Chief Information Security Officer (CISO) / Nota aan het Directiecomité – Onderwerp: Formele aanstelling Chief Information Security Officer (CISO)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1852,
“body”: “

Voorstel tot beslissing

In het kader van de versterking van het organisatiebrede informatie- en cyberrisicobeheer wordt voorgesteld over te gaan tot de formele aanstelling van een Chief Information Security Officer (CISO).

Het bijgevoegde document:

verankert het mandaat van de CISO binnen het Information Security Management System (ISMS);
positioneert de CISO als tweede lijn binnen het Drie Lijnen Model;
verduidelijkt de verantwoordelijkheden inzake informatie- en cyberbeveiliging;
borgt de integratie binnen het organisatiebrede GRC-kader.

Gevraagde beslissing

Het Directiecomité wordt verzocht:

de aanstelling van de CISO formeel goed te keuren;
de operationele inbedding van het ISMS te bevestigen;
het document “Appointment of the Chief Information Security Officer (CISO)” te ondertekenen.

Na goedkeuring wordt het document ter bekrachtiging voorgelegd aan het Bestuursorgaan.

”
},
{
“id”: “80314391”,
“title”: “Nota aan het Bestuursorgaan – Onderwerp: Bekrachtiging aanstelling Chief Information Security Officer (CISO)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Roles & Responsibilities (CyFun 2025 RR) / Appointment of the Chief Information Security Officer (CISO) / Nota aan het Bestuursorgaan – Onderwerp: Bekrachtiging aanstelling Chief Information Security Officer (CISO)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1354,
“body”: “

Toelichting

Het Directiecomité heeft beslist tot de formele aanstelling van een Chief Information Security Officer (CISO).

Het bijgevoegde document:

formaliseert de governance-structuur inzake informatie- en cyberbeveiliging;
verduidelijkt de rolverdeling tussen Directiecomité (uitvoering) en Bestuursorgaan (toezicht);
verankert het toezicht op cyberrisicobeheer conform toepasselijke wetgeving.

Gevraagde beslissing

Het Bestuursorgaan wordt verzocht:

de aanstelling van de CISO formeel te bekrachtigen;
het document te ondertekenen ter bevestiging van de toezichtverantwoordelijkheid inzake informatie- en cyberbeveiliging.

”
},
{
“id”: “58228756”,
“title”: “Policies (CyFun 2025 PO)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “20611301”,
“title”: “Information Risk Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Information Risk Management Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 14555,
“body”: “

Beleid Informatie-risicomanagement

none

Dit beleid is onderliggend aan de Enterprise Risk Management Policy en beschrijft hoe informatierisico’s worden beheerd als integraal onderdeel van het Information Security Management System (ISMS).

Context

Informatie is een essentieel onderdeel van zorgverlening, ondersteuning en besluitvorming binnen de organisatie. Onzekerheden en risico’s met betrekking tot informatie en informatiesystemen kunnen een directe impact hebben op patiëntveiligheid, zorgkwaliteit, privacy en de continuïteit van zorg.

Informatierisico’s maken integraal deel uit van het organisatiebrede risicoprofiel. Zij worden beheerd binnen het Information Security Management System (ISMS), in samenhang met het Enterprise Risk Management System (ERMS) dat zorgt voor organisatiebrede samenhang, prioritering en rapportering.

Dit beleid beschrijft hoe informatierisico’s systematisch worden geïdentificeerd, geanalyseerd, geëvalueerd en behandeld binnen het ISMS.

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en vereisten voor het beheer van informatierisico’s binnen het ISMS, met als doel:

het ondersteunen van veilige, kwalitatieve en continue zorg
het beschermen van informatie die essentieel is voor zorgprocessen
het beheersen van informatie- en cyberrisico’s
het borgen van samenhang met organisatiebreed risicomanagement
het ondersteunen van onderbouwde besluitvorming

Reikwijdte

Dit beleid is van toepassing op:

alle informatie, ongeacht vorm of drager
alle informatiesystemen en digitale toepassingen
alle zorg- en ondersteunende processen
alle medewerkers, tijdelijke medewerkers en externe partijen
alle omgevingen (fysiek, digitaal, cloud, hybride)
de volledige levenscyclus van informatie

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan:

keurt dit beleid formeel goed
bepaalt de risicobereidheid met betrekking tot informatierisico’s
ziet toe op de effectiviteit van het ISMS
ontvangt periodiek rapportering over significante informatierisico’s

Het Bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie van dit beleid
borgt de werking van het Information Security Management System
zorgt voor samenhang met het Enterprise Risk Management System
wijst verantwoordelijkheden toe en voorziet passende middelen

Eerste lijn – Directies & afdelingshoofden

De eerste lijn:

identificeert en beheert informatierisico’s binnen het eigen domein
integreert informatierisico’s in besluitvorming en procesbeheer
meldt incidenten, dreigingen en afwijkingen

Tweede lijn

De tweede lijn ondersteunt, adviseert en bewaakt samenhang.

Chief Risk Officer (CRO)

De CRO bewaakt de samenhang tussen informatierisico’s en het organisatiebrede risicoprofiel en zorgt voor consistente risicorapportering binnen het ERMS.

Chief Information Security Officer (CISO)

De CISO is verantwoordelijk voor de methodiek en toepassing van informatie-risicomanagement binnen het ISMS en voor de vertaling van risico-analyses naar passende beveiligingsmaatregelen.

Data Protection Officer (DPO)

De DPO ondersteunt bij het identificeren en beheersen van privacy-gerelateerde informatierisico’s.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minimaal aangepast bij:

significante wijzigingen in informatierisico’s
belangrijke wijzigingen in IT-landschap of zorgprocessen
relevante wijzigingen in organisatiecontext

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking vereist formele goedkeuring, documentatie en periodieke evaluatie.

Beleidsverklaring

De organisatie verbindt zich ertoe om:

informatierisico’s systematisch en gestructureerd te beheren binnen het Information Security Management System (ISMS)
informatie-risicomanagement af te stemmen op het Enterprise Risk Management System (ERMS)
informatierisico’s te beoordelen in functie van hun impact op zorgverlening, patiëntveiligheid en continuïteit
proportionele en onderbouwde risicobehandelingskeuzes te maken
transparant te rapporteren over significante informatierisico’s

Informatie-risicomanagement wordt beschouwd als een essentieel onderdeel van effectieve informatiebeveiliging en veilige zorgverlening.

Beleidsvereisten

Identificatie van informatierisico’s

Informatierisico’s worden systematisch geïdentificeerd binnen processen, systemen en veranderingen.

Compliance – en normatieve onderbouwing760

ISO/IEC 27005:2022, Clause 6.2 (Risk identification) – beschrijft het systematisch identificeren van informatierisico’s als een kernactiviteit van informatiebeveiligingsrisicomanagement, rekening houdend met assets, dreigingen en kwetsbaarheden.

ISO/IEC 27001:2022, Clause 6.1.2 – Information security risk assessment – Vereist dat informatierisico’s systematisch worden geïdentificeerd, geanalyseerd en geëvalueerd, rekening houdend met assets, dreigingen, kwetsbaarheden en impact.

ISO/IEC 27002:2022, 5.9 – Inventory of information and other associated assets – Identificatie van assets als basisvoorwaarde voor het identificeren van informatierisico’s.

CyFun ID.RA-01 – kwetsbaarheden in assets worden geïdentificeerd, gevalideerd en gedocumenteerd

CyFun ID.RA-03 – interne en externe dreigingen voor de organisatie worden geïdentificeerd en gedocumenteerd.

Analyse en evaluatie

Informatierisico’s worden geanalyseerd en geëvalueerd op basis van waarschijnlijkheid en impact, conform de risicobenadering van het ISMS.

Compliance – en normatieve onderbouwing760

ISO/IEC 27005:2022, Clauses 6.3 en 6.4 (Risk analysis and risk evaluation) – geeft richtlijnen voor het analyseren en evalueren van informatierisico’s op basis van waarschijnlijkheid en impact, in relatie tot vastgelegde risicocriteria.

Risicobehandeling

Voor informatierisico’s worden passende beheersmaatregelen bepaald en opgevolgd binnen het ISMS, afgestemd op risicobereidheid en zorgcontext.

Compliance – en normatieve onderbouwing760

ISO/IEC 27005:2022, Clause 7 (Risk treatment) – beschrijft de mogelijke opties voor de behandeling van informatierisico’s, waaronder risicoreductie, -vermijding, -overdracht en -acceptatie, en de relatie met beveiligingsmaatregelen.

Samenhang met beveiligingsmaatregelen

Resultaten van informatie-risicomanagement sturen de selectie, prioritering en evaluatie van beveiligingsmaatregelen binnen het ISMS.

Compliance – en normatieve onderbouwing760

ISO/IEC 27005:2022, Clauses 7 en 8 (Risk treatment and acceptance) – ondersteunt de vertaling van resultaten van risicoanalyse en risicobehandeling naar passende informatiebeveiligingsmaatregelen binnen het ISMS.

Monitoring en rapportering

Informatierisico’s worden periodiek geëvalueerd en gerapporteerd aan relevante stakeholders.

Compliance – en normatieve onderbouwing760

ISO/IEC 27005:2022, Clauses 8 en 9 (Risk monitoring, review, communication and consultation) – enadrukt het belang van continue monitoring, herziening en communicatie van informatierisico’s als onderdeel van een cyclisch risicomanagementproces.

Definities en termen

Informatierisico
Information Risk
Information Security Management System (ISMS)
Enterprise Risk Management System (ERMS)
Risicobereidheid

Gerelateerde documenten

Enterprise Risk Management Policy
Information Security Policy
Principesverklaring Enterprise Risk Management
Principesverklaring Information Security

”
},
{
“id”: “786498”,
“title”: “Information Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Information Security Policy”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53331,
“body”: “

Beleid Informatiebeveiliging (NL)

none

Context

Informatie vormt het zenuwstelsel van de werking van zorgorganisaties. Van cliënt- en patiëntgegevens, personeelsinformatie en behandelplannen tot beleidsinformatie, medische apparatuur en digitale zorgtoepassingen: de continuïteit en kwaliteit van zorg zijn rechtstreeks afhankelijk van betrouwbare, integere en toegankelijke informatie.

Zorgorganisaties opereren in een context waarin gevoelige (persoons)gegevens worden verwerkt, zorgprocessen sterk gedigitaliseerd zijn en afhankelijkheden bestaan van medische technologie, informatiesystemen en externe dienstverleners. Verstoringen van informatie of systemen kunnen directe gevolgen hebben voor de veiligheid van cliënten, de kwaliteit van zorg en het vertrouwen van patiënten en samenleving.

Digitale dreigingen, menselijke fouten, technologische afhankelijkheden en strikte wettelijke en maatschappelijke verplichtingen maken dat informatiebeveiliging in de zorgsector niet langer kan worden beschouwd als een louter technisch of ICT-gerelateerd thema. Informatiebeveiliging
is een kernverantwoordelijkheid van bestuur, directie en medewerkers, en een essentieel onderdeel van goed bestuur, kwaliteitszorg en de continuïteit van zorgverlening.

Doel van het beleid

Dit beleid heeft tot doel een formeel en samenhangend kader vast te stellen waarbinnen de organisatie informatiebeveiliging organiseert en aanstuurt op strategisch, organisatorisch en tactisch niveau.

Het beleid beoogt om, op een proportionele en risicogestuurde wijze, de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te waarborgen, aangevuld met passende waarborgen inzake
authenticiteit, onweerlegbaarheid en de bescherming van (persoons)gegevens.

Hierbij wordt rekening gehouden met de missie van de organisatie, de verwachtingen van cliënten, medewerkers en andere belanghebbenden, alsook met de wettelijke en maatschappelijke
verplichtingen die gelden voor zorgorganisaties.

Het beleid vormt de basis voor de verdere uitwerking van beleidsprincipes, maatregelen, procedures en verantwoordelijkheden die samen het informatiebeveiligingsmanagementsysteem (ISMS) van
de organisatie structureren en sturen, met als doel de kwaliteit, veiligheid en continuïteit van zorgverlening te ondersteunen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001 en 27002

Dit doel sluit aan bij de kernvereisten van ISO/IEC 27001, waarin informatiebeveiliging wordt gedefinieerd in termen van vertrouwelijkheid, integriteit en beschikbaarheid, aangevuld met
maatregelen inzake authenticiteit, traceerbaarheid en accountability.

CyFun / NIS2

Binnen het CyFun-framework ondersteunt dit doel met name de GOVERN- en PROTECT-functies, waarin informatiebeveiliging risicogestuurd, proportioneel en in lijn met de maatschappelijke
opdracht van de organisatie wordt ingericht.

Privacy en gegevensbescherming

De expliciete aandacht voor privacy sluit aan bij de Algemene Verordening Gegevensbescherming (AVG) en erkent dat bescherming van persoonsgegevens in de zorgsector onlosmakelijk verbonden is met informatiebeveiliging.

Reikwijdte – zorgsector

Dit beleid is van toepassing op alle diensten, afdelingen en organisatorische entiteiten die deel uitmaken van de organisatie, voor zover zij betrokken zijn bij het leveren, ondersteunen of
sturen van zorg- en ondersteunende processen.

De reikwijdte omvat alle personen, processen, systemen en technologieën die informatie creëren, verwerken, beheren of ondersteunen namens de organisatie. Dit geldt zowel voor digitale
als fysieke informatiedragers, ongeacht de locatie, het gebruikte medium of het type systeem waarin of waarop informatie wordt verwerkt of opgeslagen.

Ook externe partijen, zoals leveranciers, dienstverleners en samenwerkingspartners, die in het kader van hun opdracht, contractuele relatie of wettelijke rol toegang hebben tot informatie van de organisatie of deze verwerken, vallen binnen de reikwijdte van dit beleid.

Eigenaarschap, goedkeuring en herziening – zorgsector

Eigenaarschap en verantwoordelijkheden

De organisatie hanteert het Three Lines of Defence-model als uitgangspunt voor de governance en beheersing van informatiebeveiliging, in lijn met het bredere Target Operating Model (TOM) Security.

Informatiebeveiliging wordt beschouwd als een organisatiebreed governance- en risicothema, waarbij verantwoordelijkheden expliciet zijn toegewezen en afgestemd op rol, mandaat en onafhankelijkheid.

Bestuursorgaan

Het Bestuursorgaan:

draagt de eindverantwoordelijkheid voor informatiebeveiliging en cyberrisico’s;
erkent informatiebeveiliging als een strategisch en organisatiebreed risico;
keurt het Beleid Informatiebeveiliging formeel goed;
bepaalt de strategische uitgangspunten en risicobereidheid;
ziet toe op de werking en effectiviteit van het informatiebeveiligingsmanagementsysteem (ISMS);
ontvangt periodiek rapportering over risico’s, incidenten en verbeteracties.

Het Bestuursorgaan is niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie en werking van dit beleid;
vertaalt het beleid naar onderliggende richtlijnen, procedures en maatregelen;
wijst verantwoordelijkheden toe en zorgt voor voldoende middelen en mandaat;
bewaakt de samenhang tussen informatiebeveiliging, risicobeheer en organisatiedoelstellingen;
rapporteert aan het Bestuursorgaan over status, risico’s en naleving.

Eerste lijn – Directies, afdelingshoofden en proceseigenaars

De eerste lijn is verantwoordelijk voor de operationele toepassing van informatiebeveiliging binnen hun verantwoordelijkheidsdomein.

Dit omvat onder meer:

het identificeren en opvolgen van informatiebeveiligingsrisico’s binnen processen en diensten;
het naleven en toepassen van beleid, richtlijnen en procedures;
het correct omgaan met informatie, systemen en toegangsrechten;
het tijdig melden van incidenten, afwijkingen en risico’s;
het meewerken aan controles, evaluaties en audits.

De eerste lijn draagt verantwoordelijkheid voor de dagelijkse naleving van dit beleid.

Tweede lijn – onafhankelijke toezicht- en stafrollen

De tweede lijn omvat organisatiebrede, onafhankelijke functies en stafdiensten die verantwoordelijk zijn voor kaderstelling, advies, toezicht en samenhang inzake informatiebeveiliging.
Deze functies ondersteunen bestuur en management, maar zijn niet verantwoordelijk voor de operationele uitvoering van informatiebeveiligingsmaatregelen.

Chief Information Security Officer (CISO)

De CISO:

inhoudelijk eigenaar van het informatiebeveiligingsbeleid;
ontwikkelt, onderhoudt en bewaakt het beleids- en normenkader;
ondersteunt risicoanalyses en prioritering;
ziet toe op consistente integratie van informatiebeveiliging;
rapporteert over risico’s, maturiteit en verbeterpunten.

Chief Risk Officer (CRO)

De CRO:

bewaakt de integratie van informatiebeveiligings- en cyberrisico’s binnen het organisatiebrede risicobeheer (ERM);
ondersteunt het vastleggen, toepassen en bewaken van risicobereidheid en risicotolerantie;
adviseert over risicoprioritering, risicobehandeling en escalaties;
bevordert samenhang tussen informatiebeveiligingsrisico’s en andere strategische, operationele en compliance-risico’s.

Data Protection Officer (DPO)

De DPO:

bewaakt de samenhang tussen informatiebeveiliging en gegevensbescherming;
adviseert over de bescherming van persoonsgegevens en privacy-risico’s;
ondersteunt bij DPIA’s en beoordeelt de privacy-impact van beveiligingsmaatregelen;
signaleert non-compliance en structurele risico’s inzake gegevensbescherming.

Personeelsdienst (HR)

De personeelsdienst:

ondersteunt het vastleggen en toepassen van rol- en functiegebonden verantwoordelijkheden inzake informatiebeveiliging;
bewaakt de samenhang tussen personeelsprocessen (in-, door- en uitstroom) en informatiebeveiligingsvereisten;
ondersteunt bewustmaking, opleiding en naleving vanuit HR-beleid en -processen;
adviseert over gedrags-, bewustmakings- en disciplinaire aspecten in relatie tot informatiebeveiliging.

Kwaliteit en Patiëntveiligheid

Deze functie:

bewaakt de impact van informatiebeveiliging op kwaliteit van zorg en patiëntveiligheid;
adviseert over risico’s waarbij informatiebeveiliging zorgprocessen of patiëntveiligheid kan beïnvloeden;
ondersteunt de afstemming tussen beveiligingsmaatregelen, continuïteit en veilige zorgverlening.

Preventiedienst (welzijn & veiligheid op het werk)

De preventiedienst:

bewaakt de samenhang tussen informatiebeveiliging, fysieke veiligheid en welzijn;
adviseert over risico’s die medewerkers, werkomgeving of infrastructuur raken;
ondersteunt een geïntegreerde benadering van veiligheid, inclusief digitale en fysieke aspecten.

Communicatiedienst

De communicatiedienst:

ondersteunt interne communicatie en bewustmaking rond informatiebeveiligingsbeleid;
adviseert over communicatie bij beveiligingsincidenten of crisissituaties;
bewaakt consistente en correcte communicatie naar interne en externe stakeholders.

Facility / Infrastructure / Safety

Deze functie:

bewaakt de afstemming tussen fysieke beveiliging en digitale informatiebeveiliging;
adviseert over beveiliging van gebouwen, infrastructuur en kritieke faciliteiten;
ondersteunt een geïntegreerde benadering van fysieke en digitale beveiliging.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het dagelijks bestuur, op voorstel van de CISO en na consultatie van de directies.

Dit beleid fungeert als overkoepelend kader voor alle onderliggende informatie- en cyberbeveiligingspolicies en heeft voorrang bij interpretatieverschillen.

Herziening en onderhoud

Het beleid wordt minimaal jaarlijks geëvalueerd en herzien. Daarnaast wordt het beleid tussentijds aangepast wanneer zich significante wijzigingen voordoen in het risicoprofiel, de wet- en regelgeving, de organisatorische context, ernstige beveiligingsincidenten of relevante
audit- of evaluatiebevindingen.

Uitzonderingen en afwijkingen

Afwijkingen van dit beleid, zowel tijdelijk als structureel, zijn uitsluitend toegestaan wanneer zij voorafgaand expliciet zijn goedgekeurd binnen het daartoe bevoegde governancekader.

Elke toegestane afwijking wordt gedocumenteerd, gemotiveerd en onderworpen aan een risicoafweging. Daarbij worden passende mitigerende maatregelen vastgelegd, evenals een duidelijke looptijd en een evaluatiemoment.

Goedgekeurde afwijkingen worden beschouwd als bewuste en tijdelijk aanvaarde risico’s en ontslaan de organisatie niet van de verplichting om, waar mogelijk, structureel naar naleving van het
beleid toe te werken.

Niet-naleving van dit beleid zonder geldige en goedgekeurde afwijking kan aanleiding geven tot corrigerende maatregelen. Indien van toepassing kunnen daarbij disciplinaire of contractuele
maatregelen worden overwogen, conform de geldende interne procedures en wettelijke kaders.

▶ Compliance- en normatieve onderbouwing760

ISO/IEC 27001
Dit hoofdstuk sluit aan bij de vereisten inzake risicoacceptatie (clause 6) en het omgaan met
niet-naleving en corrigerende maatregelen (clause 10).

CyFun / NIS2
Dit hoofdstuk ondersteunt de GOVERN-functie en het gestructureerd omgaan met afwijkingen en risico’s.

Beleidsverklaring

De organisatie engageert zich tot het beschermen van haar informatie, systemen en processen tegen verlies, misbruik, beschadiging of onbevoegde toegang.

Dit beleid vormt het formele kader voor de toepassing van informatiebeveiliging binnen de organisatie, afgestemd op risico’s, wettelijke verplichtingen en de maatschappelijke opdracht van
de organisatie.

Informatiebeveiliging wordt beschouwd als een integraal onderdeel van goed bestuur, kwaliteitszorg en continuïteit.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001

Deze beleidsverklaring voldoet aan de vereisten van ISO/IEC 27001:2022, clausule 5.2 (Information security policy), waarin wordt vereist dat het topmanagement een informatiebeveiligingsbeleid vaststelt dat:

passend is bij het doel en de context van de organisatie;
een kader biedt voor het vaststellen van informatiebeveiligingsdoelstellingen;
een engagement bevat om te voldoen aan toepasselijke wettelijke en
normatieve vereisten;
informatiebeveiliging positioneert als onderdeel van governance en
continue verbetering.

De beleidsverklaring verankert informatiebeveiliging expliciet in goed bestuur, kwaliteitszorg en continuïteit, zoals vereist door de norm.

ISO/IEC 27002

ISO/IEC 27002 veronderstelt dat maatregelen worden afgeleid van beleidskaders die zijn afgestemd op risico’s en organisatorische context. Deze beleidsverklaring vormt dat kader en legitimeert de verdere uitwerking van beleidsprincipes en beleidsvereisten.

CyFun / NIS2

Binnen het CyFun-framework ondersteunt deze beleidsverklaring met name:

GOVERN (GV)
GV.OC — Organisational Context
GV.PO — Policy
GV.RR — Roles and Responsibilities

CyFun vereist dat informatiebeveiliging beleidsmatig wordt verankerd in de missie, risicobenadering en maatschappelijke opdracht van de organisatie. Deze beleidsverklaring vervult die kaderstellende rol en vormt de basis voor de onderliggende beleidsprincipes
(policy statements) en maatregelen.

Beleidsvereisten

In dit hoofdstuk wordt vastgelegd wat de organisatie verwacht op het vlak van governance van informatiebeveiliging.

Het beschrijft de afspraken en uitgangspunten voor bestuur en management om informatiebeveiliging op een gestructureerde en verantwoordelijke manier te organiseren.

Deze beleidsvereisten vormen het vertrekpunt voor de verdere uitwerking van onderliggende beleidsdocumenten, richtlijnen en maatregelen.

Compliance- en normatieve onderbouwing760

Waarom dit hoofdstuk bestaat

De beleidsvereisten in dit hoofdstuk zijn gebaseerd op algemeen aanvaarde principes van goed bestuur en informatiebeveiliging.

Relatie met wetgeving en standaarden

Deze vereisten ondersteunen onder meer:

de verwachtingen inzake bestuur en managementbetrokkenheid uit informatiebeveiligingsnormen;
de governanceverplichtingen uit relevante wetgeving, waaronder NIS2 en gegevensbeschermingswetgeving;
sectorale verwachtingen rond bestuurlijke verantwoordelijkheid en toezicht.

Deze toelichting dient ter duiding en opleiding en maakt geen deel uit van de normatieve beleidstekst.

Context en scope van informatiebeveiliging

De organisatie bepaalt en onderhoudt een duidelijk inzicht in haar missie, doelstellingen en context als fundament voor de governance van informatiebeveiliging.

Informatiebeveiliging wordt afgestemd op de missie, strategische doelstellingen en kernactiviteiten van de organisatie, en wordt structureel meegenomen in besluitvorming, risicobeheer en
prioritering.

De organisatie bepaalt en bewaakt de scope van informatiebeveiliging met aandacht voor interne en externe belanghebbenden, wettelijke en contractuele verplichtingen, kritieke diensten, afhankelijkheden en continuïteitsvereisten.

Deze context wordt periodiek herbekeken om te verzekeren dat zij actueel blijft en de governance van informatiebeveiliging blijvend ondersteunt.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste sluit aan bij de governanceverwachtingen rond organisatorische context (GV.OC), waaronder missie, stakeholders, wettelijke verplichtingen, kritieke diensten, afhankelijkheden en continuïteitsvereisten.

ISO/IEC 27001
Ondersteunt de vereisten inzake context van de organisatie en leiderschap (clauses 4 en 5), waarbij informatiebeveiliging wordt verankerd in missie, scope en governance.

Wetgeving en sectorale verwachtingen
Deze vereiste ondersteunt bestuurlijke verantwoordelijkheid en zorgvuldige risicosturing zoals verwacht in onder meer NIS2, gegevensbeschermingswetgeving en sectorale continuïteitsvereisten.

Risicomanagementstrategie voor informatiebeveiliging

De organisatie hanteert een gestructureerde aanpak voor het beheren van informatiebeveiligings- en cyberrisico’s.

Doelstellingen voor informatiebeveiliging worden vastgelegd, afgestemd met relevante belanghebbenden en goedgekeurd door het senior management. Deze doelstellingen worden periodiek herbekeken en aangepast wanneer significante wijzigingen optreden.

Het senior management bepaalt en communiceert de risicobereidheid (risk appetite) en risicotolerantie (risk tolerance) voor informatiebeveiliging. Deze vormen de leidraad voor keuzes in
risicobehandeling, waaronder vermijden, mitigeren, overdragen en aanvaarden.

Informatiebeveiligingsrisico’s worden geïdentificeerd, gedocumenteerd, opgevolgd en geactualiseerd als onderdeel van het organisatiebrede risicobeheer (ERM), met passend toezicht en formele
besluitvorming.

Er bestaan duidelijke communicatie- en escalatielijnen voor het melden, bespreken en opvolgen van informatiebeveiligingsrisico’s, inclusief risico’s die voortkomen uit leveranciers en andere derden.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste ondersteunt de GOVERN-risicomanagementverwachtingen (GV.RM), waaronder het vastleggen van doelstellingen, risicobereidheid en -tolerantie, integratie in ERM, formele besluitvorming en communicatielijnen (incl. leveranciersrisico’s).

ISO/IEC 27001 en risicomanagement
Deze vereiste sluit aan bij de verwachtingen rond risicogestuurd management, governance en managementbetrokkenheid binnen een ISMS. Voor risicomanagementmethodiek kan o.a. ISO/IEC 27005 als leidraad worden gebruikt (risicoanalyse, risicobehandeling en continue
actualisatie).

Wetgeving en sectorale verwachtingen
Deze vereiste ondersteunt het aantoonbaar en bestuurlijk sturen van cyberrisico’s, inclusief ketenrisico’s, zoals verwacht in relevante wet- en regelgeving en toezichtkaders.

Leiderschap, rollen en verantwoordelijkheid voor informatiebeveiliging

De organisatie borgt dat het leiderschap verantwoordelijkheid draagt voor informatiebeveiliging en cyberrisico’s.

Het senior management neemt eigenaarschap op voor het bepalen van de richting, het goedkeuren van de informatiebeveiligingsstrategie en het bevorderen van een risicobewuste, ethische en continu verbeterende beveiligingscultuur binnen de organisatie.

Rollen, verantwoordelijkheden en bevoegdheden met betrekking tot informatiebeveiliging en cyberrisicobeheer worden duidelijk vastgelegd, gedocumenteerd, gecommuniceerd en onderhouden voor zowel interne als externe betrokkenen.

De organisatie duidt een senior leidinggevende aan die verantwoordelijk is voor het organisatiebrede beheer van informatiebeveiliging en cyberrisico’s, doorgaans de Chief Information Security Officer (CISO) of een functioneel gelijkwaardige rol.

Deze functie beschikt over het nodige mandaat, verantwoordelijkheid en middelen om het informatiebeveiligings- en cyberrisicobeheer te coördineren, uit te werken, op te volgen en te onderhouden.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste ondersteunt de governanceverwachtingen inzake leiderschap, verantwoordelijkheid, rolafbakening en middelen voor informatiebeveiliging en cyberrisicobeheer, zoals beschreven binnen GV.RR-01 (leadership & accountability), GV.RR-02 (rollen,
verantwoordelijkheden en bevoegdheden) en GV.RR-03 (toewijzing van voldoende middelen en mandaat).

ISO/IEC 27001
Sluit aan bij de vereisten rond leiderschap, verantwoordelijkheden, toewijzing van rollen en middelen binnen een ISMS, inclusief het beschikbaar stellen van adequate resources, managementbetrokkenheid en duidelijke accountability.

Wetgeving en toezicht
Ondersteunt bestuurlijke verantwoordelijkheid, transparantie en aantoonbaar managementtoezicht, inclusief het voorzien van passende
middelen voor informatiebeveiliging, zoals verwacht binnen relevante wetgeving en toezichtkaders.

Beleidslevenscyclus, goedkeuring en handhaving

De organisatie hanteert een samenhangend kader voor het opstellen, goedkeuren, communiceren, herzien en handhaven van informatiebeveiligings- en cyberbeveiligingsbeleid.

Beleidsdocumenten zijn gebaseerd op de organisatiecontext, de risicomanagementstrategie en vastgestelde prioriteiten, en leggen duidelijke verwachtingen vast inzake gewenst gedrag en de bescherming van informatie en systemen.

Alle informatiebeveiligingsbeleidsdocumenten en procedures worden formeel vastgelegd, goedgekeurd door het senior management, gecommuniceerd aan de relevante doelgroepen en toegankelijk gemaakt voor iedereen die ze moet naleven.

Beleid wordt periodiek geëvalueerd en aangepast wanneer zich belangrijke wijzigingen voordoen, zoals veranderingen in risico’s, wet- en regelgeving, technologie, organisatiestructuur of strategische
doelstellingen.

Het senior management ziet toe op de implementatie en handhaving van het informatiebeveiligingsbeleid, met duidelijke eigenaarschap, verantwoordelijkheden en mechanismen om naleving op te volgen.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste ondersteunt de governanceverwachtingen inzake het beleidskader voor informatie- en cyberbeveiliging, waaronder het opstellen, goedkeuren, actualiseren, communiceren en afdwingen van beleid en procedures (GV.PO).

ISO/IEC 27001
Sluit aan bij de vereisten rond het vaststellen en onderhouden van beleid binnen een ISMS, inclusief goedkeuring door management, periodieke herziening, communicatie, toewijzing van eigenaarschap en handhaving.

Wetgeving en toezicht
Ondersteunt aantoonbaar beleid en governance rond informatiebeveiliging, zoals verwacht binnen relevante wetgeving en toezichtkaders, inclusief verantwoordelijkheid van het management en bewijs van naleving.

Toezicht en prestatie-evaluatie van risicobeheer voor informatiebeveiliging

De organisatie zorgt ervoor dat haar aanpak voor het beheren van informatiebeveiligings- en cyberrisico’s onderworpen is aan passend toezicht.

Het senior management herbekijkt de risicomanagementstrategie op geplande tijdstippen en stuurt bij waar nodig, zodat de strategie blijft aansluiten op organisatienoden, veranderende risico’s en
complianceverplichtingen.

De organisatie evalueert de werking en prestaties van haar risicobeheer aan de hand van relevante indicatoren en managementinformatie. De resultaten worden gerapporteerd aan de leiding en gebruikt voor corrigerende maatregelen en continue verbetering.

De risicomanagementstrategie en ondersteunende beleidsdocumenten worden herzien na significante wijzigingen, ernstige incidenten of relevante bevindingen uit audits en evaluaties.

Voorbeelden van indicatoren zijn: tijd tot detectie, tijd tot herstel, aantal kritieke kwetsbaarheden, en status van belangrijkste acties uit audits en risico-evaluaties.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste ondersteunt de governanceverwachtingen rond oversight en bijsturing van risicomanagement, inclusief periodieke review van de strategie, gebruik van auditresultaten, rapportering en prestatie-evaluatie via indicatoren (GV.OV).

ISO/IEC 27001
Sluit aan bij de vereisten rond prestatie-evaluatie, interne audit en management review, waarbij bevindingen leiden tot bijsturing en continue verbetering (o.a. clauses 9 en 10).

Wetgeving en sectorale verwachtingen
Ondersteunt aantoonbaar toezicht, rapportering en verbetering van de cyberweerbaarheid, inclusief opvolging na incidenten en audits.

Governance van informatiebeveiliging in de toeleveringsketen

De organisatie borgt governance voor het beheren van informatiebeveiligings- en cyberrisico’s die voortvloeien uit leveranciers, partners en andere derden binnen de toeleveringsketen.

Er wordt een gestructureerde aanpak voor supply chain cyberrisicobeheer vastgelegd, afgestemd met relevante belanghebbenden en geïntegreerd in de organisatiebrede risicomanagementstrategie.

Risico’s in de toeleveringsketen worden systematisch geïdentificeerd, beoordeeld, geprioriteerd, opgevolgd en gemonitord gedurende de volledige levenscyclus van leveranciersrelaties, producten en diensten, en maken integraal deel uit van het enterprise en informatiebeveiligingsrisicobeheer.

Informatiebeveiligingsvereisten voor leveranciers en derden worden vastgelegd op basis van risico en kriticiteit en geïntegreerd in contracten en andere formele afspraken, met passende mechanismen
voor opvolging, toetsing en handhaving.

Waar relevant worden leveranciers en andere derden betrokken bij incidentplanning, respons en herstel om de weerbaarheid en continuïteit van de organisatie te ondersteunen.

Compliance- en normatieve onderbouwing760

CyFun
Deze beleidsvereiste ondersteunt de governanceverwachtingen inzake cybersecurity supply chain risk management, waaronder het vastleggen van strategie, beleid en processen, integratie in ERM, contractuele vereisten, due diligence, monitoring, auditing en betrokkenheid bij incidentrespons, zoals beschreven binnen GV.SC.

ISO/IEC 27001 en aanverwante standaarden
Sluit aan bij vereisten rond beheersing van externe partijen, risicogestuurde contractuele afspraken en continue opvolging binnen een ISMS, waaronder principes uit ISO/IEC 27001 en ISO/IEC 27036
(supply chain security).

Wetgeving en toezicht
Ondersteunt aantoonbaar beheer van ketenrisico’s, inclusief derdenrisico’s en afhankelijkheden, zoals verwacht binnen relevante wetgeving en sectorale toezichtkaders.

Definities en termen

De termen die in dit beleid worden gebruikt, zijn gedefinieerd in de centrale begrippenlijst van de organisatie.
Deze centrale glossary waarborgt een consistente interpretatie van begrippen inzake informatiebeveiliging, risicobeheer en governance over alle beleidsdocumenten, procedures en beheersmaatregelen heen.

Kernbegrippen informatiebeveiliging

Informatiebeveiliging (Information security)
Cyberbeveiliging (Cybersecurity)
Vertrouwelijkheid (Confidentiality)
Integriteit (Integrity)
Beschikbaarheid (Availability)
Authenticiteit (Authenticity)
Onweerlegbaarheid (Non-repudiation)
Privacy (Privacy)
Persoonsgegevens (Personal data)

Governance en verantwoordelijkheden

Bestuursorgaan (Board)
Senior management (Senior management)
Chief Information Security Officer (CISO) (Chief Information Security Officer)
Belanghebbenden (Stakeholders)
Interne audit (Internal audit)

Risicomanagement

Risico (Risk)
Risicobeheer (Risk management)
Organisatiebreed risicobeheer (Enterprise Risk Management – ERM)
Risicobereidheid (Risk appetite)
Risicotolerantie (Risk tolerance)
Restrisico (Residual risk)
Risicobeoordeling (Risk assessment)

Beleidskader en naleving

Beleid (Policy)
Beheersmaatregel (Control)
Naleving (Compliance)
Wettelijke vereisten (Legal requirements)
Regelgevende vereisten (Regulatory requirements)
Contractuele vereisten (Contractual requirements)
Uitzondering (Exception)
Afwijking (Deviation)

Derden en toeleveringsketen (op beleidsniveau)

Derde partij (Third party)
Leverancier (Supplier)
Toeleveringsketen (Supply chain)

”
},
{
“id”: “33030145”,
“title”: “Cybersecurity Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Information Security Policy / Cybersecurity Policy”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 27708,
“body”: “

Beleid Cyberbeveiliging

Context

De organisatie is in toenemende mate afhankelijk van digitale systemen, netwerken en technologieën voor zorgverlening, patiëntveiligheid en operationele continuïteit. Cyberdreigingen kunnen deze werking rechtstreeks verstoren, zowel door het uitvallen van systemen als door ongewenste toegang of manipulatie van informatie. Daarom organiseert de organisatie cyberbeveiliging als een expliciet beleidsdomein onder het overkoepelend beleid informatiebeveiliging, met als doel de digitale weerbaarheid structureel te versterken.

Doel

Dit beleid legt vast hoe de organisatie cyberbeveiliging benadert, aanstuurt en versterkt. Het beschrijft de uitgangspunten, verantwoordelijkheden en minimale verwachtingen om cyberrisico’s te beheersen, systemen te beschermen en de impact van cyberincidenten te beperken, in functie van veilige en continue zorgverlening.

Reikwijdte

Dit beleid is van toepassing op alle digitale systemen, netwerken, toepassingen, infrastructuurcomponenten en technologieën die door of namens de organisatie worden gebruikt of beheerd, inclusief medische technologie met digitale componenten. Het geldt voor alle medewerkers, artsen, stagiairs, vrijwilligers en externe partijen (zoals leveranciers en dienstverleners) die toegang hebben tot systemen of informatie van de organisatie, of hierop een impact kunnen uitoefenen.

Eigenaarschap, goedkeuring & herziening

Dit beleid valt onder het overkoepelend beleid informatiebeveiliging en concretiseert dit voor cyberbeveiliging. Het dagelijks bestuur draagt verantwoordelijkheid voor implementatie en opvolging. Het bestuursorgaan bewaakt dat cyberbeveiliging structureel is ingebed in de organisatie en dat de uitvoering in lijn is met de doelstellingen rond patiëntveiligheid en continuïteit.

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan en Dagelijks Bestuur

Het bestuursorgaan ziet toe op de effectiviteit van het cyberbeveiligingsbeleid en op de mate waarin cyberrisico’s beheerst worden in relatie tot de strategische doelstellingen van de organisatie. Het dagelijks bestuur staat in voor de operationalisering van dit beleid, zorgt voor prioritering, middelen en besluitvorming, en stuurt bij waar nodig op basis van risico’s, incidenten en voortgang.

Eerste lijn – Directies & afdelingshoofden

Directies en afdelingshoofden zorgen ervoor dat het beleid wordt toegepast in de dagelijkse werking. Zij bewaken dat afspraken rond veilig gebruik van systemen, toegangen, processen en samenwerking met externe partijen worden nageleefd, en dat risico’s en tekortkomingen tijdig worden gesignaleerd en opgevolgd.

Tweede lijn

CRO – Chief Risk Officer

Zorgt dat cyberrisico’s structureel worden opgenomen in het risicobeheer en dat prioriteiten en rapportering hierover aansluiten op het bredere risicokader.

CISO – Chief Information Security Officer

Stuurt het cyberbeveiligingsprogramma inhoudelijk aan, bewaakt de samenhang tussen maatregelen en risico’s, en ondersteunt de organisatie bij de uitwerking, opvolging en verbetering van cyberbeveiligingsmaatregelen.

DPO – Data Protection Officer

Wordt betrokken wanneer cyberrisico’s of incidenten impact kunnen hebben op persoonsgegevens en ondersteunt bij de beoordeling van risico’s en passende maatregelen.

Kwaliteit en Patiëntveiligheid

Bewaakt de link tussen cyberbeveiliging en patiëntveiligheid en ondersteunt bij het vertalen van cyberrisico’s naar mogelijke impact op zorgprocessen.

Personeelsdient (HR)

Ondersteunt de integratie van cyberbewustzijn en rolgerichte competenties in onboarding en opleidingstrajecten.

Preventiedienst (welzijn & veiligheid op het werk)

Wordt betrokken wanneer cyberincidenten of maatregelen raakvlakken hebben met welzijn, veiligheid of werkorganisatie.

Communicatiedienst

Ondersteunt bij interne communicatie rond veilig gedrag en bij gecoördineerde communicatie tijdens cyberincidenten.

Facility / Infrastructure / Safety

Ondersteunt bij maatregelen en incidenten met impact op fysieke infrastructuur, toegangsbeveiliging en operationele continuïteit op locatie.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het dagelijks bestuur.

Herziening en onderhoud

Dit beleid wordt minstens jaarlijks geëvalueerd en geactualiseerd. Tussentijdse herziening gebeurt wanneer incidenten, belangrijke wijzigingen in de digitale omgeving, of nieuwe risico’s hiertoe aanleiding geven.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk en worden enkel toegestaan na expliciete goedkeuring door het dagelijks bestuur, met documentatie van de motivatie, de risico’s en de compenserende maatregelen.

Beleidsverklaring

De organisatie beschouwt cyberbeveiliging als een noodzakelijke voorwaarde voor betrouwbare en continue zorg. Cyberbeveiliging wordt georganiseerd als een samenhangend geheel van governance, risicobeheer en maatregelen dat gericht is op preventie, tijdige detectie, doeltreffende respons en herstel. De organisatie verwacht van iedereen die met digitale systemen en informatie werkt een actieve bijdrage aan veilig en verantwoordelijk handelen.

Beleidsvereisten

Governance en sturing van cyberbeveiliging

De organisatie borgt dat cyberbeveiliging expliciet wordt aangestuurd binnen vastgelegde governance- en besluitvormingsstructuren. Rollen, verantwoordelijkheden en bevoegdheden zijn duidelijk bepaald, zodat cyberrisico’s tijdig worden besproken, geprioriteerd en opgevolgd op het juiste niveau.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 5 . 1
Deze beleidsvereiste borgt dat cyberbeveiliging wordt aangestuurd via duidelijke verantwoordelijkheden, bevoegdheden en besluitvorming binnen de organisatie.
ISO/IEC 27001:2022 Annex A, control A . 5 . 2
Deze beleidsvereiste ondersteunt de integratie van cyberbeveiliging in het bredere kader van organisatiebrede governance en managementverantwoordelijkheid.
CyFun 2025, domein Govern, control GV . OR . 01
Deze beleidsvereiste borgt dat cyberbeveiliging formeel is verankerd in de organisatiestructuur en wordt aangestuurd op het juiste beslissingsniveau.

2. Risicogestuurde benadering van cyberdreigingen

Cyberrisico’s worden systematisch geïdentificeerd, geanalyseerd en beoordeeld in relatie tot de werking van de organisatie. De organisatie bepaalt prioriteiten op basis van impact op zorgprocessen, patiëntveiligheid, continuïteit en afhankelijkheden, en niet louter op basis van technische kwetsbaarheden.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 clause 6 . 1 . 2
Deze beleidsvereiste borgt dat cyberrisico’s systematisch worden geïdentificeerd, beoordeeld en opgevolgd als basis voor prioriteiten en maatregelen.
ISO/IEC 27001:2022 clause 6 . 1 . 3
Deze beleidsvereiste ondersteunt dat risico’s worden behandeld via passende maatregelen en dat keuzes aantoonbaar aansluiten op het risicobeeld.
ISO/IEC 27002:2022, control 5 . 4
Deze beleidsvereiste ondersteunt het structureel en consistent uitvoeren van informatiebeveiligingsrisicomanagement als sturend principe voor cyberbeveiliging.
CyFun 2025, domein Govern, control GV . RM . 01
Deze beleidsvereiste borgt dat cyberrisico’s worden beheerd binnen een formeel risicobeheerproces met duidelijke prioritering en opvolging.

3. Inzicht in digitale assets en afhankelijkheden

De organisatie behoudt actueel inzicht in haar digitale systemen, netwerken, toepassingen en ondersteunende technologieën, evenals in de onderlinge afhankelijkheden tussen deze assets. Dit inzicht vormt de basis voor beschermingsmaatregelen, detectie, incidentafhandeling en herstel.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 5 . 9
Deze beleidsvereiste borgt dat de organisatie inzicht behoudt in relevante digitale assets zodat bescherming, opvolging en herstel gericht kunnen worden ingericht.
ISO/IEC 27002:2022, control 5 . 9
Deze beleidsvereiste ondersteunt het bijhouden en onderhouden van een inventaris van assets als basis voor beheer en risicogestuurde maatregelen.
ISO/IEC 27001:2022 Annex A, control A . 8 . 9
Deze beleidsvereiste borgt dat configuraties en samenhang tussen componenten beheersbaar blijven, zodat afhankelijkheden zichtbaar zijn en gecontroleerd kunnen worden aangepast.
CyFun 2025, domein Identify, control ID . AM . 01
Deze beleidsvereiste borgt dat kritieke digitale middelen en hun afhankelijkheden worden geïdentificeerd en actueel gehouden als basis voor prioritering en bescherming.

4. Bescherming van digitale systemen en infrastructuur

De organisatie neemt passende organisatorische en technische maatregelen om digitale systemen en infrastructuur te beschermen tegen cyberdreigingen. De gekozen maatregelen zijn proportioneel aan het belang en het risico van de betrokken systemen en ondersteunen veilige en betrouwbare zorgverlening.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, controls A . 8 . 7 en A . 8 . 8
Deze beleidsvereiste borgt dat de organisatie bescherming voorziet tegen courante dreigingen en dat kwetsbaarheden in systemen beheerst worden zodat uitbuiting en verstoring worden voorkomen.
ISO/IEC 27001:2022 Annex A, control A . 8 . 9
Deze beleidsvereiste borgt dat configuraties gecontroleerd en beheersbaar blijven, zodat systemen aantoonbaar in een veilige toestand worden ingericht en wijzigingen beheerst verlopen.
ISO/IEC 27001:2022 Annex A, control A . 8 . 20
Deze beleidsvereiste borgt dat netwerken en netwerkdiensten passend worden beveiligd zodat ongeautoriseerd gebruik en laterale beweging worden beperkt.
CyFun 2025, domein Protect, control PR . IR – 01
Deze beleidsvereiste borgt dat netwerken en omgevingen beschermd worden tegen ongeautoriseerde logische toegang en gebruik.
CyFun 2025, domein Protect, control PR . PS – 05
Deze beleidsvereiste borgt dat installatie en uitvoering van ongeautoriseerde software worden voorkomen om de integriteit en betrouwbaarheid van systemen te beschermen.

5. Detectie en monitoring van cyberdreigingen

De organisatie voorziet mechanismen om afwijkingen, misbruik en verdachte activiteiten tijdig te detecteren. Detectie en monitoring zijn gericht op het vroegtijdig herkennen van cyberincidenten en het beperken van hun potentiële impact.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 8 . 16
Deze beleidsvereiste borgt dat activiteiten en gebeurtenissen op systemen en netwerken worden gemonitord zodat afwijkingen en potentiële cyberdreigingen tijdig worden herkend.
ISO/IEC 27002:2022, control 8 . 16
Deze beleidsvereiste ondersteunt het verzamelen en analyseren van log- en monitoringinformatie als basis voor detectie van misbruik en incidenten.
ISO/IEC 27001:2022 Annex A, control A . 8 . 15
Deze beleidsvereiste borgt dat relevante informatie over activiteiten beschikbaar is om detectie en onderzoek van cyberincidenten mogelijk te maken.
CyFun 2025, domein Detect, control DE . CM . 01
Deze beleidsvereiste borgt continue monitoring van cyberactiviteiten om afwijkingen en mogelijke incidenten tijdig te identificeren.
CyFun 2025, domein Detect, control DE . AE . 01
Deze beleidsvereiste borgt analyse van waargenomen gebeurtenissen om vast te stellen of sprake is van een cyberincident.

6. Beheer en afhandeling van cyberincidenten

Cyberincidenten worden behandeld volgens vastgelegde afspraken voor melding, analyse, besluitvorming, escalatie en afhandeling. De organisatie borgt dat cyberincidenten gecoördineerd worden aangepakt en dat de impact op zorgprocessen zo snel mogelijk wordt beperkt.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Deze beleidsvereiste borgt dat de organisatie voorbereid is om cyberincidenten gestructureerd te behandelen via vastgelegde rollen, verantwoordelijkheden en werkwijzen.
ISO/IEC 27001:2022 Annex A, control A . 5 . 25
Deze beleidsvereiste borgt dat gebeurtenissen worden beoordeeld en geclassificeerd zodat tijdig wordt beslist of sprake is van een cyberincident en welke prioriteit geldt.
ISO/IEC 27001:2022 Annex A, control A . 5 . 26
Deze beleidsvereiste borgt gecoördineerde respons op cyberincidenten om impact te beperken en de werking veilig te herstellen.
ISO/IEC 27001:2022 Annex A, control A . 5 . 27
Deze beleidsvereiste borgt dat lessen uit cyberincidenten worden benut om maatregelen en aanpak structureel te verbeteren.
CyFun 2025, domein Respond, control RS . MA . 02
Deze beleidsvereiste borgt formele triage en validatie van cyberincidenten als basis voor proportionele respons.
CyFun 2025, domein Respond, control RS . MI . 01
Deze beleidsvereiste borgt uitvoering van responsmaatregelen om cyberincidenten te beperken en te beheersen.

7. Herstel en continuïteit na cyberincidenten

De organisatie zorgt ervoor dat herstelmaatregelen beschikbaar zijn om digitale systemen en zorgprocessen te herstellen na een cyberincident. Cyberbeveiliging is afgestemd op maatregelen voor continuïteit en crisisbeheer, zodat essentiële zorgverlening kan worden gegarandeerd.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 5 . 30
Deze beleidsvereiste borgt dat de organisatie voorbereidingen treft om systemen en diensten tijdig te herstellen na verstoringen door cyberincidenten.
ISO/IEC 27001:2022 Annex A, control A . 5 . 29
Deze beleidsvereiste borgt dat continuïteitsmaatregelen worden afgestemd op informatiebeveiligingsvereisten zodat essentiële werking kan worden behouden of hernomen.
ISO/IEC 27002:2022, control 5 . 30
Deze beleidsvereiste ondersteunt het plannen en testen van herstelmaatregelen om de impact van cyberincidenten op kritieke processen te beperken.
CyFun 2025, domein Recover, control RC . RP . 01
Deze beleidsvereiste borgt dat herstelplannen beschikbaar zijn en geactiveerd kunnen worden na cyberincidenten met significante impact.
CyFun 2025, domein Recover, control RC . IM . 01
Deze beleidsvereiste borgt dat herstelactiviteiten worden geëvalueerd en verbeterd op basis van ervaringen uit incidenten.

8. Beheer van cyberrisico’s bij externe partijen

De organisatie houdt rekening met cyberrisico’s die voortvloeien uit samenwerking met externe partijen, leveranciers en dienstverleners. Verwachtingen rond cyberbeveiliging worden meegenomen in samenwerkingsafspraken en opgevolgd in functie van risico en afhankelijkheid.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 5 . 19
Deze beleidsvereiste borgt dat cyberbeveiligingsverwachtingen en -maatregelen voor leveranciers en dienstverleners vooraf worden vastgelegd en consequent worden toegepast.
ISO/IEC 27001:2022 Annex A, control A . 5 . 20
Deze beleidsvereiste borgt dat relevante cyberbeveiligingsvereisten contractueel en operationeel worden geborgd in afspraken met externe partijen.
ISO/IEC 27001:2022 Annex A, control A . 5 . 21
Deze beleidsvereiste borgt dat de organisatie cyberrisico’s in de toeleveringsketen systematisch beheerst, inclusief risico’s die voortkomen uit producten en diensten van derden.
ISO/IEC 27001:2022 Annex A, control A . 5 . 22
Deze beleidsvereiste borgt dat de organisatie prestaties en naleving van afgesproken beveiligingsvereisten bij leveranciers opvolgt en waar nodig bijstuurt.
ISO/IEC 27001:2022 Annex A, control A . 5 . 23
Deze beleidsvereiste borgt dat cyberbeveiligingsmaatregelen expliciet rekening houden met afhankelijkheden in ICT-leveringsketens en externe dienstverlening.
ISO/IEC 27002:2022, controls 5 . 19 tot 5 . 23
Deze beleidsvereiste ondersteunt het praktisch uitwerken van leveranciersbeheer, contractuele borging, opvolging en ketenrisicobeheer als onderdeel van cyberweerbaarheid.
CyFun 2025, domein Govern, control GV . SC – 05
Deze beleidsvereiste borgt dat vereisten om cyberrisico’s in de supply chain te adresseren worden vastgesteld, geprioriteerd en geïntegreerd in contracten en andere afspraken met leveranciers en relevante derde partijen.
CyFun 2025, domein Govern, control GV . SC – 07
Deze beleidsvereiste borgt dat risico’s vanuit leveranciers en derde partijen gedurende de volledige looptijd van de relatie worden begrepen, vastgelegd, beoordeeld, opgevolgd en gemonitord.

9. Bewustzijn, competenties en verantwoordelijk gedrag

De organisatie verwacht dat iedereen die met digitale systemen werkt zich bewust is van cyberrisico’s en verantwoordelijk handelt. Bewustmaking en opleiding ondersteunen veilig gedrag en correcte toepassing van afspraken rond cyberbeveiliging.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 Annex A, control A . 6 . 3
Deze beleidsvereiste borgt dat medewerkers beschikken over passende bewustwording, opleiding en training zodat zij cyberrisico’s herkennen en correct handelen.
ISO/IEC 27002:2022, control 6 . 3
Deze beleidsvereiste ondersteunt structurele awareness- en opleidingsinitiatieven afgestemd op rollen, verantwoordelijkheden en risico’s.
ISO/IEC 27001:2022 Annex A, control A . 6 . 6
Deze beleidsvereiste borgt dat verantwoordelijk gedrag en naleving van afspraken rond cyberbeveiliging deel uitmaken van verwachtingen ten aanzien van medewerkers.
CyFun 2025, domein Govern, control GV . AT . 01
Deze beleidsvereiste borgt dat bewustmaking en opleiding rond cyberbeveiliging structureel worden georganiseerd en gedragen binnen de organisatie.
CyFun 2025, domein Govern, control GV . AT . 02
Deze beleidsvereiste borgt dat cybercompetenties worden ontwikkeld en onderhouden in functie van rollen en verantwoordelijkheden.

10. Evaluatie, opvolging en continue verbetering

De organisatie evalueert periodiek de effectiviteit van haar cyberbeveiligingsaanpak. Bevindingen uit incidenten, evaluaties en wijzigingen in risico’s worden gebruikt om het beleid, de maatregelen en de prioriteiten bij te sturen en de cyberweerbaarheid verder te versterken.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 clause 9 . 1
Deze beleidsvereiste borgt dat de organisatie de werking en effectiviteit van cyberbeveiliging periodiek evalueert aan de hand van vastgelegde criteria.
ISO/IEC 27001:2022 clause 9 . 3
Deze beleidsvereiste borgt dat de resultaten van evaluaties, incidenten en voortgang worden besproken binnen het management en leiden tot bijsturing waar nodig.
ISO/IEC 27001:2022 clause 10 . 1
Deze beleidsvereiste borgt dat tekortkomingen en verbeterkansen structureel worden omgezet in corrigerende en verbetermaatregelen.
ISO/IEC 27002:2022, control 5 . 27
Deze beleidsvereiste ondersteunt het benutten van inzichten uit incidenten en evaluaties om cyberbeveiligingsmaatregelen te versterken.
CyFun 2025, domein Govern, control GV . IM . 01
Deze beleidsvereiste borgt dat verbeteracties systematisch worden opgevolgd en geïntegreerd in de verdere opbouw van cyberweerbaarheid.

”
},
{
“id”: “78577665”,
“title”: “Cybersecurity Requirements for Essential Services Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Information Security Policy / Cybersecurity Policy / Cybersecurity Requirements for Essential Services Policy”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 121,
“body”: “

Beleid Cybersecurityvereisten voor Essentiële Diensten

”
},
{
“id”: “36405457”,
“title”: “Adoption of the Data Privacy Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Adoption of the Data Privacy Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “31850550”,
“title”: “Adoption of the Third Party & Supply Chain Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Adoption of the Third Party & Supply Chain Management Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 499,
“body”: “

Adoption of the Third Party & Supply Chain Management Policy from the Third Party & Supply Chain Management System (TPSCMS).

”
},
{
“id”: “35160366”,
“title”: “Adoption of the Compliance & Audit Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / GOVERN / Policies (CyFun 2025 PO) / Adoption of the Compliance & Audit Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 485,
“body”: “

n het kader van het ISMS adopteert de organisatie het Compliance- en Auditbeleid dat is vastgesteld binnen het Compliance Management System (CMS), als leidend kader voor naleving en audit.

”
},
{
“id”: “32440351”,
“title”: “IDENTIFY”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “15269890”,
“title”: “Asset Management Framework”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 509,
“body”: “3true0

”
},
{
“id”: “33128456”,
“title”: “Asset Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework / Asset Management Policy”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “4390933”,
“title”: “IT Asset Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework / Asset Management Policy / IT Asset Management Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “5308422”,
“title”: “OT Asset Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework / Asset Management Policy / OT Asset Management Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “5734415”,
“title”: “Medical Device Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework / Asset Management Policy / Medical Device Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “2359297”,
“title”: “Asset classification policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Asset Management Framework / Asset Management Policy / Asset classification policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 129401,
“body”: “none

Context

De organisatie is in toenemende mate afhankelijk van een breed spectrum aan assets, waaronder processen, informatie, applicaties, infrastructuur en externe diensten, voor het leveren van veilige, continue en betrouwbare zorg.

Een correcte en consistente classificatie van deze assets volgens hun kriticiteit is essentieel om:

risico’s tijdig te identificeren;
passende beveiligings-, continuïteits- en herstelmaatregelen te bepalen;
middelen proportioneel in te zetten;
en te voldoen aan wettelijke en normatieve vereisten.

Deze policy legt het kader vast voor de classificatie van assets binnen de organisatie en vormt de basis voor verdere risicobeoordeling, business impact analyse, continuïteitsplanning en andere beheersmaatregelen.

Doel

Het doel van deze policy is het vastleggen van een organisatiebreed en consistent kader voor de classificatie van assets volgens hun kriticiteit.

Deze policy heeft als doel:

het ondersteunen van een uniforme en herhaalbare beoordeling van de kriticiteit van assets;
het creëren van een Single Source of Truth (SSOT) voor assetclassificatie;
het mogelijk maken van proportionele risico-, beveiligings- en continuïteitsmaatregelen;
het ondersteunen van besluitvorming binnen risicomanagement, business impact analyse en business continuity;
het borgen van samenhang tussen verschillende beheersdomeinen zoals informatiebeveiliging, bedrijfscontinuïteit, fysieke beveiliging en leveranciersmanagement.

De classificatie zoals vastgelegd in deze policy vormt de basis voor onderliggende analyses, plannen en maatregelen, zonder deze te dupliceren.

Reikwijdte

Deze policy is van toepassing op alle assets van de organisatie, ongeacht vorm, locatie of eigenaarschap.

De scope omvat in elk geval:

processen (zorgprocessen en ondersteunende processen);
informatie en data, ongeacht drager of formaat;
applicaties en informatiesystemen;
IT-, OT- en medische technologie (MD / MedTech);
gebouwen, infrastructuur en fysieke middelen;
externe diensten en leveranciers die een rol spelen in de zorgverlening of bedrijfsvoering.

Deze policy is van toepassing op alle organisatorische eenheden, locaties en activiteiten van de organisatie en geldt voor zowel interne medewerkers als externe partijen voor zover zij assets van de organisatie beheren of gebruiken.

Afwijkingen van deze reikwijdte zijn uitsluitend toegestaan conform het hoofdstuk Uitzonderingen en afwijkingen.

Eigenaarschap, goedkeuring & herziening

Dit hoofdstuk beschrijft hoe het eigenaarschap, de verantwoordelijkheden, de formele goedkeuring en het onderhoud van deze Asset Classification Policy zijn georganiseerd.

Eigenaarschap en verantwoordelijkheden

Het eigenaarschap en de verantwoordelijkheden met betrekking tot deze Asset Classification Policy zijn ingericht volgens het drie-lijnenmodel, met een duidelijke rolverdeling tussen het Bestuursorgaan, het Dagelijks Bestuur en de uitvoerende en ondersteunende functies.

Bestuursorgaan en Dagelijks Bestuur

Het Bestuursorgaan (Raad van Bestuur) oefent toezicht uit op de wijze waarop assetclassificatie en kriticiteitsbepaling binnen de organisatie zijn ingericht en toegepast.

Het Bestuursorgaan:

houdt toezicht op de doeltreffendheid van het assetmanagement- en classificatiekader;
ziet toe op de naleving van wettelijke en normatieve vereisten;
ontvangt rapportage over significante risico’s en kritieke assets.

Het Bestuursorgaan is niet betrokken bij de operationele uitvoering of dagelijkse toepassing van deze policy.

Het Dagelijks Bestuur is eigenaar van deze policy en eindverantwoordelijk voor de implementatie en werking ervan binnen de organisatie.

Het Dagelijks Bestuur:

stelt deze Asset Classification Policy formeel vast;
stelt classificatiekaders en kriticiteitsschalen vast;
borgt dat assetclassificatie structureel en consistent wordt toegepast;
stelt de nodige middelen ter beschikking;
neemt beslissingen bij escalaties of significante classificatievraagstukken.

Eerste lijn – Directies, afdelingshoofden en stafdiensten

De eerste lijn is verantwoordelijk voor het identificeren en classificeren van assets binnen het eigen verantwoordelijkheidsdomein, conform deze policy en de vastgestelde classificatiekaders.

De eerste lijn:

identificeert assets die worden gebruikt of beheerd;
past de vastgestelde classificatiekaders toe;
actualiseert classificaties bij wijzigingen in context, gebruik of risico;
levert correcte classificatie-informatie aan voor onderliggende analyses en plannen.

Tweede lijn

De tweede lijn omvat de onafhankelijke ondersteunende en toezichthoudende functies die het Dagelijks Bestuur adviseren en de eerste lijn ondersteunen bij het correct toepassen van deze Asset Classification Policy.

De tweede lijn heeft geen uitvoerende verantwoordelijkheid voor de dagelijkse classificatie van assets, maar bewaakt het kader, de consistentie en de samenhang met risicomanagement, compliance en zorgkwaliteit.

Binnen de tweede lijn worden, afhankelijk van de omvang en maturiteit van de organisatie, de volgende functies onderscheiden.

Chief Risk Officer – CRO / Risicomanagementfunctie (indien van toepassing)

De Chief Risk Officer (CRO), maakt deel uit van de tweede lijn.

Deze functie:

bewaakt de aansluiting tussen assetclassificatie en het organisatiebrede ERM-kader;
adviseert over de impact van classificaties op risicoprioritering en -behandeling;
ondersteunt bij escalatie van significante classificatiebeslissingen.

Chief Information Security Officer – CISO

De CISO maakt formeel deel uit van de tweede lijn en is verantwoordelijk voor de samenhang tussen assetclassificatie, informatiebeveiliging en cyberweerbaarheid.

De CISO

adviseert over de classificatie van assets vanuit beveiligings- en beschikbaarheidsperspectief;
bewaakt de aansluiting tussen assetclassificatie en het ISMS;
ondersteunt de eerste lijn bij complexe of betwiste classificatievraagstukken;
signaleert inconsistenties of structurele tekortkomingen in classificatie;
rapporteert hierover aan het Dagelijks Bestuur.

Data Protection Officer – DPO

De DPO maakt formeel deel uit van de tweede lijn en vervult een onafhankelijke advies- en toezichtsrol met betrekking tot persoonsgegevens en privacy.

De DPO:

adviseert over de classificatie van assets die persoonsgegevens bevatten;
bewaakt de correcte toepassing van privacy- en dataclassificatiekaders;
signaleert classificaties met verhoogde privacy-impact;
adviseert over mogelijke gevolgen voor rechten van betrokkenen, DPIA-verplichtingen en meldplichten;
bewaakt de samenhang tussen assetclassificatie, privacybeleid en het PIMS (indien van toepassing).

Kwaliteit en patiëntveiligheid (zorgspecifiek)

De functie kwaliteit en patiëntveiligheid maakt deel uit van de tweede lijn en levert zorginhoudelijke expertise bij de classificatie van processen.

Deze functie:

adviseert over proceskriticiteit vanuit patiëntveiligheid en zorgcontinuïteit;
ondersteunt bij het correct toepassen van zorgspecifieke impactcriteria;
bewaakt de samenhang met kwaliteits- en veiligheidskaders.

Compliance officer (indien van toepassing)

De Compliance officer ondersteunt de de tweede lijn door:

te adviseren over wettelijke en contractuele impact van classificaties;
te signaleren wanneer classificaties gevolgen hebben voor meldplichten of toezicht;
samenhang te bewaken met privacy- en compliancekaders.

Compliance – en normatieve onderbouwing

De positionering van functies in de tweede lijn binnen deze Asset Classification Policy is gebaseerd op erkende governance- en risicomanagementprincipes:

NIS2 (Richtlijn (EU) 2022/2555)
- Vereist duidelijke verantwoordelijkheden voor identificatie en classificatie van assets en kritieke functies, met onafhankelijke ondersteuning en toezicht.
ISO/IEC 27001
- Vereist formele roltoewijzing voor assetbeheer en informatiebeveiliging, inclusief een onafhankelijke beveiligingsfunctie.
GDPR & ISO/IEC 27701
- Benadrukken de onafhankelijke advies- en toezichtsrol van de Data Protection Officer bij verwerkingen van persoonsgegevens.
ISO 31000
- Ondersteunt het drie-lijnenmodel en rolzuiverheid tussen uitvoering, ondersteuning/toezicht en assurance.

Deze inrichting borgt onafhankelijke, deskundige en consistente toepassing van assetclassificatie binnen de organisatie.

Goedkeuring

Deze Asset Classification Policy wordt formeel vastgesteld door het Dagelijks Bestuur.

Door vaststelling bevestigt het Dagelijks Bestuur dat:

assetclassificatie een verplicht onderdeel is van het organisatiebrede risicobeheer;
de vastgestelde classificatiekaders als Single Source of Truth gelden;
voldoende middelen beschikbaar worden gesteld voor implementatie en onderhoud.

Deze policy treedt in werking op de datum van vaststelling en vervangt eventuele eerdere versies.

Herziening en onderhoud

Deze Asset Classification Policy wordt onderhouden om de actualiteit, toepasbaarheid en effectiviteit te waarborgen.

Het Dagelijks Bestuur is verantwoordelijk voor het vaststellen van herzieningen van deze policy.

De tweede lijn ondersteunt dit proces door:

het signaleren van de noodzaak tot herziening;
het voorbereiden van aanpassingen aan classificatiekaders;
het verwerken van input uit incidenten, audits en evaluaties.

Herziening vindt plaats:

minimaal jaarlijks;
bij significante wijzigingen in organisatie, processen of wetgeving;
naar aanleiding van audits, incidenten of vastgestelde tekortkomingen.

Compliance- en normatieve onderbouwing

Deze governance-inrichting voor assetclassificatie sluit aan bij:

NIS2 (Richtlijn (EU) 2022/2555)
- CyFun IDENTIFY – ID.AM-05 identificatie en classificatie van assets en kritieke functies met verantwoordelijkheid op managementniveau en toezicht op bestuursniveau.
ISO/IEC 27001
- Vereist formeel vastgestelde policies voor assetbeheer en duidelijke rolverdeling.
ISO 31000
- Ondersteunt scheiding tussen toezicht, besluitvorming en uitvoering binnen risicomanagement.

Deze aanpak borgt consistente toepassing van assetclassificatie als basis voor beveiliging, continuïteit en herstel.

Uitzonderingen & afwijkingen

Uitzonderingen en afwijkingen op deze Asset Classification Policy zijn in principe niet toegestaan, aangezien consistente en volledige assetclassificatie essentieel is voor risicobeheer, beveiliging en bedrijfscontinuïteit.

Indien een uitzondering of afwijking toch noodzakelijk wordt geacht, gelden de volgende voorwaarden:

de uitzondering of afwijking is gemotiveerd en schriftelijk vastgelegd;
de uitzondering of afwijking is tijdelijk en heeft een vastgestelde einddatum;
de uitzondering of afwijking ondermijnt niet de identificatie of classificatie van kritieke assets of processen;
de uitzondering of afwijking is niet in strijd met wettelijke, toezichts- of contractuele verplichtingen.

Uitzonderingen en afwijkingen worden uitsluitend toegestaan na formele goedkeuring door het Dagelijks Bestuur, op advies van de tweede lijn.

Goedgekeurde uitzonderingen en afwijkingen worden centraal geregistreerd en periodiek herbeoordeeld.

Compliance – en normatieve onderbouwing

Het gecontroleerd omgaan met uitzonderingen en afwijkingen op assetclassificatie is gebaseerd op de volgende normatieve kaders:

NIS2 (Richtlijn (EU) 2022/2555)
- Artikel 21(2)(a): vereist identificatie en risicobeoordeling van netwerk- en informatiesystemen.
- Artikel 21(2)(c): vereist maatregelen inzake bedrijfscontinuïteit gebaseerd op correcte identificatie van kritieke functies.
- Uitzonderingen mogen deze identificatie niet ondermijnen.
ISO/IEC 27001:2022
- Clausule 5.3: vereiste rol- en verantwoordelijkheidsverdeling voor informatiebeveiliging.
- Clausule 8.1: operationele planning en beheersing, inclusief gecontroleerde afwijkingen.
- Annex A.5.9: inventarisatie en eigenaarschap van assets.
ISO 31000
- Afwijkingen van vastgestelde risicokaders vereisen expliciete besluitvorming en documentatie.
CyFun 2025
- IDENTIFY-domein: identificatie en classificatie van assets als basis voor weerbaarheid en continuïteit.
- GOVERN-domein: expliciete besluitvorming en toezicht bij afwijkingen op vastgestelde kaders.
  (exacte controlreferenties te verifiëren aan de hand van de CyFun 2025-gids)

Deze aanpak voorkomt ad-hoc uitzonderingen en borgt dat afwijkingen transparant, tijdelijk en beheersbaar blijven.

Beleidsverklaring

De organisatie hanteert een organisatiebreed en uniform beleid voor de identificatie en classificatie van assets volgens hun kriticiteit.

Assetclassificatie is een verplicht onderdeel van het governance-, risk- en compliance (GRC)-raamwerk en vormt de basis voor:

risicobeoordeling en risicobehandeling;
informatiebeveiliging en privacybescherming;
bedrijfscontinuïteit en crisisbeheer;
fysieke beveiliging en toegangsbeheer;
leveranciers- en ketenbeheer.

De organisatie bepaalt de kriticiteit van assets op een consistente, herhaalbare en proportionele wijze, op basis van vastgestelde classificatiekaders die gelden als Single Source of Truth (SSOT).

Beslissingen over beveiligings-, continuïteits- en herstelmaatregelen worden afgestemd op de vastgestelde assetclassificaties.

Compliance – en normatieve onderbouwing

Deze beleidsverklaring is gebaseerd op de volgende wettelijke en normatieve kaders:

NIS2 (Richtlijn (EU) 2022/2555)
- Artikel 21(1): verplichting tot het nemen van passende en evenredige maatregelen.
- Artikel 21(2)(a): identificatie en risicobeoordeling van netwerk- en informatiesystemen en bijhorende assets.
- Artikel 21(2)(c): maatregelen inzake bedrijfscontinuïteit gebaseerd op identificatie van kritieke functies en assets.
ISO/IEC 27001:2022
- Clausule 5.2: vaststelling van informatiebeveiligingsbeleid door het management.
- Clausule 5.3: toewijzing van rollen en verantwoordelijkheden.
- Annex A.5.9: inventarisatie en eigenaarschap van assets.
ISO 31000
- Vaststelling van organisatiebreed beleid als basis voor risicomanagement en besluitvorming.
CyFun 2025
- GOVERN-domein: vaststelling van beleidskaders en verantwoordelijkheden.
- IDENTIFY-domein: identificatie en classificatie van assets als fundament voor cyberweerbaarheid.
  (ID.AM-05, CyFun 2025)

Deze beleidsverklaring borgt dat assetclassificatie structureel, aantoonbaar en bestuurlijk verankerd is.

Beleidsvereisten

Classificatiekaders volgens kriticiteit

Dit kader beschrijft op welke wijze de kriticiteit van assets wordt bepaald.

Het kader hanteert:

een schaal van 1 tot 5;
een beoordeling op basis van meerdere impactperspectieven per type asset;
een contextuele benadering waarbij de zwaarst relevante impact bepalend is.

Het kader wordt toegepast door de eerste lijn en bewaakt door de tweede lijn.

Uniforme kriticiteitsschaal (1–5)

Binnen de organisatie wordt een uniforme kriticiteitsschaal gehanteerd voor alle assettypes.

1 – Niet kritisch
2 – Laag kritisch
3 – Gemiddeld kritisch
4 – Hoog kritisch
5 – Zeer kritisch

De schaal wordt uniform toegepast binnen de organisatie.

Impactperspectieven voor het bepalen van de kriticiteit van assets

De kriticiteit van assets wordt bepaald aan de hand van meerdere impactperspectieven die per assettype zijn vastgelegd in het toepasselijke classificatiekader (processen, data, applicaties, IT-systemen, OT-systemen, leveranciers, medical devices. Elk perspectief wordt afzonderlijk beoordeeld.

Bepaling van kriticiteit

De uiteindelijke kriticiteit wordt bepaald op basis van de zwaarst wegende relevante impactperspectieven, rekening houdend met de context waarin het asset wordt ingezet of functioneert.

De verschillende impactperspectieven kunnen verschillende scores hebben.

Kriticiteit:

wordt contextueel bepaald;
is geen automatische optelsom;
wordt herzien bij relevante wijzigingen in zorgcontext, organisatie, technologie of regelgeving.

Classificatie van processen volgens kriticiteit

Alle processen binnen de organisatie moeten worden geclassificeerd volgens hun kriticiteit.

De volgende vereisten zijn van toepassing:

processen worden geïdentificeerd en geclassificeerd conform het vastgestelde procesclassificatiekader;
proceskriticiteit wordt bepaald op basis van een uniforme schaal van 1 tot 5;
de beoordeling is gebaseerd op meerdere impactperspectieven;
proceskriticiteit wordt herzien bij relevante wijzigingen in context, organisatie, technologie of regelgeving;
vastgestelde proceskriticiteit wordt gebruikt als input voor onderliggende analyses en plannen, waaronder de Business Impact Analysis en het Business Continuity Plan;
proceskriticiteit wordt niet lokaal of ad hoc gedefinieerd in onderliggende documenten of plannen.

Het procesclassificatiekader geldt als Single Source of Truth (SSOT) voor proceskriticiteit binnen de organisatie.

De verplichting tot classificatie van processen volgens kriticiteit is gebaseerd op de volgende wettelijke en normatieve kaders:

NIS2 (Richtlijn (EU) 2022/2555)
- Artikel 21(2)(a): identificatie en risicobeoordeling van netwerk- en informatiesystemen en bijhorende processen.
- Artikel 21(2)(c): bedrijfscontinuïteits- en crisismaatregelen gebaseerd op identificatie van kritieke functies en processen.
ISO 22301 – Business Continuity Management
- Clausule 8.2: Business Impact Analysis vereist identificatie en prioritering van processen op basis van impact.
- Clausule 8.4: continuïteitsmaatregelen moeten gebaseerd zijn op vastgestelde procesprioriteiten.
ISO/IEC 27001:2022
- Annex A.5.9: inventarisatie en eigenaarschap van assets, inclusief processen.
- Annex A.17 (beschikbaarheid): continuïteitsmaatregelen gebaseerd op kriticiteit.
ISO 31000 & ISO 31073
- Gebruik van consistente impactcriteria en schalen voor risicobeoordeling en besluitvorming.
CyFun 2025
- IDENTIFY-domein: identificatie en classificatie van kritieke functies en processen.(ID.AM-05)
- GOVERN-domein: vaststelling en handhaving van organisatiebrede classificatiekaders.
  (GV.OC-04, GV.OC-05)

Deze vereisten borgen consistente, herhaalbare en verdedigbare bepaling van proceskriticiteit als basis voor weerbaarheid en continuïteit.

Impactperspectieven voor het bepalen van de kriticiteit van processen

De kriticiteit van processen wordt bepaald aan de hand van meerdere impactperspectieven. Elk perspectief wordt afzonderlijk beoordeeld.

De volgende perspectieven zijn van toepassing:

Patiëntveiligheid (PV)
Impact op leven, gezondheid en veiligheid van patiënten.
Zorgcontinuïteit (ZC)
Impact op de continuïteit, beschikbaarheid en kwaliteit van zorgverlening.
Operationeel (OP)
Impact op de dagelijkse werking, werkdruk en foutgevoeligheid.
Juridisch en compliance (JC)
Impact op wettelijke, contractuele en toezichtsverplichtingen.
Reputatie en vertrouwen (RV)
Impact op vertrouwen van patiënten, medewerkers, partners en toezichthouders.

Gebruik van proceskriticiteit (PK)

De vastgestelde proceskriticiteit:

vormt input voor de Business Impact Analysis;
stuurt de afleiding van hersteldoelstellingen (RTO en RPO);
wordt gebruikt bij business continuity, crisismanagement en fysieke beveiliging;
wordt niet opnieuw gedefinieerd in onderliggende documenten of plannen.

Classificatietabel voor processen

Proces kriticiteit (PK)	PV	ZC	OP	JC	RV
1 – Niet kritisch	Geen impact	≥ 3 werkdagen	< 5% extra werk	Geen verplichting	Intern
2 – Laag kritisch	Indirect beheersbaar	1–3 werkdagen	5–15% extra werk	Interne afwijking	Beperkt intern
3 – Gemiddeld kritisch	Verhoogd risico >24u	8–24 uur	15–30% extra werk	Termijnrisico	Lokale klachten
4 – Hoog kritisch	Schaderisico >1u	1–8 uur	>30% extra werk	Externe impact	Publiek zichtbaar
5 – Zeer kritisch	Levens-bedreigend	< 1 uur	Geen workarounds	Meldplicht	Ernstige schade

Kader – Volledige beschrijving proceskriticiteit

Dit kader beschrijft de betekenis van de proceskriticiteitsschaal en vormt samen met de tabel de normatieve referentie voor het bepalen van proceskriticiteit.

Proceskriticiteit 1 – Niet kritisch

Patiëntveiligheid (PV): Uitval heeft geen impact op patiëntveiligheid en verhoogt het risico op incidenten niet.
Zorgcontinuïteit (ZC): Het proces kan gedurende meerdere werkdagen (≥ 3 werkdagen) onderbroken zijn zonder gevolgen voor de zorgverlening.
Operationeel (OP): De operationele impact is verwaarloosbaar; eventuele extra werklast blijft lokaal en beperkt (< 5%).
Juridisch & compliance (JC): Er worden geen wettelijke, contractuele of toezichtsverplichtingen geraakt.
Reputatie & vertrouwen (RV): De impact blijft intern en is niet merkbaar voor patiënten, partners of toezichthouders.

Proceskriticiteit 2 – Laag kritisch

Patiëntveiligheid (PV): De impact op patiëntveiligheid is indirect en volledig beheersbaar via bestaande procedures.
Zorgcontinuïteit (ZC): Een onderbreking van 1 tot 3 werkdagen leidt tot beperkte hinder zonder impact op essentiële zorg.
Operationeel (OP): De werklast neemt beperkt toe (ongeveer 5–15%); workarounds zijn eenvoudig en tijdelijk toepasbaar.
Juridisch & compliance (JC): Er kan sprake zijn van een interne beleidsafwijking, zonder externe meld- of rapportageverplichtingen.
Reputatie & vertrouwen (RV): De impact blijft hoofdzakelijk intern, met mogelijk beperkte interne ontevredenheid.

Proceskriticiteit 3 – Gemiddeld kritisch

Patiëntveiligheid (PV): Bij aanhoudende uitval (> 24 uur) ontstaat een verhoogd risico op fouten of vertragingen, zonder onmiddellijk levensbedreigend effect.
Zorgcontinuïteit (ZC): Een onderbreking van 8 tot 24 uur leidt tot uitstel, herplanning of omleiding van zorg.
Operationeel (OP): De extra werklast is significant (ongeveer 15–30%); workarounds zijn foutgevoelig of belastend.
Juridisch & compliance (JC): Er bestaat een reëel risico op het overschrijden van wettelijke of contractuele termijnen, wat interne escalatie vereist.
Reputatie & vertrouwen (RV): Klachten van patiënten of partners zijn mogelijk; de reputatie-impact blijft lokaal of beperkt.

Proceskriticiteit 4 – Hoog kritisch

Patiëntveiligheid (PV): Bij uitval langer dan circa 1 uur ontstaat een onaanvaardbaar risico op patiëntschade.
Zorgcontinuïteit (ZC): Een onderbreking van 1 tot 8 uur verstoort de essentiële zorgverlening ernstig.
Operationeel (OP): De werklast neemt sterk toe (> 30%); workarounds zijn beperkt beschikbaar of niet duurzaam.
Juridisch & compliance (JC): De kans op externe compliance-impact of toezichtsgevolgen is hoog; externe escalatie is mogelijk.
Reputatie & vertrouwen (RV): De impact is zichtbaar buiten de organisatie en het vertrouwen van patiënten of partners komt onder druk te staan.

Proceskriticiteit 5 – Zeer kritisch

Patiëntveiligheid (PV): Uitval leidt onmiddellijk of zeer snel tot levensbedreigende situaties of ernstig letsel; er is geen tolerantie voor onderbreking.
Zorgcontinuïteit (ZC): Een onderbreking korter dan 1 uur leidt tot het falen of stopzetten van kritieke zorg.
Operationeel (OP): Er zijn geen werkbare alternatieven; onmiddellijke crisisaansturing is vereist.
Juridisch & compliance (JC): Een meldplichtige of ernstig sanctioneerbare situatie is zeer waarschijnlijk.
Reputatie & vertrouwen (RV): De impact is breed extern zichtbaar en leidt tot ernstig en mogelijk langdurig reputatie- en vertrouwensverlies.

Classificatie van data volgens kriticiteit

Alle data binnen de organisatie moeten worden geclassificeerd volgens hun kriticiteit.

Compliance- en normatieve onderbouwing

NIS2 (Richtlijn (EU) 2022/2555)

Artikel 21(2)(a): identificatie en risicobeoordeling van netwerk- en informatiesystemen en de daarin verwerkte data.
Artikel 21(2)(d): beveiliging van informatie en data op basis van risico’s en kriticiteit.

ISO/IEC 27001:2022

Clausule 5.12: classificatie van informatie.
Annex A.5.9: inventarisatie en eigenaarschap van informatie en andere assets.
Annex A.8.2 en A.8.3: bescherming van informatie op basis van classificatie.

ISO/IEC 27701

Vereisten voor bescherming van persoonsgegevens op basis van aard, gevoeligheid en risico.

GDPR (AVG)

Artikel 5: beginselen inzake integriteit en vertrouwelijkheid van persoonsgegevens.
Artikel 32: beveiliging van verwerking, rekening houdend met risico’s en aard van de data.

ISO 31000 & ISO 31073

Gebruik van consistente impactcriteria en schalen voor risicobeoordeling en besluitvorming.

CyFun 2025

IDENTIFY-domein: identificatie en classificatie van informatie- en data-assets
(ID.AM-05)

GOVERN-domein: vaststelling en handhaving van organisatiebrede classificatiekaders
(GV.OC-04, GV.OC-05)

Impactperspectieven voor het bepalen van de kriticiteit van data

De kriticiteit van data wordt bepaald aan de hand van meerdere impactperspectieven. Elk perspectief wordt afzonderlijk beoordeeld.

De volgende perspectieven zijn van toepassing:

Vertrouwelijkheid (C)
Impact van ongeautoriseerde toegang tot of openbaarmaking van data.
Integriteit (I)
Impact van onjuiste, onvolledige of gemanipuleerde data.
Beschikbaarheid (A)
Impact van tijdelijke of langdurige onbeschikbaarheid van data.
Authenticiteit (Au)
Impact van onzekerheid over de herkomst of echtheid van data of de bron ervan.
Onweerlegbaarheid (NR)
Impact van het ontbreken van aantoonbaarheid, logging of bewijs van handelingen.
Privacy (P)
Impact op de rechten en vrijheden van betrokkenen bij verwerking van persoonsgegevens.

Gebruik van datakriticiteit (DK)

De vastgestelde datakriticiteit:

stuurt de selectie en zwaarte van informatiebeveiligingsmaatregelen;
bepaalt aanvullende privacy- en beschermingsvereisten;
vormt input voor business continuity, incidentbeheer en crisismanagement;
wordt gebruikt bij toegangsbeheer, logging en monitoring;
wordt niet opnieuw gedefinieerd in onderliggende documenten, systemen of plannen.

Classificatietabel voor data

Data kriticiteit (DK)	C	I	A	Au	NR	P
1 – Niet kritisch	Publiek	Informatief	Niet-essentieel	Anoniem	Informeel	Anoniem
2 – Laag kritisch	Intern	Indicatief	Tolerant	Basis-identificatie	Vastgelegd	Herleidbaar
3 – Gemiddeld kritisch	Vertrouwelijk	Operationeel	Afhankelijk	Betrouwbaar	Verifieerbaar	Persoonlijk
4 – Hoog kritisch	Geheim	Beslissing kritisch	Tijd kritisch	Gevalideerd	Bewijs waardig	Gevoelig
5 – Zeer kritisch	Zeer geheim	Veiligheid kritisch	Continu vereist	Onweerlegbaar	Forensisch betrouwbaar	Zeer gevoelig

Kader – Volledige beschrijving datakriticiteit

Dit kader beschrijft de betekenis van de datakriticiteitsschaal en vormt samen met de tabel de normatieve referentie voor het bepalen van datakriticiteit.

Datakriticiteit 1 – Niet kritisch

Vertrouwelijkheid (C): De data zijn publiek beschikbaar; ongeautoriseerde toegang of openbaarmaking veroorzaakt geen schade.
Integriteit (I): Onjuiste of onvolledige data hebben geen impact op activiteiten of beslissingen; de data worden louter informatief gebruikt.
Beschikbaarheid (A): Tijdelijke onbeschikbaarheid heeft geen gevolgen; herstel kan uitgesteld worden (> 7 dagen).
Authenticiteit (Au): De herkomst of identiteit van de data is niet relevant; gebrek aan authenticiteit heeft geen impact.
Onweerlegbaarheid (NR): Er is geen nood aan formeel bewijs of aantoonbaarheid; handelingen gebeuren op basis van vertrouwen.
Privacy (P): De data bevatten geen persoonsgegevens of zijn volledig geanonimiseerd; er is geen risico op identificatie.

Datakriticiteit 2 – Laag kritisch

Vertrouwelijkheid (C): De data zijn intern bedoeld; beperkte gevoeligheid bij ongeautoriseerde toegang.
Integriteit (I): Beperkte onnauwkeurigheid is aanvaardbaar; de data worden indicatief gebruikt.
Beschikbaarheid (A): Korte onderbrekingen zijn aanvaardbaar (1–3 dagen) zonder impact op kerntaken.
Authenticiteit (Au): Eenvoudige identificatie volstaat; beperkte fouten in herkomst kunnen leiden tot lichte verwarring.
Onweerlegbaarheid (NR): Acties en gegevens zijn vastgelegd; eenvoudige documentatie volstaat.
Privacy (P): De data bevatten herleidbare persoonsgegevens met laag privacyrisico; impact bij misbruik is beperkt.

Datakriticiteit 3 – Gemiddeld kritisch

Vertrouwelijkheid (C): De data zijn vertrouwelijk; ongeautoriseerde toegang veroorzaakt hinder of reputatieschade.
Integriteit (I): Juistheid is essentieel voor de uitvoering van processen; fouten leiden tot inefficiëntie of herwerk.
Beschikbaarheid (A): Tijdelijke onbeschikbaarheid (≤ 8 uur) veroorzaakt vertraging of verminderde efficiëntie.
Authenticiteit (Au): De herkomst van de data moet betrouwbaar zijn; foutieve bron kan operationele verstoring veroorzaken.
Onweerlegbaarheid (NR): Het moet mogelijk zijn na te gaan welke actie is uitgevoerd; basale logging en toegangscontrole zijn vereist.
Privacy (P): De data bevatten gewone persoonsgegevens; onzorgvuldig gebruik kan indirecte schade veroorzaken.

Datakriticiteit 4 – Hoog kritisch

Vertrouwelijkheid (C): De data zijn geheim; ongeautoriseerde toegang leidt tot ernstige juridische, financiële of veiligheidsimpact.
Integriteit (I): Juistheid en volledigheid zijn beslissingskritisch; fouten hebben ernstige gevolgen.
Beschikbaarheid (A): Onbeschikbaarheid (> 1 uur) leidt tot significante operationele, financiële of juridische schade.
Authenticiteit (Au): De herkomst moet aantoonbaar gevalideerd zijn; foutieve identiteit leidt tot juridische of financiële schade.
Onweerlegbaarheid (NR): Onweerlegbaar bewijs is vereist; gekwalificeerde audittrails en bewijslast zijn noodzakelijk.
Privacy (P): De data bevatten gevoelige persoonsgegevens; misbruik veroorzaakt ernstige schade of discriminatie.

Datakriticiteit 5 – Zeer kritisch

Vertrouwelijkheid (C): De data zijn zeer geheim; elke inbreuk heeft catastrofale gevolgen voor veiligheid, leven of reputatie.
Integriteit (I): Verlies van integriteit heeft veiligheidskritische gevolgen; fouten zijn onaanvaardbaar.
Beschikbaarheid (A): Continue beschikbaarheid is vereist (24×7); elke onderbreking vormt een direct risico.
Authenticiteit (Au): Absolute zekerheid over herkomst en identiteit is vereist; gebrek aan authenticiteit kan levens of fundamentele rechten schaden.
Onweerlegbaarheid (NR): Volledige forensische aantoonbaarheid is verplicht; elke handeling moet juridisch standhouden.
Privacy (P): De data bevatten zeer gevoelige of bijzonder beschermde persoonsgegevens; misbruik leidt tot ernstige en mogelijk onherstelbare schade.

Classificatiekader voor applicaties, systemen IT/OT en MD volgens kriticiteit

Alle applicaties, systemen en medical devices (MD) binnen de organisatie moeten worden geclassificeerd volgens hun kriticiteit.

Kriticiteitsperspectieven voor het bepalen van kriticiteit van applicaties, systemen IT/OT en MD

De kriticiteit wordt bepaald aan de hand van afgeleide kriticiteitsperspectieven.
Deze perspectieven worden niet autonoom beoordeeld, maar geënt op bestaande classificatiekaders.

De volgende perspectieven zijn van toepassing:

Proceskriticiteit (PK)
Hoogste proceskriticiteit van de processen die door de applicatie worden ondersteund.
Datakriticiteit (DK)
Hoogste datakriticiteit van de data die door de applicatie worden verwerkt, opgeslagen of ontsloten.
Leverancierskriticiteit (LK)
Hoogste leverancierskriticiteit van de leveranciers of dienstverleners waarop de applicatie steunt.

Gebruik van applicatiekriticiteit (AK), systeemkriticiteit (IT-SK & OT-SK) en MD kriticiteit (MDK)

De vastgestelde kriticiteit:

vormt input voor business impact analyses (BIA);
stuurt de afleiding van hersteldoelstellingen (RTO en RPO);
bepaalt de vereiste continuïteits-, beveiligings- en beheersmaatregelen;
wordt gebruikt bij risicobeoordelingen, incidentbeheer en crisismanagement;
wordt niet opnieuw gedefinieerd in onderliggende documenten, systemen of plannen.

Classificatietabel voor applicaties, systemen en MD

Applicatiekriticiteit (AK) & Systeemkriticiteit (IT-SK / OT-SK) MD kriticiteit (MDK)	PK	DK	LC
1 – Niet kritisch	Niet kritische processen	Niet kritische data	Niet kritische leverancier
2 – Laag kritisch	Laag kritische processen	Laag kritische data	Laag kritische leverancier
3 – Gemiddeld kritisch	Gemiddeld kritische processen	Gemiddeld kritische data	Gemiddeld kritische leverancier
4 – Hoog kritisch	Hoog kritische processen	Hoog kritische data	Hoog kritische leverancier
5 – Zeer kritisch	Zeer kritische processen	Zeer kritische data	Zeer kritische leverancier

Kader – Volledige beschrijving van de kriticiteit van applicaties, systemen en MD

Dit kader beschrijft de betekenis van de applicatie/systeem/MD-kriticiteitsschaal en vormt samen met de tabel de normatieve referentie voor het bepalen van de kriticiteit van appliciaties, systemen en MD.

Applicatie-, Systeem- en MD- kriticiteit 1 – Niet kritisch

Proceskriticiteit (PK): De applicatie of het systeem (IT/OT) ondersteunt uitsluitend processen met proceskriticiteit 1 (niet kritisch); uitval heeft geen impact op kritieke of essentiële bedrijfsactiviteiten.
Datakriticiteit (DK): De applicatie of het systeem (IT/OT) verwerkt uitsluitend data met datakriticiteit 1 (niet kritisch); verlies, wijziging of ongeoorloofde toegang heeft geen merkbare impact.
Leverancierskriticiteit (LK): De applicatie of het systeem (IT/OT) is niet afhankelijk van leveranciers met leverancierskriticiteit hoger dan 1; falen, misbruik of wegvallen van de leverancier heeft geen merkbare impact.

Applicatie-, Systeem- en MD- kriticiteit 2 – Laag kritisch

Proceskriticiteit (PK): De applicatie, het systeem (IT/OT) of MD ondersteunt één of meer processen met proceskriticiteit 2 (laag kritisch), en geen processen met hogere kriticiteit; uitval veroorzaakt beperkte en beheersbare hinder.
Datakriticiteit (DK): De applicatie, het systeem (IT/OT) of MD verwerkt/host één of meer datasets met datakriticiteit 2 (laag kritisch), en geen data met hogere kriticiteit; impact bij verlies of wijziging blijft beperkt.
Leverancierskriticiteit (LK): De applicatie, het systeem (IT/OT) of MD is afhankelijk van één of meer leveranciers met leverancierskriticiteit 2 (laag kritisch), en van geen leveranciers met hogere kriticiteit; impact bij falen of compromittering blijft lokaal beheersbaar.

Applicatie-, Systeem- en MD- kriticiteit 3– Gemiddeld kritisch

Proceskriticiteit (PK): De applicatie, het systeem (IT/OT) of MD ondersteunt één of meer processen met proceskriticiteit 3 (gemiddeld kritisch); uitval leidt tot merkbare operationele hinder en verstoring van de dagelijkse werking.
Datakriticiteit (DK): De applicatie, het systeem (IT/OT) of MD verwerkt/host één of meer datasets met datakriticiteit 3 (gemiddeld kritisch); verlies, wijziging of ongeoorloofde toegang veroorzaakt operationele of reputatie-impact.
Leverancierskriticiteit (LK): De applicatie, het systeem (IT/OT) of MD is afhankelijk van één of meer leveranciers met leverancierskriticiteit 3 (gemiddeld kritisch); falen, misbruik of compromittering veroorzaakt merkbare operationele hinder en vereist actieve opvolging.

Applicatie-, Systeem- en MD- kriticiteit 4 – Hoog kritisch

Proceskriticiteit (PK): De applicatie, het systeem (IT/OT) of MD ondersteunt één of meer processen met proceskriticiteit 4 (hoog kritisch); Uitval verstoort essentiële processen ernstig en langdurig, en kan niet afdoende worden opgevangen met tijdelijke workarounds.
Datakriticiteit (DK): De applicatie, het systeem (IT/OT) of MD verwerkt/host één of meer datasets met datakriticiteit 4 (hoog kritisch); verlies, wijziging of ongeoorloofde toegang veroorzaakt significante operationele, reputatie- of compliance-impact.
Leverancierskriticiteit (LK): De applicatie, het systeem (IT/OT) of MD is afhankelijk van één of meer leveranciers met leverancierskriticiteit 4 (hoog kritisch); falen, misbruik of compromittering veroorzaakt ernstige operationele hinder, vereist onmiddellijke en gecoördineerde opvolging en kan niet tijdig worden opgevangen via alternatieve leveranciers.

Applicatie-, Systeem- en MD- kriticiteit 5 – Zeer kritisch

Proceskriticiteit (PK): De applicatie, het systeem (IT/OT) of MD ondersteunt één of meer processen met proceskriticiteit 5 (zeer kritisch); uitval leidt onmiddellijk tot onaanvaardbare impact op zorg of kernactiviteiten.
Datakriticiteit (DK): De applicatie, het systeem (IT/OT) of MD verwerkt/host één of meer datasets met datakriticiteit 5 (zeer kritisch); verlies, wijziging of ongeoorloofde toegang heeft catastrofale gevolgen.
Leverancierskriticiteit (LK): De applicatie, het systeem (IT/OT) of MD is afhankelijk van één of meer leveranciers met leverancierskriticiteit 5 (zeer kritisch); falen, misbruik of compromittering leidt onmiddellijk tot onaanvaardbare impact op zorg, veiligheid of wettelijke verplichtingen.

Leverancierclassificatiekader volgens kriticiteit

Alle leveranciers binnen de organisatie moeten worden geclassificeerd volgens hun kriticiteit.

Kriticiteitsperspectieven voor het bepalen van kriticiteit van leveranciers

De kriticiteit van leveranciers wordt bepaald aan de hand van meerdere kriticiteitsperspectieven.
Elk perspectief wordt afzonderlijk beoordeeld, waarbij de zwaarst relevante impact bepalend is.

De volgende perspectieven zijn van toepassing:

Proceskriticiteit (PK)
Impact op de processen die door de leverancier worden ondersteund, geleverd of beïnvloed.
Datakriticiteit (DK)
Impact op de data waartoe de leverancier toegang heeft of die door de leverancier wordt verwerkt.
Applicatiekriticiteit (AK)
Impact op de applicaties die door de leverancier worden geleverd, gehost, beheerd of ondersteund.
Afhankelijkheid (AF)
Mate waarin falen, misbruik of wegvallen van de leverancier de werking van de organisatie beïnvloedt.
Vervangbaarheid (V)
Mate waarin de leverancier binnen een aanvaardbare termijn kan worden vervangen zonder onaanvaardbare impact.
Juridisch & compliance (JC)
Impact op wettelijke, contractuele en toezichtsverplichtingen bij falen, misbruik of compromittering van de leverancier.

Gebruik van leverancierskriticiteit

De vastgestelde leverancierskriticiteit:

vormt input voor leveranciers- en ketenrisicobeoordelingen;
stuurt due diligence, contractuele en beveiligingsvereisten;
bepaalt de noodzaak van aanvullende beheers- en continuïteitsmaatregelen;
wordt gebruikt bij incidentbeheer en crisismanagement;
wordt niet opnieuw gedefinieerd in onderliggende documenten, contracten of plannen.

Classificatietabel voor leveranciers

Leverancierskriticiteit (LC)	PK	DK	AK	AF	V	JC
1 – Niet kritisch	Impact op niet kritische processen	Impact op niet kritische data	Impact op kritische applicaties	Geen afhankelijkheid	Direct vervangbaar	Geen juridische of compliance impact
2 – Laag kritisch	Impact op laag kritische processen	Impact op laag kritische data	Impact op laag kritische applicaties	Beperkte afhankelijkheid	Beperkt vervangbaar	Interne compliance impact
3 – Gemiddeld kritisch	Impact op gemiddeld kritische processen	Impact op gemiddeld kritische data	Impact op gemiddeld kritische applicaties	Operationele afhankelijkheid	Operationeel vervangbaar	Externe compliance impact
4 – Hoog kritisch	Impact op hoog kritische processen	Impact op hoog kritische data	Impact op hoog kritische applicaties	Essentiële afhankelijkheid	Moeilijk vervangbaar	Juridische afdwingbaarheid
5 – Zeer kritisch	Impact op zeer kritische processen	Impact op zeer kritische data	Impact op zeer kritische applicaties	Cruciale afhankelijkheid	Niet vervangbaar	Sancties / aansprakelijkheid

Kader – Volledige beschrijving leverancierskriticiteit

Dit kader beschrijft de betekenis van de leverancierskriticiteitsschaal en vormt samen met de tabel de normatieve referentie voor het bepalen van leverancierskriticiteit.

Leverancierskriticiteit 1 – Niet kritisch

Proceskriticiteit (PK): De leverancier heeft uitsluitend impact op processen met proceskriticiteit 1 (niet kritisch); falen, misbruik of compromittering heeft geen impact op kritieke of essentiële activiteiten.
Datakriticiteit (DK): De leverancier heeft uitsluitend impact op data met datakriticiteit 1 (niet kritisch); verlies, wijziging of ongeoorloofde toegang heeft geen merkbare gevolgen.
Applicatiekriticiteit (AK): De leverancier ondersteunt uitsluitend applicaties met applicatiekriticiteit 1 (niet kritisch); verstoring heeft geen impact op dienstverlening.
Afhankelijkheid (AF): Er is geen afhankelijkheid van de leverancier; falen of wegvallen heeft geen merkbare impact.
Vervangbaarheid (V): De leverancier is direct vervangbaar; vervanging is onmiddellijk mogelijk zonder merkbare impact.
Juridisch & Compliance (JC): Falen, misbruik of compromittering heeft geen wettelijke, contractuele of toezichtsimpact.

Leverancierskriticiteit 2 – Laag kritisch

Proceskriticiteit (PK): De leverancier heeft impact op processen met proceskriticiteit 2 (laag kritisch), en niet op processen met hogere kriticiteit; impact blijft beperkt en beheersbaar.
Datakriticiteit (DK): De leverancier heeft impact op data met datakriticiteit 2 (laag kritisch), en niet op data met hogere kriticiteit; gevolgen bij incidenten blijven beperkt.
Applicatiekriticiteit (AK): De leverancier ondersteunt applicaties met applicatiekriticiteit 2 (laag kritisch), en geen applicaties met hogere kriticiteit.
Afhankelijkheid (AF): Er is een beperkte afhankelijkheid; falen of misbruik heeft beperkte en lokaal beheersbare impact.
Vervangbaarheid (V): De leverancier is beperkt vervangbaar; vervanging is mogelijk met beperkte inspanning en beperkte impact.
Juridisch & Compliance (JC): Er is enkel interne compliance-impact; geen externe wettelijke of toezichtsverplichtingen worden geraakt.

Leverancierskriticiteit 3 – Gemiddeld kritisch

Proceskriticiteit (PK): De leverancier heeft impact op processen met proceskriticiteit 3 (gemiddeld kritisch); falen of compromittering veroorzaakt merkbare operationele hinder.
Datakriticiteit (DK): De leverancier heeft impact op data met datakriticiteit 3 (gemiddeld kritisch); incidenten kunnen operationele of reputatie-impact veroorzaken.
Applicatiekriticiteit (AK): De leverancier ondersteunt applicaties met applicatiekriticiteit 3 (gemiddeld kritisch); verstoring leidt tot merkbare verstoring van de werking.
Afhankelijkheid (AF): Er is een operationele afhankelijkheid; falen of misbruik vereist actieve opvolging en mitigerende maatregelen.
Vervangbaarheid (V): De leverancier is operationeel vervangbaar; vervanging vraagt tijd en tijdelijke workarounds.
Juridisch & Compliance (JC): Er is externe compliance-impact; reëel risico op niet-naleving van wettelijke of contractuele verplichtingen zonder onmiddellijke afdwinging.

Leverancierskriticiteit 4 – Hoog kritisch

Proceskriticiteit (PK): De leverancier heeft impact op processen met proceskriticiteit 4 (hoog kritisch); falen of compromittering verstoort essentiële processen ernstig.
Datakriticiteit (DK): De leverancier heeft impact op data met datakriticiteit 4 (hoog kritisch); incidenten leiden tot ernstige beveiligings-, privacy- of compliance-impact.
Applicatiekriticiteit (AK): De leverancier ondersteunt applicaties met applicatiekriticiteit 4 (hoog kritisch); verstoring heeft ernstige impact op essentiële dienstverlening.
Afhankelijkheid (AF): Er is een essentiële afhankelijkheid; wegvallen of misbruik heeft directe en ernstige gevolgen.
Vervangbaarheid (V): De leverancier is moeilijk vervangbaar; vervanging is complex, tijdrovend en risicovol.
Juridisch & Compliance (JC): Er is juridische afdwingbaarheid; falen kan leiden tot toezicht, formele vaststellingen of contractuele sancties.

Leverancierskriticiteit 5 – Zeer kritisch

Proceskriticiteit (PK): De leverancier heeft impact op processen met proceskriticiteit 5 (zeer kritisch); falen of compromittering leidt onmiddellijk tot onaanvaardbare impact.
Datakriticiteit (DK): De leverancier heeft impact op data met datakriticiteit 5 (zeer kritisch); incidenten leiden tot catastrofale gevolgen zoals grootschalige datalekken of zware sancties.
Applicatiekriticiteit (AK): De leverancier ondersteunt applicaties met applicatiekriticiteit 5 (zeer kritisch); verstoring leidt tot onmiddellijke en organisatiebrede ontwrichting.
Afhankelijkheid (AF): Er is een cruciale afhankelijkheid; wegvallen of misbruik leidt onmiddellijk tot ernstige schade.
Vervangbaarheid (V): De leverancier is niet vervangbaar binnen aanvaardbare termijn; geen realistische alternatieven beschikbaar.
Juridisch & Compliance (JC): Er is meldplicht en/of sanctioneerbaarheid; grote kans op zware sancties, juridische aansprakelijkheid of toezicht maatregelen.

Bedrijfswaarde

Bedrijfswaarde – beleidskader

Bedrijfswaarde drukt de structurele bijdrage van een asset aan het realiseren van
organisatiedoelstellingen uit, los van risico-, dreigings- of impactscenario’s.

De bedrijfswaarde wordt vastgesteld per asset, ongeacht het assettype
(proces, data, applicatie, IT-systeem/infrastructuur, leverancier, OT-systeem
of medical device).

De bedrijfswaarde van een asset wordt bepaald aan de hand van drie
complementaire perspectieven:

SB – Strategische bijdrage:
de mate waarin het asset bijdraagt aan missie, strategische doelstellingen
en langetermijnrichting van de organisatie.
OSB – Operationele & sturingsbijdrage:
de mate waarin het asset een structurele rol speelt in het maken,
onderbouwen of bijsturen van keuzes, prioriteiten en inzet van middelen.
ESW – Economische & stakeholderwaarde:
de mate waarin het asset bijdraagt aan economische waarde, publieke
waarde of waarde voor interne en externe stakeholders.

Compliance – en normatieve onderbouwing

Het bedrijfswaardekader is opgezet in overeenstemming met algemeen aanvaarde
governance- en risicomanagementprincipes en ondersteunt de naleving van
toepasselijke wet- en regelgeving en normen.

Het kader sluit aan bij:

het 6 Capitals framework, waarin assets bijdragen aan waardecreatie
over meerdere vormen van kapitaal heen (financieel, menselijk,
intellectueel, sociaal/relatiegericht, geproduceerd en natuurlijk);
de NIS2-richtlijn en aanverwante nationale implementatiekaders, die
vereisen dat organisaties hun essentiële en belangrijke assets
identificeren en proportioneel beheren;
ISO-normen voor informatiebeveiliging, continuïteit en governance
(waaronder ISO/IEC 27001 en ISO 22301), die expliciet onderscheid maken
tussen bedrijfsbelang en impact bij verstoring;
het CyFun-raamwerk van het Centre for Cybersecurity Belgium, dat het
scheiden van waarde, afhankelijkheden en impact hanteert als
basisprincipe voor risicobeheer.

Het vaststellen van bedrijfswaarde ondersteunt governance en prioritering, maar vervangt geen risicobeoordeling, kriticiteitsanalyse of wettelijke complianceverplichtingen.

Classificatietabel voor bedrijfswaarde

Bedrijfswaarde	Strategische bijdrage (SB)	Operationele en sturingsbijdrage (OSB)	Economische & stakeholderbijdrage (ESW)
1 – Minimale bedrijfswaarde	Marginaal	Beperkt	Minimaal
2 – Lage bedrijfswaarde	Beperkt	Ondersteunend	Beperkt
3 – Gemiddelde bedrijfswaarde	Relevant	Relevant	Merkbaar
4 – Hoge bedrijfswaarde	Essentieel	Essentieel	Significant
5 – Zeer hoge bedrijfswaarde	Bepalend	Richtinggevend	Doorslaggevend

Kader – Volledige beschrijving van bedrijfswaarde

Bedrijfswaarde 1 – Minimale bedrijfswaarde

Strategische bijdrage (SB)
Marginaal. Het asset beïnvloedt de richting of doelen niet. Het speelt geen rol in strategische keuzes.
Operationele & sturingsbijdrage (OSB)
Beperkt. Het asset wordt niet gebruikt als basis voor keuzes. Het heeft geen invloed op bijsturing.
Economische & stakeholderwaarde (ESW)
Minimaal. Het asset levert weinig merkbare waarde. De impact is lokaal en klein.

Bedrijfswaarde 2 – Lage bedrijfswaarde

Strategische bijdrage (SB)
Beperkt. Het asset ondersteunt één afgebakend doel. Het bepaalt geen strategische prioriteiten.
Operationele & sturingsbijdrage (OSB)
Ondersteunend. Het asset helpt lokaal bij keuzes. Het beïnvloedt geen organisatiebrede beslissingen.
Economische & stakeholderwaarde (ESW)
Beperkt. Het asset levert duidelijke maar beperkte waarde. De impact blijft afgebakend.

Bedrijfswaarde 3 – Gemiddelde bedrijfswaarde

Strategische bijdrage (SB)
Relevant. Het asset ondersteunt meerdere doelen. Het helpt bepalen wat belangrijk is binnen een domein.
Operationele & sturingsbijdrage (OSB)
Relevant. Het asset wordt regelmatig gebruikt voor keuzes. Het beïnvloedt beslissingen binnen één functie of domein.
Economische & stakeholderwaarde (ESW)
Merkbaar. Het asset levert zichtbare waarde. Meerdere gebruikers of stakeholders ervaren het effect.

Bedrijfswaarde 4 – Hoge bedrijfswaarde

Strategische bijdrage (SB)
Essentieel. Het asset is nodig om strategische doelen te realiseren. Het beïnvloedt keuzes op organisatieniveau.
Operationele & sturingsbijdrage (OSB)
Essentieel. Het asset is nodig voor belangrijke keuzes. Het beïnvloedt meerdere domeinen of de hele organisatie.
Economische & stakeholderwaarde (ESW)
Significant. Het asset levert grote waarde. De impact is breed en duidelijk voelbaar.

Bedrijfswaarde 5 – Zeer hoge bedrijfswaarde

Strategische bijdrage (SB)
Bepalend. Het asset bepaalt de richting van de organisatie. Het stuurt missie en langetermijnkeuzes.
Operationele & sturingsbijdrage (OSB)
Richtinggevend. Het asset bepaalt hoe keuzes worden gemaakt. Zonder dit asset is sturing niet mogelijk.
Economische & stakeholderwaarde (ESW)
Doorslaggevend. Het asset levert cruciale waarde. Zonder dit asset komt waarde of vertrouwen in het gedrang.

Kriticiteit en bedrijfswaarde

Kriticiteit en bedrijfswaarde zijn onderscheiden begrippen en worden afzonderlijk beoordeeld binnen het assetclassificatiekader.

Bedrijfswaarde beschrijft het belang van een asset voor de organisatie bij normale werking, in functie van missie, sturing en waardecreatie.

Kriticiteit beschrijft de impact op de organisatie wanneer een asset verstoord raakt, uitvalt of wordt gecompromitteerd.

Een hoge bedrijfswaarde impliceert niet automatisch een hoge kriticiteit, en omgekeerd. Beide classificaties hebben een verschillend doel en vervullen een andere rol binnen governance en besluitvorming.

Beleidsmatig gebruik

De organisatie hanteert bedrijfswaarde en kriticiteit complementair, maar niet uitwisselbaar.

Kriticiteit wordt gebruikt om minimale maatregelen, beveiliging, continuïteit en wettelijke verplichtingen te bepalen.
Bedrijfswaarde wordt gebruikt om strategische prioriteiten, investeringskeuzes, roadmap- en architectuurbeslissingen te sturen.
De gezamenlijke beschouwing van kriticiteit en bedrijfswaarde wordt gebruikt bij prioritering van investeringen en bij de afweging en acceptatie van risico’s.
Tijdelijkheid van workarounds en afwijkingen wordt beoordeeld in relatie tot de bedrijfswaarde van het betrokken asset.

Governanceprincipes

De volgende principes zijn van toepassing:

Bedrijfswaarde en kriticiteit worden altijd afzonderlijk vastgesteld.
Geen van beide classificaties kan rechtstreeks uit de andere worden afgeleid.
Beslissingen met impact op beveiliging, continuïteit of compliance baseren zich minimaal op kriticiteit.
Beslissingen met impact op richting, investeringen en architectuur baseren zich primair op bedrijfswaarde.
Integrale beslissingen houden rekening met beide perspectieven.

Dit onderscheid is essentieel om proportionele, verdedigbare en transparante beslissingen te nemen binnen governance-, risico- en besluitvormingsprocessen.

Definities en termen

Glossary-termen (norm-/wetgevings-termen die in dit hoofdstuk voorkomen)

• Governance (Governance)
• Compliance (Compliance)
• Beveiliging (Security)
• Continuïteit (Business Continuity)
• Risico (Risk)
• Risicoacceptatie (Risk Acceptance)
• Wettelijke verplichtingen (Legal Requirements)

Gerelateerde documenten

”
},
{
“id”: “73793537”,
“title”: “Process Taxonomy for Healthcare Providers”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / IDENTIFY / Process Taxonomy for Healthcare Providers”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8955,
“body”: “none

Context

Binnen zorgorganisaties worden processen dagelijks uitgevoerd zonder dat zij formeel zijn vastgelegd als samenhangende architectuur. De werking is gekend, de applicaties zijn bekend, leveranciers zijn contractueel verbonden — maar het geheel ontbreekt vaak als geïntegreerd overzicht.

Zolang alles normaal verloopt, blijft dit onzichtbaar. De kwetsbaarheid wordt pas duidelijk wanneer een applicatie uitvalt, wanneer patiëntveiligheid onder druk komt te staan, wanneer NIS2-proportionaliteit moet worden onderbouwd of wanneer een auditor vraagt hoe digitale ondersteuning structureel is ingebed in de zorgverlening.

Processen vormen de ruggengraat van de organisatie. Zij dragen applicaties, data, systemen, leveranciers en beveiligingsmaatregelen. Zonder een formele processtructuur ontbreekt de basis om digitale afhankelijkheden correct te begrijpen, risico’s te analyseren en bestuurlijke verantwoordelijkheid helder te positioneren.

Daarom wordt een gestandaardiseerde proces-taxonomie geadopteerd als fundament voor governance en cyberweerbaarheid.

Definitie – Wat is een proces-taxonomie?

Een proces-taxonomie is een hiërarchisch gestructureerd referentiekader dat alle organisatieprocessen systematisch ordent en benoemt.

Ze:

definieert welke processen bestaan;
structureert deze processen in logische niveaus;
creëert een gemeenschappelijke terminologie;
maakt onderlinge relaties expliciet.

Een proces-taxonomie beschrijft niet hoe taken worden uitgevoerd. Ze beschrijft wél welke processen bestaan en hoe zij zich tot elkaar verhouden. Ze vormt daarmee de architecturale basis waarop risicoanalyse, applicatiemapping en governance verder worden gebouwd.

Waarom een taxonomie van processen een bestuurlijke en cybernoodzaak is

De adoptie van een formele proces-taxonomie is geen administratieve oefening, maar een bestuurlijke keuze.

Een zorgorganisatie moet expliciet kunnen aantonen:

welke processen kritiek zijn voor patiëntveiligheid;
welke digitale afhankelijkheden bestaan;
waar leveranciers een sleutelrol spelen;
hoe impactanalyses worden uitgevoerd bij incidenten;
hoe beveiligingsmaatregelen proportioneel worden gekozen;
hoe governance en compliance traceerbaar worden gemaakt.

Zonder gemeenschappelijke processtructuur blijven risicoanalyses gefragmenteerd en afhankelijk van individuele interpretatie. Met een gestandaardiseerde taxonomie ontstaat coherentie, transparantie en bestuurbaarheid.

De proces-taxonomie wordt zo een instrument van maturiteit.

Het gekozen referentiekader

Voor zorgorganisaties adviseren we het APQC Process Classification Framework (PCF) – Healthcare Provider versie 7.2.1 als referentie te adopteren.

Dit internationaal erkende framework biedt een sector-specifieke en hiërarchische indeling van processen, gaande van strategische sturing tot klinische kernprocessen en ondersteunende diensten.

De structuur bestaat uit vier niveaus:

Level 1 – Process Categories
Level 2 – Process Groups
Level 3 – Processes
Level 4 – Activities

Door dit referentiekader te adopteren, wordt vermeden dat elke organisatie haar eigen terminologie of indeling ontwikkelt. De taxonomie wordt objectief, schaalbaar en audit-verdedigbaar.

Het framework wordt bewust geadopteerd en waar nodig gecontextualiseerd naar de realiteit van de individuele zorgorganisatie.

Van referentiekader naar operationeel governance-instrument

De implementatie van de proces-taxonomie gebeurt volgens een gestructureerde aanpak.

De niveaus 1 tot en met 3 vormen de stabiele architecturale ruggengraat. Het vierde niveau – activiteiten – wordt afgestemd op de concrete werking van de organisatie.

Vanuit elk proces worden vervolgens structurele koppelingen gelegd naar:

betrokken applicaties;
onderliggende informatiesystemen;
verwerkte datatypes;
interne en externe leveranciers;
kriticiteit en afhankelijkheden;
relevante beveiligingsmaatregelen en CyFun-controls.

Deze koppelingen worden relationeel opgenomen in smartNIS2 en vormen de basis van het Single Source of Truth-model (SSOT):

Process → Data → Applicatie → Systemen → Leverancier(s) → Risico → Maatregel

Hierdoor wordt de proces-taxonomie een levend governance-instrument dat toelaat om incidentimpact onmiddellijk te analyseren, beveiligingskeuzes proportioneel te onderbouwen en auditvragen gestructureerd te beantwoorden.

Proces-eigenaarschap wordt expliciet toegewezen en wijzigingen gebeuren gecontroleerd en gedocumenteerd.

Positionering – Architecturale backbone van het governance-model

De proces-taxonomie vormt de structurele backbone van het governance- en cyberweerbaarheidsmodel voor zorgorganisaties.

Ze is:

het vertrekpunt voor risicoanalyse;
de basis voor Business Impact Analysis (BIA);
de structuur voor applicatie- en leveranciersmapping;
het fundament voor NIS2-proportionaliteitsonderbouwing;
de drager van traceerbaarheid richting audit.

Door deze taxonomie sectorbreed te hanteren, ontstaat consistentie tussen zorgorganisaties en schaalbaarheid binnen het smartNIS2-model.

De adoptie van een gestandaardiseerde proces-taxonomie betekent daarom niet enkel ordening. Ze betekent structurele versterking van bestuurlijke maturiteit, cyberweerbaarheid en compliance binnen zorgorganisaties.

Taxonomie APQC Process Classification Framework (PCF) – Healthcare providers v.7.2.1:

”
},
{
“id”: “31850536”,
“title”: “PROTECT”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “22249473”,
“title”: “Authentication & Access Control (AA)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 7249,
“body”: “none

Definitie

Authentication & Access Control omvat alle mechanismen en afspraken die bepalen:

wie een gebruiker, systeem of applicatie is (authenticatie),
en welke toegang die entiteit krijgt tot systemen, data en functionaliteiten (autorisatie).

Het vormt de basis voor veilige en gecontroleerde toegang tot de digitale omgeving van de organisatie.

Waarom is Authentication & Access Control belangrijk?

Authentication & Access Control is essentieel omdat zorg, dienstverlening en bedrijfsvoering enkel veilig kunnen functioneren als identiteit en toegang betrouwbaar zijn.

Zonder duidelijke en robuuste toegangscontrole:

is het onmogelijk om vertrouwelijkheid van gegevens te garanderen,
ontstaat er verhoogd risico op misbruik, fouten of incidenten,
en komt de continuïteit van kritieke processen in gevaar.

Zorgcontext760

In een zorgcontext is dit extra cruciaal:

verkeerde toegang kan directe impact hebben op patiëntveiligheid,
en bij incidenten bepaalt toegang vaak hoe snel en gecontroleerd herstel mogelijk is.

Authentication & Access Control is dus geen louter technische maatregel, maar een fundamentele voorwaarde voor vertrouwen, veiligheid en continuïteit.

Hoe kunnen organisaties Authentication & Access Control organiseren?

Organisaties organiseren Authentication & Access Control op basis van een aantal kernprincipes:

1. Eenduidige identiteit

Elke gebruiker, applicatie of systeem heeft één herkenbare en beheerde identiteit.
Dit voorkomt schaduwaccounts en oncontroleerbare toegang.

2. Minimale noodzakelijke toegang (least privilege)

Toegang wordt beperkt tot wat strikt nodig is om taken uit te voeren.
Meer rechten dan nodig verhogen het risico zonder meerwaarde.

3. Centrale sturing

Authenticatie en toegangsrechten worden centraal beheerd om consistentie, controle en auditbaarheid te waarborgen.

4. Scheiding van verantwoordelijkheden (seperation of duties)

Toegang, beheer en toezicht zijn logisch gescheiden om misbruik en fouten te voorkomen.

5. Levenscyclusbeheer

Toegangen volgen de levenscyclus van gebruikers en systemen:

toekenning,
wijziging,
en tijdige intrekking.

6. Herstelbaarheid

Authentication & Access Control moet ook functioneren in crisissituaties.
Herstel van identiteiten en toegangen is een expliciet onderdeel van continuïteits- en recoveryplanning.

Wat houdt Authentication & Access Control concreet in?

In de praktijk omvat Authentication & Access Control onder meer:

het beheren van gebruikers- en systeemidentiteiten,
het vastleggen en afdwingen van toegangsrechten en rollen,
de inzet van authenticatiemechanismen (bv. wachtwoorden, MFA),
de onderliggende identiteitsinfrastructuur (zoals Domain Services (DS) / Active Directory (AD)),
en de procedures voor toegang bij normale werking én bij incidenten.

Deze elementen zorgen samen voor een gecontroleerde, veilige en herstelbare digitale omgeving.

”
},
{
“id”: “30081025”,
“title”: “Authentication & Access Control Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Authentication & Access Control Policy”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 40347,
“body”: “

Beleid Identiteits- en & toegangsbeheer

none

Context

Authenticatie en toegangscontrole vormen een kritisch onderdeel van informatiebeveiliging binnen de zorgsector, waar vertrouwelijkheid, integriteit en beschikbaarheid van informatie rechtstreeks verbonden zijn met kwaliteit en veiligheid van zorg.

Zorgorganisaties verwerken gevoelige persoonsgegevens, gezondheidsgegevens en kritieke zorginformatie, en maken daarbij gebruik van systemen die essentieel zijn voor de continuïteit van zorgverlening.

Dit beleid maakt deel uit van het Information Security Management System (ISMS) en ondersteunt een risicogebaseerde en proportionele beheersing van toegang tot informatie en systemen.

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en vereisten voor authenticatie en toegangscontrole, met als doel:

ongeautoriseerde toegang tot informatie en systemen te voorkomen
patiëntveiligheid en zorgkwaliteit te ondersteunen
continuïteit van zorgprocessen te waarborgen
risico’s verbonden aan identiteiten en toegangsrechten te beheersen

Reikwijdte

Dit beleid is van toepassing op:

alle medewerkers, zorgverleners en externe partijen
alle identiteiten en accounts (gebruikers-, beheerders-, service- en technische accounts)
alle zorg-, ondersteunende en administratieve systemen
alle informatie, inclusief patiënt- en gezondheidsgegevens
alle omgevingen (on-premises, cloud en hybride)

Het beleid geldt gedurende de volledige lifecycle van identiteiten en toegangen.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan:

keurt het Beleid Authenticatie & Toegangscontrole formeel goed
bepaalt de strategische uitgangspunten en risicobereidheid met betrekking tot toegangsbeheer
ziet toe op de naleving en effectiviteit van het beleid
ontvangt periodiek rapportering over de werking en naleving van het beleid
spreekt het Dagelijks Bestuur aan bij tekortkomingen of structurele risico’s

Het Bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie en operationalisering van dit beleid
zorgt ervoor dat het beleid wordt vertaald naar richtlijnen, procedures en instructies
wijst verantwoordelijkheden toe en zorgt voor voldoende middelen
bewaakt de effectieve toepassing van authenticatie- en toegangscontrolemaatregelen
rapporteert aan het Bestuursorgaan over status, risico’s en verbeteracties

Het Dagelijks Bestuur is verantwoordelijk voor het doen functioneren van het beleid in de dagelijkse werking.

Eerste lijn

De eerste lijn is verantwoordelijk voor het eigenaarschap en de operationele beheersing van risico’s en voor de toepassing van dit beleid in de dagelijkse werking.

Directies & afdelingshoofden

Directies en afdelingshoofden:

ervoor zorgen dat toegangsrechten van medewerkers aansluiten bij hun functie en rol
tijdig wijzigingen signaleren bij functiewijziging, interne mobiliteit of uitdiensttreding
toezien op het correct gebruik van toegangsrechten binnen hun teams
meewerken aan controles en evaluaties van toegangsbeheer
incidenten of afwijkingen tijdig melden volgens de geldende procedures

De eerste lijn is verantwoordelijk voor de dagelijkse naleving van dit beleid.

IT-departement

Het IT-departement is verantwoordelijk voor de operationele inrichting, werking en opvolging van authenticatie- en toegangscontrolemaatregelen binnen de systemen en omgevingen die onder dit beleid vallen.

Concreet betekent dit dat het IT-departement:

identiteiten, accounts en toegangsrechten technisch implementeert, beheert en intrekt conform vastgelegde richtlijnen en procedures,
instaat voor de correcte werking van Identity & Access Management-, authenticatie- en autorisatiemechanismen,
verhoogde, technische en serviceaccounts op een gecontroleerde en aantoonbare manier beheert,
authenticatie- en toegangscontrolemaatregelen ondersteunt tijdens incidenten, onderhoud en herstelactiviteiten,
afwijkingen, misbruik of technische tekortkomingen in toegangsbeheer detecteert en tijdig signaleert,
en samenwerkt met de CISO, HR en andere betrokken functies bij de uitvoering en verbetering van toegangsbeheer.

Het IT-departement is verantwoordelijk voor de dagelijkse operationele beheersing van authenticatie en toegangscontrole.

Tweede lijn

De tweede lijn is verantwoordelijk voor het vaststellen van kaders, het adviseren en het bewaken van samenhang en consistentie in de toepassing van dit beleid.

CRO – Chief Risk Officer

bewaakt de risicogebaseerde toepassing van het beleid
zorgt voor samenhang met het enterprise risk management
adviseert over risicobereidheid en prioriteiten

CISO – Chief Information Security Officer

is inhoudelijk eigenaar van dit beleid
vertaalt beleidsvereisten naar richtlijnen en standaarden
adviseert eerste en tweede lijn over passende beveiligingsmaatregelen
rapporteert over risico’s en verbeterpunten

DPO – Data Protection Officer

bewaakt de samenhang tussen toegangsbeheer en bescherming van persoonsgegevens
adviseert over privacy-impact van toegangsmaatregelen
signaleert risico’s en non-compliance

Personeelsdienst

levert correcte en tijdige informatie over indiensttreding, functiewijziging en uitdiensttreding
ondersteunt een correcte identity lifecycle
werkt samen met IT en security voor het toekennen, wijzigen en intrekken van toegangsrechten

Kwaliteit en Patiëntveiligheid

bewaakt de impact van toegangsbeheer op kwaliteit van zorg en patiëntveiligheid
signaleert risico’s waar toegang zorgprocessen kan beïnvloeden

Preventiedienst (welzijn & veiligheid op het werk)

bewaakt de samenhang tussen toegangsbeheer, veiligheid en welzijn
adviseert bij risico’s die personeel of werkomgeving beïnvloeden

Communicatiedienst

ondersteunt interne communicatie rond beleidswijzigingen
adviseert bij communicatie in geval van incidenten

Facility / Infrastructure / Safety

bewaakt de afstemming tussen fysieke toegang en digitale toegangscontrole
ondersteunt integrale beveiliging van gebouwen en infrastructuur

Legal

Legal bewaakt de juridische en contractuele aspecten van authenticatie en toegangscontrole. Legal adviseert over juridische verplichtingen, aansprakelijkheid en afdwingbaarheid van toegangsmaatregelen en ziet toe op de correcte verankering ervan in contracten met externe partijen.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minstens aangepast bij significante wijzigingen in risico’s, wetgeving of organisatiecontext.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking vereist een formele goedkeuring en wordt gedocumenteerd en periodiek geëvalueerd.

Beleidsverklaring

De organisatie verbindt zich ertoe om:

toegang tot informatie en systemen uitsluitend toe te kennen op basis van noodzaak
identiteiten en accounts gestructureerd en controleerbaar te beheren
verhoogde rechten strikt te beperken en extra te beveiligen
authenticatie en toegangscontrole aantoonbaar en consistent toe te passen

Authenticatie en toegangscontrole worden beschouwd als kritische maatregelen ter bescherming van patiëntveiligheid, zorgkwaliteit en vertrouwelijkheid van informatie.

Beleidsvereisten

De organisatie stelt de volgende beleidsvereisten vast voor authenticatie en toegangscontrole. Deze vereisten vormen het normerende kader waarbinnen onderliggende richtlijnen, procedures en instructies worden uitgewerkt.

Identity & Access Management (IAM)

De organisatie beheert identiteiten en toegangsrechten op een gestructureerde en centrale wijze gedurende hun volledige levenscyclus. Toegang tot systemen en informatie is gekoppeld aan vastgelegde rollen, functies en verantwoordelijkheden en wordt aangepast wanneer deze wijzigen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegangsrechten worden vastgesteld, geïmplementeerd en beheerd op basis van formele beleidsregels om ongeautoriseerde toegang tot informatie en systemen te voorkomen.
ISO/IEC 27001:2022, Clause 8.2 – Privileged access rights
Deze control onderbouwt dat toekenning, gebruik en intrekking van toegangsrechten gestructureerd en aantoonbaar moeten worden beheerd gedurende de volledige levenscyclus van identiteiten.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegang tot informatie en systemen wordt beperkt op basis van vastgestelde toegangsregels, rollen en verantwoordelijkheden.
ISO/IEC 27002:2022, Control 5.16 – Identity management
Deze control ondersteunt het beheer van identiteiten over hun volledige levenscyclus, inclusief creatie, wijziging, tijdelijke opschorting en beëindiging.
CyFun v2025, PR.AA
Dit controlgebied vereist dat authenticatie en toegangscontrole gestructureerd, proportioneel en controleerbaar worden ingericht en beheerd, afgestemd op rollen, verantwoordelijkheden en risicoprofiel.

Gebruikersaccounts

Gebruikersaccounts zijn strikt persoonsgebonden en mogen uitsluitend worden gebruikt door de toegewezen gebruiker. Het delen van accounts is niet toegestaan. Gebruikers zijn verantwoordelijk voor het zorgvuldig en correct gebruik van hun account en bijhorende toegangsrechten.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegang tot informatie en systemen wordt toegekend en gebruikt op basis van vastgestelde toegangsregels en dat ongeautoriseerde toegang wordt voorkomen.
ISO/IEC 27001:2022, Clause 8.3 – Information access restriction
Deze control vereist dat toegang tot informatie en applicatiefuncties wordt beperkt overeenkomstig het vastgestelde toegangsbeleid.
ISO/IEC 27002:2022, Control 5.17 – Authentication information
Deze control beschrijft dat authenticatie-informatie persoonsgebonden moet zijn, vertrouwelijk moet worden behandeld en adequaat moet worden beschermd tegen misbruik.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt dat toekenning, wijziging en intrekking van toegangsrechten formeel, controleerbaar en tijdig worden uitgevoerd.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat gebruikersaccounts uniek, persoonsgebonden en controleerbaar zijn en dat het delen of ongecontroleerd gebruik van accounts wordt voorkomen.

Beheerders-, service- en technische accounts

Accounts met verhoogde rechten worden duidelijk onderscheiden van reguliere gebruikersaccounts. Beheerdersaccounts worden uitsluitend gebruikt voor beheeractiviteiten en niet voor dagelijks gebruik. Service- en technische accounts worden expliciet geïdentificeerd, beperkt ingezet en beheerd op basis van hun functionele noodzaak.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegangsrechten worden beheerd op basis van vastgestelde regels en dat toegang met verhoogde impact expliciet wordt beperkt en gecontroleerd.
ISO/IEC 27001:2022, Clause 8.2 – Privileged access rights
Deze control vereist dat het toekennen en gebruiken van geprivilegieerde toegangsrechten strikt wordt beperkt, gemonitord en beheerd.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt dat verhoogde toegangsrechten expliciet worden toegekend, periodiek worden herzien en tijdig worden ingetrokken wanneer ze niet langer nodig zijn.
ISO/IEC 27002:2022, Control 5.17 – Authentication information
Deze control beschrijft dat authenticatie-informatie voor beheerders-, service- en technische accounts adequaat moet worden beschermd tegen misbruik, verlies of ongeautoriseerde kennisname.
ISO/IEC 27002:2022, Control 8.2 – Privileged access rights
Deze control benadrukt dat het gebruik van beheerdersaccounts strikt gescheiden moet zijn van regulier gebruik en uitsluitend mag plaatsvinden voor beheerdoeleinden.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat accounts met verhoogde rechten, serviceaccounts en technische accounts expliciet worden geïdentificeerd, beperkt ingezet en controleerbaar worden beheerd.

Authenticatie

Authenticatie wordt ingericht op basis van het risico verbonden aan de toegang. Voor toegang met verhoogde impact of gevoeligheid wordt sterke authenticatie toegepast.

Wanneer paswoorden worden gebruikt als onderdeel van authenticatie, worden zij beschouwd als vertrouwelijke authenticatiemiddelen en overeenkomstig beschermd. Het gebruik van paswoorden wordt afgestemd op het risiconiveau van de toegang en waar nodig ondersteund door aanvullende authenticatiemechanismen.

Multi-Factor Authentication (MFA) is verplicht voor alle vormen van geprivilegieerde toegang en voor andere toegangen waarvoor dit op basis van risico vereist is.

De concrete vereisten en beheersmaatregelen voor authenticatie worden vastgelegd in onderliggende richtlijnen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegangsrechten worden vastgesteld, geïmplementeerd en beheerd op basis van formele beleidsregels om ongeautoriseerde toegang tot informatie en systemen te voorkomen.
ISO/IEC 27001:2022, Clause 8.2 – Privileged access rights
Deze control onderbouwt dat toekenning, gebruik en intrekking van toegangsrechten gestructureerd en aantoonbaar moeten worden beheerd gedurende de volledige levenscyclus van identiteiten.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegang tot informatie en systemen wordt beperkt op basis van vastgestelde toegangsregels, rollen en verantwoordelijkheden.
ISO/IEC 27002:2022, Control 5.16 – Identity management
Deze control ondersteunt het beheer van identiteiten over hun volledige levenscyclus, inclusief creatie, wijziging, tijdelijke opschorting en beëindiging.
CyFun v2025, PR.AA
Dit controlgebied vereist dat authenticatie en toegangscontrole gestructureerd, proportioneel en controleerbaar worden ingericht en beheerd, afgestemd op rollen, verantwoordelijkheden en risicoprofiel.

Autorisatie

Toegangsrechten worden toegekend volgens het principe van Least Privilege en zijn beperkt tot wat noodzakelijk is voor de uitvoering van taken. Waar relevant wordt Segregation of Duties toegepast om ongewenste cumulatie van bevoegdheden te voorkomen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegangscontrole wordt ingericht op basis van vastgestelde regels en dat toegang tot informatie en systemen wordt beperkt tot geautoriseerde gebruikers en processen.
ISO/IEC 27001:2022, Clause 8.3 – Information access restriction
Deze control vereist dat toegang tot informatie en applicatiefuncties wordt beperkt overeenkomstig het toegangsbeleid, inclusief beperkingen op basis van rol, taak en noodzaak.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegangsregels en autorisaties consistent moeten worden toegepast, inclusief principes zoals least privilege en need-to-know.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt formele processen voor het toekennen, wijzigen, herzien en intrekken van toegangsrechten.
ISO/IEC 27002:2022, Control 8.3 – Information access restriction
Deze control beschrijft het beperken van toegang tot informatie en systemen op basis van classificatie, context en toegangsbehoefte, inclusief het voorkomen van ongewenste cumulatie van bevoegdheden.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat toegangsrechten risicogebaseerd en gecontroleerd worden toegekend, dat overmatige rechten worden vermeden en dat ongewenste cumulatie van bevoegdheden wordt beheerst.

Privileged Access Management (PAM)

Geprivilegieerde toegang wordt vooraf ingericht en beheerst via Privileged Access Management. Verhoogde rechten zijn beperkt in scope en duur. Tijdelijke en noodtoegang (break-glass) zijn vooraf gedefinieerd, uitzonderlijk van aard en worden na gebruik geëvalueerd.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 8.2 – Privileged access rights
Deze control vereist dat het gebruik van geprivilegieerde toegangsrechten strikt wordt beperkt, gecontroleerd en beheerd om misbruik of ongeautoriseerde handelingen te voorkomen.
ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control ondersteunt dat toegangscontrolemaatregelen ook van toepassing zijn op tijdelijke, verhoogde en uitzonderlijke toegangen.
ISO/IEC 27002:2022, Control 8.2 – Privileged access rights
Deze control beschrijft dat geprivilegieerde toegang afzonderlijk moet worden beheerd, beperkt in scope en tijd, en onderworpen aan aanvullende beveiligingsmaatregelen.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt dat verhoogde toegangsrechten vooraf worden goedgekeurd, aantoonbaar worden toegekend en periodiek worden herzien.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control onderbouwt dat uitzonderlijke en noodtoegangen vooraf moeten worden gedefinieerd en achteraf geëvalueerd.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat geprivilegieerde toegang expliciet wordt beheerd, beperkt in duur en omvang, en dat gebruik van verhoogde rechten controleerbaar en traceerbaar is.

Continuïteit van authenticatie en toegang

Authenticatie- en toegangsmechanismen worden zodanig ingericht dat zij ook tijdens incidenten en herstelactiviteiten veilig en gecontroleerd kunnen worden gebruikt, met behoud van beschikbaarheid voor kritieke zorgprocessen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegangscontrole consistent wordt toegepast en dat toegang tot informatie en systemen beheerst blijft, ook wanneer omstandigheden wijzigen.
ISO/IEC 27001:2022, Clause 8.3 – Information access restriction
Deze control ondersteunt dat toegang tot informatie en functies gecontroleerd blijft in alle relevante situaties, inclusief uitzonderlijke of gewijzigde operationele omstandigheden.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegangscontrolemaatregelen zodanig moeten zijn ingericht dat zij betrouwbaar en toepasbaar blijven, inclusief tijdens nood- of herstelactiviteiten.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt dat tijdelijke en noodtoegangen formeel worden beheerd, beperkt in duur en traceerbaar zijn, ook wanneer toegang versneld moet worden ingericht.
ISO/IEC 27002:2022, Control 8.2 – Privileged access rights
Deze control onderbouwt dat geprivilegieerde toegang tijdens incidenten en herstel strikt gecontroleerd moet blijven om misbruik of foutieve handelingen te voorkomen.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat authenticatie- en toegangsmechanismen ook in uitzonderlijke situaties beheerst en controleerbaar blijven, met duidelijke voorwaarden voor tijdelijke of noodtoegang.

Deze beleidsvereisten bepalen wat de organisatie verwacht op het vlak van authenticatie en toegangscontrole. De concrete uitwerking hoe deze vereisten worden gerealiseerd, gebeurt via onderliggende richtlijnen, procedures en instructies.

Definities en termen

Authenticatie
Toegangscontrole
Informatiebeveiliging
Persoonsgegevens
Gezondheidsgegevens
Information Security Management System (ISMS)
Identity & Access Management (IAM)
Identiteiten
Toegangsrechten
Rollen
Functies
Levenscyclus (van identiteiten en toegangen)
Gebruikersaccounts
Beheerdersaccounts
Service- en technische accounts
Sterke authenticatie
Multi-Factor Authentication (MFA)
Least Privilege
Segregation of Duties
Privileged Access Management (PAM)
Noodtoegang / break-glass

Gerelateerde documenten

Beleid Informatiebeveiliging

”
},
{
“id”: “32702467”,
“title”: “Remote Access Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Authentication & Access Control Policy / Remote Access Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 30381,
“body”: “

Beleid Toegang op Afstand

none

Context

Remote access laat gebruikers toe om van buiten de organisatie toegang te krijgen tot systemen en informatie. In de zorgsector brengt dit een verhoogd risico met zich mee, aangezien externe toegang kan leiden tot ongeautoriseerde toegang tot zorg- en patiëntgegevens, verstoring van zorgprocessen of impact op de continuïteit van zorg.

Dit beleid maakt deel uit van het Information Security Management System (ISMS) en bouwt voort op het Beleid Authenticatie & Toegangscontrole. Het beschrijft de voorwaarden waaronder remote access is toegestaan en hoe deze toegang veilig, gecontroleerd en proportioneel wordt ingericht.

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en vereisten voor veilige remote access, met als doel:

ongeautoriseerde externe toegang te voorkomen
vertrouwelijkheid, integriteit en beschikbaarheid van zorginformatie te beschermen
continuïteit van zorgprocessen te ondersteunen
risico’s verbonden aan externe toegang beheersbaar te houden

Reikwijdte

Dit beleid is van toepassing op:

alle medewerkers, zorgverleners en externe partijen
alle vormen van externe toegang tot systemen en informatie
alle omgevingen (on-premises, cloud en hybride)
alle apparaten en verbindingsmethoden gebruikt voor remote access

Remote access omvat onder meer thuiswerk, externe ondersteuning, beheer op afstand en noodtoegang.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan:

keurt dit beleid formeel goed
bepaalt de strategische uitgangspunten en risicobereidheid voor remote access
ziet toe op de naleving en effectiviteit van het beleid

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie van dit beleid
vertaalt het beleid naar richtlijnen en procedures
zorgt voor voldoende middelen en ondersteuning
rapporteert over risico’s en naleving aan het Bestuursorgaan

Eerste lijn

Directies & afdelingshoofden

De eerste lijn:

past dit beleid toe binnen de eigen verantwoordelijkheidsdomeinen
ziet toe op correct gebruik van remote access door medewerkers
meldt afwijkingen, incidenten of structurele knelpunten

IT-departement

Het IT-departement is verantwoordelijk voor de operationele inrichting, beveiliging en opvolging van remote access-voorzieningen binnen de organisatie.

Concreet betekent dit dat het IT-departement:

remote access-oplossingen technisch implementeert, configureert en beheert in overeenstemming met vastgestelde richtlijnen en beveiligingsvereisten,
toeziet op het correct gebruik van authenticatie- en toegangsmechanismen bij externe toegang tot systemen en netwerken,
instaat voor het beheer van technische configuraties, accounts en toegangsrechten die nodig zijn voor remote access,
de beschikbaarheid en beveiliging van remote access-voorzieningen bewaakt, inclusief logging en monitoring waar van toepassing,
afwijkingen, misbruik of technische kwetsbaarheden met betrekking tot remote toegang detecteert en tijdig signaleert,
en samenwerkt met de CISO en andere betrokken functies bij incidenten, evaluaties en verbetermaatregelen rond remote access.

Het IT-departement is verantwoordelijk voor de dagelijkse operationele beheersing van remote access.

Tweede lijn

CRO – Chief Risk Officer

De Chief Risk Officer bewaakt de risicogebaseerde toepassing van remote access en zorgt voor samenhang met het organisatiebrede risicomanagement en de vastgestelde risicobereidheid.

CISO – Chief Information Security Officer

De Chief Information Security Officer is inhoudelijk eigenaar van dit beleid en bewaakt de samenhang tussen remote access, informatiebeveiliging en de beveiligingsarchitectuur van de organisatie.

DPO – Data Protection Officer

De Data Protection Officer ziet toe op de bescherming van persoonsgegevens bij remote access en bewaakt de samenhang tussen externe toegang, privacybescherming en gegevensverwerking.

Kwaliteit en Patiëntveiligheid

De dienst Kwaliteit en Patiëntveiligheid bewaakt de impact van remote access op zorgkwaliteit en patiëntveiligheid en signaleert risico’s waar externe toegang zorgprocessen kan beïnvloeden.

Personeelsdient (HR)

De personeelsdienst bewaakt de samenhang tussen remote access, functie, rol en de levenscyclus van identiteiten en draagt bij aan een correcte en tijdige verwerking van personeelswijzigingen die invloed hebben op externe toegang.

Preventiedienst (welzijn & veiligheid op het werk)

De preventiedienst bewaakt de samenhang tussen remote access, welzijn en veiligheid op het werk en brengt risico’s in kaart die verbonden zijn aan thuiswerk en externe toegang.

Communicatiedienst

De communicatiedienst bewaakt de kwaliteit en consistentie van interne communicatie over remote access en ondersteunt de organisatie bij communicatie in geval van beleidswijzigingen of incidenten.

Facility / Infrastructure / Safety

De dienst Facility / Infrastructure / Safety bewaakt de samenhang tussen fysieke beveiliging en digitale toegangsbeveiliging, waar remote access impact heeft op gebouwen, infrastructuur of veiligheidsvoorzieningen.

Legal

Legal bewaakt de juridische en contractuele aspecten van remote access en ziet toe op de rechtsgeldigheid, aansprakelijkheid en afdwingbaarheid van maatregelen met betrekking tot externe toegang tot systemen en informatie, inclusief afspraken met externe partijen.

Goedkeuring

Dit beleid wordt goedgekeurd door het bevoegde Bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en aangepast bij wijzigingen in risico’s, technologie, organisatiecontext of wetgeving.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd. Elke afwijking vereist formele goedkeuring en wordt gedocumenteerd en geëvalueerd.

Beleidsverklaring

De organisatie staat remote access uitsluitend toe wanneer deze noodzakelijk is voor de uitvoering van taken en wanneer de bijhorende risico’s beheersbaar zijn.

Remote access wordt beschouwd als een hoog-risico vorm van toegang en vereist daarom passende beveiligingsmaatregelen en duidelijke voorwaarden.

Beleidsvereisten

Remote access wordt beschouwd als een vorm van toegang met verhoogd risico. De organisatie staat remote access uitsluitend toe binnen duidelijk vastgelegde en gecontroleerde kaders.

Noodzaak en toelating van remote access

Remote access is enkel toegestaan wanneer dit aantoonbaar noodzakelijk is voor de uitvoering van taken of voor de continuïteit van zorgprocessen. Externe toegang wordt expliciet toegekend aan gebruikers, rollen of functies waarvoor dit vereist is. Impliciete of onbeperkte remote access is niet toegestaan.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegang tot informatie en systemen uitsluitend wordt toegekend op basis van vastgestelde toegangsregels en aantoonbare noodzaak.
ISO/IEC 27001:2022, Clause 8.2 – Privileged access rights
Deze control ondersteunt dat toegang met verhoogde impact expliciet moet worden beperkt tot geautoriseerde gebruikers en functies.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control beschrijft dat toekenning van toegangsrechten gebaseerd moet zijn op functie, rol en taaknoodzaak, en dat impliciete of onbeperkte toegang moet worden vermeden.
ISO/IEC 27002:2022, Control 6.7 – Remote working
Deze control vereist dat remote access enkel wordt toegestaan wanneer dit noodzakelijk is en binnen duidelijk vastgelegde voorwaarden.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat externe toegang expliciet wordt toegekend, aantoonbaar noodzakelijk is en niet impliciet of onbeperkt wordt toegestaan.

Authenticatie bij remote access

Authenticatie voor remote access wordt risicogebaseerd ingericht. Voor toegang met verhoogde impact of gevoeligheid wordt sterke authenticatie toegepast. Multi-Factor Authentication (MFA) is verplicht voor geprivilegieerde toegang en voor andere vormen van remote access waarvoor dit op basis van risico noodzakelijk is.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Annex A 5.17 – Authentication information
Deze control vereist dat authenticatiemiddelen en -informatie worden beschermd tegen misbruik, onbevoegde toegang en openbaarmaking.
ISO/IEC 27001:2022, Annex A 8.5 – Secure authentication
Deze control ondersteunt dat sterke authenticatiemechanismen worden toegepast wanneer het risico van toegang dit vereist.
ISO/IEC 27002:2022, Control 5.17 – Authentication information
Deze control beschrijft dat authenticatie-informatie vertrouwelijk moet worden behandeld en adequaat beschermd moet worden gedurende de volledige levenscyclus.
ISO/IEC 27002:2022, Control 8.5 – Secure authentication
Deze control beschrijft dat sterke authenticatie moet worden toegepast voor toegang met verhoogd risico, waaronder externe toegang.
ISO/IEC 27002:2022, Control 6.7 – Remote working
Deze control vereist dat remote access gepaard gaat met passende authenticatie- en beveiligingsmaatregelen, afgestemd op het risiconiveau.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat externe toegang risicogebaseerd wordt geauthenticeerd en dat sterke authenticatie, waaronder MFA waar passend, wordt toegepast.

Autorisatie en beperking van rechten

Toegangsrechten bij remote access zijn beperkt tot wat strikt noodzakelijk is voor de uitvoering van taken. Geprivilegieerde toegang via remote access wordt uitzonderlijk toegestaan en extra beperkt in scope en duur.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Annex A 5.15 – Access control
Deze control vereist dat toegangsrechten worden toegekend en beperkt op basis van vastgestelde toegangsregels, rollen en verantwoordelijkheden.
ISO/IEC 27001:2022, Annex A 8.2 – Privileged access rights
Deze control vereist dat geprivilegieerde toegangsrechten strikt worden beperkt, expliciet worden toegekend en onderworpen zijn aan aanvullende beheersmaatregelen.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegang tot systemen en informatie moet worden beperkt tot wat noodzakelijk is voor de uitvoering van taken, conform het principe van least privilege.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt formele processen voor het toekennen, wijzigen, herzien en intrekken van toegangsrechten, inclusief toegangsrechten bij externe toegang.
ISO/IEC 27002:2022, Control 8.2 – Privileged access rights
Deze control benadrukt dat geprivilegieerde toegang uitzonderlijk van aard is en beperkt moet worden in scope, duur en gebruik.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat toegangsrechten bij externe toegang strikt worden beperkt tot wat noodzakelijk is en dat verhoogde rechten expliciet en controleerbaar worden beheerd.

Toegestane toegangsmethoden

Remote access wordt uitsluitend toegestaan via vooraf vastgelegde, gecontroleerde en goedgekeurde toegangsmethoden. Externe toegang via niet-goedgekeurde kanalen of omzeiling van vastgelegde maatregelen is niet toegestaan.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Annex A 5.15 – Access control
Deze control vereist dat toegang tot informatie en systemen wordt beheerst via vastgestelde toegangsregels, waaronder het gebruik van toegestane en gecontroleerde toegangsmethoden.
ISO/IEC 27001:2022, Annex A 8.1 – User endpoint devices
Deze control ondersteunt dat toegangsmethoden rekening houden met de beveiliging van eindpunten die gebruikt worden voor toegang, inclusief beheersing van configuratie en gebruik.
ISO/IEC 27002:2022, Control 6.7 – Remote working
Deze control vereist dat remote access uitsluitend plaatsvindt via vastgelegde en beheerde oplossingen en dat ongecontroleerde toegangskanalen worden voorkomen.
ISO/IEC 27002:2022, Control 8.20 – Network security
Deze control beschrijft dat netwerktoegang en netwerkdiensten beschermd en beheerst moeten worden, inclusief beperkingen op toegestane verbindingen en kanalen.
ISO/IEC 27002:2022, Control 8.21 – Security of network services
Deze control ondersteunt dat netwerkdiensten zodanig worden beheerd dat enkel geautoriseerde toegangsmethoden en -paden worden toegestaan.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat externe toegang uitsluitend via gecontroleerde en goedgekeurde toegangsmethoden wordt toegestaan en dat omzeiling van beveiligingsmaatregelen wordt voorkomen.

Continuïteit en noodsituaties

Remote access wordt zodanig ingericht dat de continuïteit van kritieke zorgprocessen behouden blijft, ook tijdens incidenten of uitzonderlijke situaties. Tijdelijke of noodtoegang via remote access is vooraf geregeld, beperkt in scope en duur, en wordt na gebruik geëvalueerd.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.15 – Access control
Deze control vereist dat toegang tot informatie en systemen wordt beperkt en beheerst op basis van vastgestelde beleidsregels, waarbij toegang met verhoogd risico expliciet wordt onderkend en beheerst.
ISO/IEC 27001:2022, Clause 6.1 – Actions to address risks and opportunities
Deze clausule vereist dat risico’s worden geïdentificeerd, beoordeeld en behandeld, wat de classificatie van remote access als verhoogd risico ondersteunt.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control beschrijft dat toegang tot systemen proportioneel moet worden ingericht in functie van het risiconiveau van de toegang.
ISO/IEC 27002:2022, Control 6.7 – Remote working
Deze control onderkent dat remote toegang specifieke risico’s introduceert en dat hiervoor aanvullende beheersmaatregelen noodzakelijk zijn.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat toegangsvormen met verhoogd risico expliciet worden geïdentificeerd en onderworpen aan strengere voorwaarden en beheersmaatregelen.

Evaluatie en herziening van remote access

Remote access wordt periodiek geëvalueerd op noodzaak, risico en gebruik. Toegang die niet langer noodzakelijk is, wordt tijdig ingetrokken of aangepast.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
Deze clausule vereist dat de organisatie de effectiviteit van maatregelen periodiek evalueert, wat de noodzaak ondersteunt om remote access te beoordelen op gebruik, risico en geschiktheid.
ISO/IEC 27001:2022, Clause 10.1 – Nonconformity and corrective action
Deze clausule vereist dat vastgestelde afwijkingen of tekortkomingen leiden tot corrigerende maatregelen, inclusief het aanpassen of intrekken van toegang.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control beschrijft dat toegangsrechten periodiek moeten worden herzien en aangepast wanneer zij niet langer noodzakelijk of passend zijn.
ISO/IEC 27002:2022, Control 5.15 – Access control
Deze control ondersteunt dat toegangsregels en -rechten actueel blijven en worden afgestemd op wijzigingen in rollen, functies en gebruik.
ISO/IEC 27002:2022, Control 6.7 – Remote working
Deze control vereist dat remote access periodiek wordt geëvalueerd om te verzekeren dat de maatregelen nog passend zijn bij het actuele risicoprofiel.
CyFun v2025, PR.AA – Authentication & Access Control
Dit controlgebied vereist dat externe toegang periodiek wordt geëvalueerd en aangepast wanneer noodzaak, risico of context wijzigen.

Relatie met richtlijnen en procedures

De concrete technische invulling en operationele uitvoering van remote access worden vastgelegd in onderliggende richtlijnen en procedures, binnen de kaders en uitgangspunten van dit beleid.

Definities en termen

Remote access
Externe toegang
Authenticatie
Sterke authenticatie
Multi-Factor Authentication (MFA)
Autorisatie
Toegangsrechten
Geprivilegieerde toegang
Kritieke zorgprocessen
Continuïteit van zorg
Information Security Management System (ISMS)

Gerelateerde documenten

Bovenliggende kaders:

Beleid Informatiebeveiliging
- Beleid Authenticatie & Toegangscontrole
  - Beleid Toegang op Afstand

”
},
{
“id”: “30212097”,
“title”: “Guidelines for Authentication & Access Control”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 509,
“body”: “2true0

”
},
{
“id”: “39026689”,
“title”: “Olaf Hartong’s framework”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Olaf Hartong’s framework”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8204,
“body”: “none

Definitie

Olaf Hartong’s framework is een praktisch referentiekader voor het opbouwen van Identity-centric security.

Het framework is ontwikkeld en uitgedragen door Olaf Hartong, security architect en CISO, en wordt vooral gebruikt als denkmodel om moderne beveiliging te structureren rond identiteiten in plaats van netwerken.

Het wordt vaak voorgesteld als een visuele gelaagdheid van security-capabilities, met Identity als kern.

Waarom is dit framework relevant?

Het framework vertrekt van een realiteit die ook door NIS2 en Zero Trust wordt erkend:

de netwerkperimeter is niet langer het primaire beveiligingsanker
gebruikers, toestellen en workloads zijn dynamisch en verspreid
aanvallen richten zich vooral op identity abuse, niet op firewalls

Het framework helpt om:

security-investeringen logisch te structureren
gaten en overlap in controls zichtbaar te maken
discussies te voeren voorbij tooling (“wat is fundamenteel nodig?”)

Hoe is het framework opgebouwd?

Het framework wordt meestal voorgesteld als concentrische lagen, van binnen naar buiten:

Identity (core)
- gebruikers, service-accounts, workload-identiteiten
- authenticatie, autorisatie, lifecycle
Credentials & Secrets
- wachtwoorden, keys, tokens, certificaten
- rotatie, bescherming, opslag
Privileged Access
- admin-accounts
- elevation, just-in-time, separation of duties
Device & Session Context
- toestelstatus
- compliant vs non-compliant
- sessiebeperkingen
Conditional Access & Policy
- contextgedreven beslissingen
- risico, locatie, gedrag
Monitoring & Detection
- logging
- identity threat detection
- response op misbruik

De exacte benaming kan variëren, maar het principe blijft identiek:
👉 identity is de fundamentele control plane.

Wat is dit framework wel en niet?

Het framework is wel:

een architecturaal denkmodel
technologie- en vendor-agnostisch
complementair aan Zero Trust, NIS2, ISO 27001

Het framework is niet:

een norm of compliance-standaard
een audit-checklist
een product- of vendor-architectuur

Het geeft richting en structuur, maar vereist altijd vertaling naar concrete controls.

Relatie met onze governance en controles

Olaf Hartong’s framework sluit inhoudelijk sterk aan bij:

NIS2 / CyFun
- identity, access control, privileged accounts
Least privilege & Zero Trust
FGPP, LAPS, PAM, MFA
- elk van deze past logisch in een specifieke laag

Het framework kan gebruikt worden als:

structurerend model voor identity-hoofdstukken in het handboek
kapstok om controls te positioneren
communicatiemiddel richting management en IT

”
},
{
“id”: “23592961”,
“title”: “Identity & Access Management (IAM)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM)”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 6217,
“body”: “none

Definitie

Identity & Access Management (IAM) is het geheel van processen, rollen en hulpmiddelen waarmee de organisatie identiteiten beheert (gebruikers, systemen en service-accounts) en bepaalt welke toegang zij krijgen tot systemen, applicaties en data, gedurende hun volledige levenscyclus (aanmaak, wijziging en intrekking).

IAM is de organisatorische en beheersmatige uitvoering van de principes die op de bovenliggende pagina Authentication & Access Control zijn vastgelegd.

Waarom IAM?

IAM is noodzakelijk om Authentication & Access Control consistent, schaalbaar en controleerbaar te organiseren.

Zonder IAM ontstaan versnipperde toegangen, uitzonderingen en manuele procedures, wat leidt tot:

verlies aan overzicht (wie heeft toegang tot wat?),
verhoogde kans op fouten of misbruik,
moeilijker incidentrespons en trager herstel,
en beperkte auditbaarheid.

IAM zorgt ervoor dat toegang geen “ad-hoc beslissing” is, maar een beheersbaar en herhaalbaar proces.

Hoe organiseert IAM Authentication & Access Control?

IAM organiseert toegang door identiteit en rechten centraal en lifecycle-gericht te beheren, op basis van duidelijke principes:

1. Identiteitslevenscyclus

Identiteiten worden gecontroleerd:

aangemaakt,
aangepast bij rolwijziging,
en tijdig ingetrokken bij vertrek of wijziging van functie.

2. Rol- en rechtentoekenning

Toegang wordt zoveel mogelijk toegewezen via rollen (functie/taak), niet via individuele uitzonderingen, zodat least privilege haalbaar blijft.

3. Centrale bron van waarheid (Single Source of Truth (SSOT))

IAM maakt duidelijk welke bron leidend is voor identiteitsgegevens en rechten (en welke systemen daarvan afgeleid zijn).

4. Afstemming met technische fundamenten

IAM stuurt en gebruikt technische componenten (zoals Domain Services / Active Directory en authenticatiemechanismen) om toegang effectief af te dwingen.

5. Audit en herstelbaarheid

IAM ondersteunt:

aantoonbaarheid (wie heeft wat en waarom),
en gecontroleerd herstel van toegang tijdens recovery.

Wat omvat IAM concreet?

IAM omvat in de praktijk:

beheer van gebruikersaccounts en service-accounts,
beheer van rollen, groepen en rechten,
processen voor joiner–mover–leaver (instroom, functiewijziging, uitstroom),
afspraken rond toegang bij incidenten (bv. break-glass),
en de koppeling met onderliggende systemen die toegang afdwingen.

Relatie met onderliggende pagina’s

Deze IAM-pagina legt het kader. De volgende pagina’s werken de kerncomponenten uit, o.a.:

”
},
{
“id”: “30375939”,
“title”: “IAM – Principles & Governance”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / IAM – Principles & Governance”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 16681,
“body”: “none

Definitie

Identity & Access Management (IAM) omvat de principes, verantwoordelijkheden en beheersmechanismen waarmee een organisatie digitale identiteiten beheert en toegang tot systemen, applicaties en informatie controleert.

De IAM-principes en governance bepalen hoe identiteiten en toegangen worden aangestuurd, beheerd en opgevolgd, in lijn met de bredere Governance, Risk & Compliance (GRC)-aanpak en het Information Security Management System (ISMS).

Waarom IAM-principes en governance?

Identiteiten zijn het primaire aanknopingspunt voor toegang tot informatie en systemen.
Zonder duidelijke principes en governance ontstaat IAM vaak als:

een technisch hulpmiddel
een verzameling losse accounts
een historisch gegroeid rechtenlandschap

Dit leidt tot:

overmatige toegang
onduidelijke verantwoordelijkheden
verhoogd risico op misbruik
beperkte aantoonbaarheid

IAM-principes en governance zijn nodig om:

identiteit als bestuurbaar object te behandelen
toegangsbeheer consistent en controleerbaar te maken
verantwoordelijkheden expliciet vast te leggen
aansluiting te behouden met risico- en compliancevereisten

Hoe is IAM-principes en governance ingericht?

IAM-principes en governance zijn ingebed in het ISMS en worden gestuurd vanuit GRC.

Governance

Vanuit governance wordt bepaald:

wie eigenaar is van IAM
wie beslissingen neemt over toegang
hoe toezicht en escalatie verlopen

IAM-governance zorgt voor:

duidelijke rolverdeling
besluitvorming
afstemming met andere GRC-domeinen

Principes

De IAM-principes vertalen de ISMS-principes naar het IAM-domein en vormen het uitgangspunt voor:

ontwerp van IAM-processen
inrichting van autorisatiemodellen
technische implementaties

Wat omvat IAM-principes en governance concreet?

Richtinggevende IAM-principes

IAM is gebaseerd op de volgende kernprincipes:

Identiteit is het primaire controlepunt voor toegang
Toegang is rol- en verantwoordelijkheidsgedreven
Toegang wordt minimaal en proportioneel toegekend
Kritieke toegang is gescheiden, gecontroleerd en traceerbaar
Identiteiten en toegangen hebben een volledige lifecycle
IAM ondersteunt zowel gebruikers als niet-persoonlijke accounts

Deze principes worden toegepast via:

RBAC
Least Privilege
Segregation of Duties
PAM
MFA en monitoring

Governance-elementen binnen IAM

IAM-governance omvat onder andere:

Eigenaarschap van IAM-beleid en -architectuur
Rollen en verantwoordelijkheden (business, IT, security)
Besluitvorming rond uitzonderingen
Periodieke evaluatie en bijsturing
Afstemming met:
- risicobeheer
- compliance
- audit

IAM-governance zorgt ervoor dat toegangsbeheer geen louter technische aangelegenheid is, maar een managementverantwoordelijkheid.

IAM-principes bepalen hoe toegang wordt benaderd.
IAM-governance bepaalt wie daarover beslist en toezicht houdt.

Samen zorgen zij ervoor dat IAM:

consistent
beheersbaar
aantoonbaar
en toekomstvast is.

Compliance- en normatieve onderbouwing760

Identity & Access Management (IAM) vormt een fundamenteel besturingsdomein binnen informatiebeveiliging en is expliciet verankerd in internationale normen voor governance, risicobeheer en compliance.

IAM-principes en governance zorgen ervoor dat toegangsbeheer structureel, risicogebaseerd en aantoonbaar wordt georganiseerd.

Duiding relevantie ISO/IEC 27001 – Clauses (IAM – Principes & Governance)

Clause 5 – Leadership
IAM vereist expliciet leiderschap, eigenaarschap en bestuurlijke verantwoordelijkheid voor identiteit en toegang.
Clause 6 – Planning
IAM-principes sturen risicogebaseerde keuzes rond toegang, rollen en autorisaties.
Clause 7 – Support
Rollen, verantwoordelijkheden en bevoegdheden binnen IAM moeten duidelijk zijn vastgelegd en gecommuniceerd.
Clause 8 – Operation
IAM-governance bepaalt hoe identiteiten en toegangen operationeel worden beheerst.
Clause 9 – Performance evaluation
Effectiviteit van IAM moet periodiek geëvalueerd worden via reviews, audits en monitoring.
Clause 10 – Improvement
IAM-principes ondersteunen continue verbetering van toegangsbeheer op basis van bevindingen en wijzigingen.

Duiding relevantie ISO/IEC 27002:2022 – Controls (IAM – Principes & Governance)

5.2 – Roles and responsibilities
IAM-governance vereist duidelijke toewijzing van verantwoordelijkheden voor identiteiten en toegang.
5.15 – Access control
IAM-principes bepalen hoe toegangsregels worden ontworpen en toegepast.
5.16 – Identity management
IAM vormt de kern van het beheer van digitale identiteiten gedurende hun volledige lifecycle.
5.17 – Authentication information
Governance rond IAM bepaalt hoe authenticatiemiddelen worden beschermd en beheerd.
5.18 – Access rights
IAM-principes sturen de toekenning, wijziging en intrekking van toegangsrechten.
5.3 – Segregation of duties
IAM ondersteunt governance rond taak- en bevoegdheidsscheiding.
8.15 – Logging
IAM-governance vereist traceerbaarheid van toegang en wijzigingen.
8.16 – Monitoring activities
Monitoring van IAM-activiteiten is nodig om afwijkingen en misbruik tijdig te detecteren.

IAM-principes en governance zijn expliciet verankerd in ISO/IEC 27001 en 27002
en vormen een noodzakelijke voorwaarde voor gecontroleerd, risicogebaseerd
en aantoonbaar toegangsbeheer binnen het ISMS.

CyFun

PR.AA

”
},
{
“id”: “30212108”,
“title”: “Identity Lifecycle”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Identity Lifecycle”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13424,
“body”: “none

Definitie

Identity Lifecycle Management beschrijft het geheel van principes en beheersmaatregelen waarmee digitale identiteiten gedurende hun volledige levenscyclus worden beheerd: van creatie en gebruik tot wijziging, tijdelijke opschorting en definitieve verwijdering.

De identity lifecycle omvat alle typen identiteiten, waaronder:

gebruikersidentiteiten
beheerdersidentiteiten
service- en technische accounts
externe identiteiten (partners, leveranciers, derden)

Identity Lifecycle Management is een kernonderdeel van Identity & Access Management (IAM) en essentieel voor gecontroleerd toegangsbeheer.

Waarom Identity Lifecycle Management?

Zonder expliciet lifecycle-beheer blijven identiteiten vaak:

te lang bestaan
verkeerd geautoriseerd
onvoldoende opgevolgd
losgekoppeld van de realiteit van rollen en verantwoordelijkheden

Dit leidt tot:

overmatige toegangsrechten
verhoogd risico op misbruik
schending van compliance-vereisten
gebrek aan aantoonbaarheid

Identity Lifecycle Management is nodig om:

toegang actueel en proportioneel te houden
wijzigingen in rollen correct te vertalen naar toegang
ongebruikte of verouderde accounts tijdig te verwijderen
controle en traceerbaarheid te borgen

Het lifecycle-perspectief voorkomt dat identiteiten een blijvend risico-artefact worden.

Hoe wordt Identity Lifecycle Management ingericht?

Identity Lifecycle Management wordt ingericht op basis van vaste lifecycle-momenten, typisch:

Create / Join – aanmaken van identiteiten
Change / Move – wijziging van rol, functie of context
Suspend – tijdelijke opschorting van toegang
Remove / Leave – intrekking en verwijdering

Deze momenten worden gestuurd door:

formele triggers (HR, contracten, rollen)
vooraf gedefinieerde beslissingsregels
goedkeuring en eigenaarschap
technische en organisatorische controles

Lifecycle-beheer sluit aan op:

RBAC
Least Privilege
Segregation of Duties
PAM (voor verhoogde rechten)

Wat omvat Identity Lifecycle Management concreet?

Concreet omvat Identity Lifecycle Management:

Vastgelegde lifecycle-fasen voor identiteiten
Criteria voor creatie, wijziging en verwijdering
Koppeling tussen rol, functie en toegang
Beheer van tijdelijke en externe identiteiten
Periodieke herbeoordeling van actieve identiteiten
Automatisering waar mogelijk, controle waar nodig
Logging en audittrail van lifecycle-acties

Lifecycle-beheer geldt uniform, ongeacht de gebruikte technologie of identity-platformen.

Compliance – en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Identity Lifecycle Management)

Clause 5 – Leadership
Management is verantwoordelijk voor het vastleggen van eigenaarschap en beslissingskaders rond identiteiten.
Clause 6 – Planning
Lifecycle-momenten worden risicogebaseerd gepland en afgestemd op organisatiecontext.
Clause 7 – Support
Rollen en verantwoordelijkheden voor identity lifecycle-beheer moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Identity lifecycle-processen sturen de operationele creatie, wijziging en verwijdering van toegang.
Clause 9 – Performance evaluation
Periodieke evaluatie is nodig om verouderde of foutieve identiteiten te detecteren.
Clause 10 – Improvement
Bevindingen uit audits en incidenten leiden tot verbetering van lifecycle-beheer.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Identity Lifecycle Management)

5.16 – Identity management
Vereist beheer van identiteiten gedurende hun volledige levenscyclus.
5.18 – Access rights
Toekenning, wijziging en intrekking van toegang moeten lifecycle-gestuurd gebeuren.
5.15 – Access control
Lifecycle-beheer voorkomt dat toegangsregels verouderd blijven.
5.2 – Roles and responsibilities
Duidelijke verantwoordelijkheid is nodig voor lifecycle-beslissingen.
8.15 – Logging
Lifecycle-acties moeten traceerbaar zijn voor audit en controle.
8.16 – Monitoring activities
Monitoring ondersteunt detectie van ongebruikte of afwijkende identiteiten.

CyFun

PR.AA

Identity Lifecycle Management zorgt ervoor dat toegang meebeweegt
met de realiteit van rollen, verantwoordelijkheden en relaties,
en niet achterblijft als een permanent risico.

”
},
{
“id”: “29687814”,
“title”: “Federation & Provisioning”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Federation & Provisioning”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13565,
“body”: “none

Definitie

Federation & Provisioning beschrijft hoe identiteiten worden gekoppeld, uitgewisseld en beheerd over verschillende systemen en organisaties heen, zonder identiteiten onnodig te dupliceren.

Federation regelt authenticatie en vertrouwen tussen identity-platformen.
Provisioning regelt de automatische aanmaak, wijziging en verwijdering van accounts en toegangsrechten in doelomgevingen.

Samen vormen zij een essentieel onderdeel van Identity Lifecycle Management en moderne Identity & Access Management (IAM).

Waarom Federation & Provisioning?

Organisaties werken steeds vaker met:

cloud- en SaaS-applicaties
externe gebruikers (partners, leveranciers)
meerdere identity-platformen

Zonder federation en provisioning ontstaat:

account-sprawl
manueel en foutgevoelig beheer
inconsistente toegang
verhoogd risico op verouderde of ongeautoriseerde accounts

Federation & Provisioning zijn nodig om:

identiteiten centraal te beheren
toegang consistent en actueel te houden
manuele handelingen te beperken
onboarding en offboarding te versnellen
risico’s en beheerlast te verminderen

Ze maken IAM schaalbaar en beheersbaar.

Hoe – hoe worden Federation & Provisioning ingericht?

Federation

Federation wordt ingericht door:

het opzetten van vertrouwensrelaties tussen identity providers
gebruik van gestandaardiseerde federatieprotocollen
duidelijke afspraken over attributen en claims

Federation zorgt ervoor dat:

authenticatie gebeurt bij een vertrouwde bron
gebruikers zich niet opnieuw hoeven te identificeren
identiteiten niet lokaal moeten worden beheerd

Provisioning

Provisioning wordt ingericht door:

koppeling tussen identity-bron (bv. HR of IAM) en doelapplicaties
automatische toekenning van accounts en rollen
lifecycle-gestuurde updates bij wijzigingen
automatische deprovisioning bij beëindiging

Provisioning volgt vaste beslissingsregels en goedkeuringen.

Wat omvat Federation & Provisioning concreet?

Concreet omvat dit:

Federation

Vertrouwensrelaties tussen identity-platformen
Uitwisseling van identiteits- en autorisatie-attributen
Single Sign-On (SSO)
Ondersteuning van externe identiteiten

Provisioning

Automatische accountcreatie
Rol- en rechtenstoekenning
Wijziging van accounts bij rolverandering
Intrekking en verwijdering van accounts
Logging en audittrail van provisioning-acties

Federation en provisioning worden gecoördineerd toegepast als onderdeel van de identity lifecycle.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Federation & Provisioning)

Clause 5 – Leadership
Management bepaalt het vertrouwen en de verantwoordelijkheden tussen identiteitsdomeinen.
Clause 6 – Planning
Federation en provisioning worden risicogebaseerd ingericht en afgestemd op context.
Clause 7 – Support
Rollen, verantwoordelijkheden en bevoegdheden rond identity-uitwisseling moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Federation en provisioning sturen de operationele toekenning en verwijdering van toegang.
Clause 9 – Performance evaluation
Effectiviteit en correctheid van federatie- en provisioningprocessen moeten periodiek worden geëvalueerd.
Clause 10 – Improvement
Incidenten en bevindingen leiden tot verbetering van federatie- en provisioningmechanismen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Federation & Provisioning)

5.16 – Identity management
Federation en provisioning ondersteunen lifecycle-beheer van identiteiten over systemen heen.
5.18 – Access rights
Automatische toekenning en intrekking van rechten voorkomt verouderde toegang.
5.15 – Access control
Toegangsregels worden consistent toegepast via provisioning.
5.2 – Roles and responsibilities
Duidelijk eigenaarschap is nodig voor federatie- en provisioningbeslissingen.
5.3 – Segregation of duties
Scheiding tussen aanvragen, goedkeuren en technische uitvoering van provisioning.
8.15 – Logging
Federatie- en provisioningactiviteiten moeten volledig traceerbaar zijn.
8.16 – Monitoring activities
Monitoring detecteert afwijkingen in federatie- of provisioningstromen.

CyFun

PR.AA

Federation & Provisioning zorgen ervoor dat identiteiten
veilig, consistent en automatisch worden beheerd
over systeem- en organisatiegrenzen heen.

”
},
{
“id”: “30965767”,
“title”: “Relationship with authorization models”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Relationship with authorization models”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13066,
“body”: “none

Definitie

De relatie tussen Identity & Access Management (IAM) en autorisatiemodellen beschrijft hoe identiteiten, beheerd binnen IAM, worden vertaald naar concrete toegangsrechten via gestructureerde autorisatiemodellen.

IAM bepaalt wie iemand is en in welke context, terwijl autorisatiemodellen bepalen wat die identiteit mag doen binnen systemen, applicaties en processen.

Deze relatie vormt de brug tussen identiteit en toegang.

Waarom is deze relatie essentieel?

Zonder duidelijke relatie tussen IAM en autorisatiemodellen ontstaat:

inconsistente toegang
persoonsgebonden uitzonderingen
moeilijk beheersbare rechten
verhoogd risico op overmatige toegang

Autorisatie die losstaat van IAM leidt tot:

duplicatie van logica
gebrek aan transparantie
beperkte auditbaarheid

Een expliciete relatie is nodig om:

toegang consistent toe te kennen
autorisatie herleidbaar te maken tot identiteit en rol
risico’s proportioneel te beheersen
governance en compliance aantoonbaar te maken

IAM zonder autorisatiemodel is onvolledig; autorisatie zonder IAM is onbeheersbaar.

Hoe wordt de relatie ingericht?

De relatie tussen IAM en autorisatie wordt ingericht door:

IAM als bron van identiteiten en attributen
autorisatiemodellen als vertaling naar toegang
duidelijke scheiding tussen:
- identiteit
- rol
- recht

IAM levert input zoals:

identiteitstype
rol of functie
context (intern, extern, tijdelijk)

Autorisatiemodellen gebruiken deze input om toegang te bepalen via vaste regels.

Wat omvat deze relatie concreet?

Concreet omvat de relatie tussen IAM en autorisatiemodellen:

Afbakening tussen identiteitsbeheer en toegangsbeslissing
Vastgelegde autorisatiemodellen, zoals:
- Role-Based Access Control (RBAC)
- Attribute-Based Access Control (ABAC)
- combinaties of varianten daarvan
Koppeling tussen:
- rollen en functies
- toegangsrechten
Governance rond wijziging en uitzonderingen
Ondersteuning van:
- Least Privilege
- Segregation of Duties
- PAM voor verhoogde rechten

IAM fungeert als stabiele basis, autorisatiemodellen als dynamische vertaling naar toegang.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(IAM ↔ Authorization Models)

Clause 5 – Leadership
Management bepaalt hoe identiteiten worden vertaald naar toegangsbeslissingen.
Clause 6 – Planning
Autorisatiemodellen worden risicogebaseerd afgestemd op identiteit en rol.
Clause 7 – Support
Rollen en verantwoordelijkheden rond autorisatie moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
De relatie tussen IAM en autorisatie stuurt de operationele toegang tot systemen.
Clause 9 – Performance evaluation
Effectiviteit van autorisatiemodellen moet periodiek worden geëvalueerd.
Clause 10 – Improvement
Bevindingen leiden tot bijsturing van de koppeling tussen identiteit en toegang.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(IAM ↔ Authorization Models)

5.16 – Identity management
IAM levert de identiteiten en attributen waarop autorisatie wordt gebaseerd.
5.15 – Access control
Autorisatiemodellen bepalen hoe toegang effectief wordt afgedwongen.
5.18 – Access rights
Toegangsrechten moeten herleidbaar zijn tot identiteit en rol.
5.2 – Roles and responsibilities
Rollen vormen de structurele schakel tussen identiteit en toegang.
5.3 – Segregation of duties
Autorisatiemodellen ondersteunen scheiding van kritieke bevoegdheden.
8.15 – Logging
Toegangsbeslissingen moeten traceerbaar zijn naar identiteit en autorisatie.
8.16 – Monitoring activities
Monitoring detecteert afwijkingen tussen identiteit, rol en effectief gebruik.

CyFun

PR.AA

IAM beheert wie iemand is.
Autorisatiemodellen bepalen wat die identiteit mag doen.
Hun samenhang maakt toegang beheersbaar, uitlegbaar en aantoonbaar.

”
},
{
“id”: “30441478”,
“title”: “Technical implementations”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Technical implementations”,
“depth”: 7,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 263,
“body”: “true”
},
{
“id”: “23855105”,
“title”: “Domain Services (DS) / Active Directory (AD)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Technical implementations / Domain Services (DS) / Active Directory (AD)”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 9869,
“body”: “none

Definitie

Domain Services (DS), in de praktijk gerealiseerd via Active Directory (AD), vormen het centrale technische fundament voor authenticatie en toegangscontrole binnen de organisatie.
Ze beheren identiteiten (gebruikers, systemen en services) en maken het mogelijk om toegang tot applicaties en infrastructuur gecontroleerd af te dwingen.

Binnen het domein Authentication & Access Control zijn Domain Services de uitvoerende laag die identiteits- en toegangsbeslissingen technisch afdwingt.

Waarom zijn Domain Services belangrijk?

Domain Services zijn cruciaal omdat bijna alle systemen en applicaties afhankelijk zijn van betrouwbare identiteit en authenticatie.

Zonder functionerende Domain Services:

kunnen gebruikers en systemen zich niet correct aanmelden,
werken applicaties niet of slechts gedeeltelijk,
is toegangscontrole niet afdwingbaar,
en komt zowel veiligheid als continuïteit in het gedrang.

In de context van Authentication & Access Control zorgen Domain Services ervoor dat:

beleidskeuzes rond toegang daadwerkelijk toegepast worden,
vertrouwen tussen systemen mogelijk is,
en herstel na incidenten beheersbaar blijft.

Domain Services zijn daarmee een kritieke afhankelijkheid voor zowel normale werking als recovery.

Hoe ondersteunen Domain Services Authentication & Access Control?

Domain Services ondersteunen Authentication & Access Control door identiteit en toegang centraal en consistent af te dwingen via een aantal kernmechanismen:

1. Centrale authenticatie

Gebruikers en systemen authenticeren zich tegen één centrale identiteitsdienst, waardoor identiteit eenduidig en controleerbaar blijft.

2. Toegangsafdwinging

Rechten en rollen die via IAM zijn bepaald, worden technisch toegepast via groepen en policies.

3. Vertrouwensbasis tussen systemen

Domain Services zorgen ervoor dat systemen en applicaties elkaar herkennen en vertrouwen, wat essentieel is voor geïntegreerde werking.

4. Integratie met applicaties

De meeste bedrijfskritische applicaties maken rechtstreeks of onrechtstreeks gebruik van Domain Services voor login en autorisatie.

5. Ondersteuning van herstel

Domain Services maken het mogelijk om na incidenten:

identiteiten te herstellen,
toegangen opnieuw gecontroleerd beschikbaar te maken,
en de omgeving veilig opnieuw op te bouwen.

Wat omvat Domain Services concreet?

Concreet omvatten Domain Services onder meer:

Active Directory (AD) als centrale identiteitsdienst,
gebruikers-, computer- en service-accounts,
groepen en rechtenstructuren,
policies die toegang en gedrag afdwingen,
domain controllers (DCs) die deze diensten uitvoeren,
en de configuratie die nodig is voor authenticatie, autorisatie en vertrouwen.

Deze componenten zorgen ervoor dat de principes van Authentication & Access Control operationeel realiteit worden.

Afhankelijkheden en impact

Domain Services vormen een fundamentele afhankelijkheid voor:

applicaties (bv. zorgtoepassingen, labo, beeldvorming),
infrastructuur (servers, werkstations),
en beveiligingsmechanismen.

Daarom moeten Domain Services expliciet worden meegenomen in:

architectuurkeuzes,
risicobeoordelingen,
en recovery- en continuïteitsplanning.

Relatie met bovenliggende en onderliggende pagina’s

Bovenliggend:
Authentication & Access Control en Identity & Access Management bepalen wat en waarom toegang wordt verleend.
Deze pagina:
Domain Services beschrijven hoe dit technisch wordt afgedwongen.
Onderliggend:
Verdere detailpagina’s gaan in op:
- Active Directory-architectuur,
- rollen en groepen,
- hardening en securitymaatregelen,
- recovery van AD.

”
},
{
“id”: “29622277”,
“title”: “Azure AD / Entra ID”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Technical implementations / Azure AD / Entra ID”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 9499,
“body”: “none

Definitie

Microsoft Entra ID (voorheen Azure Active Directory / Azure AD) is een cloudgebaseerde identity- en access management-dienst van Microsoft.

Entra ID fungeert als:

centrale identity provider
authenticatie- en autorisatieplatform
basis voor Single Sign-On (SSO), Multi-Factor Authentication (MFA) en Conditional Access

Microsoft Entra ID ondersteunt zowel cloud- als hybride omgevingen en vormt een kerncomponent binnen moderne Identity & Access Management (IAM).

Waarom Entra ID?

Organisaties werken steeds vaker:

cloud-first of hybrid
met SaaS-applicaties
met mobiele en externe gebruikers

Traditionele on-premises directorydiensten alleen zijn dan onvoldoende.

Entra ID is nodig om:

identiteiten centraal te beheren in cloudomgevingen
veilige toegang tot cloud- en SaaS-applicaties te bieden
sterke authenticatie (MFA) af te dwingen
context- en risicogebaseerde toegang mogelijk te maken
identiteiten te beheren buiten het klassieke netwerkperimeter

Entra ID ondersteunt het zero trust-denken, waarin identiteit het nieuwe beveiligingsanker is.

Hoe – hoe wordt Entra ID ingezet?

Entra ID wordt ingezet als identity provider binnen de IAM– en authenticatiearchitectuur.

Typische inzetmodellen zijn:

Cloud-only: identiteiten volledig in Entra ID
Hybride: koppeling tussen on-premises Active Directory en Entra ID
Federated: integratie met externe identity providers

Entra ID ondersteunt:

authenticatie van gebruikers en accounts
autorisatie via rollen en policies
MFA en Conditional Access
integratie met honderden SaaS-applicaties

De inrichting volgt steeds de principes van:

RBAC
Least Privilege
Segregation of Duties

Wat omvat Entra ID concreet?

Concreet omvat Entra ID onder andere:

Cloud identities en directory services
Authenticatie en Single Sign-On (SSO)
Multi-Factor Authentication (MFA)
Conditional Access policies
Rolgebaseerde toegang (Azure / Entra roles)
Integratie met:
- Microsoft 365
- Azure
- externe SaaS-applicaties
Logging en sign-in auditing
Ondersteuning voor privileged access (PIM)

Entra ID wordt vaak gecombineerd met:

Privileged Identity Management (PIM)
PAM-concepten binnen het bredere ISMS

Microsoft Entra ID is een moderne, cloudgebaseerde identity service
die IAM- en authenticatiemodellen technisch realiseert
binnen cloud- en hybride omgevingen.

”
},
{
“id”: “30638099”,
“title”: “LDAP-based directories”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Technical implementations / LDAP-based directories”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 7920,
“body”: “none

Definitie

LDAP-based directories zijn directorydiensten die gebruikmaken van het Lightweight Directory Access Protocol (LDAP) om identiteiten, groepen en attributen centraal op te slaan en te ontsluiten.

LDAP is een open standaard die wordt gebruikt door verschillende directory-implementaties, zoals:

OpenLDAP
389 Directory Server
FreeIPA
embedded LDAP-directories in applicaties

LDAP-based directories fungeren als identity store en ondersteunen authenticatie en autorisatie binnen IT-omgevingen.

Waarom LDAP-based directories?

Niet elke organisatie werkt met Microsoft-technologie of cloudgebaseerde identitydiensten.
In veel omgevingen is behoefte aan:

een platform-onafhankelijke directory
een lichte, open en flexibele oplossing
integratie met Linux/Unix, netwerkapparatuur of legacy-systemen

LDAP-based directories zijn nodig om:

identiteiten centraal te beheren in heterogene omgevingen
authenticatie en autorisatie te standaardiseren
vendor lock-in te vermijden
identity-functionaliteit te bieden zonder zware infrastructuur

LDAP wordt vaak ingezet waar eenvoud, interoperabiliteit en open standaarden belangrijk zijn.

Hoe worden LDAP-based directories ingezet?

LDAP-based directories worden ingezet als centrale of gedeelde identity store.

Typische inzetvormen zijn:

centrale directory voor servers, applicaties en netwerkcomponenten
backend voor authenticatie van applicaties
koppeling met IAM-oplossingen en provisioningtools
federatie of synchronisatie met andere directories

LDAP ondersteunt:

authenticatie (bv. bind-operaties)
autorisatie via groepen en attributen
directory-queries voor applicaties

De inrichting volgt dezelfde beveiligingsprincipes als andere identity-oplossingen:

RBAC
Least Privilege
Segregation of Duties

Wat omvat een LDAP-based directory concreet?

Concreet omvat een LDAP-based directory:

Directory-structuur (DIT – Directory Information Tree)
Objectklassen en attributen
Gebruikers- en groepsobjecten
Authenticatie-mechanismen
Autorisatie via groepen of attributen
Replicatie en beschikbaarheidsmechanismen
Logging en auditing van directory-toegang

LDAP-based directories kunnen zowel on-premises als gehost worden ingezet.

LDAP-based directories bieden een open en flexibele technische basis
voor identity- en toegangsbeheer,
zonder het onderliggende IAM- of beveiligingsmodel te bepalen.

”
},
{
“id”: “31457283”,
“title”: “Other identity platforms”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Identity & Access Management (IAM) / Technical implementations / Other identity platforms”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 6835,
“body”: “none

Definitie

Other identity platforms verwijst naar identity- en toegangsbeheeroplossingen die niet vallen onder klassieke directorydiensten zoals Active Directory, Microsoft Entra ID of LDAP-based directories.

Deze platformen bieden functionaliteit voor:

authenticatie
autorisatie
federatie
identity lifecycle management

en worden vaak ingezet in specifieke contexten of architecturen.

Waarom andere identity platforms?

Organisaties maken gebruik van uiteenlopende technologieën en ecosystemen.
Niet elke omgeving past binnen:

een Microsoft-ecosysteem
een klassieke directory-architectuur
een centrale identity store

Andere identity platforms zijn nodig om:

identiteiten te beheren binnen specifieke applicaties of ecosystemen
federatie en single sign-on mogelijk te maken
externe gebruikers, partners of klanten te ondersteunen
cloud-native of best-of-breed architecturen te faciliteren

Deze platformen spelen vaak een aanvullende of gespecialiseerde rol binnen IAM.

Hoe worden deze platformen ingezet?

Other identity platforms worden typisch ingezet als:

identity provider voor specifieke applicaties
federatie- of SSO-oplossing
cloud-native identity service
externe identity-oplossing naast een centrale directory

Ze integreren vaak met:

IAM-oplossingen
authenticatieprotocollen (bv. SAML, OpenID Connect)
bestaande directories of identity stores

De inzet is contextafhankelijk en afgestemd op architectuur en risico’s.

Wat omvatten “other identity platforms” concreet?

Voorbeelden van dergelijke platformen zijn:

Cloud identity providers (niet-Microsoft)
Application-native identity services
Identity-as-a-Service (IDaaS) oplossingen
Federatie- en SSO-platformen
Identity-oplossingen van specifieke leveranciers of sectoren

Deze platformen kunnen functionaliteit bieden zoals:

authenticatie en MFA
federatie en single sign-on
rol- en attributengebaseerde autorisatie
logging en auditing van toegang

Other identity platforms bieden flexibiliteit voor specifieke contexten,
maar vervangen niet automatisch een centrale IAM-architectuur.

”
},
{
“id”: “23822346”,
“title”: “Authentication Mechanisms”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 11020,
“body”: “

Authenticatiemechanismen

none

Definitie

Authenticatiemechanismen zijn de middelen en methoden waarmee wordt vastgesteld dat een gebruiker, systeem of applicatie daadwerkelijk is wie zij beweert te zijn.
Ze vormen de concrete uitvoering van authenticatie binnen het kader van Authentication & Access Control en worden technisch ondersteund door Identity & Access Management en Domain Services.

Authenticatiemechanismen zijn daarmee de eerste verdedigingslaag voor toegang tot systemen en data.

Waarom zijn authenticatiemechanismen belangrijk?

Authenticatiemechanismen zijn essentieel omdat toegangscontrole alleen betrouwbaar is als identiteit betrouwbaar is vastgesteld.

Zwakke of enkelvoudige authenticatie:

vergroot de kans op misbruik van accounts,
maakt laterale beweging bij incidenten eenvoudiger,
en ondermijnt de effectiviteit van alle andere beveiligingsmaatregelen.

Binnen Authentication & Access Control zorgen sterke authenticatiemechanismen ervoor dat:

toegang niet enkel op basis van “kennis” gebeurt,
risico’s bij gecompromitteerde accounts worden beperkt,
en herstel na incidenten gecontroleerd kan plaatsvinden.

Authenticatie bepaalt dus rechtstreeks het vertrouwensniveau van de digitale omgeving.

Hoe ondersteunen authenticatiemechanismen Authentication & Access Control?

Authenticatiemechanismen ondersteunen Authentication & Access Control door identiteit te verifiëren op een manier die past bij het risico en de context.

Dit gebeurt volgens een aantal principes:

1. Gelaagde authenticatie

Authenticatie kan bestaan uit één of meerdere factoren, afhankelijk van de gevoeligheid van het systeem of de handeling.

2. Contextafhankelijkheid

De sterkte van authenticatie kan worden afgestemd op:

rol van de gebruiker,
type systeem of applicatie,
en situatie (bv. extern, crisis, verhoogd risico).

3. Centrale integratie

Authenticatiemechanismen zijn geïntegreerd met IAM en Domain Services (DS) zodat:

toegang centraal beheerd blijft,
uitzonderingen beperkt blijven,
en auditbaarheid gegarandeerd is.

4. Ondersteuning van continuïteit

Authenticatiemechanismen moeten ook bruikbaar blijven tijdens incidenten en recovery, zonder de veiligheid onnodig te verlagen.

Wat omvat authenticatie concreet?

Authenticatie kan in de praktijk onder meer bestaan uit:

Wachtwoord-gebaseerde authenticatie
Multi-Factor Authenticatie (MFA)
(combinatie van iets wat je weet, hebt of bent)
Federatieve authenticatie
(gebruik van externe of gedeelde identiteitsbronnen)
Service- en systeemauthenticatie
(voor applicaties en onderlinge communicatie)
Nood- en uitzonderingsmechanismen
(bv. break-glass accounts in crisissituaties)

Deze mechanismen worden toegepast in samenhang met:

rollen en rechten,
Domain Services,
en beleidskeuzes rond toegang.

Afhankelijkheden en aandachtspunten

Authenticatiemechanismen zijn afhankelijk van:

Identity & Access Management (voor beleid en lifecycle),
Domain Services (voor technische afdwinging),
en applicatie-integraties.

Zij hebben directe impact op:

gebruikerservaring,
beveiligingsniveau,
en herstelbaarheid bij incidenten.

Daarom moeten zij expliciet worden meegenomen in:

risicobeoordelingen,
architectuurkeuzes,
en recoveryplanning.

Relatie met bovenliggende en onderliggende pagina’s

Bovenliggend:
Authentication & Access Control en IAM bepalen het kader en de principes.
Deze pagina:
beschrijft hoe identiteit betrouwbaar wordt vastgesteld.
Onderliggend:
Verdere detailpagina’s gaan in op:
- MFA-strategie,
- federatie en externe identiteiten,
- noodtoegang en uitzonderingen.

”
},
{
“id”: “23068676”,
“title”: “Authorization & Role Model”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model”,
“depth”: 7,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 509,
“body”: “2true0

”
},
{
“id”: “23953417”,
“title”: “Role-Based Access Control (RBAC)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Role-Based Access Control (RBAC)”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 16220,
“body”: “none

Definitie

Role-Based Access Control (RBAC) is een toegangsbeheermodel waarbij toegangsrechten worden toegekend op basis van rollen in plaats van aan individuele gebruikers.

Rollen vertegenwoordigen functies, verantwoordelijkheden of taken binnen de organisatie en bepalen welke toegang nodig is om deze rol correct uit te voeren. Gebruikers krijgen toegang door één of meerdere rollen toegekend te krijgen.

RBAC ondersteunt een gestructureerde, beheersbare en schaalbare aanpak van toegangsbeheer binnen informatiebeveiliging.

Waarom RBAC?

Zonder rolgebaseerd toegangsbeheer ontstaat toegangsbeheer vaak als:

individuele uitzonderingen
historisch gegroeide rechten
moeilijk beheerbare toegang

Dit verhoogt het risico op:

overmatige toegangsrechten
fouten bij personeelswissels
onvoldoende traceerbaarheid
verminderde compliance

RBAC is nodig om:

toegangsbeheer overzichtelijk en beheersbaar te maken
het least privilege-principe toe te passen
functies en verantwoordelijkheden centraal te beheren
wijzigingen in personeelsrollen veilig en efficiënt door te voeren
aantoonbaar te voldoen aan beveiligings- en compliance-eisen

RBAC maakt toegangsbeheer structureel en reproduceerbaar, in plaats van persoonsafhankelijk.

Hoe werkt RBAC?

RBAC werkt door toegangsrechten te structureren rond rollen.

Kerncomponenten van RBAC zijn:

Rollen: gedefinieerde functies of verantwoordelijkheden
Rechten: toegangen tot systemen, applicaties of gegevens
Gebruikers: personen of accounts waaraan rollen worden toegekend

Het proces is als volgt:

Rollen worden gedefinieerd op basis van taken en verantwoordelijkheden
Rechten worden gekoppeld aan rollen
Gebruikers krijgen één of meerdere rollen toegewezen
Toegang volgt automatisch uit de toegekende rol(len)

RBAC wordt ondersteund door:

periodieke toegangsreviews
duidelijke eigenaarschap van rollen
formele goedkeuring bij rolwijzigingen

Wat omvat RBAC concreet?

Concreet omvat RBAC:

Een rolmodel met duidelijke beschrijving van rollen
Vastgelegde rol-eigenaars
Koppeling tussen rollen en toegangsrechten
Procedures voor:
- toekenning van rollen
- wijziging van rollen
- intrekking van rollen
Periodieke controle en herziening van roltoekenningen

RBAC wordt toegepast binnen:

Identity & Access Management (IAM)
Authenticatie- en autorisatiemechanismen
Monitoring en logging van toegang

RBAC is een fundamentele bouwsteen voor veilige en gecontroleerde toegang tot informatie en systemen.

RBAC zorgt ervoor dat toegang volgt uit verantwoordelijkheid,
niet uit toeval of historiek.

Compliance- en normatieve onderbouwing760

Role-Based Access Control (RBAC) is een breed erkend en normatief ondersteund toegangsbeheermodel binnen internationale standaarden en wettelijke kaders voor informatiebeveiliging.

RBAC ondersteunt aantoonbare naleving van governance-, risk- en compliancevereisten door toegangsbeheer structureel, controleerbaar en herhaalbaar te organiseren.

RBAC ondersteunt rechtstreeks meerdere kernvereisten uit ISO/IEC 27001, in het bijzonder:

Clause 5 – Leadership
RBAC draagt bij aan het vastleggen en afdwingen van verantwoordelijkheden rond toegang en autorisatie.
Clause 6 – Planning
Toegangsbeheer wordt risicogebaseerd ingericht door rollen af te stemmen op functies, verantwoordelijkheden en risico’s.
Clause 7 – Support
RBAC ondersteunt duidelijke rolafspraken en bewustzijn rond toegangsrechten.
Clause 8 – Operation
De operationele beheersing van toegang tot informatie en informatiesystemen wordt systematisch georganiseerd.
Clause 9 – Performance evaluation
RBAC faciliteert periodieke toegangsreviews en evaluatie van de effectiviteit van toegangsbeheer.

ISO/IEC 27002 – Controls

RBAC is een gangbare en passende invulling van meerdere beheersmaatregelen uit ISO/IEC 27002, met name binnen het domein Access Control, waaronder:

Beheer van gebruikers- en toegangsrechten
Toegangsrechten worden toegekend op basis van rollen in plaats van individuele uitzonderingen.
Least privilege & need-to-know
Rollen beperken toegang tot wat noodzakelijk is voor de uitvoering van taken.
Toegangsbeoordeling en herziening
Rolgebaseerde toekenning vereenvoudigt periodieke controle en herziening van toegangen.
Scheiding van verantwoordelijkheden
RBAC ondersteunt het scheiden van kritieke taken door rollen expliciet te definiëren.

RBAC draagt zo bij aan een consistent, beheersbaar en auditeerbaar toegangsbeheermodel.

CyFun / NIS2 (duiding)

RBAC sluit aan bij de verwachtingen rond:

beheersing van toegangsrechten
beperking van ongeautoriseerde toegang
organisatorische en technische beveiligingsmaatregelen

RBAC draagt bij aan de maturiteit van toegangsbeheer binnen NIS2-contexten.

Privacy & gegevensbescherming

RBAC ondersteunt privacy- en gegevensbeschermingsprincipes door:

toegang tot persoonsgegevens te beperken tot bevoegde rollen
verwerking te koppelen aan functies en verantwoordelijkheden
ongeoorloofde inzage of verwerking te voorkomen

Dit draagt bij aan de bescherming van:

vertrouwelijkheid
integriteit
accountability bij gegevensverwerking

Governance en audit

Vanuit governance- en auditperspectief biedt RBAC:

transparantie in toegangsbeslissingen
duidelijke toewijzing van verantwoordelijkheden
reproduceerbare en controleerbare toegangslogica

RBAC maakt toegangsbeheer uitlegbaar, beheersbaar en aantoonbaar.

RBAC is een normatief onderbouwde best practice voor toegangsbeheer,
die organisaties ondersteunt bij naleving van ISO/IEC 27001 en 27002,
en bij het realiseren van effectief, risicogebaseerd toegangsbeheer.

”
},
{
“id”: “23298051”,
“title”: “Segregation of Duties (SoD)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Segregation of Duties (SoD)”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 12493,
“body”: “none

Definitie

Segregation of Duties (SoD) is het principe waarbij kritieke taken, bevoegdheden en verantwoordelijkheden bewust worden gescheiden over verschillende rollen of personen, om fouten, misbruik en ongeautoriseerde handelingen te voorkomen.

SoD voorkomt dat één persoon onbeperkte controle heeft over een volledig proces of kritieke handeling, en vormt daarmee een fundamenteel beheersingsmechanisme binnen informatiebeveiliging en governance.

Waarom Segregation of Duties?

Wanneer kritieke taken bij één persoon of rol samenkomen, ontstaat een verhoogd risico op:

fouten die onopgemerkt blijven
ongeautoriseerde wijzigingen
fraude of misbruik
gebrek aan controle en transparantie

Segregation of Duties is nodig om:

risico’s structureel te beheersen
misbruik en menselijke fouten te voorkomen
controle en toezicht mogelijk te maken
verantwoordelijkheden helder te scheiden
vertrouwen te creëren in processen en systemen

SoD versterkt niet alleen beveiliging, maar ook goed bestuur en interne controle.

Hoe wordt SoD toegepast?

SoD wordt toegepast door kritieke taken en bevoegdheden te identificeren en deze bewust te verdelen.

Typische scheidingen zijn:

uitvoeren ↔ goedkeuren
registreren ↔ controleren
configureren ↔ gebruiken
ontwikkelen ↔ testen ↔ productiestellen

SoD wordt gerealiseerd door:

rolontwerp (in combinatie met RBAC)
duidelijke rol- en taakbeschrijvingen
organisatorische en technische maatregelen
compenserende controles waar volledige scheiding niet mogelijk is

SoD is altijd risicogebaseerd en proportioneel.

Wat omvat Segregation of Duties concreet?

Concreet omvat SoD:

Identificatie van kritieke processen en handelingen
Vastlegging van onverenigbare taken
Scheiding van rollen en bevoegdheden
Toepassing via:
- rolmodellen
- toegangsbeheer
- workflow- en goedkeuringsmechanismen
Periodieke evaluatie van taak- en rolcombinaties
Documentatie van compenserende maatregelen indien nodig

SoD wordt toegepast binnen:

Identity & Access Management (IAM)
autorisatie en rolmodellen
financiële en operationele processen
wijzigings- en configuratiebeheer

Segregation of Duties vermindert risico’s door macht te verdelen,
niet door mensen te wantrouwen, maar door processen beheersbaar te maken.

Compliance- en normatieve onderbouwing760

Segregation of Duties is een breed erkend en normatief ondersteund beheersingsprincipe binnen governance, informatiebeveiliging en interne controle.

Het principe draagt bij aan preventieve controle, transparantie en aantoonbaarheid.

ISO/IEC 27001 – Clauses

SoD ondersteunt meerdere kernvereisten uit ISO/IEC 27001, in het bijzonder:

Clause 5 – Leadership
Duidelijke verdeling van verantwoordelijkheden en bevoegdheden.
Clause 6 – Planning
Identificatie en behandeling van risico’s die samenhangen met machtsconcentratie.
Clause 7 – Support
Vastlegging van rollen, verantwoordelijkheden en bevoegdheden.
Clause 8 – Operation
Operationele beheersing van processen door scheiding van kritieke taken.
Clause 9 – Performance evaluation
Evaluatie van de effectiviteit van interne beheersmaatregelen.

ISO/IEC 27002 – Controls

SoD is een erkende invulling van meerdere beheersmaatregelen uit ISO/IEC 27002, waaronder:

5.3 Scheiding van taken en verantwoordelijkheden
Kritieke taken worden zodanig verdeeld dat misbruik of fouten worden voorkomen.
5.15 Beheer van toegangsrechten
Rollen en toegangen ondersteunen de gewenste taakverdeling.
8.3 Wijzigings- en configuratiebeheer
Scheiding tussen uitvoeren, goedkeuren en controleren van wijzigingen.
8.15 Monitoring en logging
Ondersteuning van detectieve controles wanneer volledige scheiding niet mogelijk is.

SoD draagt bij aan een preventief en controleerbaar beveiligingsniveau.

CyFun / NIS2 (duiding)

PR.AA-05

Segregation of Duties sluit aan bij de verwachtingen rond:

organisatorische beveiligingsmaatregelen
interne controle en governance
beperking van misbruik en menselijke fouten

”
},
{
“id”: “30277635”,
“title”: “Least Privilege”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Least Privilege”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 11193,
“body”: “

Principe van minimale rechten

none

Definitie

Least Privilege is het principe waarbij gebruikers, accounts en processen uitsluitend die toegangsrechten krijgen die strikt noodzakelijk zijn om hun taken uit te voeren, en niet meer dan dat.

Dit principe geldt voor:

gebruikersaccounts
beheerdersaccounts
service- en technische accounts

Least Privilege is een fundamenteel beveiligingsprincipe binnen Identity & Access Management (IAM) en het ISMS.

Waarom Least Privilege?

Overmatige toegangsrechten leiden tot:

verhoogde impact van fouten
misbruik van rechten
privilege escalation
grotere schade bij incidenten

Least Privilege is nodig om:

het aanvalsoppervlak te verkleinen
risico’s proportioneel te beheersen
schade bij incidenten te beperken
controle en overzicht te behouden
compliance aantoonbaar te ondersteunen

Least Privilege zorgt ervoor dat toegang volgt uit noodzaak, niet uit gemak of historiek.

Hoe wordt Least Privilege toegepast?

Least Privilege wordt toegepast door:

rechten toe te kennen op basis van rollen (RBAC)
scheiding van taken (SoD) te respecteren
standaardtoegang minimaal te houden
verhoogde rechten afzonderlijk te beheren
tijdelijke of just-in-time toegang waar nodig
periodieke herziening van toegangsrechten

Toepassing is altijd risicogebaseerd en afgestemd op context en kriticiteit.

Wat omvat Least Privilege concreet?

Concreet omvat Least Privilege:

Vastgelegde criteria voor minimale toegangsrechten
Rolgebaseerde toekenning van rechten (RBAC)
Beperking van standaardtoegang
Gebruik van aparte accounts voor verhoogde rechten
Tijdelijke of voorwaardelijke privileges
Periodieke toegangsreviews
Documentatie van uitzonderingen en compenserende maatregelen

Least Privilege wordt structureel ondersteund door IAM, PAM en toegangsbeheerprocessen.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses (Least Privilege)

Clause 5 – Leadership
Management bepaalt en bekrachtigt het uitgangspunt dat toegang minimaal en proportioneel moet zijn.
Clause 6 – Planning
Toegangsrechten worden gepland op basis van risico’s en noodzakelijkheid.
Clause 7 – Support
Rollen, verantwoordelijkheden en bevoegdheden rond minimale toegang moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Least Privilege stuurt de dagelijkse operationele toegang tot systemen en informatie.
Clause 9 – Performance evaluation
Periodieke evaluatie is nodig om overmatige of verouderde rechten te identificeren en te verwijderen.

Duiding relevantie ISO/IEC 27002:2022 – Controls (Least Privilege)

5.15 – Access control
Least Privilege beperkt toegang tot wat strikt noodzakelijk is voor taken en functies.
5.16 – Identity management
Ondersteunt consistente toekenning van minimale rechten per identiteit.
5.18 – Access rights
Borgt gecontroleerde toekenning, wijziging en intrekking van rechten volgens het minimumprincipe.
5.3 – Segregation of duties
Voorkomt cumulatie van bevoegdheden die het principe van minimale rechten ondermijnt.
8.15 – Logging
Maakt misbruik of foutieve toekenning van rechten detecteerbaar.
8.16 – Monitoring activities
Ondersteunt actieve opvolging van afwijkend gebruik van toegekende rechten.

CyFun / NIS2

PR.AA

”
},
{
“id”: “23363587”,
“title”: “Service & Technical Accounts”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Service & Technical Accounts”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8623,
“body”: “none

Definitie

Authorization & Access Management van service- en technische accounts betreft het beheersen van toegangsrechten van niet-persoonlijke accounts die worden gebruikt door applicaties, systemen, services of technische processen.

Deze accounts worden niet gekoppeld aan een individuele gebruiker, maar aan een functie of systeem, en vereisen daarom specifieke beheersmaatregelen om misbruik, ongeautoriseerde toegang en escalatie van rechten te voorkomen.

Waarom specifiek beheer van service- en technische accounts?

Service- en technische accounts vormen een verhoogd risico omdat zij vaak:

verhoogde of persistente rechten hebben
niet aan een persoon gekoppeld zijn
buiten standaard gebruikersprocessen vallen
minder zichtbaar zijn in dagelijkse controles

Beheersing is nodig om:

ongeautoriseerd gebruik te voorkomen
misbruik van verhoogde rechten te beperken
laterale beweging en privilege escalation tegen te gaan
aantoonbare controle te behouden over niet-persoonlijke toegang

Onvoldoende beheer van deze accounts leidt aantoonbaar tot ernstige beveiligingsincidenten.

Hoe wordt dit georganiseerd?

Beheer van service- en technische accounts gebeurt door:

expliciete identificatie en inventarisatie
duidelijke toewijzing van eigenaarschap
afbakening van toegangsrechten tot het strikt noodzakelijke
scheiding tussen service-, technische en persoonlijke accounts
gecontroleerde creatie, wijziging en intrekking
aanvullende beveiligingsmaatregelen waar nodig

Beheer is risicogebaseerd en afgestemd op de kriticiteit van het systeem of proces.

Wat omvat dit concreet?

Concreet omvat dit:

Inventaris van service- en technische accounts
Vastgelegde eigenaars per account
Beperking van rechten volgens least privilege
Gebruik van unieke accounts (geen gedeelde accounts waar mogelijk)
Beveiligde authenticatie (bv. certificaten, secrets, vaults)
Logging en monitoring van gebruik
Periodieke review en opschoning
Documentatie van uitzonderingen en compenserende maatregelen

Compliance- en normatieve onderbouwing760

ISO/IEC 27001 – Clauses

Clause 5 – Leadership
Clause 6 – Planning
Clause 7 – Support
Clause 8 – Operation
Clause 9 – Performance evaluation

ISO/IEC 27002:2022 – Controls

5.15 – Access control
5.16 – Identity management
5.17 – Authentication information
5.18 – Access rights
5.2 – Roles and responsibilities
8.15 – Logging
8.16 – Monitoring activities
8.32 – Change management

CyFun / NIS2

PR.AA-01
PR.AA-02

”
},
{
“id”: “31129602”,
“title”: “Administrator Accounts”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Administrator Accounts”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 11668,
“body”: “

Beheerderaccounts

none

Definitie

Administrator accounts (beheerdersaccounts) zijn persoonsgebonden accounts met verhoogde rechten, bedoeld voor het beheer, de configuratie en het onderhoud van systemen, applicaties en infrastructuur.

Deze accounts worden gebruikt door bevoegde personen in een beheerrol en hebben meer rechten dan reguliere gebruikersaccounts, waardoor zij een verhoogd beveiligingsrisico vormen en specifieke beheersmaatregelen vereisen.

waarom specifiek beheer van administrator accounts?

Administrator accounts hebben vaak:

uitgebreide of volledige toegangsrechten
impact op kritieke systemen en data
de mogelijkheid om beveiligingsmaatregelen te wijzigen of te omzeilen

Onvoldoende beheersing leidt tot verhoogde risico’s zoals:

misbruik van privileges
ongeautoriseerde wijzigingen
privilege escalation
beperkte traceerbaarheid

Specifiek beheer is nodig om:

misbruik van verhoogde rechten te voorkomen
verantwoordelijkheden duidelijk te borgen
controle en toezicht mogelijk te maken
risico’s structureel te beheersen

Administrator accounts zijn daarom kritische beveiligingsobjecten binnen het ISMS.

Hoe worden administrator accounts beheerd?

Beheer van administrator accounts gebeurt door:

duidelijke afbakening tussen:
- user accounts /gebruikersaccounts
- administrator accounts / beheerderaccounts
- service- en technische accounts
persoonsgebonden toekenning (geen standaard gedeelde accounts)
toepassing van least privilege
scheiding tussen dagelijkse werkzaamheden en beheeractiviteiten
sterke authenticatie en aanvullende beveiligingsmaatregelen
expliciete goedkeuring voor toekenning en wijziging

Beheer is risicogebaseerd en afgestemd op de kriticiteit van systemen.

Wat omvat beheer van administrator accounts concreet?

Concreet omvat dit:

Vastgelegde criteria voor administratorrechten
Persoonsgebonden administrator accounts
Beperking van rechten tot noodzakelijke beheerfuncties
Gebruik van aparte accounts voor beheer (geen dagelijks gebruik)
Logging en monitoring van alle beheeractiviteiten
Periodieke review van administratorrechten
Formele intrekking bij rolwijziging of uitdiensttreding
Documentatie van uitzonderingen en compenserende maatregelen

Administrator accounts worden bij voorkeur beheerd via Privileged Access Management (PAM)-maatregelen waar de risico’s dat vereisen.

Compliance – en normatieve onderbouwing760

ISO/IEC 27001 – Clauses (Administrator accounts)

Clause 5 – Leadership
Beheerdersaccounts vereisen expliciete bestuurlijke verantwoordelijkheid en duidelijke mandaten.
Clause 6 – Planning
Het gebruik van verhoogde rechten moet risicogebaseerd worden gepland en beheerst.
Clause 7 – Support
Vereist duidelijke rolafbakening, bevoegdheden en bewustzijn rond beheeraccounts.
Clause 8 – Operation
Administrator accounts maken deel uit van operationele beveiligingsmaatregelen en moeten gecontroleerd worden ingezet.
Clause 9 – Performance evaluation
Het gebruik en de toekenning van beheeraccounts moeten periodiek worden geëvalueerd en herzien.

ISO/IEC 27002:2022 – Controls (Administrator accounts)

5.2 – Roles and responsibilities
Administratorrechten zijn gekoppeld aan expliciete beheerrollen en verantwoordelijkheden.
5.15 – Access control
Beheerdersaccounts vallen onder strengere toegangsregels vanwege hun impact.
5.16 – Identity management
Administrator accounts moeten eenduidig identificeerbaar en persoonsgebonden zijn.
5.17 – Authentication information
Verhoogde rechten vereisen versterkte authenticatie en bescherming van credentials.
5.18 – Access rights
Toekenning, wijziging en intrekking van administratorrechten moeten strikt beheerd worden.
5.3 – Segregation of duties
Beheerrechten mogen niet onbeperkt gecombineerd worden met andere kritieke taken.
8.15 – Logging
Alle beheeractiviteiten moeten traceerbaar en achteraf controleerbaar zijn.
8.16 – Monitoring activities
Actief toezicht is nodig om misbruik van beheerrechten tijdig te detecteren.
8.32 – Change management
Administrator accounts spelen een sleutelrol bij wijzigingen en moeten daarom gecontroleerd ingezet worden.

Cyfun / NIS2

PR.AA-01
PR.AA-04

”
},
{
“id”: “30998531”,
“title”: “Privileged Access Management (PAM)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Privileged Access Management (PAM)”,
“depth”: 8,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 12617,
“body”: “none

Definitie

Privileged Access Management (PAM) is het geheel van organisatorische en technische maatregelen waarmee geprivilegieerde toegang (verhoogde rechten) wordt beperkt, gecontroleerd, gemonitord en aantoonbaar beheerd.

PAM richt zich op toegang die een verhoogde impact heeft op systemen, applicaties en data, zoals:

beheerdersaccounts
geprivilegieerde service- en technische accounts
nood- en break-glass toegang

PAM is een versterkend beheersmechanisme binnen Identity & Access Management en het bredere ISMS.

Waarom PAM?

Geprivilegieerde toegang vormt een primair aanvalsoppervlak omdat deze:

uitgebreide of volledige rechten heeft
beveiligingsmaatregelen kan wijzigen of omzeilen
vaak wordt misbruikt bij incidenten en aanvallen

Zonder PAM ontstaan risico’s zoals:

privilege escalation
ongecontroleerde admin-toegang
gebrek aan traceerbaarheid
verhoogde impact van fouten of misbruik

PAM is nodig om:

verhoogde rechten strikt te beperken
toegang tijdelijk en doelgericht toe te kennen
misbruik tijdig te detecteren
beheeractiviteiten aantoonbaar te maken

PAM reduceert risico’s door macht te beperken én zichtbaar te maken.

Hoe wordt PAM ingericht?

PAM wordt risicogebaseerd ingericht en sluit aan op:

RBAC
Segregation of Duties
Least Privilege
beheer van administrator-, service- en technische accounts

Kernprincipes bij PAM zijn:

scheiding tussen standaard- en beheeractiviteiten
tijdgebonden en goedkeuringsgestuurde toegang
sterke authenticatie voor verhoogde rechten
continue logging en monitoring

PAM kan worden ondersteund door specifieke tooling, maar is niet afhankelijk van één product.

Wat omvat PAM concreet?

Concreet omvat PAM:

Identificatie van geprivilegieerde accounts en toegang
Duidelijke criteria voor verhoogde rechten
Tijdelijke of just-in-time toekenning van privileges
Beveiligde opslag en beheer van credentials (secrets)
Versterkte authenticatie voor beheeractiviteiten
Logging van alle geprivilegieerde handelingen
Monitoring en detectie van afwijkend gedrag
Periodieke review en intrekking van privileges
Specifieke procedures voor break-glass / emergency access

PAM is aanvullend op standaard IAM-maatregelen en wordt toegepast waar de risico’s dit vereisen.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses (PAM)

Clause 5 – Leadership
PAM vereist expliciete managementbeslissingen over wie geprivilegieerde toegang mag gebruiken.
Clause 6 – Planning
Geprivilegieerde toegang wordt risicogebaseerd gepland en beperkt tot wat noodzakelijk is.
Clause 7 – Support
Rollen, bevoegdheden en bewustzijn rond verhoogde rechten moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
PAM stuurt de operationele beheersing van beheeractiviteiten en verhoogde toegang.
Clause 9 – Performance evaluation
Gebruik van geprivilegieerde toegang moet gemonitord, geëvalueerd en periodiek herzien worden.

Duiding relevantie ISO/IEC 27002:2022 – Controls (PAM)

5.15 – Access control
PAM beperkt en structureert toegang tot kritieke systemen en functies.
5.16 – Identity management
Geprivilegieerde accounts moeten eenduidig geïdentificeerd en beheerd worden.
5.17 – Authentication information
Verhoogde rechten vereisen versterkte bescherming van authenticatiegegevens.
5.18 – Access rights
Toekenning en intrekking van privileges moeten strikt gecontroleerd verlopen.
5.3 – Segregation of duties
PAM ondersteunt scheiding tussen beheer, goedkeuring en toezicht op kritieke acties.
8.15 – Logging
Alle geprivilegieerde activiteiten moeten volledig traceerbaar zijn.
8.16 – Monitoring activities
PAM vereist actieve monitoring om misbruik van privileges tijdig te detecteren.
8.32 – Change management
Geprivilegieerde toegang speelt een sleutelrol bij wijzigingen en moet daarom gecontroleerd worden ingezet.

Cyfun / NI2

PR.AA-01

”
},
{
“id”: “32505877”,
“title”: “Privileged Identity Management (PIM)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / Privileged Access Management (PAM) / Privileged Identity Management (PIM)”,
“depth”: 9,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 10047,
“body”: “none

Definitie

Privileged Identity Management (PIM) is een manier om verhoogde rechten tijdelijk, gecontroleerd en doelgericht toe te kennen aan gebruikers of accounts.

In plaats van permanente beheerdersrechten krijgen gebruikers alleen voor een beperkte periode en voor een specifiek doel toegang tot verhoogde privileges. Na afloop vervallen deze rechten automatisch.

PIM is een onderdeel van Privileged Access Management (PAM) en focust specifiek op het beheer van geprivilegieerde identiteiten.

Waarom gebruiken we Privileged Identity Management?

Permanente beheerdersrechten brengen aanzienlijke risico’s met zich mee:

verhoogde kans op misbruik of fouten
grotere impact bij gecompromitteerde accounts
onduidelijkheid over wie wanneer adminrechten heeft

In zorgomgevingen is dit extra kritisch, omdat verhoogde toegang kan leiden tot:

verstoring van zorgprocessen
aantasting van patiëntgegevens
impact op continuïteit en veiligheid van zorg

Privileged Identity Management helpt om:

het aantal permanente beheerders te beperken
verhoogde rechten tijdelijk en verantwoord toe te kennen
risico’s te verkleinen zonder werkbaarheid te verliezen
beter inzicht te krijgen in gebruik van adminrechten

Hoe wordt Privileged Identity Management toegepast?

Privileged Identity Management wordt toegepast als onderdeel van het bredere PAM-kader, met de volgende uitgangspunten:

Gebruikers hebben standaard geen verhoogde rechten
Verhoogde rechten worden tijdelijk geactiveerd
Activatie gebeurt bewust en doelgericht
Rechten vervallen automatisch na afloop van de toegestane periode

PIM kan worden gecombineerd met:

aanvullende authenticatie (bv. MFA)
expliciete goedkeuring of motivatie
vooraf gedefinieerde rollen en privileges

PIM verandert niet wat iemand mag doen, maar wanneer en hoe lang verhoogde rechten beschikbaar zijn.

Wat betekent dit concreet in de praktijk?

Voor gebruikers met beheerrollen

Gebruikers werken standaard met een normaal account
Verhoogde rechten worden enkel geactiveerd wanneer nodig
Activatie is tijdelijk en beperkt in scope

Voor beheersprocessen

Minder permanente adminaccounts
Duidelijk onderscheid tussen dagelijks werk en beheer
Betere beheersing van risico’s rond geprivilegieerde toegang

Voor informatiebeveiliging

Beperking van het aanvalsoppervlak
Vermindering van impact bij accountcompromittering
Betere afdwingbaarheid van het principe Least Privilege

PIM ondersteunt just-in-time toegang, zonder de nood aan ad-hoc uitzonderingen.

Relatie met andere richtlijnen

Deze richtlijn staat in samenhang met:

Privileged Access Management (PAM)
MFA voor geprivilegieerde accounts
Break-glass & noodtoegang
Autorisatie & rolmodel

PIM werkt enkel effectief binnen een goed ingericht autorisatie- en rolmodel en een duidelijk PAM-kader.

Privileged Identity Management beperkt niet de mogelijkheden,
maar de duur en het risico van verhoogde toegang.

”
},
{
“id”: “30769156”,
“title”: “User accounts”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Authorization & Role Model / User accounts”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 12635,
“body”: “

Gebruikersaccounts

none

Definitie

User accounts (gebruikersaccounts) zijn persoonsgebonden digitale identiteiten die worden gebruikt door individuele gebruikers om toegang te krijgen tot systemen, applicaties en informatie.

Gebruikersaccounts zijn rechtstreeks gekoppeld aan een natuurlijke persoon en vormen de primaire vorm van toegang voor dagelijkse werkzaamheden binnen de organisatie.

User accounts onderscheiden zich expliciet van:

administrator accounts
service- en technische accounts

en kennen een eigen beheeraanpak binnen Identity & Access Management (IAM).

Waarom specifiek beheer van user accounts?

Gebruikersaccounts zijn:

talrijk
breed ingezet
direct gekoppeld aan menselijke handelingen

Zonder expliciet beheer ontstaan risico’s zoals:

overmatige toegangsrechten
accounts die blijven bestaan na rolwijziging of uitdiensttreding
onvoldoende traceerbaarheid van acties
verhoogde kans op misbruik of fouten

Specifiek beheer van user accounts is nodig om:

toegang actueel en proportioneel te houden
verantwoordelijkheden helder te borgen
risico’s structureel te beheersen
naleving en auditbaarheid te ondersteunen

Gebruikersaccounts vormen het fundament van gecontroleerde toegang.

Hoe worden user accounts beheerd?

Beheer van user accounts gebeurt door:

persoonsgebonden toekenning (één account per gebruiker)
koppeling aan rol, functie of context
toepassing van RBAC, Least Privilege en SoD
scheiding tussen gebruikers- en beheeraccounts
sterke authenticatie waar risico’s dit vereisen
lifecycle-gestuurd beheer (joiner–mover–leaver)

User accounts worden niet gedeeld en worden niet gebruikt voor beheeractiviteiten.

Wat omvat beheer van user accounts concreet?

Concreet omvat dit:

Unieke, persoonsgebonden gebruikersaccounts
Vastgelegde criteria voor accountcreatie
Rol- en functiegebaseerde toekenning van toegang
Periodieke herziening van toegangsrechten
Tijdige aanpassing bij rolwijzigingen
Intrekking en verwijdering bij uitdiensttreding
Logging en monitoring van gebruikersactiviteiten
Afhandeling van uitzonderingen en tijdelijke toegang

User accounts worden beheerd als onderdeel van het identity lifecycle management.

User accounts zijn persoonsgebonden toegangspoorten
en moeten daarom strikt, actueel en controleerbaar worden beheerd.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(User Accounts)

Clause 5 – Leadership
Management is verantwoordelijk voor duidelijke regels rond persoonsgebonden toegang.
Clause 6 – Planning
Toegangsrechten voor gebruikers worden risicogebaseerd bepaald.
Clause 7 – Support
Rollen, verantwoordelijkheden en bewustzijn rond gebruikersaccounts moeten duidelijk zijn.
Clause 8 – Operation
User accounts sturen de dagelijkse operationele toegang tot systemen en informatie.
Clause 9 – Performance evaluation
Periodieke evaluatie van gebruikersaccounts is nodig om overmatige toegang te voorkomen.
Clause 10 – Improvement
Bevindingen uit audits en incidenten leiden tot verbetering van accountbeheer.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(User Accounts)

5.16 – Identity management
User accounts maken deel uit van het lifecycle-beheer van identiteiten.
5.15 – Access control
Toegang via user accounts moet beperkt zijn tot wat noodzakelijk is.
5.18 – Access rights
Toekenning, wijziging en intrekking van gebruikersrechten moet gecontroleerd verlopen.
5.2 – Roles and responsibilities
Rollen vormen de basis voor gebruikersgerichte toegang.
5.3 – Segregation of duties
User accounts mogen geen ongewenste cumulatie van bevoegdheden veroorzaken.
8.15 – Logging
Gebruikersactiviteiten moeten traceerbaar zijn.
8.16 – Monitoring activities
Monitoring ondersteunt detectie van afwijkend of ongepast gebruik.

CyFun

PR.AA

”
},
{
“id”: “32276487”,
“title”: “Password Guidelines & Best Practices”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Password Guidelines & Best Practices”,
“depth”: 7,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 9603,
“body”: “

Richtlijnen voor paswoordgebruik

Deze richtlijn beschrijft best practices voor het gebruik en beheer van paswoorden als authenticatiemiddel binnen het domein Authenticatie & Toegangscontrole.

none

Definitie

Paswoorden (wachtwoorden) zijn een veelgebruikt authenticatiemiddel waarmee een gebruiker of account toegang krijgt tot systemen en informatie. In moderne omgevingen worden paswoorden bij voorkeur versterkt met aanvullende authenticatiemechanismen (bv. MFA) of waar mogelijk vervangen door sterkere alternatieven.

Waarom gebruiken we paswoorden (nog)?

Hoewel organisaties evolueren naar MFA en passwordless oplossingen, blijven paswoorden in de praktijk vaak nodig, onder meer voor:

toegang tot legacy-systemen en toepassingen
initiële onboarding en accountactivatie
service- en technische accounts waar alternatieven niet beschikbaar zijn
nood- en hersteltoegang in uitzonderlijke situaties

Onvoldoende veilig paswoordgebruik is een veelvoorkomende oorzaak van misbruik, zoals phishing, credential stuffing en ongeautoriseerde toegang. Deze richtlijn helpt om dat risico te beperken, zonder de werkbaarheid in zorgomgevingen te ondermijnen.

Hoe gaan we veilig om met paswoorden?

1) Maak paswoorden sterk en voorspelbaarheid-arm

Gebruik bij voorkeur lange wachtzinnen boven korte “complexe” paswoorden.
Vermijd namen, geboortedata, afdelingsnamen, zorgterminologie of voorspelbare patronen.

2) Zorg dat paswoorden uniek zijn

Gebruik geen paswoorden opnieuw over meerdere systemen of diensten.
Vermijd “variaties” op hetzelfde paswoord (bv. Zomer2026! → Herfst2026!).

3) Bescherm paswoorden in opslag en gebruik

Deel paswoorden nooit via e-mail, chat of ticketsystemen.
Sla paswoorden niet onversleuteld op (post-its, Word/Excel, notities).
Gebruik waar passend een password manager of een andere veilige opslagmethode.

4) Versterk paswoorden met aanvullende maatregelen

Zet waar mogelijk MFA aan, zeker voor verhoogde toegang en kritieke systemen.
Beperk paswoord-only toegang tot wat strikt noodzakelijk is.

5) Handel correct bij risico’s of incidenten

Wijzig paswoorden onmiddellijk bij vermoeden van compromis.
Reset paswoorden na incidenten, herstelactiviteiten of noodtoegang.
Evalueer de oorzaak en neem maatregelen om herhaling te voorkomen.

Wat betekent dit concreet (richtlijnen en afspraken)?

Voor gebruikersaccounts

Paswoorden zijn persoonlijk en worden niet gedeeld.
Paswoorden worden sterk en uniek gekozen.
MFA wordt toegepast waar dit vereist of mogelijk is.

Voor beheerdersaccounts

Gebruik aparte beheeraccounts (niet je dagelijkse account).
Paswoorden worden extra beschermd en waar mogelijk gecombineerd met MFA.
Beperk en controleer het gebruik van paswoord-only beheer.

Voor service- en technische accounts

Gebruik paswoorden enkel wanneer technisch noodzakelijk.
Leg eigenaarschap vast en beheer paswoorden gecontroleerd.
Beperk rechten tot de functionele noodzaak.

Voor noodtoegang (break-glass)

Paswoorden voor noodtoegang worden strikt beschermd en beperkt toegankelijk gehouden.
Na gebruik worden paswoorden aangepast en wordt het gebruik geëvalueerd.

Paswoorden blijven in veel omgevingen noodzakelijk,
maar worden altijd benaderd als een authenticatiemiddel dat beschermd en versterkt moet worden binnen een breder kader van veilige toegang.

”
},
{
“id”: “37421072”,
“title”: “Fine-grained Password Policies (FGPP)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Password Guidelines & Best Practices / Fine-grained Password Policies (FGPP)”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8435,
“body”: “none

Definitie

Fine-grained Password Policies (FGPP) zijn een mechanisme waarmee meerdere, gedifferentieerde wachtwoordregels kunnen worden toegepast binnen één organisatie, afhankelijk van rol, accounttype of risicoprofiel, in plaats van één uniforme wachtwoordpolicy voor alle gebruikers.

Typische verschillen tussen policies kunnen zijn: minimale lengte, complexiteit, geldigheidsduur, hergebruik, lock-out-regels en uitzonderingen voor service-accounts.

Waarom werken met Fine-grained Password Policies?

Niet alle accounts hebben hetzelfde risicoprofiel. FGPP laat toe om:

Hoger risico beter te beveiligen
- bv. beheerders, privileged accounts, externe toegang
Gebruiksvriendelijkheid te behouden waar mogelijk
- bv. standaard gebruikers zonder verhoogde privileges
Uitzonderingen gecontroleerd toe te passen
- bv. service-accounts of technische accounts
Compliance en proportionaliteit te combineren
- afgestemd op NIS2, ISO 27001, CyFun (risicogebaseerde beveiliging)

Zo vermijd je zowel over-engineering als onvoldoende bescherming.

Wat regelen Fine-grained Password Policies concreet?

Een Fine-grained Password Policy kan per doelgroep o.a. het volgende bepalen:

Minimale wachtwoordlengte
Complexiteitsvereisten
- hoofdletters, kleine letters, cijfers, speciale tekens
Maximale geldigheidsduur
Wachtwoordgeschiedenis
- aantal vorige wachtwoorden die niet hergebruikt mogen worden
Account lock-out
- drempel en duur bij foutieve pogingen
Uitzonderingen
- bv. non-interactive of service-accounts (in combinatie met compensating controls)

De policies worden toegewezen aan gebruikers, groepen of accounttypes, niet globaal aan het hele domein.

Hoe passen we Fine-grained Password Policies toe?

De implementatie volgt een risicogebaseerde aanpak:

Identificeer accounttypes
- standaard gebruikers
- privileged / admin accounts
- service-accounts
- externe of tijdelijke accounts
Bepaal het risicoprofiel per type
- impact bij compromittering
- blootstelling (internet, remote access, automatisering)
Definieer passende password policies
- strengere regels voor hogere risico’s
- proportionele regels voor lage risico’s
Implementeer technisch
- bv. via directory services (zoals Active Directory FGPP)
- afdwingen via IAM- of identity-platform
Documenteer en evalueer
- policy-definities in Confluence
- periodieke herziening bij wijziging van risico’s of context

Hoe passen Fine-grained Password Policies binnen ons governance-kader?

Fine-grained Password Policies ondersteunen:

Least privilege
Risk-based security controls
NIS2 / CyFun vereisten rond identity & access management
Audit- en verantwoordingsplicht
- duidelijke motivatie waarom bepaalde accounts strengere regels hebben

”
},
{
“id”: “38699009”,
“title”: “Local Administrator Password Solution (LAPS)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Password Guidelines & Best Practices / Local Administrator Password Solution (LAPS)”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 6382,
“body”: “none

Definitie

Local Administrator Password Solution (LAPS) is een beveiligingsmechanisme waarmee lokale administrator-wachtwoorden op endpoints automatisch, uniek en periodiek worden gewijzigd, en centraal en gecontroleerd beschikbaar worden gesteld aan geautoriseerde beheerders.

Het doel is te vermijden dat meerdere systemen hetzelfde lokale administrator-wachtwoord delen.

Waarom werken met LAPS?

Lokale administrator-accounts vormen een verhoogd beveiligingsrisico omdat zij:

vaak hetzelfde wachtwoord delen over meerdere systemen
een gemakkelijk aangrijpingspunt zijn voor aanvallers
laterale beweging binnen de organisatie mogelijk maken na compromittering

LAPS vermindert dit risico door:

unieke, toestelgebonden wachtwoorden af te dwingen
automatische rotatie van lokale administrator-wachtwoorden
gecontroleerde en auditeerbare toegang tot deze wachtwoorden

Dit ondersteunt kernprincipes zoals least privilege, defence-in-depth en risicogebaseerde beveiliging.

Hoe passen we Local Administrator Password Solution (LAPS) toe?

De toepassing van LAPS gebeurt op een gestructureerde en beheersbare manier:

Bepalen waar lokale administrator-rechten nodig zijn
- werkstations
- laptops
- (optioneel) servers
Definiëren van het LAPS-beleid
- minimale wachtwoordlengte en complexiteit
- rotatie-interval
- toegangsrechten tot het opgeslagen wachtwoord
Technische implementatie
- configuratie via directory services of endpoint management
- afdwingen via policies
- monitoring van correcte werking
Toegangsbeheer en logging
- rolgebaseerde toegang voor beheerders
- opvolging en controle waar mogelijk
Periodieke evaluatie
- controle op naleving
- aanpassing bij wijzigende risico’s of context

Wat regelt Local Administrator Password Solution (LAPS) concreet?

LAPS zorgt concreet voor:

Unieke lokale administrator-wachtwoorden per toestel
Automatische en periodieke rotatie
Centrale, beveiligde opslag van wachtwoorden
Beperkte toegang voor geautoriseerde rollen
Ondersteuning van audit en verantwoording

Hierdoor wordt het gebruik van lokale administrator-accounts controleerbaar, proportioneel en beheersbaar binnen de organisatie.

”
},
{
“id”: “38141960”,
“title”: “Pasword Managers voor lokaal secretbeheer”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Password Guidelines & Best Practices / Pasword Managers voor lokaal secretbeheer”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 7691,
“body”: “none

Definitie

Een password manager is een softwaretool die toelaat om wachtwoorden en andere secrets versleuteld op te slaan en te beheren.

Het gaat hierbij om:

gebruikerswachtwoorden
technische accounts
API-keys, tokens of recovery-codes

Een password manager is een generieke categorie van tools, geen beveiligingsprincipe op zich en geen vervanging voor centrale identity- of privileged access-oplossingen.

Bijvoorbeeld KeePass

KeePass is een open-source password manager die werkt met lokale, versleutelde databases, beschermd door een master password (en eventueel aanvullende beveiliging).

KeePass is één van de mogelijke implementaties van een password manager. Andere tools (zoals bv. cloud-gebaseerde password managers) vallen functioneel in dezelfde categorie, mits zij gelijkaardige beveiligingsprincipes hanteren.

De richtlijnen in dit hoofdstuk zijn tool-onafhankelijk en gelden voor alle password managers, ongeacht leverancier of implementatievorm.

Waarom gebruiken we password managers?

Password managers worden gebruikt wanneer:

wachtwoorden of secrets niet automatisch beheerd kunnen worden
tijdelijke of technische toegang nodig is
alternatieven zoals PAM, IAM of secret management (nog) niet beschikbaar of proportioneel zijn

Tegelijk brengen password managers risico’s met zich mee, vooral wanneer zij verkeerd worden ingezet, zoals bij gedeeld gebruik.

Hoe password managers gebruiken binnen de organisatie?

Geen gedeelde password manager databases

Het gebruik van gedeelde password databases (bijvoorbeeld één database die door meerdere personen wordt gebruikt) is niet toegestaan, ongeacht de gebruikte tool.

Dit geldt voor:

gedeelde password-databases
gedeelde vaults zonder individuele accountability
gedeelde master passwords

Redenen hiervoor zijn:

gebrek aan individuele verantwoordelijkheid
onvoldoende auditbaarheid
verhoogd risico op ongecontroleerde verspreiding
moeilijke of onvolledige intrekking van toegang

Individueel gebruik

Password managers worden uitsluitend individueel gebruikt, waarbij:

elke gebruiker een persoonlijke vault of database heeft
toegang persoonlijk en niet gedeeld is
de gebruiker verantwoordelijk is voor:
- een sterk master password
- correcte beveiliging van zijn omgeving
- zorgvuldig beheer van de opgeslagen secrets

Wanneer meerdere personen structureel toegang nodig hebben tot dezelfde credentials, wordt geen password manager gebruikt, maar een meer geschikte oplossing (bv. PAM, centrale secret management).

Wat regelen deze richtlijnen concreet?

Deze richtlijnen zorgen ervoor dat:

password managers ondersteunend blijven, geen schaduw-PAM worden
gedeelde secrets structureel worden vermeden
verantwoordelijkheden duidelijk en toewijsbaar zijn
het gebruik aansluit bij NIS2 / CyFun principes

Governance & verankering

Deze aanpak:

volgt expliciet de aanbevelingen van het CCB
is leveranciersonafhankelijk
ondersteunt least privilege en accountability
maakt afwijkingen enkel mogelijk via gedocumenteerde risicoanalyse

”
},
{
“id”: “32407573”,
“title”: “Single Sign-On (SSO)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Single Sign-On (SSO)”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 9135,
“body”: “none

Definitie

Single Sign-On (SSO) is een authenticatiemechanisme waarbij een gebruiker zich één keer authenticeert en daarna toegang krijgt tot meerdere systemen en applicaties, zonder zich telkens opnieuw te moeten aanmelden.

SSO maakt gebruik van een centrale authenticatie en hergebruikt het resultaat daarvan om toegang tot gekoppelde systemen mogelijk te maken.

Waarom gebruiken we Single Sign-On?

Organisaties werken vaak met een groot aantal systemen en toepassingen. Zonder SSO leidt dit tot:

herhaald aanmelden bij verschillende systemen
verhoogde kans op onveilig paswoordgebruik
frustratie en werkonderbrekingen bij zorgverleners
hogere druk op IT-ondersteuning

Single Sign-On ondersteunt:

gebruiksvriendelijkheid voor zorgmedewerkers
veiliger authenticatiegedrag
minder paswoordvermoeidheid
betere naleving van beveiligingsmaatregelen

Correct toegepast draagt SSO bij aan zowel beveiliging als werkbaarheid, wat in een zorgcontext essentieel is.

Hoe – hoe wordt Single Sign-On veilig ingezet?

Single Sign-On wordt altijd ingericht binnen een breder authenticatiekader en niet als losstaande maatregel.

Belangrijke uitgangspunten zijn:

SSO vertrouwt op een sterk en betrouwbaar authenticatiemoment
Het initiële aanmeldmoment wordt afgestemd op het risico
SSO wordt waar nodig versterkt met aanvullende authenticatie, zoals MFA
Toegang tot systemen blijft afhankelijk van autorisatie en rol
Afmelding en sessiebeheer worden gecontroleerd ingericht

SSO vermindert het aantal aanmeldmomenten, maar verhoogt niet automatisch de toegangsrechten.

Wat betekent dit concreet in de praktijk?

Voor gebruikers

Gebruikers melden zich één keer aan en krijgen toegang tot meerdere toepassingen
Minder paswoorden en aanmeldmomenten verbeteren de gebruikservaring
Beveiligingsmaatregelen blijven van toepassing, afhankelijk van de toegang

Voor zorgprocessen

Snellere toegang tot kritieke zorgsystemen
Minder onderbrekingen tijdens zorgverlening
Betere ondersteuning van continuïteit van zorg

Voor informatiebeveiliging

Minder stimulans voor onveilig paswoordgebruik
Betere afdwingbaarheid van sterke authenticatie
Centrale aansturing van authenticatie

SSO bepaalt hoe vaak iemand zich aanmeldt, niet wat iemand mag doen.

Relatie met andere richtlijnen

Deze richtlijn staat in samenhang met:

Richtlijnen voor paswoordgebruik
Multi-Factor Authentication (MFA)
Identity & Access Management (IAM)
Autorisatie & rolmodel

Single Sign-On werkt uitsluitend correct in combinatie met:

correcte identiteitsbeheerprocessen
duidelijke rollen en toegangsrechten
aanvullende beveiligingsmaatregelen waar nodig

Single Sign-On vereenvoudigt toegang,
maar vervangt geen beveiliging.
Het versterkt veilige authenticatie wanneer het correct wordt toegepast.

”
},
{
“id”: “32342038”,
“title”: “Conditional Access Policies”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Conditional Access Policies”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 10740,
“body”: “

Voorwaardelijke toegangsregels

none

Definitie

Voorwaardelijke toegangsregels (Conditional Access Policies) zijn regels die bepalen onder welke voorwaarden toegang wordt toegestaan tot systemen en applicaties.

Toegang wordt niet alleen beoordeeld op wie de gebruiker is, maar ook op context, zoals:

type toegang
gevoeligheid van de informatie
omstandigheden waarin wordt aangemeld

Conditional Access combineert authenticatie, risicobeoordeling en context om toegang dynamisch en proportioneel te beveiligen.

Waarom gebruiken we voorwaardelijke toegangsregels?

In moderne zorgomgevingen is toegang niet langer statisch:

gebruikers werken op verschillende locaties
systemen zijn cloud- en hybride-gebaseerd
risico’s veranderen continu
niet elke toegang is even kritisch

Zonder voorwaardelijke toegangsregels:

wordt beveiliging te grof of te streng
ontstaan uitzonderingen en workarounds
is beveiliging moeilijk schaalbaar

Conditional Access maakt het mogelijk om:

beveiliging af te stemmen op risico
gebruikerservaring te behouden waar risico laag is
strengere maatregelen toe te passen waar risico hoger is
zorgprocessen veilig én werkbaar te houden

Hoe worden voorwaardelijke toegangsregels toegepast?

Voorwaardelijke toegangsregels worden ingericht als onderdeel van het authenticatie- en toegangsmodel, en niet als losse technische maatregelen.

Belangrijke uitgangspunten:

Toegang wordt beoordeeld op context en risico
Regels zijn voorspelbaar en consistent
Hogere risico’s leiden tot strengere toegangsvereisten
Voorwaardelijke toegang ondersteunt, maar vervangt geen:
- autorisatie
- rolmodellen
- beleidsprincipes

Conditional Access wordt afgestemd op:

type gebruiker of account
aard van de toegang
kriticiteit van systemen en informatie

Wat betekent dit concreet in de praktijk?

Voor gebruikers

Toegang kan afhankelijk zijn van omstandigheden
In bepaalde situaties wordt extra verificatie gevraagd
Toegang kan worden beperkt of geweigerd bij verhoogd risico

Voor zorgprocessen

Kritieke zorgsystemen krijgen extra bescherming
Lage-risicotoegang blijft werkbaar
Continuïteit van zorg blijft gewaarborgd

Voor informatiebeveiliging

Beveiliging wordt dynamisch en proportioneel
Minder nood aan uitzonderingen
Betere afdwingbaarheid van beleidsprincipes

Conditional Access bepaalt wanneer en onder welke voorwaarden toegang mogelijk is, niet welke rechten iemand heeft.

Relatie met andere richtlijnen

Deze richtlijn staat in samenhang met:

Authenticatie
Multi-Factor Authentication (MFA)
Single Sign-On (SSO)
Richtlijnen voor paswoordgebruik
Autorisatie & rolmodel

Voorwaardelijke toegangsregels functioneren enkel correct binnen een goed ingericht IAM– en authenticatiekader.

Voorwaardelijke toegangsregels maken beveiliging contextbewust:
streng waar nodig, soepel waar mogelijk.

”
},
{
“id”: “22413325”,
“title”: “Multi-Factor Authentication (MFA) – Strategy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Multi-Factor Authentication (MFA) – Strategy”,
“depth”: 7,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 10050,
“body”: “none

Definitie

Multi-Factor Authentication (MFA) is een authenticatiemechanisme waarbij de identiteit van een gebruiker of systeem wordt vastgesteld op basis van minstens twee onafhankelijke factoren (bv. iets wat men weet, heeft of is).

Binnen het domein Authentication & Access Control verhoogt MFA het betrouwbaarheidsniveau van authenticatie en beperkt het risico dat gecompromitteerde inloggegevens leiden tot ongeautoriseerde toegang.

Waarom is een MFA-strategie belangrijk?

MFA is essentieel omdat enkelvoudige authenticatie onvoldoende bescherming biedt tegen hedendaagse dreigingen zoals phishing, credential theft en accountmisbruik.

Binnen de context van Authentication & Access Control en NIS2:

wordt MFA beschouwd als een basismaatregel voor verhoogde cyberweerbaarheid,
verlaagt MFA de kans op succesvolle aanvallen aanzienlijk,
en versterkt het de controle over toegang tot kritieke systemen en data.

Een expliciete MFA-strategie voorkomt dat MFA:

ad-hoc of inconsistent wordt toegepast,
uitsluitend tool-gedreven wordt,
of tijdens incidenten ondoordacht wordt uitgeschakeld.

MFA is daarmee een beleidskeuze, geen louter technische instelling.

Hoe wordt MFA strategisch georganiseerd?

Een MFA-strategie bepaalt waar, wanneer en hoe MFA wordt toegepast, op basis van risico en context.

Belangrijke strategische principes zijn:

1. Risicogebaseerde toepassing

MFA wordt verplicht toegepast voor:

toegang tot kritieke systemen en data,
bevoorrechte accounts,
externe toegang,
en verhoogde risicosituaties.

2. Consistentie en centrale sturing

MFA-beleid wordt centraal vastgelegd en toegepast via IAM en authenticatiemechanismen, niet per applicatie ad-hoc.

3. Gebruiksvriendelijkheid vs. veiligheid

De gekozen MFA-vormen moeten veiligheid verhogen zonder de bedrijfsvoering onnodig te hinderen.

4. Ondersteuning van continuïteit

De MFA-strategie voorziet expliciet in:

fallback-scenario’s,
noodtoegang (break-glass),
en werking tijdens incidenten en recovery.

5. Afstemming met regelgeving

De strategie houdt rekening met:

NIS2-vereisten,
sectorale verwachtingen (zorg),
en audit- en verantwoordingsplicht.

Wat omvat MFA concreet?

Concreet omvat MFA onder meer:

het gebruik van meerdere authenticatiefactoren:
- kennis (bv. wachtwoord),
- bezit (bv. token, app),
- inherentie (bv. biometrie);
de selectie van toegestane MFA-methoden;
afspraken over verplichte MFA-zones (wel/niet MFA);
procedures voor uitzonderingen en noodtoegang;
en integratie met:
- Identity & Access Management,
- Domain Services,
- applicaties en platformen.

De concrete technische implementatie wordt verder uitgewerkt in onderliggende detailpagina’s.

Relatie met bovenliggende en onderliggende pagina’s

Bovenliggend:
Authentication & Access Control en Authenticatiemechanismen bepalen het kader en de rol van MFA.
Deze pagina:
beschrijft de strategie voor MFA-gebruik.
Onderliggend:
Verdere pagina’s kunnen ingaan op:
- concrete MFA-methoden,
- MFA voor bevoorrechte accounts,
- noodtoegang en uitzonderingen,
- MFA tijdens incidenten en recovery.

”
},
{
“id”: “22577172”,
“title”: “MFA- Methods”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Multi-Factor Authentication (MFA) – Strategy / MFA- Methods”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 11184,
“body”: “none

MFA – methodes

Definitie – MFA-methoden

MFA-methoden zijn de concrete middelen waarmee extra authenticatiefactoren worden gerealiseerd binnen een Multi-Factor Authentication-strategie.
Ze bepalen hoe een tweede (of derde) factor wordt aangeboden en gevalideerd bij het verifiëren van de identiteit van een gebruiker of systeem.

Binnen het domein Authentication & Access Control vormen MFA-methoden de operationele invulling van de MFA-strategie.

Waarom zijn MFA-methoden belangrijk?

MFA-methoden zijn belangrijk omdat de effectiviteit van MFA rechtstreeks afhangt van de gekozen methode.

Niet elke MFA-methode:

biedt hetzelfde beveiligingsniveau,
is even geschikt voor elke context (zorg, crisis, extern gebruik),
of is even robuust bij incidenten of herstel.

Door MFA-methoden expliciet te definiëren:

wordt het beveiligingsniveau voorspelbaar en consistent,
vermijdt de organisatie ad-hoc of zwakke oplossingen,
en kan MFA proportioneel worden toegepast in functie van risico en gebruik.

De keuze van MFA-methoden is dus een bewuste beleidskeuze, geen louter technische voorkeur.

Hoe worden MFA-methoden georganiseerd?

MFA-methoden worden georganiseerd volgens een aantal leidende principes, in lijn met de bovenliggende MFA-strategie:

1. Classificatie per factor-type

MFA-methoden worden ingedeeld volgens het type factor:

iets wat je weet (kennis),
iets wat je hebt (bezit),
iets wat je bent (inherentie).

2. Afstemming op risiconiveau

Sterkere MFA-methoden worden ingezet voor:

kritieke systemen,
bevoorrechte accounts,
externe of verhoogde risicotoegang.

3. Werkbaarheid in zorgcontext

MFA-methoden moeten toepasbaar blijven:

in operationele zorgprocessen,
onder tijdsdruk,
en tijdens crisissituaties.

4. Integratie met IAM en authenticatiemechanismen

MFA-methoden worden centraal beheerd en toegepast via de bestaande IAM- en authenticatie-infrastructuur.

5. Continuïteit en fallback

De gekozen MFA-methoden ondersteunen:

fallback-scenario’s,
noodtoegang (break-glass),
en werking tijdens incidenten en recovery.

Wat omvat MFA concreet?

MFA-methoden kunnen onder meer bestaan uit:

Kennisfactoren

Wachtwoord
PIN-code
(op zichzelf onvoldoende, enkel in combinatie met andere factoren)

Bezitsfactoren

Authenticator-apps
Hardware tokens
Tijdelijke codes via beveiligde kanalen

Inherentie-factoren

Biometrische verificatie (bv. vingerafdruk, gezichtsherkenning)

Contextuele of aanvullende factoren

Apparaat- of sessiekenmerken
Locatie- of tijdsgebonden controles

De toegelaten en verplichte MFA-methoden worden vastgelegd per:

gebruikerscategorie,
type toegang,
en risiconiveau.

Afbakening en aandachtspunten

MFA-methoden vervangen geen autorisatie
(ze bewijzen wie je bent, niet wat je mag)
Niet elke methode is geschikt voor elke situatie
Overmatige complexiteit verlaagt naleving
MFA-methoden moeten herstelbaar zijn na incidenten

Relatie met bovenliggende en onderliggende pagina’s

Bovenliggend:
Authentication & Access Control → Authenticatiemechanismen → MFA Strategy
Deze pagina:
beschrijft welke MFA-methoden worden gebruikt en volgens welke principes.
Onderliggend:
Verdere detailpagina’s gaan dieper in op:
- MFA voor bevoorrechte accounts,
- MFA in crisis- en recoverycontext,
- break-glass en uitzonderingen.

”
},
{
“id”: “24412161”,
“title”: “MFA for Privileged Accounts”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Multi-Factor Authentication (MFA) – Strategy / MFA for Privileged Accounts”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 12963,
“body”: “none

Definitie

Multi-Factor Authentication (MFA) for privileged accounts beschrijft het verplicht gebruik van meerdere onafhankelijke authenticatiefactoren voor accounts met verhoogde of kritieke rechten, zoals administrator accounts en andere geprivilegieerde accounts.

Deze maatregel heeft als doel het risico op misbruik van verhoogde rechten substantieel te verminderen, zelfs wanneer authenticatiegegevens gecompromitteerd zijn.

MFA voor privileged accounts is een verplichte versterkende beveiligingsmaatregel binnen Identity & Access Management (IAM) en Privileged Access Management (PAM).

Waarom MFA specifiek voor privileged accounts?

Privileged accounts:

hebben uitgebreide of volledige rechten
kunnen beveiligingsmaatregelen wijzigen of uitschakelen
worden vaak misbruikt bij ernstige beveiligingsincidenten

Wachtwoorden of enkele authenticatiefactoren zijn onvoldoende om:

phishing
credential theft
brute-force of replay-aanvallen

MFA voor privileged accounts is nodig om:

misbruik van beheerrechten te voorkomen
de impact van gecompromitteerde credentials te beperken
privilege escalation tegen te gaan
aantoonbare controle te realiseren over kritieke toegang

Voor privileged accounts geldt een hoger beschermingsniveau dan voor reguliere gebruikersaccounts.

Hoe wordt MFA voor privileged accounts toegepast?

MFA voor privileged accounts wordt toegepast door:

verplichte MFA voor alle accounts met verhoogde rechten
afdwingen van MFA bij:
- interactieve login
- beheeractiviteiten
- toegang tot kritieke systemen
combinatie van minimaal twee onafhankelijke factoren, zoals:
- iets wat men weet
- iets wat men heeft
- iets wat men is

MFA wordt:

geïntegreerd met IAM– en PAM-mechanismen
afgestemd op risico en context
ondersteund door logging en monitoring

Uitzonderingen zijn uitzonderlijk, tijdelijk en expliciet goedgekeurd.

Wat omvat MFA voor privileged accounts concreet?

Concreet omvat dit:

Identificatie van alle privileged accounts
Verplichte MFA voor administrator accounts
MFA voor geprivilegieerde service- of technische accounts waar mogelijk
Versterkte MFA-mechanismen voor kritieke toegang
Afzonderlijke MFA-policy voor beheeractiviteiten
Logging van MFA-gebeurtenissen
Monitoring en detectie van mislukte of afwijkende authenticatiepogingen
Beheer van uitzonderingen en noodtoegang (break-glass)

MFA is een essentieel onderdeel van PAM, maar kan ook los worden afgedwongen waar nodig.

MFA voor privileged accounts is geen optionele extra,
maar een noodzakelijke beveiligingsmaatregel
voor toegang met hoge impact.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(MFA for Privileged Accounts)

Clause 5 – Leadership
Management bepaalt dat verhoogde toegang extra beveiligd moet worden.
Clause 6 – Planning
MFA voor privileged accounts volgt uit risicobeoordeling van kritieke toegang.
Clause 7 – Support
Rollen en verantwoordelijkheden rond sterke authenticatie moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
MFA stuurt de operationele toegang tot systemen met verhoogde rechten.
Clause 9 – Performance evaluation
Effectiviteit van MFA moet worden gemonitord en geëvalueerd.
Clause 10 – Improvement
Incidenten en dreigingen leiden tot versterking van MFA-maatregelen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(MFA for Privileged Accounts)

5.17 – Authentication information
Verhoogde toegang vereist versterkte authenticatie en bescherming van authenticatiemiddelen.
5.15 – Access control
MFA ondersteunt strengere toegangsregels voor kritieke functies.
5.16 – Identity management
Privileged accounts moeten expliciet worden geïdentificeerd en onderscheiden.
5.18 – Access rights
MFA versterkt de controle over toekenning en gebruik van verhoogde rechten.
5.3 – Segregation of duties
MFA ondersteunt beheersing van kritieke bevoegdheden.
8.15 – Logging
MFA-gebeurtenissen moeten traceerbaar zijn.
8.16 – Monitoring activities
Monitoring detecteert misbruik of pogingen tot omzeiling van MFA.

Cyfun

PR.AA

”
},
{
“id”: “23953410”,
“title”: “Break-Glass & Emergency Access”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Multi-Factor Authentication (MFA) – Strategy / Break-Glass & Emergency Access”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 12698,
“body”: “

Noodtoegang geprivilegieerde toegang

none

Definitie

Break-glass & Emergency Access verwijst naar tijdelijke, uitzonderlijke toegang met verhoogde rechten die uitsluitend wordt gebruikt in noodsituaties waarin standaard toegangsmechanismen niet beschikbaar of toereikend zijn.

Break-glass access is vooraf ingericht, strikt gecontroleerd en achteraf volledig geëvalueerd, en maakt integraal deel uit van Privileged Access Management (PAM).

Waarom break-glass / noodtoegang?

In uitzonderlijke situaties kan normale toegang falen, bijvoorbeeld door:

uitval van identity- of authenticatiesystemen
fouten in toegangsconfiguratie
ernstige incidenten of crisissituaties
cyberaanvallen waarbij reguliere accounts onbruikbaar zijn

Zonder vooraf geregelde noodtoegang:

kan kritieke dienstverlening stilvallen
ontstaat druk om onveilige ad-hocoplossingen te gebruiken
worden controle en traceerbaarheid volledig ondermijnd

Break-glass access is nodig om:

continuïteit van kritieke processen te waarborgen
veilig en gecontroleerd te handelen in noodsituaties
ongecontroleerde escalatie van rechten te vermijden
ook in crisissituaties governance en controle te behouden

Hoe wordt break-glass / noodtoegang ingericht?

Break-glass access wordt ingericht volgens het principe:

“Vooraf geregeld, zelden gebruikt, altijd gecontroleerd.”

Dit gebeurt door:

expliciete definitie van noodsituaties
vooraf aangemaakte noodaccounts of noodmechanismen
strikte beperking van rechten tot het noodzakelijke
aanvullende beveiligingsmaatregelen waar mogelijk
formele autorisatie en vastgelegde verantwoordelijken
onmiddellijke logging en monitoring bij gebruik

Break-glass toegang:

is tijdelijk
wordt achteraf altijd geëvalueerd
leidt tot herstel van normale toegang zo snel mogelijk

Wat omvat break-glass / emergency access concreet?

Concreet omvat dit:

Vastgelegde definitie van noodsituaties
Beperkt aantal noodaccounts of noodmechanismen
Afzonderlijke credentials, strikt beveiligd
Beperkte en doelgerichte privileges
Logging van:
- activering
- gebruik
- deactivering
Formele goedkeuring en registratie van gebruik
Verplichte post-incident review
Intrekking of reset van noodtoegang na gebruik

Break-glass access is geen alternatief voor normaal beheer, maar een laatste redmiddel.

Break-glass / noodtoegang is geen achterdeur,
maar een gecontroleerde nooduitgang
die alleen wordt gebruikt wanneer alles faalt.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Break-glass / Emergency Access)

Clause 5 – Leadership
Management bepaalt onder welke voorwaarden noodtoegang is toegestaan.
Clause 6 – Planning
Noodtoegang wordt vooraf risicogebaseerd gepland als uitzonderingsscenario.
Clause 7 – Support
Rollen, verantwoordelijkheden en bevoegdheden rond noodtoegang moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Break-glass access stuurt gecontroleerde toegang tijdens operationele noodsituaties.
Clause 9 – Performance evaluation
Elk gebruik van noodtoegang moet geëvalueerd en beoordeeld worden.
Clause 10 – Improvement
Bevindingen uit noodtoegang leiden tot verbetering van toegangsbeheer en continuïteit.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Break-glass / Emergency Access)

5.15 – Access control
Noodtoegang vormt een strikt gecontroleerde uitzondering op normale toegangsregels.
5.16 – Identity management
Noodaccounts moeten expliciet geïdentificeerd en beheerd worden.
5.17 – Authentication information
Authenticatiemiddelen voor noodtoegang vereisen extra bescherming.
5.18 – Access rights
Rechten voor noodtoegang moeten beperkt, tijdelijk en herroepbaar zijn.
5.3 – Segregation of duties
Gebruik en goedkeuring van noodtoegang mogen niet bij één persoon liggen.
8.15 – Logging
Gebruik van noodtoegang moet volledig traceerbaar zijn.
8.16 – Monitoring activities
Monitoring detecteert en signaleert gebruik van noodtoegang onmiddellijk.
8.32 – Change management
Noodwijzigingen via break-glass toegang moeten achteraf formeel worden gevalideerd.

Cyfun

PR.AA

”
},
{
“id”: “24051716”,
“title”: “MFA during incidents & recovery”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Authentication Mechanisms / Multi-Factor Authentication (MFA) – Strategy / MFA during incidents & recovery”,
“depth”: 8,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 14631,
“body”: “

MFA tijdens incidenten & herstel

none

Definitie

MFA tijdens incidenten & herstel beschrijft hoe Multi-Factor Authentication (MFA) wordt toegepast, gehandhaafd of tijdelijk aangepast tijdens beveiligingsincidenten en herstelactiviteiten, zonder de beveiliging onnodig te verzwakken.

Het doel is om ook onder verhoogde druk:

identiteiten correct te blijven verifiëren
misbruik van toegang te voorkomen
en controle en traceerbaarheid te behouden

Deze pagina richt zich expliciet op incident- en recovery-scenario’s, en niet op standaard MFA-gebruik.

Waarom MFA tijdens incidenten & herstel?

Tijdens incidenten en herstelmomenten:

staat toegang vaak onder tijdsdruk
worden uitzonderingen sneller overwogen
neemt het risico op misbruik toe

Veel incidenten escaleren omdat:

MFA wordt uitgeschakeld “om sneller te werken”
noodtoegang onvoldoende gecontroleerd is
herstelaccounts misbruikt worden door aanvallers

MFA tijdens incidenten & herstel is nodig om:

secundair misbruik tijdens een incident te voorkomen
aanvallers buiten te houden wanneer systemen kwetsbaar zijn
herstelacties veilig uit te voeren
governance en compliance ook in crisissituaties te behouden

Een incident is geen excuus om authenticatie los te laten.

Hoe wordt MFA toegepast tijdens incidenten & herstel?

MFA tijdens incidenten & herstel wordt ingericht volgens het principe:

“Beveiliging blijft actief, ook wanneer processen onder druk staan.”

Dit betekent:

MFA blijft standaard actief voor:
- beheerdersaccounts
- herstelactiviteiten
- toegang tot kritieke systemen
MFA-vereisten kunnen contextueel worden aangepast, maar niet willekeurig
uitzonderingen zijn:
- vooraf gedefinieerd
- tijdelijk
- expliciet goedgekeurd
MFA is afgestemd op:
- PAM
- break-glass / noodtoegang
- incident response en recovery-plannen

Herstelactiviteiten verlopen altijd via geautoriseerde en verifieerbare identiteiten.

Wat omvat MFA tijdens incidenten & herstel concreet?

Concreet omvat dit:

Vastgelegde MFA-vereisten voor:
- incident response
- herstel- en recovery-activiteiten
Integratie van MFA in:
- noodtoegang (break-glass)
- PAM-processen
Contextuele MFA-regels (bv. verhoogd risico)
Logging van:
- MFA-pogingen
- succesvolle en mislukte authenticaties
Monitoring van afwijkend authenticatiegedrag
Evaluatie van MFA-gebruik na incidenten
Herstel naar normale MFA-configuratie na afronding

MFA ondersteunt zo veilige continuïteit, niet vertraging.

Tijdens incidenten en herstel is MFA geen hinderpaal,
maar een noodzakelijke bescherming tegen escalatie en misbruik.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(MFA tijdens incidenten & herstel)

Clause 5 – Leadership
Management bepaalt dat beveiliging ook tijdens incidenten gehandhaafd blijft.
Clause 6 – Planning
MFA-scenario’s worden vooraf meegenomen in incident- en herstelplanning.
Clause 7 – Support
Rollen en verantwoordelijkheden rond incident-authenticatie zijn vastgelegd.
Clause 8 – Operation
MFA stuurt veilige toegang tijdens operationele incident- en herstelactiviteiten.
Clause 9 – Performance evaluation
MFA-gebruik tijdens incidenten wordt geëvalueerd op effectiviteit.
Clause 10 – Improvement
Incidentervaringen leiden tot versterking van MFA-maatregelen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(MFA tijdens incidenten & herstel)

5.17 – Authentication information
Authenticatie moet ook tijdens incidenten beschermd en betrouwbaar blijven.
5.15 – Access control
Toegang tijdens herstel blijft onderworpen aan gecontroleerde authenticatie.
5.16 – Identity management
Alleen expliciet geïdentificeerde accounts mogen herstelacties uitvoeren.
5.18 – Access rights
Hersteltoegang is tijdelijk en beperkt tot noodzakelijke rechten.
8.15 – Logging
MFA-gebruik tijdens incidenten moet volledig traceerbaar zijn.
8.16 – Monitoring activities
Monitoring detecteert misbruik van toegang tijdens crisissituaties.
8.32 – Change management
Herstelwijzigingen vereisen gecontroleerde en geauthenticeerde toegang.

CyFun

PR.AA

”
},
{
“id”: “24150025”,
“title”: “Continuity & Recovery of Authentication & Access Control”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Continuity & Recovery of Authentication & Access Control”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 6698,
“body”: “none

Definitie

Continuity & Recovery of Authentication & Access Control omvat alle principes, afspraken en maatregelen die ervoor zorgen dat identiteit, authenticatie en toegangscontrole beschikbaar blijven of gecontroleerd hersteld worden tijdens en na incidenten.

Binnen Authentication & Access Control beschrijft dit domein hoe toegang tot systemen veilig kan blijven functioneren, zelfs wanneer de IT-omgeving verstoord is.

Waarom is continuïteit en recovery van toegang cruciaal?

Zonder werkende Authentication & Access Control:

kunnen gebruikers niet inloggen,
werken applicaties niet,
en is herstel van systemen onmogelijk.

Tijdens incidenten is toegang paradoxaal genoeg zowel kritischer als risicovoller:

te weinig toegang → herstel stokt,
te veel of ongecontroleerde toegang → verhoogd veiligheidsrisico.

Daarom is expliciete aandacht voor continuïteit en recovery van Authentication & Access Control essentieel voor:

zorgcontinuïteit,
incidentrespons,
en gecontroleerd herstel

Hoe wordt continuïteit en recovery georganiseerd?

Continuïteit en recovery worden georganiseerd door:

Authentication & Access Control expliciet als kritieke afhankelijkheid te erkennen,
herstel van identiteit en toegang vroeg in de recoveryvolgorde te plaatsen,
vooraf duidelijke afspraken te maken over noodtoegang en fallback,
en afhankelijkheden met applicaties en infrastructuur inzichtelijk te maken.

Deze aanpak voorkomt improvisatie tijdens crisissituaties.

Wat omvat dit domein concreet?

Dit domein omvat onder meer:

principes voor herstel van IAM en Domain Services,
afspraken rond toegang tijdens crisissituaties,
inzicht in afhankelijkheden met applicaties en infrastructuur,
en controlemechanismen om herstelde toegang te valideren.

Relatie met onderliggende pagina’s

Deze hoofdpagina wordt verder uitgewerkt in:

AD / IAM Recovery Principles
Identity & Access in Crisis Situations
Dependencies with Applications & Infrastructure

”
},
{
“id”: “24117252”,
“title”: “AD / IAM recovery principles”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Continuity & Recovery of Authentication & Access Control / AD / IAM recovery principles”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4276,
“body”: “none

Definitie

AD / IAM Recovery Principles beschrijven de uitgangspunten voor het herstellen of heropbouwen van identiteits- en toegangsvoorzieningen na een incident.

Ze bepalen wat eerst moet worden hersteld, onder welke voorwaarden, en met welke veiligheidswaarborgen.

Waarom zijn recoveryprincipes nodig?

Identiteitsdiensten zoals Active Directory (AD) en Identity & Access Management (IAM) vormen een single point of enablement:

zonder hen werkt vrijwel niets,
maar een fout herstel kan de omgeving opnieuw compromitteren.

Recoveryprincipes zorgen ervoor dat:

herstel gecontroleerd en veilig verloopt,
snelheid niet boven veiligheid gaat,
en beslissingen reproduceerbaar en verdedigbaar zijn.

Hoe worden AD / IAM recoveryprincipes toegepast?

Herstelprincipes omvatten onder meer:

Voorrang: herstel van AD/IAM gebeurt vóór applicaties.
Integriteit boven snelheid: enkel vertrouwde en gevalideerde componenten worden hersteld.
Minimale functionaliteit eerst: basisidentiteit en authenticatie vóór uitbreiding.
Scheiding herstel en gebruik: beheer en validatie gescheiden van operationeel gebruik.

Wat omvat dit concreet?

Concreet omvatten deze principes:

keuzes tussen restore en rebuild,
omgang met service-accounts en beheertoegang,
heractiveren van authenticatiemechanismen,
en validatie van rechten na herstel.

”
},
{
“id”: “23494658”,
“title”: “Identity & Access in Crisis Situations”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Continuity & Recovery of Authentication & Access Control / Identity & Access in Crisis Situations”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3537,
“body”: “none

Definitie

Identity & Access in Crisis Situations beschrijft hoe toegang tot systemen wordt beheerd wanneer normale processen onvoldoende zijn, bijvoorbeeld tijdens cyberincidenten of grootschalige uitval.

Waarom is dit nodig?

Crisissituaties vragen:

snelle acties,
verhoogde toegang,
en uitzonderingen op standaardprocessen.

Zonder vooraf vastgelegde afspraken leidt dit tot:

oncontroleerbare privileges,
verlies van audittrail,
en verhoogd misbruikrisico.

Hoe wordt toegang in crisissituaties georganiseerd?

Dit gebeurt door:

vooraf gedefinieerde noodrollen en procedures,
duidelijke voorwaarden voor uitzonderlijke toegang,
tijdelijke en herroepbare rechten,
en expliciete governance (wie beslist, wie valideert).

Wat omvat dit concreet?

Dit omvat onder meer:

crisis- en break-glass accounts,
tijdelijke escalatie van rechten,
logging en opvolging van noodtoegang,
en terugkeer naar normale toegang na de crisis.

”
},
{
“id”: “22216713”,
“title”: “Dependencies with Applications & Infrastructure”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Continuity & Recovery of Authentication & Access Control / Dependencies with Applications & Infrastructure”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2903,
“body”: “none

Definitie

Dependencies with Applications & Infrastructure beschrijven hoe applicaties en infrastructuur afhankelijk zijn van Authentication & Access Control voor hun werking en herstel.

Waarom is het identificeren van afhankelijkheden expliciet nodig?

Zonder inzicht in afhankelijkheden:

worden applicaties hersteld die niet kunnen werken,
wordt herstel onnodig vertraagd,
en ontstaan foutieve aannames in recoveryplanning.

Hoe worden afhankelijkheden beheerd?

Afhankelijkheden worden beheerd door:

applicaties expliciet te koppelen aan IAM/AD,
herstelvolgorde af te stemmen op toegang,
en deze relaties op te nemen in recovery- en crisisplannen.

Wat omvat dit concreet?

Concreet gaat het om:

applicaties die authenticatie vereisen,
systemen die service-accounts gebruiken,
infrastructuur die afhankelijk is van directory-diensten,
en validatie dat toegang effectief werkt na herstel.

”
},
{
“id”: “22380545”,
“title”: “Wireless Network Access Control”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Wireless Network Access Control”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 8772,
“body”: “none

Waarom is wireless network access control belangrijk?

Draadloze netwerken vormen een primair toegangspunt tot de digitale omgeving van de organisatie. In tegenstelling tot bekabelde netwerken zijn ze fysiek moeilijker af te bakenen en potentieel toegankelijk buiten de muren van de organisatie.

Zonder adequate beveiliging kan draadloze netwerktoegang leiden tot:

ongeautoriseerde toegang tot interne systemen,
onderschepping van gevoelige (patiënt)gegevens,
misbruik van netwerkcapaciteit,
en verstoring van kritische processen.

Vanuit informatiebeveiligingsperspectief is wireless network access control essentieel om:

vertrouwelijkheid van informatie te beschermen,
integriteit van systemen en data te waarborgen,
beschikbaarheid van zorgondersteunende systemen te garanderen

Sterke toegangscontrole op draadloze netwerken ondersteunt daarnaast:

naleving van NIS2 en sectorale regelgeving,
traceerbaarheid en verantwoordelijkheid,
en risicogebaseerde besluitvorming rond netwerktoegang.

Hoe beveiligen we draadloze netwerktoegang?

Wireless network access control wordt gerealiseerd door een combinatie van technische, organisatorische en beleidsmatige maatregelen.

Kernprincipes

Authenticatie vóór toegang: alleen geïdentificeerde en geautoriseerde gebruikers of toestellen krijgen toegang.
Individuele identiteit: toegang is herleidbaar tot een specifieke gebruiker of toestel.
Minimale toegang: netwerktoegang is beperkt tot wat noodzakelijk is volgens rol en context.
Segmentatie: verschillende gebruikers- en toesteltypes worden logisch gescheiden.
Centrale controle en logging: toegang kan beheerd, ingetrokken en geaudit worden.

Governance-aspecten

Toegangsregels zijn vastgelegd in beleid en standaarden.
Rollen en verantwoordelijkheden zijn duidelijk toegewezen.
Afwijkingen en uitzonderingen worden expliciet beoordeeld en gedocumenteerd.
Leveranciers- en gasttoegang vallen onder hetzelfde toegangscontrolekader.

Wat betekent dit concreet?

Toepassingsgebied

Wireless network access control is van toepassing op:

interne medewerkers,
beheerde en onbeheerde toestellen,
medische apparatuur (waar technisch mogelijk),
leveranciers- en gasttoegang.

Praktische invulling

Concreet betekent dit dat:

draadloze toegang niet anoniem of gedeeld is voor interne netwerken,
toegang gekoppeld is aan identiteit en autorisatie,
verschillende draadloze netwerken bestaan voor:
- zorgprocessen,
- administratieve processen,
- gasten en externe partijen.

Standaarden en protocollen

De bovenstaande principes worden technisch gerealiseerd via erkende beveiligingsstandaarden en protocollen voor draadloze netwerken, waaronder:

WPA2-Enterprise
WPA3-Enterprise

Deze standaarden ondersteunen sterke authenticatie, versleuteling en centrale toegangscontrole en worden ingezet volgens vastgelegde richtlijnen en risicobeoordelingen.

Wireless network access control zorgt ervoor dat alleen geautoriseerde gebruikers en toestellen veilig en traceerbaar toegang krijgen tot draadloze netwerken, en vormt een essentiële maatregel ter bescherming van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie.

”
},
{
“id”: “22675458”,
“title”: “WPA2-Enterprise”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Wireless Network Access Control / WPA2-Enterprise”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8548,
“body”: “none

Definitie

WPA staat voor Wi-Fi Protected Access.
Het is een beveiligingsstandaard die bepaalt hoe draadloze (Wi-Fi) netwerken worden beschermd tegen ongeautoriseerde toegang en afluisteren.

WPA beschrijft onder meer:

hoe gebruikers of toestellen zich aanmelden op een draadloos netwerk;
hoe communicatie wordt versleuteld;
hoe toegang tot het netwerk wordt gecontroleerd.

WPA2 is de tweede generatie van deze standaard en wordt wereldwijd gebruikt als basisbeveiliging voor professionele draadloze netwerken.

De toevoeging “Enterprise” betekent dat:

toegang niet gebeurt via één gedeeld wachtwoord,
maar via individuele authenticatie die centraal wordt beheerd door de organisatie.

WPA2-Enterprise is een beveiligingsstandaard voor draadloze netwerken die organisaties toelaat om Wi-Fi-toegang veilig, individueel en beheersbaar te organiseren.

Waarom is WPA2-Enterprise belangrijk?

Organisaties maken steeds meer gebruik van draadloze netwerken om medewerkers, toestellen en processen flexibel te ondersteunen. Om die draadloze toegang veilig te laten verlopen, is het onvoldoende om te werken met gedeelde wachtwoorden of anonieme toegang.

WPA2-Enterprise is belangrijk omdat het organisaties in staat stelt om:

draadloze netwerktoegang te koppelen aan een identiteit (persoon of toestel),
toegang centraal te beheren en te controleren,
en ongeautoriseerde toegang preventief te vermijden.

In tegenstelling tot eenvoudige Wi-Fi-beveiliging zorgt WPA2-Enterprise ervoor dat:

toegang niet gedeeld is tussen gebruikers,
verantwoordelijkheid herleidbaar is,
en netwerktoegang kan worden ingetrokken of aangepast wanneer de context wijzigt.

Dit maakt WPA2-Enterprise een essentiële bouwsteen binnen Authentication & Access Control en binnen een volwassen informatiebeveiligingsaanpak.

Hoe ondersteunt WPA2-Enterprise veilige draadloze toegang?

WPA2-Enterprise ondersteunt veilige draadloze netwerktoegang door toegang pas toe te staan na succesvolle authenticatie via een centrale controle.

Op hoofdlijnen gebeurt dit als volgt:

een gebruiker of toestel vraagt toegang tot het draadloze netwerk;
de organisatie controleert of die gebruiker of dat toestel gekend en toegestaan is;
pas daarna wordt toegang verleend.

Belangrijke kenmerken van deze aanpak zijn:

individuele toegang: elke gebruiker of elk toestel heeft een eigen identiteit;
centrale validatie: toegangsrechten worden niet lokaal, maar organisatiebreed beheerd;
beveiligde communicatie: het draadloze verkeer wordt versleuteld;
beheerbaarheid: toegang kan snel worden gewijzigd of ingetrokken.

De technische complexiteit hiervan zit “onder de motorkap”; voor de organisatie vertaalt dit zich vooral in controle, overzicht en consistentie.

Wat levert WPA2-Enterprise concreet op voor de organisatie?

Door WPA2-Enterprise in te zetten als standaard voor draadloze netwerktoegang, krijgt een organisatie:

Betere toegangscontrole
Alleen geautoriseerde gebruikers en toestellen krijgen toegang tot het netwerk.
Individuele verantwoordelijkheid en traceerbaarheid
Netwerktoegang is herleidbaar, wat belangrijk is voor opvolging en incidentonderzoek.
Minder afhankelijkheid van gedeelde geheimen
Het risico dat één gedeeld wachtwoord leidt tot brede toegang verdwijnt.
Centrale sturing en governance
Toegang kan beheerd worden vanuit bestaande identiteits- en toegangsprocessen.
Ondersteuning van compliance en audits
WPA2-Enterprise sluit aan bij gangbare beveiligingskaders en wettelijke verwachtingen rond toegangscontrole.

”
},
{
“id”: “22413315”,
“title”: “Wireless Network Access – Exceptions & Legacy Devices”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Authentication & Access Control (AA) / Guidelines for Authentication & Access Control / Wireless Network Access Control / Wireless Network Access – Exceptions & Legacy Devices”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8926,
“body”: “

Definitie

Exceptions & Legacy Devices verwijzen naar situaties waarin toestellen of systemen niet (volledig) kunnen voldoen aan de standaardbeveiliging voor draadloze netwerktoegang, bijvoorbeeld omdat ze technisch beperkt zijn of verouderde beveiligingsmechanismen gebruiken.

Dit kan gaan om:

oudere toestellen (legacy devices),
gespecialiseerde apparatuur,
of systemen waarvoor geen moderne draadloze beveiliging wordt ondersteund.

Deze pagina beschrijft hoe organisaties hier op een gecontroleerde en verantwoorde manier mee omgaan, zonder het algemene beveiligingsniveau te ondergraven.

Waarom zijn uitzonderingen en legacy devices een aandachtspunt?

In een ideale situatie voldoet elk toestel dat draadloos verbinding maakt aan de geldende beveiligingsstandaarden. In de praktijk is dat niet altijd haalbaar.

Legacy devices en uitzonderingen vormen een verhoogd risico omdat:

ze vaak beperktere of geen sterke authenticatie ondersteunen;
beveiligingsupdates niet (meer) beschikbaar zijn;
ze moeilijker te monitoren of te beheren zijn.

Tegelijk zijn sommige van deze toestellen operationeel noodzakelijk en kunnen ze niet zomaar worden vervangen.

Vanuit informatiebeveiliging is het daarom belangrijk dat:

uitzonderingen bewust en expliciet worden toegestaan,
risico’s inzichtelijk en beheerst blijven,
en afwijkingen geen precedent worden voor structurele verzwakking van de beveiliging.

Hoe gaat de organisatie om met uitzonderingen?

Uitzonderingen op standaard wireless network access control worden niet technisch ad hoc, maar organisatorisch en risicogestuurd behandeld.

Dit gebeurt door:

uitzonderingen expliciet te identificeren;
per uitzondering een bewuste afweging te maken tussen noodzaak en risico;
en compenserende maatregelen toe te passen waar mogelijk.

Belangrijke principes hierbij zijn:

tijdelijkheid: een uitzondering is geen eindtoestand;
minimale blootstelling: toegang wordt zo beperkt mogelijk gehouden;
documentatie: de uitzondering is gekend en navolgbaar;
goedkeuring: uitzonderingen worden formeel bevestigd door bevoegde rollen.

De focus ligt niet op het perfect beveiligen van het toestel zelf, maar op het beheersen van de impact.

Wat betekent dit concreet voor de organisatie?

Concreet betekent dit dat de organisatie:

vastlegt wanneer een uitzondering is toegestaan;
bijhoudt welke toestellen niet aan de standaard voldoen;
bepaalt welke compenserende maatregelen worden toegepast, zoals:
- netwerksegmentatie,
- beperkte toegangsrechten,
- verhoogde monitoring;
en periodiek beoordeelt of de uitzondering nog gerechtvaardigd is.

Elke uitzondering wordt vastgelegd met minstens:

reden van de uitzondering,
betrokken toestel of systeem,
risico-inschatting,
toegepaste maatregelen,
verantwoordelijke rol,
en (indien mogelijk) een toekomstperspectief (vervanging, uitfasering).

Zorgspecifiek760

In zorgomgevingen gaat het vaak om medische of ondersteunende apparatuur waarvoor moderne draadloze beveiligingsstandaarden niet beschikbaar zijn. In dat geval ligt de nadruk sterk op netwerkisolatie en impactbeperking.

Exceptions & legacy devices vereisen een expliciete, risicogestuurde aanpak zodat noodzakelijke afwijkingen van draadloze beveiligingsstandaarden niet leiden tot ongecontroleerde beveiligingsrisico’s.

”
},
{
“id”: “35127646”,
“title”: “Adoption Physical Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Adoption Physical Security Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 335,
“body”: “

Binnen het Information Security Management System (ISMS) adopteert de organisatie het Beleid Fysieke beveilging zoals vastgesteld binnen het Physical Security Management System.

”
},
{
“id”: “32276577”,
“title”: “Personnel Security (AT)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 85,
“body”: “

Beleid Personeelsbeveiliging

”
},
{
“id”: “81068033”,
“title”: “Personnel Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Personnel Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 90,
“body”: “

Beleid personeelsbeveiliging

”
},
{
“id”: “32309350”,
“title”: “Awareness & Training Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Awareness & Training Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 31754,
“body”: “none

Context

Ziekenhuizen zijn complexe organisaties waarin medewerkers dagelijks omgaan met gevoelige informatie, kritische systemen en zorgprocessen die rechtstreeks verbonden zijn met patiëntveiligheid. Menselijk handelen speelt daarbij een cruciale rol in informatiebeveiliging. Gebrek aan bewustzijn, onvoldoende kennis of foutief gebruik van systemen kan leiden tot informatiebeveiligingsincidenten met impact op zorgcontinuïteit, privacy en vertrouwen. Daarom is een gestructureerd beleid rond awareness en training essentieel.

Doel

Dit beleid heeft tot doel te waarborgen dat alle medewerkers beschikken over het nodige bewustzijn, de kennis en de vaardigheden om informatie op een veilige en verantwoorde manier te verwerken. Het beleid ondersteunt een gedeelde verantwoordelijkheid voor informatiebeveiliging en versterkt de weerbaarheid van de organisatie tegen cyber- en informatiebeveiligingsrisico’s.

Reikwijdte

Dit beleid is van toepassing op alle medewerkers, artsen, stagiairs, vrijwilligers en externe partijen die toegang hebben tot informatie, systemen of infrastructuur van de organisatie. Het omvat zowel algemene bewustmaking als gerichte opleiding in functie van rol, verantwoordelijkheden en risico’s.

Eigenaarschap, goedkeuring en herziening

Het beleid Awareness & Training maakt integraal deel uit van het informatiebeveiligings- en risicobeheerkader van de organisatie. Het dagelijks bestuur draagt de verantwoordelijkheid voor de implementatie en opvolging van dit beleid. Het beleid wordt formeel goedgekeurd en periodiek geëvalueerd om blijvend aan te sluiten bij veranderende risico’s, regelgeving en zorgpraktijken.

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan keurt het beleid Awareness & Training goed en ziet toe op de effectiviteit ervan. Het bestuursorgaan bewaakt dat bewustmaking en opleiding rond informatiebeveiliging structureel worden verankerd in het organisatiebeleid en dat zij bijdragen aan het beperken van strategische en operationele risico’s.

Dagelijks Bestuur

Het dagelijks bestuur is verantwoordelijk voor de operationele uitvoering van dit beleid. Het zorgt ervoor dat passende middelen, opleidingen en communicatie beschikbaar zijn en ziet toe op de implementatie binnen alle entiteiten van de organisatie.

Eerste lijn

Directies en afdelingshoofden

Directies en afdelingshoofden zorgen ervoor dat medewerkers binnen hun verantwoordelijkheidsdomein deelnemen aan verplichte awareness- en opleidingsinitiatieven. Zij stimuleren veilig gedrag, signaleren opleidingsnoden en ondersteunen de toepassing van het beleid in de dagelijkse werking.

IT-departement

Het IT-departement is verantwoordelijk voor de operationele toepassing en ondersteuning van awareness- en opleidingsinitiatieven die betrekking hebben op het veilig gebruik van informatie, systemen en technologie.

Het IT-departement:

draagt bij aan het identificeren van opleidings- en bewustmakingsnoden met betrekking tot IT- en informatiebeveiligingsrisico’s,
werkt mee aan de praktische uitvoering van awareness- en trainingsinitiatieven waar deze betrekking hebben op systemen, applicaties en digitale werkomgevingen,
signaleert tekortkomingen in kennis of gedrag die een verhoogd risico vormen voor informatiebeveiliging,
en past de aangeleerde richtlijnen en principes toe in de dagelijkse werking.

Tweede lijn

CISO

De Chief Information Security Officer (CISO) ontwikkelt en coördineert het awareness- en opleidingsprogramma rond informatiebeveiliging en stemt dit af op actuele dreigingen en risico’s.

Personeelsdienst

De personeelsdienst ondersteunt de integratie van awareness en training in onboarding, functiewijzigingen en permanente vorming.

DPO

De Data Protection Officer draagt bij aan bewustmaking rond privacy en bescherming van persoonsgegevens.

Dienst Kwaliteit en Patiëntveiligheid

De dienst Kwaliteit en Patiëntveiligheid bewaakt de samenhang tussen informatiebeveiligingsawareness en patiëntveiligheid.

Communicatiedienst

De communicatiedienst ondersteunt bij de interne communicatie en sensibiliseringscampagnes.

Legal

Legal bewaakt de juridische aspecten van awareness en opleiding en ziet toe op de samenhang tussen opleidingsinitiatieven, wettelijke verplichtingen en de afdwingbaarheid van beleidsregels en gedragsverwachtingen

Goedkeuring

Dit beleid wordt formeel goegekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minstens aangepast bij significante wijzigingen in risico’s, wetgeving of organisatiecontext.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elk eafwijkig vereist een formele goedkeuring en wordt gedocumenteerd en periodiek geëvalueerd.

Beleidsverklaring

De organisatie erkent dat informatiebeveiliging een gedeelde verantwoordelijkheid is van alle medewerkers. Awareness en training worden beschouwd als essentiële bouwstenen om veilig gedrag te bevorderen, fouten te voorkomen en de impact van informatiebeveiligingsincidenten te beperken. Dit beleid ondersteunt een cultuur waarin medewerkers zich bewust zijn van risico’s, weten hoe te handelen en zich gesteund voelen om vragen of incidenten te melden.

Beleidsvereisten

1. Structurele awareness rond informatiebeveiliging

De organisatie zorgt voor een structureel en herhaalbaar awarenessprogramma rond informatiebeveiliging. Dit programma is gericht op het verhogen van het algemene risicobewustzijn en het bevorderen van veilig gedrag in de dagelijkse zorg- en ondersteunende processen. Awareness wordt niet beschouwd als een eenmalige actie, maar als een doorlopend onderdeel van de organisatiecultuur.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat personen die onder controle van de organisatie werken passende awareness, opleiding en training ontvangen om informatiebeveiligingsdoelstellingen te ondersteunen.
ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers zich bewust zijn van het informatiebeveiligingsbeleid, hun rol daarin en de gevolgen van niet-naleving.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat awareness-activiteiten structureel en herhaalbaar moeten zijn en gericht op het bevorderen van veilig gedrag.
ISO/IEC 27002:2022, Control 5.4 – Management responsibilities
Deze control ondersteunt dat management actief bijdraagt aan het bevorderen van bewustzijn en veiligheidscultuur binnen de organis
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat organisaties structurele en doorlopende awareness-initiatieven inrichten om veilig gedrag en risicobewustzijn te bevorderen.

2. Verplichte opleiding voor alle medewerkers

Alle medewerkers volgen verplichte basisopleiding rond informatiebeveiliging. Deze opleiding behandelt minimaal de principes van veilig omgaan met informatie, het herkennen van risico’s en incidenten, en de verantwoordelijkheden van medewerkers binnen het informatiebeveiligingskader van de organisatie.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.2 – Competence
Deze clausule vereist dat personen die werkzaamheden uitvoeren onder controle van de organisatie beschikken over de nodige competenties, waaronder kennis en vaardigheden op het vlak van informatiebeveiliging.
ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers zich bewust zijn van informatiebeveiligingsvereisten, hun verantwoordelijkheden en de gevolgen van niet-naleving.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat alle medewerkers passende opleiding ontvangen om informatiebeveiligingsrisico’s te herkennen en veilig gedrag te ondersteunen.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat basisopleiding rond informatiebeveiliging verplicht moet zijn voor alle medewerkers en afgestemd moet zijn op het algemene risicoprofiel.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat alle medewerkers een verplichte basisopleiding rond informatiebeveiliging volgen en dat deze opleiding relevante risico’s, verantwoordelijkheden en gedragsverwachtingen behandelt.

3. Rolgebaseerde en risicogebaseerde training

Medewerkers met specifieke verantwoordelijkheden, verhoogde toegangsrechten of blootstelling aan hogere risico’s ontvangen aanvullende en gerichte opleiding. De inhoud en diepgang van deze opleidingen worden afgestemd op de rol, functie en risico’s van de betrokken medewerkers.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.2 – Competence
Deze clausule vereist dat competenties worden bepaald en onderhouden in functie van de rol, verantwoordelijkheden en de impact van werkzaamheden op informatiebeveiliging.
ISO/IEC 27001:2022, Clause 6.1 – Actions to address risks and opportunities
Deze clausule ondersteunt dat maatregelen, waaronder opleiding, worden afgestemd op geïdentificeerde risico’s en hun potentiële impact.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat opleiding en training worden afgestemd op specifieke verantwoordelijkheden en risicoprofielen.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat aanvullende en gespecialiseerde training noodzakelijk is voor functies met verhoogde risico’s of specifieke beveiligingsverantwoordelijkheden.
ISO/IEC 27002:2022, Control 5.4 – Management responsibilities
Deze control ondersteunt dat leidinggevenden en sleutelrollen beschikken over passende kennis en vaardigheden om hun beveiligingsverantwoordelijkheden op te nemen.
CyFun v2025,PR.AT – Awareness & Training
Dit controlgebied vereist dat awareness en opleiding risicogebaseerd worden ingericht en afgestemd op rollen, functies en verantwoordelijkheden met verhoogde impact.

4. Onboarding en functiewijzigingen

Nieuwe medewerkers krijgen bij indiensttreding gerichte opleiding rond informatiebeveiliging en privacy alvorens zij toegang krijgen tot systemen en informatie. Bij functiewijzigingen of wijziging van verantwoordelijkheden wordt nagegaan of bijkomende opleiding noodzakelijk is.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.2 – Competence
Deze clausule vereist dat de organisatie bepaalt welke competenties nodig zijn en dat personen competent zijn voordat zij werkzaamheden uitvoeren die impact hebben op informatiebeveiliging.
ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers bewust worden gemaakt van relevante beleidsregels en verantwoordelijkheden, ook bij wijziging van rol of taken.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat awareness en training tijdig en passend worden aangeboden, inclusief bij instroom of rolwijziging.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat onboarding en functiewijzigingen aanleiding geven tot gerichte training, afgestemd op de nieuwe context en risico’s.
ISO/IEC 27002:2022, Control 5.18 – Access rights
Deze control ondersteunt dat toegangsrechten worden toegekend of aangepast bij indiensttreding en functiewijziging, wat samenhang vereist met tijdige opleiding en bewustmaking.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat nieuwe medewerkers tijdig opleiding ontvangen en dat bij functiewijzigingen wordt nagegaan of bijkomende training noodzakelijk is.

5. Bewustmaking rond incidentmelding

Awareness-initiatieven besteden expliciet aandacht aan het herkennen en melden van informatiebeveiligingsincidenten. Medewerkers weten wanneer en hoe zij incidenten moeten melden en worden aangemoedigd om dit zonder drempels te doen, in lijn met het beleid Information Security Incident Management.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers zich bewust zijn van hun rol en verantwoordelijkheden, inclusief het correct handelen bij informatiebeveiligingsincidenten.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat awareness-initiatieven aandacht besteden aan het herkennen en melden van informatiebeveiligingsincidenten.
ISO/IEC 27001:2022, Annex A 5.24 – Information security incident management planning and preparation
Deze control ondersteunt dat medewerkers weten wanneer en hoe zij incidenten moeten melden als onderdeel van de voorbereiding op incidentbeheer.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat training en awareness ook gericht moeten zijn op het herkennen en correct melden van beveiligingsincidenten.
ISO/IEC 27002:2022, Control 5.24 – Information security incident management planning and preparation
Deze control ondersteunt dat meldingsprocedures bekend zijn bij betrokkenen en actief worden geoefend en gecommuniceerd.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat medewerkers worden bewustgemaakt van het herkennen en melden van informatiebeveiligingsincidenten en dat meldingsdrempels laag worden gehouden.

6. Integratie met patiëntveiligheid en zorgcontinuïteit

Awareness en training rond informatiebeveiliging worden expliciet verbonden met patiëntveiligheid en continuïteit van zorg. Medewerkers begrijpen de mogelijke impact van onveilig informatiegebruik op zorgprocessen en klinische werking.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers zich bewust zijn van de relevantie en het belang van informatiebeveiliging in relatie tot de doelstellingen van de organisatie en de gevolgen van niet-naleving.
ISO/IEC 27001:2022, Annex A 5.29 – Information security during disruption
Deze control vereist dat informatiebeveiliging ook tijdens verstoringen behouden blijft, wat het belang ondersteunt om awareness te verbinden met continuïteitsimpact.
ISO/IEC 27001:2022, Annex A 5.30 – ICT readiness for business continuity
Deze control vereist dat ICT-voorzieningen de continuïteitsdoelstellingen ondersteunen, wat onderbouwt dat awareness en training ook de continuïteitsdimensie moeten meenemen.
ISO/IEC 27002:2022, Control 5.29 – Information security during disruption
Deze control beschrijft dat beveiligingsmaatregelen niet mogen wegvallen tijdens disrupties en dat betrokkenen weten hoe te handelen in uitzonderlijke situaties.
ISO/IEC 27002:2022, Control 5.30 – ICT readiness for business continuity
Deze control beschrijft dat continuïteitsvereisten ondersteund worden door passende organisatorische en ICT-maatregelen, waarvoor bewustzijn en training noodzakelijk zijn.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat awareness en opleiding worden gekoppeld aan de impact van onveilig gedrag op kritieke processen en dienstverlening, inclusief continuïteitsaspecten.

7. Periodieke herhaling en actualisatie

Opleidingen en awareness-initiatieven worden periodiek herhaald en geactualiseerd. De inhoud wordt aangepast op basis van veranderende dreigingen, incidentervaringen, nieuwe technologieën en organisatorische wijzigingen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.2 – Competence
Deze clausule vereist dat competenties worden onderhouden en waar nodig worden bijgewerkt, wat de noodzaak onderbouwt van periodieke herhaling en actualisatie van opleiding.
ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat bewustzijn actueel blijft en aansluit bij gewijzigde omstandigheden, risico’s en beleidskeuzes.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control vereist dat awareness- en opleidingsactiviteiten periodiek worden herhaald en aangepast aan veranderingen in dreigingen, technologie en organisatiecontext.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat training en awareness regelmatig moeten worden vernieuwd om relevant en effectief te blijven.
ISO/IEC 27002:2022, Control 5.7 – Threat intelligence
Deze control ondersteunt dat wijzigingen in dreigingsbeeld aanleiding geven tot bijsturing van awareness- en opleidingsinitiatieven.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat awareness en training periodiek worden herhaald en geactualiseerd op basis van evoluerende risico’s en dreigingen.

8. Evaluatie van effectiviteit

De organisatie evalueert de effectiviteit van awareness- en opleidingsactiviteiten. Deze evaluatie ondersteunt het verbeteren van de inhoud, de aanpak en de aansluiting bij de dagelijkse praktijk.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
Deze clausule vereist dat de organisatie de effectiviteit van maatregelen evalueert, wat de noodzaak ondersteunt om awareness- en opleidingsactiviteiten te beoordelen op werking en impact.
ISO/IEC 27001:2022, Clause 10.2 – Continual improvement
Deze clausule vereist continue verbetering van het managementsysteem, wat onderbouwt dat evaluatie van awareness en training leidt tot bijsturing.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control ondersteunt dat awareness- en opleidingsactiviteiten aantoonbaar effectief moeten zijn en dat verbeteracties worden genomen wanneer dat niet zo is.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat de organisatie de effectiviteit van awareness en training moet meten en evalueren, en de aanpak moet verbeteren op basis van resultaten.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat organisaties de effectiviteit van awareness- en opleidingsinitiatieven evalueren en verbetermaatregelen doorvoeren op basis van bevindingen.

9. Ondersteuning en voorbeeldgedrag

Leidinggevenden en sleutelrollen dragen actief bij aan het uitdragen van veilig gedrag en ondersteunen medewerkers bij vragen of onzekerheden rond informatiebeveiliging.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 5.1 – Leadership and commitment
Deze clausule vereist dat leiderschap actief betrokken is bij het ondersteunen en uitdragen van informatiebeveiliging en het creëren van een passende veiligheidscultuur.
ISO/IEC 27001:2022, Clause 7.3 – Awareness
Deze clausule vereist dat medewerkers zich bewust zijn van hun rol en verantwoordelijkheden en dat dit bewustzijn wordt versterkt door voorbeeldgedrag van leidinggevenden en sleutelrollen.
ISO/IEC 27002:2022, Control 5.4 – Management responsibilities
Deze control beschrijft dat management voorbeeldgedrag moet tonen en actief moet bijdragen aan het bevorderen van veilig gedrag en naleving van beleidsregels.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control ondersteunt dat awareness-initiatieven effectiever zijn wanneer leidinggevenden en sleutelrollen actief betrokken zijn en ondersteuning bieden.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat leidinggevenden en sleutelrollen actief bijdragen aan het uitdragen van veilig gedrag en het ondersteunen van medewerkers bij informatiebeveiliging.

10. Documentatie en aantoonbaarheid

De organisatie zorgt ervoor dat deelname aan awareness- en opleidingsactiviteiten aantoonbaar is. Documentatie ondersteunt interne opvolging, rapportering en externe verantwoording.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022, Clause 7.5 – Documented information
Deze clausule vereist dat gedocumenteerde informatie wordt beheerd om de werking van het managementsysteem te ondersteunen en bewijs van uitvoering en naleving te leveren.
ISO/IEC 27001:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
Deze clausule ondersteunt dat evaluaties en opvolging gebaseerd zijn op aantoonbare gegevens en geregistreerde resultaten.
ISO/IEC 27001:2022, Annex A 6.3 – Information security awareness, education and training
Deze control ondersteunt dat awareness- en opleidingsactiviteiten aantoonbaar moeten zijn, inclusief bewijs van deelname waar relevant.
ISO/IEC 27002:2022, Control 6.3 – Information security awareness, education and training
Deze control beschrijft dat opleidings- en awarenessactiviteiten moeten worden gedocumenteerd en dat deelname en resultaten kunnen worden opgevolgd.
ISO/IEC 27002:2022, Control 5.33 – Protection of records
Deze control ondersteunt dat registraties en bewijsstukken beschermd en betrouwbaar moeten worden beheerd.
CyFun v2025, PR.AT – Awareness & Training
Dit controlgebied vereist dat uitvoering en deelname aan awareness- en opleidingsactiviteiten aantoonbaar en controleerbaar worden vastgelegd.

”
},
{
“id”: “32702523”,
“title”: “Acceptable Use Policy (AUP)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Acceptable Use Policy (AUP)”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 98,
“body”: “

Beleid Acceptabel Gebruik van IT-middelen

”
},
{
“id”: “33980427”,
“title”: “Bring Your On Device (BYOD Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Bring Your On Device (BYOD Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 98,
“body”: “

Beleid Gebruik van Privétoestellen

”
},
{
“id”: “36372691”,
“title”: “Screening Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Screening Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 32807,
“body”: “

Beleid screening

none

Context

Binnen een zorgorganisatie hebben personen vaak toegang tot gevoelige informatie, kritieke systemen en essentiële zorgprocessen. Onvoldoende betrouwbaarheid of geschiktheid van personen kan rechtstreeks leiden tot risico’s voor informatiebeveiliging, patiëntveiligheid, zorgkwaliteit en de continuïteit van zorg.

Tegelijkertijd is screening van personen een juridisch en ethisch gevoelig onderwerp, dat rechtstreeks raakt aan fundamentele rechten zoals privacy, gegevensbescherming en gelijke behandeling. Screeningmaatregelen mogen daarom uitsluitend worden toegepast binnen de grenzen van toepasselijke wet- en regelgeving en met respect voor de rechten en waardigheid van betrokken personen.

Dit beleid kadert screening expliciet als een risicogebaseerde en proportionele maatregel binnen het Information Security Management System (ISMS). De aard en diepgang van screening worden bepaald op basis van:

de rol en verantwoordelijkheden van de betrokkene;
het niveau van toegang tot informatie, systemen en zorgprocessen;
de classificatie en gevoeligheid van de betrokken informatie.

Screening wordt niet beschouwd als een standaard- of generieke maatregel, maar als een doelgerichte beheersmaatregel die enkel wordt toegepast wanneer dit aantoonbaar gerechtvaardigd is vanuit informatierisico’s en zorgcontext.

Wetgeving en proportionaliteit760

Bij de uitvoering van screeningmaatregelen respecteert de organisatie de volgende Europese en Belgische wet- en regelgeving:

Europese regelgeving

Verordening (EU) 2016/679 – Algemene Verordening Gegevensbescherming (AVG / GDPR)

Belgische regelgeving

Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Belgische arbeidswetgeving, met inbegrip van:
- bescherming van het privéleven in arbeidsrelaties
- beginselen van relevantie en proportionaliteit
- gelijkebehandelings- en non-discriminatieverplichtingen
Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen
Regelgeving inzake uittreksels uit het strafregister
Belgische antidiscriminatiewetgeving
Zorgspecifieke regelgeving inzake patiëntveiligheid en vertrouwelijkheid van gezondheidsgegevens

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en beleidsvereisten voor screening van personen, met als doel:

informatierisico’s gerelateerd aan personen te beheersen;
ongeautoriseerde of ongewenste toegang tot informatie, systemen en zorgprocessen te voorkomen;
patiëntveiligheid en zorgkwaliteit te ondersteunen;
screening op een rechtmatige, proportionele en transparante wijze toe te passen.

Reikwijdte

Dit beleid is van toepassing op:

alle medewerkers;
tijdelijke medewerkers, uitzendkrachten en stagiairs;
externe dienstverleners, consultants en andere derden;
alle rollen met (potentiële) toegang tot:
- informatie;
- informatiesystemen;
- zorgprocessen;
- locaties en infrastructuur.

Dit beleid geldt gedurende de volledige levenscyclus van betrokkenheid van personen bij de organisatie.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan:

keurt het Beleid Screening formeel goed;
bepaalt de strategische uitgangspunten en risicobereidheid met betrekking tot personeelsbeveiliging;
ziet toe op de naleving en effectiviteit van het beleid;
ontvangt periodieke rapportering over significante risico’s en tekortkomingen.

Het Bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie en operationalisering van dit beleid;
zorgt ervoor dat het beleid wordt vertaald naar richtlijnen, procedures en instructies;
wijst verantwoordelijkheden toe en voorziet voldoende middelen;
bewaakt de samenhang tussen screening en andere beveiligingsmaatregelen;
rapporteert aan het Bestuursorgaan over status, risico’s en verbeteracties.

Eerste lijn

Directies & afdelingshoofden

De eerste lijn is verantwoordelijk voor de operationele toepassing van dit beleid binnen het eigen verantwoordelijkheidsdomein.

Concreet betekent dit dat directies en afdelingshoofden:

het risiconiveau van functies en rollen bepalen;
ervoor zorgen dat screening proportioneel wordt toegepast vóór toewijzing van verantwoordelijkheden;
functiewijzigingen en relevante gebeurtenissen tijdig signaleren;
toezien op naleving binnen hun teams.

IT-departement

Het IT-departement is verantwoordelijk voor het toepassen van screeningvereisten bij functies, rollen en toegangsniveaus die een verhoogd risico vormen voor informatiebeveiliging en technologiegebruik.

Het IT-departement:

identificeert IT-functies, technische rollen en toegangsrechten waarvoor verhoogde screening vereist is,
signaleert wijzigingen in systemen, technologie of toegangsmodellen die impact hebben op het vereiste screeningsniveau,
en werkt samen met de personeelsdienst (HR) en de CISO bij de uitvoering en opvolging van screeningmaatregelen voor IT-gerelateerde functies.

Tweede lijn

De tweede lijn adviseert, bewaakt en ondersteunt de organisatie bij de toepassing van dit beleid en ziet toe op de samenhang, proportionaliteit en kwaliteit van screeningmaatregelen binnen het bredere governance- en risicokader.

CRO – Chief Risk Officer

De Chief Risk Officer bewaakt de samenhang tussen screeningmaatregelen en het organisatiebrede enterprise risk management. De CRO ziet erop toe dat screening proportioneel wordt toegepast in functie van risico’s en risicobereidheid en ondersteunt besluitvorming over escalatie bij verhoogde of uitzonderlijke risico’s.

CISO – Chief Information Security Officer

De Chief Information Security Officer is inhoudelijk eigenaar van dit beleid en bewaakt de aansluiting van screeningmaatregelen met het Information Security Management System. De CISO ziet erop toe dat screening bijdraagt aan het beheersen van informatiebeveiligingsrisico’s en adviseert over risicogebaseerde screeningvereisten voor functies, rollen en toegangsrechten.

DPO – Data Protection Officer

De Data Protection Officer ziet toe op de naleving van privacy- en gegevensbeschermingsvereisten bij screening. De DPO bewaakt de proportionaliteit van screeningmaatregelen, adviseert over de verwerking van persoonsgegevens en ziet toe op een correcte omgang met screeningsgegevens.

Personeelsdienst

De personeelsdienst bewaakt de correcte toepassing van screening binnen het personeelsbeleid en ziet toe op de samenhang tussen screening, functie- en rolwijzigingen en personeelsprocessen. De personeelsdienst zorgt ervoor dat screeningsgegevens vertrouwelijk, zorgvuldig en in overeenstemming met vastgestelde procedures worden beheerd en werkt daarbij samen met relevante beveiligings- en managementfuncties.

Legal

Legal bewaakt de juridische en arbeidsrechtelijke aspecten van screening en ziet toe op de rechtsgeldigheid, proportionaliteit en correcte toepassing van screeningmaatregelen. Legal ondersteunt de interpretatie van toepasselijke regelgeving, adviseert over de toelaatbaarheid en grenzen van screening en bewaakt de afdwingbaarheid van afspraken met betrekking tot screening binnen arbeidsrelaties en samenwerkingen met externe partijen.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minstens aangepast bij significante wijzigingen in:

risico’s;
wet- en regelgeving;
organisatiecontext of zorgactiviteiten.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking:

vereist een gedocumenteerde risicoafweging;
wordt formeel goedgekeurd door het bevoegde management;
wordt periodiek geëvalueerd.

Beleidsverklaring

De organisatie verbindt zich ertoe om:

screening van personen uitsluitend toe te passen wanneer dit gerechtvaardigd is;
screening risicogebaseerd en proportioneel in te richten;
screening uit te voeren met respect voor privacy, wetgeving en ethische principes;
screening te integreren als preventieve maatregel binnen het ISMS.

Screening wordt beschouwd als een essentiële maatregel ter bescherming van informatieveiligheid, patiëntveiligheid en zorgkwaliteit, zonder afbreuk te doen aan de rechten van betrokken personen.

Beleidsvereisten

De organisatie stelt de volgende beleidsvereisten vast voor screening van personen.
Deze vereisten vormen het normerende kader waarbinnen onderliggende richtlijnen, procedures en instructies worden uitgewerkt.

Screening (algemeen)

De organisatie voert screening van personen uit:

op een risicogebaseerde en proportionele wijze;
afgestemd op rol, functie en verantwoordelijkheden;
rekening houdend met het niveau van toegang tot informatie, systemen en zorgprocessen.

Juridische en regelgevende onderbouwing760

Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR)
De AVG vereist dat de verwerking van persoonsgegevens, waaronder gegevens die worden gebruikt voor screening, rechtmatig, proportioneel en doelgebonden gebeurt. Dit ondersteunt een risicogebaseerde en proportionele aanpak, afgestemd op rol, functie en verantwoordelijkheden.
AVG/GDPR, beginselen van minimale gegevensverwerking en doelbinding
Deze beginselen vereisen dat enkel persoonsgegevens worden verwerkt die noodzakelijk zijn voor het beoogde doel, wat onderbouwt dat screening wordt afgestemd op het niveau van toegang tot informatie, systemen en processen.
Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Deze wet vult de AVG aan op Belgisch niveau en bevestigt de verplichting tot proportionaliteit, transparantie en zorgvuldigheid bij screeningactiviteiten.
Antidiscriminatiewetgeving (EU en België)
Europese en Belgische regelgeving inzake gelijke behandeling en non-discriminatie vereist dat screening objectief, functiegerelateerd en niet-discriminerend wordt toegepast, wat de noodzaak van een risicogebaseerde en proportionele benadering ondersteunt.

Screening vóór indiensttreding of toewijzing

Waar wettelijk toegestaan, wordt screening uitgevoerd vóór:

indiensttreding;
toewijzing aan een rol met verhoogd risico;
toekenning van toegang tot gevoelige of kritieke informatie en systemen.

De aard en diepgang van screening worden vastgelegd in onderliggende procedures.

Juridische en regelgevende onderbouwing760

Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR)
De AVG vereist dat persoonsgegevens alleen worden verwerkt wanneer daarvoor een geldige rechtsgrond bestaat en dat de verwerking noodzakelijk is voor een welbepaald doel. Dit ondersteunt dat screening vóór indiensttreding of toewijzing enkel plaatsvindt wanneer dit wettelijk toegestaan en functioneel noodzakelijk is.
AVG/GDPR, beginsel van proportionaliteit en dataminimalisatie
Deze beginselen vereisen dat de aard en diepgang van screening in verhouding staan tot het beoogde doel en het risiconiveau van de functie of toegang, wat onderbouwt dat screening vooraf duidelijk wordt afgebakend in procedures.
Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Deze wet bevestigt op Belgisch niveau dat screening vóór indiensttreding of toewijzing enkel mag plaatsvinden binnen de grenzen van noodzakelijkheid, proportionaliteit en transparantie.
Belgisch arbeidsrecht en regelgeving inzake aanwerving
Het arbeidsrecht vereist dat informatie die wordt verzameld vóór indiensttreding relevant is voor de functie en dat onrechtmatige of buitensporige screeningpraktijken worden vermeden.
Europese en Belgische antidiscriminatiewetgeving
Deze regelgeving vereist dat screening vóór indiensttreding of toewijzing objectief, functiegebonden en niet-discriminerend wordt toegepast, wat onderbouwt dat impliciete of algemene screening zonder duidelijke noodzaak niet is toegestaan.

Wettelijk en ethisch kader

Screening wordt uitgevoerd:

conform toepasselijke Europese en Belgische wet- en regelgeving;
transparant en niet-discriminerend;
met passende waarborgen voor vertrouwelijkheid en gegevensbescherming.

Screeningmaatregelen die niet wettelijk toegestaan of niet proportioneel zijn, worden niet toegepast.

Juridische en regelgevende onderbouwing760

Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR)
De AVG vereist dat verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant gebeurt. Screening mag enkel plaatsvinden op basis van een geldige rechtsgrond en binnen duidelijk omschreven doeleinden, met respect voor proportionaliteit, dataminimalisatie en vertrouwelijkheid.
AVG/GDPR, beginselen van rechtmatigheid, proportionaliteit en transparantie
Deze beginselen vereisen dat betrokkenen vooraf correct worden geïnformeerd over screening, dat enkel noodzakelijke gegevens worden verwerkt en dat buitensporige of niet-relevante screening wordt vermeden.
Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Deze wet vult de AVG aan op Belgisch niveau en bevestigt de verplichting om passende organisatorische en technische maatregelen te nemen ter bescherming van screeningsgegevens en de rechten van betrokkenen te waarborgen.
Europees en Belgisch antidiscriminatierecht
Europese richtlijnen en Belgische wetgeving inzake gelijke behandeling en non-discriminatie vereisen dat screening objectief, functiegebonden en niet-discriminerend wordt toegepast. Screening op basis van beschermde kenmerken of zonder aantoonbare functiegerelateerde noodzaak is niet toegestaan.
Belgisch arbeidsrecht en beginselen van goed werkgeverschap
Het arbeidsrecht vereist dat screeningmaatregelen in een arbeidscontext proportioneel zijn, vooraf kenbaar worden gemaakt en een aantoonbaar verband hebben met de functie of verantwoordelijkheden. Ethiek en zorgvuldigheid vormen hierbij een essentieel beoordelingskader.
Beginselen van behoorlijk bestuur en professionele ethiek
Deze beginselen ondersteunen dat organisaties bij screening verder kijken dan louter wettelijke toelaatbaarheid en expliciet rekening houden met proportionaliteit, menswaardigheid, vertrouwelijkheid en maatschappelijke verantwoordelijkheid.

Periodieke en gebeurtenisgedreven herbeoordeling

De organisatie bepaalt of hernieuwde screening noodzakelijk is:

bij functiewijzigingen;
bij wijziging van verantwoordelijkheden of toegangsrechten;
naar aanleiding van relevante incidenten of signalen.

Juridische en regelgevende onderbouwing760

Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR)
De AVG vereist dat persoonsgegevens actueel en juist worden gehouden en dat verwerkingen niet langer plaatsvinden dan noodzakelijk. Dit ondersteunt periodieke en gebeurtenisgedreven herbeoordeling van screening wanneer functies, verantwoordelijkheden of toegangsrechten wijzigen.
AVG/GDPR, beginsel van opslagbeperking en doelbinding
Deze beginselen vereisen dat persoonsgegevens enkel worden bewaard en gebruikt zolang dit noodzakelijk is voor het beoogde doel, wat onderbouwt dat screening niet statisch is maar herzien wordt bij relevante wijzigingen.
Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Deze wet bevestigt dat organisaties periodiek moeten nagaan of persoonsgegevens nog rechtmatig en proportioneel worden verwerkt, inclusief gegevens die voortkomen uit screening.
Belgisch arbeidsrecht en beginselen van proportionaliteit
Het arbeidsrecht vereist dat maatregelen die impact hebben op werknemers, zoals screening, aangepast blijven aan de actuele functie-inhoud en verantwoordelijkheden, en niet verder reiken dan noodzakelijk.
Beginselen van behoorlijk bestuur en zorgvuldigheid
Deze beginselen ondersteunen dat organisaties alert blijven voor signalen of gebeurtenissen die aanleiding geven tot herbeoordeling van risico’s en bijhorende maatregelen, waaronder screening.

Relatie met risicomanagement

Risico’s die voortvloeien uit onvoldoende of ontoereikende screening worden beheerd als informatierisico’s binnen het ISMS, conform de ISO/IEC 27005-risicomanagementmethodiek.

Relevante risico’s kunnen, conform vastgestelde escalatiecriteria, bijdragen aan het organisatiebrede risicobeeld binnen ERM.

Juridische en regelgevende onderbouwing760

Algemene Verordening Gegevensbescherming (EU) 2016/679 (AVG/GDPR)
De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om risico’s voor de rechten en vrijheden van betrokkenen te beheersen. Dit ondersteunt het opnemen van risico’s verbonden aan screening binnen een gestructureerd risicobeheer.
AVG/GDPR, beginsel van accountability
Dit beginsel vereist dat organisaties kunnen aantonen dat zij risico’s identificeren, beoordelen en beheersen in relatie tot de verwerking van persoonsgegevens, waaronder risico’s voortvloeiend uit onvoldoende of ontoereikende screening.
Belgische wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens
Deze wet bevestigt dat organisaties verantwoordelijk zijn voor het inrichten van een passend kader voor risicobeheer bij persoonsgegevensverwerking, inclusief risico’s verbonden aan personeels- en functiescreening.
Europees en Belgisch arbeidsrecht
Arbeidsrechtelijke beginselen ondersteunen dat risico’s verbonden aan personeelsinzet, betrouwbaarheid en toegang tot kritieke middelen op een zorgvuldige en proportionele wijze worden beheerd binnen het bredere risicokader van de organisatie.
Beginselen van goed bestuur en risicobeheersing
Deze beginselen onderbouwen dat risico’s die voortvloeien uit screening niet losstaand worden behandeld, maar geïntegreerd worden in het organisatiebrede risicomanagement en, waar relevant, worden geëscaleerd naar het strategisch risiconiveau.

Definities en termen

Screening
Personeelsbeveiliging
Informatierisico
Informatiebeveiliging
Persoonsgegevens
Gezondheidsgegevens
Information Security Management System (ISMS)
Rol
Functie
Toegangsrechten

Gerelateerde documenten

Beleid Informatiebeveiliging
Beleid Personeelsbeveiliging
Richtlijnen en procedures screening

”
},
{
“id”: “63176739”,
“title”: “Role descriptions”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Personnel Security (AT) / Role descriptions”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 106,
“body”: “

Under construction

”
},
{
“id”: “37158919”,
“title”: “Data Security (DS)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Data Security (DS)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “33325067”,
“title”: “Information & Data Protection Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Data Security (DS) / Information & Data Protection Policy”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 151,
“body”: “

Beleid Informatie- en Gegevensbescherming

”
},
{
“id”: “34242564”,
“title”: “Data Retention & Disposal Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Data Security (DS) / Information & Data Protection Policy / Data Retention & Disposal Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 101,
“body”: “

Beleid Gegevensbewaring & – Vernietiging

”
},
{
“id”: “32833557”,
“title”: “Cryptography Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Data Security (DS) / Information & Data Protection Policy / Cryptography Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 76,
“body”: “

Beleid Cryptografie

”
},
{
“id”: “42139649”,
“title”: “Data back-up Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Data Security (DS) / Information & Data Protection Policy / Data back-up Policy”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “36372709”,
“title”: “Platform Security (PS)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “37158926”,
“title”: “Secure Configuration Management”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Secure Configuration Management”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 70,
“body”: “

Beleid voor veilig configuratiebeheer

”
},
{
“id”: “36634839”,
“title”: “Secure Development Lifecycle (SDLC) Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Secure Development Lifecycle (SDLC) Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “35127597”,
“title”: “Vulnerability & Patch Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Vulnerability & Patch Management Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 55,
“body”: “

Beleid Patchmanagement

”
},
{
“id”: “36405512”,
“title”: “Malware Protection Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Malware Protection Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 58,
“body”: “

Beleid malwarebescherming

”
},
{
“id”: “35389846”,
“title”: “Network Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Network Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 58,
“body”: “

Beleid Netwerkbeveiliging

”
},
{
“id”: “36372743”,
“title”: “Communications Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Communications Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 60,
“body”: “

Beleid Commuicatiebeveiliging

”
},
{
“id”: “35127604”,
“title”: “Cloud Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Cloud Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 56,
“body”: “

Beleid Cloudbeveiliging

”
},
{
“id”: “37093455”,
“title”: “Mobile Device Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / Mobile Device Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 81,
“body”: “

Beleid voor de beveiliging van mobiele apparaten

”
},
{
“id”: “36634816”,
“title”: “AI Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Platform Security (PS) / AI Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 51,
“body”: “

Beleid AI security

”
},
{
“id”: “36405498”,
“title”: “Infrastructure Resilience (IR)”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Infrastructure Resilience (IR)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “37093462”,
“title”: “Infrastructure Security Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / PROTECT / Infrastructure Resilience (IR) / Infrastructure Security Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “31948822”,
“title”: “DETECT”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “33521667”,
“title”: “Logging & Monitoring Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Logging & Monitoring Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 23618,
“body”: “

Beleid Logging & Monitoring

none

Context

Ziekenhuizen opereren in een hoogcomplexe, sterk gedigitaliseerde en missie-kritische omgeving, waarin IT- en OT-systemen rechtstreeks bijdragen aan patiëntveiligheid, kwaliteit van zorg en continuïteit van kritieke zorgprocessen. Informatiesystemen ondersteunen essentiële functies zoals elektronische patiëntendossiers, medische beeldvorming, laboratoriumsystemen, medische toestellen, planningssystemen en communicatieplatformen.

Deze omgevingen worden gekenmerkt door:

een grote heterogeniteit aan systemen, waaronder moderne cloud-diensten, on-premise platformen en verouderde (legacy) zorgsystemen;
een sterke afhankelijkheid van externe leveranciers en integraties (medische toestellen, SaaS-oplossingen, zorgnetwerken);
24/7 beschikbaarheidsvereisten, waarbij verstoringen directe impact kunnen hebben op zorgverlening;
een verhoogde dreiging van cyberincidenten, waaronder ransomware, datalekken en misbruik van accounts, specifiek gericht op zorginstellingen.

In deze context is logging en monitoring geen louter technische maatregel, maar een essentieel organisatorisch controlemiddel om:

afwijkingen, fouten en beveiligingsincidenten tijdig te detecteren;
de continuïteit van zorgprocessen te bewaken;
incidenten snel te analyseren en beheerst af te handelen;
te voldoen aan wettelijke en regelgevende verplichtingen, waaronder NIS2, GDPR en sectorale zorgvereisten.

Gezien de schaal, complexiteit en kriticiteit van ziekenhuisomgevingen vereist logging en monitoring een risicogebaseerde, proportionele en betrouwbare aanpak, afgestemd op de impact van systemen en processen op patiëntveiligheid en zorgcontinuïteit.

Doel

Dit beleid heeft tot doel te waarborgen dat de organisatie tijdig, betrouwbaar en proportioneel inzicht heeft in beveiligingsrelevante gebeurtenissen binnen haar informatie- en IT-omgeving.

Logging en monitoring vormen een kritische pijler voor:

het detecteren van beveiligingsincidenten en anomalieën;
het ondersteunen van incidentrespons en forensisch onderzoek;
het bewaken van de continuïteit van kritieke zorgprocessen;
het aantoonbaar invullen van de zorgplicht (duty of care) van de organisatie.

In een zorgcontext is snelle detectie essentieel om patiëntveiligheid, beschikbaarheid van zorgsystemen en vertrouwen te beschermen.

Reikwijdte

Dit beleid is van toepassing op:

alle informatiesystemen, applicaties, netwerken en infrastructuurcomponenten;
eindpunten (servers, werkstations, mobiele toestellen);
cloud- en hybride omgevingen;
beveiligingsoplossingen (zoals EDR, SIEM, firewalls);
alle medewerkers, externe gebruikers en dienstverleners met toegang tot systemen.

Zowel interne als externe gebeurtenissen die impact kunnen hebben op informatiebeveiliging vallen binnen de scope.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het Bestuursorgaan:

keurt het Beleid Logging & Monitoring formeel goed;
bepaalt de strategische uitgangspunten en risicobereidheid met betrekking tot detectie, monitoring en toezicht;
ziet toe op de doeltreffendheid en proportionaliteit van logging- en monitoringmaatregelen;
ontvangt periodieke rapportering over beveiligingsincidenten, trends en structurele risico’s.

Het Bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het Dagelijks Bestuur:

is verantwoordelijk voor de implementatie en operationalisering van dit beleid;
zorgt voor vertaling van het beleid naar processen, procedures en technische maatregelen;
wijst verantwoordelijkheden toe en voorziet voldoende middelen;
bewaakt de samenhang tussen logging & monitoring, incidentmanagement en continuïteitsbeheer;
rapporteert aan het Bestuursorgaan over status, risico’s en verbeteracties.

Eerste lijn

De eerste lijn is verantwoordelijk voor het eigenaarschap en de operationele beheersing van risico’s en voor de toepassing van dit beleid in de dagelijkse werking.

Directies & afdelingshoofden

Directies en afdelingshoofden:

passen dit beleid toe binnen hun verantwoordelijkheidsdomein;
bewaken dat logging en monitoring correct worden toegepast op processen en systemen onder hun beheer;
signaleren afwijkingen, tekortkomingen of risico’s;
werken mee aan evaluaties, incidentanalyses en verbetermaatregelen.

IT-departement

Het IT-departement is verantwoordelijk voor de operationele inrichting, werking en opvolging van logging- en monitoringmaatregelen binnen IT- en OT-omgevingen.

Het IT-departement:

implementeert logging en monitoring conform vastgestelde beleidsvereisten;
zorgt voor correcte configuratie, werking en beschikbaarheid van logging-, monitoring- en detectietools;
bewaakt de kwaliteit, volledigheid en tijdigheid van loggegevens;
detecteert, analyseert en escaleert afwijkingen en beveiligingsincidenten;
ondersteunt incidentrespons, forensisch onderzoek en herstelactiviteiten;
werkt samen met tweede-lijnfuncties bij opvolging, rapportering en verbetering.

Tweede lijn

De tweede lijn is verantwoordelijk voor het vaststellen van kaders, het adviseren en het bewaken van samenhang en consistentie in de toepassing van dit beleid.

CRO – Chief Risk Officer

De CRO bewaakt de aansluiting van logging en monitoring op het organisatiebrede risicomanagement en ziet toe op consistente risicobeoordeling, prioritering en rapportering.

CISO – Chief Information Security Officer

De CISO is inhoudelijk eigenaar van dit beleid en:

vertaalt beleidsvereisten naar richtlijnen en standaarden;
bewaakt de samenhang met het ISMS;
evalueert effectiviteit en maturiteit van logging- en monitoringmaatregelen;
rapporteert over risico’s, trends en verbeterpunten.

DPO – Data Protection Officer

De DPO ziet toe op de rechtmatige verwerking van persoonsgegevens in loggegevens en bewaakt proportionaliteit, transparantie en gegevensbescherming.

Kwaliteit en Patiëntveiligheid

Deze functie bewaakt de impact van logging en monitoring op patiëntveiligheid en zorgkwaliteit en signaleert risico’s voor kritieke zorgprocessen.

Personeelsdienst (HR)

HR ondersteunt correcte toepassing van logging en monitoring in relatie tot rollen, verantwoordelijkheden en personeelsprocessen.

Preventiedienst (welzijn & veiligheid op het werk)

De preventiedienst bewaakt de samenhang tussen monitoring, welzijn en veiligheid van medewerkers.

Communicatiedienst

De communicatiedienst ondersteunt interne en externe communicatie bij incidenten of relevante meldingen.

Facility / Infrastructure / Safety

Deze functie bewaakt de afstemming tussen fysieke beveiliging, gebouwbeheer en technische monitoring waar relevant.

Centrale Aankoop

Centrale Aankoop borgt dat logging- en monitoringvereisten worden meegenomen in contracten en afspraken met leveranciers en dienstverleners.

Legal

Legal bewaakt de juridische aspecten van logging en monitoring, waaronder rechtmatigheid, proportionaliteit, bewijswaarde en afdwingbaarheid van maatregelen.

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van dit beleid en de bijhorende beheersmaatregelen, onder meer via interne audit of gelijkwaardige assurance-activiteiten.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minimaal aangepast bij:

significante wijzigingen in risico’s of dreigingslandschap;
relevante incidenten of auditbevindingen;
belangrijke wijzigingen in systemen, processen of organisatiecontext;
wijzigingen in wet- of regelgeving.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking vereist formele goedkeuring, documentatie en periodieke evaluatie.

Beleidsverklaring

De organisatie verbindt zich ertoe om:

relevante beveiligingsgebeurtenissen systematisch te loggen;
deze logs actief te monitoren en te analyseren;
afwijkingen, anomalieën en mogelijke beveiligingsincidenten tijdig te detecteren;
logging en monitoring integraal te verankeren in incidentrespons, risicobeheer en continue verbetering.

Logging en monitoring worden risicogestuurd, proportioneel en afgestemd op de kriticiteit van systemen en processen ingericht.

Beleidsvereisten

Systematisch logging van beveiligingsrelevante gebeurtenissen

De organisatie legt beveiligingsrelevante gebeurtenissen systematisch vast om inzicht te krijgen in het gebruik van systemen, toegang tot informatie en mogelijke afwijkingen of misbruik. Logging vormt de basis om achteraf te kunnen reconstrueren wat er gebeurd is, wanneer, en door wie, en is essentieel voor detectie, analyse en verantwoording.

Logging wordt afgestemd op het risicoprofiel van systemen en processen, met bijzondere aandacht voor kritische zorgprocessen en gevoelige gegevens.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 – Clause 8.1 (Operational planning and control)
Logging ondersteunt de operationele beheersing van beveiligingsmaatregelen door continu inzicht te geven in hun werking.
ISO/IEC 27002:2022 – Control 8.15 (Logging)
Vereist het vastleggen van relevante gebeurtenissen als fundamentele beveiligingsmaatregel.
CyFun DE.CM-01 – Beveiligingsactiviteiten worden continu gemonitord.

Actieve monitoring en detectie van afwijkingen en verdachte gebeurtenissen

De organisatie monitort loggegevens actief om anomalieën, verdachte patronen en potentiële beveiligingsincidenten tijdig te detecteren. Monitoring is niet louter passief verzamelen, maar gericht op vroegtijdige waarschuwing, zodat schade aan zorgprocessen, systemen en patiëntveiligheid kan worden beperkt.

Monitoring wordt proportioneel ingericht, rekening houdend met schaal, complexiteit en kriticiteit van de omgeving.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 – Clause 9.1 (Monitoring, measurement, analysis and evaluation)
Monitoring van loggegevens ondersteunt het evalueren van de effectiviteit van beveiligingsmaatregelen.
ISO/IEC 27002:2022 – Control 8.16 (Monitoring activities)
Vereist actieve opvolging van systemen om ongeautoriseerde of abnormale activiteiten te detecteren.
CyFun DE.AE-01 – Anomalieën en beveiligingsgebeurtenissen worden geanalyseerd

Bescherming, integriteit en vertrouwelijkheid van loggegevens

Loggegevens worden beschouwd als gevoelige informatie en adequaat beschermd tegen ongeautoriseerde toegang, wijziging of vernietiging. De integriteit van logs is cruciaal om ze betrouwbaar te kunnen gebruiken voor incidentanalyse, forensisch onderzoek en audits.

Toegang tot loggegevens is beperkt tot bevoegde rollen en functies.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 – Clause 6.1.2 (Information security risk assessment)
Loggegevens maken deel uit van informatie-assets en worden meegenomen in risicobeoordelingen.
ISO/IEC 27002:2022 – Control 5.12 (Classification of information)
Loggegevens worden beschermd in lijn met hun gevoeligheid.
ISO/IEC 27002:2022 – Control 8.15 (Logging)
Vereist bescherming van logdata tegen manipulatie.

Ondersteuning van incidentdetectie, -analyse en respons

Logging en monitoring ondersteunen de detectie en analyse van informatiebeveiligingsincidenten en vormen een essentieel hulpmiddel voor het begrijpen van oorzaak, impact en verloop van incidenten. Dit beleid borgt dat loggegevens beschikbaar zijn voor incidentrespons en continue verbetering van beveiligingsmaatregelen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 – Clause 8.1 (Operational control)
Ondersteunt beheersing van incidentgerelateerde processen.
ISO/IEC 27002:2022 – Control 5.25 (Information security incident management)
Logging en monitoring zijn noodzakelijk voor effectieve incidentafhandeling.
CyFun DE.AE-03 – Information is correlated from multiple sources.

Gebruik van logging en monitoring voor audit, toezicht en continue verbetering

Loggegevens worden gebruikt als objectief bewijsmateriaal voor interne audits, toezicht en evaluatie van het informatiebeveiligingsbeleid. Ze ondersteunen transparantie, verantwoording en continue verbetering van het ISMS.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001:2022 – Clause 9.2 (Internal audit)
Logging levert audittrail en bewijs van naleving.
ISO/IEC 27001:2022 – Clause 9.1 (Evaluation)
Analyse van loggegevens ondersteunt managementevaluatie.
CyFun DE.CM-02 – Monitoring ondersteunt continue bijsturing van beveiligingsmaatregelen.

”
},
{
“id”: “33325060”,
“title”: “Security Event Detection & Analysis Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Security Event Detection & Analysis Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 106,
“body”: “

Beleid Detectie & Analyse van Security Events

”
},
{
“id”: “23986179”,
“title”: “Guidelines Monitoring, Logging & Control”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Guidelines Monitoring, Logging & Control”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 12569,
“body”: “none

Definitie

Monitoring, Logging & Control beschrijft hoe toegang tot systemen, applicaties en informatie actief wordt opgevolgd, vastgelegd en gecontroleerd, met als doel afwijkingen, misbruik en fouten tijdig te detecteren en bij te sturen.

Dit domein vormt het toezichtmechanisme binnen Authentication & Access Control en zorgt ervoor dat toegangsbeheer niet alleen correct is ingericht, maar ook blijvend wordt gecontroleerd en geëvalueerd.

Waarom monitoring, logging & control?

Toegangsbeheer zonder toezicht is blind vertrouwen.

Zonder monitoring en logging:

blijft misbruik onopgemerkt
zijn incidenten moeilijk te reconstrueren
ontbreekt aantoonbaarheid richting audit en toezichthouders
kan geen gerichte verbetering plaatsvinden

Monitoring, Logging & Control is nodig om:

zicht te krijgen op effectief gebruik van toegang
afwijkingen tijdig te detecteren
verantwoordelijkheid en verantwoording mogelijk te maken
incidenten te ondersteunen met feitelijke gegevens
governance en compliance te versterken

Dit domein verbindt preventieve toegangsmaatregelen met detectieve en corrigerende controles.

Waarom monitoring, logging & control?

Toegangsbeheer zonder toezicht is blind vertrouwen.

Zonder monitoring en logging:

blijft misbruik onopgemerkt
zijn incidenten moeilijk te reconstrueren
ontbreekt aantoonbaarheid richting audit en toezichthouders
kan geen gerichte verbetering plaatsvinden

Monitoring, Logging & Control is nodig om:

zicht te krijgen op effectief gebruik van toegang
afwijkingen tijdig te detecteren
verantwoordelijkheid en verantwoording mogelijk te maken
incidenten te ondersteunen met feitelijke gegevens
governance en compliance te versterken

Dit domein verbindt preventieve toegangsmaatregelen met detectieve en corrigerende controles.

Wat omvat monitoring, logging & control concreet?

Dit domein omvat onder meer:

Vastgelegde logging van:
- authenticatie
- autorisatie
- gebruik van verhoogde rechten
Monitoring van toegangsactiviteiten en patronen
Detectie en beoordeling van afwijkingen
Vastgelegde opvolg- en escalatiemechanismen
Ondersteuning van:
- incidentonderzoek
- audits
- periodieke evaluaties

De concrete uitwerking gebeurt via onderliggende richtlijnen, waaronder:

Toegangslogging & audittrails
Detectie en beoordeling van afwijkingen

Monitoring, Logging & Control zorgen ervoor
dat toegangsbeheer niet alleen wordt ingericht,
maar ook aantoonbaar onder controle blijft.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Monitoring, Logging & Control)

Clause 5 – Leadership
Management vereist toezicht en controle op toegang tot informatie en systemen.
Clause 6 – Planning
Monitoring en logging worden afgestemd op risico’s en kriticiteit.
Clause 7 – Support
Rollen en verantwoordelijkheden voor toezicht en controle moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Monitoring en logging ondersteunen operationele beheersing van toegangsactiviteiten.
Clause 9 – Performance evaluation
Monitoring en audittrails maken evaluatie van toegangsbeheer mogelijk.
Clause 10 – Improvement
Bevindingen uit monitoring leiden tot gerichte verbeteringen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Monitoring, Logging & Control)

8.15 – Logging
Toegangsactiviteiten moeten worden vastgelegd voor detectie en onderzoek.
8.16 – Monitoring activities
Actieve monitoring is nodig om afwijkingen tijdig te identificeren.
5.15 – Access control
Monitoring ondersteunt toezicht op correcte toepassing van toegangsregels.
5.16 – Identity management
Logging en monitoring moeten herleidbaar zijn tot identiteiten en accounttypes.
5.18 – Access rights
Gebruik van toegekende rechten moet controleerbaar zijn.

CyFun

DE.CM

”
},
{
“id”: “24543233”,
“title”: “Access Logging & Audit Trails”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Guidelines Monitoring, Logging & Control / Access Logging & Audit Trails”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13089,
“body”: “

Toegangslogging & audittrails

none

Definitie

Toegangslogging & audittrails beschrijven het systematisch vastleggen, bewaren en kunnen reconstrueren van toegangs- en authenticatiegebeurtenissen met betrekking tot gebruikers, accounts en systemen.

Het doel van toegangslogging is om:

inzicht te krijgen in wie toegang had
wat werd geraadpleegd of uitgevoerd
wanneer en onder welke omstandigheden

Audittrails maken het mogelijk om toegangsbeslissingen en -handelingen achteraf te verifiëren, te onderzoeken en aan te tonen.

Waarom toegangslogging & audittrails?

Zonder toegangslogging:

is misbruik moeilijk of niet aantoonbaar
kunnen incidenten niet correct worden onderzocht
ontbreekt verantwoordelijkheid en traceerbaarheid
is compliance niet aantoonbaar

Toegangslogging & audittrails zijn nodig om:

ongeoorloofde of afwijkende toegang te detecteren
incidenten te analyseren en reconstrueren
misbruik van rechten zichtbaar te maken
toezicht en controle mogelijk te maken
verantwoording af te leggen aan audit en toezichthouders

Geen logging = geen controle.

Hoe worden toegangslogging & audittrails ingericht?

Toegangslogging & audittrails worden ingericht door:

logging van:
- authenticatiepogingen (succesvol en mislukt)
- autorisatiebeslissingen
- gebruik van verhoogde rechten
centrale en beveiligde opslag van loggegevens
bescherming tegen:
- manipulatie
- ongeautoriseerde toegang
- verlies
duidelijke afbakening van:
- wat wordt gelogd
- wie toegang heeft tot logs
- hoe lang logs worden bewaard

Logging wordt afgestemd op:

het risicoprofiel van systemen
het type account (user, admin, service)
wettelijke en normatieve vereisten

Wat omvat toegangslogging & audittrails concreet?

Concreet omvat dit:

Logging van gebruikers- en accounttoegang
Vastlegging van:
- identiteit
- tijdstip
- systeem of applicatie
- type actie
Logging van beheer- en noodtoegang
Audittrails die:
- volledig
- chronologisch
- herleidbaar zijn
Beveiligde opslag en bewaartermijnen
Procedures voor:
- raadpleging
- analyse
- gebruik bij incidenten of audits

Toegangslogging ondersteunt zowel preventie, detectie als verantwoording.

Toegangslogging en audittrails zorgen ervoor
dat toegang niet alleen wordt verleend,
maar ook kan worden verantwoord.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Toegangslogging & audittrails)

Clause 5 – Leadership
Management vereist aantoonbaarheid en toezicht op toegang tot systemen en informatie.
Clause 6 – Planning
Logging wordt afgestemd op risico’s en kriticiteit van toegang.
Clause 7 – Support
Rollen en verantwoordelijkheden rond logging en audittrails moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Logging ondersteunt de operationele controle van toegangsactiviteiten.
Clause 9 – Performance evaluation
Audittrails maken evaluatie en controle van toegangsbeheer mogelijk.
Clause 10 – Improvement
Bevindingen uit logs en audits leiden tot verbetering van toegangsmaatregelen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Toegangslogging & audittrails)

8.15 – Logging
Toegangsactiviteiten moeten worden vastgelegd om misbruik te kunnen detecteren.
8.16 – Monitoring activities
Logging vormt de basis voor monitoring en analyse van toegang.
5.15 – Access control
Logging ondersteunt toezicht op effectieve toegangscontrole.
5.16 – Identity management
Logs moeten herleidbaar zijn tot identiteiten en accounttypes.
5.18 – Access rights
Gebruik van toegekende rechten moet controleerbaar zijn.

CyFun

PR.AA

”
},
{
“id”: “23724038”,
“title”: “Anomaly Detection & Review”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Guidelines Monitoring, Logging & Control / Anomaly Detection & Review”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13462,
“body”: “

Detectie en beoordeling van afwijkingen

none

Definitie

Detectie en beoordeling van afwijkingen beschrijft het proces waarbij afwijkend, ongewoon of verdacht gedrag in toegangs- en authenticatieactiviteiten wordt geïdentificeerd, geanalyseerd en beoordeeld.

Het doel is om:

potentieel misbruik van accounts tijdig te detecteren
beveiligingsincidenten vroeg te signaleren
fouten, misconfiguraties of ongewenst gedrag te herkennen

Anomaly detection bouwt voort op toegangslogging, maar gaat een stap verder door interpretatie en beoordeling van patronen en context.

Waarom detectie en beoordeling van afwijkingen?

Niet elk beveiligingsincident is:

een expliciete foutmelding
een geblokkeerde toegang
een zichtbaar alarm

Veel incidenten beginnen als subtiele afwijkingen, zoals:

ongebruikelijke inlogmomenten
afwijkende locaties
ongewoon gebruik van rechten
plots verhoogde activiteit

Detectie en beoordeling van afwijkingen is nodig om:

incidenten vroegtijdig te herkennen
misbruik van geldige accounts te detecteren
impact van aanvallen te beperken
gerichte en proportionele acties te nemen

Zonder beoordeling blijven logs ruwe data zonder betekenis.

Hoe worden afwijkingen gedetecteerd en beoordeeld?

Detectie en beoordeling gebeuren door:

definiëren van wat normaal gedrag is
identificeren van afwijkingen ten opzichte van dat patroon
combineren van:
- technische signalen
- context
- accounttype
onderscheid tussen:
- gebruikersaccounts
- administrator accounts
- service- en technische accounts

De beoordeling omvat:

analyse van relevantie en risico
besluit of verdere actie nodig is
documentatie van bevindingen

Detectie kan handmatig, geautomatiseerd of gecombineerd plaatsvinden, afhankelijk van context en maturiteit.

Wat omvat detectie en beoordeling van afwijkingen concreet?

Concreet omvat dit:

Vastgelegde criteria voor afwijkend gedrag
Detectie van:
- ongebruikelijke authenticatiepogingen
- afwijkend gebruik van privileges
- plots gewijzigde toegangspatronen
Beoordeling van:
- oorzaak
- impact
- urgentie
Vastgelegde opvolgacties, zoals:
- nader onderzoek
- tijdelijke maatregelen
- escalatie naar incident management
Registratie van bevindingen en beslissingen

Detectie en beoordeling ondersteunen zowel preventie als incidentrespons.

Logging toont wat gebeurt.
Detectie en beoordeling bepalen of dat ook oké is.

Compliance- en normatieve onderbouwing760

Duiding relevantie ISO/IEC 27001 – Clauses

(Anomaly Detection & Review)

Clause 5 – Leadership
Management verwacht actieve opvolging van afwijkingen in toegangsgebruik.
Clause 6 – Planning
Detectie van afwijkingen is onderdeel van risicogebaseerde beveiligingsplanning.
Clause 7 – Support
Rollen en verantwoordelijkheden voor detectie en beoordeling moeten duidelijk zijn vastgelegd.
Clause 8 – Operation
Afwijkingsdetectie ondersteunt operationele beheersing van toegang.
Clause 9 – Performance evaluation
Analyse van afwijkingen levert input voor evaluatie van beveiligingsmaatregelen.
Clause 10 – Improvement
Bevindingen uit afwijkingsanalyse leiden tot gerichte verbeteringen.

Duiding relevantie ISO/IEC 27002:2022 – Controls

(Anomaly Detection & Review)

8.16 – Monitoring activities
Afwijkingsdetectie is een kernonderdeel van actieve monitoring.
8.15 – Logging
Detectie bouwt voort op betrouwbare en volledige logging.
5.15 – Access control
Afwijkend gebruik van toegang moet worden geïdentificeerd en opgevolgd.
5.16 – Identity management
Analyse van afwijkingen vereist herleidbaarheid naar identiteit en accounttype.
5.18 – Access rights
Detectie ondersteunt controle op misbruik van toegekende rechten.

CyFun

DE.CM

”
},
{
“id”: “36634797”,
“title”: “Responsible Disclosure Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Responsible Disclosure Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2219,
“body”: “

Beleid voor de gecoördineerde bekendmaking van kwetsbaarheden

Wetgeving760

NIS2-richtlijn, Richtlijn (EU) 2022/2555
De NIS2-richtlijn verwacht expliciet dat organisaties:
- kwetsbaarheden kunnen ontvangen;
- meldingen van kwetsbaarheden behandelen;
- bijdragen aan coordinated vulnerability disclosure (CVD).
Cybersecurity Act, Verordening (EU) 2019/881
Deze verordening:
- versterkt het Europese cybersecurity-kader;
- positioneert kwetsbaarhedenbeheer als essentieel onderdeel van cybersecurity;
- ondersteunt Europese standaarden en best practices rond vulnerability handling.

Europese coördinatie rond CVD (ENISA-context)
Hoewel geen wet op zich: ENISA erkent Coordinated Vulnerability Disclosure als Europese best practice; CVD wordt expliciet gekoppeld aan NIS/NIS2-doelstellingen.

Policy volgt.

”
},
{
“id”: “76513286”,
“title”: “Report an incident”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / DETECT / Report an incident”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2858,
“body”: “

Rapporteren van een incident

Nr	Vraag te beantwoorden
01	Wie coördineert: (Naam, telefoonnummer)
02	Wat is het probleem:
03	Wanneer is het gedetecteerd:
04	Hoe is het gedetecteerd:
05	Wat zijn de effecten:
06	Wat is de impact
07	Wat is de oorzaak:
08	Wat is de oplossing:

”
},
{
“id”: “31621166”,
“title”: “RESPOND”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20643860”,
“title”: “Incident response management”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Incident response management”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “918069”,
“title”: “Information Security Incident Management Policy”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Incident response management / Information Security Incident Management Policy”,
“depth”: 5,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 44405,
“body”: “

Beleid Information Security Incident Management

none

Context

De werking van een ziekenhuis steunt in hoge mate op betrouwbare informatie en goed functionerende digitale en medische systemen. Informatiebeveiligingsincidenten, zoals cyberaanvallen, systeemstoringen of datalekken, kunnen de continuïteit van zorgverlening verstoren en een directe impact hebben op patiëntveiligheid, privacy en vertrouwen. Daarom is een gestructureerde en gedragen aanpak van informatiebeveiligingsincidenten essentieel.

Doel

Dit beleid heeft tot doel vast te leggen hoe de organisatie informatiebeveiligingsincidenten herkent, meldt, beoordeelt en afhandelt. Het beleid ondersteunt een snelle en gecoördineerde respons, zodat de impact op patiënten, zorgprocessen en de organisatie zo veel mogelijk wordt beperkt en herhaling wordt voorkomen.

Reikwijdte

Dit beleid is van toepassing op alle personen die in of voor de organisatie actief zijn, ongeacht hun statuut. Het geldt voor alle informatie, systemen, toepassingen, infrastructuur en medische technologie die door de organisatie worden gebruikt of beheerd, en voor alle informatiebeveiligingsincidenten, inclusief incidenten met persoonsgegevens.

Eigenaarschap, goedkeuring & herziening

Het beleid inzake Information Security Incident Management maakt deel uit van het globale informatiebeveiligingskader van de organisatie.

Eigenaarschap en verantwoordelijkheden

Governance

De governance-structuur bepaalt het beleidskader, neemt strategische beslissingen bij significante incidenten en ziet toe op de effectiviteit van het incidentmanagementproces.

Rol	Rol binnen incidentmanagement
Bestuursorgaan	Eindverantwoordelijk voor het beleidskader (A). Keurt dit beleid goed (A). Ziet toe op de effectiviteit van het incidentmanagementproces (A). Ontvangt periodieke rapportering over ernstige incidenten, trends en structurele risico’s (I). Bewaakt de integratie van incidentrisico’s in het globale risicobeheer en beslissingen met impact op zorgcontinuïteit en patiëntveiligheid (A).
Directiecomité (DC)	Eindverantwoordelijk voor de implementatie van dit beleid (A). Zorgt voor beschikbaarheid van rollen, middelen, processen en bevoegdheden (A). Beslist over escalaties en activering van de crisisstructuur (A). Coördineert de respons bij ernstige incidenten (R). Ziet toe op uitvoering van corrigerende en preventieve maatregelen (A).
Medische Raad	Wordt geconsulteerd bij incidenten met impact op patiëntveiligheid of zorgcontinuïteit (C).

Eerste lijn – Operationele uitvoering

De eerste lijn detecteert, meldt en behandelt incidenten binnen haar operationele verantwoordelijkheid en voert de noodzakelijke respons- en herstelmaatregelen uit.

Rol	Rol binnen incidentmanagement
Crisiscel	Verantwoordelijk voor de coördinatie van majeure incidenten (R). Integreert incidentmanagement met crisis- en continuïteitsbeheer (R).
Medisch directeur / hoofdarts	Verantwoordelijk voor klinische beoordeling en besluitvorming bij impact op zorgverlening en patiëntveiligheid (R).
Directies & afdelingshoofden	Verantwoordelijk voor tijdige detectie en melding binnen hun domein (R). Ondersteunen de afhandeling en opvolging van incidenten (S).
IT-departement	Verantwoordelijk voor technische detectie, analyse, containment en herstel (R). Documenteert incidenten en genomen maatregelen (R). Ondersteunt forensische analyse en herstelactiviteiten (R).
Security Operations (SOC)	Verantwoordelijk voor monitoring, detectie, initiële analyse en escalatie van beveiligingsevents (R).
Biotechniek / Medische Technologie	Verantwoordelijk voor detectie en beheersing van incidenten op medische toestellen (R). Analyseert impact op klinische systemen en werkt samen met leveranciers (R).
Communicatiedienst	Verantwoordelijk voor gecoördineerde interne en externe communicatie over incidenten (R), in afstemming met het directiecomité (C).
Facility / Infrastructuur / Safety	Ondersteunt bij incidenten met fysieke of infrastructurele component (S). Neemt maatregelen ter waarborging van operationele continuïteit (S).
Project / Programma management	Ondersteunt bij incidenten met impact op lopende projecten of verandertrajecten (S).

Tweede lijn – Toezicht en advies

De tweede lijn ondersteunt, coördineert en bewaakt het incidentbeheer vanuit haar expertise.

Rol	Rol binnen incidentmanagement
CISO	Verantwoordelijk voor de coördinatie van het incidentmanagementproces (R). Ziet toe op correcte classificatie en impactanalyse (R). Adviseert het directiecomité over escalatie, risico’s en verbetermaatregelen (C).
DPO	Verantwoordelijk voor beoordeling van incidenten met persoonsgegevens (R). Adviseert over meldingsplicht en impact voor betrokkenen (C). Ziet toe op naleving van wettelijke meldingsverplichtingen aan toezichthoudende autoriteiten (R).
CRO	Wordt geconsulteerd bij significante incidenten met strategische of risicodimensie (C). Bewaakt samenhang met het bredere risicobeheer (C).
Compliance	Wordt geconsulteerd inzake naleving van wettelijke en normatieve vereisten, inclusief NIS2 (C).
Legal	Wordt geconsulteerd bij juridische implicaties, aansprakelijkheid en contractuele verplichtingen (C).
Kwaliteit & Patiëntveiligheid	Wordt geconsulteerd bij incidenten met impact op patiëntveiligheid (C). Integreert bevindingen in kwaliteits- en verbeterprocessen (S).
Preventiedienst / Veiligheid	Wordt geconsulteerd bij incidenten met impact op welzijn en veiligheid op het werk (C).

Derde lijn – Onafhankelijke toetsing

De derde lijn toetst onafhankelijk de opzet, werking en effectiviteit van het incidentmanagementproces.

Rol	Rol binnen incidentmanagement
Interne Audit	Wordt geïnformeerd over significante incidenten (I). Toetst onafhankelijk de effectiviteit en naleving van het incidentmanagementproces (R).

Goedkeuring

Dit beleid wordt formeel vastgesteld en goedgekeurd door het dagelijks bestuur van de organisatie.

Herziening en onderhoud

Het beleid wordt minstens jaarlijks geëvalueerd en aangepast indien nodig, of eerder wanneer significante incidenten, organisatorische wijzigingen of nieuwe wettelijke vereisten daartoe aanleiding geven.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk en worden enkel toegestaan na formele goedkeuring door het dagelijks bestuur, mits duidelijke documentatie van de risico’s en de genomen compenserende maatregelen.

Beleidsverklaring

Informatiebeveiligingsincidenten maken integraal deel uit van het organisatiebrede incidentmanagement. Zij worden beheerd binnen een gestructureerd proces dat voorbereiding, detectie en melding, beoordeling en besluitvorming, respons en herstel, en evaluatie en verbetering omvat.

De organisatie waarborgt dat incidenten systematisch worden geregistreerd, geclassificeerd en opgevolgd, met als doel de impact te beheersen op vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit, onweerlegbaarheid en privacy van informatie, evenals op patiëntveiligheid en zorgcontinuïteit.

Significante incidenten worden tijdig geëscaleerd naar het passende beslissingsniveau. Lessen uit incidenten worden vertaald naar structurele verbetermaatregelen ter versterking van de weerbaarheid van de organisatie.

Dit beleid ondersteunt naleving van toepasselijke wet- en regelgeving, inclusief NIS2, en is ingebed in het bredere kader van governance, risicobeheer en continue verbetering.

Beleidsvereisten

Fase 1 – Voorbereiding

Incidentmanagementproces

De organisatie beheert informatiebeveiligingsincidenten volgens een gestructureerd incidentmanagementproces dat voorbereiding, detectie, beoordeling, respons, herstel en evaluatie omvat. Elke fase is formeel verankerd binnen het informatiebeveiligingskader.

Conformiteit760

ISO/IEC 27035-1:2023, clauses 6–12
Dit beleid volgt het gestructureerde incidentmanagementproces zoals gedefinieerd in ISO/IEC 27035-1, inclusief voorbereiding, detectie, beoordeling, respons, herstel en evaluatie.
ISO/IEC 27001:2022, Annex A, controls A.5.24 – A.5.27
Dit beleid borgt dat informatiebeveiligingsincidenten systematisch worden gemeld, geclassificeerd, afgehandeld en geëvalueerd over hun volledige levenscyclus.
ISO/IEC 27002:2022, controls 5.24 – 5.27
Dit beleid ondersteunt een geïntegreerd incidentmanagementproces waarin detectie, rapportering, beoordeling en respons formeel zijn verankerd.
CyFun framework versie 2025, RS.MA-01
Dit beleid borgt een gestructureerde aanpak voor detectie, analyse, respons en herstel van cyberincidenten.

Voorbereiding & paraatheid

De organisatie zorgt ervoor dat zij aantoonbaar voorbereid is op het beheren van informatiebeveiligingsincidenten. Voorbereiding omvat het vooraf vastleggen van rollen, verantwoordelijkheden, bevoegdheden en escalatieniveaus binnen het incidentmanagementproces.

De relevante functies beschikken over duidelijke mandaten en actuele contactgegevens, zodat bij een incident onmiddellijk en gecoördineerd kan worden gehandeld.

De organisatie voorziet in passende technische en organisatorische maatregelen ter ondersteuning van detectie, analyse en respons, waaronder logging, monitoring en registratievoorzieningen.

Medewerkers worden geïnformeerd over hun rol in het herkennen en melden van informatiebeveiligingsincidenten. Waar relevant worden gerichte opleidingen voorzien voor functies met een specifieke rol in incidentmanagement.

De organisatie test en evalueert periodiek haar paraatheid, onder meer via oefeningen of simulaties, en gebruikt de bevindingen om het incidentmanagementproces structureel te verbeteren.

Voorbereiding en paraatheid maken integraal deel uit van het informatiebeveiligingskader en worden afgestemd op het bredere risicobeheer en continuïteitsbeheer van de organisatie.

Conformiteit760

ISO/IEC 27035-1:2023, clause 6
Dit beleid borgt dat de organisatie voorbereid is op het beheren van informatiebeveiligingsincidenten door het vastleggen van rollen, verantwoordelijkheden, procedures en ondersteunende middelen.
ISO/IEC 27001:2022, clauses 7 en 8
Dit beleid vereist dat passende middelen, bevoegdheden en competenties beschikbaar zijn om informatiebeveiligingsincidenten effectief te beheren.
ISO/IEC 27002:2022, control 5.24
Dit beleid ondersteunt het vooraf definiëren van verantwoordelijkheden en het voorzien van geschikte voorbereidingsmaatregelen voor incidentmanagement.
CyFun framework versie 2025, subdomein Govern en Respond
Dit beleid borgt organisatorische paraatheid en gestructureerde voorbereiding op cyberincidenten als onderdeel van het bredere beveiligingskader.
Fas 1

Fase 2 – Detectie en melding

Detectie en herkenning van incidenten

De organisatie zorgt ervoor dat informatiebeveiligingsincidenten tijdig kunnen worden gedetecteerd. Medewerkers worden ondersteund om afwijkingen, verdachte gebeurtenissen en verstoringen te herkennen, zowel in digitale systemen als in zorgprocessen die afhankelijk zijn van informatie.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid vereist dat de organisatie voorbereid is om informatiebeveiligingsincidenten tijdig te herkennen en te onderscheiden van reguliere gebeurtenissen.
ISO/IEC 27002:2022, control 5 . 24
Dit beleid ondersteunt het herkennen van afwijkende of verdachte gebeurtenissen als startpunt voor incidentbeheer.
CyFun framework versie 2025, detectie en analyse van gebeurtenissen (DE.CM en DE.AE)
Dit beleid borgt monitoring en analyse van gebeurtenissen om potentiële cyberincidenten vroegtijdig te identificeren.
ISO/IEC 27035-1:2023, clause 7
Dit beleid volgt het procesmodel waarin detectie en herkenning een expliciete fase vormen.

Verplichte en laagdrempelige melding

Elke medewerker is verplicht om een (vermoed) informatiebeveiligingsincident onmiddellijk te melden via de vastgelegde meldkanalen. Het beleid hanteert expliciet een niet-verwijtende meldcultuur, waarbij snelle melding primeert op foutloos handelen.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid legt vast dat duidelijke meldkanalen en verantwoordelijkheden bestaan voor het melden van informatiebeveiligingsincidenten.
ISO/IEC 27002:2022, control 5 . 24
Dit beleid ondersteunt toegankelijke en gekende meldprocedures zodat informatiebeveiligingsincidenten tijdig kunnen worden gerapporteerd.
CyFun 2025, subdomein Respond, control RS.CO.01
Dit beleid borgt dat cyberincidenten zonder drempels intern worden gemeld en tijdig worden geëscaleerd naar de bevoegde verantwoordelijken.
ISO/IEC 27035-1:2023, clause 8
Dit beleid sluit aan bij de normatieve vereiste om melding en rapportering als vaste stap binnen incident management te organiseren.

Centrale registratie en documentatie

Alle informatiebeveiligingsincidenten worden centraal geregistreerd. De registratie bevat minimaal de aard van het incident, het tijdstip, de betrokken systemen of gegevens, de initiële impactinschatting en de genomen maatregelen. Deze documentatie vormt de basis voor analyse, rapportering en audit.

Conformiteit760

ISO/IEC 27001:2022 Annex A, controls A . 5 . 24 tot A . 5 . 27
Dit beleid vereist dat informatiebeveiligingsincidenten aantoonbaar worden geregistreerd en opgevolgd over hun volledige levenscyclus.
ISO/IEC 27002:2022, controls 5 . 24 tot 5 . 27
Dit beleid ondersteunt consistente documentatie van incidenten om analyse, rapportering en verbetering mogelijk te maken.
CyFun 2025, subdomein Respond, control RS . AN . 01
Dit beleid borgt dat informatiebeveiligingsincidenten systematisch worden vastgelegd ter ondersteuning van analyse, besluitvorming en opvolging.
ISO/IEC 27035-1:2023, clause 9
Dit beleid sluit aan bij de normatieve vereiste om incidentinformatie gestructureerd te registreren als onderdeel van professioneel incidentbeheer.

Fase 3 – Beoordeling en besluitvorming

Classificatie en prioritering

Incidenten worden systematisch geclassificeerd op basis van hun impact op vertrouwelijkheid, integriteit, beschikbaarheid, patiëntveiligheid en wettelijke verplichtingen. De classificatie bepaalt de prioriteit, de escalatieniveaus en de betrokken verantwoordelijken.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 25
Dit beleid beschrijft hoe informatiebeveiligingsevents worden beoordeeld en geclassificeerd om te bepalen of zij als incident worden behandeld.
ISO/IEC 27002:2022, control 5 . 25
Dit beleid ondersteunt prioritering van incidenten op basis van impact op vertrouwelijkheid, integriteit, beschikbaarheid en patiëntveiligheid.
CyFun 2025, subdomein Respond, control RS . MA . 02
Dit beleid borgt formele triage en validatie van cyberincidenten als basis voor een proportionele respons.
ISO/IEC 27035-1:2023, clause 8
Dit beleid volgt de normatieve vereisten voor beoordeling, classificatie en prioritering van informatiebeveiligingsincidenten als basis voor proportionele besluitvorming en respons.

Escalatie en besluitvorming

Incidenten met een hoge of kritische impact worden tijdig geëscaleerd naar het directiecomité. Indien nodig wordt het bestuursorgaan geïnformeerd. Escalatiecriteria zijn vooraf vastgelegd en houden expliciet rekening met patiëntveiligheid, continuïteit van zorg en reputatierisico.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid legt vast wanneer informatiebeveiligingsincidenten moeten worden geëscaleerd en wie bevoegd is om beslissingen te nemen.
ISO/IEC 27002:2022, controls 5 . 24 en 5 . 25
Dit beleid ondersteunt escalatie op basis van vooraf vastgelegde impact- en urgentiecriteria.
CyFun 2025, subdomein Respond, control RS . CO . 02
Dit beleid borgt dat significante cyberincidenten tijdig worden geëscaleerd en dat relevante interne stakeholders worden betrokken.
ISO 22301:2019, clause 8
Dit beleid ondersteunt escalatie naar crisis- en continuïteitsbeheer wanneer de zorgcontinuïteit in het gedrang komt.
ISO/IEC 27035-1:2023, clauses 8 en 10
Dit beleid sluit aan bij de normatieve vereisten voor escalatie, besluitvorming en toewijzing van verantwoordelijkheden binnen het incidentmanagementproces.

Beheer van incidenten met persoonsgegevens

Wanneer persoonsgegevens betrokken zijn, wordt de Data Protection Officer onmiddellijk betrokken. Incidenten worden beoordeeld op meldingsplicht, impact voor betrokkenen en noodzaak tot bijkomende maatregelen.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid borgt dat informatiebeveiligingsincidenten waarbij persoonsgegevens betrokken zijn integraal worden beheerd binnen het incident management proces.
ISO/IEC 27002:2022, control 5 . 24
Dit beleid ondersteunt de beoordeling van de impact van incidenten op persoonsgegevens als onderdeel van incidentafhandeling.
CyFun 2025, subdomein Respond, control RS . AN . 02
Dit beleid borgt dat de impact van cyberincidenten op persoonsgegevens systematisch wordt geanalyseerd en gedocumenteerd.
ISO 27799, clause 9
Dit beleid past incident management toe in de context van gezondheidsinformatie en patiëntgegevens.
ISO/IEC 27035-1:2023, clauses 8 en 10
Dit beleid sluit aan bij de normatieve vereisten voor beoordeling van incidentimpact en gecoördineerde respons, inclusief incidenten waarbij persoonsgegevens betrokken zijn.

Fase 4 – Respons en herstel

Afhandeling en respons

Voor elk informatiebeveiligingsincident worden passende maatregelen genomen om verdere schade te beperken, de oorzaak weg te nemen en de werking veilig te herstellen. De afhandeling gebeurt gecoördineerd en afgestemd tussen technische, organisatorische en zorggerelateerde actoren.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 26
Dit beleid vereist dat informatiebeveiligingsincidenten op een consistente en gecoördineerde manier worden afgehandeld om verdere schade te beperken.
ISO/IEC 27002:2022, control 5 . 26
Dit beleid ondersteunt het nemen van maatregelen voor containment, herstel en het veilig hervatten van de werking.
CyFun 2025, subdomein Respond, control RS . MI . 01
Dit beleid borgt dat responsmaatregelen effectief worden uitgevoerd volgens vooraf vastgelegde rollen, verantwoordelijkheden en procedures.
ISO/IEC 27035-1:2023, clause 10
Dit beleid sluit aan bij de normatieve vereisten voor incident response binnen het incident management proces.

Communicatie over incidenten

Interne en externe communicatie over informatiebeveiligingsincidenten verloopt gecontroleerd en gecoördineerd. De organisatie zorgt voor consistente, correcte en tijdige communicatie, afgestemd met het dagelijks bestuur en relevante ondersteunende diensten.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid vereist dat afspraken bestaan voor interne en externe communicatie bij informatiebeveiligingsincidenten.
ISO/IEC 27002:2022, control 5 . 24
Dit beleid ondersteunt gecontroleerde en consistente communicatie om bijkomende schade en verwarring te vermijden.
CyFun 2025, subdomein Respond, control RS . CO . 03
Dit beleid borgt dat communicatie over cyberincidenten tijdig, afgestemd en via vastgelegde kanalen verloopt.
ISO/IEC 27035-1:2023, clause 11
Dit beleid sluit aan bij de normatieve vereisten voor communicatie als onderdeel van incident response.

Integratie met continuïteits- en crisisbeheer

Informatiebeveiligingsincidenten met impact op zorgcontinuïteit worden afgestemd met de bestaande continuïteits- en crisisprocessen van het ziekenhuis.

Conformiteit760

ISO/IEC 27035-1:2023, clause 12
Dit beleid ondersteunt de afstemming tussen incident response, herstelactiviteiten en evaluatie bij informatiebeveiligingsincidenten met hoge impact.
ISO 22301:2019, clause 8
Dit beleid borgt dat informatiebeveiligingsincidenten die de zorgcontinuïteit bedreigen worden geïntegreerd in het business continuity en crisisbeheer.
CyFun 2025, subdomein Respond, control RS . MA . 05
Dit beleid borgt dat cyberincidenten met significante impact gecoördineerd worden behandeld in samenhang met herstel- en continuïteitsmaatregelen.

Fase 5 – Evaluatie en verbetering

Leren uit incidenten

Na afhandeling van significante incidenten wordt een evaluatie uitgevoerd. De organisatie identificeert onderliggende oorzaken en structurele tekortkomingen en vertaalt deze naar verbetermaatregelen.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 27
Dit beleid vereist dat informatiebeveiligingsincidenten systematisch worden geëvalueerd om structurele verbeteringen in informatiebeveiliging te realiseren.
ISO/IEC 27002:2022, control 5 . 27
Dit beleid ondersteunt het uitvoeren van post-incident evaluaties en het identificeren van onderliggende oorzaken.
CyFun 2025, subdomein Identify, control ID . IM . 01
Dit beleid borgt dat lessen uit incidenten worden vastgelegd en vertaald naar verbeteracties binnen het risicobeheer en beveiligingskader.
ISO/IEC 27035-1:2023, clause 12
Dit beleid volgt de normatieve vereisten voor post-incident evaluatie, identificatie van onderliggende oorzaken en structurele verbetering van het incidentmanagementproces.

Corrigerende en preventieve maatregelen

Corrigerende en preventieve maatregelen worden vastgelegd, opgevolgd en geëvalueerd op hun effectiviteit. Het dagelijks bestuur ziet toe op de uitvoering ervan.

Conformiteit760

ISO/IEC 27001:2022, clause 10
Dit beleid vereist dat bevindingen uit informatiebeveiligingsincidenten worden vertaald naar corrigerende en preventieve maatregelen binnen het ISMS.
ISO/IEC 27002:2022, control 5 . 27
Dit beleid ondersteunt het structureel implementeren en opvolgen van verbetermaatregelen op basis van incidentervaringen.
CyFun 2025, subdomein Identify, control ID . IM . 02, RC.CO
Dit beleid borgt dat verbetermaatregelen worden opgevolgd en geëvalueerd op hun effectiviteit.
ISO/IEC 27035-1:2023, clause 12
Dit beleid sluit aan bij de normatieve vereisten voor het vertalen van incidentbevindingen naar corrigerende en preventieve maatregelen en het structureel verbeteren van het incidentmanagementproces.

Rapportering en toezicht

Er wordt periodiek gerapporteerd over informatiebeveiligingsincidenten, trends en structurele aandachtspunten. Deze rapportering ondersteunt het bestuursorgaan in zijn toezichtsrol.

Conformiteit760

ISO/IEC 27001:2022 Annex A, control A . 5 . 24
Dit beleid vereist dat informatiebeveiligingsincidenten worden opgevolgd en gerapporteerd ter ondersteuning van toezicht en besluitvorming.
ISO/IEC 27002:2022, control 5 . 24
Dit beleid ondersteunt periodieke rapportering over incidenten, trends en structurele aandachtspunten.
CyFun 2025, subdomein Govern, control GV . OV . 03
Dit beleid borgt structurele rapportering over cyberincidenten aan het dagelijks bestuur en het bestuursorgaan.

Definities en termen

Informatiebeveiligingsincident
Informatiebeveiligingsevent
Incidentmanagement
Escalatie
Ernstniveau
Incident met persoonsgegevens
Zorgcontinuïteit
Crisisbeheer

Gerelateerde documenten

Beleid Informatiebeveilging
Beleid Business Continuity Management
Crisis Management Plan
Cyber Incident Response Plan (IRP)
Data Breach Procedure
Beleid Risicomanagement
Communication & Media Procedure (indien apart document)
Incident Registration Procedure / Tooling Instruction

”
},
{
“id”: “426856”,
“title”: “Incident Response Plan (IRP) – Healthcare”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Incident response management / Incident Response Plan (IRP) – Healthcare”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 115323,
“body”: “none

1. Doel en scope van het Incident Response Plan

Doel

Dit Incident Response Plan (IRP) beschrijft hoe de organisatie snel, gecoördineerd en controleerbaar reageert op cybersecurity- en informatiebeveiligingsincidenten die (potentieel) significante impact hebben op:

patiëntveiligheid en kwaliteit van zorg
zorgcontinuïteit en beschikbaarheid van kritieke diensten (incl. EPD en medische toestellen)
vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit, onweerlegbaarheid en privacy van informatie (CIA+)
wettelijke en contractuele verplichtingen (incl. NIS2 en AVG)
reputatie en vertrouwen van patiënten, medewerkers en partners

Het IRP vormt een operationeel draaiboek: het vertaalt beleidsvereisten naar concrete acties, verantwoordelijkheden, escalatie en communicatie tijdens een incident.

Scope

Dit IRP is van toepassing op alle cybersecurity- en informatiebeveiligingsincidenten die betrekking hebben op:

IT-systemen, netwerken, endpoints en cloud-diensten
klinische applicaties (incl. EPD) en ondersteunende systemen
medische toestellen en gekoppelde platformen (in samenwerking met Biotechniek/Medische Technologie)
informatie (digitaal en op papier) en bijhorende verwerkingsprocessen
leveranciers- en ketenincidenten die impact hebben op de organisatie

Buiten scope

Dit IRP vervangt het organisatiebrede incidentbeheer niet.

Het IRP is een gespecialiseerd crisisdraaiboek voor informatiebeveiligings- en cyberincidenten met significante impact.
Alle incidenten worden in eerste instantie behandeld volgens het algemene incidentmanagementproces van de organisatie.

Wanneer een incident voldoet aan de activatiecriteria van dit IRP (bv. significante impact, NIS2-meldplichtig, ernstige verstoring van zorgverlening, impact op patiëntveiligheid), wordt dit plan geactiveerd als versterkte responslaag binnen het bestaande incidentbeheer.

Indien een cyberincident uitgroeit tot een bredere organisatiecrisis (bv. langdurige zorgonderbreking, fysieke veiligheidsrisico’s, grootschalige reputatieschade), wordt bijkomend het crisis- en continuïteitskader van de organisatie geactiveerd (BCP, DRP, crisiscel). In dat geval functioneert dit IRP als inhoudelijk gespecialiseerd spoor binnen de bredere crisisaanpak.

Relatie met andere documenten

Dit IRP is aanvullend op en sluit aan op:

het beleid Information Security Incident Management (governance en beleidsvereisten)
de procedure voor incidentbeheer (standaard proces)
crisis- en continuïteitsplannen (BCP/DRP)
data breach procedure (AVG) en communicatieprocedures

Doelgroep

Dit document is bedoeld voor:

Incident Response Team en crisiscel
IT en SOC
Biotechniek/Medische Technologie
directiecomité en betrokken stafdiensten (CISO, DPO, Legal, Compliance, Kwaliteit & Patiëntveiligheid)

Principes

Tijdens incidentrespons hanteert de organisatie de volgende principes:

veiligheid eerst (patiëntveiligheid en zorgcontinuïteit primeren)
snelle triage en escalatie op basis van impact en urgentie
één bron van waarheid (centrale registratie en logging)
bewijsbewaring en gecontroleerde forensische aanpak
heldere communicatie intern en extern, afgestemd op beslissingsniveau
leren en verbeteren na elk significant incident

Beschikbaarheid en paraatheid van het IRP

Dit Incident Response Plan moet beschikbaar zijn, ook bij volledige uitval van digitale systemen, netwerktoegang of internetconnectiviteit.

Daarom geldt:

Er wordt minimaal één actuele papieren versie van dit IRP bewaard op een vooraf bepaalde, beveiligde fysieke locatie.
De papieren versie bevat minimaal:
- Activatiecriteria
- Contactgegevens van het kernteam
- Escalatiestructuur
- Meldingskanalen (incl. CCB)
- Crisiscommunicatieprincipes

De papieren versie wordt:

Geactualiseerd telkens wanneer dit IRP wordt herzien of inhoudelijk aangepast.
Minstens jaarlijks gevalideerd in het kader van de formele reviewcyclus.

De CISO is verantwoordelijk voor het waarborgen van de actualiteit van zowel de digitale als de papieren versie.

Bij grootschalige cyberincidenten waarbij digitale documentatie niet beschikbaar is, geldt de papieren versie als operationele referentie.

Noodcommunicatie en alternatieve connectiviteit

Bij grootschalige cyberincidenten kan de primaire netwerk- en internetconnectiviteit uitvallen of bewust worden afgesloten.

De organisatie voorziet daarom in alternatieve communicatie- en connectiviteitsmechanismen om crisiscoördinatie te waarborgen.

Minimaal wordt voorzien in:

Alternatieve mobiele connectiviteit (bv. 4G/5G-router of vergelijkbare oplossing)
Vooraf geïdentificeerde mobiele hotspots als tijdelijke noodoplossing
Alternatieve communicatiekanalen buiten het primaire netwerk
Contactlijsten die offline beschikbaar zijn

Indien het primaire netwerk onbetrouwbaar of gecompromitteerd is:

Wordt crisiscommunicatie overgeschakeld naar het alternatieve kanaal
Wordt toegang tot kritieke besluitvormers gegarandeerd
Wordt vermeden om gevoelige informatie via mogelijk gecompromitteerde netwerken te verspreiden

De werking en beschikbaarheid van noodconnectiviteit wordt periodiek getest in het kader van crisis- en continuïteitsoefeningen.

Gebruik van beveiligde crisiscommunicatiekanalen

Bij uitval of compromittering van het primaire netwerk of e-mailsysteem wordt gebruikgemaakt van vooraf bepaalde, beveiligde alternatieve communicatiekanalen.

De organisatie bepaalt vooraf welk platform wordt gebruikt voor crisiscoördinatie.

Aanbevolen principes

Het kanaal moet end-to-end versleuteld zijn.
Het mag niet afhankelijk zijn van de interne infrastructuur.
Het moet vooraf geïnstalleerd en getest zijn bij kernleden van het Incident Response Team.
Het gebruik moet formeel vastgelegd zijn in dit IRP.

Toegelaten crisisplatformen

Signal voor crisiscoördinatie van het Incident Response Team en Directie.
Siilo kan worden gebruikt voor medische en klinische communicatie, gelet op de specifieke positionering binnen zorgomgevingen.

WhatsApp is niet toegelaten als officieel crisiscommunicatiekanaal.

Toelichting – Gebruik van Signal als noodcommunicatiekanaal760

Signal is een end-to-end versleutelde berichtenapplicatie ontwikkeld door Signal Messenger LLC, onderdeel van de Signal Technology Foundation, een Amerikaanse non-profitorganisatie (VS).

Signal wordt internationaal erkend als een privacygerichte communicatieoplossing en maakt gebruik van het breed bestudeerde Signal Protocol voor end-to-end encryptie.

Waarom Signal geschikt is als noodkanaal

End-to-end encryptie: berichteninhoud is enkel leesbaar voor de betrokken deelnemers.
Onafhankelijk van interne infrastructuur: werkt via mobiel internet (4G/5G) en blijft bruikbaar bij interne netwerkuitval.
Beperkte dataverwerking: Signal positioneert zich als minimal-data platform zonder advertentiemodel.
Operationele eenvoud: snel inzetbaar in crisissituaties.

Verschil met WhatsApp

Hoewel WhatsApp eveneens end-to-end encryptie toepast, maakt het deel uit van het bredere Meta-ecosysteem en verwerkt het aanvullende metadata in overeenstemming met zijn privacybeleid.

Om governance- en privacyredenen wordt WhatsApp niet aanbevolen als officieel crisiscommunicatiekanaal binnen dit IRP.

Gebruik binnen dit IRP

Signal wordt gebruikt als:

Alternatief crisiscoördinatiekanaal bij uitval of compromittering van primaire communicatie.
Noodkanaal voor afstemming tussen Incident Response Team en Directie.
Mogelijk kanaal voor afstemming met externe stakeholders wanneer digitale infrastructuur niet beschikbaar is.

Signal is geen formeel registratiesysteem.
Beslissingen en acties besproken via Signal worden steeds formeel vastgelegd in het incidentdossier.

Governance-afspraken

De crisisgroep wordt vooraf gedefinieerd en periodiek getest.
De samenstelling wordt beheerd door de CISO of Incident Lead.
Er worden geen patiëntendossiers of gevoelige datasets gedeeld via Signal.
Toegang tot de applicatie vereist toestelbeveiliging (PIN/biometrie).

Operationele afspraken

De crisisgroep wordt vooraf gedefinieerd en periodiek getest.
De samenstelling van de groep wordt beheerd door de CISO of Incident Lead.
Gevoelige technische details worden beperkt gedeeld.
Beslissingen genomen via het crisisplatform worden nadien formeel geregistreerd in het incidentdossier.

2. Activatiecriteria en toepassingsgebied (Major / Significant Incident)

Doel van activatie

Dit IRP wordt geactiveerd wanneer een informatiebeveiligingsincident een significante of potentieel significante impact heeft op de organisatie, de zorgverlening of haar stakeholders.

Activatie betekent dat het Incident Response Team (IRT) formeel wordt samengesteld, de commandostructuur wordt geactiveerd en versnelde besluitvorming en communicatie van toepassing zijn.

Activatiecriteria

Het IRP wordt geactiveerd wanneer één of meerdere van onderstaande situaties zich voordoen:

1. Impact op patiëntveiligheid of zorgcontinuïteit

Onbeschikbaarheid van kritieke klinische systemen (bv. EPD, PACS, labo, medicatiebeheer)
Compromittering van medische toestellen of netwerkgebonden medische apparatuur
Ernstige verstoring van zorgprocessen
Risico op foutieve medische besluitvorming door datacorruptie

2. NIS2 significant incident

Een incident dat:

Een ernstige operationele verstoring veroorzaakt of kan veroorzaken
Of significante financiële of materiële schade kan veroorzaken
Of grensoverschrijdende impact heeft
Of voldoet aan de criteria voor melding aan het CCB binnen 24 uur

3. Bevestigd of vermoed datalek met hoog risico

Inbreuk op (gevoelige) persoonsgegevens
Grootschalige exfiltratie van patiëntgegevens
Situaties met mogelijk meldingsplicht aan de GBA binnen 72 uur

4. Ransomware of kwaadaardige aanval met operationele impact

Versleuteling van systemen
Actieve laterale beweging binnen het netwerk
Compromittering van privileged accounts
Aanhoudende of geavanceerde dreiging (APT: Advanced Persistent Threat)

5. Leveranciers- of ketenincident met impact op zorgverlening

Uitval van externe cloud- of SaaS-dienst met kritieke impact
Compromittering van derde partij die toegang heeft tot interne systemen

6. Reputatierisico of publieke zichtbaarheid

Incident reeds bekend bij media of publiek
Incident met mogelijke politieke of maatschappelijke gevoeligheid

Classificatie en besluit tot activatie

Initiële triage gebeurt door IT/SOC in samenwerking met de CISO.
De formele beslissing tot activatie van het IRP wordt genomen door:
- De CISO, of
- Bij afwezigheid: een lid van het directiecomité.

Bij twijfel geldt het principe: better safe than sorry – tijdelijke activatie is toegelaten.

Toepassingsgebied

Na activatie geldt dit IRP voor:

Alle betrokken IT- en OT-omgevingen
Klinische systemen en medische technologie
Interne en externe communicatie
Meldingen aan bevoegde autoriteiten
Coördinatie met crisisbeheer en continuïteitsplannen

Het IRP blijft actief tot het incident formeel wordt gede-escaleerd en teruggebracht naar het reguliere incidentbeheer.

3. Incident Response Team (samenstelling en operationele rollen)

Kernteam (vast bij activatie)

Bij activatie van het IRP wordt minimaal volgende kernbezetting samengesteld:

Rol	Functie	Verantwoordelijkheden
Incident Lead	CISO of gedelegeerde	Algemene coördinatie van het incident. Besluitvorming over escalatie. Rapportering aan directie. Bewaking van impactanalyse en prioriteiten.
Technisch Lead	IT / SOC-verantwoordelijke	Technische analyse, containment, eradication en herstel. Coördinatie van technische teams en leveranciers.
Medische Technologie Lead	Biotechniek / Medische Technologie	Analyse en beheersing van impact op medische toestellen en OT-omgevingen. Afstemming met klinische diensten.
Privacy Lead	DPO (indien van toepassing)	Beoordeling van datalekken. Advies over meldingsplicht aan GBA en betrokkenen.
Communicatie Lead	Communicatiedienst	Coördinatie van interne en externe communicatie. Afstemming met directie en, indien nodig, persvoorbereiding.
Documentatieverantwoordelijke	Aangewezen lid van IRT	Centrale registratie van acties, beslissingen, tijdslijn en bewijselementen (“single source of truth”).

Belangrijke principes

Elke rol wordt expliciet toegewezen bij activatie.
Eén persoon kan meerdere rollen opnemen, mits expliciet benoemd.
Het kernteam blijft actief tot formele de-escalatie van het IRP.
Strategische beslissingen met impact op zorgcontinuïteit worden genomen door het Directiecomité.

Uitgebreid team (afhankelijk van impact)

Afhankelijk van aard en ernst van het incident kan het IRT worden uitgebreid met:

Lid van het Directiecomité
Legal
Compliance
Kwaliteit & Patiëntveiligheid
Facility / Infrastructuur
Externe forensische experts of CERT
Leveranciers of integratoren

Operationele rollen binnen het IRT

Bij activatie worden de volgende rollen expliciet toegewezen:

Incident Lead
Technisch Lead
Communicatie Lead
Privacy Lead (indien van toepassing)
Documentatieverantwoordelijke (log en beslissingen)

Eén persoon kan meerdere rollen opnemen, maar elke rol moet expliciet benoemd worden bij start van de crisis.

Werkwijze

Het IRT werkt volgens een centraal gecoördineerde aanpak.
Alle acties, beslissingen en bevindingen worden systematisch geregistreerd.
Er wordt gewerkt met één gedeeld incidentlog als “single source of truth”.
Statusupdates worden op vooraf afgesproken intervallen gedeeld met het directiecomité.

Mandaat

Het IRT heeft, na activatie van dit IRP, het mandaat om:

Technische noodmaatregelen te nemen (isolatie, netwerksegmentatie, blokkeren van accounts)
Externe expertise in te schakelen
Crisiscommunicatie voor te bereiden
Escalatie naar crisisstructuur of noodplan voor te stellen

Strategische beslissingen met impact op zorgcontinuïteit of reputatie worden genomen door het Directiecomité.

4. Crisisactivatie en commandostructuur

Formele activatie

De crisisrespons start wanneer het IRP formeel wordt geactiveerd conform de activatiecriteria.

De activatie wordt:

Beslist door de CISO, of
Bij afwezigheid door een lid van het Directiecomité

De activatie wordt onmiddellijk gecommuniceerd aan:

Directiecomité
Kernleden van het Incident Response Team
Indien nodig: crisiscel

Commandostructuur

Na activatie geldt een duidelijke hiërarchische structuur:

Niveau	Verantwoordelijkheid
Strategisch niveau	Directiecomité – neemt beslissingen met impact op zorgcontinuïteit, reputatie, externe communicatie en publieke positionering.
Tactisch niveau	Incident Lead – coördineert het volledige incident, bewaakt prioriteiten en rapporteert aan strategisch niveau.
Operationeel niveau	Technisch Lead en betrokken teams – voeren containment, analyse en herstelacties uit.

Er is steeds één Incident Lead.
Er is geen parallelle besluitvorming.

War Room / Crisisoverleg

Bij significante incidenten wordt een crisisoverleg georganiseerd:

Fysiek in een vooraf bepaalde ruimte, of
Virtueel via beveiligd communicatiekanaal

Tijdens crisisoverleg gelden volgende principes:

Enkel relevante deelnemers
Beslissingen worden gedocumenteerd
Acties worden toegewezen met verantwoordelijke en timing
Statusupdates gebeuren op vaste intervallen

Besluitvorming

Beslissingen worden genomen volgens volgende principes:

Patiëntveiligheid primeert
Beperking van impact op zorgcontinuïteit
Minimalisatie van verdere verspreiding
Juridische en meldingsverplichtingen worden gerespecteerd

Operationele noodmaatregelen kunnen onmiddellijk worden genomen door het Incident Lead en Technisch Lead.

Strategische beslissingen (bv. systemen offline halen, publieke communicatie, betaling van losgeld, structurele shutdown) worden genomen door het Directiecomité.

De-escalatie

Het IRP blijft actief tot:

De acute dreiging is geneutraliseerd
Kritieke systemen stabiel functioneren
Er geen onmiddellijke escalatie meer vereist is

De formele beslissing tot de-escalatie wordt genomen door de Incident Lead in overleg met het Directiecomité.

5. Detectie en operationele melding

Doel

Dit hoofdstuk beschrijft hoe een (mogelijk) informatiebeveiligingsincident snel wordt gedetecteerd, gemeld en overgedragen naar het Incident Response Team bij activatie van dit IRP.

De gedetailleerde processtappen zijn opgenomen in de incidentmanagementprocedure. Dit IRP beschrijft de versnelde aanpak bij (potentieel) significante incidenten.

Detectiebronnen

Een incident kan worden gedetecteerd via:

SOC-monitoring en beveiligingssystemen
IT-servicedesk of helpdesk
Meldingen door medewerkers of artsen
Biotechniek / medische technologie
Leveranciers of externe partners
Externe waarschuwingen (CERT, CCB, politie, media)

Elke medewerker is verplicht een (mogelijk) incident onmiddellijk te melden via het standaard meldkanaal.

Eerste operationele acties

Bij vermoeden van een ernstig of significante impact:

De vaststeller meldt onmiddellijk aan de helpdesk of SOC.
SOC of IT voert een initiële technische verificatie uit.
Indien impact mogelijk significant is:
- Wordt de CISO onmiddellijk verwittigd.
- Wordt een voorlopige impactinschatting gemaakt.
- Wordt beslist of activatiecriteria mogelijk van toepassing zijn.

Er wordt niet gewacht op volledige analyse om escalatie te overwegen.

Versnelde melding bij potentieel major incident

Indien er indicaties zijn van:

Ransomware
Exfiltratie van gegevens
Compromittering van privileged accounts
Impact op EPD of medische systemen
Publieke zichtbaarheid

Dan geldt:

Onmiddellijke escalatie naar Incident Lead
Voorbereiding van IRP-activatie
Beperkte verspreiding van informatie (need-to-know)

Registratie

Alle incidenten worden geregistreerd in het centrale incidentregistratiesysteem.

Bij activatie van dit IRP wordt:

Eén centraal incidentdossier aangemaakt
Een tijdslijn gestart
Alle acties en beslissingen systematisch gelogd

Dit incidentdossier vormt de officiële referentie voor verdere analyse, rapportering en eventuele meldingen aan bevoegde autoriteiten.

6. Triage en impactbeoordeling (CIA+ en patiëntveiligheid)

Doel

De triage en impactbeoordeling bepalen de ernst, prioriteit en vereiste respons op een informatiebeveiligingsincident.

De beoordeling gebeurt op basis van de best beschikbare informatie en wordt geactualiseerd zodra nieuwe feiten beschikbaar zijn.

Beoordelingsdimensies

Bij elke triage worden onderstaande dimensies expliciet geëvalueerd:

1. Informatiebeveiliging (CIA+)

Impact op:

Vertrouwelijkheid (ongeautoriseerde toegang of exfiltratie)
Integriteit (wijziging, manipulatie of corruptie van gegevens)
Beschikbaarheid (verstoring of onbeschikbaarheid van systemen)
Authenticiteit (onzekerheid over identiteit of herkomst)
Onweerlegbaarheid (betrouwbaarheid van logging en transactiebewijs)
Privacy (blootstelling van persoonsgegevens, inclusief bijzondere categorieën)

2. Patiëntveiligheid

Risico op foutieve medische beslissingen
Onbeschikbaarheid van klinische informatie
Impact op medicatiebeheer, laboresultaten, beeldvorming
Compromittering van medische apparatuur of OT-omgevingen

Indien patiëntveiligheid mogelijk in gevaar is, wordt het incident minimaal als P2 geclassificeerd.

3. Zorgcontinuïteit

Onbeschikbaarheid van kritieke systemen
Aantal getroffen afdelingen of gebruikers
Duur van de verstoring
Beschikbaarheid van tijdelijke workarounds

4. Juridische en regulatorische impact

Meldingsplicht onder NIS2
Meldingsplicht onder AVG
Contractuele meldingsverplichtingen
Mogelijke aansprakelijkheid

5. Reputatie en externe zichtbaarheid

Media-aandacht of publieke verspreiding
Politieke of maatschappelijke gevoeligheid
Impact op vertrouwen van patiënten en partners

Prioriteitsniveaus

🔴 P1 – Significant / Major Incident

Eén of meerdere van volgende situaties:

Impact op patiëntveiligheid
Onbeschikbaarheid van kritieke klinische systemen
Ransomware of actieve netwerkcompromittering
Bevestigd of hoog-risico datalek
NIS2-meldplichtig incident
Grootschalige verstoring van zorgverlening
Ernstige reputatie- of juridische impact

Gevolg:

Formele activatie IRP
Incident Response Team actief
Directiecomité onmiddellijk geïnformeerd
Voorbereiding meldingen CCB/GBA
Mogelijke activatie crisis- en continuïteitskader

🟠 P2 – Ernstig Incident

Beperkte verstoring van kritieke systemen
Mogelijke privacy-impact (nog niet bevestigd als hoog risico)
Impact op meerdere afdelingen
Verhoogd reputatierisico
Mogelijke escalatie naar NIS2 bij verdere analyse

Gevolg:

Versnelde opvolging
Incident Lead betrokken
Directie geïnformeerd
IRP kan voorbereid worden

🟢 P3 – Beperkt Incident

Geen impact op patiëntveiligheid
Geen significante verstoring van zorg
Geen meldingsplicht onder NIS2 of AVG
Beperkte technische impact

Gevolg:

Afhandeling via standaard incidentprocedure

Herbeoordeling

De classificatie wordt herzien wanneer:

Nieuwe informatie beschikbaar komt
Impact groter blijkt dan initieel ingeschat
Meldingsplicht ontstaat

Bij twijfel geldt het voorzorgsprincipe: tijdelijke hogere classificatie.

Documentatie en registratie

Bij elk incident, ongeacht prioriteitsniveau, wordt een formeel incidentdossier bijgehouden in het centrale registratiesysteem.

Bij P1- en P2-incidenten wordt dit dossier uitgebreid met:

Datum en tijd van detectie
Initiële classificatie en motivatie
Impactanalyse (CIA+, patiëntveiligheid, zorgcontinuïteit)
Beslissingen tot escalatie of activatie
Tijdslijn van genomen acties
Betrokken systemen en accounts
Betrokken interne en externe partijen
Bewijselementen en technische artefacten (indien van toepassing)
Meldingen aan autoriteiten en referentienummers
Communicatiebeslissingen

De documentatie wordt beheerd door de aangeduide documentatieverantwoordelijke binnen het IRT.

Het incidentdossier vormt:

De officiële referentie voor meldingen aan CCB of GBA
De basis voor post-incident analyse
De onderbouwing voor juridische of verzekeringsprocedures
De input voor lessons learned en structurele verbetermaatregelen

Geen actie of besluit wordt genomen zonder registratie.

7. Escalatiecriteria en besluitvorming

Doel

Dit hoofdstuk beschrijft hoe incidenten formeel worden geëscaleerd en hoe beslissingen worden genomen bij verhoogde of significante impact.

Escalatie is een bestuurlijke beslissing gebaseerd op impact, risico en potentiële gevolgen voor patiëntveiligheid, zorgcontinuïteit en naleving.

Escalatieprincipes

Escalatie gebeurt wanneer:

De impact groter blijkt dan initieel ingeschat
Patiëntveiligheid mogelijk in gevaar is
Kritieke systemen onbeschikbaar zijn
Meldingsplicht onder NIS2 of AVG ontstaat
Reputatie of publieke zichtbaarheid toeneemt

Bij twijfel geldt het voorzorgsprincipe: tijdige escalatie primeert boven laattijdige besluitvorming.

Operationele escalatie (P2)

Bij classificatie als P2:

Incident Lead wordt formeel betrokken
Directiecomité wordt geïnformeerd
Verhoogde opvolging en rapportering wordt ingesteld
IRP-activatie wordt voorbereid indien nodig

Operationele beslissingen worden genomen door de Incident Lead, met informatie aan het Directiecomité.

Strategische escalatie (P1)

Bij classificatie als P1:

Het IRP wordt formeel geactiveerd
Het Incident Response Team wordt samengesteld
Het Directiecomité wordt onmiddellijk betrokken

Strategische beslissingen worden genomen door het Directiecomité, waaronder:

Tijdelijk offline halen van systemen
Activatie van crisiscel
Externe communicatie
Meldingen aan bevoegde autoriteiten
Inschakeling van externe forensische expertise

Besluitvorming tijdens actieve crisis

Tijdens een actief P1-incident:

Operationele noodmaatregelen kunnen onmiddellijk worden genomen door de Incident Lead en Technisch Lead om verdere schade te beperken.
Strategische beslissingen met impact op zorgverlening, reputatie of juridische positie worden genomen door het Directiecomité.
Elke belangrijke beslissing wordt gedocumenteerd in het incidentdossier.

Er is steeds één duidelijk aanspreekpunt voor coördinatie (Incident Lead).

Externe escalatie

Indien van toepassing wordt geëscaleerd naar:

CCB (NIS2-melding)
GBA (privacy-melding)
Politie (CCU) of gerechtelijke autoriteiten
Externe CERT of forensische partners
Verzekeraar (cyberverzekering)

Deze escalaties gebeuren in afstemming met CISO, DPO en Directiecomité.

De-escalatie

De-escalatie van P1 naar P2 of P3 gebeurt wanneer:

De acute dreiging is geneutraliseerd
Kritieke systemen stabiel functioneren
Geen verdere onmiddellijke escalatie vereist is

De beslissing tot de-escalatie wordt genomen door de Incident Lead in overleg met het Directiecomité en wordt formeel geregistreerd.

8. Technische respons (containment, eradication)

Doel

Dit hoofdstuk beschrijft de technische maatregelen die worden genomen om:

Verdere verspreiding van het incident te voorkomen
De impact te beperken
De dreiging te neutraliseren
De integriteit van systemen te herstellen

Technische respons gebeurt onder leiding van de Technisch Lead en in coördinatie met de Incident Lead.

Containment (Beperking van verdere schade)

Containmentmaatregelen worden zo snel mogelijk genomen om verdere verspreiding of impact te voorkomen.

Mogelijke acties omvatten:

Isoleren van getroffen systemen of netwerken
Uitschakelen van gecompromitteerde accounts
Blokkeren van verdachte IP-adressen of domeinen
Segmentatie of tijdelijke afsluiting van netwerkdelen
Stopzetten van verdachte processen of services
Uitschakelen van externe toegang indien nodig

Containment kan tijdelijk impact hebben op dienstverlening.
Indien deze impact zorgprocessen beïnvloedt, wordt dit afgestemd met het Directiecomité.

Eradication (Verwijderen van de dreiging)

Na stabilisatie wordt de oorzaak geïdentificeerd en verwijderd.

Dit kan omvatten:

Verwijderen van malware
Patchen van kwetsbaarheden
Herconfiguratie van beveiligingsinstellingen
Reset van gecompromitteerde accounts
Rebuilding van systemen
Verwijderen van persistentiemechanismen

Er wordt bijzondere aandacht besteed aan:

Privileged accounts
Domeincontrollers
Back-upsystemen
Remote access systemen

Samenwerking met externe partijen

Indien de interne capaciteit onvoldoende is of het incident complex is, kan externe expertise worden ingeschakeld:

Forensische specialisten
CERT-diensten
Leveranciers of integratoren
Cyberverzekeraar en diens incidentpartners

Externe partijen krijgen enkel toegang op basis van gecontroleerde en gedocumenteerde afspraken.

Logging en bewijsbewaring

Tijdens containment en eradication:

Worden relevante logs veiliggesteld
Worden systeemimages of artefacten bewaard indien forensisch onderzoek vereist is
Wordt de chain of custody gerespecteerd

Bewijsmateriaal wordt veilig opgeslagen om latere analyse of juridische procedures mogelijk te maken.

Beheersing van communicatie tijdens technische interventie

Technische teams communiceren enkel via aangewezen kanalen.

Er wordt vermeden om technische details via onbeveiligde communicatiekanalen te verspreiden.

Publieke of externe communicatie verloopt uitsluitend via de Communicatie Lead in afstemming met het Directiecomité.

Overgang naar herstel

Eradication wordt pas als voltooid beschouwd wanneer:

De oorzaak geïdentificeerd en verwijderd is
Geen tekenen van actieve compromittering meer aanwezig zijn
Monitoring bevestigt dat de dreiging niet langer actief is

Pas daarna wordt overgegaan naar gecontroleerd herstel van systemen.

9. Forensische bewaring en bewijsvoering (chain of custody)

Doel

Dit hoofdstuk beschrijft hoe digitale bewijzen veiliggesteld, bewaard en gedocumenteerd worden om:

De oorzaak en impact van het incident correct te kunnen analyseren
Wettelijke en regulatorische verplichtingen te ondersteunen
Mogelijke juridische of verzekeringsprocedures te onderbouwen
Lessen te trekken voor structurele verbetering

Forensische bewaring start zodra er indicaties zijn van kwaadwillige of ongeautoriseerde activiteit.

Principe: Behoud vóór herstel

Waar mogelijk geldt het principe:

Eerst veiligstellen, dan herstellen.

Herstelacties mogen geen cruciale bewijselementen vernietigen, tenzij onmiddellijke actie noodzakelijk is om patiëntveiligheid of zorgcontinuïteit te beschermen.

In dergelijke gevallen wordt de genomen beslissing gemotiveerd en geregistreerd.

Veiligstelling van bewijsmateriaal

Bij significante incidenten (P1) worden minimaal volgende elementen veiliggesteld:

Relevante logbestanden (servers, firewalls, endpoints, applicaties)
Security monitoring logs (SIEM, EDR, SOC-rapporten)
Systeem- of diskimages indien forensisch vereist
Tijdslijn van gebruikers- en accountactiviteiten
Netwerkverkeersgegevens indien beschikbaar
Configuraties van getroffen systemen

Back-ups worden niet overschreven zolang de omvang van het incident niet duidelijk is.

Chain of Custody

Voor elk veiliggesteld bewijselement wordt geregistreerd:

Wat werd veiliggesteld
Datum en tijd
Door wie
Waar het wordt opgeslagen
Wie toegang heeft

Toegang tot forensisch materiaal is beperkt tot geautoriseerde personen.

Externe forensische ondersteuning

Indien gespecialiseerde analyse vereist is, kan externe expertise worden ingeschakeld.

Bij inschakeling van externe forensische partners:

Worden duidelijke afspraken gemaakt over toegang en vertrouwelijkheid
Wordt de overdracht van bewijsmateriaal gedocumenteerd
Blijft de organisatie eigenaar van het incidentdossier

Samenhang met juridische procedures

Indien er aanwijzingen zijn van strafbare feiten:

Wordt Legal betrokken
Wordt in overleg beslist over aangifte bij bevoegde autoriteiten
Wordt bewijsmateriaal bewaard volgens geldende wettelijke vereisten

Documentatie

Alle forensische handelingen worden opgenomen in het centrale incidentdossier.

De forensische documentatie vormt de basis voor:

Meldingen aan CCB en/of GBA, politie (CCU)
Rapportering aan directie
Interne audit
Verzekeringsdossiers
Eventuele gerechtelijke procedures

10. Privacy-incidenten en datalekbeheer (AVG)

Doel

Dit hoofdstuk beschrijft de aanpak bij informatiebeveiligingsincidenten die (mogelijk) leiden tot een inbreuk op persoonsgegevens, met inbegrip van bijzondere categorieën van gegevens zoals gezondheidsgegevens.

Het doel is om:

De impact op betrokkenen correct te beoordelen
Tijdig te voldoen aan wettelijke meldingsverplichtingen
De rechten en vrijheden van betrokkenen te beschermen

Vaststelling van een mogelijk datalek

Bij elk incident wordt beoordeeld of er sprake kan zijn van:

Ongeautoriseerde toegang tot persoonsgegevens
Ongeoorloofde openbaarmaking
Onbedoeld verlies of vernietiging
Onrechtmatige wijziging van persoonsgegevens

Indien persoonsgegevens betrokken kunnen zijn, wordt de DPO onmiddellijk betrokken.

Risicobeoordeling

De DPO beoordeelt, in samenwerking met de Incident Lead:

De aard van de betrokken gegevens (incl. gezondheidsgegevens)
Het aantal betrokkenen
De gevoeligheid van de gegevens
De waarschijnlijkheid van misbruik
De mogelijke gevolgen voor betrokkenen

Er wordt vastgesteld of er sprake is van:

Geen risico
Risico
Hoog risico voor de rechten en vrijheden van betrokkenen

Meldingsplicht aan de Gegevensbeschermingsautoriteit (GBA)

Indien het incident een risico inhoudt voor de rechten en vrijheden van betrokkenen:

Wordt melding gedaan aan de GBA binnen 72 uur na kennisname
Wordt de melding geregistreerd in het incidentdossier
Worden referentienummers bewaard

Indien melding niet binnen 72 uur kan gebeuren, wordt dit gemotiveerd.

Informatieplicht aan betrokkenen

Indien het incident een hoog risico inhoudt voor betrokkenen:

Worden betrokkenen zonder onredelijke vertraging geïnformeerd
Wordt de communicatie afgestemd met Legal en Communicatie
Wordt duidelijk gecommuniceerd over aard, impact en beschermingsmaatregelen

Documentatieplicht

Ongeacht meldingsplicht wordt elk privacy-incident geregistreerd in het interne datalekregister.

Het register bevat minimaal:

Feiten en omstandigheden
Gevolgen van het incident
Genomen corrigerende maatregelen
Beslissing omtrent meldingsplicht en motivatie

Samenhang met NIS2

Indien het incident tevens kwalificeert als NIS2 significant incident:

Worden beide meldingsverplichtingen afzonderlijk opgevolgd
Wordt afgestemd tussen CISO en DPO
Worden inconsistenties in externe communicatie vermeden

11. NIS2-meldingen en communicatie met bevoegde autoriteiten

Doel

Dit hoofdstuk beschrijft de verplichtingen en werkwijze voor melding van significante incidenten overeenkomstig de NIS2-regelgeving en de nationale implementatie ervan in België.

Het doel is te waarborgen dat meldingen tijdig, correct en via het juiste kanaal gebeuren.

Een incident melden | CCB Safeonweb

Bevoegde autoriteit

Voor Belgische zorginstellingen gebeurt de melding van NIS2-significante incidenten aan:

Centre for Cybersecurity Belgium (CCB)

De melding gebeurt uitsluitend via het officiële meldkanaal van het CCB, met name via het NIS2-incidentmeldingsportaal zoals gepubliceerd op de officiële website van het CCB.

Er wordt geen melding gedaan via:

Algemene e-mailadressen
Informele contacten
Telefonische meldingen zonder formele registratie

Het formele online meldkanaal geldt als officiële kennisgeving.

Meldingsmomenten

Bij een P1-incident wordt beoordeeld of het incident kwalificeert als NIS2-significant incident.

Indien dit het geval is:

Vroege waarschuwing wordt verstuurd binnen 24 uur na kennisname.
Incidentmelding volgt binnen 72 uur.
Eindrapport wordt ingediend binnen de wettelijk bepaalde termijn of na afronding van het onderzoek.

De beoordeling of een incident significant is, gebeurt door de CISO in overleg met het Directiecomité.

Verantwoordelijkheden

De CISO is verantwoordelijk voor de inhoudelijke voorbereiding van de melding (R).
Het Directiecomité valideert de melding indien strategische impact aanwezig is (A).
De melding wordt geregistreerd in het incidentdossier, inclusief referentienummer (R).

Inhoud van de melding

De melding bevat minimaal:

Beschrijving van het incident
Datum en tijd van detectie
Impactanalyse (operationeel, financieel, maatschappelijk)
Reeds genomen maatregelen
Eventuele grensoverschrijdende impact
Contactgegevens van de organisatie

Alle informatie wordt afgestemd met:

DPO (bij persoonsgegevens)
Legal (bij juridische implicaties)
Communicatie (bij publieke impact)

Afstemming met andere autoriteiten

Indien van toepassing wordt parallel afgestemd met:

Gegevensbeschermingsautoriteit (GBA)
Politie (CCU) of gerechtelijke instanties
Sectorale toezichthouders

Meldingen worden inhoudelijk op elkaar afgestemd om tegenstrijdigheden te vermijden.

Documentatie

Elke NIS2-melding wordt:

Geregistreerd in het centrale incidentdossier
Voorzien van datum, tijdstip en referentienummer
Bewaard als formeel bewijs van naleving

12. Interne en externe communicatie (inclusief pers en patiënten)

Doel

Dit hoofdstuk beschrijft hoe communicatie wordt georganiseerd tijdens een actief P1-incident.

Het doel is:

Correcte en consistente informatieverstrekking
Bescherming van patiënten en medewerkers
Beperking van reputatieschade
Vermijden van tegenstrijdige communicatie
Naleving van wettelijke verplichtingen

Communicatieprincipes

Tijdens een actief IRP gelden volgende principes:

Eén gecoördineerde communicatielijn
Geen verspreiding van onbevestigde informatie
Communicatie op basis van feiten
Afstemming tussen Incident Lead, Directie en Communicatie
Bescherming van vertrouwelijke en forensische informatie

Technische details worden niet publiek gedeeld tenzij noodzakelijk.

Interne communicatie

Interne communicatie richt zich tot:

Directiecomité
Medische staf
Afdelingshoofden
Medewerkers

Interne communicatie bevat:

Aard van het incident (op hoofdlijnen)
Impact op systemen en zorgprocessen
Verwachte duur van verstoring
Beschikbare workarounds
Richtlijnen voor medewerkers

Interne communicatie wordt gecoördineerd door de Communicatie Lead in afstemming met het Directiecomité.

Externe communicatie

Externe communicatie kan betrekking hebben op:

Patiënten
Leveranciers
Partners
Media
Toezichthouders

Externe communicatie gebeurt uitsluitend:

Na afstemming met het Directiecomité
In overleg met Legal en DPO indien persoonsgegevens betrokken zijn

Er wordt steeds een duidelijke woordvoerder aangeduid.

Continuïteit van publieke communicatiekanalen

Bij grootschalige cyberincidenten kan de publieke website onbeschikbaar worden door compromittering of preventieve uitschakeling van interne systemen.

Aangezien de website een essentieel communicatiekanaal vormt richting patiënten, familie, pers en partners, voorziet de organisatie in een alternatieve publieke communicatiemogelijkheid.

Indien de primaire website niet beschikbaar is:

Wordt een vooraf bepaalde alternatieve communicatiepagina geactiveerd.
Wordt basisinformatie verstrekt over bereikbaarheid van zorg en eventuele verstoringen.
Wordt via sociale media of andere vooraf vastgelegde kanalen verwezen naar het alternatieve communicatiepunt.

De oplossing voor alternatieve publieke communicatie:

Is onafhankelijk van het interne netwerk.
Kan snel geactiveerd worden.
Bevat geen gevoelige interne systemen of koppelingen.
Wordt periodiek getest.

De Communicatieverantwoordelijke en CISO bewaken samen de paraatheid van dit mechanisme.

Media-aanpak

Indien het incident publieke aandacht krijgt:

Wordt één officiële woordvoerder aangewezen
Worden kernboodschappen vooraf afgestemd
Wordt speculatie vermeden
Wordt transparant gecommuniceerd binnen de grenzen van het onderzoek

Er worden geen technische details gedeeld die het onderzoek of de beveiliging kunnen schaden.

Communicatie met betrokkenen (bij datalek)

Indien vereist onder AVG:

Worden betrokkenen rechtstreeks geïnformeerd
Wordt duidelijke uitleg gegeven over aard en impact
Worden aanbevelingen gegeven ter bescherming

Deze communicatie wordt afgestemd tussen DPO, Legal en Communicatie.

Afstemming met technische respons

Communicatie mag geen technische interventies ondermijnen.

Het IRT valideert dat vrijgegeven informatie:

Geen kwetsbaarheden blootlegt
Geen forensisch onderzoek schaadt
Geen verdere aanval faciliteert

Documentatie

Alle interne en externe communicatie wordt:

Gearchiveerd in het incidentdossier
Tijdgestempeld
Gekoppeld aan de besluitvorming

13. Herstel, validatie en veilige hervatting van dienstverlening

Doel

Dit hoofdstuk beschrijft hoe systemen en processen gecontroleerd worden hersteld na containment en eradication, met als doel:

Veilige hervatting van zorgverlening
Voorkomen van herinfectie of hercompromittering
Bevestigen van integriteit en betrouwbaarheid van gegevens
Herstel van vertrouwen in systemen

Voorwaarden voor herstel

Herstel start pas wanneer:

De dreiging geïdentificeerd en geneutraliseerd is
Geen actieve compromittering meer wordt vastgesteld
Forensische veiligstelling, indien vereist, is afgerond
Beslissing tot herstel is gevalideerd door Incident Lead

Herstelstrategie

Herstel gebeurt gefaseerd en gecontroleerd:

Prioritering van kritieke klinische systemen
Herstel van domein- en identiteitsbeheer
Validatie van back-ups vóór terugplaatsing
Rebuilding van systemen indien nodig
Reset van wachtwoorden en privileged accounts
Versterking van monitoring tijdens heropstart

Back-ups worden enkel teruggezet na verificatie dat ze niet gecompromitteerd zijn.

Validatie

Voor heropstart wordt gecontroleerd:

Integriteit van gegevens
Correcte werking van applicaties
Authenticiteit van accounts
Logging en monitoring functioneren correct
Geen verdachte netwerkactiviteit

Bij klinische systemen wordt afgestemd met Medische Technologie en betrokken diensten.

Gefaseerde hervatting van dienstverlening

Systemen worden niet gelijktijdig volledig vrijgegeven.

De hervatting gebeurt:

Testomgeving of gecontroleerde heropstart
Beperkte productie-activatie
Volledige operationele hervatting

Directie wordt geïnformeerd bij elke belangrijke fase.

Verhoogde monitoring na herstel

Gedurende een vooraf bepaalde periode na herstel:

Wordt verhoogde monitoring toegepast
Worden logs intensiever geanalyseerd
Wordt bijzondere aandacht besteed aan privileged accounts

Doel is detectie van mogelijke restanten of hernieuwde aanvalspogingen.

Formele vrijgave

Een incident wordt pas als technisch gestabiliseerd beschouwd wanneer:

Technisch Lead bevestigt dat systemen veilig functioneren
Incident Lead akkoord geeft op basis van risico-inschatting
Directie geïnformeerd is

Deze beslissing wordt formeel geregistreerd in het incidentdossier.

14. Post-incident review en structurele verbetermaatregelen

Doel

Dit hoofdstuk beschrijft hoe na stabilisatie van een incident een gestructureerde evaluatie wordt uitgevoerd om:

De oorzaak en impact volledig te begrijpen
De effectiviteit van de respons te beoordelen
Structurele verbetermaatregelen te definiëren
Herhaling te voorkomen

De review maakt integraal deel uit van continue verbetering binnen het ISMS en het organisatiebrede risicobeheer.

Timing

Een formele post-incident review wordt uitgevoerd:

Voor elk P1-incident
Voor P2-incidenten indien structurele impact aanwezig was
Indien vereist door Directie of CISO

De review start zodra de acute fase is afgerond en systemen stabiel functioneren.

Inhoud van de review

De evaluatie omvat minimaal:

Tijdslijn van het incident (detectie → herstel)
Oorzaakanalyse (root cause analysis)
Evaluatie van triage en classificatie
Evaluatie van escalatie en besluitvorming
Evaluatie van technische respons
Evaluatie van communicatie
Evaluatie van meldingen aan autoriteiten
Evaluatie van samenwerking met externe partijen

Bij incidenten met klinische impact wordt ook patiëntveiligheid geëvalueerd.

Oorzaakanalyse

Er wordt nagegaan:

Welke kwetsbaarheid of fout het incident mogelijk maakte
Of bestaande controles gefaald hebben
Of detectie tijdig was
Of preventieve maatregelen ontbraken

De analyse richt zich op processen en systemen, niet op individuele schuld.

Verbetermaatregelen

Op basis van de review worden:

Corrigerende maatregelen
Preventieve maatregelen
Structurele verbeteringen

geformuleerd met:

Verantwoordelijke
Deadline
Opvolgingsmechanisme

Deze maatregelen worden opgenomen in het correctieve actie- en/of risicoregister.

Rapportering

De resultaten van de review worden:

Gerapporteerd aan het Directiecomité
Indien relevant gedeeld met het Bestuursorgaan
Opgenomen in ISMS-rapportering

Indien vereist worden eindrapporten gedeeld met bevoegde autoriteiten.

Integratie in governance

De bevindingen worden geïntegreerd in:

Risicobeheer
Beveiligingsarchitectuur
Opleiding en awareness
Continuïteitsplanning

Zo wordt het incident vertaald naar verhoogde weerbaarheid.

15. Templates, checklists en contactlijsten

Doel

Dit hoofdstuk bevat de operationele hulpmiddelen die het Incident Response Team ondersteunen tijdens een actief incident.

De templates en checklists zorgen voor:

Consistente aanpak
Volledige documentatie
Naleving van wettelijke verplichtingen
Snelle en gestructureerde besluitvorming

Incident Intake Template

Bevat minimaal:

Datum en tijd van detectie
Melder
Betrokken systemen
Eerste impactinschatting
Initiële classificatie (P1/P2/P3)
Eerste genomen maatregelen

Activatiechecklist IRP (P1)

Checklist voor formele activatie:

Activatiebesluit genomen door
Incident Lead benoemd
Kernteam samengesteld
Directie geïnformeerd
Incidentdossier aangemaakt
War room ingericht
Externe partijen geïdentificeerd

Triage & Impactanalyse Template (CIA+)

Bevat:

Analyse vertrouwelijkheid
Analyse integriteit
Analyse beschikbaarheid
Authenticiteit & onweerlegbaarheid
Privacy-impact
Patiëntveiligheid
Zorgcontinuïteit
Juridische impact
Reputatierisico
Besluit classificatie

NIS2-meldingschecklist

Beoordeling significant incident
24u waarschuwing voorbereid
72u melding voorbereid
CCB-portaal gebruikt
Referentienummer geregistreerd
Directie gevalideerd

AVG / Datalek Template

Beschrijving incident
Betrokken gegevenscategorieën
Aantal betrokkenen
Risico-inschatting
Besluit meldingsplicht GBA
Communicatie naar betrokkenen

Communicatie Templates

Interne notificatie aan medewerkers
Communicatie aan medische staf
Communicatie aan patiënten
Persverklaring (holding statement)
FAQ-document

Forensische Bewaringschecklist

Logs veiliggesteld
Systeemimages genomen
Chain of custody geregistreerd
Externe forensische partij betrokken (indien nodig)

Herstelvalidatie Checklist

Dreiging geneutraliseerd
Back-ups gevalideerd
Privileged accounts gereset
Monitoring verhoogd
Go-live goedgekeurd

Post-Incident Review Template

Tijdslijn
Root cause
Wat ging goed
Wat kan beter
Corrigerende maatregelen
Preventieve maatregelen
Verantwoordelijke en deadline

Contactlijst Crisispartners

Minimaal:

Incident Lead
Technisch Lead
Directiecomité
DPO
Legal
Communicatie
Biotechniek
CCB contactinformatie
GBA contactinformatie
Externe forensische partner
Cyberverzekeraar
Leveranciers van kritieke systemen

”
},
{
“id”: “1998870”,
“title”: “Incident response plan in case of suspected cyber-attack or incident”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Incident response management / Incident Response Plan (IRP) – Healthcare / Incident response plan in case of suspected cyber-attack or incident”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1261,
“body”: “none

Context

Objectives

The purpose of this document is to define the incident management and mitigation processes shall there be a cyber-attack or a security incident. The document contains a step-by-step description of scenarios triggered by the respective incident or threat.

Security Incident Resolution Procedure

Please note this procedure should be followed for any incidents, as well as any cyber-attack threats.

Disaster Recovery Procedure

Procedure Incidentafhandeling Informatiebeveiliging

none

1. Doel van deze procedure

Deze procedure beschrijft stap voor stap hoe informatiebeveiligingsincidenten operationeel worden behandeld binnen de organisatie, conform het Incident Response Plan (IRP) en het Beleid Informatiebeveiliging Incidentmanagement.

2. Relatie met andere documenten

Beleid Informatiebeveiliging Incidentmanagement (governance)
Incident Response Plan (IRP) (crisis- en escalatiekader)
Procedure Bewijsmateriaal & Chain of Custody
Noodcommunicatieprocedure
BCP/DRP
Datalekprocedure

3. Rollen in deze procedure (operationeel)

Deze procedure beschrijft uitsluitend operationele rollen die betrokken zijn bij de uitvoering van de incidentafhandeling.

Governance-rollen (zoals Bestuursorgaan) worden beschreven in het Beleid en het IRP, maar maken geen deel uit van de dagelijkse operationele uitvoering.

Rol	Operationele verantwoordelijkheid binnen deze procedure
Melder	Signaleert en meldt een (mogelijk) informatiebeveiligingsincident onmiddellijk via de vastgelegde meldkanalen.
Helpdesk / Servicedesk	Registreert het incident, kent een referentienummer toe en zorgt voor eerste administratieve vastlegging.
Incidentcoördinator (SOC / IT)	Voert triage uit, bepaalt prioriteit (P1-P3), start operationele opvolging en bewaakt voortgang.
Incidentbehandelaar	Voert technische analyse, containment, eradicatie en herstel uit. Documenteert alle acties.
CISO	Wordt betrokken bij significante incidenten. Beslist over escalatie naar IRP, crisisteam en externe meldingen (NIS2).
DPO	Beoordeelt incidenten met persoonsgegevens en beslist over meldingsplicht aan GBA en communicatie naar betrokkenen.
Crisisteam	Wordt geactiveerd bij P1-incidenten of bij impact op zorgcontinuïteit. Neemt strategische beslissingen.
Communicatiedienst / Woordvoerder	Verzorgt interne en externe communicatie conform het IRP en communicatieprotocol.
Externe forensische partner (indien van toepassing)	Ondersteunt bij technisch onderzoek en bewijsborging conform forensische procedure.

4. Procedure – Stap voor stap (Narratief)

4.1 Detectie & melding

Nr	Wie	Wat te doen
1	Medewerker / Externe partner	Meldt onmiddellijk elk (mogelijk) informatiebeveiligingsincident via de vastgelegde meldkanalen (helpdesk, incidentmailbox of noodnummer bij kritieke impact).
2	Helpdesk / Servicedesk	Registreert het incident in de incidenttool en kent een uniek referentienummer toe.
3	Helpdesk / Servicedesk	Noteert minimaal: datum en tijd, melder, betrokken systeem/dienst, korte beschrijving van de gebeurtenis.
4	Helpdesk / Servicedesk	Wijst het incident toe aan de Incidentcoördinator.

4.2 Eerste beoordeling (triage)

Nr	Wie	Wat te doen
5	Incidentcoördinator	Bevestigt of het om een informatiebeveiligingsincident gaat.
6	Incidentcoördinator	Bepaalt voorlopige prioriteit (P1, P2 of P3) op basis van impact op CIA+, patiëntveiligheid en zorgcontinuïteit.
7	Incidentcoördinator	Beoordeelt of persoonsgegevens betrokken zijn en informeert indien nodig de DPO.
8	Incidentcoördinator	Documenteert beoordeling en prioriteit in het incidentrecord.
9	Incidentcoördinator	Escaleert P1-incidenten onmiddellijk naar de CISO.

4.3 Escalatie (indien van toepassing)

Bij P1 of significant incident:

Nr	Wie	Wat te doen
10	CISO	Beslist over activatie van het Incident Response Plan (IRP).
11	CISO	Activeert indien nodig het crisisteam.
12	CISO	Beslist over externe meldingen (NIS2, CERT, CCB).
13	DPO	Beoordeelt meldingsplicht aan GBA indien persoonsgegevens betrokken zijn.
14	Incidentcoördinator	Zorgt dat noodcommunicatie wordt opgestart indien reguliere systemen onbeschikbaar zijn.
15	Incidentcoördinator	Gebruikt papieren versie van IRP indien digitale toegang niet beschikbaar is.

4.4 Inperking (Containment)

Nr	Wie	Wat te doen
16	Incidentbehandelaar	Neemt onmiddellijke maatregelen om verdere schade te beperken (bv. isoleren systeem, blokkeren account, segmenteren netwerk).
17	Incidentbehandelaar	Legt alle uitgevoerde acties vast in het incidentrecord.
18	Incidentbehandelaar	Informeert Incidentcoördinator over voortgang.

4.5 Onderzoek & forensische borging

Nr	Wie	Wat te doen
19	Incidentbehandelaar	Verzamelt en bewaart logbestanden en relevante technische gegevens.
20	Incidentbehandelaar	Past Chain of Custody toe indien juridisch relevant.
21	CISO	Beslist over inschakeling van externe forensische experten indien nodig.
22	Incidentbehandelaar	Voert technische analyse uit om oorzaak en impact te bepalen.

4.6 Eradicatie & herstel

Nr	Wie	Wat te doen
23	Incidentbehandelaar	Verwijdert malware of ongewenste configuraties.
24	Incidentbehandelaar	Herstelt systemen vanuit veilige back-ups indien nodig.
25	Incidentbehandelaar	Voert integriteits- en functionele controles uit vóór heringebruikname.
26	Incidentcoördinator	Bevestigt dat dienstverlening veilig kan worden hervat.

4.7 Externe meldingen

Indien van toepassing:

Nr	Wie	Wat te doen
27	CISO	Meldt significante NIS2-incidenten binnen 24 uur via het officiële CCB-kanaal.
28	CISO	Actualiseert melding binnen 72 uur en bij afsluiting.
29	DPO	Meldt datalekken binnen 72 uur aan de bevoegde toezichthouder (GBA).
30	DPO	Coördineert communicatie naar betrokkenen indien vereist.

4.8 Interne & externe communicatie

Nr	Wie	Wat te doen
31	CISO / Directie	Keurt externe communicatie goed.
32	Communicatiedienst	Publiceert interne of externe communicatie volgens communicatieprotocol.
33	Communicatiedienst	Activeert alternatieve communicatiekanalen indien website of e-mail onbeschikbaar is.

4.9 Sluiting incident

Nr	Wie	Wat te doen
34	Incidentcoördinator	Verifieert dat alle herstelacties zijn uitgevoerd.
35	Incidentcoördinator	Controleert of meldingen correct zijn afgehandeld.
36	Incidentcoördinator	Sluit incident formeel af in de incidenttool.

4.10 Post-incident review

Nr	Wie	Wat te doen
37	CISO	Organiseert post-incident review bij P1-incidenten.
38	Incidentteam	Voert root cause analyse uit.
39	CISO	Definieert corrigerende en preventieve maatregelen.
40	Incidentcoördinator	Documenteert lessons learned en volgt acties op via ISMS.

5. Documentatievereisten

Per incident moet minimaal beschikbaar zijn:

Incidentrecord
Impactanalyse
Escalatienota
Meldingsbewijs (CCB/GBA)
Technische logbestanden
Conclusierapport
Lessons learned verslag

6. Swimlane visualisatie

swimlane bevat minimaal deze lanes:

Melder
Helpdesk
Incidentcoördinator
CISO
DPO
Crisisteam
Externe instanties

Flow:
Detectie → Registratie → Triage → Beslispunt → Escalatie → Containment → Herstel → Review → Sluiting

Bijlage: conformiteit met CyFun 2025

Conformiteit CyFun 2025760

Deze procedure ondersteunt onderstaande controles uit het CCB CyberFundamentals Framework (CyFun® 2025 – ESSENTIAL), voor zover zij betrekking hebben op de operationele afhandeling van cybersecurity-incidenten.

────────────────────────────────────────
DETECT
────────────────────────────────────────

• DE.AE-02
Potentially adverse events are analysed to better understand associated activities.
→ Concreet uitgewerkt in hoofdstuk 4 “Detectie en Triage”, waarin elke melding wordt geanalyseerd op aard, betrokken systemen en mogelijke aanvalsvector.

• DE.AE-04
The estimated impact and scope of adverse events are understood.
→ Zie hoofdstuk 5 “Impactanalyse”, waar impact wordt beoordeeld op basis van CIA+ en invloed op kritieke zorgprocessen.

• DE.AE-08
Incidents are declared when adverse events meet the defined incident criteria.
→ Zie hoofdstuk 5.2 “Incidentdeclaratie en Prioritering”, waarin criteria voor formele incidentactivatie (P1–P3) zijn vastgelegd.

• DE.CM-01
Networks and network services are monitored to find potentially adverse events.
→ Zie hoofdstuk 4.1 “Bronnen van detectie”, waarin verwerking van monitoring- en SOC-signalen is beschreven.

────────────────────────────────────────
RESPOND
────────────────────────────────────────

• RS.MA-02
Incident reports are triaged and validated.
→ Zie hoofdstuk 4.2 “Validatie van meldingen”, waarin triage en bevestiging vóór escalatie worden beschreven.

• RS.MA-03
Incidents are categorised and prioritised.
→ Zie hoofdstuk 5.3 “Classificatie en Prioritering”, met de vastgelegde P1–P3-structuur en escalatielogica.

• RS.AN-03
Analysis is performed to establish what has taken place during an incident and the root cause of the incident.
→ Zie hoofdstuk 6 “Technische Analyse en Onderzoek”, inclusief root cause analyse en forensische bewaring.

• RS.AN-08
An incident’s magnitude is estimated and validated.
→ Zie hoofdstuk 5 en 6, waar initiële impactinschatting tijdens verdere analyse wordt bevestigd of bijgesteld.

• RS.CO-02
Internal and external stakeholders are notified of incidents.
→ Zie hoofdstuk 7 “Interne en Externe Communicatie”, inclusief crisiscommunicatie en noodcommunicatie bij uitval van primaire systemen.

• RS.CO-02.2
Cybersecurity incidents shall be shared with relevant external stakeholders within the timeframes defined in the IRP, including reporting significant incidents to authorities as required by law.
→ Zie hoofdstuk 7.4 “Wettelijke Meldingen”, waarin NIS2-meldingen aan CCB en andere bevoegde instanties zijn opgenomen.

• RS.MI-01
Incidents are contained.
→ Zie hoofdstuk 6.3 “Containmentmaatregelen”, waaronder isolatie, blokkering, segmentatie en inzet van externe expertise.

────────────────────────────────────────
RECOVER
────────────────────────────────────────

• RC.RP-01
The recovery portion of the incident response plan is executed once initiated from the incident response process.
→ Zie hoofdstuk 8 “Herstel en Heropstart”, waarin criteria en fasering van herstelactiviteiten zijn vastgelegd.

• RC.CO-03
Recovery activities and progress in restoring operational capabilities are communicated to designated internal and external stakeholders.
→ Zie hoofdstuk 8.4 “Herstelcommunicatie”, waarin voortgang en afsluiting van herstel worden gecommuniceerd.

”
},
{
“id”: “33587204”,
“title”: “Guidelines Incident Response Management”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “16416770”,
“title”: “Cyber Crisis Management Kit”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management / Cyber Crisis Management Kit”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 316,
“body”: “true

”
},
{
“id”: “18219009”,
“title”: “Centraal Crisis- en Recoverybeheer”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management / Cyber Crisis Management Kit / Centraal Crisis- en Recoverybeheer”,
“depth”: 6,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3902,
“body”: “

Doel

Dit kader beschrijft hoe organisaties tijdens een cyberincident hun crisis- en recoverybeheer centraal documenteren en opvolgen op een manier die:

NIS2-conform is
audit- en toezichthouder-proof is (bv. CCB)
het operationele crisisbeheer ondersteunt zonder bijkomende risico’s te creëren

Dit is een methodologisch kader. De concrete implementatie (bv. Confluence, SharePoint) gebeurt in een afgeschermde omgeving, los van mogelijk getroffen IT-systemen.

1. Basisprincipes

Single Source of Truth (SSOT)
Alle crisisinformatie wordt centraal beheerd.
Scheiding van getroffen omgeving
Crisisdocumentatie bevindt zich buiten mogelijk gecompromitteerde systemen.
Feiten ≠ hypothesen
Bevestigde feiten en aannames worden expliciet onderscheiden.
Traceerbare besluitvorming
Elke belangrijke beslissing is gedocumenteerd met context, timing en verantwoordelijkheid.
Geen operationele geheimen
Geen wachtwoorden, tokens, exploitdetails of live technische configuraties.

2. Verplichte documentatiestructuur

Crisisoverzicht
Crisistijdlijn (dag per dag / uur per uur)
Acties en opvolging
Governance en besluitvorming
Impact en scope
Recoverystrategie
Recoveryplan (hoog niveau)
Communicatie en rapportering
Risico’s en open punten
Lessons learned

”
},
{
“id”: “18448385”,
“title”: “Centrale Crisissturing – Beslissingen & Acties”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management / Cyber Crisis Management Kit / Centraal Crisis- en Recoverybeheer / Centrale Crisissturing – Beslissingen & Acties”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3075,
“body”: “

Deze pagina is het centrale stuurinstrument tijdens de crisis.
Alle beslissingen en acties die richting geven aan het crisisbeheer worden hier geregistreerd.
Deze log is de Single Source of Truth voor sturing.

Centrale Crisissturing – Live Log (Single Source of Truth)

Datum	Tijd	Type	Kern (1 zin)	Verantwoordelijke rol	Status
		FEIT / BESLISSING / ACTIE	Wat is vastgesteld / beslist / uitgevoerd	Crisis Lead / IT Lead / Directie	OPEN / LOPEND / AFGEROND

Gebruik:

1 rij = 1 feit, beslissing of actie
Gebruik in kolom Type exact één status (FEIT, BESLISSING of ACTIE)
Stakeholderinput en nuances komen in comments, niet in de tabel

”
},
{
“id”: “18612226”,
“title”: “Incident timeline”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management / Cyber Crisis Management Kit / Centraal Crisis- en Recoverybeheer / Incident timeline”,
“depth”: 7,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2152,
“body”: “

Incident Timeline – Chronologische reconstructie

Deze timeline documenteert het verloop van het incident in de tijd.
Nieuwe inzichten over eerdere gebeurtenissen worden toegevoegd als nieuwe entries.
Dit overzicht dient voor analyse, rapportering en post-incident review.

Incident Timeline – Index

Event datum	Gebeurtenis (kort)	Betrokken domein	Waargenomen door	Detail
		Identiteit / Netwerk / Applicatie	SOC / IT / OCD	Link

”
},
{
“id”: “16613377”,
“title”: “Procedure crisisconnectiviteit en crisiswerkplekken”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RESPOND / Guidelines Incident Response Management / Cyber Crisis Management Kit / Procedure crisisconnectiviteit en crisiswerkplekken”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5948,
“body”: “

Deze procedure beschrijft hoe organisaties tijdens een cyberincident veilige, gecontroleerde connectiviteit en werkplekken dienen te voorzien voor crisismanagement, conform NIS2 en sectorverwachtingen.

Scope

Deze procedure is van toepassing op:

cyberincidenten en grootschalige IT-uitval;
activatie van crisismanagement (C-CIRT);
crisisoverleg en crisisruimtes.

Basisprincipes

Crisisbeheer vereist vooraf ingerichte en beheerde middelen.
Crisisactiviteiten zijn logisch en technisch gescheiden van productie-IT.
Crisiswerking mag niet structureel steunen op privé-toestellen of privé-connectiviteit.

Crisisconnectiviteit

De organisatie voorziet een dedicated crisisnetwerk met volgende kenmerken:

logisch en/of fysiek gescheiden van productie-IT;
toegang tot internet en crisiscommunicatietools;
geen toegang tot productiesystemen (EPD/EHR, medische applicaties);
basisbeveiliging en logging actief.

Het crisisnetwerk wordt uitsluitend gebruikt tijdens activatie van crisismanagement.

Crisiswerkplekken

De organisatie voorziet vooraf ingerichte crisiswerkstations of laptops die:

beheerd en gepatcht zijn;
geen productie-toegang hebben;
voorzien zijn van:
- webbrowser;
- samenwerkingsplatformen;
- documentatie- en rapportagetools.

Persoonlijke toestellen zijn niet de standaard binnen crisisbeheer.

Redundante internettoegang

De organisatie voorziet een beheerde redundante internetoplossing, zoals:

aparte internetverbinding;
beheerde 4G/5G-oplossing;
andere failover-connectiviteit.

Deze connectiviteit is eigendom van de organisatie en centraal beheerd.

Activering

Bij activatie van crisismanagement:

het crisisnetwerk wordt geactiveerd;
crisiswerkplekken worden gebruikt;
crisiscommunicatie verloopt uitsluitend via deze middelen.
Gebruik van privé-middelen is enkel toegelaten als tijdelijke noodmaatregel.

Samenvatting

Effectief crisismanagement vereist vooraf ingerichte, veilige en beheerde connectiviteit en werkplekken. Dit is een kernvereiste binnen NIS2.

”
},
{
“id”: “31817750”,
“title”: “RECOVER”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RECOVER”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20611105”,
“title”: “Recovery & Resilience”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Framework / RECOVER / Recovery & Resilience”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “27492359”,
“title”: “Information Security Management Process”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Management Process”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “426748”,
“title”: “Information Security Risk Management Process”,
“path”: “Overview / Information Security Management System (ISMS) / Information Security Management Process / Information Security Risk Management Process”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20643867”,
“title”: “Compliance Standards Information Security”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21037147”,
“title”: “Compliance Frameworks Cybersecurity”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35389455”,
“title”: “HCCF – Hierarchical Cybersecurity Governance Framework”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / HCCF – Hierarchical Cybersecurity Governance Framework”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 25054,
“body”: “none

Introduction

The HCCF reference model is designed to encourage clear communication by defining cybersecurity and privacy documentation components and how those are linked.

HCCF identifies the primary documentation components that are necessary to demonstrate evidence of due diligence and due care.

The HCGF addresses the inter-connectivity of policies, control objectives, standards, guidelines, controls, assessment objectives, risks, threats, procedures & metrics. The Secure Controls Framework (SCF) fits into this model by providing the necessary cybersecurity and privacy controls an organization needs to implement to stay both secure and compliant.

Based on NIST, ISO, ISACA, AICPA

Definitions

Policies

Policies establish management’s intent.

Policies are high-level statements of management intent from an organization’s executive leadership that are designed to influence decisions and guide the organization to achieve the desired outcomes. Policies are enforced by standards and further implemented by procedures to establish actionable and accountable requirements.

Compliance760

ISACA Glossary:
o A document that records a high-level principle or course of action that has been decided on.
o The intended purpose is to influence and guide both present and future decision making to be in line with the philosophy, objectives and strategic plans established by the enterprise’s management teams.
o Overall intention and direction as formally expressed by management.
ISO 704:2009:
o Any general statement of direction and purpose designed to promote the coordinated planning, practical acquisition, effective development, governance, security practices, or efficient use of information technology resources.
ISO 27000:2016:
o Intention and direction of an organization as formally expressed by its top management.
 NIST Glossary (Policy):
o Statements, rules or assertions that specify the correct or expected behavior of an entity.
o A statement of objectives, rules, practices or regulations governing the activities of people within a certain context.

NIST Glossary (Security Policy):
o Security policies define the objectives and constraints for the security program. Policies are created at several levels, ranging from organization or corporate policy to specific operational constraints (e.g., remote access). In general, policies provide answers to the questions “what” and “why” without dealing with “how.” Policies are normally stated in terms that are technology-independent.
o A set of rules that governs all aspects of security-relevant system and system element behavior.
 Note 1: System elements include technology, machine, and human, elements.
 Note 2: Rules can be stated at very high levels (e.g., an organizational policy defines acceptable behavior of employees in performing their mission/business functions) or at very low levels (e.g., an operating system policy that defines acceptable behavior of executing processes and use of resources by those processes).

Control Objectives

Control objectives identify leading practices.

Control Objectives are targets or desired conditions to be met. These are statements describing what is to be achieved as a result of the organization implementing a Control, which is what a Standard is intended to address with organization-specific criteria.
Where applicable, Control Objectives are directly linked to laws, regulations and frameworks to align cybersecurity and data privacy with reasonably-expected practices. The intent is to establish sufficient evidence of due diligence and due care to withstand scrutiny (e.g., external audits/assessments) to disprove potential accusations of negligence.

Compliance760

ISACA Glossary:
o A statement of the desired result or purpose to be achieved by implementing control procedures in a particular process.
ISO 27000:2016:
o Statement describing what is to be achieved as a result of implementing controls.
 AICPA SSAE No. 18, Attestation Standards Clarification and Recodification:
o The aim or purpose of specified controls at the organization. Control objectives address the risks that controls are intended to mitigate.

E.g. NIS2 compliance, based on ISO 27001 or CyFun

Standards

Standards provide quantifiable requirements.

Standards are mandatory requirements regarding processes, actions and configurations that are designed to satisfy Controls and Control Objectives. Standards are intended to be granular and prescriptive to ensure systems, applications and services are designed and operated to include appropriate cybersecurity and data privacy protections.

Compliance760

ISACA Glossary:
o A mandatory requirement.
NIST Glossary:
o A published statement on a topic specifying the characteristics, usually measurable, that must be satisfied or achieved to comply with the standard.
o A rule, condition, or requirement describing the following information for products, systems, services or practices:
 Classification of components.
 Specification of materials, performance, or operations; or
 Delineation of procedures.

Guidelines

Guidelines are recommended practices that are based on industry-recognized secure practices. Guidelines help augment Standards when discretion is permissible. Unlike Standards, Guidelines allow individuals / teams to apply discretion or leeway in interpretation, implementation, or use.

Compliance760

ISACA Glossary:
o A description of a particular way of accomplishing something that is less prescriptive than a procedure.
ISO 704:2009:
o Recommendations suggesting, but not requiring, practices that produce similar, but not identical, results.
o A documented recommendation of how an organization should implement something.
NIST Glossary:
o Statements used to provide additional explanatory information for security controls or security control enhancements.

Controls

Controls are technical, administrative or physical safeguards. Controls are the nexus used to manage risks through preventing, detecting or lessening the ability of a particular threat from negatively impacting business processes.
Controls directly map to Standards, Procedures and Control Objectives. Control testing is designed to measure specific aspects of how Standards are actually implemented and if the Control / Control Objective is sufficiently addressed.

Assessment Objective (AO)

Assessment Objectives (AOs) are a set of determination statements that express the desired outcome for the assessment of a Control. AOs are the authoritative source of guidance for assessing Controls to generate evidence that can support an assertion that the underlying Control has been satisfied. Generally, all AOs must be satisfied to legitimately conclude a Control is properly implemented.

Compliance760

NIST Glossary:
A set of determination statements that expresses the desired outcome for the assessment of a security control, privacy control, or control enhancement.

Procedures / Control Activities

Procedures are a documented set of steps necessary to perform a specific task or process in conformance with an applicable standard. Procedures help address the question of how the organization actually operationalizes a Policy, Standard or Control.
Without documented procedures, there can be defendable evidence of due care practices. Procedures are generally the responsibility of the process owner / asset custodian to build and maintain but are expected to include stakeholder oversight to ensure applicable compliance requirements are addressed. The result of a procedure is intended to satisfy a specific control. Procedures are also commonly referred to as “control activities.”

Compliance760

ISACA Glossary:
o A document containing a detailed description of the steps necessary to perform specific operations in conformance with applicable standards. Procedures are defined as part of processes.
ISO 704:2009:
o A detailed description of the steps necessary to perform specific operations in conformance with applicable standards.
o A group of instructions in a program designed to perform a specific set of operations.
NIST Glossary:
o A set of instructions used to describe a process or procedure that performs an explicit operation or explicit reaction to a given event.

Threat

Threats represents a person or thing likely to cause damage or danger.
Natural and man-made threats affect control execution (e.g., if the threat materializes, will the control function as expected?). Threats exist in the natural world that can be localized, regional or worldwide (e.g., tornados, earthquakes, solar flares, etc.). Threats can also be man-made (e.g., hacking, riots, theft, terrorism, war, etc.).

Compliance760

ISACA Glossary:
o Anything (e.g., object, substance, human) that is capable of acting against an asset in a manner that can result in harm.
ISO 13335-1:
o A potential cause of an unwanted incident.
NIST Glossary:
o Threat: Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, or individuals through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service. Also, the potential for a threat-source to successfully exploit a particular information system vulnerability.
o Cyberthreat: Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service.

Risk

Risks represents a potential exposure to danger, harm or loss *.
Risk is associated with a control deficiency (e.g., If the control fails, what risk(s) is the organization exposed to?). Risk is often calculated by a formula of the Occurrence Likelihood (OL) (e.g., probability of the event) x the Impact Effect (IE) (e.g., potential, negative consequences) in an attempt to quantify the potential magnitude of a risk instance materializing.
While it is not possible to have a totally risk-free environment, it may be possible to manage risks by avoiding, reducing, transferring, or accepting the risks.

Danger: state of possibly suffering harm or injury
Harm: material / physical damage
Loss: destruction, deprivation or inability to use

Compliance760

ISACA Glossary:
o The combination of the probability of an event and its consequence.
 ISO 704:2009:
o The level of impact on organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation resulting from the operation of an information system given the potential impact of a threat and the likelihood of that threat occurring.
NIST SP 800-53 R5:
o A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically is a function of:
 The adverse impact, or magnitude of harm, that would arise if the circumstance or event occurs; and;
 The likelihood of occurrence.
NIST Glossary:
o A measure of the extent to which an entity is threatened by a potential circumstance or event, and typically a function of:
 → The adverse impacts that would arise if the circumstance or event occurs; and
 → The likelihood of occurrence. Information system-related security risks are those risks that arise from the loss of confidentiality, integrity, or availability of information or information systems and reflect the potential adverse impacts to organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, and the Nation.

Metric

Metrics provide a “point in time” view of specific, discrete measurements, unlike trending and analytics that are derived by comparing a baseline of two or more measurements taken over a period of time.
Analytics are generated from the analysis of metrics. Analytics are designed to facilitate decision-making, evaluate performance and improve accountability through the collection, analysis and reporting of relevant performance related metrics.

Compliance760

ISACA Glossary:
o A quantifiable entity that allows the measurement of the achievement of a process goal.
ISO 704:2009:
o A thing that is measured and reported to help with the management of processes, services, or activities.
NIST Glossary:
o Tools designed to facilitate decision making and improve performance and accountability through collection, analysis, and reporting of relevant performance-related data.

Secure Baseline Configurations / Hardening Standard

Secure baseline configurations (e.g., hardening standard) are technical in nature and specify the required configuration settings for a defined technology platform.
Leading guidance on secure configurations tend to come from:

Center for Internet Security (CIS) Benchmarks;
Defense Information Systems Agency (DISA) Security Technical Implementation Guides (STIGs); and/or:
Original Equipment Manufacturer (OEM) recommendations.

Compliance760

NIST Glossary:
o A documented set of specifications for an information system, or a configuration item within a system, that has been formally reviewed and agreed on at a given point in time, and which can be changed only through change control procedures.
o A set of specifications for a system, or Configuration Item (CI) within a system, that has been formally reviewed and agreed on at a given point in time, and which can be changed only through change control procedures. The baseline configuration is used as a basis for future builds, releases, and/or changes.

Risk Register / Plan of Action & Milestones (POA&M)

A POA&M is a “living document” that summarizes control deficiencies from identification through remediation. A POA&M is essentially a risk register that tracks the assignment of remediation efforts to individuals or teams, as well as identifying the tasks and resources necessary to perform the remediation.

Compliance760

NIST Glossary:
o Risk Register: A repository of risk information including the data understood about risks over time.
o Risk Register: A central record of current risks, and related information, for a given scope or organization. Current risks are comprised of both accepted risks and risk that are have a planned mitigation path (e.g., risks to-be-eliminated as annotated in a POA&M).
o POA&M: A document that identifies tasks that need to be accomplished. It details resources required to accomplish the elements of the plan, milestones for meeting the tasks, and the scheduled completion dates for the milestones.

System Security Plan (SSP) / System Security & Privacy Plan (SSPP)

A SSP/SSPP is a “living document” that summarizes protection mechanisms for a system or project. It is a documentation method used to capture pertinent information in a condensed manner so that personnel can be quickly educated on the “who, what, when, where, how & why” concepts pertaining to the security of the system or project. A SSP/SSPP is meant to reference an organization’s existing policies, standards and procedures and is not a substitute for that documentation.

Compliance760

NIST Glossary:
o Formal document that provides an overview of the security requirements for an information system and describes the security controls in place or planned for meeting those requirements.

”
},
{
“id”: “1015843”,
“title”: “CyFun Framework (2025)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025)”,
“depth”: 4,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “753665”,
“title”: “IDENTIFY (ID)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / IDENTIFY (ID)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “622604”,
“title”: “Asset Management (ID.AM)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / IDENTIFY (ID) / Asset Management (ID.AM)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “884737”,
“title”: “Risk Assessment (ID.RA)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / IDENTIFY (ID) / Risk Assessment (ID.RA)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “884744”,
“title”: “Improvements (ID.AM)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / IDENTIFY (ID) / Improvements (ID.AM)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “557070”,
“title”: “PROTECT (PR)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “622611”,
“title”: “Authentication & Access Control (PR.AA)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR) / Authentication & Access Control (PR.AA)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “557077”,
“title”: “Awareness & Training (PR.AT)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR) / Awareness & Training (PR.AT)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “786442”,
“title”: “Data Security (PR.DS)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR) / Data Security (PR.DS)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “425995”,
“title”: “Platform security (PR.PS)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR) / Platform security (PR.PS)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “655378”,
“title”: “Infrastructure Resilience (PR.IR)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / PROTECT (PR) / Infrastructure Resilience (PR.IR)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “884769”,
“title”: “DETECT (DE)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / DETECT (DE)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “589835”,
“title”: “Continuous Monitoring (DE.CM)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / DETECT (DE) / Continuous Monitoring (DE.CM)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “950273”,
“title”: “Adverse Events (DE.AE)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / DETECT (DE) / Adverse Events (DE.AE)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “458769”,
“title”: “RESPOND (RS)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RESPOND (RS)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “622632”,
“title”: “Incident Management (RS.MA)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RESPOND (RS) / Incident Management (RS.MA)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “884784”,
“title”: “Incident Analysis (RS.AN)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RESPOND (RS) / Incident Analysis (RS.AN)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “655385”,
“title”: “Incident response reporting and communication (RS.CO)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RESPOND (RS) / Incident response reporting and communication (RS.CO)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “917509”,
“title”: “Incident Mitigation (RS.MI)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RESPOND (RS) / Incident Mitigation (RS.MI)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “950282”,
“title”: “RECOVER (RC)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RECOVER (RC)”,
“depth”: 5,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “426003”,
“title”: “Incident recovery plan execution (RC.RP)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RECOVER (RC) / Incident recovery plan execution (RC.RP)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “884793”,
“title”: “Incident recovery communication (RC.CO)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2025) / RECOVER (RC) / Incident recovery communication (RC.CO)”,
“depth”: 6,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21069841”,
“title”: “CyFun Framework (2023)”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / Compliance Frameworks Cybersecurity / CyFun Framework (2023)”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20348975”,
“title”: “ISO/IEC 27K Family of Standards”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20348948”,
“title”: “ISO/IEC 27001 — Information security management systems (ISMS) — Requirements”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards / ISO/IEC 27001 — Information security management systems (ISMS) — Requirements”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2177,
“body”: “

ISO/IEC 27001 — Managementsysteem voor informatiebeveiliging (ISMS)

Waarom deze standaard?

Binnen een bredere GRC-aanpak vormt informatiebeveiliging een afzonderlijk en kritisch risicodomein. ISO/IEC 27001 biedt een specifiek en internationaal erkend kader om dit domein gestructureerd, risicogebaseerd en bestuurbaar te organiseren.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27001 gebruiken als normatief kader voor een Information Security Management System (ISMS), ingebed in een overkoepelend GRC-model. De standaard ondersteunt bij het identificeren, beheersen en opvolgen van informatiebeveiligingsrisico’s, in samenhang met andere risicodomeinen en in afstemming met bredere risicokaders zoals ISO 31000, continuïteitskaders zoals ISO 22301, en diverse wettelijke en sectorale vereisten op het vlak van informatiebeveiliging.

Wat draagt deze standaard concreet bij?

ISO/IEC 27001 draagt bij aan:

gerichte beheersing van informatiebeveiligingsrisico’s
samenhang tussen beleid, maatregelen en uitvoering
aantoonbaarheid richting bestuur, toezichthouders en auditors
een stabiele basis voor compliance, incidentbeheer en continue verbetering

”
},
{
“id”: “20611117”,
“title”: “ISO/IEC 27002 — Information security controls”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards / ISO/IEC 27002 — Information security controls”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2230,
“body”: “

ISO/IEC 27002 — Beheersmaatregelen voor informatiebeveiliging

Waarom deze standaard?

Informatiebeveiliging gaat niet alleen over IT-systemen, maar over mensen, processen, fysieke omgevingen en technologie. ISO/IEC 27002 biedt een breed en samenhangend kader van beheersmaatregelen om informatie in al haar vormen te beschermen, ongeacht waar die zich bevindt of hoe ze wordt verwerkt.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27002 gebruiken als referentiekader voor informatiebeveiligingsmaatregelen binnen een ISMS en een bredere GRC-aanpak. De standaard ondersteunt het selecteren en combineren van maatregelen over meerdere domeinen heen, zoals organisatie, personeel, fysieke beveiliging, operationele processen, leveranciers en IT. Hierdoor ontstaat één geïntegreerde kijk op informatiebeveiliging, gedragen door verschillende disciplines.

Wat draagt deze standaard concreet bij?

ISO/IEC 27002 draagt bij aan:

een holistische benadering van informatiebeveiliging
duidelijke samenhang tussen organisatorische, fysieke en technische maatregelen
betere afstemming tussen IT, kwaliteit, veiligheid en bedrijfsvoering
herbruikbare beheersmaatregelen voor diverse wetgevende en normatieve kaders

”
},
{
“id”: “20348968”,
“title”: “ISO/IEC 27004 — Information security management — Monitoring, measurement, analysis and evaluation”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards / ISO/IEC 27004 — Information security management — Monitoring, measurement, analysis and evaluation”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2302,
“body”: “

ISO/IEC 27004 — Informatiebeveiliging — Monitoring, meting, analyse en evaluatie

Waarom deze standaard?

Zonder meting blijft informatiebeveiliging een kwestie van aannames en perceptie. ISO/IEC 27004 biedt een kader om informatiebeveiliging objectief, consistent en bestuurbaar te maken door middel van betekenisvolle metingen. De standaard ondersteunt organisaties om verder te gaan dan “we hebben maatregelen”, en inzicht te krijgen in of die maatregelen ook werken.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27004 gebruiken als referentiekader om metrics en indicatoren te definiëren binnen hun ISMS en bredere GRC-aanpak. De standaard helpt bij het kiezen van relevante metingen op verschillende niveaus, zoals beleid, processen, maatregelen en resultaten. Hierdoor ontstaat een samenhangend meetmodel dat zowel operationeel bruikbaar is als geschikt voor rapportering aan management en toezichthouders.

Wat draagt deze standaard concreet bij?

ISO/IEC 27004 draagt bij aan:

objectieve inzichten in de effectiviteit van informatiebeveiliging
onderbouwde sturing en prioritering op basis van data
consistente rapportering over risico’s, controls en prestaties
betere aansluiting tussen operationele realiteit en bestuurlijke besluitvorming

”
},
{
“id”: “21069878”,
“title”: “ISO/IEC 27005 — Information security risk management”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards / ISO/IEC 27005 — Information security risk management”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2329,
“body”: “

ISO/IEC 27005 — Risicomanagement voor informatiebeveiliging

Waarom deze standaard?

Informatiebeveiliging is een specifiek risicodomein binnen GRC en vraagt om risicoanalyse die dezelfde principes volgt als ISO 31000, maar toegepast op informatie, gegevens, systemen en digitale afhankelijkheden. ISO/IEC 27005 biedt hiervoor een gestructureerd en internationaal erkend kader.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27005 gebruiken als methodologisch kader voor risicoanalyses binnen het domein informatiebeveiliging. De standaard ondersteunt bij risico-identificatie, -analyse, -evaluatie en -behandeling, en sluit aan op een ISMS volgens ISO/IEC 27001 en de selectie van beheersmaatregelen volgens ISO/IEC 27002.

Wat draagt deze standaard concreet bij?

ISO/IEC 27005 draagt bij aan:

consistente en herhaalbare risicoanalyses voor informatiebeveiliging
duidelijke koppeling tussen risico’s en beveiligingsmaatregelen
betere prioritering van investeringen en inspanningen
onderbouwde besluitvorming richting management en toezichthouders

ISO 31000 bepaalt de principes; ISO/IEC 27005 operationaliseert die principes voor informatiebeveiliging.

”
},
{
“id”: “53444609”,
“title”: “ISO/IEC 27035 — Information security incident management”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / ISO/IEC 27K Family of Standards / ISO/IEC 27035 — Information security incident management”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “21004415”,
“title”: “NIST/CSF”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / NIST/CSF”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “76382214”,
“title”: “IEC 62443”,
“path”: “Overview / Information Security Management System (ISMS) / Compliance Standards Information Security / IEC 62443”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “91684866”,
“title”: “ITIL and IT Service Management (ITSM) in the Context of Cyber Resilience”,
“path”: “Overview / Information Security Management System (ISMS) / ITIL and IT Service Management (ITSM) in the Context of Cyber Resilience”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 10189,
“body”: “

Context

Modern organizations rely heavily on digital services to support their operational processes. In sectors such as healthcare, these services enable critical capabilities such as patient administration, clinical documentation, diagnostics, and treatment coordination.

When these services fail, operational processes are disrupted and the organization’s ability to deliver essential services is compromised. This makes reliable IT service management a fundamental component of organizational resilience.

Within the smartNIS2 approach, the objective is therefore not only to secure systems, but to ensure that digital services supporting critical operational processes remain available, reliable, and recoverable, even in the event of cyber incidents or other disruptions.

Frameworks such as ITIL (Information Technology Infrastructure Library) provide structured practices for managing IT services in a consistent and controlled way.

Definition of ITIL

ITIL (Information Technology Infrastructure Library) is a widely adopted framework for IT Service Management (ITSM).

It provides a set of best practices for designing, delivering, operating, and improving IT services so that they effectively support the needs of the organization.

The core principle of ITIL is that IT should not be managed as a collection of technologies, but as a set of services that enable business processes and outcomes.

Examples of IT services in a healthcare environment include:

Patient administration systems
Electronic health record systems
Laboratory information systems
Imaging systems
Scheduling and admission systems

Effective IT service management ensures that these services remain available, reliable, secure, and recoverable.

ITIL and Sinek’s Golden Circle

Why is IT service management important?

The purpose of IT service management is to ensure that digital services reliably support the organization’s operational capabilities.

In the context of smartNIS2, this is essential for cyber resilience: the ability of the organization to continue delivering critical services even during disruptive events such as cyberattacks, system failures, or infrastructure outages.

Reliable IT services are therefore a prerequisite for maintaining operational continuity and patient safety.

How does ITIL work?

ITIL supports this objective by providing structured practices for managing the lifecycle of IT services.

These practices include:

defining and managing IT services
monitoring service performance and availability
managing incidents and service disruptions
controlling changes to systems and applications
continuously improving service quality

Through these practices, ITIL helps organizations maintain stable, predictable, and well-governed IT services.

What delivers ITIL concrete?

In practical terms, ITIL enables organizations to:

define the IT services that support operational processes
manage incidents and restore services when disruptions occur
control changes to applications and infrastructure
monitor service performance and availability
continuously improve the reliability and quality of IT services

Within the smartNIS2 framework, ITIL complements the process-centric resilience model by ensuring that the applications and systems supporting critical processes are managed as reliable services.

Examples of ITIL-based IT Service Management Platforms

In practice, organizations usually implement ITIL practices through an IT Service Management (ITSM) platform. These platforms provide structured workflows for incident management, service requests, change management, and asset or configuration management.

Commonly used ITSM platforms in the Benelux region are:

TOPdesk

TOPdesk is widely used in public sector organizations, hospitals, universities, and municipalities. It provides a service desk platform for managing incidents, service requests, changes, and configuration items. Many organizations also use it to maintain an inventory of applications, infrastructure components, and service dependencies.

Ivanti

Ivanti provides enterprise IT service management and asset management solutions. Its platforms are often used to manage IT services, endpoint management, configuration management, and service desk operations. Ivanti environments may also include configuration or asset registers that describe systems, applications, and infrastructure components.

Within the smartNIS2 approach, these platforms can provide valuable input for identifying applications, systems, and infrastructure dependencies that support critical operational processes.

However, smartNIS2 introduces an important shift: instead of starting from IT services or technical assets, the analysis begins with critical operational processes. The IT services, applications, and infrastructure supporting those processes are then identified as dependencies.

Link with NIS2 and CyFun 2025760

NIS2 Article 21 requires organisations to implement cybersecurity risk-management measures including incident handling, business continuity, backup and disaster recovery, supply chain security, security in system acquisition, development and maintenance, and asset management.
CyFun 2025 makes this link even more explicit in its cyber resilience model. The framework aims to increase cyber resilience and includes concrete requirements such as:
- ID.AM: assets required for business purposes (data, personnel, devices, systems and facilities) must be identified and managed.
- ID.AM-2: software platforms and applications must be inventoried.
- ID.AM-3: communication and data flows must be mapped.
- ID.AM-4: external information systems must be catalogued.
- ID.AM-5: resources must be prioritized based on classification, criticality and business value.
- PR.IP-9: response and recovery plans must be established and managed, including business continuity and disaster recovery.
The Recover function focuses on maintaining resilience and restoring services following a cyber incident.

Within the smartNIS2 methodology, these requirements are operationalized through a process-centric resilience model based on the APQC Process Classification Framework (PCF). Critical process groups, their service objectives, supporting assets and recovery capabilities are systematically identified in order to support cyber resilience and operational continuity.

”
},
{
“id”: “91717639”,
“title”: “Site Reliability Engineering (SRE) and Cyber Resilience”,
“path”: “Overview / Information Security Management System (ISMS) / Site Reliability Engineering (SRE) and Cyber Resilience”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 7923,
“body”: “

Context

As organizations become increasingly dependent on digital services, the reliability of the systems supporting critical operations becomes essential. In sectors such as healthcare, disruptions to digital systems can immediately impact operational continuity and patient safety.

Traditional IT service management frameworks such as ITIL provide structured practices for managing IT services. However, modern digital environments also require engineering approaches that ensure systems remain reliable, scalable and resilient under real-world operational conditions.

Site Reliability Engineering (SRE) emerged as a discipline to address this need by combining software engineering practices with operations management. Within the smartNIS2 approach, SRE concepts are particularly relevant because they focus on maintaining and restoring reliable services in complex digital environments.

Definition of Site Reliability Engineering

Site Reliability Engineering (SRE) is an engineering discipline that applies software engineering principles to the operation and reliability of large-scale systems.

The concept was originally developed at Google to ensure that critical digital services remain reliable, available and resilient even in highly complex infrastructures.

SRE focuses on designing systems that are able to maintain reliable service delivery, detect failures quickly, and recover rapidly from disruptions.

Key SRE concepts include:

Service Level Objectives (SLOs)
Reliability metrics and monitoring
Automation of operational tasks
Incident response and post-incident learning
Continuous improvement of system reliability

SRE and Sinek’s Golden Circle

Why does SRE matter?

The purpose of Site Reliability Engineering is to ensure that critical digital services remain reliable and resilient.

Within the smartNIS2 approach, this directly supports the objective of cyber resilience: the ability of an organization to maintain or rapidly restore critical operational capabilities during disruptive events, including cyber incidents.

Reliable digital services are therefore essential for maintaining operational continuity and protecting critical business processes.

How does SRE do this?

SRE achieves this by applying engineering practices to the management and operation of systems.

This includes:

defining reliability targets through Service Level Objectives (SLOs)
monitoring systems and services in real time
automating operational processes to reduce human error
managing incidents through structured response processes
analyzing incidents to continuously improve system resilience

What does SRE deliver concretely?

In practical terms, SRE enables organizations to:

define measurable reliability objectives for digital services
monitor the availability and performance of systems
detect and respond to operational incidents rapidly
automate system operations and recovery procedures
improve resilience through continuous operational learning

Within the smartNIS2 framework, SRE complements ITIL and Business Continuity Management by providing engineering practices that strengthen the reliability and recoverability of the applications and systems supporting critical operational processes.

ITIL, SRE and Business Continuity in the smartNIS2 Resilience Model

Within the smartNIS2 methodology, ITIL, Site Reliability Engineering (SRE), and Business Continuity Management each contribute to strengthening cyber resilience, but they address different aspects of operational reliability.

ITIL focuses on the structured management of IT services. It provides practices for incident management, change management, service monitoring, and operational governance, ensuring that digital services supporting the organization are managed in a controlled and predictable way.

Site Reliability Engineering complements this by applying engineering practices to improve the reliability and resilience of systems. SRE introduces measurable reliability objectives, monitoring, automation, and continuous operational learning to maintain stable and recoverable digital services.

Business Continuity Management focuses on ensuring that critical operational capabilities of the organization can continue or be restored during disruptive events.

Within the smartNIS2 approach, these disciplines are integrated through a process-centric resilience model based on the APQC Process Classification Framework (PCF).

Critical PCF process groups are identified and analyzed through Business Impact Analysis (BIA). For each process group, service objectives, operational dependencies, and recovery capabilities are determined. ITIL practices support the operational management of the underlying IT services, while SRE practices strengthen the reliability and recoverability of the applications and systems supporting those processes.

Together, these approaches contribute to the overarching objective of cyber resilience: the ability of the organization to maintain or rapidly restore critical operational capabilities during and after disruptive events, including cyber incidents.

”
},
{
“id”: “35160233”,
“title”: “Privacy Management System (PMS)”,
“path”: “Overview / Privacy Management System (PMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35127452”,
“title”: “Principles of Privacy Management”,
“path”: “Overview / Privacy Management System (PMS) / Principles of Privacy Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36405387”,
“title”: “Principles Statement of Privacy Management”,
“path”: “Overview / Privacy Management System (PMS) / Principles of Privacy Management / Principles Statement of Privacy Management”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 18473,
“body”: “

Principesverklaring Privacy Management

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij privacy en gegevensbescherming binnen de organisatie organiseren en aansturen via een Privacy Management System (PMS).

Privacy en gegevensbescherming zijn voor ons een onderdeel van goed bestuur en een essentiële voorwaarde voor kwaliteitsvolle, veilige en mensgerichte zorg. Zij beschermen de waardigheid, autonomie en rechten van patiënten, cliënten, medewerkers en andere betrokkenen, en dragen bij aan vertrouwen in de zorgrelatie en in de organisatie als geheel.

Het Privacy Management System vormt het overkoepelende kader waarbinnen wij governance, risico- en impactbeheer, beheersmaatregelen, verantwoordelijkheden en continue verbetering inzake privacy organiseren.
Het PMS omvat onder meer een Privacy Information Management System (PIMS), dat als normatief kader voor privacy governance en privacy-controls integraal is ingebed binnen het PMS en in samenhang functioneert met het Information Security Management System.

Binnen dat kader maken wij bewuste en expliciete keuzes in de manier waarop wij privacy en gegevensbescherming vormgeven, gebaseerd op een ‘best of worlds’-benadering.

Daarbij laten wij ons leiden door:

ISO/IEC 27701 als referentiekader voor privacy information management (PIMS),
de aanverwante ISO/IEC 29K-reeks voor privacyprincipes en PII-beschermingsmaatregelen,
ISO/IEC 27017 en ISO/IEC 27018 voor privacy- en beveiligingsmaatregelen in cloudomgevingen,
ISO/IEC 27560 voor de gestructureerde vastlegging van toestemming,
ISO 31700-1 voor privacy by design bij producten en diensten,
en het NIST Privacy Framework als aanvullend referentiekader voor privacy-risicobeheer op organisatieniveau.

Deze principes:

drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot privacy en gegevensbescherming,
zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt voor het Privacy Management System,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in context of verwachtingen.

De principes beantwoorden het waarom van privacy management binnen de organisatie.
Zij bepalen niet hoe privacy concreet wordt ingericht, noch welke specifieke maatregelen worden genomen.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Wij beschouwen privacy en gegevensbescherming als een bestuurlijke verantwoordelijkheid.

Bestuur en Directie nemen expliciet eigenaarschap op voor de richting, prioriteiten en randvoorwaarden van privacy management en erkennen de directe impact ervan op vertrouwen, zorgkwaliteit en de rechten van betrokkenen. Privacy wordt gedragen en uitgedragen vanuit leiderschap en voorbeeldgedrag.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Governance en verantwoordingsstructuur voor privacy information management
ISO/IEC 29100 – Privacy governance en fundamentele privacyprincipes
NIST Privacy Framework – Governance van privacy als organisatierisico

Principe 2 – Risicogebaseerde benadering

Wij organiseren privacy management op basis van een risicogebaseerde benadering.

Privacyrisico’s worden beoordeeld in functie van de mogelijke impact op de rechten en vrijheden van betrokkenen, met bijzondere aandacht voor kwetsbare personen in de zorgcontext. Beslissingen zijn proportioneel, onderbouwd en afgestemd op de ernst van mogelijke gevolgen.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Privacy risico- en impactbeheer voor PII-verwerkingen
ISO/IEC 29100 – Risicogebaseerde benadering van privacybescherming
NIST Privacy Framework – Identificatie en beoordeling van privacyrisico’s

Principe 3 – Bescherming van rechten en vrijheden van betrokkenen

Wij stellen de rechten en vrijheden van betrokkenen centraal in ons privacy management.

De bescherming van persoonsgegevens is geen doel op zich, maar een middel om de menselijke waardigheid, autonomie, vertrouwelijkheid en gelijkwaardige behandeling van patiënten, cliënten, medewerkers en andere betrokkenen te waarborgen.

Compliance – en normatieve onderbouwing760

ISO/IEC 29100 – Bescherming van rechten en belangen van betrokkenen
ISO/IEC 27701 – Vereisten voor PII-verwerking door verwerkingsverantwoordelijken en verwerkers
ISO/IEC 29151 – Beheersmaatregelen voor bescherming van persoonsgegevens

Principe 4 – Gelaagde en samenhangende privacybeheersing

Wij hanteren een gelaagde en samenhangende benadering van privacybeheer.

Privacy wordt geborgd via een samenhangend geheel van organisatorische, procedurele en technische maatregelen, die elkaar versterken over de volledige levenscyclus van persoonsgegevens heen en in samenhang functioneren met andere beschermingsmaatregelen binnen de organisatie.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Samenhangend stelsel van privacy-controls
ISO/IEC 29151 – Praktijkrichtlijnen voor PII-beschermingsmaatregelen
ISO/IEC 27017 – Cloud-specifieke beveiligingsmaatregelen met privacy-impact
ISO/IEC 27018 – Bescherming van persoonsgegevens in publieke cloudomgevingen

Principe 5 – Integratie in organisatie en zorgprocessen

Wij beschouwen privacy als een integraal onderdeel van de organisatie en haar zorgprocessen.

Privacy-overwegingen zijn ingebed in klinische en ondersteunende processen, besluitvorming, digitalisering en verandering, en sluiten aan bij kwaliteits- en patiëntveiligheidsinitiatieven binnen de zorgorganisatie.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Integratie van privacy in organisatorische processen
ISO/IEC 29100 – Privacy als onderdeel van organisatieontwerp
NIST Privacy Framework – Integratie van privacy in enterprise risk management

Principe 6 – Samenhang met andere managementsystemen

Wij borgen expliciete samenhang tussen het Privacy Management System en andere managementsystemen binnen de organisatie.

Deze samenhang is essentieel om consistente keuzes te maken, tegenstrijdigheden te vermijden en privacy holistisch te beheren in samenhang met informatiebeveiliging, fysieke beveiliging, bedrijfscontinuïteit, kwaliteit en risicomanagement.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Afstemming van privacy management met ISMS
ISO/IEC 29100 – Holistische benadering van privacy binnen governance
NIST Privacy Framework – Koppeling tussen privacy, security en risico

Principe 7 – Naleving van normen en verplichtingen

Wij handelen in overeenstemming met toepasselijke normen, standaarden en andere bindende verplichtingen die relevant zijn voor privacy en gegevensbescherming.

Naleving vormt een fundamenteel uitgangspunt binnen het Privacy Management System en ondersteunt de betrouwbaarheid, professionaliteit en maatschappelijke verantwoordelijkheid van de organisatie.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Aantoonbare naleving en accountability voor privacy management
ISO/IEC 29100 – Conformiteit met erkende privacyprincipes
ISO/IEC 29151 – Ondersteuning van naleving via PII-controls

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Wij achten duidelijke rollen, verantwoordelijkheden en verantwoordelijkheidszin essentieel voor effectieve privacybescherming.

Iedereen binnen de organisatie heeft hierin een rol, afgestemd op zijn of haar functie en context. Wij bevorderen bewustzijn, deskundigheid en betrokkenheid op alle niveaus, met bijzondere aandacht voor de zorgpraktijk.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Rollen, verantwoordelijkheden en privacy awareness
ISO/IEC 29100 – Verantwoordelijkheid en accountability in privacy governance
NIST Privacy Framework – Organisatorische verantwoordelijkheden voor privacy

Principe 9 – Duurzame en verantwoorde besluitvorming

Wij nemen beslissingen over privacy en gegevensbescherming op een duurzame en verantwoorde manier, met respect voor mens, maatschappij en planetaire grenzen.

Wij vermijden oplossingen die op korte termijn efficiënt lijken, maar op lange termijn afbreuk doen aan vertrouwen, zorgrelaties of maatschappelijke waarden.

Compliance – en normatieve onderbouwing760

ISO 31700-1 – Privacy by design bij producten en diensten
ISO/IEC 29100 – Fairness, proportionaliteit en legitieme verwerking
NIST Privacy Framework – Ethische en verantwoorde omgang met persoonsgegevens

Principe 10 – Continue evaluatie en verbetering

Wij beschouwen privacy management als een continu te evalueren en te verbeteren domein.

Het Privacy Management System leert uit incidenten, vragen van betrokkenen, evaluaties en veranderingen in zorgpraktijk, technologie en context, en evolueert mee met de organisatie en haar maatschappelijke opdracht.

Compliance – en normatieve onderbouwing760

ISO/IEC 27701 – Monitoring, evaluatie en continue verbetering van privacy management
ISO/IEC 29100 – Permanente effectiviteit van privacybescherming
NIST Privacy Framework – Evalueren en bijsturen van privacymaatregelen

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van privacy en gegevensbescherming binnen de organisatie.

Zij geven richting aan besluitvorming, prioritering en afwegingen en zorgen voor samenhang, consistentie en duidelijkheid in hoe wij omgaan met persoonsgegevens en de rechten en vrijheden van betrokkenen, in het kader van kwaliteitsvolle, veilige en mensgerichte zorg.

De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen het Privacy Management System en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven.

”
},
{
“id”: “35127459”,
“title”: “Privacy Management Framework”,
“path”: “Overview / Privacy Management System (PMS) / Privacy Management Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35389788”,
“title”: “Data Privacy Policy”,
“path”: “Overview / Privacy Management System (PMS) / Privacy Management Framework / Data Privacy Policy”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “36470893”,
“title”: “Privacy Management Process”,
“path”: “Overview / Privacy Management System (PMS) / Privacy Management Process”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35520694”,
“title”: “Compliance Standards Privacy Management”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35127493”,
“title”: “ISO Standards related to Privacy Management”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 316,
“body”: “true

”
},
{
“id”: “36470901”,
“title”: “ISO/IEC 27701 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 27701 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 214,
“body”: “

ISO/IEC 27701 – Beveiligingstechnieken — Uitbreiding op ISO/IEC 27001 en ISO/IEC 27002 voor privacy-informatiebeheer — Eisen en richtlijnen

”
},
{
“id”: “36634702”,
“title”: “ISO/IEC 27017 – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 27017 – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 154,
“body”: “

ISO/IEC 27017 – Praktijkrichtlijn voor informatiebeveiligingsmaatregelen voor clouddiensten

”
},
{
“id”: “35127483”,
“title”: “ISO/IEC 27018 – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 27018 – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 165,
“body”: “

ISO/IEC 27018 – Praktijkrichtlijn voor de bescherming van persoonsgegevens in publieke cloudomgevingen

”
},
{
“id”: “35389701”,
“title”: “ISO/IEC 27560 – Privacy technologies — Consent record information structure”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 27560 – Privacy technologies — Consent record information structure”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 155,
“body”: “

ISO/IEC 27560 – Privacytechnologieën — Structuur voor vastlegging van toestemming

”
},
{
“id”: “35520701”,
“title”: “ISO/IEC 29100 – Information technology — Security techniques — Privacy framework”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 29100 – Information technology — Security techniques — Privacy framework”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 155,
“body”: “

ISO/IEC 29100 – Informatietechnologie — Beveiligingstechnieken — Privacyraamwerk

”
},
{
“id”: “35389692”,
“title”: “ISO/IEC 29151 – Information technology — Security techniques — Code of practice for personally identifiable information protection”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO/IEC 29151 – Information technology — Security techniques — Code of practice for personally identifiable information protection”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 198,
“body”: “

ISO/IEC 29151 – Informatietechnologie — Beveiligingstechnieken — Praktijkrichtlijn voor de bescherming van persoonsgegevens

”
},
{
“id”: “36405380”,
“title”: “ISO 31700-1 – Consumer protection — Privacy by design for consumer goods and services — Requirements”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / ISO Standards related to Privacy Management / ISO 31700-1 – Consumer protection — Privacy by design for consumer goods and services — Requirements”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 166,
“body”: “

ISO 31700-1 – Consumentenbescherming — Privacy by design voor producten en diensten — Eisen

”
},
{
“id”: “36601950”,
“title”: “NIST Standards related to Privacy Management”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / NIST Standards related to Privacy Management”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35520711”,
“title”: “NIST Privacy Framework – A Tool for Improving Privacy through Enterprise Risk Management”,
“path”: “Overview / Privacy Management System (PMS) / Compliance Standards Privacy Management / NIST Standards related to Privacy Management / NIST Privacy Framework – A Tool for Improving Privacy through Enterprise Risk Management”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 156,
“body”: “

NIST Privacy Framework – Raamwerk voor het verbeteren van privacy via enterprise risicobeheer

”
},
{
“id”: “20611089”,
“title”: “Physical Security Management System (PSMS)”,
“path”: “Overview / Physical Security Management System (PSMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36405249”,
“title”: “Principles of Physical Security”,
“path”: “Overview / Physical Security Management System (PSMS) / Principles of Physical Security”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3979,
“body”: “

Purpose and status of the principles

The principles defined for this management system express the explicit intent and direction set by Executive Management and the Board for this domain.

They describe what the organisation fundamentally stands for, the boundaries that guide decision-making, and the priorities that shape behaviour, design choices and trade-offs over time.

These principles form the authoritative foundation for:

the underlying framework,
the design of processes and controls,
and day-to-day decisions at all levels of the organisation.

Doel en status van de principes

De principes die voor dit managementsysteem zijn vastgelegd, drukken de expliciete intentie en richting uit die door Directie en Bestuur voor dit domein zijn bepaald.

Deze principes vormen het gezaghebbende fundament voor:

het onderliggende framework,
het ontwerp van processen en beheersmaatregelen,
en de dagelijkse beslissingen op alle niveaus van de organisatie.

”
},
{
“id”: “35389578”,
“title”: “Principles Statement Physical Security”,
“path”: “Overview / Physical Security Management System (PSMS) / Principles of Physical Security / Principles Statement Physical Security”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 16566,
“body”: “

Principesverklaring Fysieke beveiliging

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij fysieke beveiliging binnen de organisatie organiseren en aansturen via een Physical Security Management System (PSMS).

Fysieke beveiliging is voor ons een essentieel onderdeel van goed bestuur en draagt bij aan de bescherming van mensen, gebouwen, middelen, informatie en de continuïteit van onze activiteiten. Zij ondersteunt het veilig en betrouwbaar functioneren van de organisatie en beschermt zowel onze medewerkers als andere betrokkenen.

Wij vertrekken steeds van de verplichte naleving van toepasselijke wet- en regelgeving inzake veiligheid, beveiliging en arbeidsomstandigheden.
Binnen dat kader maken wij bewuste en expliciete keuzes in de wijze waarop wij fysieke beveiliging vormgeven, gebaseerd op een ‘best of worlds’-benadering.

Daarbij laten wij ons primair leiden door:

ASIS-standaarden en -richtlijnen als internationaal erkend professioneel referentiekader voor fysieke beveiliging,
ISO/IEC 27001 en ISO/IEC 27002 om fysieke beveiliging structureel te verbinden met informatie- en cyberbeveiliging,
ISO 22301 om de samenhang met bedrijfscontinuïteit en operationele veerkracht te borgen,
en het CyFun-perspectief als organisatiebreed kader voor governance, risico en beheersing.

Deze principes:

drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot fysieke beveiliging,
zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt voor het PSMS,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in risico’s of context.

De principes beantwoorden het waarom van fysieke beveiliging binnen de organisatie.
Zij bepalen niet hoe fysieke beveiliging concreet wordt ingericht, noch welke specifieke maatregelen worden genomen.

Alle verdere uitwerkingen — waaronder frameworks, beleidsdocumenten, processen, beheersmaatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en eigenaarschap

Wij beschouwen fysieke beveiliging als een bestuurlijke verantwoordelijkheid.

Bestuur en Directie nemen expliciet eigenaarschap op voor de richting, prioriteiten en randvoorwaarden van fysieke beveiliging en zorgen voor passende sturing en middelen. Fysieke beveiliging is geen louter facilitaire of operationele aangelegenheid, maar een integraal onderdeel van governance en risicobeheer.

Compliance- en normatieve onderbouwing760

ASIS: Security governance principles
ISO/IEC 27001: Leadership and commitment

Principe 2 – Risicogebaseerde fysieke beveiliging

Wij organiseren fysieke beveiliging op basis van een systematische beoordeling van risico’s.

Wij identificeren en beoordelen risico’s voor mensen, gebouwen, middelen en kritieke activiteiten, rekening houdend met dreigingen, kwetsbaarheden en mogelijke impact. Beveiligingsmaatregelen zijn proportioneel, doelgericht en afgestemd op het vastgestelde risiconiveau.

Compliance- en normatieve onderbouwing760

ASIS: Asset–Threat–Vulnerability–Consequence (ATVC) risk model
ISO/IEC 27001: Risk-based approach

Principe 3 – Bescherming van mensen als hoogste prioriteit

Wij stellen de veiligheid en bescherming van mensen centraal in ons denken en handelen rond fysieke beveiliging.

De bescherming van medewerkers, bezoekers en andere betrokkenen primeert boven de bescherming van materiële of immateriële assets en vormt het fundamentele uitgangspunt bij afwegingen en beslissingen binnen het PSMS.

Compliance- en normatieve onderbouwing760

ASIS: Protection of people as primary security objective
ISO/IEC 27001: Risk assessment and treatment

Principe 4 – Gelaagde en samenhangende beveiliging

Wij hanteren een gelaagde en samenhangende benadering van fysieke beveiliging.

Fysieke beveiliging wordt vormgegeven als een geheel van elkaar versterkende organisatorische, procedurele en fysieke maatregelen, waarbij preventie, detectie, respons en herstel in samenhang worden beschouwd. Dit verhoogt de weerbaarheid en vermindert afhankelijkheid van individuele maatregelen of personen.

Compliance- en normatieve onderbouwing760

ASIS: Defence in depth
ISO/IEC 27001: Risk treatment and control selection

Principe 5 – Integratie in organisatie en businessprocessen

Wij beschouwen fysieke beveiliging als een integraal onderdeel van de organisatie en haar werking.

Fysieke beveiliging wordt ingebed in processen, besluitvorming en dagelijkse activiteiten en ondersteunt de organisatiedoelstellingen, zonder parallelle structuren of losstaande programma’s te creëren.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001: Integration into organisational processes

Principe 6 – Samenhang met andere managementsystemen

Wij borgen expliciete samenhang tussen fysieke beveiliging en andere managementsystemen, waaronder informatiebeveiliging, bedrijfscontinuïteit, privacy en risicomanagement.

Afhankelijkheden en raakvlakken worden bewust beheerd om consistente keuzes en geïntegreerde risicobeheersing over de organisatie heen te waarborgen.

Compliance- en normatieve onderbouwing760

ISO/IEC 27001: Context of the organisation
ISO 22301: Integrated management of resilience

Principe 7 – Naleving van wetgeving, normen en verplichtingen

Wij voldoen aantoonbaar aan toepasselijke wet- en regelgeving en andere bindende verplichtingen met betrekking tot fysieke beveiliging.

Dit omvat wettelijke vereisten inzake veiligheid en beveiliging, evenals contractuele en sectorale verplichtingen. Naleving is een fundamenteel uitgangspunt bij de aansturing van het PSMS.

Compliance- en normatieve onderbouwing760

ASIS: Legal and regulatory compliance
ISO/IEC 27001: Compliance obligations

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Wij achten duidelijke rollen, verantwoordelijkheden en verantwoordelijkheidszin essentieel voor effectieve fysieke beveiliging.

Iedereen binnen de organisatie heeft hierin een rol, afgestemd op zijn of haar functie en context. Wij bevorderen bewustzijn, betrokkenheid en correcte naleving van afspraken en procedures.

Compliance- en normatieve onderbouwing760

ASIS: Roles and responsibilities in security operations
ISO/IEC 27001: Roles, responsibilities and awareness

Principe 9 – Duurzame en verantwoorde besluitvorming

Wij nemen beslissingen over fysieke beveiliging op een duurzame en verantwoorde manier, met respect voor mens, maatschappij en planetaire grenzen.

Wij houden rekening met de langetermijnimpact van beveiligingskeuzes en vermijden oplossingen die sociale of ecologische schade veroorzaken, ook wanneer deze op korte termijn efficiënt lijken.

Compliance- en normatieve onderbouwing760

ASIS: Security program governance and responsible decision-making
ISO/IEC 27001: Roles, responsibilities and awareness

Principe 10 – Continue evaluatie en verbetering

Wij beschouwen fysieke beveiliging als een continu te evalueren en te verbeteren domein.

Het PSMS wordt periodiek geëvalueerd, leert uit incidenten, oefeningen en wijzigingen in dreigingen of context, en evolueert mee met de organisatie en haar omgeving.

Compliance- en normatieve onderbouwing760

ASIS: Continuous evaluation and improvement of the security program
ISO/IEC 27001: Continual improvement

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van fysieke beveiliging binnen de organisatie.

Zij geven richting aan besluitvorming, prioritering en afwegingen, en zorgen voor samenhang, consistentie en duidelijkheid in hoe fysieke beveiliging wordt benaderd en beheerd.

De principes blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven en vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen het Physical Security Management System.

”
},
{
“id”: “35389510”,
“title”: “Physical Security Framework”,
“path”: “Overview / Physical Security Management System (PSMS) / Physical Security Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “819762”,
“title”: “Physical Security PolicyB”,
“path”: “Overview / Physical Security Management System (PSMS) / Physical Security Framework / Physical Security PolicyB”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1118,
“body”: “

Context – zorgsector

Doel van het beleid – zorgsector

Reikwijdte – zorgsector

Eigenaarschap, goedkeuring en herziening – zorgsector

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Eerste lijn – Directies, afdelingshoofden en stafdiensten

Tweede lijn – Functionaris voor informatiebeveiliging

Goedkeuring

Herziening en onderhoud

Beleidsverklaring

Beleidsvereisten

Definities en termen

”
},
{
“id”: “20381890”,
“title”: “Compliance Frameworks Physical Security”,
“path”: “Overview / Physical Security Management System (PSMS) / Compliance Frameworks Physical Security”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “82083843”,
“title”: “ISO 18788 Management system for private security operations — Requirements with guidance for use”,
“path”: “Overview / Physical Security Management System (PSMS) / Compliance Frameworks Physical Security / ISO 18788 Management system for private security operations — Requirements with guidance for use”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “36372509”,
“title”: “Physical Security Management Process”,
“path”: “Overview / Physical Security Management System (PSMS) / Physical Security Management Process”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528588”,
“title”: “Third-Party & Supply Chain Management System (TPSCMS)”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36372518”,
“title”: “Principles of Third-Party & Supply Chain Management”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Principles of Third-Party & Supply Chain Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3979,
“body”: “

Purpose and status of the principles

The principles defined for this management system express the explicit intent and direction set by Executive Management and the Board for this domain.

They describe what the organisation fundamentally stands for, the boundaries that guide decision-making, and the priorities that shape behaviour, design choices and trade-offs over time.

These principles form the authoritative foundation for:

the underlying framework,
the design of processes and controls,
and day-to-day decisions at all levels of the organisation.

Doel en status van de principes

De principes die voor dit managementsysteem zijn vastgelegd, drukken de expliciete intentie en richting uit die door Directie en Bestuur voor dit domein zijn bepaald.

Deze principes vormen het gezaghebbende fundament voor:

het onderliggende framework,
het ontwerp van processen en beheersmaatregelen,
en de dagelijkse beslissingen op alle niveaus van de organisatie.

”
},
{
“id”: “35127511”,
“title”: “Principle Statement Third Party & Supply Chain Management”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Principles of Third-Party & Supply Chain Management / Principle Statement Third Party & Supply Chain Management”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 9092,
“body”: “

Principesverklaring Third Party & Supply Chain Management

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij het beheer van derde partijen en supply-chain-afhankelijkheden binnen de organisatie organiseren en aansturen via een Third-Party & Supply Chain Management System (TPSCMS).

In een zorgcontext zijn wij in hoge mate afhankelijk van externe leveranciers, dienstverleners en ketenpartners voor het realiseren van veilige, kwalitatieve en continue zorg. Deze afhankelijkheden brengen risico’s met zich mee op het vlak van informatiebeveiliging, cybersecurity, fysieke beveiliging, continuïteit, duurzaamheid en maatschappelijke verantwoordelijkheid.

Wij beschouwen het beheer van derde partijen en supply chains als een essentieel onderdeel van goed bestuur en organisatiebreed risicobeheer. Het TPSCMS ondersteunt ons bij het bewust identificeren, beoordelen en beheersen van risico’s die voortvloeien uit externe afhankelijkheden, over de volledige levenscyclus van leveranciersrelaties heen.

Wij vertrekken steeds van de verplichte naleving van toepasselijke wet- en regelgeving.
Binnen dat kader maken wij bewuste en expliciete keuzes in de wijze waarop wij third-party- en supply-chain-management vormgeven, gebaseerd op een ‘best of worlds’-benadering.

Daarbij laten wij ons primair leiden door:

ISO 28000 voor beveiliging en veerkracht binnen supply chains en ketenafhankelijkheden,
ISO/IEC 27036 als referentiekader voor cybersecurity en informatiebeveiliging binnen leveranciersrelaties,
ISO 20400 voor duurzame en verantwoorde inkoop en leveranciersrelaties.

Deze principes:

drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot third-party- en supply-chain-management,
zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt voor het TPSCMS,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in risico’s of context.

De principes beantwoorden het waarom van third-party- en supply-chain-management binnen de organisatie.
Zij bepalen niet hoe leveranciersbeheer concreet wordt ingericht, noch welke specifieke maatregelen worden genomen.

Alle verdere uitwerkingen — waaronder frameworks, beleidsdocumenten, processen, contractuele afspraken, beheersmaatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Wij beschouwen third-party- en supply-chain-management als een bestuurlijke verantwoordelijkheid.

Bestuur en Directie nemen expliciet eigenaarschap op voor de richting, prioriteiten en randvoorwaarden van het beheer van derde partijen en ketenafhankelijkheden, gezien hun directe impact op patiëntveiligheid, zorgkwaliteit en de continuïteit van zorgverlening.

Principe 2 – Risicogebaseerde benadering

Wij organiseren third-party- en supply-chain-management op basis van een risicogebaseerde benadering.

Risico’s verbonden aan leveranciers en ketenpartners worden beoordeeld in functie van hun kriticiteit en potentiële impact op zorgprocessen, essentiële diensten en ondersteuning van patiënten en cliënten.

Principe 3 – Bescherming van kritieke assets en processen

Wij beschermen de kritieke assets en processen die door derde partijen worden ondersteund.

Bijzondere aandacht gaat uit naar leveranciers en ketenpartners die een rol spelen in klinische processen, medische technologie, digitale zorgtoepassingen en andere zorgkritieke activiteiten.

Principe 4 – Gelaagde en samenhangende beheersing

Wij hanteren een gelaagde en samenhangende benadering van third-party- en supply-chain-management.

Organisatorische, contractuele, technische en operationele maatregelen worden in samenhang toegepast om risico’s over de volledige leveranciersketen heen te beheersen.

Principe 5 – Integratie in organisatie en processen

Wij beschouwen third-party- en supply-chain-management als een integraal onderdeel van de organisatie en haar processen.

Het beheer van leveranciers en ketenafhankelijkheden is ingebed in zorgprocessen, ondersteunende activiteiten en besluitvorming op alle niveaus van de zorgorganisatie.

Principe 6 – Samenhang met andere managementsystemen

Wij borgen expliciete samenhang tussen third-party- en supply-chain-management en andere managementsystemen.

In het bijzonder worden informatiebeveiliging, cybersecurity, bedrijfscontinuïteit, risicomanagement en fysieke beveiliging op elkaar afgestemd om zorggerelateerde risico’s integraal te beheersen.

Principe 7 – Naleving van normen en verplichtingen

Wij handelen in overeenstemming met toepasselijke normen, contractuele afspraken en andere bindende verplichtingen.

Naleving vormt een fundamenteel uitgangspunt bij het beheer van leveranciers en ketenpartners en ondersteunt betrouwbare en veilige zorgverlening.

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Wij achten duidelijke rollen, verantwoordelijkheden en verantwoordelijkheidszin essentieel voor effectief third-party-management.

Iedereen binnen de organisatie is zich bewust van zijn of haar rol in het beheren van leveranciersrelaties die impact kunnen hebben op zorgprocessen en patiëntveiligheid.

Principe 9 – Duurzame en verantwoorde besluitvorming

Wij nemen beslissingen over leveranciers en supply chains op een duurzame en verantwoorde manier.

Wij houden rekening met sociale, ethische en ecologische impact en streven naar leveranciersrelaties die bijdragen aan langetermijnwaarde voor patiënten, medewerkers, maatschappij en milieu.

Principe 10 – Continue evaluatie en verbetering

Wij beschouwen third-party- en supply-chain-management als een continu te evalueren en te verbeteren domein.

Het managementsysteem leert uit incidenten, verstoringen, evaluaties en veranderingen in zorgcontext en ketenafhankelijkheden en evolueert mee met de organisatie.

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van third-party- en supply-chain-management binnen de organisatie.

Zij geven richting aan besluitvorming, prioritering en afwegingen met betrekking tot leveranciers en ketenpartners en ondersteunen het beheerst omgaan met externe afhankelijkheden die een impact kunnen hebben op patiëntveiligheid, zorgkwaliteit en de continuïteit van zorgverlening.

De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen het Third-Party & Supply Chain Management System en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven.

”
},
{
“id”: “35389538”,
“title”: “Third Party & Supply Chain Management Framework”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Third Party & Supply Chain Management Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “50987036”,
“title”: “Third Party & Supply Chain Management Policy”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Third Party & Supply Chain Management Framework / Third Party & Supply Chain Management Policy”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 27600,
“body”: “

Beleid Third-Party & Supply Chain Management

none

Context

Zorgorganisaties zijn in toenemende mate afhankelijk van externe partijen voor het uitvoeren en ondersteunen van zowel zorginhoudelijke als ondersteunende processen. Deze externe afhankelijkheden omvatten onder meer IT-diensten, medische technologie, logistiek, facilitaire diensten, onderhoud, personeelsinzet, cloud- en datadiensten en gespecialiseerde ondersteunende functies.

Samenwerking met externe partijen kan bijdragen aan kwaliteit, efficiëntie en innovatie, maar brengt tegelijk organisatiebrede risico’s met zich mee. Deze risico’s kunnen een impact hebben op zorgcontinuïteit, patiëntveiligheid, kwaliteit van dienstverlening, bestuurlijke verantwoordelijkheid, reputatie en strategische autonomie.

Dit beleid beschrijft de beleidskeuzes van de organisatie met betrekking tot outsourcing en third-party relaties en vormt het organisatiebrede kader voor een beheerste, transparante en verantwoorde omgang met externe afhankelijkheden.

Doel

Het doel van dit beleid is het vastleggen van duidelijke beleidskeuzes en principes voor outsourcing en samenwerking met externe partijen, zodat:

externe afhankelijkheden bewust en beheerst worden aangegaan,
risico’s tijdig worden onderkend en opgevolgd,
continuïteit, kwaliteit en veiligheid van zorg worden beschermd,
en verantwoordelijkheden helder en bestuurlijk verdedigbaar zijn vastgelegd.

Reikwijdte

Dit beleid is van toepassing op alle vormen van outsourcing en samenwerking met externe partijen binnen de organisatie, ongeacht:

het type activiteit of dienst,
de aard van de relatie (leverancier, partner, dienstverlener, onderaannemer),
de contractuele vorm,
of de kriticiteit van de uitbestede activiteit.

Het beleid geldt organisatiebreed en vormt het overkoepelend kader waarbinnen meer specifieke beleidslijnen, procedures en perspectieven worden uitgewerkt.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan draagt de eindverantwoordelijkheid voor dit beleid en ziet toe op een verantwoord en beheerst gebruik van outsourcing en samenwerking met externe partijen, met bijzondere aandacht voor patiëntveiligheid, zorgcontinuïteit en maatschappelijke verantwoordelijkheid.

Dagelijks Bestuur

Het dagelijks bestuur is verantwoordelijk voor de implementatie van dit beleid en voor de integratie van outsourcing- en third-party risico’s in de dagelijkse werking en besluitvorming van de organisatie.

Eerste lijn

Directies & afdelingshoofden

Directies en afdelingshoofden zijn verantwoordelijk voor:

het toepassen van dit beleid binnen hun verantwoordelijkheidsdomein,
het identificeren en opvolgen van risico’s verbonden aan uitbestede activiteiten,
en het bewaken van prestaties en afspraken met externe partijen.

IT-departement

Het IT-departement is verantwoordelijk voor het operationeel beheer van uitbestede ICT-diensten en digitale afhankelijkheden binnen het kader van dit beleid.

Het IT-departement:

identificeert en beheert operationele en technologische risico’s verbonden aan uitbestede ICT-diensten, digitale platforms en cloud-oplossingen,
bewaakt de prestaties, beschikbaarheid en betrouwbaarheid van ICT-gerelateerde leveranciers en ketenpartners,
ziet toe op de naleving van gemaakte afspraken en dienstverleningsniveaus,
signaleert wijzigingen in technologie, architectuur of dienstverlening die de afhankelijkheden of het risicoprofiel beïnvloeden,
en werkt samen met andere betrokken functies bij opvolging, escalatie en bijsturing van leveranciersrelaties.

Tweede lijn

Legal

Legal is verantwoordelijk voor het identificeren en beheersen van juridische en contractuele risico’s verbonden aan outsourcing en samenwerking met externe partijen. Legal ziet erop toe dat verantwoordelijkheden, aansprakelijkheden, rechten en plichten duidelijk, afdwingbaar en consistent worden vastgelegd, inclusief afspraken over beëindiging, overdraagbaarheid en geschillenbeslechting.

Centrale Aankoop / Procurement

Centrale Aankoop is medeverantwoordelijk voor het organisatiebreed beheersen van outsourcing- en third-party relaties. Deze functie vervult een sturende rol in de selectie, contractering en opvolging van externe partijen en waarborgt dat outsourcingrelaties beheersbaar, transparant en overdraagbaar blijven. Centrale Aankoop bewaakt de samenhang tussen commerciële afspraken, operationele afhankelijkheden en de beleidskeuzes van de organisatie.

CRO – Chief Risk Officer

De Chief Risk Officer draagt zorg voor de integratie van outsourcing- en third-party risico’s in het organisatiebrede risicobeheer. De CRO ziet erop toe dat externe afhankelijkheden systematisch worden geïdentificeerd, beoordeeld en opgevolgd en ondersteunt het bestuur en het dagelijks bestuur bij strategische besluitvorming.

CISO – Chief Information Security Officer

De Chief Information Security Officer is verantwoordelijk voor het beoordelen en beheersen van risico’s met betrekking tot informatie, systemen en digitale diensten die door externe partijen worden geleverd of ondersteund. De CISO ziet toe op de samenhang tussen outsourcingbeslissingen en de bescherming van informatie en technologie.

DPO – Data Protection Officer

De Data Protection Officer ziet toe op een zorgvuldige en rechtmatige omgang met persoonsgegevens in het kader van outsourcing en samenwerking met externe partijen. De DPO adviseert over verantwoordelijkheden, risico’s en maatregelen bij uitbestede verwerkingen.

Kwaliteit en Patiëntveiligheid

De functie Kwaliteit en Patiëntveiligheid bewaakt dat outsourcing en samenwerking met externe partijen geen afbreuk doen aan de kwaliteit van zorg en de veiligheid van patiënten. Deze functie ziet erop toe dat risico’s voor zorgkwaliteit en patiëntveiligheid tijdig worden onderkend en beheerst.

Personeelsdienst (HR)

De personeelsdienst draagt zorg voor het beheer van risico’s verbonden aan outsourcing die impact heeft op personeel, competenties, kennisborging en organisatiecapaciteit.

Preventiedienst (welzijn & veiligheid op het werk)

De preventiedienst ziet toe op het identificeren en beheersen van welzijns- en veiligheidsrisico’s bij uitbestede activiteiten en externe partijen.

Facility / Infrastructure / Safety

De functies Facility, Infrastructure en Safety zijn verantwoordelijk voor het beheersen van risico’s verbonden aan infrastructuur, gebouwen, installaties en fysieke veiligheid in het kader van outsourcing en externe samenwerking.

Communicatiedienst

De communicatiedienst is verantwoordelijk voor het coördineren van interne en externe communicatie in het kader van outsourcing en samenwerking met externe partijen, inclusief communicatie bij verstoringen, incidenten of escalaties.

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van het beleid, de governance en de beheersing van risico’s met betrekking tot outsourcing, third-party- en supply-chain-management.

Deze assurance kan worden ingevuld door:

een interne auditfunctie, of
een onafhankelijk extern audit- of assurance-mechanisme.

De derde lijn opereert onafhankelijk van de eerste en tweede lijn en rapporteert rechtstreeks aan het bestuursorgaan. De bevindingen en aanbevelingen van de derde lijn dragen bij aan transparantie, bestuurlijke besluitvorming en continue verbetering van het beheer van externe afhankelijkheden.

Goedkeuring

Dit beleid wordt goedgekeurd door het bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en telkens wanneer significante wijzigingen optreden in de organisatiecontext, risicoprofielen of externe afhankelijkheden.

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn enkel toegestaan na expliciete goedkeuring door het dagelijks bestuur, op basis van een gemotiveerde risicoafweging en met vastgelegde mitigerende maatregelen.

Beleidsverklaring

De organisatie erkent dat outsourcing en samenwerking met externe partijen noodzakelijk en waardevol kunnen zijn, maar kiest er bewust voor deze relaties actief te sturen en te beheersen. De organisatie aanvaardt geen ongecontroleerde afhankelijkheden en verwacht dat externe samenwerking bijdraagt aan duurzame, veilige en kwalitatieve zorgverlening.

Beleidsvereisten

De organisatie baseert haar beleid inzake outsourcing en third-party management op onderstaande fundamentele beleidskeuzes. Deze pijlers vormen het normatieve fundament van dit beleid en sturen alle beslissingen over externe samenwerking.

Organisatiebrede verantwoordelijkheid voor externe afhankelijkheden

Outsourcing en samenwerking met externe partijen worden beschouwd als een bestuurlijke verantwoordelijkheid. Externe afhankelijkheden blijven steeds onder verantwoordelijkheid van de organisatie zelf en worden nooit volledig overgedragen aan leveranciers of partners.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Introduction
De standaard stelt dat bij outsourcing de uitbestedende organisatie eindverantwoordelijk blijft voor de uitbestede activiteiten, terwijl de dienstverlener verantwoordelijk is voor de uitvoering. Verantwoordelijkheid kan niet louter contractueel worden overgedragen.
ISO 37500:2014, Clause 5 – Outsourcing governance framework
Deze clausule positioneert outsourcing expliciet als een governancevraagstuk en benadrukt dat sturing, toezicht en besluitvorming organisatiebreed moeten worden ingericht.
ISO 37500:2014, Clause 4.4.1.2
Dit onderdeel plaatst governance centraal in het outsourcinglevenscyclusmodel en onderbouwt dat bestuurlijke verantwoordelijkheid doorheen alle fasen noodzakelijk blijft.

Beheersbaarheid boven gemak

De organisatie kiest ervoor beheersbaarheid te laten primeren boven snelheid, kostenefficiëntie of operationeel gemak. Outsourcing wordt enkel aangegaan wanneer voldoende inzicht, sturing en opvolging mogelijk blijven.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Clause 5 – Outsourcing governance framework
Deze clausule benadrukt dat effectieve governance noodzakelijk is om outsourcingrelaties te sturen, te monitoren en bij te sturen. De standaard onderbouwt dat beheersbaarheid een expliciete governancekeuze is en geen automatisch gevolg van contractering.
ISO 37500:2014, Clause 4.4.1.1
Dit onderdeel stelt dat governanceactiviteiten doorheen alle fasen van de outsourcinglevenscyclus actief moeten blijven om controle en overzicht te behouden.
ISO 37500:2014, Clause 4.4.1.2
Hier wordt governance gepositioneerd als een continu mechanisme dat ervoor zorgt dat outsourcingbeslissingen beheersbaar blijven, ook wanneer omstandigheden of behoeften wijzigen.
ISO 37500:2014, Clause 4.5 – Main outputs
Deze clausule benoemt kernartefacten zoals business case en agreement als sturingsinstrumenten die hergebruikt en bijgesteld worden, wat de beleidskeuze ondersteunt dat gemak nooit mag primeren op bestuurbaarheid.

Bescherming van continuïteit, kwaliteit en patiëntveiligheid

Outsourcing mag geen afbreuk doen aan zorgcontinuïteit, kwaliteit van dienstverlening of patiëntveiligheid. Kritieke activiteiten vereisen verhoogde aandacht voor beschikbaarheid, betrouwbaarheid en overdraagbaarheid.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Clause 4.3 – Risks of outsourcing
Deze clausule onderbouwt dat outsourcing inherent risico’s introduceert die verder gaan dan louter prestatie- of kostenaspecten. Dit ondersteunt de beleidskeuze om continuïteit, kwaliteit en veiligheid expliciet te beschermen bij outsourcingbeslissingen.
ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
Het levenscyclusmodel ondersteunt dat risico’s en beheersmaatregelen doorheen alle fasen moeten worden beoordeeld, waardoor continuïteit en kwaliteit niet beperkt blijven tot de startfase of contractering.
ISO 37500:2014, Annex B – Checklist of potential outsourcing risks per phase
Deze annex biedt een systematische kapstok om risico’s per fase te identificeren en te evalueren. Dit sluit aan bij de beleidskeuze om continuïteits-, kwaliteits- en veiligheidsrisico’s structureel zichtbaar te maken.
ISO 37500:2014, Annex G – Transition plan checklist
Deze annex benadrukt het belang van een beheerste transitie om verstoringen te vermijden. Dit ondersteunt de beleidskeuze dat veranderingen in sourcing niet mogen leiden tot onderbreking van kritieke dienstverlening.
ISO 37500:2014, Annex I – Outsourcing life cycle exit
Deze annex verankert het belang van exit en overdraagbaarheid als onderdeel van het model. Dit ondersteunt de beleidskeuze dat continuïteit ook bij beëindiging, vervanging of overdracht geborgd moet blijven.

Transparantie en duidelijke verantwoordelijkheden

Rollen, verantwoordelijkheden en verwachtingen in outsourcingrelaties moeten expliciet, transparant en begrijpelijk zijn vastgelegd. Onduidelijkheid wordt beschouwd als een onaanvaardbaar risico.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Introduction
De standaard maakt een expliciet onderscheid tussen accountability van de uitbestedende organisatie en responsibility van de dienstverlener. Dit ondersteunt de beleidskeuze dat verantwoordelijkheden niet impliciet mogen blijven.
ISO 37500:2014, Clause 5.2 – Management structure and functions
Deze clausule benadrukt het belang van duidelijke rolverdeling, verantwoordelijkheden en bevoegdheden binnen de governance van outsourcingrelaties.
ISO 37500:2014, Clause 5.3 – Joint governance committees
Deze clausule ondersteunt het gebruik van expliciete governance- en overlegstructuren om transparantie, afstemming en escalatie te waarborgen.
ISO 37500:2014, Annex F – Examples of agreement topics
Deze annex biedt een normatieve kapstok voor onderwerpen die expliciet in afspraken en overeenkomsten worden vastgelegd, wat de beleidskeuze ondersteunt dat verantwoordelijkheden en verwachtingen ondubbelzinnig moeten zijn.

Levenscyclusdenken en vooruitkijken

De organisatie benadert outsourcingrelaties vanuit hun volledige levenscyclus. Beslissingen houden rekening met langetermijnimpact, veranderende behoeften en beëindiging of overdraagbaarheid van diensten.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
Deze clausule definieert outsourcing als een samenhangend geheel van opeenvolgende fasen en onderbouwt dat besluitvorming niet los kan worden gezien van latere uitvoering, opvolging en beëindiging.
ISO 37500:2014, Clause 4.6 – Repeating the outsourcing life cycle
Dit onderdeel benadrukt dat outsourcing geen eenmalige beslissing is, maar periodiek moet worden herbekeken op basis van gewijzigde context, prestaties en risico’s.
ISO 37500:2014, Clause 4.5 – Main outputs
Deze clausule positioneert kernartefacten zoals business case, agreement en governance-afspraken als doorlopende sturingsmiddelen over meerdere fasen heen.
ISO 37500:2014, Annex I – Outsourcing life cycle exit
Deze annex verankert exit en overdraagbaarheid als een integraal onderdeel van het outsourcinglevenscyclusmodel en ondersteunt de beleidskeuze dat vooruitdenken en beëindiging structureel moeten worden meegenomen.

Samenhang met organisatiebreed risicobeheer

Outsourcing en third-party management maken integraal deel uit van het organisatiebrede risicobeheer. Externe afhankelijkheden worden systematisch meegenomen in risico-analyses en bestuurlijke afwegingen.

Compliance- en normatieve onderbouwing760

ISO 37500:2014, Clause 4.3 – Risks of outsourcing
Deze clausule onderbouwt dat outsourcing multidimensionale risico’s introduceert die niet tot één domein beperkt blijven. Dit ondersteunt de beleidskeuze om outsourcingrisico’s organisatiebreed te benaderen en te integreren in het totale risicobeeld.
ISO 37500:2014, Clause 4.4 – Outsourcing life cycle model
Het levenscyclusmodel ondersteunt dat risico-identificatie, besluitvorming en sturing per fase plaatsvinden, waardoor outsourcingrisico’s structureel kunnen worden opgenomen in organisatiebrede governance en risicobeheer.
ISO 37500:2014, Clause 6 – Phase 1: Strategy
Deze fase ondersteunt de koppeling tussen outsourcingbeslissingen en strategische doelstellingen, en onderbouwt dat risico-afwegingen op strategisch niveau moeten plaatsvinden.
ISO 37500:2014, Clause 7 – Phase 2: Selection
Deze fase ondersteunt de beleidskeuze dat risico’s en afhankelijkheden expliciet moeten worden meegenomen in selectie en due diligence van externe partijen.
ISO 37500:2014, Clause 8 – Phase 3: Transition
Deze fase ondersteunt de beleidskeuze dat risico’s rond overdracht, opstart en wijziging beheerst moeten worden als onderdeel van organisatiebrede risicosturing.
ISO 37500:2014, Clause 9 – Phase 4: Value delivery
Deze fase ondersteunt dat opvolging, prestatiesturing en continue beheersing noodzakelijk zijn om risico’s blijvend te beheersen tijdens de looptijd van outsourcing.
ISO 37500:2014, Annex B – Checklist of potential outsourcing risks per phase
Deze annex biedt een praktische normatieve kapstok om outsourcingrisico’s per fase systematisch te identificeren, te vergelijken en te integreren in organisatiebrede risicobeoordeling.

Definities en termen

Outsourcing: het uitbesteden van activiteiten of processen aan een externe partij.
Third party: elke externe organisatie of persoon die diensten levert aan of namens de organisatie.
Outsourcinglevenscyclus: de opeenvolgende fasen van besluitvorming, selectie, contractering, uitvoering, opvolging en beëindiging.
Kritieke activiteit: een activiteit waarvan het falen directe impact kan hebben op patiëntveiligheid, zorgcontinuïteit of bestuurlijke verantwoordelijkheid.

Gerelateerde documenten

Beleid organisatiebreed risicobeheer
Beleid risicobeheer van informatiebeveiliging
Business Continuity Management beleid
Procedures voor outsourcing en leveranciersbeheer
Contractuele richtlijnen en sjablonen

”
},
{
“id”: “1147427”,
“title”: “Third Party & Supply Chain Security Policy”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Third Party & Supply Chain Management Framework / Third Party & Supply Chain Management Policy / Third Party & Supply Chain Security Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 43173,
“body”: “

Beleid Third-Party & Supply Chain Security

none

Context

Zorgorganisaties maken in toenemende mate gebruik van externe leveranciers, dienstverleners en ketenpartners voor de ondersteuning van zorgprocessen en kritieke diensten. Deze externe afhankelijkheden brengen specifieke security-gerelateerde risico’s met zich mee, onder meer op het vlak van informatiebeveiliging, cybersecurity, fysieke beveiliging en continuïteit.

Dit beleid geeft invulling aan het security-perspectief binnen het organisatiebrede Beleid Outsourcing & Third-Party Management. Waar het bovenliggende beleid de governance- en risicokaders voor outsourcing en externe samenwerking vastlegt, beschrijft dit document hoe de organisatie security-risico’s binnen leveranciers- en ketenrelaties identificeert, beoordeelt en beheerst.

Dit beleid maakt deel uit van een samenhangende, organisatiebrede aanpak voor het beheersen van externe afhankelijkheden en ondersteunt de borging van veilige, continue en kwalitatieve zorgverlening.

Doel

Het doel van dit beleid is het vastleggen van de beleidsprincipes en vereisten voor het beheersen van security-gerelateerde risico’s bij leveranciers en ketenpartners, met als doel:

risico’s voor informatie, systemen en diensten bij externe partijen te identificeren en te beheersen,
patiëntveiligheid, zorgkwaliteit en zorgcontinuïteit te ondersteunen,
cyber-, informatie- en supply-chain-security-risico’s proportioneel te beperken,
en samenhang te waarborgen tussen security-maatregelen en het organisatiebrede beleid voor outsourcing en externe samenwerking.

Reikwijdte

Dit beleid is van toepassing op:

alle leveranciers, dienstverleners en ketenpartners waarvoor security-risico’s relevant zijn,
alle vormen van outsourcing, inkoop en samenwerking waarbij externe partijen toegang hebben tot informatie, systemen, infrastructuur of kritieke processen,
alle zorg-, ondersteunende en administratieve processen met een security-impact,
alle omgevingen waarin externe partijen actief zijn (fysiek, digitaal, cloud en hybride),
en de volledige levenscyclus van leveranciers- en ketenrelaties, voor zover deze security-relevant zijn.

Dit beleid is ondergeschikt aan het organisatiebrede Beleid Outsourcing & Third-Party Management en specificeert uitsluitend het security-perspectief.

Eigenaarschap, goedkeuring & herziening

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan:

keurt dit beleid formeel goed,
ziet toe op de effectiviteit van het organisatiebrede kader voor outsourcing en externe samenwerking,
en ontvangt periodiek rapportering over significante security-risico’s bij externe partijen.

Het bestuursorgaan is eindverantwoordelijk, maar niet betrokken bij de operationele uitvoering.

Dagelijks Bestuur

Het dagelijks bestuur:

is verantwoordelijk voor de implementatie en operationalisering van dit beleid,
borgt de afstemming met het bovenliggende beleid voor outsourcing en third-party management,
wijst verantwoordelijkheden toe en voorziet passende middelen,
en rapporteert over relevante security-risico’s en verbeteracties.

Eerste lijn

Directies & afdelingshoofden

Directies en afdelingshoofden zijn verantwoordelijk voor:

het toepassen van dit beleid binnen hun verantwoordelijkheidsdomein,
het identificeren en signaleren van security-risico’s bij leveranciers en ketenpartners,
het bewaken van correcte toepassing van gemaakte afspraken,
en het melden van incidenten en afwijkingen.

IT-departement

Het IT-departement is verantwoordelijk voor de operationele beheersing van security-risico’s bij ICT-, digitale en cloud-gerelateerde leveranciers en ketenpartners.

Het IT-departement:

identificeert en beheert security-risico’s verbonden aan uitbestede IT-diensten en systemen,
bewaakt de naleving van security-vereisten in de dagelijkse werking,
signaleert wijzigingen in technologie, architectuur of dienstverlening die het risicoprofiel beïnvloeden,
detecteert en behandelt (of escaleert) security-incidenten bij externe IT-partijen,
en werkt samen met de CISO, BCM-verantwoordelijke en andere tweede-lijnfuncties bij opvolging en verbetering.

Tweede lijn

De tweede lijn ondersteunt, adviseert en bewaakt de samenhang tussen third-party- en supply-chain-management en andere managementsystemen.

Chief Risk Officer (CRO)

De CRO borgt de aansluiting van third-party- en supply-chain-risico’s met het organisatiebrede Enterprise Risk Management en bewaakt de consistentie van risicobeoordelingen en prioriteiten.

Chief Information Security Officer (CISO)

De CISO borgt informatiebeveiliging en cybersecurity binnen leveranciersrelaties en ziet toe op de integratie van third-party-risico’s binnen het Information Security Management System.

Business Continuity Management Verantwoordelijke

De BCM-verantwoordelijke bewaakt de impact van leveranciers en ketenpartners op zorgcontinuïteit en kritieke processen en zorgt voor samenhang met het Business Continuity Management System.

Data Protection Officer (DPO)

De DPO bewaakt privacy- en gegevensbeschermingsaspecten bij leveranciers en ketenpartners en ondersteunt bij het beheersen van privacyrisico’s binnen uitbesteding en samenwerking.

Inkoop en Contractmanagement

Inkoop en Contractmanagement borgen dat beleidsvereisten worden vertaald naar contracten, SLA’s en leveranciersafspraken en ondersteunen de opvolging ervan.

Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van het risicobeheer, de interne beheersmaatregelen en de governance met betrekking tot dit beleid.

Deze assurance kan worden ingevuld door:

een interne auditfunctie, of
een onafhankelijk extern audit- of assurance-mechanisme.

De derde lijn opereert onafhankelijk van de eerste en tweede lijn en rapporteert rechtstreeks aan het bestuursorgaan. De bevindingen en aanbevelingen van de derde lijn dragen bij aan inzicht, transparantie en continue verbetering van het beleid en de onderliggende beheersmaatregelen.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bevoegde bestuursorgaan.

Herziening en onderhoud

Dit beleid wordt periodiek herzien en minimaal aangepast bij:

significante wijzigingen in risico’s
belangrijke wijzigingen in leverancierslandschap
relevante wijzigingen in organisatiecontext

Uitzonderingen & afwijkingen

Afwijkingen van dit beleid zijn uitzonderlijk, tijdelijk en gemotiveerd.
Elke afwijking vereist formele goedkeuring, documentatie en periodieke evaluatie.

Beleidsverklaring

De organisatie kiest ervoor om security-risico’s bij leveranciers en ketenpartners bewust, proportioneel en risicogebaseerd te beheersen. Externe samenwerking mag geen afbreuk doen aan de veiligheid van informatie, systemen, processen of zorgverlening.

Third Party & Supply Chain Security wordt beschouwd als een essentieel perspectief binnen het organisatiebrede beleid voor outsourcing en externe samenwerking en als een noodzakelijke voorwaarde voor veilige en betrouwbare zorg.

Beleidsvereisten

De organisatie hanteert de onderstaande beleidsvereisten voor het beheersen van security-gerelateerde risico’s bij leveranciers en ketenpartners.
Deze vereisten vormen het inhoudelijke en normerende kader voor alle onderliggende richtlijnen, procedures, contractuele bepalingen en controles binnen het security-perspectief van outsourcing en third-party management.

Governance en verantwoordelijkheid in leveranciersrelaties

De organisatie borgt dat governance, verantwoordelijkheden en beslissingsbevoegdheden met betrekking tot security in leveranciers- en ketenrelaties expliciet zijn vastgelegd en actief worden uitgeoefend.

Security-verantwoordelijkheden blijven steeds bij de organisatie en worden niet impliciet overgedragen aan externe partijen. Leveranciers en ketenpartners worden aangesproken op hun rol binnen dit governance-kader.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 5 – Leadership and security policy
Deze clausule benadrukt dat leiderschap en duidelijke verantwoordelijkheden essentieel zijn voor het effectief beheersen van security binnen de supply chain. Dit ondersteunt de beleidskeuze dat governance en verantwoordelijkheid expliciet bij de organisatie blijven.
ISO 28000:2022, Clause 6 – Planning
Deze clausule vereist dat verantwoordelijkheden en bevoegdheden met betrekking tot security-risico’s systematisch worden vastgelegd en geïntegreerd in het managementsysteem.
ISO/IEC 27036-1:2021, Clause 6 – Concepts and principles
Dit onderdeel verduidelijkt dat de uitbestedende organisatie verantwoordelijk blijft voor het beheren van informatiebeveiligingsrisico’s bij leveranciersrelaties.
ISO/IEC 27036-2:2022, Clause 5 – Governance of supplier relationships
Deze clausule ondersteunt de beleidskeuze dat security governance bij leveranciersrelaties expliciet moet worden ingericht en niet impliciet mag blijven.
ISO/IEC 27036-2:2022, Clause 6 – Roles and responsibilities
Dit onderdeel onderbouwt dat rollen en verantwoordelijkheden tussen organisatie en leverancier duidelijk moeten worden vastgelegd en actief worden opgevolgd.

Classificatie van leveranciers en security-relevantie

De organisatie classificeert leveranciers en ketenpartners op basis van hun security-relevantie en kriticiteit voor informatie, systemen, processen en zorgverlening.

De diepgang en zwaarte van security-maatregelen worden proportioneel afgestemd op de potentiële impact van een leverancier of ketenpartner op vertrouwelijkheid, integriteit, beschikbaarheid en continuïteit.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 6 – Planning
Deze clausule vereist dat risico’s binnen de supply chain systematisch worden geïdentificeerd en geprioriteerd. Dit ondersteunt de beleidskeuze om leveranciers te classificeren op basis van hun security-relevantie en kriticiteit.
ISO 28000:2022, Clause 8 – Operation
Deze clausule onderbouwt dat beheersmaatregelen proportioneel moeten worden toegepast in functie van de aard en impact van de geïdentificeerde risico’s, wat aansluit bij een risicogebaseerde leveranciersclassificatie.
ISO/IEC 27036-1:2021, Clause 7 – Risk identification and assessment
Dit onderdeel beschrijft dat leveranciers en externe partijen moeten worden beoordeeld op hun impact op informatie en diensten, wat de basis vormt voor classificatie.
ISO/IEC 27036-2:2022, Clause 7 – Supplier risk assessment
Deze clausule ondersteunt expliciet het classificeren van leveranciers op basis van risicoprofiel en kriticiteit voor informatiebeveiliging.
ISO/IEC 27036-3:2023, Clause 6 – Supply chain risk context
Dit onderdeel benadrukt dat de positie van een leverancier binnen de keten en de aard van de geleverde producten of diensten bepalend zijn voor de toegepaste security-maatregelen.

Security-risicobeoordeling over de volledige levenscyclus

De organisatie voert security-risicobeoordelingen uit voor leveranciers en ketenpartners gedurende de volledige levenscyclus van de relatie, waaronder selectie, contractering, transitie, exploitatie, wijziging en beëindiging.

Security-risico’s worden periodiek herbeoordeeld en aangepast aan veranderende omstandigheden, dreigingen of afhankelijkheden.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 6 – Planning
Deze clausule vereist dat security-risico’s binnen de supply chain systematisch worden geïdentificeerd, geanalyseerd en beoordeeld als onderdeel van de planning van het managementsysteem.
ISO 28000:2022, Clause 8 – Operation
Dit onderdeel benadrukt dat operationele beheersing van supply-chain-activiteiten moet steunen op actuele risicobeoordelingen, inclusief wijzigingen in context, dreigingen en afhankelijkheden.
ISO/IEC 27036-1:2021, Clause 7 – Risk identification and assessment
Deze clausule onderbouwt dat risico’s in leveranciersrelaties gedurende de volledige levenscyclus moeten worden beoordeeld en herzien, niet enkel bij aanvang van de relatie.
ISO/IEC 27036-2:2022, Clause 7 – Supplier risk assessment
Dit onderdeel vereist dat risico’s bij leveranciers periodiek worden herbeoordeeld en afgestemd op veranderingen in de relatie, dienstverlening of dreigingsbeeld.
ISO/IEC 27036-3:2023, Clause 7 – Lifecycle considerations
Deze clausule ondersteunt de beleidskeuze dat security-risico’s expliciet moeten worden beheerd tijdens selectie, contractering, transitie, exploitatie en beëindiging van leveranciersrelaties.

Vastleggen en afdwingen van security-vereisten

Security-vereisten voor informatie, systemen, diensten en processen worden expliciet vastgelegd richting leveranciers en ketenpartners.

Deze vereisten omvatten onder meer toegangsbeheer, beveiligingsmaatregelen, meldingsverplichtingen, toezicht, rapportering en naleving. De organisatie ziet toe op de afdwingbaarheid en opvolging van deze vereisten gedurende de looptijd van de relatie.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 8.1 – Operational planning and control
Deze clausule vereist dat de organisatie operationele beheersing inricht op basis van vastgelegde processen en controles. Dit ondersteunt de beleidskeuze dat security-vereisten niet vrijblijvend zijn, maar planmatig worden opgelegd en opgevolgd.
ISO 28000:2022, Clause 8.4 – Controls
Dit onderdeel vereist dat passende controls worden vastgesteld en toegepast om security-gerelateerde risico’s te behandelen. Dit onderbouwt het expliciet definiëren van security-vereisten richting leveranciers en ketenpartners.
ISO 28000:2022, Clause 8.5 – Security strategies, procedures, processes and treatments
Deze clausule ondersteunt dat security-vereisten vertaald worden naar concrete procedures en treatments, en dat implementatie en opvolging structureel worden georganiseerd.
ISO/IEC 27036-2:2022, Clause 6.1.1.2 – Acquisition process activities
Dit onderdeel vereist dat een framework wordt ingericht om informatiebeveiligingsvereisten te definiëren en te customizen per leverancierrelatie, inclusief methoden om bewijs van naleving te verkrijgen en te valideren.
ISO/IEC 27036-2:2022, Clause 7.3 – Supplier relationship agreement process
Deze clausule positioneert het vastleggen van informatiebeveiligingsvereisten als onderdeel van de agreement process, waarmee de beleidskeuze wordt onderbouwd dat security-vereisten contractueel expliciet moeten worden gemaakt.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Dit onderdeel ondersteunt dat afgesproken informatiebeveiligingsvereisten tijdens de looptijd actief worden beheerd, opgevolgd en bijgestuurd, inclusief nalevingsbewaking en escalatie.

Contractuele en organisatorische borging

De organisatie borgt dat security-vereisten en verantwoordelijkheden worden vertaald naar contracten, SLA’s en organisatorische afspraken.

Contractuele bepalingen ondersteunen toezicht, auditmogelijkheden, rapportering, escalatie en corrigerende maatregelen en laten toe om bij tekortkomingen tijdig en effectief in te grijpen.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 8 – Operation
Deze clausule vereist dat security-maatregelen structureel worden ingebed in operationele processen en verantwoordelijkheden. Dit ondersteunt de beleidskeuze dat security niet ad hoc, maar organisatorisch en procesmatig wordt geborgd.
ISO 28000:2022, Clause 8.4 – Controls
Dit onderdeel benadrukt dat beheersmaatregelen formeel moeten worden vastgelegd en consistent toegepast. Dit onderbouwt de noodzaak om security-vereisten te verankeren in contracten en organisatorische afspraken.
ISO/IEC 27036-2:2022, Clause 7.3 – Supplier relationship agreement process
Deze clausule vereist dat afspraken met leveranciers expliciet worden vastgelegd, inclusief verantwoordelijkheden, toezicht, rapportering en escalatie.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Dit onderdeel ondersteunt dat contractuele afspraken actief worden opgevolgd en beheerd gedurende de volledige looptijd van de leveranciersrelatie.
ISO/IEC 27036-3:2023, Clause 8 – Governance and contractual controls
Deze clausule onderbouwt dat governance- en contractuele controles noodzakelijk zijn om security-risico’s binnen complexe ketens beheersbaar te houden.

Beheersing van ICT-, digitale en cloud-leveranciers

Voor leveranciers die ICT-, digitale of cloud-diensten leveren, hanteert de organisatie aanvullende security-vereisten die rekening houden met de specifieke aard van deze diensten en hun risico’s.

De organisatie bewaakt de beveiliging van informatie en systemen bij uitbesteding van digitale diensten, inclusief gedeelde verantwoordelijkheden en afhankelijkheden binnen complexe ketens.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 6 – Planning
Deze clausule vereist dat risico’s en afhankelijkheden binnen de supply chain worden geïdentificeerd en geprioriteerd. Dit ondersteunt de beleidskeuze om voor ICT- en digitale diensten aanvullende security-vereisten toe te passen op basis van hun specifieke risicoprofiel.
ISO 28000:2022, Clause 8 – Operation
Deze clausule onderbouwt dat operationele beheersing en controls moeten aansluiten op het type activiteiten en risico’s, wat relevant is voor ICT- en cloudspecifieke leveranciersrelaties.
ISO/IEC 27036-3:2023, Clause 5 – Hardware, software and services supply chain security context
Dit onderdeel positioneert ICT- en dienstenketens als supply chains met specifieke risico’s en afhankelijkheden, wat de nood aan gerichte controls onderbouwt.
ISO/IEC 27036-3:2023, Clause 7 – Security controls across the supply chain
Deze clausule ondersteunt het toepassen van security controls die passen bij software-, hardware- en dienstenketens, inclusief afhankelijkheden van subleveranciers.
ISO/IEC 27036-4:2016, Clause 5 – Cloud service relationships
Dit onderdeel ondersteunt dat cloudrelaties expliciet worden beheerd als leveranciersrelatie met gedeelde verantwoordelijkheden tussen klant en cloudprovider.
ISO/IEC 27036-4:2016, Clause 6 – Cloud service security requirements
Deze clausule onderbouwt dat cloudspecifieke security-vereisten vooraf moeten worden vastgelegd en gedurende de dienstverlening moeten worden opgevolgd, inclusief verantwoordelijkheidsverdeling en assurance.

Continuïteit, veerkracht en ketenafhankelijkheden

De organisatie identificeert en beheerst de impact van leveranciers en ketenpartners op de continuïteit en veerkracht van kritieke processen.

Security-risico’s die kunnen leiden tot verstoringen, uitval of verlies van essentiële diensten worden meegenomen in continuïteitsplanning en opvolging, inclusief afhankelijkheden tussen meerdere leveranciers binnen de keten.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 6 – Planning
Deze clausule vereist dat de organisatie risico’s en kansen bepaalt die de beoogde uitkomsten van het security management system kunnen beïnvloeden. Dit ondersteunt de beleidskeuze om continuïteits- en veerkrachtrisico’s in ketenafhankelijkheden expliciet te identificeren.
ISO 28000:2022, Clause 8 – Operation
Deze clausule onderbouwt dat operationele planning en control rekening moet houden met verstoringen en afhankelijkheden binnen de supply chain, wat aansluit bij het beheren van ketenimpact op kritieke processen.
ISO 28000:2022, Clause 8.4 – Controls
Dit onderdeel ondersteunt het selecteren en toepassen van controls die risico’s behandelen die tot verstoringen kunnen leiden, inclusief risico’s in afhankelijkheden van externe partijen.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Deze clausule ondersteunt dat leveranciersrelaties actief worden opgevolgd met aandacht voor gewijzigde afhankelijkheden, prestaties en risico’s die continuïteit kunnen beïnvloeden.
ISO/IEC 27036-3:2023, Clause 6 – Supply chain risk context
Dit onderdeel onderbouwt dat ketenrisico’s vaak voortkomen uit multi-tier afhankelijkheden en dat veerkracht een expliciet aandachtspunt is binnen supply chain security.
ISO/IEC 27036-3:2023, Clause 7 – Lifecycle considerations
Deze clausule ondersteunt de beleidskeuze om ketenafhankelijkheden en continuïteitsimpact doorheen de volledige levenscyclus van leveranciersrelaties te beheren.

Voorbereiding op en beheersing van security-incidenten

De organisatie vereist dat leveranciers en ketenpartners bijdragen aan een beheerste omgang met security-incidenten.

Dit omvat afspraken over detectie, melding, samenwerking bij incidentafhandeling, herstel en evaluatie. De organisatie behoudt regie over incidentcoördinatie waar de impact de eigen werking of zorgverlening raakt.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 8.2 – Incident preparedness and response
Deze clausule vereist dat de organisatie voorbereid is op security-incidenten binnen de supply chain en passende responsmechanismen inricht. Dit ondersteunt de beleidskeuze dat incidentbeheersing bij leveranciers en ketenpartners expliciet moet worden georganiseerd.
ISO 28000:2022, Clause 8 – Operation
Deze clausule onderbouwt dat incidentafhandeling deel uitmaakt van de operationele beheersing van security-risico’s en niet losstaand mag worden benaderd.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Dit onderdeel ondersteunt dat afspraken over incidentmelding, samenwerking en escalatie structureel worden opgenomen in het beheer van leveranciersrelaties.
ISO/IEC 27036-3:2023, Clause 7 – Security controls across the supply chain
Deze clausule benadrukt dat incidenten zich kunnen voordoen op verschillende niveaus binnen de keten en dat coördinatie met leveranciers en subleveranciers noodzakelijk is.
ISO/IEC 27036-4:2016, Clause 6 – Cloud service security requirements
Dit onderdeel ondersteunt dat cloudleveranciers specifieke afspraken moeten hebben over incidentdetectie, melding en respons binnen gedeelde verantwoordelijkheidsmodellen.

Bewustzijn, competenties en betrouwbaarheid

De organisatie verwacht dat leveranciers en ketenpartners beschikken over passende competenties en bewustzijn met betrekking tot security-risico’s die relevant zijn voor de geleverde diensten.

De organisatie houdt rekening met betrouwbaarheid en integriteit bij het aangaan en voortzetten van leveranciersrelaties, in functie van het risicoprofiel.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 7.2 – Competence
Deze clausule vereist dat de organisatie de nodige competenties bepaalt en waarborgt voor functies die invloed hebben op securityprestaties. Dit ondersteunt de beleidskeuze dat betrokkenen (intern en waar relevant extern) over passende competenties moeten beschikken.
ISO 28000:2022, Clause 7.3 – Awareness
Deze clausule vereist dat personen die werkzaamheden uitvoeren onder controle van de organisatie zich bewust zijn van het securitybeleid, relevante risico’s en de gevolgen van niet-naleving. Dit ondersteunt de beleidskeuze rond bewustzijn als structurele pijler.
ISO 28000:2022, Clause 7.4 – Communication
Dit onderdeel onderbouwt dat gerichte communicatie nodig is om securityverwachtingen en verantwoordelijkheden over te brengen binnen en buiten de organisatie, inclusief richting leveranciersrelaties.
ISO/IEC 27036-1:2021, Clause 6 – Concepts and principles
Dit onderdeel benadrukt het belang van vertrouwen, transparantie en passende competenties in leveranciersrelaties als basis voor het beheersen van informatiebeveiligingsrisico’s.
ISO/IEC 27036-2:2022, Clause 6.1.2 – Competence and awareness considerations
Deze clausule ondersteunt dat leveranciersrelaties moeten rekening houden met vereiste competenties en bewustzijn om afgesproken beveiligingsvereisten effectief te kunnen naleven.

Monitoring, evaluatie en bijsturing

De organisatie monitort en evalueert leveranciers- en ketenrelaties periodiek op het vlak van security-risico’s, naleving en prestaties.

Bevindingen leiden tot bijsturing, verbetermaatregelen of heroverweging van de relatie, in samenhang met het organisatiebrede beleid voor outsourcing en externe samenwerking.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
Deze clausule vereist dat de organisatie de prestaties en effectiviteit van haar securitymaatregelen systematisch monitort en evalueert. Dit ondersteunt de beleidskeuze om leveranciersrelaties periodiek te beoordelen op risico’s, naleving en prestaties.
ISO 28000:2022, Clause 9.3 – Management review
Deze clausule onderbouwt dat bevindingen uit monitoring en evaluatie op managementniveau moeten worden beoordeeld om gerichte bijsturing en besluitvorming mogelijk te maken.
ISO 28000:2022, Clause 10.1 – Nonconformity and corrective action
Dit onderdeel ondersteunt dat afwijkingen en tekortkomingen bij leveranciers en ketenpartners leiden tot corrigerende maatregelen en opvolging.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Deze clausule vereist dat leveranciersrelaties actief worden opgevolgd, geëvalueerd en aangepast wanneer risico’s, prestaties of context wijzigen.
ISO/IEC 27036-3:2023, Clause 9 – Monitoring and improvement across the supply chain
Dit onderdeel onderbouwt dat monitoring en evaluatie ook ketenbreed moeten worden bekeken, inclusief afhankelijkheden van onderliggende leveranciers.

Continue verbetering

De organisatie streeft naar continue verbetering van het beheersen van security-risico’s bij leveranciers en ketenpartners.

Lessen uit incidenten, evaluaties, wijzigingen in dreigingsbeeld en veranderingen in de organisatiecontext worden structureel meegenomen in de verdere ontwikkeling van richtlijnen, procedures en controles.

Compliance- en normatieve onderbouwing760

ISO 28000:2022, Clause 10 – Improvement
Deze clausule vereist dat de organisatie continu de geschiktheid, toereikendheid en effectiviteit van het security management system verbetert. Dit ondersteunt de beleidskeuze dat beheersing van security-risico’s bij leveranciers en ketenpartners een doorlopend verbeterproces is.
ISO 28000:2022, Clause 9.1 – Monitoring, measurement, analysis and evaluation
Deze clausule onderbouwt dat continue verbetering steunt op systematische monitoring en evaluatie van prestaties en risico’s, inclusief bevindingen uit leveranciersrelaties.
ISO 28000:2022, Clause 9.3 – Management review
Dit onderdeel ondersteunt dat resultaten, trends en verbeterpunten periodiek op managementniveau worden beoordeeld om gerichte verbeteracties te bepalen.
ISO/IEC 27036-2:2022, Clause 7.4 – Supplier relationship management process
Deze clausule benadrukt dat leveranciersrelaties actief moeten worden aangepast en verbeterd op basis van evaluaties, incidenten en gewijzigde risico’s.
ISO/IEC 27036-3:2023, Clause 9 – Monitoring and improvement across the supply chain
Dit onderdeel ondersteunt dat verbeterinitiatieven ook ketenbreed worden bekeken en afgestemd, rekening houdend met afhankelijkheden tussen leveranciers.

Definities en termen

Third-Party
Supply Chain
Leverancier
Ketenpartner
Kritieke leverancier
Uitbesteding
Third-Party Risk
Supply Chain Risk
Information Security Management System (ISMS)
Business Continuity Management System (BCMS)
Enterprise Risk Management (ERM)

Gerelateerde documenten

Principesverklaring Third-Party & Supply Chain Management
Beleid Informatiebeveiliging
Beleid Bedrijfscontinuïteit
Beleid Risicomanagement

”
},
{
“id”: “35160161”,
“title”: “Compliance Standards Third Party & Supply Chain Management”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36896771”,
“title”: “ISO 28000 — Security and resilience — Security management systems — Requirements”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO 28000 — Security and resilience — Security management systems — Requirements”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2990,
“body”: “

ISO 28000 — Beveiliging en veerkracht — Managementsystemen voor beveiliging — Eisen

Waarom deze standaard?

Zorgorganisaties zijn niet alleen digitaal, maar ook fysiek en operationeel afhankelijk van complexe supply chains, waaronder leveranciers van medische hulpmiddelen, logistieke diensten, facilitaire diensten en kritieke goederen. Verstoring of misbruik binnen deze ketens kan directe gevolgen hebben voor zorgcontinuïteit, patiëntveiligheid en maatschappelijke dienstverlening.

ISO 28000 richt zich op beveiliging en veerkracht binnen de supply chain en biedt een managementsysteembenadering om risico’s verbonden aan externe partijen, logistieke processen en goederenstromen gestructureerd te beheersen. Hoewel de huidige titel breder is geformuleerd, blijft de kern van de standaard gericht op supply-chain security.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 28000 gebruiken als organisatiebreed referentiekader voor het beheersen van beveiligings- en veerkrachtrisico’s binnen de supply chain, in samenhang met Enterprise Risk Management, Business Continuity Management en Third-Party & Supply Chain Management.

De standaard ondersteunt organisaties bij:

het identificeren van beveiligingsrisico’s binnen logistieke en operationele ketens,
het vastleggen van verantwoordelijkheden en beveiligingsmaatregelen voor externe partijen,
het integreren van supply-chain security in bestaande governance- en managementsystemen,
en het versterken van de weerbaarheid van kritieke ketenprocessen.

Wat draagt deze standaard concreet bij?

ISO 28000 draagt concreet bij aan:

verbeterde beheersing van fysieke en operationele supply-chain-risico’s,
versterking van de veerkracht van kritieke goederen- en dienstenstromen,
betere afstemming tussen beveiliging, continuïteit en risicomanagement,
verhoogde betrouwbaarheid van externe afhankelijkheden,
en aantoonbaarheid van professioneel supply-chain-beveiligingsbeheer richting bestuur en toezichthouders.

”
},
{
“id”: “51380258”,
“title”: “ISO 37500 – Guidance on outsourcing”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO 37500 – Guidance on outsourcing”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4200,
“body”: “

(Richtlijn voor outsourcing)

none

Waarom deze standaard?

Organisaties zijn in toenemende mate afhankelijk van externe partijen voor kritieke processen, diensten en technologieën. Outsourcing creëert kansen op efficiëntie en schaal, maar introduceert ook organisatiebrede risico’s op het vlak van continuïteit, compliance, kwaliteit, afhankelijkheid en governance.

ISO 37500 biedt een internationaal erkend richtlijnenkader voor het beheersen van outsourcingrelaties over hun volledige levenscyclus heen. De standaard richt zich expliciet op governance, verantwoordelijkheden en risicobeheersing bij outsourcing, en overstijgt daarmee het loutere security- of IT-perspectief.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 37500 gebruiken als organisatiebreed referentiekader voor outsourcing en third-party management, in samenhang met Enterprise Risk Management, Third-Party & Supply Chain Management en – waar relevant – Information Security Management en Business Continuity Management.

De standaard ondersteunt organisaties bij:

het structureren van de volledige outsourcinglevenscyclus (strategie, selectie, contractering, transitie, exploitatie en exit),
het expliciet toewijzen van rollen, verantwoordelijkheden en beslissingsbevoegdheden tussen opdrachtgever en dienstverlener,
het identificeren en beheersen van organisatiebrede risico’s verbonden aan outsourcing,
het borgen van continuïteit, compliance en prestaties van uitbestede activiteiten,
en het verankeren van outsourcingbeslissingen binnen bredere governance- en risicokaders.

Wat draagt deze standaard concreet bij?

ISO 37500 draagt concreet bij aan:

beter beheersbare en transparante outsourcingrelaties,
vermindering van strategische, operationele en afhankelijkheidsrisico’s,
verhoogde controle over kritieke externe diensten en processen,
sterkere samenhang tussen outsourcing, risicomanagement en governance,
en aantoonbaar professioneel beheer van externe partijen richting bestuur, toezichthouders en regelgevers.

Positionering binnen het managementsysteemlandschap

ISO 37500 vormt een bovenliggende governance- en risicolaag voor outsourcing en third-party management. Vanuit deze organisatiebrede basis kunnen specifieke perspectieven, zoals informatiebeveiliging (ISMS), supply-chain security (ISO 28000) en continuïteit (BCMS), gericht worden geadopteerd en geïntegreerd.

”
},
{
“id”: “35389736”,
“title”: “ISO/IEC 27036-1 — Cybersecurity — Supplier relationships — Part 1: Overview and concepts”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO/IEC 27036-1 — Cybersecurity — Supplier relationships — Part 1: Overview and concepts”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2856,
“body”: “

ISO/IEC 27036-1 — Cybersecurity — Leveranciersrelaties — Deel 1: Overzicht en concepten

Waarom deze standaard?

Binnen een zorgcontext zijn organisaties in toenemende mate afhankelijk van externe leveranciers, IT-dienstverleners, clouddiensten en ketenpartners. Deze afhankelijkheden creëren specifieke cyber- en informatiebeveiligingsrisico’s die zich buiten de directe organisatorische controle bevinden.

ISO/IEC 27036 biedt een internationaal erkend kader om informatiebeveiliging en cybersecurity binnen leveranciersrelaties gestructureerd en beheersbaar te organiseren. De standaard is bijzonder relevant in het licht van NIS2, waar supply-chain- en third-party-risico’s expliciet worden benoemd als kritisch aandachtspunt voor cyberweerbaarheid.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036 gebruiken als normatief referentiekader voor het inrichten van Third-Party & Supply Chain Security Management, in samenhang met het Information Security Management System (ISMS).

De standaard ondersteunt bij:

het identificeren en beoordelen van informatiebeveiligings- en cyberrisico’s die voortvloeien uit leveranciersrelaties,
het vastleggen van beveiligingsvereisten richting leveranciers en dienstverleners,
het borgen van beveiliging over de volledige levenscyclus van de leveranciersrelatie,
en het afstemmen van leveranciersbeveiliging op organisatiebrede risicokaders en governance-structuren.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036 draagt concreet bij aan:

structurele beheersing van cyber- en informatiebeveiligingsrisico’s in de supply chain,
duidelijke afspraken en verwachtingen richting leveranciers en ketenpartners,
versterking van de cyberweerbaarheid van de organisatie als geheel,
aantoonbaarheid richting bestuur, toezichthouders en auditors,
en samenhang tussen interne beveiligingsmaatregelen en externe afhankelijkheden.

”
},
{
“id”: “36995073”,
“title”: “ISO/IEC 27036-2 — Cybersecurity — Supplier relationships — Part 2: Requirements”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO/IEC 27036-2 — Cybersecurity — Supplier relationships — Part 2: Requirements”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2727,
“body”: “

ISO/IEC 27036-2 — Cybersecurity — Leveranciersrelaties — Deel 2: Eisen

Waarom deze standaard?

Waar ISO/IEC 27036 op conceptueel niveau richting geeft aan beveiliging binnen leveranciersrelaties, specificeert ISO/IEC 27036-2 de concrete eisen die organisaties kunnen hanteren om informatiebeveiliging en cybersecurity bij derde partijen afdwingbaar en beheersbaar te maken.

In een zorgcontext, en in het kader van NIS2, is het essentieel dat cyber- en informatiebeveiligingsvereisten niet vrijblijvend blijven, maar expliciet worden vastgelegd en opgevolgd binnen leveranciers- en uitbestedingsrelaties. ISO/IEC 27036-2 biedt hiervoor een normatief houvast.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036-2 gebruiken om minimale en proportionele beveiligingseisen te definiëren voor leveranciers, dienstverleners en ketenpartners, in samenhang met het Information Security Management System (ISMS).

De standaard ondersteunt organisaties bij:

het vertalen van interne informatiebeveiligingsvereisten naar externe leveranciers,
het opnemen van beveiligingseisen in contracten, SLA’s en uitbestedingsafspraken,
het afstemmen van leveranciersbeveiliging op risicoprofiel en kriticiteit,
en het monitoren en evalueren van naleving door derde partijen.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036-2 draagt concreet bij aan:

afdwingbare en consistente beveiligingseisen binnen de supply chain,
vermindering van cyber- en informatiebeveiligingsrisico’s bij uitbesteding,
versterking van governance en accountability richting leveranciers,
betere aansluiting tussen interne beveiligingsmaatregelen en externe afhankelijkheden,
en aantoonbaarheid richting bestuur, auditors en toezichthouders.

”
},
{
“id”: “36503554”,
“title”: “ISO/IEC 27036-3 — Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO/IEC 27036-3 — Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2966,
“body”: “

ISO/IEC 27036-2 — Informatietechnologie — Beveiligingstechnieken — Informatiebeveiliging voor leveranciersrelaties — Deel 3: Richtlijnen voor ICT-supply-chain-beveiliging

ISO/IEC 27036-3 — Cybersecurity — Supplier relationships — Guidelines for ICT supply chain security

Waarom deze standaard?

De digitale zorgomgeving is sterk afhankelijk van complexe ICT-leveringsketens, waaronder softwareleveranciers, integratoren, cloud- en managed service providers. Deze ICT-supply chains vormen een belangrijk aanvalsoppervlak voor cyberdreigingen en verstoringen.

ISO/IEC 27036-3 richt zich specifiek op cybersecurityrisico’s binnen de ICT-supply chain en biedt richtlijnen om deze risico’s systematisch te identificeren, te beoordelen en te beheersen. De standaard sluit nauw aan bij de aandacht die NIS2 besteedt aan software-, ICT- en digitale ketenafhankelijkheden.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036-3 gebruiken als verdiepend referentiekader voor het beheersen van ICT-gerelateerde leveranciers- en ketenrisico’s, in samenhang met het Information Security Management System (ISMS).

De standaard ondersteunt organisaties bij:

het in kaart brengen van ICT-supply-chain-afhankelijkheden,
het beoordelen van cyberrisico’s verbonden aan software, hardware en digitale diensten van derden,
het opnemen van specifieke ICT- en cyberbeveiligingseisen in leveranciersrelaties,
en het afstemmen van technische, organisatorische en contractuele maatregelen binnen de digitale keten.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036-3 draagt concreet bij aan:

versterkte beheersing van cyberrisico’s in de ICT-supply chain,
vermindering van kwetsbaarheden door derde-partij-software en -diensten,
verhoogde weerbaarheid tegen supply-chain-aanvallen,
betere afstemming tussen technische beveiligingsmaatregelen en leveranciersbeheer,
en aantoonbare cyberweerbaarheid binnen digitale zorgketens.

”
},
{
“id”: “36896803”,
“title”: “ISO/IEC 27036-4 — Information technology — Security techniques — Information security for supplier relationships — Part 4: Guidelines for security of cloud services”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO/IEC 27036-4 — Information technology — Security techniques — Information security for supplier relationships — Part 4: Guidelines for security of cloud services”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3214,
“body”: “

ISO/IEC 27036-4 — Informatietechnologie — Beveiligingstechnieken — Informatiebeveiliging voor leveranciersrelaties — Deel 4: Richtlijnen voor de beveiliging van clouddiensten

Waarom deze standaard?

Zorgorganisaties maken in toenemende mate gebruik van clouddiensten voor klinische toepassingen, zorgondersteunende processen, gegevensopslag en digitale samenwerking. Deze afhankelijkheid van cloud service providers introduceert specifieke informatiebeveiligings- en cyberrisico’s die zich uitstrekken over organisatorische en juridische grenzen heen.

ISO/IEC 27036-4 richt zich expliciet op de beveiliging van clouddiensten binnen leveranciersrelaties en biedt richtlijnen om cloud-specifieke risico’s gestructureerd te beheersen. In het kader van NIS2, waar digitale ketenafhankelijkheden en uitbesteding expliciet worden benoemd, is deze standaard bijzonder relevant voor zorgorganisaties.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO/IEC 27036-4 gebruiken als verdiepend referentiekader voor het beheersen van informatiebeveiliging en cybersecurity bij het gebruik van clouddiensten, in samenhang met het Information Security Management System (ISMS) en het Third-Party & Supply Chain Management System.

De standaard ondersteunt organisaties bij:

het identificeren van cloud-specifieke beveiligingsrisico’s binnen leveranciersrelaties,
het vastleggen van beveiligingsvereisten voor cloud service providers,
het beoordelen van verantwoordelijkheden en gedeelde beveiligingsmodellen,
het borgen van beveiliging over de volledige levenscyclus van het gebruik van clouddiensten,
en het afstemmen van cloudbeveiliging op organisatiebrede risico- en governancekaders.

Wat draagt deze standaard concreet bij?

ISO/IEC 27036-4 draagt concreet bij aan:

verhoogde beheersing van informatiebeveiligings- en cyberrisico’s bij clouddiensten,
duidelijkheid over verantwoordelijkheden tussen zorgorganisatie en cloudleverancier,
versterking van cyberweerbaarheid binnen digitale zorgomgevingen,
betere aansluiting tussen cloudgebruik en bestaande beveiligingsmaatregelen,
en aantoonbaarheid richting bestuur, auditors en toezichthouders.

”
},
{
“id”: “35389729”,
“title”: “ISO 20400 — Sustainable procurement — Guidance”,
“path”: “Overview / Third-Party & Supply Chain Management System (TPSCMS) / Compliance Standards Third Party & Supply Chain Management / ISO 20400 — Sustainable procurement — Guidance”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2794,
“body”: “

ISO 20400 — Duurzame inkoop — Richtlijnen

Waarom deze standaard?

Zorgorganisaties zijn in hoge mate afhankelijk van leveranciers en ketenpartners voor het realiseren van hun maatschappelijke opdracht. De keuzes die gemaakt worden in inkoop en leveranciersbeheer hebben niet alleen impact op kosten en kwaliteit, maar ook op mens, maatschappij en milieu.

ISO 20400 biedt een internationaal erkend richtsnoer voor duurzame en verantwoorde inkoop en ondersteunt organisaties bij het integreren van duurzaamheid, ethiek en maatschappelijke verantwoordelijkheid in supply-chain-beslissingen. In een zorgcontext draagt dit bij aan verantwoord bestuur, vertrouwen en lange-termijnwaardecreatie.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 20400 gebruiken als beleidsmatig en governance-gericht referentiekader voor duurzame inkoop en leveranciersbeheer, in samenhang met Third-Party & Supply Chain Management, Enterprise Risk Management en andere managementsystemen.

De standaard ondersteunt organisaties bij:

het integreren van duurzaamheid en maatschappelijke verantwoordelijkheid in inkoopstrategieën,
het meenemen van sociale, ethische en ecologische aspecten in leveranciersselectie en -opvolging,
het bevorderen van transparantie en verantwoord gedrag in de supply chain,
en het afstemmen van inkoopbeslissingen op organisatiebrede waarden en doelstellingen.

Wat draagt deze standaard concreet bij?

ISO 20400 draagt concreet bij aan:

duurzamere en meer verantwoorde leveranciersrelaties,
vermindering van sociale, ethische en ecologische risico’s in de supply chain,
versterking van reputatie en maatschappelijk vertrouwen,
betere afstemming tussen inkoop, risicomanagement en governance,
en ondersteuning van lange-termijnwaardecreatie binnen de zorgorganisatie.

”
},
{
“id”: “32833541”,
“title”: “Business Continuity Management System (BCMS)”,
“path”: “Overview / Business Continuity Management System (BCMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35127346”,
“title”: “Principles of Business Continuity Management”,
“path”: “Overview / Business Continuity Management System (BCMS) / Principles of Business Continuity Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3979,
“body”: “

Purpose and status of the principles

The principles defined for this management system express the explicit intent and direction set by Executive Management and the Board for this domain.

They describe what the organisation fundamentally stands for, the boundaries that guide decision-making, and the priorities that shape behaviour, design choices and trade-offs over time.

These principles form the authoritative foundation for:

the underlying framework,
the design of processes and controls,
and day-to-day decisions at all levels of the organisation.

Doel en status van de principes

De principes die voor dit managementsysteem zijn vastgelegd, drukken de expliciete intentie en richting uit die door Directie en Bestuur voor dit domein zijn bepaald.

Deze principes vormen het gezaghebbende fundament voor:

het onderliggende framework,
het ontwerp van processen en beheersmaatregelen,
en de dagelijkse beslissingen op alle niveaus van de organisatie.

”
},
{
“id”: “35160203”,
“title”: “Principles Statement of Business Continuity Management”,
“path”: “Overview / Business Continuity Management System (BCMS) / Principles of Business Continuity Management / Principles Statement of Business Continuity Management”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 16410,
“body”: “

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij bedrijfscontinuïteit binnen de organisatie organiseren en aansturen via een Business Continuity Management System (BCMS).

Bedrijfscontinuïteit is voor ons een essentieel onderdeel van kwalitatieve, veilige en verantwoorde zorgverlening. Zij waarborgt dat kritieke zorgactiviteiten, ondersteunende processen en essentiële diensten kunnen blijven functioneren, ook bij verstoringen en crisissituaties, zodat de veiligheid en continuïteit van zorg voor patiënten en cliënten maximaal wordt beschermd..

Wij vertrekken steeds van de verplichte naleving van toepasselijke wet- en regelgeving en andere bindende verplichtingen die relevant zijn voor continuïteit, veerkracht en dienstverlening.
Binnen dat kader maken wij bewuste en expliciete keuzes in de wijze waarop wij bedrijfscontinuïteit organiseren, gebaseerd op een best of worlds-benadering.

Daarbij laten wij ons primair leiden door:

ISO 22301 als referentiekader voor de inrichting en besturing van het Business Continuity Management System,
aanverwante internationale standaarden uit de ISO 223xx-reeks, waaronder:
- ISO 22313 (guidance bij ISO 22301),
- ISO 22317 (Business Impact Analysis (BIA)),
- ISO 22320 (incident- en crisismanagement),
- ISO 22398 (oefeningen en testen),
- ISO 22316 (organisatorische veerkracht),
ISO 27031 voor de samenhang tussen bedrijfscontinuïteit en informatie- en cyberbeveiliging,
en het CyFun-perspectief als organisatiebreed kader voor governance, risico en beheersing.

Deze principes:

drukken onze fundamentele overtuigingen en bestuurlijke keuzes uit met betrekking tot bedrijfscontinuïteit,
zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt voor het BCMS,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in risico’s of context.

De principes beantwoorden het waarom van bedrijfscontinuïteit binnen de organisatie.
Alle verdere uitwerkingen — waaronder frameworks, beleidsdocumenten, processen, plannen, maatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes en moeten er aantoonbaar mee in lijn zijn.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Wij beschouwen bedrijfscontinuïteit als een bestuurlijke verantwoordelijkheid met directe impact op patiëntveiligheid en zorgkwaliteit.

Bestuur en Directie nemen expliciet eigenaarschap op voor de richting, prioriteiten en randvoorwaarden van continuïteit en veerkracht, en dragen verantwoordelijkheid voor keuzes die de beschikbaarheid en betrouwbaarheid van zorg beïnvloeden.

Compliance- en normative onderbouwing760

ISO 22301: Leadership and commitment
ISO 22316: Organisational resilience

Principe 2 – Risicogebaseerde benadering

Wij organiseren bedrijfscontinuïteit op basis van risico’s voor zorgverlening en patiëntveiligheid.

Wij beoordelen verstoringen in functie van hun mogelijke impact op zorgprocessen, zorgcapaciteit, medewerkers en patiënten, en nemen proportionele beslissingen over preventie, paraatheid, respons en herstel.

Compliance- en normative onderbouwing760

ISO 22301: Planning (risks and opportunities)
ISO 22317: Business impact analysis

Principe 3 – Bescherming van kritieke diensten, processen en middelen

Wij beschermen in de eerste plaats de continuïteit van kritieke zorgdiensten en zorgprocessen.

Deze omvatten zowel directe patiëntenzorg als essentiële ondersteunende processen, middelen, infrastructuur en afhankelijkheden die noodzakelijk zijn om veilige zorg te kunnen blijven leveren.

Compliance- en normative onderbouwing760

ISO 22301: Business impact analysis and risk assessment
ISO 22317: Business impact analysis

Principe 4 – Gelaagde en samenhangende continuïteitsbeheersing

Wij hanteren een gelaagde en samenhangende benadering van zorgcontinuïteit.

Preventie, paraatheid, crisisrespons en herstel worden in samenhang georganiseerd, zodat verstoringen doelgericht worden opgevangen en de impact op patiënten, cliënten en zorgprofessionals wordt beperkt.

Compliance- en normative onderbouwing760

ISO 22301: Business continuity strategies and solutions
ISO 22313: Guidance on implementation

Principe 5 – Integratie in organisatie en zorgprocessen

Wij beschouwen bedrijfscontinuïteit als een integraal onderdeel van zorgorganisatie en zorgprocessen.

Continuïteitsdenken is ingebed in klinische en ondersteunende processen, besluitvorming en dagelijkse werking, en sluit aan bij kwaliteits- en patiëntveiligheidsinitiatieven.

Compliance- en normative onderbouwing760

ISO 22301: Operational planning and control

Principe 6 – Samenhang met andere managementsystemen

Wij borgen expliciete samenhang tussen het BCMS en andere managementsystemen, waaronder informatie- en cyberbeveiliging, fysieke beveiliging, privacy, kwaliteits- en risicomanagement.

Deze samenhang is essentieel om zorgcontinuïteit holistisch te beheren en tegenstrijdige keuzes te vermijden.

Compliance- en normative onderbouwing760

ISO 22301: Context of the organisation
ISO 27031: ICT readiness for business continuity

Principe 7 – Naleving van wetgeving, normen en verplichtingen

Wij voldoen aantoonbaar aan toepasselijke wet- en regelgeving, sectorale vereisten en contractuele verplichtingen die relevant zijn voor zorgcontinuïteit en patiëntveiligheid.

Naleving vormt een fundamenteel uitgangspunt bij de aansturing en prioritering binnen het BCMS.

Compliance- en normative onderbouwing760

ISO 22301: Compliance obligations

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Wij achten duidelijke rollen, verantwoordelijkheden en verantwoordelijkheidszin essentieel voor effectieve zorgcontinuïteit.

Zorgprofessionals, ondersteunende diensten en leidinggevenden kennen hun rol bij verstoringen en crisissituaties en beschikken over het nodige bewustzijn en competenties om gepast te handelen.

Compliance- en normative onderbouwing760

ISO 22301: Roles, responsibilities, competence and awareness

Principe 9 – Duurzame en verantwoorde besluitvorming

Wij nemen beslissingen over zorgcontinuïteit op een duurzame en verantwoorde manier, met respect voor mens, maatschappij en planetaire grenzen.

Wij houden rekening met de langetermijnimpact van continuïteitskeuzes op zorgcapaciteit, medewerkers, ketenpartners en milieu, en streven naar oplossingen die zorg veerkrachtig en verantwoord houden.

Compliance- en normative onderbouwing760

ISO 22301: Leadership and commitment
ISO 22316: Organisational resilience

Principe 10 – Continue evaluatie en verbetering

Wij beschouwen zorgcontinuïteit als een continu te evalueren en te verbeteren domein.

Het BCMS leert uit incidenten, bijna-incidenten, oefeningen en reële crisissituaties, en evolueert mee met veranderingen in zorgvraag, organisatie en context.

Compliance- en normative onderbouwing760

ISO 22301: Performance evaluation and continual improvement
ISO 22398: Exercises and testing

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van zorgcontinuïteit binnen de organisatie.

Zij geven richting aan besluitvorming en prioritering en zorgen voor samenhang en duidelijkheid in hoe kritieke zorgdiensten en processen beschermd en hersteld worden bij verstoringen, in het belang van patiëntveiligheid, zorgkwaliteit en vertrouwen.

”
},
{
“id”: “21069834”,
“title”: “Business Continuity Management (BCM) Framework”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 3729,
“body”: “

Waarom dit BCM Framework?

Organisaties moeten ook onder uitzonderlijke omstandigheden blijven functioneren.
Niet alleen bij cyberincidenten, maar ook bij IT-uitval, personeelstekorten, pandemieën, fysieke incidenten of verstoringen in de keten.

Dit BCM Framework biedt een gestructureerde en samenhangende aanpak om continuïteit bewust te organiseren, beslissingen te ondersteunen en herstel gecontroleerd aan te pakken wanneer het erop aankomt.

Hoe gebruiken we dit BCM Framework?

Het BCM Framework vertaalt continuïteit van een abstract begrip naar een praktisch en bestuurbaar geheel.

Het framework:

verbindt beleid, analyse en uitvoering
maakt duidelijk wie wanneer wat doet
zorgt voor samenhang tussen strategie, operatie en compliance
sluit aan op organisatiebreed risk management en andere domeinen

Het framework vormt de kapstok waar concrete documenten, plannen en analyses logisch onder worden opgebouwd.

Wat omvat dit BCM Framework concreet?

Het BCM Framework bestaat uit samenhangende bouwstenen, waaronder:

een Business Continuity Management Policy
een Business Continuity Plan (BCP) als operationele uitwerking
Business Impact Assessments (BIA’s) ter onderbouwing van prioriteiten
een compliance- en normatief kader (o.a. NIS2, ISO 22301)

Samen maken deze bouwstenen het mogelijk om continuïteit voor te bereiden, toe te passen, te evalueren en continu te verbeteren.

Dit BCM Framework ondersteunt organisaties om continuïteit niet ad hoc, maar structureel en aantoonbaar te beheren.

true”
},
{
“id”: “623115”,
“title”: “Business Continuity Management Policy”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework / Business Continuity Management Policy”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 30024,
“body”: “

Beleid Business Continuity Management

Context – zorgsector

Zorgorganisaties leveren kritieke dienstverlening waarvan de continuïteit rechtstreeks impact heeft op patiëntveiligheid, zorgkwaliteit en maatschappelijke verantwoordelijkheid. Verstoringen kunnen ontstaan door uiteenlopende oorzaken, zoals cyberincidenten, IT-storingen, personeelsuitval, pandemieën, infrastructuurproblemen of externe gebeurtenissen.
Deze beleidsverklaring vertrekt vanuit de noodzaak om zorgcontinuïteit te waarborgen ongeacht de aard van de verstoring.

Doel van het beleid – zorgsector

Dit beleid heeft als doel een kader vast te leggen voor het structureel beheren van bedrijfscontinuïteit binnen de organisatie. Het beleid beoogt te verzekeren dat kritieke zorg- en ondersteunende processen tijdig kunnen worden voortgezet of hersteld bij verstoringen, met prioriteit voor patiëntveiligheid en essentiële dienstverlening.

Reikwijdte – zorgsector

Dit beleid is van toepassing op:

alle zorg- en ondersteunende processen
alle medewerkers, artsen, vrijwilligers en externe partners
alle locaties, systemen, informatie en middelen
die nodig zijn voor het leveren van kritieke zorgdiensten.

Business continuity geldt organisatiebreed en is niet beperkt tot specifieke incidenttypes.

Eigenaarschap, goedkeuring en herziening – zorgsector

Eigenaarschap en verantwoordelijkheden

Bestuursorgaan

Het bestuursorgaan draagt de eindverantwoordelijkheid voor het continuïteitsbeleid en ziet toe op de borging ervan binnen de organisatie.

Eerste lijn

Directies & afdelingshoofden

De eerste lijn is verantwoordelijk voor het identificeren van kritieke processen, het implementeren van continuïteitsmaatregelen en het toepassen van dit beleid binnen de eigen verantwoordelijkheidsdomeinen.

IT-departement

Het IT-departement is verantwoordelijk voor business continuity vanuit het perspectief van de beschikbaarheid, herstelbaarheid en veerkracht van IT- en digitale ondersteunende systemen die essentieel zijn voor zorg- en organisatieprocessen.

Het IT-departement:

identificeert en beheert kritieke IT-afhankelijkheden die impact hebben op zorgcontinuïteit;
implementeert technische continuïteitsmaatregelen, zoals redundantie, back-up, failover en herstelvoorzieningen;
ondersteunt de uitvoering van Business Impact Analyses door inzicht te geven in IT-systemen, afhankelijkheden en herstelmogelijkheden;
voert herstelactiviteiten uit bij IT-storingen of digitale verstoringen, in lijn met vastgestelde prioriteiten en hersteldoelstellingen;
test en onderhoudt IT-gerelateerde continuïteits- en herstelplannen;
werkt samen met andere eerste- en tweede-lijnfuncties tijdens incidenten, crisissen en oefeningen.

Het IT-departement draagt bij aan business continuity door ervoor te zorgen dat digitale ondersteuning van zorgprocessen tijdig en gecontroleerd kan worden hersteld, zonder de zorginhoudelijke prioriteiten uit het oog te verliezen.

Tweede lijn

CRO – Chief Risk Officer

De Chief Risk Officer (CRO) bewaakt de samenhang tussen business continuity en het organisatiebrede risicokader. De CRO is verantwoordelijk voor het consistent identificeren, evalueren en opvolgen van continuïteitsrisico’s over alle risicodomeinen heen, en voor het onderbouwen van prioriteiten en beslissingen.

De CRO ondersteunt de rapportering over bedrijfscontinuïteit richting directie en bestuursorgaan en ziet toe op de afstemming tussen business continuity, Enterprise Risk Management en het bredere GRC-kader.

Kwaliteit en Patiëntveiligheid

De functie Kwaliteit en Patiëntveiligheid bewaakt dat business continuity altijd wordt benaderd vanuit het perspectief van veilige, kwalitatieve en verantwoorde zorg. Deze functie vormt het inhoudelijk kompas bij het bepalen van prioriteiten wanneer verstoringen optreden.

Kwaliteit en Patiëntveiligheid:

beoordeelt de impact van verstoringen en continuïteitsmaatregelen op zorgprocessen en patiëntveiligheid
adviseert bij het identificeren van kritieke processen en het bepalen van herstelvolgorde
bewaakt dat tijdelijke of alternatieve werkvormen geen onaanvaardbare risico’s creëren voor patiënten
zorgt voor samenhang tussen business continuity, kwaliteitsbeleid en patiëntveiligheidsdoelstellingen

Deze functie opereert onafhankelijk van de operationele uitvoering en ondersteunt besluitvorming in crisissituaties door zorginhoudelijke risico’s expliciet en onderbouwd te maken.

Personeelsdient (HR)

De Personeelsdienst (HR) bewaakt business continuity vanuit het perspectief van beschikbaarheid, inzetbaarheid en draagkracht van medewerkers. Continuïteit van zorg is onlosmakelijk verbonden met de mensen die die zorg verlenen.

HR:

analyseert de impact van verstoringen op personeelsbezetting, roostering en inzetbaarheid
adviseert over maatregelen zoals herschikking van personeel, vervanging, prioritering van functies en tijdelijke afwijkingen
bewaakt arbeidsvoorwaarden, werkdruk en psychosociaal welzijn tijdens crisissituaties
ondersteunt leidinggevenden bij het duurzaam inzetten van medewerkers in uitzonderlijke omstandigheden

De personeelsdienst draagt er mee toe bij dat continuïteitsmaatregelen haalbaar blijven op lange termijn en geen onaanvaardbare belasting creëren voor medewerkers.

Preventiedienst (welzijn & veiligheid op het werk)

De Preventiedienst bewaakt business continuity vanuit het perspectief van veiligheid, gezondheid en welzijn van medewerkers. Continuïteitsmaatregelen mogen nooit leiden tot onaanvaardbare risico’s voor mensen die onder uitzonderlijke omstandigheden moeten blijven werken.

De Preventiedienst:

adviseert over veiligheids- en gezondheidsrisico’s bij noodsituaties en tijdelijke werkvormen
beoordeelt de impact van continuïteitsmaatregelen op fysieke en psychosociale veiligheid
ondersteunt bij risico-inschattingen van afwijkende processen, locaties of arbeidsomstandigheden
bewaakt dat noodmaatregelen in overeenstemming blijven met welzijns- en veiligheidsverplichtingen

De Preventiedienst draagt bij aan continuïteit door te verzekeren dat zorg en ondersteuning veilig, verantwoord en menselijk kunnen worden voortgezet, ook onder verhoogde druk.

Communicatiedienst

De Communicatiedienst bewaakt business continuity vanuit het perspectief van duidelijke, consistente en betrouwbare communicatie. In situaties van verstoring is heldere communicatie essentieel om rust te bewaren, correct gedrag te ondersteunen en vertrouwen te behouden bij medewerkers, patiënten en externe stakeholders.

De Communicatiedienst:

coördineert de interne communicatie naar medewerkers en artsen tijdens verstoringen en crisissen
bewaakt de samenhang en eenduidigheid van externe communicatie naar patiënten, partners, pers en andere stakeholders
stemt boodschappen af met directie, crisiscel en betrokken diensten
voorkomt ruis, tegenstrijdige informatie en ongecontroleerde communicatie

De Communicatiedienst draagt rechtstreeks bij aan continuïteit door verwachtingen te managen, onzekerheid te beperken en reputatieschade te vermijden, ongeacht de aard van de verstoring.

CISO – Chief Information Security Officer

De CISO bewaakt business continuity vanuit het perspectief van alle relevante informatiebeveiligingsdoelstellingen, waaronder beschikbaarheid, integriteit, vertrouwelijkheid, authenticiteit en niet-weerlegbaarheid van informatie, evenals de digitale afhankelijkheden van de organisatie. Informatiebeveiliging vormt één van de kritieke risicodomeinen binnen continuïteit, maar is niet gelijk aan business continuity.

De CISO:

adviseert over continuïteitsrisico’s die verband houden met informatie, IT-systemen en digitale processen
ondersteunt bij het identificeren van kritieke informatie- en IT-afhankelijkheden binnen BIA’s
bewaakt de samenhang tussen business continuity, incidentmanagement en het Information Security Management System (ISMS)
adviseert over herstelmaatregelen en prioriteiten bij digitale of cybergerelateerde verstoringen

De CISO draagt bij aan continuïteit door ervoor te zorgen dat informatiebeveiligingsrisico’s correct worden meegenomen in beslissingen, zonder de zorg- en organisatieprioriteiten uit het oog te verliezen.

DPO – Data Protection Officer

De DPO bewaakt business continuity vanuit het perspectief van bescherming van persoonsgegevens. Ook in situaties van verstoring of crisis blijven de beginselen van gegevensbescherming van kracht, met ruimte voor proportionele en noodzakelijke maatregelen om continuïteit van zorg en dienstverlening te waarborgen.

De DPO:

adviseert over de verwerking van persoonsgegevens binnen continuïteits- en crisismaatregelen
bewaakt proportionaliteit, doelbinding en dataminimalisatie bij noodmaatregelen en tijdelijke werkvormen
ondersteunt bij het afwegen van privacybelangen tegenover continuïteits- en zorgnoodwendigheden
ziet toe op het voorkomen van structurele privacy-inbreuken als gevolg van tijdelijke afwijkingen

De DPO draagt bij aan business continuity door rechtszekerheid en vertrouwen te borgen, zonder de noodzakelijke voortgang van zorg en organisatie te belemmeren.

Facility / Infrastructure / Safety

De functie Facility, Infrastructuur & Fysieke Veiligheid bewaakt business continuity vanuit het perspectief van gebouwen, nutsvoorzieningen, fysieke toegang en veiligheid. Deze randvoorwaarden zijn essentieel om zorg- en ondersteunende activiteiten veilig en continu te kunnen uitvoeren.

Deze functie:

identificeert en bewaakt kritieke fysieke en infrastructurele afhankelijkheden, zoals gebouwen, energie, water, klimaatbeheersing en toegangscontrole
adviseert over noodvoorzieningen, alternatieve locaties en tijdelijke infrastructuuroplossingen
ondersteunt bij verstoringen met een fysieke, technische of infrastructurele oorzaak
ziet toe op fysieke veiligheid van medewerkers, patiënten en bezoekers tijdens nood- en crisissituaties

Facility, infrastructuur en fysieke veiligheid dragen bij aan business continuity door te verzekeren dat de fysieke omgeving geen beperkende factor vormt voor het voortzetten of herstellen van kritieke zorgprocessen.

Legal

Legal bewaakt business continuity vanuit het perspectief van juridische naleving, aansprakelijkheid en rechtszekerheid.

Legal:

bewaakt de naleving van wettelijke, contractuele en sectorale verplichtingen met betrekking tot continuïteit van dienstverlening;
adviseert over juridische implicaties van continuïteits- en crisismaatregelen;
ondersteunt bij het inschatten van aansprakelijkheids- en verantwoordelijkheidsrisico’s bij verstoringen;
bewaakt de juridische consistentie en afdwingbaarheid van continuïteitsafspraken met externe partijen.

Legal opereert onafhankelijk van de operationele uitvoering en ondersteunt besluitvorming door juridische randvoorwaarden en risico’s expliciet te maken.

Goedkeuring

Dit beleid wordt formeel goedgekeurd door het bestuursorgaan van de organisatie.

Herziening en onderhoud

Het beleid wordt periodiek herzien en minimaal aangepast:

bij significante organisatorische wijzigingen
na ernstige incidenten of crisissen
bij wijzigingen in wet- en regelgeving
of op basis van inzichten uit oefeningen en evaluaties

Beleidsverklaring

De organisatie engageert zich om bedrijfscontinuïteit structureel en proportioneel te organiseren.
Continuïteit wordt benaderd als een organisatiebreed verantwoordelijkheid, gedragen door bestuur, management en medewerkers, en geïntegreerd in dagelijkse werking en besluitvorming.

Compliance- en normatieve onderbouwing760

Deze policy is opgesteld in overeenstemming met internationaal erkende normen en goede praktijken voor business continuity management.

Primaire normatieve referentie:

ISO 22301 — Business Continuity Management Systems

Deze policy ondersteunt in het bijzonder:

het vastleggen van organisatiebreed continuïteitsbeleid (ISO 22301, clause 5)
het identificeren en prioriteren van kritieke activiteiten (ISO 22301, clause 6)
het testen, evalueren en verbeteren van continuïteitsmaatregelen (ISO 22301, clauses 8–10)

Beleidsvereisten

Om business continuity organisatiebreed en structureel te borgen, legt de organisatie volgende beleidsvereisten vast:

1. Kriticiteit en prioritering

De organisatie identificeert en onderhoudt een actueel overzicht van kritieke processen en activiteiten.
Prioritering gebeurt op basis van impact op zorgcontinuïteit, patiëntveiligheid en organisatieverantwoordelijkheid, niet op basis van technische of organisatorische voorkeuren.

2. Business Impact Analysis (BIA)

Voor kritieke processen wordt periodiek een Business Impact Analysis uitgevoerd.
De BIA vormt de basis voor het bepalen van herstelprioriteiten, afhankelijkheden en minimale vereiste middelen.
Resultaten van de BIA worden gevalideerd met relevante stakeholders en gebruikt in besluitvorming.

3. Hersteldoelstellingen

Voor kritieke processen worden hersteldoelstellingen vastgelegd (zoals maximale aanvaardbare uitval en hersteltermijnen).
Deze doelstellingen zijn realistisch, afgestemd op de zorgcontext en gedragen door management.

4. Continuïteitsmaatregelen en plannen

De organisatie definieert, implementeert en onderhoudt continuïteits- en crisismaatregelen die proportioneel zijn aan de geïdentificeerde risico’s.
Continuïteitsplannen zijn oorzaak-agnostisch en houden rekening met uiteenlopende scenario’s, zoals IT-uitval, cyberincidenten, personeelsuitval, pandemieën en infrastructurele verstoringen.

5. Oefeningen, testen en evaluatie

Continuïteitsmaatregelen en plannen worden periodiek getest en geoefend, rekening houdend met realistische scenario’s.
Resultaten van oefeningen en reële incidenten worden geëvalueerd en leiden tot verbetermaatregelen.

6. Integratie met andere domeinen

Business continuity is geïntegreerd met risicomanagement, informatiebeveiliging, crisisbeheer, kwaliteit, personeelsbeleid en facilitaire processen.
Beslissingen over continuïteit worden genomen in samenhang met deze domeinen en niet geïsoleerd.

7. Documentatie en aantoonbaarheid

De organisatie zorgt voor adequate documentatie van analyses, plannen, beslissingen en maatregelen.
Deze documentatie is actueel, toegankelijk en geschikt voor interne en externe verantwoording.

8. Continue verbetering

Business continuity wordt beschouwd als een levend systeem.
Inzichten uit incidenten, crisissen, oefeningen en wijzigingen in de organisatie leiden tot bijsturing van beleid, analyses en maatregelen.

Compliance – en normatieve onderbouwing760

Business continuity draagt bij aan naleving van diverse wettelijke en sectorale verplichtingen die eisen stellen aan de continuïteit van kritieke dienstverlening.

Afhankelijk van de context en het toepassingsgebied kan dit onder meer betrekking hebben op:

regelgeving inzake zorgcontinuïteit en patiëntveiligheid
vereisten rond kritieke infrastructuur en dienstverlening
sectorale of contractuele continuïteitsverplichtingen

Deze policy is oorzaak-agnostisch en ondersteunt naleving ongeacht de aard van de verstoring (cyber, IT, personeel, infrastructuur, externe gebeurtenissen).

Definities en termen

Voor de definities van gebruikte begrippen wordt verwezen naar:

ISO 22301 — Managementsysteem voor bedrijfscontinuïteit
ISO 31073 — Risicomanagement — Begrippen en definities
de interne GRC-glossary van de organisatie

”
},
{
“id”: “32833548”,
“title”: “Backup & Recovery Policy”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework / Business Continuity Management Policy / Backup & Recovery Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 85,
“body”: “

Beleid Back-up & Herstel

”
},
{
“id”: “32309359”,
“title”: “Disaster Recovery Policy”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework / Business Continuity Management Policy / Disaster Recovery Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 81,
“body”: “

Beleid Disaster Recovery

”
},
{
“id”: “33193991”,
“title”: “Post-Incident Recovery Improvement Policy”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework / Business Continuity Management Policy / Post-Incident Recovery Improvement Policy”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 103,
“body”: “

Beleid Herstel & Verbetering na Incidenten

”
},
{
“id”: “21463041”,
“title”: “Business Continuity Plan (BCP) – Master”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management (BCM) Framework / Business Continuity Plan (BCP) – Master”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 23520,
“body”: “26falsenonelisttrue

Doel en gebruik van dit plan

Dit Business Continuity Plan beschrijft de vooraf vastgelegde werkwijze om kritieke activiteiten te blijven uitvoeren of gecontroleerd te herstellen wanneer zich ernstige verstoringen voordoen.

Het plan wordt gebruikt door management en operationele verantwoordelijken als leidraad voor besluitvorming en uitvoering tijdens continuïteitsverstoringen.

Relatie met beleid en andere plannen

Dit plan is de operationele uitwerking van de Business Continuity Policy van de organisatie.

Beleidsprincipes, governance, rollen en verantwoordelijkheden zijn vastgelegd in de policy en worden in dit plan niet herhaald.

Dit plan werkt samen met crisisplannen, IT recovery plannen en communicatieprocedures.

Activatie van het plan

Dit Business Continuity Plan wordt geactiveerd wanneer de continuïteit van één of meerdere kritieke processen niet langer kan worden gegarandeerd binnen de normale organisatiewerking.

Activatie gebeurt wanneer één of meerdere van onderstaande situaties zich voordoen:

een kritieke activiteit kan niet worden uitgevoerd volgens de afgesproken minimale dienstverlening
een verstoring heeft of dreigt een significante impact te hebben op patiëntveiligheid of essentiële dienstverlening
normale herstelmaatregelen onvoldoende blijken of niet tijdig kunnen worden uitgevoerd
de duur of onzekerheid van de verstoring toeneemt

De beslissing tot activatie wordt genomen door het bevoegde management, conform de Business Continuity Policy.

Toepassingsgebied tijdens activatie

Na activatie is dit plan van toepassing op alle processen, activiteiten en middelen die als kritisch zijn geïdentificeerd via Business Impact Analyses.

Niet-kritieke activiteiten kunnen tijdelijk worden afgeschaald of stopgezet om middelen vrij te maken.

Continuïteitsaanpak

Na activatie van dit plan wordt:

prioriteit gegeven aan kritieke processen
gewerkt volgens vooraf bepaalde continuïteitsstrategieën
afgeweken van normale werkwijzen waar nodig en verantwoord

Besluitvorming en bijsturing

Beslissingen worden genomen op basis van:

impact op patiëntveiligheid
beschikbaarheid van mensen en middelen
verwachte duur van de verstoring

Beslissingen worden regelmatig herzien zolang de continuïteitsmodus actief is.

Communicatie tijdens continuïteitsmodus

Doel van communicatie in continuïteitsmodus

Het doel van communicatie tijdens continuïteitsmodus is:

het ondersteunen van correcte uitvoering van maatregelen
het bewaren van rust en vertrouwen bij medewerkers, artsen en patiënten
het vermijden van ruis, tegenstrijdige boodschappen en speculatie
het beschermen van patiënten, zorgkwaliteit en reputatie

Communicatieprincipes (altijd van toepassing)

Tijdens continuïteitsmodus geldt dat communicatie:

tijdig is (liever voorlopig correct dan laat perfect)
feitelijk is (wat weten we, wat weten we nog niet)
eenduidig is (één verhaal, één lijn)
afgestemd is (intern vóór extern)
proportioneel is (niet over-communiceren, niet verzwijgen)

Communicatiestructuur tijdens continuïteitsmodus

Alle communicatie tijdens continuïteitsmodus verloopt gecoördineerd via de communicatiefunctie.

Individuele medewerkers communiceren niet zelfstandig extern over de verstoring, behalve indien expliciet afgesproken.

Interne communicatie (medewerkers & artsen)

Doel

Medewerkers en artsen moeten weten:

wat er aan de hand is
wat van hen verwacht wordt
wat tijdelijk anders loopt
waar zij terechtkunnen met vragen

Best practices (operationeel)

Communiceer kort en regelmatig, ook als er weinig nieuws is
Benoem expliciet wat NIET verandert
Vermijd technische details die niet nodig zijn voor uitvoering
Gebruik vaste kanalen (geen wildgroei)

Typische kanalen:

intranet / interne updates
leidinggevenden → teams
gerichte mail of berichtgeving

Externe communicatie (patiënten, partners, publiek)

Doel

Externe communicatie beschermt:

vertrouwen van patiënten en partners
reputatie van de organisatie
ruimte voor interne herstelmaatregelen

Best practices

Communiceer pas extern wanneer interne lijnen duidelijk zijn
Houd boodschappen eenvoudig en begrijpelijk
Beperk communicatie tot wat relevant is voor de ontvanger
Vermijd speculatie over oorzaken of schuld

Externe communicatie gebeurt enkel via afgesproken woordvoerders.

Communicatie bij onzekerheid

Onzekerheid wordt expliciet benoemd.
Niet weten is beter dan fout communiceren.

Voorbeeldformuleringen:

“Op dit moment onderzoeken we…”
“We verwachten later vandaag een update…”
“Voorlopig geldt volgende werkwijze…”

Communicatiecadans

Tijdens continuïteitsmodus wordt een vaste communicatieroutine afgesproken, bijvoorbeeld:

vaste update-momenten
ad-hoc communicatie bij belangrijke wijzigingen

Afstemming met besluitvorming

Belangrijke beslissingen worden eerst intern afgestemd alvorens extern te communiceren.
Communicatie volgt besluitvorming, maar mag deze niet onnodig vertragen.

Vastleggen en documenteren

Belangrijke communicatieboodschappen worden bewaard als onderdeel van de continuïteitsdocumentatie.

Dit ondersteunt:

evaluatie achteraf
consistentie bij langere crisissen
verantwoording

Evaluatie van de communicatie

Na beëindiging van de continuïteitsmodus wordt geëvalueerd:

of communicatie tijdig en duidelijk was
of medewerkers wisten wat te doen
of externe communicatie vertrouwen ondersteunde

Afbouw en terugkeer naar normale werking

Dit plan wordt gedeactiveerd wanneer kritieke processen opnieuw stabiel en duurzaam kunnen functioneren binnen de normale werking.

De afbouw gebeurt gecontroleerd om terugval te vermijden.

Evaluatie en verbetering

Na beëindiging van de continuïteitsmodus wordt de toepassing van dit plan geëvalueerd en worden verbeterpunten geïdentificeerd.

Annex — Fallback- en Continuïteitsplannen per Kritiek Proces

Deze annex bevat de concrete fallback- en continuïteitsplannen per kritisch proces.

Voor elk kritisch proces is één of meerdere vooraf uitgewerkte fallback-plannen beschikbaar die beschrijven hoe het proces tijdelijk kan worden voortgezet wanneer normale werking niet mogelijk is.

De fallback-plannen in deze annex vormen de uitvoerende vertaling van de continuïteitsstrategieën en worden toegepast zodra dit Business Continuity Plan is geactiveerd.

Gebruik van deze annex

De plannen in deze annex:

zijn proces-specifiek
beschrijven concrete alternatieve werkwijzen
zijn bedoeld voor onmiddellijke toepassing door procesverantwoordelijken en teams

Fallback-plannen worden toegepast onder coördinatie van het management en in samenhang met de geldende besluitvorming en communicatieafspraken.

Beheer en onderhoud

De fallback-plannen in deze annex worden afzonderlijk onderhouden en periodiek herzien.

Wijzigingen in processen, middelen of organisatie worden verwerkt in de relevante procesfiches, zonder het Business Continuity Plan zelf te moeten aanpassen.

Relatie met klant-specifieke uitwerking760

Deze annex vormt een uitbreidbaar geheel.

Per organisatie en per kritisch proces worden de relevante fallback-plannen toegevoegd, afgestemd en gevalideerd in functie van de specifieke context, risico’s en afhankelijkheden.

Compliance – en normatieve onderbouwing760

Dit Business Continuity Plan is opgesteld als operationele uitwerking van het organisatiebeleid en ondersteunt de naleving van relevante wettelijke, regelgevende en normatieve vereisten inzake continuïteit en herstel.

Dit plan ondersteunt in het bijzonder de vereisten uit Richtlijn (EU) 2022/2555 (NIS2), meer bepaald:

Artikel 21(2)(c): business continuity, inclusief back-upbeheer, disaster recovery en crisisbeheer
Artikel 21(2)(d): supply chain security en afhankelijkheden
Artikel 23: paraatheid en respons bij significante incidenten

Het plan draagt bij aan preparedness, gecoördineerde respons en gecontroleerd herstel van essentiële diensten, zoals verwacht voor essentiële entiteiten.

Dit plan sluit aan bij het CyFun-raamwerk van het Centrum voor Cybersecurity België, meer bepaald bij de domeinen:

Continuity
Governance
Incident & Crisis Management

Dit Business Continuity Plan is opgesteld in overeenstemming met ISO 22301 en ondersteunt met name:

Clause 6.1: Actions to address risks and opportunities
Clause 8.2: Business Impact Analysis and risk assessment
Clause 8.3: Business continuity strategies and solutions
Clause 8.4: Business continuity plans and procedures
Clause 8.5: Exercising and testing
Clause 9.1: Monitoring, measurement, analysis and evaluation
Clause 10.1: Nonconformity and corrective action

Dit plan houdt rekening met informatie- en IT-afhankelijkheden en ondersteunt de volgende onderdelen uit de ISO/IEC 27001 en ISO/IEC 27002:

ISO/IEC 27001:2022 – Clause 6.1 (information security risk treatment)
ISO/IEC 27001:2022 – Clause 8.1 (operational planning and control)

Relevante beheersmaatregelen uit ISO/IEC 27002:2022 zijn onder meer:

Control 5.29: Information security during disruption
Control 5.30: ICT readiness for business continuity

Bovenstaande normen en kaders worden gebruikt als referentie voor structuur, samenhang en goede praktijken.
Dit plan is ontworpen om praktisch toepasbaar te zijn en ondersteunt normatieve naleving zonder te verworden tot een louter compliance-document.

”
},
{
“id”: “35520583”,
“title”: “Business Continuity Management Process”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management Process”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20644000”,
“title”: “Business Impact Assessment (BIA)”,
“path”: “Overview / Business Continuity Management System (BCMS) / Business Continuity Management Process / Business Impact Assessment (BIA)”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3063,
“body”: “none

Waarom voeren we Business Impact Assessments uit?

Een organisatie kan niet alles tegelijk herstellen of beschermen.
Een Business Impact Assessment maakt zichtbaar welke processen écht kritisch zijn, welke gevolgen verstoringen hebben en waar prioriteiten moeten liggen wanneer middelen schaars zijn.

De BIA vormt de basis voor gefundeerde keuzes in continuïteit, herstel en crisisbesluitvorming.

Hoe gebruiken we de BIA?

De BIA wordt gebruikt als gestructureerde analyse binnen het Business Continuity Management Framework.

Ze wordt toegepast:

in voorbereiding op verstoringen
bij belangrijke wijzigingen in processen of organisatie
als input voor Business Continuity Plans en fallback-strategieën

De analyse gebeurt in nauwe samenwerking met proceseigenaars en relevante stakeholders.

Wat levert een BIA concreet op?

Een Business Impact Assessment resulteert in:

een identificatie van kritieke processen
inzicht in impact bij verstoring (operationeel, zorg, financieel, reputatie)
herstelprioriteiten en tijdsvereisten
onderbouwde input voor continuïteits- en herstelplannen

De BIA zorgt ervoor dat continuïteitsmaatregelen gericht, proportioneel en verdedigbaar zijn.

”
},
{
“id”: “20381883”,
“title”: “Compliance Frameworks BCM”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20348959”,
“title”: “ISO 22301 — Business Continuity Management Systems (BCMS) – Requirements”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 22301 — Business Continuity Management Systems (BCMS) – Requirements”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2304,
“body”: “

ISO 22301 — Managementsysteem voor bedrijfscontinuïteit

Waarom deze standaard?

Bedrijfscontinuïteit gaat over het vermogen van een organisatie om kritieke activiteiten te blijven uitvoeren, ongeacht de oorzaak van verstoring. ISO 22301 biedt een internationaal erkend kader om dit vermogen structureel op te bouwen, te testen en te verbeteren. De standaard vertrekt niet vanuit incidenten, maar vanuit de impact op de organisatie.

Hoe kunnen organisaties deze standaard gebruiken?

Organisaties kunnen ISO 22301 gebruiken als normatief kader voor een Business Continuity Management System (BCMS) binnen hun GRC-aanpak. De standaard helpt om kritieke processen te identificeren, impact en afhankelijkheden te analyseren, hersteldoelstellingen vast te leggen en continuïteitsmaatregelen te organiseren. Dit gebeurt organisatiebreed en in samenhang met andere risicodomeinen, zoals informatiebeveiliging, IT, facilities, personeel en externe partners.

Wat draagt deze standaard concreet bij?

ISO 22301 draagt bij aan:

inzicht in wat écht kritisch is voor de organisatie
gestructureerde voorbereiding op verstoringen en crisissen
samenhang tussen crisisbeheer, herstel en dagelijkse werking
verhoogde weerbaarheid en vertrouwen bij bestuur en stakeholders

”
},
{
“id”: “36798469”,
“title”: “ISO 22313 — Guidance on the use of ISO 22301”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 22313 — Guidance on the use of ISO 22301”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36831236”,
“title”: “ISO 22317 — Business Impact Analysis (BIA)”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 22317 — Business Impact Analysis (BIA)”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36372609”,
“title”: “ISO 22320 — Emergency management – incident response”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 22320 — Emergency management – incident response”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36372616”,
“title”: “ISO 22398 — Exercises and testing”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 22398 — Exercises and testing”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36831243”,
“title”: “ISO 27031 — IT readiness for business continuity”,
“path”: “Overview / Business Continuity Management System (BCMS) / Compliance Frameworks BCM / ISO 27031 — IT readiness for business continuity”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “20349058”,
“title”: “Quality & Patient Safety Management System”,
“path”: “Overview / Quality & Patient Safety Management System”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 92,
“body”: “

Kwaliteit en patiëntveiligheid

”
},
{
“id”: “1736727”,
“title”: “Quality & Patient Safety Risk Policy”,
“path”: “Overview / Quality & Patient Safety Management System / Quality & Patient Safety Risk Policy”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “82116616”,
“title”: “Conformity standards Quality Management”,
“path”: “Overview / Quality & Patient Safety Management System / Conformity standards Quality Management”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “82247688”,
“title”: “ISO 9001 Quality management systems — Requirements”,
“path”: “Overview / Quality & Patient Safety Management System / Conformity standards Quality Management / ISO 9001 Quality management systems — Requirements”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “20381826”,
“title”: “Sustainability Management System (SuMS)”,
“path”: “Overview / Sustainability Management System (SuMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 292,
“body”: “true

”
},
{
“id”: “20349066”,
“title”: “Corporate Social Responsibility (CSR)”,
“path”: “Overview / Sustainability Management System (SuMS) / Corporate Social Responsibility (CSR)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21430331”,
“title”: “Occupational Safety & Wellbeing”,
“path”: “Overview / Sustainability Management System (SuMS) / Occupational Safety & Wellbeing”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “21528604”,
“title”: “Environmental Management”,
“path”: “Overview / Sustainability Management System (SuMS) / Environmental Management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “82051074”,
“title”: “Conformity standards Sustainability”,
“path”: “Overview / Sustainability Management System (SuMS) / Conformity standards Sustainability”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 292,
“body”: “true

”
},
{
“id”: “82083852”,
“title”: “IWA 48”,
“path”: “Overview / Sustainability Management System (SuMS) / Conformity standards Sustainability / IWA 48”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “82051081”,
“title”: “IWA 42”,
“path”: “Overview / Sustainability Management System (SuMS) / Conformity standards Sustainability / IWA 42”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “82313218”,
“title”: “ISO2600”,
“path”: “Overview / Sustainability Management System (SuMS) / Conformity standards Sustainability / ISO2600”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “52887554”,
“title”: “Resilience Management System (ReMS)”,
“path”: “Overview / Resilience Management System (ReMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 5268,
“body”: “none

Managementsysteem voor organisatie-weerbaarheid

Definitie

Het Resilience Management System (ReMS) is het managementsysteem waarmee de organisatie haar vermogen om verstoringen te absorberen, zich aan te passen en structureel sterker te worden bestuurbaar maakt. Het systeem focust op leren, adaptatie en versterking over de verschillende managementsystemen en domeinen heen, zonder deze te vervangen of hiërarchisch te overstijgen.

Waarom een managementsysteem voor organisatie-weerbaarheid

Organisaties opereren in een context van toenemende complexiteit, onzekerheid en onderlinge afhankelijkheden. Incidenten, crisissen en verstoringen zijn geen uitzonderingen meer, maar een structureel gegeven.

Waar andere managementsystemen zich richten op het beheersen van specifieke risicodomeinen (zoals informatiebeveiliging, continuïteit of assets), ontbreekt zonder een expliciete resilience-aanpak een systematische manier om:

lessen uit verstoringen te borgen,
adaptieve verbeteringen organisatiebreed te sturen,
en sterker uit incidenten te komen dan voordien.

Het Resilience Management System wordt ingericht om deze transversale leer- en versterkingsfunctie expliciet te maken en te verankeren in governance en besluitvorming.

Hoe werkt dit managementsysteem?

Het Resilience Management System werkt naast en over bestaande managementsystemen heen en baseert zich op de volgende principes:

Lerend vermogen centraal: incidenten, bijna-incidenten en verstoringen worden systematisch geanalyseerd en vertaald naar structurele verbeteracties.
Adaptatie boven herstel alleen: de focus ligt niet enkel op terugkeren naar de vorige toestand, maar op het verhogen van de weerbaarheid voor de toekomst.
Organisatiebrede scope: processen, mensen, assets, technologie en afhankelijkheden worden in samenhang bekeken.
Bestuurbaarheid: resilience-doelstellingen, prioriteiten en voortgang worden expliciet opgevolgd via governance, besluitvorming en periodieke evaluatie.
Samenhang: inzichten uit risicobeheer, business continuity, informatiebeveiliging, asset management en supply chain management worden verbonden.

Het systeem gebruikt bestaande informatie en output uit andere managementsystemen, maar voegt daar een integrerende en vooruitkijkende laag aan toe.

Wat omvat het Resilience Management Systeem concreet?

Concreet omvat het Resilience Management System onder meer:

een duidelijke resilience-visie en -doelstellingen;
governance-afspraken rond eigenaarschap, besluitvorming en opvolging;
een gestructureerde aanpak voor post-incident analyse en lessons learned;
mechanismen om verbetermaatregelen te prioriteren en te verankeren;
periodieke evaluatie van de organisatiebrede weerbaarheid;
rapportering die aantoont hoe de organisatie evolueert in haar veerkracht over de tijd heen.

Het Resilience Management System resulteert niet in extra silo’s, maar in meer samenhang, betere keuzes en duurzame versterking van de organisatie.

”
},
{
“id”: “53313537”,
“title”: “Compliance standards resilience”,
“path”: “Overview / Resilience Management System (ReMS) / Compliance standards resilience”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 263,
“body”: “true”
},
{
“id”: “53018632”,
“title”: “ISO 22316 — Security and resilience — Organizational resilience — Guidelines”,
“path”: “Overview / Resilience Management System (ReMS) / Compliance standards resilience / ISO 22316 — Security and resilience — Organizational resilience — Guidelines”,
“depth”: 3,
“hasChildren”: true,
“hasContent”: false,
“bodyLength”: 0,
“body”: “”
},
{
“id”: “36470877”,
“title”: “ISO 22316 — Organisational resilience”,
“path”: “Overview / Resilience Management System (ReMS) / Compliance standards resilience / ISO 22316 — Security and resilience — Organizational resilience — Guidelines / ISO 22316 — Organisational resilience”,
“depth”: 4,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “35127621”,
“title”: “Compliance Management System (CMS)”,
“path”: “Overview / Compliance Management System (CMS)”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “37158954”,
“title”: “Principles of Compliance Management”,
“path”: “Overview / Compliance Management System (CMS) / Principles of Compliance Management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “35389868”,
“title”: “Compliance Management Framework”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Management Framework”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “35160382”,
“title”: “Compliance Management Policy”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Management Framework / Compliance Management Policy”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “35160389”,
“title”: “Compliance Management Process”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Management Process”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “35160352”,
“title”: “Compliance Standards for Compliance Management Systems”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Standards for Compliance Management Systems”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “36896885”,
“title”: “ISO 37301 — Compliance management systems”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Standards for Compliance Management Systems / ISO 37301 — Compliance management systems”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “36896893”,
“title”: “ISO 19011 — Guidelines for auditing management systems”,
“path”: “Overview / Compliance Management System (CMS) / Compliance Standards for Compliance Management Systems / ISO 19011 — Guidelines for auditing management systems”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 29,
“body”: “

”
},
{
“id”: “196856”,
“title”: “Glossary”,
“path”: “Overview / Glossary”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 767,
“body”: “

Begrippen en definities

1truetitletitle0

”
},
{
“id”: “622800”,
“title”: “Availability”,
“path”: “Overview / Glossary / Availability”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3269,
“body”: “

Definition (EN)

Availability is the property of information, systems, and services being accessible and usable upon demand by an authorised entity.

Explanation (EN)

Availability ensures that information, systems, applications, and services are accessible and operational when required to support organisational objectives.
It addresses the prevention and management of disruptions caused by incidents such as system failures, cyberattacks, human error, or external events.
The required level of availability is determined based on risk assessment, business criticality, and applicable legal, regulatory, or contractual requirements.

Nederlandse term

Beschikbaarheid

Definitie (NL)

Beschikbaarheid is de eigenschap dat informatie, systemen en diensten toegankelijk en bruikbaar zijn op het moment dat een bevoegde gebruiker of proces deze nodig heeft.

Toelichting (NL)

Beschikbaarheid waarborgt dat informatie, systemen en diensten beschikbaar en operationeel zijn om de doelstellingen van de organisatie te ondersteunen.
Het richt zich op het voorkomen en beheersen van verstoringen als gevolg van systeemstoringen, cyberincidenten, menselijke fouten of externe gebeurtenissen.
Het vereiste niveau van beschikbaarheid wordt bepaald op basis van risicoanalyse, de kriticiteit van bedrijfsprocessen en geldende wettelijke, regelgevende of contractuele vereisten.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO 31073 — Risk management — Vocabulary

Related terms

CIA-triad
Confidentiality
Integrity

”
},
{
“id”: “819994”,
“title”: “Risk register”,
“path”: “Overview / Glossary / Risk register”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5514,
“body”: “

Definition (EN)

A risk register is a structured and maintained repository that documents identified risks, their characteristics, and the organisation’s decisions regarding their treatment and monitoring.

It provides a consolidated overview of risks, including their causes, potential impacts, likelihood, assigned ownership, risk evaluation results, treatment decisions, and current status. The risk register supports informed decision-making, accountability, and ongoing risk oversight.

Definitie (NL)

Een risicoregister is een gestructureerd en onderhouden overzicht waarin geïdentificeerde risico’s, hun kenmerken en de beslissingen over hun behandeling en opvolging worden vastgelegd.

Het risicoregister biedt een geconsolideerd overzicht van risico’s, inclusief hun oorzaken, mogelijke impact, waarschijnlijkheid, toegewezen eigenaarschap, evaluatieresultaten, behandelingsbeslissingen en actuele status. Het ondersteunt besluitvorming, verantwoordelijkheid en continue opvolging van risico’s.

Explanation (EN)

Within enterprise risk management, the risk register functions as the central instrument for documenting and tracking risks across the organisation. It ensures that risks are assessed consistently, monitored over time, and escalated when predefined thresholds are exceeded.

The risk register is not a static document. It is reviewed and updated periodically, and whenever significant changes occur in the organisational context, objectives, operations, or external environment.

Toelichting (NL)

Binnen organisatiebreed risicomanagement fungeert het risicoregister als het centrale instrument voor het vastleggen en opvolgen van risico’s. Het zorgt ervoor dat risico’s op een consistente manier worden beoordeeld, opgevolgd in de tijd en geëscaleerd wanneer vooraf vastgelegde drempels worden overschreden.

Het risicoregister is geen statisch document. Het wordt periodiek herzien en geactualiseerd, en telkens wanneer zich significante wijzigingen voordoen in de context, doelstellingen, werking of externe omgeving van de organisatie.

Related terms

Risk
Risk assessment
Risk analysis
Risk treatment
Risk owner
Risk appetite
Risk tolerance
Residual risk
Monitoring
Escalation

Normative references

ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems

”
},
{
“id”: “819366”,
“title”: “Authenticity”,
“path”: “Overview / Glossary / Authenticity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3047,
“body”: “

Definition (EN)

Authenticity is the property that ensures an entity, resource, or information is genuine and that its identity or origin can be verified as claimed.

Explanation (EN)

Authenticity ensures that users, systems, and processes can trust that information, communications, and identities are genuine and not falsified or impersonated.
It focuses on verifying the source of information and confirming that entities are who or what they claim to be.
Authenticity supports trust in digital interactions and is closely related to identity management, authentication mechanisms, and assurance of data origin.

Nederlandse term

Authenticiteit

Definitie (NL)

Authenticiteit is de eigenschap die waarborgt dat een entiteit, bron of informatie echt is en dat de identiteit of herkomst ervan kan worden geverifieerd zoals wordt beweerd.

Toelichting (NL)

Authenticiteit waarborgt dat gebruikers, systemen en processen erop kunnen vertrouwen dat informatie, communicatie en identiteiten echt zijn en niet vervalst of nagebootst.
Het richt zich op het verifiëren van de herkomst van informatie en het bevestigen dat entiteiten daadwerkelijk zijn wie of wat zij beweren te zijn.
Authenticiteit ondersteunt vertrouwen in digitale interacties en is nauw verbonden met identiteitsbeheer, authenticatiemechanismen en de betrouwbaarheid van de oorsprong van gegevens.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO/IEC 29115 — Entity authentication assurance framework

Related terms

Integrity
Non-repudiation

”
},
{
“id”: “917679”,
“title”: “Board”,
“path”: “Overview / Glossary / Board”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3480,
“body”: “

Definition (EN)

The Board is the governing body of an organisation that holds ultimate accountability for strategic direction, oversight, and organisational performance, including the management of risks.

Explanation (EN)

The Board is responsible for setting the organisation’s strategic objectives, approving policies, and overseeing management to ensure that risks are identified, assessed, and managed appropriately.
In the context of information security and cybersecurity, the Board provides oversight, ensures alignment with organisational objectives, and holds senior management accountable for the effective management of security risks.
While the Board may delegate operational responsibilities, it retains final accountability for governance and risk oversight.

Nederlandse term

Bestuursorgaan

Definitie (NL)

Het bestuursorgaan is het hoogste bestuurlijke orgaan van een organisatie dat eindverantwoordelijkheid draagt voor de strategische richting, het toezicht en de prestaties van de organisatie, inclusief het beheer van risico’s.

Toelichting (NL)

Het bestuursorgaan is verantwoordelijk voor het vaststellen van strategische doelstellingen, het goedkeuren van beleid en het uitoefenen van toezicht op het management om te waarborgen dat risico’s op passende wijze worden geïdentificeerd, beoordeeld en beheerst.
In de context van informatiebeveiliging en cyberbeveiliging zorgt het bestuursorgaan voor toezicht, bewaakt het de afstemming met organisatiedoelstellingen en houdt het het senior management verantwoordelijk voor het doeltreffend beheer van beveiligingsrisico’s.
Hoewel operationele taken kunnen worden gedelegeerd, blijft het bestuursorgaan eindverantwoordelijk voor governance en risicotoezicht.

Source

ISO 31000 — Risk management — Guidelines
ISO/IEC 27001 — Information security management systems — Requirements
ISO/IEC 27014 — Governance of information security

Related terms

Senior management
Governance

”
},
{
“id”: “819466”,
“title”: “CIA-triad”,
“path”: “Overview / Glossary / CIA-triad”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2933,
“body”: “

Definition (EN)

The CIA triad is a foundational information security model that defines three core security objectives: Confidentiality, Integrity, and Availability.

Explanation (EN)

The CIA triad is used to guide the design, implementation, and evaluation of information security policies, controls, and risk management practices.
It provides a simple but powerful conceptual framework to assess whether information and systems are adequately protected.
All information security measures aim to support one or more of these three objectives, which must be balanced based on organisational context and risk.

Nederlandse term

CIA-triade

Definitie (NL)

De CIA-triade is een fundamenteel model voor informatiebeveiliging dat drie kernbeveiligingsdoelstellingen definieert: Vertrouwelijkheid, Integriteit en Beschikbaarheid.

Toelichting (NL)

De CIA-triade wordt gebruikt als leidraad voor het ontwerpen, implementeren en evalueren van informatiebeveiligingsbeleid, beheersmaatregelen en risicobeheerpraktijken.
Het model biedt een eenvoudig maar krachtig conceptueel kader om te beoordelen of informatie en systemen adequaat beschermd zijn.
Alle informatiebeveiligingsmaatregelen ondersteunen één of meerdere van deze drie doelstellingen, die in evenwicht moeten worden gebracht op basis van de context en risico’s van de organisatie.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
NIST SP 800-12 — An Introduction to Information Security

Related terms

Confidentiality
Integrity
Availability

”
},
{
“id”: “819376”,
“title”: “Chief Information Security Officer (CISO)”,
“path”: “Overview / Glossary / Chief Information Security Officer (CISO)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4559,
“body”: “

Definition (EN)

A Chief Information Security Officer (CISO) is a senior-level executive responsible for establishing, implementing, and overseeing an organisation’s information security and cybersecurity strategy, governance, and risk management.

Explanation (EN)

The CISO provides strategic leadership for information security and cybersecurity and ensures alignment with organisational objectives, risk appetite, and regulatory requirements.
The role typically includes responsibility for developing security policies, overseeing risk management activities, monitoring the effectiveness of controls, and reporting to senior management and governance bodies.
The CISO operates independently from operational IT functions to ensure objective oversight and effective governance of information and cybersecurity risks.

Nederlandse term (NL)

Chief Information Security Officer (CISO)

Definitie (NL)

De Chief Information Security Officer (CISO) is een senior leidinggevende die verantwoordelijk is voor het vaststellen, implementeren en toezien op de strategie, governance en risicobeheersing inzake informatiebeveiliging en cybersecurity binnen de organisatie.

Toelichting (NL)

De CISO biedt strategisch leiderschap op het vlak van informatiebeveiliging en cybersecurity en zorgt voor afstemming met de organisatiedoelstellingen, risicobereidheid en wettelijke en regelgevende vereisten.
De rol omvat doorgaans het ontwikkelen van beveiligingsbeleid, het aansturen van risicomanagementactiviteiten, het opvolgen van de doeltreffendheid van beheersmaatregelen en het rapporteren aan het senior management en bestuursorganen.
De CISO opereert onafhankelijk van operationele IT-functies om objectief toezicht en effectieve governance van informatie- en cyberrisico’s te waarborgen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27005:2022 — Information security risk management
ENISA European Cybersecurity Skills Framework (ECSF), 2022

Related terms

Governance
Risk management
Senior management
Information security
Cybersecurity

”
},
{
“id”: “917638”,
“title”: “Confidentiality”,
“path”: “Overview / Glossary / Confidentiality”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3221,
“body”: “

Definition (EN)

Confidentiality is the property that ensures information is not made available or disclosed to unauthorised individuals, entities, or processes.

Explanation (EN)

Confidentiality ensures that information is accessible only to those who have been authorised to access it.
It focuses on preventing unauthorised access, disclosure, or exposure of information, whether intentional or accidental.
Confidentiality is achieved through a combination of organisational, technical, and legal measures, such as access control, classification of information, and awareness of information handling obligations.

Nederlandse term

Vertrouwelijkheid

Definitie (NL)

Vertrouwelijkheid is de eigenschap die waarborgt dat informatie niet beschikbaar wordt gesteld aan of wordt onthuld aan onbevoegde personen, entiteiten of processen.

Toelichting (NL)

Vertrouwelijkheid waarborgt dat informatie uitsluitend toegankelijk is voor personen of processen die daartoe bevoegd zijn.
Het richt zich op het voorkomen van ongeoorloofde toegang, openbaarmaking of blootstelling van informatie, zowel opzettelijk als onopzettelijk.
Vertrouwelijkheid wordt gerealiseerd door een combinatie van organisatorische, technische en juridische maatregelen, zoals toegangsbeheer, informatieclassificatie en bewustwording rond informatieverwerking.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO 31073 — Risk management — Vocabulary

Related terms

CIA-triad
Integrity
Availability

”
},
{
“id”: “819431”,
“title”: “Control”,
“path”: “Overview / Glossary / Control”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5938,
“body”: “

Definition (EN)

A control is a measure that modifies risk by maintaining or changing the likelihood and/or impact of an event.

Explanation (EN)

Controls are implemented to prevent, detect, correct, or mitigate risks and to support the achievement of organisational objectives.
They may be administrative, technical, physical, or organisational in nature and can operate at strategic, tactical, or operational levels.
Controls are selected based on risk assessment results and are used to reduce risks to acceptable levels in line with the organisation’s risk appetite and risk tolerance.

Nederlandse term (NL)

Beheersmaatregel

Definitie (NL)

Een beheersmaatregel is een maatregel die risico’s wijzigt door de waarschijnlijkheid en/of de impact van een gebeurtenis te beheersen of te veranderen.

Toelichting (NL)

Beheersmaatregelen worden ingevoerd om risico’s te voorkomen, te detecteren, te corrigeren of te beperken en om het realiseren van organisatiedoelstellingen te ondersteunen.
Zij kunnen administratief, technisch, fysiek of organisatorisch van aard zijn en functioneren op strategisch, tactisch of operationeel niveau.
Beheersmaatregelen worden geselecteerd op basis van risicoanalyse en worden toegepast om risico’s terug te brengen tot een aanvaardbaar niveau, in lijn met de risicobereidheid en risicotolerantie van de organisatie.

Source

ISO 31000:2018 — Risk management — Guidelines
ISO 31073:2022 — Risk management — Vocabulary
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls

Related terms

Risk
Risk treatment
Residual risk
Control objective
Information security
Standard

Definition ComplianceForge Reference Model

Controls are technical, administrative or physical safeguards.
Controls are the nexus used to manage risks through preventing, detecting or lessening the ability of a particular threat from negatively impacting business processes.
Controls directly map to Standards, Procedures and Control Objectives.
Control testing is designed to measure specific aspects of how Standards are actually implemented and if the Control / Control Objective is sufficiently addressed.

Every Control Maps to A Standard

Every Procedure Maps to A Control

”
},
{
“id”: “917733”,
“title”: “Compliance”,
“path”: “Overview / Glossary / Compliance”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1146997”,
“title”: “Contractual requirements”,
“path”: “Overview / Glossary / Contractual requirements”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “426138”,
“title”: “Cybersecurity”,
“path”: “Overview / Glossary / Cybersecurity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3772,
“body”: “

Definition (EN)

Cybersecurity is the practice of protecting networks, systems, applications, and digital information from cyber threats that could compromise confidentiality, integrity, or availability.

Explanation (EN)

Cybersecurity focuses on protecting digital assets against intentional and malicious activities such as cyberattacks, unauthorised access, disruption, or misuse.
It addresses threats originating from cyberspace and includes preventive, detective, and corrective measures across technology, processes, and people.
Cybersecurity is a component of information security and concentrates specifically on risks related to digital and networked environments.

Nederlandse term

Cyberbeveiliging

Definitie (NL)

Cyberbeveiliging is het geheel van maatregelen gericht op het beschermen van netwerken, systemen, toepassingen en digitale informatie tegen cyberdreigingen die de vertrouwelijkheid, integriteit of beschikbaarheid kunnen aantasten.

Toelichting (NL)

Cyberbeveiliging richt zich op het beschermen van digitale activa tegen opzettelijke en kwaadwillige activiteiten zoals cyberaanvallen, ongeoorloofde toegang, verstoring of misbruik.
Ze behandelt dreigingen die voortkomen uit cyberspace en omvat preventieve, detectieve en corrigerende maatregelen op het vlak van technologie, processen en mensen.
Cyberbeveiliging is een onderdeel van informatiebeveiliging en focust specifiek op risico’s in digitale en netwerkgebonden omgevingen.

Source

ISO/IEC 27032 — Cybersecurity — Guidelines
ISO/IEC 27000 — Information security management systems — Overview and vocabulary
NIST Cybersecurity Framework

Related terms

Information security
Confidentiality
Integrity
Availability

”
},
{
“id”: “426236”,
“title”: “Deviation”,
“path”: “Overview / Glossary / Deviation”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “917725”,
“title”: “Enterprise risk management (ERM)”,
“path”: “Overview / Glossary / Enterprise risk management (ERM)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “917747”,
“title”: “Exception”,
“path”: “Overview / Glossary / Exception”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “917621”,
“title”: “Information security”,
“path”: “Overview / Glossary / Information security”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4431,
“body”: “

Definition (EN)

Information security is the preservation of confidentiality, integrity, and availability of information, and may additionally include other properties such as authenticity, accountability, non-repudiation, and reliability.

Explanation (EN)

Information security aims to protect information in all its forms — digital, physical, and verbal — against unauthorised access, use, disclosure, disruption, modification, or destruction.
It applies regardless of the medium, format, or location of the information.
Information security is risk-based and seeks to balance protective measures with organisational objectives, legal and regulatory requirements, and acceptable levels of risk.

Nederlandse term

Informatiebeveiliging

Definitie (NL)

Informatiebeveiliging is het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, en kan daarnaast ook andere eigenschappen omvatten zoals authenticiteit, verantwoordingsplicht, onweerlegbaarheid en betrouwbaarheid.

Toelichting (NL)

Informatiebeveiliging heeft tot doel informatie in al haar vormen — digitaal, fysiek en mondeling — te beschermen tegen ongeoorloofde toegang, gebruik, openbaarmaking, verstoring, wijziging of vernietiging.
Zij is van toepassing ongeacht het medium, het formaat of de locatie van de informatie.
Informatiebeveiliging is risicogestuurd en streeft naar een evenwicht tussen beschermingsmaatregelen, organisatiedoelstellingen, wettelijke en regelgevende vereisten en aanvaardbare risiconiveaus.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO/IEC 27001 — Information security management systems — Requirements

Related terms

Confidentiality
Integrity
Availability
Authenticity
Non-repudiation
Privacy
Cybersecurity

”
},
{
“id”: “917652”,
“title”: “Integrity”,
“path”: “Overview / Glossary / Integrity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3210,
“body”: “

Definition (EN)

Integrity is the property that ensures information is accurate, complete, and protected against unauthorised or unintended modification or destruction.

Explanation (EN)

Integrity ensures that information remains correct, consistent, and trustworthy throughout its lifecycle.
It focuses on preventing unauthorised alteration, accidental modification, or loss of information integrity, whether caused by human error, system failures, or malicious actions.
Integrity is supported through controls such as change management, access controls, validation mechanisms, logging, and version control.

Nederlandse term

Integriteit

Definitie (NL)

Integriteit is de eigenschap die waarborgt dat informatie correct, volledig en beschermd is tegen ongeoorloofde of onbedoelde wijziging of vernietiging.

Toelichting (NL)

Integriteit waarborgt dat informatie gedurende haar volledige levenscyclus correct, consistent en betrouwbaar blijft.
Het richt zich op het voorkomen van ongeoorloofde aanpassing, onopzettelijke wijziging of aantasting van informatie, ongeacht of dit het gevolg is van menselijke fouten, systeemstoringen of kwaadwillige handelingen.
Integriteit wordt ondersteund door beheersmaatregelen zoals wijzigingsbeheer, toegangsbeheer, validatiemechanismen, logging en versiebeheer.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO 31073 — Risk management — Vocabulary

Related terms

CIA-triad
Confidentiality
Availability

”
},
{
“id”: “1146961”,
“title”: “Internal Audit”,
“path”: “Overview / Glossary / Internal Audit”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4154,
“body”: “

Definition (EN)

Internal audit is an independent, objective assurance activity conducted within an organisation to evaluate the effectiveness of governance, risk management, and internal controls.

Explanation (EN)

Internal audit provides assurance to senior management and governing bodies by assessing whether policies, processes, and controls are properly designed and effectively implemented.
It is performed by personnel who are independent from the activities being audited and follows a structured audit programme based on risk and organisational priorities.
Internal audit supports compliance, continuous improvement, and informed decision-making by identifying nonconformities, weaknesses, and opportunities for improvement.

Nederlandse term (NL)

Interne audit

Definitie (NL)

Interne audit is een onafhankelijke en objectieve assurance-activiteit die binnen een organisatie wordt uitgevoerd om de doeltreffendheid van governance, risicomanagement en interne beheersmaatregelen te beoordelen.

Toelichting (NL)

Interne audit biedt zekerheid aan het senior management en bestuursorganen door te evalueren of beleid, processen en beheersmaatregelen adequaat zijn opgezet en effectief functioneren.
Interne audits worden uitgevoerd door personen die onafhankelijk zijn van de geauditeerde activiteiten en volgen een gestructureerd auditprogramma dat risicogebaseerd is en afgestemd op organisatorische prioriteiten.
Interne audit ondersteunt compliance, continue verbetering en onderbouwde besluitvorming door het identificeren van afwijkingen, tekortkomingen en verbeterkansen.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9001:2015 — Quality management systems — Requirements

Related terms

Audit
Audit programme
Audit criteria
Governance
Compliance

”
},
{
“id”: “426209”,
“title”: “Legal requirements”,
“path”: “Overview / Glossary / Legal requirements”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1146905”,
“title”: “Non-repudiation”,
“path”: “Overview / Glossary / Non-repudiation”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3414,
“body”: “

Definition (EN)

Non-repudiation is the property that provides proof of the origin and integrity of data, ensuring that an entity cannot deny having performed a specific action or sent or received particular information.

Explanation (EN)

Non-repudiation ensures that actions, events, or communications can be reliably attributed to a specific entity.
It provides evidence that can be used to resolve disputes by preventing an entity from denying its involvement in a transaction or communication.
Non-repudiation is commonly supported by mechanisms such as digital signatures, logging, time-stamping, and audit trails, and is particularly relevant in legal, contractual, and regulatory contexts.

Nederlandse term

Onweerlegbaarheid

Definitie (NL)

Onweerlegbaarheid is de eigenschap die bewijs levert van de herkomst en integriteit van gegevens, zodat een entiteit niet kan ontkennen een specifieke handeling te hebben uitgevoerd of bepaalde informatie te hebben verzonden of ontvangen.

Toelichting (NL)

Onweerlegbaarheid waarborgt dat handelingen, gebeurtenissen of communicatie op een betrouwbare manier kunnen worden toegeschreven aan een specifieke entiteit.
Zij levert bewijs dat kan worden gebruikt om geschillen te beslechten door te voorkomen dat een entiteit haar betrokkenheid bij een transactie of communicatie kan ontkennen.
Onweerlegbaarheid wordt doorgaans ondersteund door mechanismen zoals digitale handtekeningen, logging, tijdsstempels en audittrails, en is vooral relevant in juridische, contractuele en regelgevende contexten.

Source

ISO/IEC 27000 — Information security management systems — Overview and vocabulary
ISO/IEC 13888 — Non-repudiation in security services
ISO/IEC 27001 — Information security management systems — Requirements

Related terms

Authenticity
Integrity

”
},
{
“id”: “622786”,
“title”: “Personal data”,
“path”: “Overview / Glossary / Personal data”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3541,
“body”: “

Definition (EN)

Personal data is any information relating to an identified or identifiable natural person.

Explanation (EN)

Personal data includes information that can directly or indirectly identify an individual, such as names, identification numbers, location data, online identifiers, or factors specific to a person’s physical, physiological, genetic, mental, economic, cultural, or social identity.
An individual is considered identifiable if they can be identified, directly or indirectly, in particular by reference to such identifiers.
The protection of personal data is a legal and fundamental rights obligation and requires appropriate organisational and technical measures to ensure confidentiality, integrity, availability, and lawful processing.

Nederlandse term

Persoonsgegevens

Definitie (NL)

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon.

Toelichting (NL)

Persoonsgegevens omvatten informatie waarmee een persoon direct of indirect kan worden geïdentificeerd, zoals namen, identificatienummers, locatiegegevens, online identificatoren of kenmerken die verband houden met de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van een persoon.
Een persoon wordt als identificeerbaar beschouwd wanneer hij of zij rechtstreeks of onrechtstreeks kan worden geïdentificeerd, met name aan de hand van dergelijke identificatoren.
De bescherming van persoonsgegevens is een wettelijke verplichting en een fundamenteel recht en vereist passende organisatorische en technische maatregelen om vertrouwelijkheid, integriteit, beschikbaarheid en rechtmatige verwerking te waarborgen.

Source

Regulation (EU) 2016/679 (GDPR) — Article 4(1)
ISO/IEC 27701 — Privacy information management
ISO/IEC 27000 — Information security management systems — Overview and vocabulary

Related terms

Privacy
Confidentiality

”
},
{
“id”: “819422”,
“title”: “What is a policy and what is it not?”,
“path”: “Overview / Glossary / What is a policy and what is it not?”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1088,
“body”: “

Definition by ComplianceForge Reference Model

Policies are high-level statements of management intent from an organization’s executive leadership that are designed to influence decisions and guide the organization to achieve the
desired outcomes.

Policies are enforced by Standards and further implemented by Procedures to
establish actionable and accountable requirements.

Policies are a business decision, not a technical one.
Technology determines how policies are implemented.
Policies usually exist to satisfy an external requirement (e.g., law, regulation and/or contract).

”
},
{
“id”: “622777”,
“title”: “Privacy”,
“path”: “Overview / Glossary / Privacy”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3758,
“body”: “

Definition (EN)

Privacy is the fundamental right of individuals to control how their personal data is collected, used, disclosed, and retained.

Explanation (EN)

Privacy concerns the lawful, fair, and transparent processing of personal data and the protection of individuals’ rights and freedoms.
It focuses on ensuring that personal data is processed for legitimate purposes, limited to what is necessary, kept accurate, and retained only as long as required.
Privacy is distinct from information security: while information security provides safeguards to protect data, privacy defines why, how, and under which conditions personal data may be processed.

Nederlandse term

Privacy

Definitie (NL)

Privacy is het fundamentele recht van personen om controle te hebben over de wijze waarop hun persoonsgegevens worden verzameld, gebruikt, gedeeld en bewaard.

Toelichting (NL)

Privacy heeft betrekking op de rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens en op de bescherming van de rechten en vrijheden van betrokkenen.
Zij richt zich op het verwerken van persoonsgegevens voor welbepaalde en gerechtvaardigde doeleinden, met dataminimalisatie, juistheid en beperkte bewaartermijnen.
Privacy verschilt van informatiebeveiliging: waar informatiebeveiliging beschermende maatregelen biedt, bepaalt privacy waarom, hoe en onder welke voorwaarden persoonsgegevens mogen worden verwerkt.

Source

Regulation (EU) 2016/679 (GDPR) — Articles 1, 5 and 6
ISO/IEC 27701 — Privacy information management
ISO/IEC 27000 — Information security management systems — Overview and vocabulary

Related terms

Personal data
Information security
Confidentiality
Compliance

”
},
{
“id”: “819392”,
“title”: “Risk”,
“path”: “Overview / Glossary / Risk”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4770,
“body”: “

Definition (EN)

Risk is the effect of uncertainty on objectives.

Explanation (EN)

Risk refers to the possibility that events or conditions may occur that affect the achievement of organisational objectives, either positively or negatively.
In information security and cybersecurity contexts, risk is typically expressed as a combination of the likelihood of a threat exploiting a vulnerability and the resulting impact on assets, individuals, or the organisation.
Risk is analysed and evaluated using defined risk criteria to determine the need for risk treatment or acceptance.

Nederlandse term (NL)

Risico

Definitie (NL)

Risico is het effect van onzekerheid op doelstellingen.

Toelichting (NL)

Risico verwijst naar de mogelijkheid dat gebeurtenissen of omstandigheden zich voordoen die het bereiken van organisatiedoelstellingen beïnvloeden, zowel positief als negatief.
In de context van informatiebeveiliging en cybersecurity wordt risico doorgaans uitgedrukt als een combinatie van de waarschijnlijkheid dat een dreiging een kwetsbaarheid benut en de impact daarvan op assets, personen of de organisatie.
Risico’s worden geanalyseerd en geëvalueerd aan de hand van vastgelegde risicocriteria om te bepalen of risicobehandeling of risicoaanvaarding nodig is.

Source

ISO 31000:2018 — Risk management — Guidelines
ISO 31073:2022 — Risk management — Vocabulary
ISO/IEC 27005:2022 — Information security risk management

Related terms

Risk management
Risk assessment
Risk criteria
Risk treatment
Residual risk
Threat

Definition by ComplianceForge Reference Model

Risks represent a situation where someone or something valued is exposed to danger, harm or loss (noun) or to expose someone or something valued to danger, harm or loss (verb).
Risk is often calculated by a formula of the Occurrence Likelihood (OL) x the Impact Effect (IE) in an attempt to quantify the potential magnitude of a risk instance materializing.
In practical terms, a risk is associated with a Control deficiency (e.g., if the control fails, what risk(s) is the organization exposed to?)
While it is not possible to have a totally risk-free environment, it may be possible to manage risk by (1) avoiding, (2) reducing, (3) transferring, or (4) accepting risk(s).
An organization should maintain a "risk catalog" that contains organization-specific risks.

”
},
{
“id”: “426198”,
“title”: “Risk assessment”,
“path”: “Overview / Glossary / Risk assessment”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “819401”,
“title”: “Risk management”,
“path”: “Overview / Glossary / Risk management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “622807”,
“title”: “Senior Management”,
“path”: “Overview / Glossary / Senior Management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “426185”,
“title”: “Stakeholder”,
“path”: “Overview / Glossary / Stakeholder”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “917596”,
“title”: “Risk appetite”,
“path”: “Overview / Glossary / Risk appetite”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1905,
“body”: “

Definition (EN)

Risk appetite is the amount and type of risk that an organisation is willing to pursue or retain in pursuit of its objectives.

Explanation (EN)

Risk appetite is strategic in nature and provides direction for how an organisation approaches risk-taking and risk acceptance.

Nederlandse term (NL)

Risicobereidheid

Definitie (NL)

De risicobereidheid is de hoeveelheid en het type risico dat een organisatie bereid is na te streven of te behouden bij het realiseren van haar doelstellingen.

Toelichting (NL)

Risicobereidheid is strategisch van aard en vormt het uitgangspunt voor het bepalen van risicotoleranties en het sturen van risicobehandeling.

Source

ISO 31073 — Risk management — Vocabulary

Related terms

Risk tolerance
Residual risk
Risk criteria

”
},
{
“id”: “819317”,
“title”: “Risk tolerance”,
“path”: “Overview / Glossary / Risk tolerance”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3667,
“body”: “

Definition (EN)

Risk tolerance is the acceptable level of variation in outcomes related to a specific risk, within the boundaries of the organisation’s risk appetite.

Explanation (EN)

Risk tolerance defines the operational limits within which risk may be accepted when pursuing objectives.
It translates the organisation’s risk appetite into measurable thresholds that guide decision-making, prioritisation, and control selection.
Risk tolerance is typically expressed in quantitative or clearly defined qualitative terms and is used to assess whether residual risk is acceptable or requires additional treatment.

Nederlandse term

Risicotolerantie

Definitie (NL)

Risicotolerantie is de aanvaardbare mate van afwijking in uitkomsten met betrekking tot een specifiek risico, binnen de grenzen van de risicobereidheid van de organisatie.

Toelichting (NL)

Risicotolerantie bepaalt de operationele grenzen waarbinnen risico’s mogen worden aanvaard bij het realiseren van doelstellingen.
Zij vertaalt de risicobereidheid van de organisatie naar meetbare drempels die richting geven aan besluitvorming, prioritering en de keuze van beheersmaatregelen.
Risicotolerantie wordt doorgaans uitgedrukt in kwantitatieve of duidelijk afgebakende kwalitatieve termen en wordt gebruikt om te beoordelen of het restrisico aanvaardbaar is of bijkomende behandeling vereist.

Source

ISO 31000 — Risk management — Guidelines
ISO/IEC 27005 — Information security risk management
ISO Guide 73 — Risk management — Vocabulary

Related terms

Risk appetite
Risk management
Residual risk
Compliance

”
},
{
“id”: “917608”,
“title”: “Residual risk”,
“path”: “Overview / Glossary / Residual risk”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3833,
“body”: “

Definition (EN)

Residual risk is the risk remaining after risk treatment has been applied, taking into account the effectiveness of implemented controls and other mitigating measures.

Explanation (EN)

Residual risk represents the level of risk that remains once an organisation has selected and implemented risk treatment options (e.g., mitigating controls).
It is assessed to determine whether the remaining risk is acceptable within the organisation’s risk appetite and risk tolerance, or whether additional treatment is required.
Residual risk should be monitored and reviewed over time because changes in threats, vulnerabilities, assets, or controls can increase or decrease the remaining level of risk.

Nederlandse term (NL)

Restrisico

Definitie (NL)

Restrisico is het risico dat overblijft nadat risicobehandeling is toegepast, rekening houdend met de doeltreffendheid van geïmplementeerde beheersmaatregelen en andere mitigerende maatregelen.

Toelichting (NL)

Restrisico is het risiconiveau dat overblijft nadat de organisatie risicobehandelingsopties (zoals mitigerende beheersmaatregelen) heeft gekozen en toegepast.
Het wordt beoordeeld om te bepalen of het resterende risico aanvaardbaar is binnen de risicobereidheid en risicotolerantie van de organisatie, of dat bijkomende behandeling nodig is.
Restrisico moet doorlopend worden opgevolgd en periodiek worden herzien, omdat wijzigingen in dreigingen, kwetsbaarheden, assets of beheersmaatregelen het restrisico kunnen verhogen of verlagen.

Source

ISO 31000 — Risk management — Guidelines
ISO/IEC 27005 — Information security risk management
ISO Guide 73 — Risk management — Vocabulary

Related terms

Risk appetite
Risk tolerance
Risk treatment
Risk acceptance
Risk management

”
},
{
“id”: “819331”,
“title”: “Risk criteria”,
“path”: “Overview / Glossary / Risk criteria”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3824,
“body”: “

Definition (EN)

Risk criteria are the terms of reference against which the significance of a risk is evaluated.

Explanation (EN)

Risk criteria define how risks are assessed, prioritised, and compared within an organisation.
They typically include thresholds and parameters related to likelihood, impact, and acceptability of risk, and are aligned with the organisation’s objectives, risk appetite, and risk tolerance.
Risk criteria ensure consistency and transparency in risk assessment and support informed decision-making regarding risk treatment and acceptance.

Nederlandse term (NL)

Risicocriteria

Definitie (NL)

Risicocriteria zijn de referentiepunten waartegen de significantie van een risico wordt beoordeeld.

Toelichting (NL)

Risicocriteria bepalen hoe risico’s binnen een organisatie worden beoordeeld, geprioriteerd en met elkaar vergeleken.
Zij omvatten doorgaans drempelwaarden en parameters met betrekking tot waarschijnlijkheid, impact en aanvaardbaarheid van risico’s, en zijn afgestemd op de doelstellingen, risicobereidheid en risicotolerantie van de organisatie.
Risicocriteria zorgen voor consistentie en transparantie in risicoanalyses en ondersteunen onderbouwde besluitvorming over risicobehandeling en risicoaanvaarding.

Source

ISO 31000:2018 — Risk management — Guidelines
ISO 31073:2022 — Risk management — Vocabulary
ISO/IEC 27005:2022 — Information security risk management

Related terms

Risk assessment
Risk appetite
Risk tolerance
Risk management
Risk treatment

”
},
{
“id”: “917740”,
“title”: “Regulatory requirements”,
“path”: “Overview / Glossary / Regulatory requirements”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147004”,
“title”: “Supplier”,
“path”: “Overview / Glossary / Supplier”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147011”,
“title”: “Supply chain”,
“path”: “Overview / Glossary / Supply chain”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “622825”,
“title”: “Third Party”,
“path”: “Overview / Glossary / Third Party”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1245202”,
“title”: “Governance”,
“path”: “Overview / Glossary / Governance”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3965,
“body”: “

Definition (EN)

Governance is the system by which an organisation is directed and controlled, defining how objectives are set and achieved, how risks are managed, and how performance is monitored.

Explanation (EN)

Governance establishes the framework for decision-making, accountability, and oversight within an organisation.
It determines how authority is exercised, how responsibilities are allocated, and how compliance with legal, regulatory, and ethical requirements is ensured.
In the context of information security and risk management, governance ensures that policies, strategies, and controls are aligned with organisational objectives and that appropriate oversight is exercised by the governing body.

Nederlandse term

Governance

Definitie (NL)

Governance is het stelsel van processen, structuren en verantwoordelijkheden waarmee een organisatie wordt bestuurd en gecontroleerd, en waarmee doelstellingen worden vastgesteld, risico’s worden beheerst en prestaties worden opgevolgd.

Toelichting (NL)

Governance bepaalt het kader voor besluitvorming, verantwoordelijkheid en toezicht binnen een organisatie.
Het beschrijft hoe bevoegdheden worden uitgeoefend, verantwoordelijkheden worden toegewezen en hoe naleving van wettelijke, regelgevende en ethische vereisten wordt geborgd.
In de context van informatiebeveiliging en risicobeheer zorgt governance ervoor dat beleid, strategieën en beheersmaatregelen afgestemd zijn op de organisatiedoelstellingen en dat passend toezicht wordt uitgeoefend door het bestuursorgaan.

Source

ISO 31000 — Risk management — Guidelines
ISO/IEC 27014 — Governance of information security
ISO 37301 — Compliance management systems

Related terms

Board
Senior management
Risk management
Governance, Risk and Compliance (GRC)
Compliance

”
},
{
“id”: “426283”,
“title”: “Governance, Risk and Compliance (GRC)”,
“path”: “Overview / Glossary / Governance, Risk and Compliance (GRC)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4205,
“body”: “

Definition (EN)

Governance, Risk and Compliance (GRC) is an integrated framework that enables an organisation to align governance structures, risk management practices, and compliance obligations in a coherent and coordinated manner.

Explanation (EN)

GRC provides a holistic approach to directing and controlling an organisation by ensuring that strategic objectives, risk management, and compliance requirements are addressed in an aligned way.
Governance defines direction, accountability, and oversight; risk management addresses uncertainty and potential impact on objectives; compliance ensures adherence to legal, regulatory, and contractual obligations.
By integrating these domains, GRC supports informed decision-making, reduces fragmentation, and improves transparency, consistency, and organisational resilience.

Nederlandse term

Governance, Risk and Compliance (GRC)

Definitie (NL)

Governance, Risk en Compliance (GRC) is een geïntegreerd raamwerk waarmee een organisatie governance, risicobeheer en naleving op een samenhangende en gecoördineerde manier organiseert.

Toelichting (NL)

GRC biedt een holistische benadering voor het besturen en beheersen van een organisatie door strategische doelstellingen, risicobeheer en nalevingsverplichtingen op elkaar af te stemmen.
Governance bepaalt richting, verantwoordelijkheid en toezicht; risicobeheer richt zich op onzekerheden en hun mogelijke impact op doelstellingen; compliance waarborgt de naleving van wettelijke, regelgevende en contractuele verplichtingen.
Door deze domeinen te integreren, ondersteunt GRC weloverwogen besluitvorming en bevordert het transparantie, consistentie en organisatorische weerbaarheid.

Source

ISO 31000 — Risk management — Guidelines
ISO 37301 — Compliance management systems
ISO/IEC 27014 — Governance of information security

Related terms

Governance
Risk management
Compliance
Board
Senior management

”
},
{
“id”: “819541”,
“title”: “Risk treatment”,
“path”: “Overview / Glossary / Risk treatment”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3939,
“body”: “

Definition (EN)

Risk treatment is the process of selecting and implementing measures to modify risk.

Explanation (EN)

Risk treatment involves deciding how to address identified risks by selecting one or more treatment options, such as avoiding the risk, reducing the risk through controls, transferring the risk, or accepting the risk.
The objective of risk treatment is to bring risks within acceptable levels defined by the organisation’s risk appetite and risk tolerance.
Risk treatment decisions should be documented, approved by appropriate authority, and aligned with organisational objectives and constraints.

Nederlandse term (NL)

Risicobehandeling

Definitie (NL)

Risicobehandeling is het proces waarbij maatregelen worden geselecteerd en geïmplementeerd om risico’s te wijzigen.

Toelichting (NL)

Risicobehandeling omvat het bepalen hoe geïdentificeerde risico’s worden aangepakt door één of meerdere behandelingsopties te kiezen, zoals het vermijden van risico’s, het reduceren van risico’s via beheersmaatregelen, het overdragen van risico’s of het aanvaarden van risico’s.
Het doel van risicobehandeling is om risico’s terug te brengen tot een aanvaardbaar niveau binnen de risicobereidheid en risicotolerantie van de organisatie.
Beslissingen over risicobehandeling moeten worden gedocumenteerd, goedgekeurd door de bevoegde verantwoordelijken en afgestemd zijn op de doelstellingen en randvoorwaarden van de organisatie.

Source

ISO 31000 — Risk management — Guidelines
ISO/IEC 27005 — Information security risk management
ISO 31073:2022 — Risk management — Vocabulary

Related terms

Risk management
Risk appetite
Risk tolerance
Residual risk
Risk acceptance

”
},
{
“id”: “917849”,
“title”: “Risk acceptance”,
“path”: “Overview / Glossary / Risk acceptance”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4038,
“body”: “

Definition (EN)

Risk acceptance is the informed decision to retain a risk without further treatment, based on an assessment that the risk is within acceptable limits.

Explanation (EN)

Risk acceptance occurs when an organisation decides not to implement additional risk treatment measures because the residual risk is considered acceptable.
This decision must be based on an explicit evaluation of the risk in relation to the organisation’s risk appetite and risk tolerance.
Risk acceptance should be formally documented, approved by authorised management, and subject to ongoing monitoring, as changes in context may affect the acceptability of the risk over time.

Nederlandse term (NL)

Risicoaanvaarding

Definitie (NL)

Risicoaanvaarding is de geïnformeerde beslissing om een risico te behouden zonder verdere risicobehandeling, op basis van de beoordeling dat het risico binnen aanvaardbare grenzen valt.

Toelichting (NL)

Risicoaanvaarding vindt plaats wanneer een organisatie beslist geen bijkomende risicobehandelingsmaatregelen te nemen omdat het restrisico als aanvaardbaar wordt beschouwd.
Deze beslissing moet gebaseerd zijn op een expliciete beoordeling van het risico in relatie tot de risicobereidheid en risicotolerantie van de organisatie.
Risicoaanvaarding moet formeel worden vastgelegd, goedgekeurd door bevoegde leidinggevenden en doorlopend worden opgevolgd, aangezien wijzigingen in context de aanvaardbaarheid van het risico kunnen beïnvloeden.

Source

ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27005:2022 — Information security risk management
ISO 31073:2022 — Risk management — Vocabulary

Related terms

Residual risk
Risk treatment
Risk tolerance
Risk appetite
Risk management

”
},
{
“id”: “622916”,
“title”: “Control objective”,
“path”: “Overview / Glossary / Control objective”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3656,
“body”: “

Definition (EN)

A control objective is a statement that defines the intended purpose and desired outcome of one or more controls.

Explanation (EN)

Control objectives describe what is to be achieved by implementing controls, rather than how the controls are implemented.
They provide direction for the selection, design, and evaluation of controls and ensure that controls are aligned with identified risks and organisational objectives.
Control objectives support consistency and traceability between risks, policies, controls, and evidence.

Nederlandse term (NL)

Beheersdoelstelling

Definitie (NL)

Een beheersdoelstelling is een uitspraak die het beoogde doel en het gewenste resultaat van één of meerdere beheersmaatregelen beschrijft.

Toelichting (NL)

Beheersdoelstellingen beschrijven wat met beheersmaatregelen moet worden bereikt, zonder vast te leggen hoe deze maatregelen concreet worden uitgevoerd.
Zij geven richting aan de selectie, het ontwerp en de evaluatie van beheersmaatregelen en zorgen voor afstemming met geïdentificeerde risico’s en organisatiedoelstellingen.
Beheersdoelstellingen ondersteunen consistentie en traceerbaarheid tussen risico’s, beleid, beheersmaatregelen en bewijsmateriaal.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines

Related terms

Control
Risk
Risk treatment
Policy
Evidence

”
},
{
“id”: “622930”,
“title”: “Evidence”,
“path”: “Overview / Glossary / Evidence”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4056,
“body”: “

Definition (EN)

Evidence is documented information that demonstrates the existence, implementation, and effectiveness of controls, processes, or requirements.

Explanation (EN)

Evidence is used to substantiate that an organisation has implemented required measures and that these measures operate as intended.
Evidence can be created or collected in many forms, such as policies, procedures, records, logs, configurations, screenshots, audit reports, meeting minutes, training records, and monitoring results.
To be useful for assurance and audits, evidence should be relevant, reliable, traceable to specific requirements or controls, and kept up to date. Evidence should also have clear ownership and, where applicable, versioning and review dates.

Nederlandse term (NL)

Bewijsmateriaal

Definitie (NL)

Bewijsmateriaal is gedocumenteerde informatie die aantoont dat beheersmaatregelen, processen of vereisten bestaan, zijn geïmplementeerd en doeltreffend functioneren.

Toelichting (NL)

Bewijsmateriaal wordt gebruikt om te onderbouwen dat een organisatie vereiste maatregelen heeft ingevoerd en dat deze maatregelen werken zoals bedoeld.
Bewijsmateriaal kan in verschillende vormen bestaan, zoals beleid, procedures, registraties, logs, configuraties, screenshots, auditrapporten, vergaderverslagen, opleidingsregistraties en resultaten van monitoring.
Om bruikbaar te zijn voor assurance en audits moet bewijsmateriaal relevant, betrouwbaar en traceerbaar zijn naar specifieke vereisten of beheersmaatregelen, en actueel worden gehouden. Bewijsmateriaal moet ook een duidelijke eigenaar hebben en, waar van toepassing, versiebeheer en reviewdata bevatten.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Control
Control objective
Policy
Procedure
Audit

”
},
{
“id”: “1310721”,
“title”: “Procedure”,
“path”: “Overview / Glossary / Procedure”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5370,
“body”: “

Definition (EN)

A procedure is a documented set of steps that describes how a specific activity or process is to be performed.

Explanation (EN)

A procedure provides detailed instructions to ensure activities are carried out in a consistent, controlled, and repeatable manner.
Procedures translate policy requirements and control objectives into concrete actions and responsibilities.
They are typically role-specific, operational in nature, and support the effective implementation and monitoring of controls.
Procedures should be documented, communicated to relevant personnel, and reviewed regularly to ensure continued suitability and effectiveness.

Nederlandse term (NL)

Procedure

Definitie (NL)

Een procedure is een gedocumenteerde reeks stappen die beschrijft hoe een specifieke activiteit of proces moet worden uitgevoerd.

Toelichting (NL)

Een procedure bevat gedetailleerde instructies om activiteiten op een consistente, gecontroleerde en herhaalbare manier uit te voeren.
Procedures vertalen beleidsvereisten en beheersdoelstellingen naar concrete acties en verantwoordelijkheden.
Ze zijn doorgaans operationeel van aard, rolgebonden en ondersteunen de effectieve implementatie en opvolging van beheersmaatregelen.
Procedures moeten worden gedocumenteerd, gecommuniceerd aan relevante medewerkers en periodiek worden herzien om hun geschiktheid en doeltreffendheid te waarborgen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Policy
Control
Control objective
Evidence
Work instruction

Definition ComplianceForge Reference Model

Procedures are a documented set of steps necessary to perform a specific task or process in conformance with an applicable standard.
Procedures help address the question of how the organization actually operationalizes a Policy, Standard or Control.
Without documented procedures, there will be no defensible evidence of due care practices.
Procedures are generally the responsibility of the process owner / asset custodian to build and maintain, but are expected to include stakeholder oversight to ensure applicable compliance requirements are addressed.
The result of a procedure is intended to satisfy a specific Control.
Procedures are also commonly referred to as "control activities."

”
},
{
“id”: “426363”,
“title”: “Audit”,
“path”: “Overview / Glossary / Audit”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3776,
“body”: “

Definition (EN)

An audit is a systematic, independent, and documented process for obtaining audit evidence and evaluating it objectively to determine the extent to which audit criteria are fulfilled.

Explanation (EN)

An audit is performed to assess whether policies, processes, controls, and practices conform to defined requirements, such as standards, legal obligations, internal policies, or contractual commitments.
Audits may be internal or external and are conducted according to a planned audit programme with defined scope, criteria, methods, and responsibilities.
Audit results provide assurance, identify nonconformities and improvement opportunities, and support management oversight and continuous improvement.

Nederlandse term (NL)

Audit

Definitie (NL)

Een audit is een systematisch, onafhankelijk en gedocumenteerd proces voor het verkrijgen van auditbewijsmateriaal en het objectief beoordelen ervan om vast te stellen in welke mate aan auditcriteria wordt voldaan.

Toelichting (NL)

Een audit wordt uitgevoerd om te beoordelen of beleid, processen, beheersmaatregelen en werkwijzen voldoen aan vastgelegde vereisten, zoals normen, wettelijke verplichtingen, interne beleidslijnen of contractuele afspraken.
Audits kunnen intern of extern zijn en worden uitgevoerd volgens een gepland auditprogramma met een vastgelegde scope, criteria, methoden en verantwoordelijkheden.
Auditresultaten bieden assurance, identificeren afwijkingen en verbeterkansen en ondersteunen managementtoezicht en continue verbetering.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Evidence
Audit criteria
Audit programme
Internal audit
Compliance

”
},
{
“id”: “1343491”,
“title”: “Work instruction”,
“path”: “Overview / Glossary / Work instruction”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3965,
“body”: “

Definition (EN)

A work instruction is a detailed, task-specific description of how to perform a particular activity or step within a process or procedure.

Explanation (EN)

Work instructions provide precise and practical guidance to ensure that specific tasks are executed correctly, consistently, and safely.
They describe who performs the task, how it is performed, and which tools, systems, or inputs are used.
Work instructions are typically used for operational, technical, or repetitive activities and support the consistent application of procedures and controls.
They may be documented as text, checklists, diagrams, screenshots, or other practical formats and should be kept up to date as processes or systems change.

Nederlandse term (NL)

Werkinstructie

Definitie (NL)

Een werkinstructie is een gedetailleerde, taakspecifieke beschrijving van hoe een bepaalde activiteit of stap binnen een proces of procedure moet worden uitgevoerd.

Toelichting (NL)

Werkinstructies bieden concrete en praktische richtlijnen om taken correct, consistent en veilig uit te voeren.
Zij beschrijven wie de taak uitvoert, hoe deze wordt uitgevoerd en welke hulpmiddelen, systemen of input daarbij worden gebruikt.
Werkinstructies worden meestal toegepast voor operationele, technische of repetitieve activiteiten en ondersteunen de consistente uitvoering van procedures en beheersmaatregelen.
Ze kunnen worden vastgelegd in tekst, checklists, schema’s, screenshots of andere praktische formats en moeten worden bijgewerkt wanneer processen of systemen wijzigen.

Source

ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls

Related terms

Procedure
Control
Evidence
Operational process
Training

”
},
{
“id”: “1376257”,
“title”: “Audit criteria”,
“path”: “Overview / Glossary / Audit criteria”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3533,
“body”: “

Definition (EN)

Audit criteria are the set of policies, procedures, requirements, or standards used as a reference against which audit evidence is compared.

Explanation (EN)

Audit criteria define what is used to determine conformity during an audit.
They may include international standards, legal and regulatory requirements, internal policies, procedures, contractual obligations, or other defined requirements.
Audit criteria must be clearly defined before the audit starts and agreed upon with relevant stakeholders to ensure transparency, objectivity, and consistency in audit conclusions.

Nederlandse term (NL)

Auditcriteria

Definitie (NL)

Auditcriteria zijn het geheel van beleidslijnen, procedures, vereisten of normen die als referentie worden gebruikt om auditbewijsmateriaal te beoordelen.

Toelichting (NL)

Auditcriteria bepalen op basis waarvan conformiteit tijdens een audit wordt vastgesteld.
Ze kunnen bestaan uit internationale normen, wettelijke en regelgevende vereisten, interne beleidsdocumenten, procedures, contractuele verplichtingen of andere vastgelegde vereisten.
Auditcriteria moeten voorafgaand aan de audit duidelijk worden vastgelegd en afgestemd met de betrokken partijen om transparantie, objectiviteit en consistentie in de auditconclusies te waarborgen.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Audit
Audit evidence
Audit programme
Compliance
Nonconformity

”
},
{
“id”: “1343498”,
“title”: “Audit programme”,
“path”: “Overview / Glossary / Audit programme”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3871,
“body”: “

Definition (EN)

An audit programme is a set of one or more audits planned for a specific time frame and directed towards a specific purpose.

Explanation (EN)

An audit programme defines how audits are organised, scheduled, conducted, and followed up within an organisation.
It includes information about audit objectives, scope, criteria, frequency, responsibilities, methods, and reporting.
The audit programme is risk-based and ensures that audits are prioritised according to organisational risks, regulatory requirements, and management needs.
Audit programmes support governance, assurance, and continuous improvement by providing structured oversight of management systems and controls.

Nederlandse term (NL)

Auditprogramma

Definitie (NL)

Een auditprogramma is een geheel van één of meerdere audits die voor een bepaalde periode worden gepland en gericht zijn op een specifiek doel.

Toelichting (NL)

Een auditprogramma beschrijft hoe audits binnen een organisatie worden georganiseerd, gepland, uitgevoerd en opgevolgd.
Het bevat onder meer informatie over auditdoelstellingen, scope, criteria, frequentie, verantwoordelijkheden, methoden en rapportage.
Het auditprogramma is risicogebaseerd en zorgt ervoor dat audits worden geprioriteerd op basis van organisatierisico’s, wettelijke vereisten en managementbehoeften.
Auditprogramma’s ondersteunen governance, assurance en continue verbetering door gestructureerd toezicht op managementsystemen en beheersmaatregelen.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9001:2015 — Quality management systems — Requirements

Related terms

Audit
Audit criteria
Audit evidence
Internal audit
Management review

”
},
{
“id”: “917883”,
“title”: “Operational process”,
“path”: “Overview / Glossary / Operational process”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4304,
“body”: “

Definition (EN)

An operational process is a set of interrelated or interacting activities that transforms inputs into outputs to achieve a specific operational objective within an organisation.

Explanation (EN)

Operational processes describe how an organisation performs its day-to-day activities to deliver products or services and support its mission.
They operate at process level and define what needs to happen and in which sequence, without prescribing detailed task-level instructions.
Operational processes are supported by procedures and work instructions and are subject to governance, risk management, controls, and performance monitoring.
In information security and cybersecurity contexts, operational processes help ensure that controls are consistently applied in daily operations.

Nederlandse term (NL)

Operationeel proces

Definitie (NL)

Een operationeel proces is een samenhangend geheel van activiteiten dat input omzet in output om een specifiek operationeel doel binnen een organisatie te realiseren.

Toelichting (NL)

Operationele processen beschrijven hoe een organisatie haar dagelijkse activiteiten uitvoert om producten of diensten te leveren en haar missie te ondersteunen.
Ze functioneren op procesniveau en bepalen wat moet gebeuren en in welke volgorde, zonder gedetailleerde taak-instructies vast te leggen.
Operationele processen worden ondersteund door procedures en werkinstructies en vallen onder governance, risicomanagement, beheersmaatregelen en prestatieopvolging.
In de context van informatiebeveiliging en cybersecurity zorgen operationele processen ervoor dat beheersmaatregelen consequent worden toegepast in de dagelijkse werking.

Source

ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Procedure
Work instruction
Control
Risk management
Evidence

”
},
{
“id”: “1376282”,
“title”: “Training”,
“path”: “Overview / Glossary / Training”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4308,
“body”: “

Definition (EN)

Training is a structured activity designed to develop knowledge, skills, and competence to perform specific roles, tasks, or responsibilities effectively.

Explanation (EN)

Training ensures that individuals have the necessary understanding and capabilities to fulfil their responsibilities in accordance with organisational policies, procedures, and controls.
It may include formal courses, workshops, e-learning, simulations, briefings, or on-the-job training and can be role-based or general in nature.
In information security and cybersecurity contexts, training supports awareness, correct behaviour, and consistent application of controls.
Training activities should be planned, documented, evaluated for effectiveness, and updated when roles, risks, or requirements change.

Nederlandse term (NL)

Opleiding

Definitie (NL)

Opleiding is een gestructureerde activiteit die gericht is op het ontwikkelen van kennis, vaardigheden en competenties om specifieke rollen, taken of verantwoordelijkheden doeltreffend uit te voeren.

Toelichting (NL)

Opleiding zorgt ervoor dat personen beschikken over de nodige kennis en vaardigheden om hun verantwoordelijkheden uit te voeren in overeenstemming met beleidslijnen, procedures en beheersmaatregelen van de organisatie.
Opleidingen kunnen bestaan uit formele trainingen, workshops, e-learning, simulaties, briefings of training on the job en kunnen rolgericht of algemeen van aard zijn.
In de context van informatiebeveiliging en cybersecurity ondersteunt opleiding bewustwording, correct gedrag en de consistente toepassing van beheersmaatregelen.
Opleidingsactiviteiten moeten gepland, gedocumenteerd en geëvalueerd worden op effectiviteit en aangepast wanneer rollen, risico’s of vereisten wijzigen.

Source

ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines

Related terms

Awareness
Competence
Procedure
Work instruction
Evidence

”
},
{
“id”: “622991”,
“title”: “Audit evidence”,
“path”: “Overview / Glossary / Audit evidence”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3959,
“body”: “

Definition (EN)

Audit evidence is verifiable information, records, or statements of fact that are relevant to the audit criteria and support audit findings.

Explanation (EN)

Audit evidence is used by auditors to determine whether audit criteria are fulfilled.
It may include documents, records, observations, interview results, measurements, logs, reports, or other information obtained during an audit.
Audit evidence must be sufficient and appropriate, meaning it is relevant, reliable, and adequate to support audit conclusions.
Audit evidence should be traceable to specific audit criteria and retained in accordance with organisational and regulatory requirements.

Nederlandse term (NL)

Auditbewijsmateriaal

Definitie (NL)

Auditbewijsmateriaal is verifieerbare informatie, registraties of feitelijke vaststellingen die relevant zijn voor de auditcriteria en auditbevindingen onderbouwen.

Toelichting (NL)

Auditbewijsmateriaal wordt door auditors gebruikt om vast te stellen of aan auditcriteria wordt voldaan.
Het kan bestaan uit documenten, registraties, observaties, interviewresultaten, metingen, logs, rapporten of andere informatie die tijdens een audit wordt verzameld.
Auditbewijsmateriaal moet voldoende en geschikt zijn, wat betekent dat het relevant, betrouwbaar en toereikend is om auditconclusies te onderbouwen.
Auditbewijsmateriaal moet traceerbaar zijn naar specifieke auditcriteria en worden bewaard conform organisatorische en wettelijke vereisten.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Audit
Audit criteria
Evidence
Audit programme
Audit finding

”
},
{
“id”: “426393”,
“title”: “Nonconformity”,
“path”: “Overview / Glossary / Nonconformity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3638,
“body”: “

Definition (EN)

A nonconformity is the non-fulfilment of a requirement.

Explanation (EN)

A nonconformity occurs when a requirement defined in a standard, law, policy, procedure, or other agreed criterion is not met.
Nonconformities may be identified during audits, assessments, monitoring activities, or incident investigations.
They are typically classified based on severity (e.g. major or minor) and require corrective action to address the root cause and prevent recurrence.
Managing nonconformities is an essential element of governance, compliance, and continuous improvement.

Nederlandse term (NL)

Afwijking

Definitie (NL)

Een afwijking is het niet voldoen aan een vereiste.

Toelichting (NL)

Een afwijking doet zich voor wanneer een vereiste uit een norm, wetgeving, beleid, procedure of ander overeengekomen criterium niet wordt nageleefd.
Afwijkingen kunnen worden vastgesteld tijdens audits, assessments, monitoringactiviteiten of incidentonderzoeken.
Ze worden doorgaans geclassificeerd op basis van ernst (bijvoorbeeld major of minor) en vereisen corrigerende maatregelen om de onderliggende oorzaak aan te pakken en herhaling te voorkomen.
Het beheren van afwijkingen is een essentieel onderdeel van governance, compliance en continue verbetering.

Source

ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements

Related terms

Audit
Audit finding
Audit evidence
Corrective action
Compliance

”
},
{
“id”: “1376291”,
“title”: “Management review”,
“path”: “Overview / Glossary / Management review”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4053,
“body”: “

Definition (EN)

Management review is a formal, periodic evaluation by top management of the suitability, adequacy, and effectiveness of a management system.

Explanation (EN)

Management review is conducted to ensure that the management system remains aligned with organisational objectives, strategic direction, risk environment, and compliance obligations.
It typically includes the review of performance indicators, audit results, nonconformities, corrective actions, risk status, incidents, and opportunities for improvement.
Management review results in decisions and actions related to improvements, resource allocation, and changes to policies, objectives, or controls, and provides documented evidence of leadership oversight and accountability.

Nederlandse term (NL)

Managementbeoordeling

Definitie (NL)

Managementbeoordeling is een formele, periodieke evaluatie door het topmanagement van de geschiktheid, toereikendheid en doeltreffendheid van een managementsysteem.

Toelichting (NL)

Managementbeoordeling wordt uitgevoerd om te verzekeren dat het managementsysteem afgestemd blijft op de organisatiedoelstellingen, strategische richting, risico-omgeving en complianceverplichtingen.
De beoordeling omvat doorgaans prestatie-indicatoren, auditresultaten, afwijkingen, corrigerende maatregelen, risicostatus, incidenten en verbeterkansen.
De managementbeoordeling leidt tot beslissingen en acties met betrekking tot verbeteringen, middelen, en aanpassingen van beleid, doelstellingen of beheersmaatregelen, en vormt aantoonbaar bewijs van leiderschapstoezicht en verantwoordelijkheid.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9001:2015 — Quality management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Governance
Audit
Internal audit
Nonconformity
Continuous improvement

”
},
{
“id”: “819602”,
“title”: “Awareness”,
“path”: “Overview / Glossary / Awareness”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4061,
“body”: “

Definition (EN)

Awareness is the state of having knowledge and understanding of relevant policies, risks, responsibilities, and expected behaviours.

Explanation (EN)

Awareness focuses on ensuring that individuals understand why certain rules, controls, and behaviours are important, rather than teaching them how to perform specific tasks.
In information security and cybersecurity contexts, awareness helps individuals recognise risks, threats, and their role in protecting information and systems.
Awareness activities may include campaigns, communications, briefings, reminders, and scenario-based exercises and are complementary to, but distinct from, training.
Awareness should be maintained continuously and adapted to changes in risks, roles, and organisational context.

Nederlandse term (NL)

Bewustwording

Definitie (NL)

Bewustwording is de mate waarin personen kennis en begrip hebben van relevante beleidslijnen, risico’s, verantwoordelijkheden en verwacht gedrag.

Toelichting (NL)

Bewustwording is gericht op het begrijpen waarom bepaalde regels, beheersmaatregelen en gedragingen belangrijk zijn, en niet op het aanleren van hoe specifieke taken stap voor stap moeten worden uitgevoerd.
In de context van informatiebeveiliging en cybersecurity helpt bewustwording personen om risico’s en dreigingen te herkennen en om hun eigen rol te begrijpen in het beschermen van informatie en systemen.
Bewustwording kan worden ondersteund via campagnes, communicatie, briefings, reminders en scenario-oefeningen en vult opleiding aan, maar is er niet hetzelfde aan.
Bewustwording moet continu worden onderhouden en aangepast aan wijzigingen in risico’s, rollen en organisatiecontext.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines

Related terms

Training
Competence
Policy
Procedure
Human error

”
},
{
“id”: “1376304”,
“title”: “Competence”,
“path”: “Overview / Glossary / Competence”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3970,
“body”: “

Definition (EN)

Competence is the ability to apply knowledge and skills to achieve intended results.

Explanation (EN)

Competence reflects whether a person is capable of performing assigned tasks effectively, based on appropriate education, training, skills, and experience.
In information security and cybersecurity contexts, competence ensures that individuals performing security-related roles are able to implement, operate, and maintain controls correctly.
Competence is demonstrated through evidence such as qualifications, certifications, training records, experience, assessments, or performance evaluations.
Organisations are responsible for determining required competence, addressing gaps, and retaining documented evidence of competence.

Nederlandse term (NL)

Competentie

Definitie (NL)

Competentie is het vermogen om kennis en vaardigheden toe te passen om beoogde resultaten te bereiken.

Toelichting (NL)

Competentie geeft aan of een persoon in staat is toegewezen taken doeltreffend uit te voeren, op basis van passende opleiding, training, vaardigheden en ervaring.
In de context van informatiebeveiliging en cybersecurity zorgt competentie ervoor dat personen met beveiligingsverantwoordelijkheden beheersmaatregelen correct kunnen implementeren, uitvoeren en onderhouden.
Competentie wordt aangetoond aan de hand van bewijs zoals kwalificaties, certificeringen, opleidingsregistraties, ervaring, beoordelingen of prestatie-evaluaties.
Organisaties zijn verantwoordelijk voor het vaststellen van vereiste competenties, het aanpakken van tekorten en het bijhouden van gedocumenteerd bewijs van competentie.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Training
Awareness
Role
Responsibility
Evidence

”
},
{
“id”: “917906”,
“title”: “Audit finding”,
“path”: “Overview / Glossary / Audit finding”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3692,
“body”: “

Definition (EN)

An audit finding is the result of the evaluation of collected audit evidence against audit criteria.

Explanation (EN)

Audit findings express whether audit criteria are fulfilled, not fulfilled, or partially fulfilled.
They may indicate conformity, nonconformity, observations, or opportunities for improvement, depending on the audit approach and classification scheme used.
Audit findings are based on objective audit evidence and are documented to support audit conclusions, management decisions, and follow-up actions such as corrective measures.

Nederlandse term (NL)

Auditbevinding

Definitie (NL)

Een auditbevinding is het resultaat van de beoordeling van verzameld auditbewijsmateriaal ten opzichte van de auditcriteria.

Toelichting (NL)

Auditbevindingen geven aan of auditcriteria al dan niet (volledig) worden nageleefd.
Ze kunnen leiden tot vaststellingen van conformiteit, afwijkingen, observaties of verbeterkansen, afhankelijk van de gebruikte auditmethodiek en classificatie.
Auditbevindingen zijn gebaseerd op objectief auditbewijsmateriaal en worden gedocumenteerd ter ondersteuning van auditconclusies, managementbeslissingen en opvolgacties zoals corrigerende maatregelen.

Source

ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Audit
Audit evidence
Audit criteria
Nonconformity
Corrective action

”
},
{
“id”: “1147225”,
“title”: “Corrective action”,
“path”: “Overview / Glossary / Corrective action”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3686,
“body”: “

Definition (EN)

Corrective action is an action taken to eliminate the cause of a nonconformity and to prevent recurrence.

Explanation (EN)

Corrective action is initiated after a nonconformity or other undesirable situation has been identified.
It focuses on analysing the root cause of the issue and implementing measures to ensure that the same issue does not occur again.
Corrective actions are documented, assigned to responsible owners, tracked for completion, and evaluated for effectiveness.
They are a key element of governance, compliance, and continuous improvement.

Nederlandse term (NL)

Corrigerende maatregel

Definitie (NL)

Een corrigerende maatregel is een maatregel die wordt genomen om de oorzaak van een afwijking weg te nemen en herhaling te voorkomen.

Toelichting (NL)

Een corrigerende maatregel wordt gestart nadat een afwijking of andere ongewenste situatie is vastgesteld.
De focus ligt op het analyseren van de onderliggende oorzaak en het implementeren van maatregelen om te voorkomen dat hetzelfde probleem opnieuw optreedt.
Corrigerende maatregelen worden gedocumenteerd, toegewezen aan verantwoordelijken, opgevolgd tot afronding en geëvalueerd op doeltreffendheid.
Ze vormen een essentieel onderdeel van governance, compliance en continue verbetering.

Source

ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO 19011:2018 — Guidelines for auditing management systems
ISO/IEC 27001:2022 — Information security management systems — Requirements

Related terms

Nonconformity
Audit finding
Audit
Continuous improvement
Management review

”
},
{
“id”: “426429”,
“title”: “Continuous improvement”,
“path”: “Overview / Glossary / Continuous improvement”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4015,
“body”: “

Definition (EN)

Continuous improvement is the ongoing effort to enhance processes, systems, controls, and performance in order to increase effectiveness, efficiency, and suitability.

Explanation (EN)

Continuous improvement involves systematically identifying opportunities for improvement and implementing changes based on performance monitoring, audit results, incident analysis, risk assessments, and management reviews.
It is not a one-time activity, but a recurring and structured approach embedded in governance and management systems.
In information security and cybersecurity contexts, continuous improvement ensures that controls, policies, and processes remain effective in the face of evolving threats, technologies, risks, and regulatory requirements.

Nederlandse term (NL)

Continue verbetering

Definitie (NL)

Continue verbetering is het voortdurend streven naar het verbeteren van processen, systemen, beheersmaatregelen en prestaties om de doeltreffendheid, efficiëntie en geschiktheid te verhogen.

Toelichting (NL)

Continue verbetering omvat het systematisch identificeren van verbeterkansen en het doorvoeren van wijzigingen op basis van prestatiemetingen, auditresultaten, incidentanalyses, risicoanalyses en managementbeoordelingen.
Het is geen eenmalige activiteit, maar een terugkerende en gestructureerde aanpak die verankerd is in governance- en managementsystemen.
In de context van informatiebeveiliging en cybersecurity zorgt continue verbetering ervoor dat beheersmaatregelen, beleid en processen effectief blijven ondanks veranderende dreigingen, technologieën, risico’s en wettelijke vereisten.

Source

ISO 9001:2015 — Quality management systems — Requirements
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Management review
Audit
Corrective action
Risk management
Performance monitoring

”
},
{
“id”: “917927”,
“title”: “Human error”,
“path”: “Overview / Glossary / Human error”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4343,
“body”: “

Definition (EN)

Human error is an unintended action or decision by a person that deviates from expected behaviour and may lead to an undesired outcome.

Explanation (EN)

Human error occurs when individuals unintentionally make mistakes due to factors such as lack of awareness, insufficient training, cognitive overload, unclear procedures, poor system design, or organisational conditions.
In information security and cybersecurity contexts, human error is a common source of risk and may result in incidents such as data breaches, misconfigurations, or process failures.
Human error should be managed through risk-based measures such as awareness, training, competence development, clear procedures, and supportive organisational and technical controls, rather than through blame or punishment.

Nederlandse term (NL)

Menselijke fout

Definitie (NL)

Een menselijke fout is een onbedoelde handeling of beslissing van een persoon die afwijkt van het verwachte gedrag en kan leiden tot een ongewenst resultaat.

Toelichting (NL)

Menselijke fouten ontstaan wanneer personen onbedoeld vergissingen maken als gevolg van factoren zoals onvoldoende bewustwording, gebrek aan opleiding, cognitieve belasting, onduidelijke procedures, slecht ontworpen systemen of organisatorische omstandigheden.
In de context van informatiebeveiliging en cybersecurity is menselijke fout een veelvoorkomende risicobron en kan deze leiden tot incidenten zoals datalekken, foutieve configuraties of processtoringen.
Menselijke fouten moeten risicogebaseerd worden beheerst via maatregelen zoals bewustwording, opleiding, competentieontwikkeling, duidelijke procedures en ondersteunende organisatorische en technische beheersmaatregelen, en niet via schuld- of sanctiedenken.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines
ISO 45001:2018 — Occupational health and safety management systems

Related terms

Awareness
Training
Competence
Risk
Incident

”
},
{
“id”: “1147240”,
“title”: “Role”,
“path”: “Overview / Glossary / Role”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3825,
“body”: “

Definition (EN)

A role is a defined set of responsibilities, authorities, and expected activities assigned to an individual or group within an organisation.

Explanation (EN)

A role describes what is expected to be done within the organisation, independent of the specific person fulfilling it.
Roles clarify accountability, support segregation of duties, and enable consistent assignment of responsibilities across processes and controls.
In information security and cybersecurity contexts, roles are used to define governance structures, risk ownership, control responsibilities, and escalation paths.
Roles should be documented, communicated, and aligned with required competence and authority.

Nederlandse term (NL)

Rol

Definitie (NL)

Een rol is een vastgelegde set van verantwoordelijkheden, bevoegdheden en verwachte activiteiten die wordt toegewezen aan een persoon of groep binnen een organisatie.

Toelichting (NL)

Een rol beschrijft wat verwacht wordt binnen de organisatie, los van de specifieke persoon die de rol vervult.
Rollen zorgen voor duidelijkheid over verantwoordelijkheid en aansprakelijkheid, ondersteunen functiescheiding en maken een consistente toewijzing van taken mogelijk over processen en beheersmaatregelen heen.
In de context van informatiebeveiliging en cybersecurity worden rollen gebruikt om governance-structuren, risicovenaarschap, verantwoordelijkheden voor beheersmaatregelen en escalatiepaden vast te leggen.
Rollen moeten worden gedocumenteerd, gecommuniceerd en afgestemd zijn op de vereiste competenties en bevoegdheden.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Responsibility
Authority
Competence
RACI
Governance

”
},
{
“id”: “426442”,
“title”: “Responsibility”,
“path”: “Overview / Glossary / Responsibility”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3926,
“body”: “

Definition (EN)

Responsibility is the obligation to perform assigned tasks and to be answerable for actions and outcomes.

Explanation (EN)

Responsibility defines what a role is required to do and for which activities or results it is accountable.
Responsibilities are assigned to roles and may be shared, delegated, or supported by others, but accountability remains clearly defined.
In information security and cybersecurity contexts, clearly defined responsibilities are essential to ensure effective governance, risk management, control implementation, and incident response.
Responsibilities should be documented, communicated, and aligned with the authority and competence required to fulfil them.

Nederlandse term (NL)

Verantwoordelijkheid

Definitie (NL)

Verantwoordelijkheid is de verplichting om toegewezen taken uit te voeren en verantwoording af te leggen over handelingen en resultaten.

Toelichting (NL)

Verantwoordelijkheid bepaalt wat van een rol wordt verwacht en voor welke activiteiten of resultaten verantwoording moet worden afgelegd.
Verantwoordelijkheden worden toegewezen aan rollen en kunnen worden gedeeld of gedelegeerd, maar de eindverantwoordelijkheid blijft steeds duidelijk vastgelegd.
In de context van informatiebeveiliging en cybersecurity zijn duidelijke verantwoordelijkheden essentieel voor effectieve governance, risicomanagement, de uitvoering van beheersmaatregelen en incidentafhandeling.
Verantwoordelijkheden moeten worden gedocumenteerd, gecommuniceerd en afgestemd zijn op de vereiste bevoegdheden en competenties.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Role
Authority
Accountability
Competence
Governance

”
},
{
“id”: “426449”,
“title”: “Performance monitoring”,
“path”: “Overview / Glossary / Performance monitoring”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3978,
“body”: “

Definition (EN)

Performance monitoring is the systematic tracking, measurement, and evaluation of activities, controls, and outcomes to assess whether objectives are being achieved.

Explanation (EN)

Performance monitoring involves the use of indicators, metrics, and reporting mechanisms to evaluate how effectively processes, controls, and management systems operate over time.
It supports timely detection of deviations, emerging risks, and performance trends and provides input for decision-making, corrective actions, and continuous improvement.
In information security and cybersecurity contexts, performance monitoring may include technical, operational, and governance-related indicators and complements audits and management reviews.

Nederlandse term (NL)

Prestatieopvolging

Definitie (NL)

Prestatieopvolging is het systematisch opvolgen, meten en evalueren van activiteiten, beheersmaatregelen en resultaten om te beoordelen of doelstellingen worden gerealiseerd.

Toelichting (NL)

Prestatieopvolging maakt gebruik van indicatoren, meetwaarden en rapportagemechanismen om te evalueren hoe doeltreffend processen, beheersmaatregelen en managementsystemen in de tijd functioneren.
Ze ondersteunt de tijdige detectie van afwijkingen, opkomende risico’s en prestatietrends en levert input voor besluitvorming, corrigerende maatregelen en continue verbetering.
In de context van informatiebeveiliging en cybersecurity kan prestatieopvolging zowel technische, operationele als governance-indicatoren omvatten en vormt ze een aanvulling op audits en managementbeoordelingen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 9001:2015 — Quality management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Key Performance Indicator (KPI)
Audit
Management review
Continuous improvement
Risk management

”
},
{
“id”: “917955”,
“title”: “Incident”,
“path”: “Overview / Glossary / Incident”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4300,
“body”: “

Definition (EN)

An incident is an event or series of events that disrupts or could disrupt normal operations, services, or the security of information and systems.

Explanation (EN)

An incident occurs when an unexpected or unwanted event affects, or has the potential to affect, the confidentiality, integrity, availability, authenticity, or reliability of information, systems, or services.
Incidents may arise from human error, technical failure, malicious activity, or external factors and can vary in impact and severity.
In information security and cybersecurity contexts, incidents require timely identification, reporting, assessment, response, and recovery to limit impact and prevent recurrence.
Incidents provide important input for corrective actions, risk reassessment, and continuous improvement.

Nederlandse term (NL)

Incident

Definitie (NL)

Een incident is een gebeurtenis of reeks van gebeurtenissen die de normale werking, dienstverlening of de beveiliging van informatie en systemen verstoort of kan verstoren.

Toelichting (NL)

Een incident doet zich voor wanneer een onverwachte of ongewenste gebeurtenis de vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit of betrouwbaarheid van informatie, systemen of diensten beïnvloedt of kan beïnvloeden.
Incidenten kunnen ontstaan door menselijke fouten, technische storingen, kwaadwillige handelingen of externe factoren en kunnen verschillen in impact en ernst.
In de context van informatiebeveiliging en cybersecurity vereisen incidenten een tijdige identificatie, melding, beoordeling, respons en herstel om de impact te beperken en herhaling te voorkomen.
Incidenten vormen een belangrijke input voor corrigerende maatregelen, herbeoordeling van risico’s en continue verbetering.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 22301:2019 — Business continuity management systems
ISO 31000:2018 — Risk management — Guidelines

Related terms

Security incident
Incident response
Human error
Risk
Corrective action

”
},
{
“id”: “426470”,
“title”: “Auhority”,
“path”: “Overview / Glossary / Auhority”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4230,
“body”: “

Definition (EN)

Authority is the formally assigned power or right to make decisions, give instructions, and enforce actions within a defined scope of responsibility.

Explanation (EN)

Authority defines who is entitled to decide, approve, direct, or enforce actions related to processes, risks, controls, or resources.
In governance, risk management, and information security, authority must be clearly assigned, documented, and communicated to ensure accountability and effective decision-making.
Authority is always linked to a role or function and operates within agreed boundaries, policies, and escalation mechanisms.
Clear authority prevents ambiguity, delays, and unmanaged risks, especially during incidents, audits, and crisis situations.

Nederlandse term (NL)

Bevoegdheid

Definitie (NL)

Bevoegdheid is de formeel toegekende macht of het recht om beslissingen te nemen, instructies te geven en maatregelen af te dwingen binnen een afgebakend verantwoordelijkheidsdomein.

Toelichting (NL)

Bevoegdheid bepaalt wie beslissingen mag nemen, goedkeuring kan geven, richting kan bepalen of maatregelen kan afdwingen met betrekking tot processen, risico’s, beheersmaatregelen of middelen.
Binnen governance-, risicomanagement- en informatiebeveiligingskaders moet bevoegdheid duidelijk worden vastgelegd, gedocumenteerd en gecommuniceerd om verantwoordelijkheid en doeltreffende besluitvorming te waarborgen.
Bevoegdheid is steeds gekoppeld aan een rol of functie en wordt uitgeoefend binnen vastgelegde beleidskaders, procedures en escalatiemechanismen.
Duidelijke bevoegdheden voorkomen onduidelijkheid, vertragingen en onbeheerde risico’s, vooral bij incidenten, audits en crisissituaties.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Role
Responsibility
Accountability
Governance
RASCI

”
},
{
“id”: “623046”,
“title”: “RASCI”,
“path”: “Overview / Glossary / RASCI”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 6342,
“body”: “

Definition (EN)

RASCI is a responsibility assignment matrix used to clarify roles by defining who is Responsible, Accountable, Supporting, Consulted, and Informed for activities, decisions, or processes.

Explanation (EN)

The RASCI model is an extension of the RACI model and is used to clearly allocate responsibilities and authorities within governance, risk management, and operational processes.
It helps organisations prevent ambiguity, overlaps, and gaps by explicitly identifying:

Responsible (R): The person(s) who perform the work.
Accountable (A): The person ultimately answerable for the outcome and decision-making.
Supporting (S): The person(s) who assist in executing the task.
Consulted (C): The person(s) whose input is required before decisions or actions.
Informed (I): The person(s) who must be kept informed of progress or outcomes.

RASCI is particularly valuable in information security, cybersecurity, and incident management, where clear ownership and authority are essential for timely and effective action.

Nederlandse term (NL)

RASCI-verantwoordelijkheidsmatrix

Definitie (NL)

RASCI is een verantwoordelijkheidsmatrix die wordt gebruikt om rollen te verduidelijken door vast te leggen wie Responsible, Accountable, Supporting, Consulted en Informed is voor activiteiten, beslissingen of processen.

Toelichting (NL)

Het RASCI-model is een uitbreiding van het RACI-model en wordt toegepast om verantwoordelijkheden en bevoegdheden expliciet toe te wijzen binnen governance-, risicomanagement- en operationele processen.
Het model helpt onduidelijkheden, overlap en hiaten te voorkomen door expliciet vast te leggen:

Responsible (R): Wie het werk uitvoert.
Accountable (A): Wie eindverantwoordelijk is en beslissingsbevoegdheid heeft.
Supporting (S): Wie ondersteuning biedt bij de uitvoering.
Consulted (C): Wie voorafgaand wordt geraadpleegd.
Informed (I): Wie op de hoogte wordt gehouden van voortgang en resultaten.

Binnen informatiebeveiliging en cybersecurity is RASCI essentieel om eigenaarschap, escalatie en besluitvorming tijdens incidenten, audits en verandertrajecten correct te organiseren.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines
ITIL® 4:2019 — Service management practices

Related terms

Role
Responsibility
Authority
Accountability
Governance
Incident management

”
},
{
“id”: “819634”,
“title”: “Accountability”,
“path”: “Overview / Glossary / Accountability”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4774,
“body”: “

Definition (EN)

Accountability is the obligation of a person or role to answer for decisions, actions, and outcomes, including the acceptance of consequences.

Explanation (EN)

Accountability defines who is ultimately answerable for the achievement of objectives, compliance with requirements, and the effectiveness of controls.
In governance, risk management, and information security, accountability cannot be delegated, even though responsibilities and tasks may be assigned to others.
Clear accountability ensures effective oversight, decision-making, escalation, and compliance, particularly in areas such as risk acceptance, incident management, audits, and management reviews.
Accountability is typically assigned to senior management or designated control owners and must be formally documented and communicated.

Nederlandse term (NL)

Aansprakelijkheid en eindverantwoordelijkheid

Definitie (NL)

Accountability is de verplichting van een persoon of rol om verantwoording af te leggen over beslissingen, handelingen en resultaten, inclusief het aanvaarden van de gevolgen.

Toelichting (NL)

Accountability bepaalt wie uiteindelijk verantwoordelijk is voor het behalen van doelstellingen, het naleven van vereisten en de doeltreffendheid van beheersmaatregelen.
Binnen governance-, risicomanagement- en informatiebeveiligingskaders kan accountability niet worden gedelegeerd, ook al kunnen taken en verantwoordelijkheden aan anderen worden toegewezen.
Duidelijke accountability is essentieel voor toezicht, besluitvorming, escalatie en compliance, onder meer bij risicoacceptatie, incidentbeheer, audits en management reviews.
Accountability wordt doorgaans toegewezen aan het hoger management of formeel aangewezen control owners en moet expliciet worden vastgelegd en gecommuniceerd.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 31000:2018 — Risk management — Guidelines
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary

Related terms

Role
Responsibility
Authority
RASCI
Governance
Risk acceptance

”
},
{
“id”: “623056”,
“title”: “Key performance indicator (KPI)”,
“path”: “Overview / Glossary / Key performance indicator (KPI)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4553,
“body”: “

Definition (EN)

A Key Performance Indicator (KPI) is a measurable value that demonstrates how effectively an organisation, process, or control is achieving defined objectives.

Explanation (EN)

KPIs are used to monitor performance, progress, and effectiveness against strategic, tactical, or operational goals.
Within governance, risk management, and information security, KPIs help management assess whether policies, processes, and controls are functioning as intended and delivering expected outcomes.
KPIs should be clearly defined, relevant, measurable, and periodically reviewed. They are commonly used in management reviews, performance monitoring, and continuous improvement cycles.
KPIs differ from risk indicators in that they focus on performance achievement rather than risk exposure.

Nederlandse term (NL)

Kritieke Prestatie-indicator (KPI)

Definitie (NL)

Een Kritieke Prestatie-indicator (KPI) is een meetbare waarde die aangeeft in welke mate een organisatie, proces of beheersmaatregel vooraf vastgelegde doelstellingen realiseert.

Toelichting (NL)

KPI’s worden gebruikt om prestaties, voortgang en doeltreffendheid te monitoren ten opzichte van strategische, tactische of operationele doelstellingen.
Binnen governance-, risicomanagement- en informatiebeveiligingskaders ondersteunen KPI’s het management bij het beoordelen of beleidslijnen, processen en controles werken zoals bedoeld en de gewenste resultaten opleveren.
KPI’s moeten duidelijk gedefinieerd, relevant en meetbaar zijn en periodiek worden geëvalueerd. Ze vormen een belangrijk inputelement voor management reviews, prestatieopvolging en continue verbetering.
KPI’s onderscheiden zich van risico-indicatoren doordat ze prestaties meten en niet primair de blootstelling aan risico’s.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27004:2016 — Information security management — Monitoring, measurement, analysis and evaluation
ISO 9001:2015 — Quality management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Performance monitoring
Management review
Continuous improvement
Key Risk Indicator (KRI)
Audit

”
},
{
“id”: “1147282”,
“title”: “Security incident”,
“path”: “Overview / Glossary / Security incident”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5421,
“body”: “

Definition (EN)

A security incident is a single or a series of unwanted or unexpected information security or cybersecurity events that have a significant probability of compromising business operations and threatening information security.

Explanation (EN)

A security incident occurs when the confidentiality, integrity, availability, authenticity, or non-repudiation of information or systems is compromised or at risk of being compromised.
Security incidents may result from malicious actions (e.g. cyberattacks), human error, technical failures, or process weaknesses.
Incidents require timely identification, reporting, assessment, response, and documentation to limit impact and support recovery and continuous improvement.
Not all security events qualify as incidents; an event becomes an incident when it has actual or potential adverse impact on the organisation, its stakeholders, or its obligations.

Nederlandse term (NL)

Beveiligingsincident

Definitie (NL)

Een beveiligingsincident is een enkelvoudige of reeks van ongewenste of onverwachte informatiebeveiligings- of cybersecuritygebeurtenissen die een aanzienlijke kans hebben om bedrijfsactiviteiten te verstoren of de informatiebeveiliging in het gedrang te brengen.

Toelichting (NL)

Een beveiligingsincident doet zich voor wanneer de vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit of onweerlegbaarheid van informatie of systemen wordt aangetast of dreigt te worden aangetast.
Beveiligingsincidenten kunnen ontstaan door kwaadwillige handelingen (zoals cyberaanvallen), menselijke fouten, technische storingen of tekortkomingen in processen.
Incidenten vereisen tijdige identificatie, melding, beoordeling, opvolging en documentatie om de impact te beperken en herstel en continue verbetering te ondersteunen.
Niet elke beveiligingsgebeurtenis is een incident; een gebeurtenis wordt pas een incident wanneer er sprake is van een daadwerkelijke of potentiële negatieve impact op de organisatie, haar stakeholders of haar verplichtingen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27035-1:2016 — Information security incident management — Principles
ISO/IEC 27035-2:2016 — Information security incident management — Guidelines
ISO 22301:2019 — Business continuity management systems
NIST SP 800-61 Rev.2 — Computer Security Incident Handling Guide

Related terms

Security event
Incident management
Incident response
Cybersecurity
Human error
Nonconformity
Audit evidence

”
},
{
“id”: “917982”,
“title”: “Incident response”,
“path”: “Overview / Glossary / Incident response”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5106,
“body”: “

Definition (EN)

Incident response is the structured approach to managing and addressing a security incident in order to contain its impact, eradicate the cause, recover affected systems, and prevent recurrence.

Explanation (EN)

Incident response covers the coordinated activities performed before, during, and after a security incident.
Its objectives are to limit damage, reduce recovery time and costs, ensure legal and regulatory compliance, and restore normal operations as quickly and safely as possible.
A formal incident response process typically includes preparation, detection and analysis, containment, eradication, recovery, and post-incident review.
Incident response roles, responsibilities, authorities, and communication paths must be clearly defined and tested to ensure effective execution under pressure.

Nederlandse term (NL)

Incidentrespons

Definitie (NL)

Incidentrespons is de gestructureerde aanpak voor het beheren en afhandelen van een beveiligingsincident met als doel de impact te beperken, de oorzaak weg te nemen, getroffen systemen te herstellen en herhaling te voorkomen.

Toelichting (NL)

Incidentrespons omvat de gecoördineerde activiteiten die plaatsvinden vóór, tijdens en na een beveiligingsincident.
De doelstellingen zijn het beperken van schade, het verkorten van hersteltijd en -kosten, het waarborgen van wettelijke en regelgevende naleving en het veilig herstellen van de normale werking.
Een formeel incidentresponsproces bestaat doorgaans uit voorbereiding, detectie en analyse, beheersing, verwijdering van de oorzaak, herstel en evaluatie na het incident.
Rollen, verantwoordelijkheden, bevoegdheden en communicatielijnen voor incidentrespons moeten duidelijk worden vastgelegd en regelmatig worden getest om doeltreffend te kunnen optreden onder tijdsdruk.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27035-1:2016 — Information security incident management — Principles
ISO/IEC 27035-2:2016 — Information security incident management — Guidelines
ISO 22301:2019 — Business continuity management systems
NIST SP 800-61 Rev.2 — Computer Security Incident Handling Guide

Related terms

Security incident
Incident management
Incident response plan
Authority
Accountability
Escalation
Audit evidence

”
},
{
“id”: “819657”,
“title”: “Incident management”,
“path”: “Overview / Glossary / Incident management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5121,
“body”: “

Definition (EN)

Incident management is the coordinated process for identifying, reporting, assessing, responding to, documenting, and closing security incidents to minimise impact and restore normal operations.

Explanation (EN)

Incident management covers the end-to-end governance and operational handling of security incidents, from initial detection and reporting through response, recovery, communication, documentation, and post-incident evaluation.
It includes incident response as a core component but also addresses escalation, stakeholder communication, legal and regulatory obligations, evidence preservation, and management reporting.
Effective incident management ensures consistency, accountability, traceability, and learning across incidents and supports continuous improvement of security and resilience.

Nederlandse term (NL)

Incidentbeheer

Definitie (NL)

Incidentbeheer is het gecoördineerde proces voor het identificeren, melden, beoordelen, afhandelen, documenteren en afsluiten van beveiligingsincidenten met als doel de impact te beperken en de normale werking te herstellen.

Toelichting (NL)

Incidentbeheer omvat de volledige governance- en operationele aanpak van beveiligingsincidenten, van initiële detectie en melding tot respons, herstel, communicatie, documentatie en evaluatie na het incident.
Incidentrespons vormt een kernonderdeel van incidentbeheer, maar incidentbeheer omvat ook escalatie, communicatie met stakeholders, wettelijke en regelgevende verplichtingen, bewijsvastlegging en rapportering aan het management.
Een doeltreffend incidentbeheer waarborgt consistentie, accountability, traceerbaarheid en leervermogen en ondersteunt de continue verbetering van informatiebeveiliging en weerbaarheid.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27035-1:2016 — Information security incident management — Principles
ISO/IEC 27035-2:2016 — Information security incident management — Guidelines
ISO 22301:2019 — Business continuity management systems
ITIL® 4:2019 — Service management practices

Related terms

Security incident
Incident response
Escalation
Authority
Accountability
Audit evidence
Continuous improvement

”
},
{
“id”: “819691”,
“title”: “Key Risk Indicator (KRI)”,
“path”: “Overview / Glossary / Key Risk Indicator (KRI)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4918,
“body”: “

Definition (EN)

A Key Risk Indicator (KRI) is a measurable value that provides an early signal of increasing risk exposure or changes in the risk profile of an organisation.

Explanation (EN)

KRIs are used to monitor risk levels and trends and to support timely decision-making before risks materialise into incidents or losses.
Within governance, risk management, and information security, KRIs help management detect changes in threat levels, vulnerabilities, control effectiveness, or exposure to unacceptable risk.
KRIs are typically linked to risk appetite and risk tolerance and are reviewed regularly as part of risk monitoring, management reporting, and oversight activities.
KRIs differ from KPIs in that they focus on risk exposure rather than performance or objective achievement.

Nederlandse term (NL)

Kritieke Risico-indicator (KRI)

Definitie (NL)

Een Kritieke Risico-indicator (KRI) is een meetbare waarde die een vroegtijdig signaal geeft van toenemende risico-exposure of veranderingen in het risicoprofiel van een organisatie.

Toelichting (NL)

KRI’s worden gebruikt om risiconiveaus en trends te monitoren en om tijdige besluitvorming te ondersteunen voordat risico’s zich manifesteren als incidenten of verliezen.
Binnen governance-, risicomanagement- en informatiebeveiligingskaders helpen KRI’s het management om veranderingen in dreigingen, kwetsbaarheden, de werking van beheersmaatregelen of blootstelling aan onaanvaardbare risico’s te detecteren.
KRI’s zijn doorgaans gekoppeld aan risk appetite en risk tolerance en worden periodiek beoordeeld in het kader van risicomonitoring, managementrapportering en toezicht.
KRI’s onderscheiden zich van KPI’s doordat ze gericht zijn op risico-exposure en niet op prestatie of doelrealisatie.

Source

ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27004:2016 — Information security management — Monitoring, measurement, analysis and evaluation
COSO ERM:2017 — Enterprise Risk Management — Integrating with Strategy and Performance

Related terms

Risk
Risk appetite
Risk tolerance
KPI
Performance monitoring
Management review

”
},
{
“id”: “1147351”,
“title”: “Security event”,
“path”: “Overview / Glossary / Security event”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4672,
“body”: “

Definition (EN)

A security event is an observable occurrence in a system, network, or process that is relevant to information security or cybersecurity.

Explanation (EN)

A security event represents any detected activity that may have security relevance, such as log entries, alerts, system changes, or user actions.
Security events are neutral by nature: they do not necessarily indicate harm or compromise.
An event becomes a security incident only when analysis shows actual or potential adverse impact on confidentiality, integrity, availability, authenticity, or non-repudiation.
Security events are typically collected, monitored, and analysed through logging, monitoring, and detection mechanisms to support early warning and incident identification.

Nederlandse term (NL)

Beveiligingsgebeurtenis

Definitie (NL)

Een beveiligingsgebeurtenis is een waarneembare gebeurtenis in een systeem, netwerk of proces die relevant is voor informatiebeveiliging of cybersecurity.

Toelichting (NL)

Een beveiligingsgebeurtenis omvat elke gedetecteerde activiteit die mogelijk beveiligingsrelevant is, zoals logregistraties, waarschuwingen, systeemwijzigingen of gebruikersacties.
Beveiligingsgebeurtenissen zijn op zich neutraal en wijzen niet noodzakelijk op schade of een inbreuk.
Een gebeurtenis wordt pas een beveiligingsincident wanneer analyse aantoont dat er sprake is van een daadwerkelijke of potentiële negatieve impact op vertrouwelijkheid, integriteit, beschikbaarheid, authenticiteit of onweerlegbaarheid.
Beveiligingsgebeurtenissen worden doorgaans verzameld, gemonitord en geanalyseerd via logging-, monitoring- en detectiemechanismen ter ondersteuning van vroegtijdige waarschuwing en incidentidentificatie.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27035-1:2016 — Information security incident management — Principles
NIST SP 800-92 — Guide to Computer Security Log Management

Related terms

Security incident
Incident management
Incident response
Logging
Monitoring
Detection
Audit evidence

”
},
{
“id”: “426525”,
“title”: “Incident response plan (IRP)”,
“path”: “Overview / Glossary / Incident response plan (IRP)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5292,
“body”: “

Definition (EN)

An Incident Response Plan (IRP) is a documented set of procedures, roles, responsibilities, and actions to be followed in response to a security incident.

Explanation (EN)

The Incident Response Plan defines how an organisation prepares for, detects, responds to, and recovers from security incidents in a consistent and coordinated manner.
It establishes escalation paths, decision-making authority, communication procedures, and responsibilities to ensure timely and effective incident handling.
An IRP supports operational response while aligning with governance, legal, regulatory, and contractual obligations.
The plan should be approved by management, regularly tested, reviewed, and updated based on incidents, exercises, audits, and changes in the risk landscape.

Nederlandse term (NL)

Incidentresponsplan (IRP)

Definitie (NL)

Een Incidentresponsplan (IRP) is een gedocumenteerde set van procedures, rollen, verantwoordelijkheden en acties die moeten worden gevolgd bij de afhandeling van een beveiligingsincident.

Toelichting (NL)

Het incidentresponsplan beschrijft hoe een organisatie zich voorbereidt op, beveiligingsincidenten detecteert, erop reageert en ervan herstelt op een consistente en gecoördineerde manier.
Het plan legt escalatiemechanismen, beslissingsbevoegdheden, communicatieprocedures en verantwoordelijkheden vast om een tijdige en doeltreffende incidentafhandeling te waarborgen.
Een IRP ondersteunt de operationele respons en is afgestemd op governance-, wettelijke, regelgevende en contractuele vereisten.
Het plan moet formeel worden goedgekeurd door het management en regelmatig worden getest, geëvalueerd en bijgewerkt op basis van incidenten, oefeningen, audits en wijzigingen in het risicolandschap.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27035-1:2016 — Information security incident management — Principles
ISO/IEC 27035-2:2016 — Information security incident management — Guidelines
ISO 22301:2019 — Business continuity management systems
NIST SP 800-61 Rev.2 — Computer Security Incident Handling Guide

Related terms

Security incident
Incident response
Incident management
Authority
Accountability
Escalation
Business continuity
Audit evidence

”
},
{
“id”: “1147360”,
“title”: “Escalation”,
“path”: “Overview / Glossary / Escalation”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5161,
“body”: “

Definition (EN)

Escalation is the formal process of raising an issue, risk, or incident to a higher level of authority when predefined thresholds, criteria, or decision limits are exceeded.

Explanation (EN)

Escalation ensures that issues requiring additional authority, resources, or oversight are addressed at the appropriate management level in a timely manner.
Within information security, cybersecurity, and risk management, escalation is triggered by factors such as severity, impact, regulatory implications, breach of risk tolerance, or lack of resolution at the operational level.
Clear escalation criteria, paths, roles, and communication channels are essential to avoid delays, unmanaged risks, and accountability gaps.
Escalation processes should be documented, communicated, tested, and aligned with incident management, risk management, and governance structures.

Nederlandse term (NL)

Escalatie

Definitie (NL)

Escalatie is het formele proces waarbij een issue, risico of incident wordt opgehoogd naar een hoger bevoegdheidsniveau wanneer vooraf vastgelegde drempels, criteria of beslissingslimieten worden overschreden.

Toelichting (NL)

Escalatie zorgt ervoor dat kwesties die extra bevoegdheid, middelen of toezicht vereisen tijdig op het juiste managementniveau worden behandeld.
Binnen informatiebeveiliging, cybersecurity en risicomanagement wordt escalatie geactiveerd door factoren zoals ernst, impact, regelgevende implicaties, overschrijding van risk tolerance of het uitblijven van oplossing op operationeel niveau.
Duidelijke escalatiecriteria, -paden, rollen en communicatiekanalen zijn essentieel om vertragingen, onbeheerde risico’s en lacunes in accountability te voorkomen.
Escalatieprocessen moeten worden gedocumenteerd, gecommuniceerd, getest en afgestemd op incidentbeheer, risicomanagement en governance-structuren.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27035-1:2016 — Information security incident management — Principles
ISO 31000:2018 — Risk management — Guidelines
ISO 22301:2019 — Business continuity management systems

Related terms

Authority
Accountability
Incident management
Incident response
Risk tolerance
Risk acceptance
Management review

”
},
{
“id”: “1147386”,
“title”: “Logging”,
“path”: “Overview / Glossary / Logging”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4707,
“body”: “

Definition (EN)

Logging is the process of recording events, activities, and system states to create a traceable record for monitoring, analysis, security, and audit purposes.

Explanation (EN)

Logs provide evidence of what happened in systems, applications, networks, and processes and support detection, troubleshooting, incident response, and accountability.
Effective logging includes defining what should be logged, ensuring logs are protected against unauthorised access or alteration, and retaining logs for an appropriate period based on risk and legal requirements.
Logs should be monitored and analysed to identify security events, anomalies, and potential incidents, and they should be available for investigations and audits.
Logging requirements typically cover time synchronisation, access control, integrity protection, retention, and secure disposal.

Nederlandse term (NL)

Logregistratie

Definitie (NL)

Logregistratie is het proces waarbij gebeurtenissen, activiteiten en systeemtoestanden worden vastgelegd om een traceerbaar bewijs- en analysepad te creëren voor monitoring, beveiliging en auditdoeleinden.

Toelichting (NL)

Logs leveren bewijs van wat er is gebeurd in systemen, applicaties, netwerken en processen en ondersteunen detectie, probleemoplossing, incidentrespons en accountability.
Doeltreffende logregistratie omvat het bepalen wat gelogd moet worden, het beschermen van logs tegen ongeoorloofde toegang of wijziging en het bewaren van logs gedurende een passende termijn op basis van risico en wettelijke vereisten.
Logs moeten worden gemonitord en geanalyseerd om beveiligingsgebeurtenissen, anomalieën en potentiële incidenten te identificeren en moeten beschikbaar zijn voor onderzoeken en audits.
Loggingvereisten omvatten doorgaans tijdssynchronisatie, toegangsbeheer, integriteitsbescherming, bewaartermijnen en veilige vernietiging.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27035-1:2016 — Information security incident management — Principles
NIST SP 800-92 — Guide to Computer Security Log Management

Related terms

Monitoring
Detection
Security event
Security incident
Incident response
Audit evidence

”
},
{
“id”: “623106”,
“title”: “Monitoring”,
“path”: “Overview / Glossary / Monitoring”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5389,
“body”: “

Definition (EN)

Monitoring is the continuous or periodic observation, analysis, and evaluation of systems, processes, and activities to detect events, deviations, or changes that may affect objectives or security.

Explanation (EN)

Monitoring uses information from logs, alerts, metrics, and indicators to identify anomalies, security events, performance issues, or emerging risks.
In information security and cybersecurity, monitoring supports early detection of threats, control failures, and nonconformities and enables timely response and escalation.
Monitoring may be automated or manual and should be aligned with risk appetite, risk tolerance, and organisational priorities.
Effective monitoring requires defined criteria, thresholds, responsibilities, and reporting mechanisms and provides essential input for incident management, audits, and management review.

Nederlandse term (NL)

Monitoring

Definitie (NL)

Monitoring is het continu of periodiek observeren, analyseren en evalueren van systemen, processen en activiteiten om gebeurtenissen, afwijkingen of veranderingen te detecteren die doelstellingen of beveiliging kunnen beïnvloeden.

Toelichting (NL)

Monitoring maakt gebruik van informatie uit logs, meldingen, metrics en indicatoren om anomalieën, beveiligingsgebeurtenissen, prestatieproblemen of opkomende risico’s te identificeren.
Binnen informatiebeveiliging en cybersecurity ondersteunt monitoring de vroegtijdige detectie van dreigingen, falende beheersmaatregelen en non-conformiteiten en maakt het tijdige respons en escalatie mogelijk.
Monitoring kan geautomatiseerd of handmatig plaatsvinden en moet afgestemd zijn op risk appetite, risk tolerance en organisatorische prioriteiten.
Doeltreffende monitoring vereist vastgelegde criteria, drempelwaarden, verantwoordelijkheden en rapporteringsmechanismen en levert essentiële input voor incidentbeheer, audits en management reviews.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27004:2016 — Information security management — Monitoring, measurement, analysis and evaluation
ISO 31000:2018 — Risk management — Guidelines

Related terms

Logging
Detection
Security event
Security incident
KRI
KPI
Performance monitoring
Incident management

”
},
{
“id”: “819739”,
“title”: “Detection”,
“path”: “Overview / Glossary / Detection”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5022,
“body”: “

Definition (EN)

Detection is the capability to identify security events, anomalies, or incidents through monitoring, analysis, and alerting mechanisms.

Explanation (EN)

Detection focuses on recognising indications of compromise, misuse, or control failures in a timely manner.
It builds on logging and monitoring by applying rules, thresholds, analytics, or intelligence to determine when observed activity represents a security-relevant deviation.
Effective detection supports rapid escalation and response and reduces the time between occurrence and identification of incidents.
Detection capabilities should be risk-based, continuously improved, and aligned with organisational risk appetite and threat landscape.

Nederlandse term (NL)

Detectie

Definitie (NL)

Detectie is het vermogen om beveiligingsgebeurtenissen, anomalieën of incidenten te identificeren via monitoring-, analyse- en alarmeringsmechanismen.

Toelichting (NL)

Detectie richt zich op het tijdig herkennen van signalen van compromittering, misbruik of falende beheersmaatregelen.
Detectie bouwt voort op logregistratie en monitoring door het toepassen van regels, drempelwaarden, analyses of dreigingsinformatie om vast te stellen wanneer waargenomen activiteit een beveiligingsrelevante afwijking vormt.
Doeltreffende detectie ondersteunt snelle escalatie en respons en verkort de tijd tussen het optreden en het identificeren van incidenten.
Detectiecapaciteiten moeten risicogestuurd zijn, continu worden verbeterd en afgestemd zijn op risk appetite en het dreigingslandschap van de organisatie.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27035-1:2016 — Information security incident management — Principles
NIST CSF 2.0 — Detect Function
ISO/IEC 27004:2016 — Monitoring, measurement, analysis and evaluation

Related terms

Logging
Monitoring
Security event
Security incident
Incident response
Escalation
KRI

”
},
{
“id”: “819746”,
“title”: “Business continuity”,
“path”: “Overview / Glossary / Business continuity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4685,
“body”: “

Definition (EN)

Business continuity is the capability of an organisation to continue delivery of products or services at acceptable predefined levels following a disruptive incident.

Explanation (EN)

Business continuity focuses on maintaining critical business functions during and after disruptions such as cyber incidents, system failures, human error, natural disasters, or supply chain disruptions.
It combines preventive measures, preparedness, response, and recovery arrangements to ensure organisational resilience.
Business continuity is risk-based and informed by business impact analysis (BIA), defining priorities, recovery objectives, and dependencies.
It is governed at management level and regularly tested, reviewed, and improved to ensure continued effectiveness.

Nederlandse term (NL)

Bedrijfscontinuïteit

Definitie (NL)

Bedrijfscontinuïteit is het vermogen van een organisatie om producten of diensten te blijven leveren op vooraf vastgelegde aanvaardbare niveaus na een verstorende gebeurtenis.

Toelichting (NL)

Bedrijfscontinuïteit richt zich op het in stand houden van kritieke bedrijfsprocessen tijdens en na verstoringen zoals cyberincidenten, systeemstoringen, menselijke fouten, natuurrampen of verstoringen in de toeleveringsketen.
Het omvat preventieve maatregelen, voorbereiding, respons- en herstelvoorzieningen om de weerbaarheid van de organisatie te waarborgen.
Bedrijfscontinuïteit is risicogestuurd en gebaseerd op een business impact analyse (BIA), waarin prioriteiten, hersteldoelstellingen en afhankelijkheden worden vastgesteld.
Het beheer van bedrijfscontinuïteit gebeurt op managementniveau en wordt regelmatig getest, geëvalueerd en verbeterd om de doeltreffendheid te blijven garanderen.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22313:2020 — Guidance on the use of ISO 22301
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO 31000:2018 — Risk management — Guidelines

Related terms

Business impact analysis (BIA)
Incident management
Incident response
Disaster recovery
Recovery time objective (RTO)
Recovery point objective (RPO)
Resilience
Crisis management

”
},
{
“id”: “819801”,
“title”: “Business Impact Analysis (BIA)”,
“path”: “Overview / Glossary / Business Impact Analysis (BIA)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4752,
“body”: “

Definition (EN)

A Business Impact Analysis (BIA) is a systematic process to identify and evaluate the potential consequences of disruptions to critical business activities.

Explanation (EN)

The Business Impact Analysis identifies critical processes, services, and resources and assesses the impact of their disruption over time.
It provides the basis for defining recovery priorities, recovery strategies, and recovery objectives such as Recovery Time Objectives (RTO) and Recovery Point Objectives (RPO).
A BIA considers financial, operational, legal, regulatory, reputational, and societal impacts and supports informed decision-making for business continuity and resilience planning.
The BIA should be reviewed periodically and updated when significant changes occur in processes, technology, dependencies, or risk exposure.

Nederlandse term (NL)

Bedrijfsimpactanalyse (BIA)

Definitie (NL)

Een Bedrijfsimpactanalyse (BIA) is een gestructureerd proces om de potentiële gevolgen van verstoringen van kritieke bedrijfsactiviteiten te identificeren en te evalueren.

Toelichting (NL)

De bedrijfsimpactanalyse brengt kritieke processen, diensten en middelen in kaart en beoordeelt de impact van hun uitval in functie van de tijd.
De BIA vormt de basis voor het vastleggen van herstelprioriteiten, herstelstrategieën en hersteldoelstellingen zoals Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO).
Bij de analyse wordt rekening gehouden met financiële, operationele, juridische, regelgevende, reputatie- en maatschappelijke impacten en ondersteunt zij gefundeerde besluitvorming rond bedrijfscontinuïteit en weerbaarheid.
De BIA moet periodiek worden herzien en bijgewerkt wanneer zich belangrijke wijzigingen voordoen in processen, technologie, afhankelijkheden of risicoblootstelling.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22313:2020 — Security and resilience — Guidance on the use of ISO 22301
ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems — Requirements

Related terms

Business continuity
Disaster recovery
Recovery Time Objective (RTO)
Recovery Point Objective (RPO)
Risk assessment
Resilience
Incident management

”
},
{
“id”: “1147479”,
“title”: “Disaster recovery”,
“path”: “Overview / Glossary / Disaster recovery”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5203,
“body”: “

Definition (EN)

Disaster recovery is the capability to restore and recover information systems, data, and infrastructure after a disruptive incident within defined time and service levels.

Explanation (EN)

Disaster recovery focuses on the restoration of IT and OT systems following major incidents such as cyberattacks, system failures, natural disasters, or other severe disruptions.
It supports business continuity by ensuring that critical systems and data can be recovered in line with defined Recovery Time Objectives (RTO) and Recovery Point Objectives (RPO).
Disaster recovery includes technical measures such as backups, redundancy, failover, and recovery procedures, as well as governance aspects such as testing, documentation, and management approval.
Disaster recovery plans should be risk-based, regularly tested, and aligned with business continuity strategies and organisational priorities.

Nederlandse term (NL)

Disaster recovery / IT-herstel

Definitie (NL)

Disaster recovery is het vermogen om informatiesystemen, gegevens en infrastructuur te herstellen na een verstorende gebeurtenis binnen vastgelegde tijds- en serviceniveaus.

Toelichting (NL)

Disaster recovery richt zich op het technisch herstel van IT- en OT-systemen na ernstige incidenten zoals cyberaanvallen, systeemstoringen, natuurrampen of andere zware verstoringen.
Het ondersteunt bedrijfscontinuïteit door te waarborgen dat kritieke systemen en data kunnen worden hersteld in overeenstemming met vastgelegde Recovery Time Objectives (RTO) en Recovery Point Objectives (RPO).
Disaster recovery omvat technische maatregelen zoals back-ups, redundantie, failover en herstelprocedures, aangevuld met governance-aspecten zoals testen, documentatie en managementgoedkeuring.
Disaster recoveryplannen moeten risicogestuurd zijn, regelmatig worden getest en afgestemd zijn op bedrijfscontinuïteitsstrategieën en organisatorische prioriteiten.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO/IEC 27031:2011 — Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27001:2022 — Information security management systems — Requirements
NIST SP 800-34 Rev.1 — Contingency Planning Guide for Federal Information Systems

Related terms

Business continuity
Business Impact Analysis (BIA)
Recovery Time Objective (RTO)
Recovery Point Objective (RPO)
Incident response
Resilience
Backup

”
},
{
“id”: “1147486”,
“title”: “Recovery time objective (RTO)”,
“path”: “Overview / Glossary / Recovery time objective (RTO)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4741,
“body”: “

Definition (EN)

Recovery Time Objective (RTO) is the maximum acceptable period of time within which a system, service, or process must be restored after a disruption to avoid unacceptable consequences.

Explanation (EN)

RTO defines how quickly recovery must occur following an incident or disaster and is determined through a Business Impact Analysis (BIA).
It represents the time-based tolerance for disruption and guides the design of recovery strategies, resources, and technical solutions.
RTO values vary depending on the criticality of processes, systems, and services and are used to prioritise recovery actions during incident response and disaster recovery.
RTOs should be approved by management, documented, and periodically reviewed to ensure alignment with organisational objectives and risk appetite.

Nederlandse term (NL)

Recovery Time Objective (RTO)

Definitie (NL)

Recovery Time Objective (RTO) is de maximaal aanvaardbare tijdsduur waarbinnen een systeem, dienst of proces na een verstoring moet worden hersteld om onaanvaardbare gevolgen te vermijden.

Toelichting (NL)

RTO bepaalt hoe snel herstel moet plaatsvinden na een incident of ramp en wordt vastgesteld op basis van een bedrijfsimpactanalyse (BIA).
Het geeft de tijdsgebonden tolerantie voor uitval weer en stuurt het ontwerp van herstelstrategieën, middelen en technische oplossingen.
RTO-waarden verschillen afhankelijk van de kriticiteit van processen, systemen en diensten en worden gebruikt om herstelacties te prioriteren tijdens incidentrespons en disaster recovery.
RTO’s moeten worden goedgekeurd door het management, gedocumenteerd en periodiek herzien om afgestemd te blijven op organisatorische doelstellingen en risk appetite.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22313:2020 — Guidance on the use of ISO 22301
ISO/IEC 27031:2011 — ICT readiness for business continuity
ISO 31000:2018 — Risk management — Guidelines

Related terms

Business Impact Analysis (BIA)
Business continuity
Disaster recovery
Recovery Point Objective (RPO)
Resilience
Incident management

”
},
{
“id”: “1474565”,
“title”: “Recovery point objective (RPO)”,
“path”: “Overview / Glossary / Recovery point objective (RPO)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4531,
“body”: “

Definition (EN)

Recovery Point Objective (RPO) is the maximum acceptable amount of data loss, measured in time, that an organisation can tolerate following a disruption.

Explanation (EN)

RPO defines the point in time to which data must be restored after an incident or disaster and represents the organisation’s tolerance for data loss.
It is determined through a Business Impact Analysis (BIA) and influences backup frequency, replication strategies, and data protection measures.
Lower RPO values require more frequent backups or near-real-time replication and generally involve higher cost and complexity.
RPOs should be approved by management, documented, and periodically reviewed to ensure alignment with business requirements and risk appetite.

Nederlandse term (NL)

Recovery Point Objective (RPO)

Definitie (NL)

Recovery Point Objective (RPO) is de maximaal aanvaardbare hoeveelheid gegevensverlies, uitgedrukt in tijd, die een organisatie kan tolereren na een verstoring.

Toelichting (NL)

RPO bepaalt tot welk tijdstip gegevens moeten worden hersteld na een incident of ramp en weerspiegelt de tolerantie van de organisatie voor gegevensverlies.
Het wordt vastgesteld op basis van een bedrijfsimpactanalyse (BIA) en beïnvloedt de frequentie van back-ups, replicatiestrategieën en maatregelen voor gegevensbescherming.
Lagere RPO-waarden vereisen frequentere back-ups of quasi real-time replicatie en brengen doorgaans hogere kosten en complexiteit met zich mee.
RPO’s moeten worden goedgekeurd door het management, gedocumenteerd en periodiek worden herzien om afgestemd te blijven op bedrijfsvereisten en risk appetite.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22313:2020 — Guidance on the use of ISO 22301
ISO/IEC 27031:2011 — ICT readiness for business continuity
ISO 31000:2018 — Risk management — Guidelines

Related terms

Business Impact Analysis (BIA)
Business continuity
Disaster recovery
Recovery Time Objective (RTO)
Backup
Resilience

”
},
{
“id”: “1474590”,
“title”: “Resilience”,
“path”: “Overview / Glossary / Resilience”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5070,
“body”: “

Definition (EN)

Resilience is the ability of an organisation to anticipate, prepare for, respond to, adapt to, and recover from disruptive events while continuing to fulfil its objectives.

Explanation (EN)

Resilience goes beyond prevention and protection by focusing on an organisation’s capacity to absorb shocks, adapt to changing conditions, and recover effectively from disruptions.
It integrates risk management, business continuity, incident management, disaster recovery, and continuous improvement into a coherent capability.
Resilience is risk-based and context-driven and is strengthened through governance, leadership, learning from incidents, and regular testing of response and recovery capabilities.
A resilient organisation is better positioned to protect stakeholders, meet regulatory expectations, and sustain trust over time.

Nederlandse term (NL)

Weerbaarheid

Definitie (NL)

Weerbaarheid is het vermogen van een organisatie om verstorende gebeurtenissen te anticiperen, zich erop voor te bereiden, erop te reageren, zich eraan aan te passen en ervan te herstellen, terwijl zij haar doelstellingen blijft realiseren.

Toelichting (NL)

Weerbaarheid gaat verder dan preventie en bescherming en richt zich op het vermogen van een organisatie om schokken op te vangen, zich aan te passen aan veranderende omstandigheden en doeltreffend te herstellen na verstoringen.
Het concept integreert risicomanagement, bedrijfscontinuïteit, incidentbeheer, disaster recovery en continue verbetering tot één samenhangende capaciteit.
Weerbaarheid is risicogestuurd en contextafhankelijk en wordt versterkt door goed bestuur, leiderschap, leren uit incidenten en het regelmatig testen van respons- en herstelcapaciteiten.
Een weerbare organisatie is beter in staat om stakeholders te beschermen, te voldoen aan regelgevende verwachtingen en vertrouwen duurzaam te behouden.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22316:2017 — Organizational resilience — Principles and attributes
ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems — Requirements

Related terms

Business continuity
Business Impact Analysis (BIA)
Disaster recovery
Incident management
Risk management
Continuous improvement

”
},
{
“id”: “1474599”,
“title”: “Crisis management”,
“path”: “Overview / Glossary / Crisis management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5637,
“body”: “

Definition (EN)

Crisis management is the structured approach by senior leadership to direct, coordinate, and communicate during a major disruptive event that threatens the organisation’s objectives, reputation, or viability.

Explanation (EN)

Crisis management focuses on strategic decision-making, governance, and stakeholder communication during high-impact events such as severe cyber incidents, prolonged outages, legal or regulatory crises, or reputational threats.
It complements incident management and business continuity by addressing leadership, escalation, public communication, legal considerations, and coordination across the organisation and with external stakeholders.
Crisis management structures typically include a crisis management team, defined authorities, escalation criteria, and communication protocols.
Crisis management arrangements should be documented, exercised, reviewed, and improved to ensure preparedness and effective leadership under pressure.

Nederlandse term (NL)

Crisisbeheer

Definitie (NL)

Crisisbeheer is de gestructureerde aanpak waarbij het hoger management leiding geeft, coördineert en communiceert tijdens een ernstige verstorende gebeurtenis die de doelstellingen, reputatie of levensvatbaarheid van de organisatie bedreigt.

Toelichting (NL)

Crisisbeheer richt zich op strategische besluitvorming, governance en communicatie met stakeholders tijdens gebeurtenissen met een grote impact, zoals ernstige cyberincidenten, langdurige uitval, juridische of regelgevende crisissen of reputatiebedreigingen.
Het vult incidentbeheer en bedrijfscontinuïteit aan door de nadruk te leggen op leiderschap, escalatie, externe communicatie, juridische afwegingen en organisatiebrede coördinatie.
Crisisbeheerstructuren omvatten doorgaans een crisisteam, vastgelegde bevoegdheden, escalatiecriteria en communicatieprotocollen.
Crisisbeheermaatregelen moeten worden gedocumenteerd, geoefend, geëvalueerd en continu verbeterd om paraatheid en doeltreffend leiderschap onder druk te waarborgen.

Source

ISO 22301:2019 — Security and resilience — Business continuity management systems — Requirements
ISO 22316:2017 — Organizational resilience — Principles and attributes
ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems — Requirements

Related terms

Incident management
Incident response
Business continuity
Disaster recovery
Escalation
Authority
Accountability
Resilience

”
},
{
“id”: “1441826”,
“title”: “Backup”,
“path”: “Overview / Glossary / Backup”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5022,
“body”: “

Definition (EN)

A backup is a copy of data, system configurations, or software that is created and stored separately to enable restoration after data loss, corruption, or a disruptive incident.

Explanation (EN)

Backups are a fundamental control to protect against data loss resulting from cyberattacks, human error, system failures, or disasters.
Effective backup practices include defining backup scope, frequency, retention periods, storage locations, and access controls, in line with business requirements and risk tolerance.
Backups must be protected against unauthorised access, alteration, or deletion and should be regularly tested to verify their integrity and restorability.
Backup strategies are directly linked to Recovery Point Objectives (RPO), Recovery Time Objectives (RTO), and disaster recovery arrangements.

Nederlandse term (NL)

Back-up

Definitie (NL)

Een back-up is een kopie van gegevens, systeemconfiguraties of software die afzonderlijk wordt opgeslagen om herstel mogelijk te maken na gegevensverlies, corruptie of een verstorende gebeurtenis.

Toelichting (NL)

Back-ups vormen een fundamentele beheersmaatregel ter bescherming tegen gegevensverlies als gevolg van cyberaanvallen, menselijke fouten, systeemstoringen of rampen.
Doeltreffende back-uppraktijken omvatten het vastleggen van scope, frequentie, bewaartermijnen, opslaglocaties en toegangsbeperkingen, afgestemd op bedrijfsvereisten en risk tolerance.
Back-ups moeten worden beschermd tegen ongeoorloofde toegang, wijziging of verwijdering en regelmatig worden getest om hun integriteit en herstelbaarheid te verifiëren.
Back-upstrategieën zijn rechtstreeks gekoppeld aan Recovery Point Objectives (RPO), Recovery Time Objectives (RTO) en disaster recoveryvoorzieningen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27031:2011 — ICT readiness for business continuity
ISO 22301:2019 — Business continuity management systems — Requirements

Related terms

Disaster recovery
Business continuity
Recovery Point Objective (RPO)
Recovery Time Objective (RTO)
Incident response
Audit evidence
Data integrity

”
},
{
“id”: “1507355”,
“title”: “Data integrity”,
“path”: “Overview / Glossary / Data integrity”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4887,
“body”: “

Definition (EN)

Data integrity is the property that data is accurate, complete, consistent, and protected against unauthorised or accidental modification throughout its lifecycle.

Explanation (EN)

Data integrity ensures that information remains trustworthy from creation through processing, storage, transmission, and deletion.
Loss of data integrity can result from human error, system failures, malicious actions, or inadequate controls.
Maintaining data integrity requires a combination of technical and organisational measures, such as access controls, validation checks, logging, backups, change management, and integrity verification mechanisms (e.g. hashing).
Data integrity is a fundamental element of information security and is essential for reliable decision-making, compliance, and auditability.

Nederlandse term (NL)

Gegevensintegriteit

Definitie (NL)

Gegevensintegriteit is de eigenschap dat gegevens correct, volledig, consistent en beschermd zijn tegen ongeoorloofde of onbedoelde wijziging gedurende hun volledige levenscyclus.

Toelichting (NL)

Gegevensintegriteit waarborgt dat informatie betrouwbaar blijft vanaf creatie tot verwerking, opslag, overdracht en verwijdering.
Aantasting van gegevensintegriteit kan het gevolg zijn van menselijke fouten, systeemstoringen, kwaadwillige handelingen of onvoldoende beheersmaatregelen.
Het waarborgen van gegevensintegriteit vereist een combinatie van technische en organisatorische maatregelen, zoals toegangsbeheer, validatiecontroles, logging, back-ups, wijzigingsbeheer en integriteitsverificatie (bijv. hashing).
Gegevensintegriteit vormt een fundamenteel onderdeel van informatiebeveiliging en is essentieel voor betrouwbare besluitvorming, naleving en auditbaarheid.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9000:2015 — Quality management systems — Fundamentals and vocabulary
ISO 22301:2019 — Business continuity management systems — Requirements

Related terms

Integrity
Confidentiality
Availability
Backup
Logging
Audit evidence
Change management

”
},
{
“id”: “918139”,
“title”: “Change management”,
“path”: “Overview / Glossary / Change management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5058,
“body”: “

Definition (EN)

Change management is the structured process for requesting, assessing, approving, implementing, and reviewing changes to systems, processes, or documentation in a controlled manner.

Explanation (EN)

Change management ensures that changes are introduced in a planned, authorised, and traceable way to minimise unintended impacts on operations, security, and compliance.
It includes evaluating risks, defining responsibilities, documenting decisions, testing changes where appropriate, and maintaining records of implemented changes.
Effective change management protects information integrity and availability and reduces the likelihood of incidents caused by uncontrolled or poorly executed changes.
Change management applies to technical, organisational, and procedural changes and is a key element of governance, auditability, and continuous improvement.

Nederlandse term (NL)

Wijzigingsbeheer

Definitie (NL)

Wijzigingsbeheer is het gestructureerde proces voor het aanvragen, beoordelen, goedkeuren, uitvoeren en evalueren van wijzigingen aan systemen, processen of documentatie op een gecontroleerde manier.

Toelichting (NL)

Wijzigingsbeheer zorgt ervoor dat wijzigingen gepland, geautoriseerd en traceerbaar worden doorgevoerd om onbedoelde impact op werking, beveiliging en compliance te beperken.
Het omvat het beoordelen van risico’s, het vastleggen van verantwoordelijkheden, het documenteren van beslissingen, het testen van wijzigingen waar nodig en het bijhouden van wijzigingsregistraties.
Doeltreffend wijzigingsbeheer beschermt de integriteit en beschikbaarheid van informatie en vermindert de kans op incidenten als gevolg van ongecontroleerde of foutief uitgevoerde wijzigingen.
Wijzigingsbeheer is van toepassing op technische, organisatorische en procedurele wijzigingen en vormt een essentieel onderdeel van governance, auditbaarheid en continue verbetering.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 9001:2015 — Quality management systems — Requirements
ITIL® 4:2019 — Service management practices

Related terms

Data integrity
Integrity
Availability
Change request
Audit evidence
Incident management
Continuous improvement

”
},
{
“id”: “1147505”,
“title”: “Change request”,
“path”: “Overview / Glossary / Change request”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4901,
“body”: “

Definition (EN)

A change request is a formal, documented request to modify a system, process, service, or document, submitted for evaluation, approval, and controlled implementation.

Explanation (EN)

A change request initiates the change management process and provides a structured way to propose and assess changes before they are implemented.
It typically includes a description of the proposed change, the reason for the change, potential risks and impacts, affected assets or processes, required resources, and proposed timelines.
Change requests ensure that changes are authorised by the appropriate roles, aligned with organisational objectives, and traceable for audit and accountability purposes.
They apply to technical, organisational, and procedural changes and are essential for maintaining integrity, availability, and compliance.

Nederlandse term (NL)

Wijzigingsverzoek

Definitie (NL)

Een wijzigingsverzoek is een formeel en gedocumenteerd verzoek om een systeem, proces, dienst of document te wijzigen, dat wordt ingediend voor beoordeling, goedkeuring en gecontroleerde uitvoering.

Toelichting (NL)

Een wijzigingsverzoek vormt het startpunt van het wijzigingsbeheerproces en biedt een gestructureerde manier om wijzigingen te beoordelen vóór ze worden doorgevoerd.
Het bevat doorgaans een beschrijving van de voorgestelde wijziging, de reden van de wijziging, mogelijke risico’s en impact, betrokken activa of processen, benodigde middelen en een voorgestelde planning.
Wijzigingsverzoeken zorgen ervoor dat wijzigingen worden goedgekeurd door bevoegde rollen, afgestemd zijn op organisatiedoelstellingen en traceerbaar blijven voor audit en verantwoording.
Ze zijn van toepassing op technische, organisatorische en procedurele wijzigingen en zijn essentieel voor het waarborgen van integriteit, beschikbaarheid en compliance.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ITIL® 4:2019 — Service management practices
ISO 9001:2015 — Quality management systems — Requirements

Related terms

Change management
Change approval
Risk assessment
Audit evidence
Integrity
Availability
Configuration management

”
},
{
“id”: “819849”,
“title”: “Change approval”,
“path”: “Overview / Glossary / Change approval”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4986,
“body”: “

Definition (EN)

Change approval is the formal authorisation of a change request by an assigned authority, confirming that the proposed change has been reviewed, accepted, and may be implemented.

Explanation (EN)

Change approval ensures that changes are only implemented after appropriate evaluation of risks, impacts, and alignment with organisational objectives.
It involves designated roles or bodies—such as management, a change advisory board (CAB), or the CISO—who assess whether the change is justified, adequately controlled, and resourced.
Approval decisions are documented to provide traceability, accountability, and audit evidence.
Effective change approval supports integrity, availability, and compliance by preventing unauthorised or poorly assessed changes.

Nederlandse term (NL)

Goedkeuring van wijzigingen

Definitie (NL)

Goedkeuring van wijzigingen is de formele autorisatie van een wijzigingsverzoek door een aangewezen bevoegde instantie, waarbij wordt bevestigd dat de voorgestelde wijziging is beoordeeld, aanvaard en mag worden uitgevoerd.

Toelichting (NL)

Goedkeuring van wijzigingen zorgt ervoor dat wijzigingen pas worden doorgevoerd na een passende beoordeling van risico’s, impact en afstemming met organisatiedoelstellingen.
Dit gebeurt door aangewezen rollen of organen—zoals het management, een change advisory board (CAB) of de CISO—die nagaan of de wijziging verantwoord, beheerst en voldoende ondersteund is.
Beslissingen over goedkeuring worden vastgelegd om traceerbaarheid, verantwoording en auditbewijs te waarborgen.
Een doeltreffend goedkeuringsproces ondersteunt integriteit, beschikbaarheid en compliance door ongeautoriseerde of onvoldoende beoordeelde wijzigingen te voorkomen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ITIL® 4:2019 — Service management practices
ISO 9001:2015 — Quality management systems — Requirements

Related terms

Change request
Change management
Authority
RASCI
Risk assessment
Audit evidence
Governance

”
},
{
“id”: “623188”,
“title”: “Configuration management”,
“path”: “Overview / Glossary / Configuration management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4966,
“body”: “

Definition (EN)

Configuration management is the discipline of identifying, documenting, maintaining, and controlling the components of systems, services, and processes to ensure their integrity and consistency over time.

Explanation (EN)

Configuration management ensures that the configuration of systems, applications, infrastructure, and related documentation is known, controlled, and kept up to date.
It supports effective change management by ensuring that approved changes are accurately reflected in configuration records and baselines.
Configuration management enables traceability between assets, configurations, changes, incidents, and vulnerabilities, and provides essential evidence for audits and compliance.
It applies to technical components (hardware, software, networks), as well as to documentation, procedures, and security configurations.

Nederlandse term (NL)

Configuratiebeheer

Definitie (NL)

Configuratiebeheer is het geheel van activiteiten gericht op het identificeren, documenteren, onderhouden en beheersen van de componenten van systemen, diensten en processen om hun integriteit en consistentie in de tijd te waarborgen.

Toelichting (NL)

Configuratiebeheer zorgt ervoor dat de configuratie van systemen, applicaties, infrastructuur en bijhorende documentatie gekend, beheerst en actueel blijft.
Het ondersteunt effectief wijzigingsbeheer door ervoor te zorgen dat goedgekeurde wijzigingen correct worden doorgevoerd in configuratieregisters en baselines.
Configuratiebeheer maakt traceerbaarheid mogelijk tussen activa, configuraties, wijzigingen, incidenten en kwetsbaarheden en levert essentieel auditbewijs en compliance-ondersteuning.
Het is van toepassing op zowel technische componenten (hardware, software, netwerken) als op documentatie, procedures en beveiligingsinstellingen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ITIL® 4:2019 — Service management practices
ISO/IEC 20000-1:2018 — Service management systems

Related terms

Change management
Change request
Change approval
Baseline
Asset management
Integrity
Audit evidence
Configuration item (CI)

”
},
{
“id”: “426628”,
“title”: “Baseline”,
“path”: “Overview / Glossary / Baseline”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4715,
“body”: “

Definition (EN)

A baseline is an approved and documented reference state of a system, process, configuration, or document, used as a basis for comparison, control, and change management.

Explanation (EN)

A baseline represents the formally agreed starting point against which changes are assessed, implemented, and verified.
It ensures that deviations from the approved state can be detected, analysed, and managed in a controlled manner.
Baselines are essential for maintaining integrity, consistency, and traceability, and are commonly used for systems, configurations, security settings, procedures, and policies.
Any change to a baseline must follow the organisation’s change management and approval processes.

Nederlandse term (NL)

Baseline (referentieconfiguratie)

Definitie (NL)

Een baseline is een goedgekeurde en gedocumenteerde referentiestatus van een systeem, proces, configuratie of document, die dient als basis voor vergelijking, beheersing en wijzigingsbeheer.

Toelichting (NL)

Een baseline vormt het formeel vastgelegde vertrekpunt waartegen wijzigingen worden beoordeeld, doorgevoerd en geverifieerd.
Ze maakt het mogelijk om afwijkingen van de goedgekeurde toestand te detecteren, analyseren en beheerst te behandelen.
Baselines zijn essentieel voor het waarborgen van integriteit, consistentie en traceerbaarheid en worden toegepast op systemen, configuraties, beveiligingsinstellingen, procedures en beleidsdocumenten.
Elke wijziging aan een baseline moet verlopen via het wijzigings- en goedkeuringsproces van de organisatie.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ITIL® 4:2019 — Service management practices
ISO/IEC 20000-1:2018 — Service management systems

Related terms

Configuration management
Change management
Change request
Change approval
Configuration item (CI)
Integrity
Audit evidence

”
},
{
“id”: “426635”,
“title”: “Asset management”,
“path”: “Overview / Glossary / Asset management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5100,
“body”: “

Definition (EN)

Asset management is the systematic process of identifying, documenting, maintaining, and managing assets throughout their lifecycle to ensure they are protected, used appropriately, and aligned with organisational objectives.

Explanation (EN)

Asset management provides a clear and up-to-date understanding of what assets an organisation owns or uses, who is responsible for them, and how they contribute to business processes.
Assets may include information, data, hardware, software, systems, services, facilities, and people-related resources.
Effective asset management supports risk management, information security, and compliance by enabling appropriate classification, protection, and control of assets based on their value and criticality.
It forms the foundation for configuration management, risk assessments, incident management, and auditability.

Nederlandse term (NL)

Assetbeheer

Definitie (NL)

Assetbeheer is het gestructureerde proces voor het identificeren, documenteren, onderhouden en beheren van assets gedurende hun volledige levenscyclus, zodat ze beschermd worden, correct worden gebruikt en afgestemd zijn op de doelstellingen van de organisatie.

Toelichting (NL)

Assetbeheer zorgt voor een actueel en volledig overzicht van welke assets de organisatie bezit of gebruikt, wie ervoor verantwoordelijk is en hoe ze bijdragen aan de bedrijfsprocessen.
Assets omvatten onder meer informatie en gegevens, hardware, software, systemen, diensten, infrastructuur en personeelsgebonden middelen.
Doeltreffend assetbeheer ondersteunt risicobeheer, informatiebeveiliging en compliance door assets te classificeren en te beschermen in functie van hun waarde en kriticiteit.
Het vormt de basis voor configuratiebeheer, risicoanalyses, incidentbeheer en auditbaarheid.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO 55001:2014 — Asset management — Management systems
ITIL® 4:2019 — Service management practices

Related terms

Configuration management
Configuration item (CI)
Risk assessment
Information security
Asset classification
Integrity
Availability
Audit evidence

”
},
{
“id”: “918185”,
“title”: “Configuration item (CI)”,
“path”: “Overview / Glossary / Configuration item (CI)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5031,
“body”: “

Definition (EN)

A Configuration Item (CI) is any component that needs to be managed and controlled to deliver a service or support a system, and whose configuration is subject to change management.

Explanation (EN)

A configuration item can be a physical, logical, or conceptual component such as hardware, software, network devices, systems, applications, documentation, or services.
Each CI is uniquely identified, documented, and tracked within a configuration management system to maintain integrity, traceability, and control.
Changes to configuration items must be assessed, approved, implemented, and recorded through the organisation’s change management process.
CIs enable effective impact analysis, incident resolution, auditability, and compliance.

Nederlandse term (NL)

Configuratie-item (CI)

Definitie (NL)

Een configuratie-item (CI) is een component die beheerd en gecontroleerd moet worden om een dienst te leveren of een systeem te ondersteunen, en waarvan de configuratie onderworpen is aan wijzigingsbeheer.

Toelichting (NL)

Een configuratie-item kan een fysiek, logisch of conceptueel onderdeel zijn, zoals hardware, software, netwerkcomponenten, systemen, applicaties, documentatie of diensten.
Elke CI wordt uniek geïdentificeerd, gedocumenteerd en opgevolgd binnen een configuratiebeheersysteem om integriteit, traceerbaarheid en beheersing te waarborgen.
Wijzigingen aan configuratie-items moeten worden beoordeeld, goedgekeurd, doorgevoerd en geregistreerd via het wijzigingsbeheerproces van de organisatie.
Configuratie-items ondersteunen impactanalyse, incidentoplossing, auditbaarheid en compliance.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ITIL® 4:2019 — Service management practices
ISO/IEC 20000-1:2018 — Service management systems

Related terms

Configuration management
Asset management
Baseline
Change management
Change request
Change approval
Incident
Audit evidence

”
},
{
“id”: “623218”,
“title”: “Asset classification”,
“path”: “Overview / Glossary / Asset classification”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4920,
“body”: “

Definition (EN)

Asset classification is the process of categorising assets based on their value, sensitivity, criticality, and associated risks to determine appropriate protection and control measures.

Explanation (EN)

Asset classification enables organisations to apply security controls proportionally by understanding which assets require higher levels of protection.
Assets are typically classified based on factors such as confidentiality, integrity, availability, legal or regulatory requirements, and business impact.
The classification informs decisions on access control, encryption, retention, backup, monitoring, and incident response.
Asset classification is a foundational activity for risk assessment, information security management, and compliance.

Nederlandse term (NL)

Assetclassificatie

Definitie (NL)

Assetclassificatie is het proces waarbij assets worden ingedeeld op basis van hun waarde, gevoeligheid, kriticiteit en bijbehorende risico’s om passende beschermings- en beheersmaatregelen te bepalen.

Toelichting (NL)

Assetclassificatie maakt het mogelijk om beveiligingsmaatregelen proportioneel toe te passen door inzicht te krijgen in welke assets een hoger beschermingsniveau vereisen.
Assets worden doorgaans geclassificeerd op basis van criteria zoals vertrouwelijkheid, integriteit, beschikbaarheid, wettelijke of regelgevende vereisten en bedrijfsimpact.
De classificatie stuurt beslissingen over toegangsbeheer, encryptie, bewaartermijnen, back-up, monitoring en incidentrespons.
Assetclassificatie vormt een basisactiviteit voor risicoanalyse, informatiebeveiligingsbeheer en compliance.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27005:2022 — Information security risk management
NIST SP 800-60 Rev. 2 — Guide for Mapping Types of Information and Information Systems

Related terms

Asset management
Information asset
Risk assessment
Confidentiality
Integrity
Availability
Data classification
Control

”
},
{
“id”: “623225”,
“title”: “Data classification”,
“path”: “Overview / Glossary / Data classification”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4957,
“body”: “

Definition (EN)

Data classification is the process of categorising data based on its sensitivity, value, and regulatory or business requirements in order to apply appropriate protection measures.

Explanation (EN)

Data classification helps organisations determine how data should be handled, stored, accessed, transmitted, and protected throughout its lifecycle.
Data is commonly classified into levels such as public, internal, confidential, or restricted, depending on the potential impact of unauthorised disclosure, alteration, or loss.
The classification guides the application of controls such as access restrictions, encryption, retention periods, monitoring, and incident response.
Data classification is essential for information security, privacy protection, and compliance with legal and regulatory requirements.

Nederlandse term (NL)

Dataclassificatie

Definitie (NL)

Dataclassificatie is het proces waarbij gegevens worden ingedeeld op basis van hun gevoeligheid, waarde en wettelijke of bedrijfsvereisten om passende beschermingsmaatregelen toe te passen.

Toelichting (NL)

Dataclassificatie ondersteunt organisaties bij het bepalen hoe gegevens moeten worden verwerkt, opgeslagen, geraadpleegd, verzonden en beschermd gedurende hun volledige levenscyclus.
Gegevens worden vaak ingedeeld in niveaus zoals openbaar, intern, vertrouwelijk of strikt vertrouwelijk, afhankelijk van de impact van ongeoorloofde openbaarmaking, wijziging of verlies.
De classificatie stuurt de toepassing van maatregelen zoals toegangsbeperkingen, encryptie, bewaartermijnen, monitoring en incidentrespons.
Dataclassificatie is essentieel voor informatiebeveiliging, privacybescherming en naleving van wettelijke en regelgevende verplichtingen.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27005:2022 — Information security risk management
GDPR (EU) 2016/679

Related terms

Asset classification
Information asset
Personal data
Privacy
Confidentiality
Integrity
Availability
Data lifecycle

”
},
{
“id”: “918217”,
“title”: “Information asset”,
“path”: “Overview / Glossary / Information asset”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5379,
“body”: “

Definition (EN)

An information asset is any information or data that has value to the organisation and therefore requires protection throughout its lifecycle.

Explanation (EN)

Information assets include structured and unstructured data such as documents, databases, records, reports, images, emails, logs, and knowledge, regardless of the medium on which they are stored or processed.
They support business processes, decision-making, service delivery, and compliance obligations.
Information assets must be identified, classified, assigned an owner, and protected according to their confidentiality, integrity, availability, and other applicable requirements such as privacy and legal obligations.
Managing information assets is fundamental to effective risk management, information security, and governance.

Nederlandse term (NL)

Informatieasset

Definitie (NL)

Een informatieasset is alle informatie of gegevens die waarde hebben voor de organisatie en die daarom gedurende hun volledige levenscyclus beschermd moeten worden.

Toelichting (NL)

Informatieassets omvatten gestructureerde en ongestructureerde gegevens zoals documenten, databanken, dossiers, rapporten, afbeeldingen, e-mails, logbestanden en kennis, ongeacht het medium waarop ze worden opgeslagen of verwerkt.
Ze ondersteunen bedrijfsprocessen, besluitvorming, dienstverlening en complianceverplichtingen.
Informatieassets moeten worden geïdentificeerd, geclassificeerd, toegewezen aan een eigenaar en beschermd in functie van vertrouwelijkheid, integriteit, beschikbaarheid en andere toepasselijke vereisten zoals privacy en wetgeving.
Het beheer van informatieassets vormt een fundament voor risicobeheer, informatiebeveiliging en governance.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27005:2022 — Information security risk management
ISO 55001:2014 — Asset management — Management systems

Related terms

Asset management
Asset classification
Data classification
Information security
Confidentiality
Integrity
Availability
Personal data
Asset owner

”
},
{
“id”: “426679”,
“title”: “Data lifecycle”,
“path”: “Overview / Glossary / Data lifecycle”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5263,
“body”: “

Definition (EN)

The data lifecycle describes the stages through which data passes from creation to final disposal, including how it is processed, stored, used, shared, retained, and deleted.

Explanation (EN)

The data lifecycle provides a structured view of how data is handled throughout its existence within an organisation.
Typical stages include data creation or collection, storage, use, sharing or transmission, archiving or retention, and secure deletion or destruction.
Understanding the data lifecycle enables organisations to apply appropriate security, privacy, and compliance controls at each stage, such as access control, encryption, retention rules, and deletion procedures.
Effective lifecycle management reduces risks related to data leakage, unauthorised use, data loss, and non-compliance with legal and regulatory requirements.

Nederlandse term (NL)

Gegevenslevenscyclus

Definitie (NL)

De gegevenslevenscyclus beschrijft de opeenvolgende fasen die gegevens doorlopen vanaf creatie tot definitieve verwijdering, inclusief verwerking, opslag, gebruik, uitwisseling, bewaring en vernietiging.

Toelichting (NL)

De gegevenslevenscyclus biedt een gestructureerd overzicht van hoe gegevens gedurende hun bestaan binnen de organisatie worden beheerd.
Typische fasen zijn het verzamelen of creëren van gegevens, opslag, gebruik, delen of overdracht, archivering of bewaring, en veilige verwijdering of vernietiging.
Inzicht in de gegevenslevenscyclus maakt het mogelijk om per fase passende beveiligings-, privacy- en compliancemaatregelen toe te passen, zoals toegangsbeheer, encryptie, bewaartermijnen en verwijderprocedures.
Goed beheer van de gegevenslevenscyclus verkleint de risico’s op datalekken, ongeoorloofd gebruik, gegevensverlies en niet-naleving van wet- en regelgeving.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27701:2019 — Privacy information management
GDPR (EU) 2016/679

Related terms

Data classification
Information asset
Personal data
Privacy
Retention
Secure deletion
Confidentiality
Integrity
Availability

”
},
{
“id”: “819898”,
“title”: “Asset owner”,
“path”: “Overview / Glossary / Asset owner”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5072,
“body”: “

Definition (EN)

An asset owner is the person or role accountable for an asset, responsible for ensuring that it is appropriately classified, protected, and managed throughout its lifecycle.

Explanation (EN)

The asset owner has overall accountability for an asset and ensures that security, privacy, and compliance requirements are defined and applied.
This includes determining the asset’s classification, approving access rights, ensuring appropriate controls are in place, and reviewing risks related to the asset.
Asset ownership does not necessarily imply technical management; operational responsibilities may be delegated, but accountability remains with the asset owner.
Clear asset ownership supports effective governance, risk management, and auditability.

Nederlandse term (NL)

Asseteigenaar

Definitie (NL)

De asseteigenaar is de persoon of rol die eindverantwoordelijk is voor een asset en ervoor instaat dat deze correct wordt geclassificeerd, beschermd en beheerd gedurende de volledige levenscyclus.

Toelichting (NL)

De asseteigenaar draagt de eindverantwoordelijkheid voor een asset en ziet erop toe dat beveiligings-, privacy- en compliancevereisten worden vastgelegd en toegepast.
Dit omvat onder meer het bepalen van de classificatie, het goedkeuren van toegangsrechten, het waarborgen van passende maatregelen en het opvolgen van risico’s die verband houden met de asset.
Asseteigenaarschap betekent niet noodzakelijk dat de eigenaar instaat voor het technisch beheer; operationele taken kunnen gedelegeerd worden, terwijl de eindverantwoordelijkheid behouden blijft.
Duidelijk asseteigenaarschap ondersteunt governance, risicobeheer en auditbaarheid.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27005:2022 — Information security risk management
ISO 55001:2014 — Asset management — Management systems

Related terms

Asset management
Information asset
Data classification
Risk owner
Accountability
Governance
RASCI
Audit evidence

”
},
{
“id”: “1147538”,
“title”: “Data retention”,
“path”: “Overview / Glossary / Data retention”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 4967,
“body”: “

Definition (EN)

Data retention is the defined period during which data must be stored and maintained before it is securely deleted or destroyed, based on legal, regulatory, contractual, and business requirements.

Explanation (EN)

Data retention ensures that data is kept for no longer and no shorter than necessary.
Retention periods are determined by applicable laws and regulations, contractual obligations, operational needs, and risk considerations.
Effective data retention supports compliance, auditability, accountability, and privacy by ensuring that data remains available when required and is removed when no longer justified.
Data retention rules must be documented, communicated, and consistently applied across the entire data lifecycle.

Nederlandse term (NL)

Gegevensbewaring / bewaartermijn voor gegevens

Definitie (NL)

Dataretentie is de vastgelegde periode waarin gegevens moeten worden bewaard voordat ze veilig worden verwijderd of vernietigd, op basis van wettelijke, regelgevende, contractuele en bedrijfsvereisten.

Toelichting (NL)

Dataretentie zorgt ervoor dat gegevens niet langer en niet korter worden bewaard dan noodzakelijk.
Bewaartermijnen worden bepaald door toepasselijke wet- en regelgeving, contractuele verplichtingen, operationele noden en risico-overwegingen.
Correct dataretentiebeheer ondersteunt compliance, auditbaarheid, verantwoording en privacy door gegevens beschikbaar te houden zolang nodig en tijdig te verwijderen wanneer er geen rechtvaardiging meer is.
Dataretentieregels moeten worden vastgelegd, gecommuniceerd en consequent toegepast over de volledige gegevenslevenscyclus.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27701:2019 — Privacy information management
GDPR (EU) 2016/679

Related terms

Data lifecycle
Data classification
Information asset
Personal data
Privacy
Secure deletion
Audit evidence
Compliance

”
},
{
“id”: “1147550”,
“title”: “Secure deletion”,
“path”: “Overview / Glossary / Secure deletion”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5074,
“body”: “

Definition (EN)

Secure deletion is the process of permanently and irreversibly removing data so that it cannot be recovered, reconstructed, or accessed after deletion.

Explanation (EN)

Secure deletion ensures that data is destroyed in a manner appropriate to its classification, sensitivity, and associated risks.
It goes beyond standard deletion methods by preventing recovery through technical, forensic, or administrative means.
Secure deletion methods may include cryptographic erasure, overwriting, physical destruction of storage media, or other approved techniques.
It is a critical control for privacy protection, compliance, and risk management, particularly at the end of the data lifecycle.

Nederlandse term (NL)

Veilige verwijdering van gegevens

Definitie (NL)

Veilige gegevensverwijdering is het proces waarbij gegevens permanent en onomkeerbaar worden verwijderd, zodat herstel, reconstructie of verdere toegang onmogelijk is.

Toelichting (NL)

Veilige gegevensverwijdering zorgt ervoor dat gegevens worden vernietigd op een manier die afgestemd is op hun classificatie, gevoeligheid en bijbehorende risico’s.
Ze gaat verder dan standaardverwijdering door te voorkomen dat gegevens technisch, forensisch of administratief kunnen worden hersteld.
Methoden voor veilige verwijdering kunnen onder meer cryptografische vernietiging, overschrijven, fysieke vernietiging van opslagmedia of andere goedgekeurde technieken omvatten.
Veilige gegevensverwijdering is een essentiële maatregel voor privacybescherming, compliance en risicobeheer, vooral aan het einde van de gegevenslevenscyclus.

Source

ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27002:2022 — Information security controls
ISO/IEC 27701:2019 — Privacy information management
GDPR (EU) 2016/679

Related terms

Data retention
Data lifecycle
Data classification
Information asset
Personal data
Privacy
Risk management
Audit evidence

”
},
{
“id”: “426704”,
“title”: “Risk owner”,
“path”: “Overview / Glossary / Risk owner”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5136,
“body”: “

Definition (EN)

A risk owner is the person or role accountable for managing a specific risk, including deciding on risk treatment, acceptance, monitoring, and escalation.

Explanation (EN)

The risk owner is responsible for ensuring that a risk is identified, assessed, treated, and monitored in line with the organisation’s risk management framework and risk appetite.
This includes selecting appropriate risk treatment options, accepting residual risk where justified, and ensuring that controls are implemented and effective.
While operational tasks may be delegated, accountability for the risk remains with the risk owner.
Clear assignment of risk ownership supports governance, transparency, decision-making, and auditability.

Nederlandse term (NL)

Risico-eigenaar

Definitie (NL)

De risico-eigenaar is de persoon of rol die eindverantwoordelijk is voor het beheren van een specifiek risico, inclusief de beslissing over risicobehandeling, risicodragerschap, opvolging en escalatie.

Toelichting (NL)

De risico-eigenaar is verantwoordelijk voor het identificeren, analyseren, behandelen en monitoren van risico’s in overeenstemming met het risicomanagementkader en de risico-appetijt van de organisatie.
Dit omvat het kiezen van passende risicobehandelingsmaatregelen, het aanvaarden van restrisico’s waar verantwoord en het toezien op de effectiviteit van maatregelen.
Operationele taken kunnen gedelegeerd worden, maar de eindverantwoordelijkheid voor het risico blijft bij de risico-eigenaar.
Duidelijke toewijzing van risico-eigenaarschap ondersteunt governance, transparantie, besluitvorming en auditbaarheid.

Source

ISO 31073:2022 — Risk management — Vocabulary
ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems — Requirements
ISO/IEC 27005:2022 — Information security risk management

Related terms

Risk management
Risk assessment
Risk treatment
Risk acceptance
Residual risk
Risk appetite
Accountability
Governance

”
},
{
“id”: “918322”,
“title”: “Executive management”,
“path”: “Overview / Glossary / Executive management”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “623360”,
“title”: “Risk communication”,
“path”: “Overview / Glossary / Risk communication”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1769496”,
“title”: “Risk awareness”,
“path”: “Overview / Glossary / Risk awareness”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “918329”,
“title”: “Policy requirements”,
“path”: “Overview / Glossary / Policy requirements”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147656”,
“title”: “Approval”,
“path”: “Overview / Glossary / Approval”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “623383”,
“title”: “Review”,
“path”: “Overview / Glossary / Review”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “1147687”,
“title”: “Risk analysis”,
“path”: “Overview / Glossary / Risk analysis”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5837,
“body”: “

Definition (EN)

A risk register is a structured and maintained repository that documents identified risks, their characteristics, and the organisation’s decisions regarding their treatment and monitoring.

Definitie (NL)

Een risicoregister is een gestructureerd en onderhouden overzicht waarin geïdentificeerde risico’s, hun kenmerken en de beslissingen over hun behandeling en opvolging worden vastgelegd.

Explanation (EN)

Toelichting (NL)

Related terms

Risk
Risk assessment
Risk analysis
Risk treatment
Risk owner
Risk appetite
Risk tolerance
Residual risk
Monitoring
Escalation

Normative references

ISO 31073:2022 — Risk management — Vocabulary
ISO 31000:2018 — Risk management — Guidelines
ISO/IEC 27001:2022 — Information security management systems

”
},
{
“id”: “5668866”,
“title”: “Security”,
“path”: “Overview / Glossary / Security”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “11632645”,
“title”: “Inherent risk”,
“path”: “Overview / Glossary / Inherent risk”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “12484611”,
“title”: “Target risk rating”,
“path”: “Overview / Glossary / Target risk rating”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 202,
“body”: “

The target risk rating of an issue is the residual risk rating that will be achieved after implementation of all Action Plans to resolve the issue.

”
},
{
“id”: “11829258”,
“title”: “People”,
“path”: “Overview / Glossary / People”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “12484618”,
“title”: “System”,
“path”: “Overview / Glossary / System”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “11730961”,
“title”: “External event”,
“path”: “Overview / Glossary / External event”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “12419089”,
“title”: “Vulnerability”,
“path”: “Overview / Glossary / Vulnerability”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 624,
“body”: “

Definition (EN)

An “vulnerability” means a gap in the control environment, caused by the absence or ineffectiveness of one or multiple controls that needs to be treated to prevent an incident or loss/adverse event from happening.

”
},
{
“id”: “11731066”,
“title”: “Action Plan”,
“path”: “Overview / Glossary / Action Plan”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 67,
“body”: “

Actieplan

”
},
{
“id”: “12648488”,
“title”: “Risk event”,
“path”: “Overview / Glossary / Risk event”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 122,
“body”: “

Risico-event

”
},
{
“id”: “12910614”,
“title”: “Impact”,
“path”: “Overview / Glossary / Impact”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 63,
“body”: “

Impact

”
},
{
“id”: “11829346”,
“title”: “Likelihood”,
“path”: “Overview / Glossary / Likelihood”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 75,
“body”: “

Waarschijnlijkheid

”
},
{
“id”: “12681252”,
“title”: “Risk Matrix”,
“path”: “Overview / Glossary / Risk Matrix”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 70,
“body”: “

Risico-matrix

”
},
{
“id”: “12943373”,
“title”: “Risk treatment options”,
“path”: “Overview / Glossary / Risk treatment options”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 81,
“body”: “

Risicobeoordelingsopties

”
},
{
“id”: “12517437”,
“title”: “Threat actor”,
“path”: “Overview / Glossary / Threat actor”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 124,
“body”: “

Dreigingsactor

”
},
{
“id”: “12812316”,
“title”: “Risk scenario”,
“path”: “Overview / Glossary / Risk scenario”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 71,
“body”: “

Risicoscenario

”
},
{
“id”: “14352385”,
“title”: “Laterale beweging”,
“path”: “Overview / Glossary / Laterale beweging”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 2204,
“body”: “

Een aanvaller die al binnen is, gebruikt zijn toegang om zich zijwaarts door het netwerk te verplaatsen, van systeem naar systeem, tot hij overal kan komen.

Stel:

De aanvaller komt binnen via:
- één pc
- één account
- één phishingmail

Dat is één kamer in het ziekenhuis.

Laterale beweging is:

van die kamer → naar de gang
van de gang → naar andere kamers
uiteindelijk → naar:
- de apotheek
- het labo
- de sleutelkamer (Active Directory)

Zonder ooit opnieuw “in te breken”.

”
},
{
“id”: “14647297”,
“title”: “C-CIRT”,
“path”: “Overview / Glossary / C-CIRT”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 7439,
“body”: “

C-CIRT is het interne kernteam dat een organisatie activeert bij een cyberincident (zoals ransomware), om:

de impact te beperken
juiste beslissingen te nemen
technische acties, communicatie en governance te coördineren

Het is geen IT-team, en ook geen crisiscel alleen — maar de schakel daartussen.

Waarom een C-CIRT bestaat

Bij een cyberincident lopen drie werelden tegelijk:

Technisch
- forensics
- containment
- herstel
Operationeel
- zorgcontinuïteit
- beschikbaarheid
- alternatieve procedures
Bestuurlijk / juridisch
- beslissingen
- meldplichten (GDPR, NIS2)
- communicatie

Zonder C-CIRT praat iedereen langs elkaar heen.

Wat doet een C-CIRT concreet?

Typische verantwoordelijkheden:

🔹 Incidentcoördinatie

incident classificeren (ernst, scope)
prioriteiten bepalen
escalaties beslissen

🔹 Besluitvorming

bij ransomware: betalen of niet betalen
systemen offline houden of heropstarten
externe partijen inschakelen

🔹 Afstemming

IT & security
directie & management
juridische dienst / DPO
communicatie / pers

🔹 Documentatie

tijdslijn van het incident
beslissingen + motivatie
lessons learned

Wie zit er in een C-CIRT?

Afhankelijk van de organisatie, maar typisch:

Incident lead / CISO
IT / security verantwoordelijke
DPO / legal
Operations (in ziekenhuis: zorgcontinuïteit)
Communicatie
Externe experten (CCB, forensics) → adviserend

Niet iedereen voert acties uit, maar iedereen beslist of valideert.

Wat een C-CIRT NIET is

→ Geen dagelijkse IT-operatie
–> Geen puur technisch team
–> Geen vrijblijvende werkgroep

➡️ Het is een formeel crisisorgaan met mandaat.

De C-CIRT is het formele orgaan dat tijdens een cyberincident beslissingen coördineert over techniek, continuïteit, communicatie en compliance.

”
},
{
“id”: “15466497”,
“title”: “Centrale Sterilisatie Afdeling (CSA)”,
“path”: “Overview / Glossary / Centrale Sterilisatie Afdeling (CSA)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 5684,
“body”: “

CSA staat voor Centrale Sterilisatie Afdeling, (soms ook CSSD – Central Sterile Services Department genoemd).

Wat doet de CSA concreet?

De CSA is verantwoordelijk voor:

Reinigen
Desinfecteren
Steriliseren
Verpakken
Vrijgeven

van:

chirurgische instrumenten
endoscopen
medische sets
materiaal voor OK en dagziekenhuis

Zonder CSA kan een operatie niet veilig doorgaan.

Waarom CSA extreem kritisch is

CSA is een onzichtbare maar absolute bottleneck:

OK kan niet werken zonder steriele instrumenten
Dagziekenhuis evenmin
Infectierisico’s stijgen exponentieel zonder correcte tracing

In crisistermen:

CSA = single point of failure voor chirurgie

Wat CSA digitaal nodig heeft:

CSA is sterk afhankelijk van IT voor:

Instrumententracking
- welke set bij welke patiënt
- traceerbaarheid (wettelijk verplicht)
Sterilisatiecycli
- tijd, temperatuur, druk
Vrijgave- en kwaliteitsregistratie
Planning OK ↔ CSA

Dit verloopt via:

gespecialiseerde CSA-software
koppeling met EPD / OK-planning

Wat betekent dit in een cyber-incident?

Als CSA-systemen uitvallen:

❌ geen digitale traceerbaarheid
❌ risico op niet-conforme sterilisatie
❌ OK’s moeten worden afgelast of beperkt
❌ wettelijke non-compliance (inspectie!)

CSA vereist daarom zeer hoge prioriteit bij herstel of data-extractie.

”
},
{
“id”: “20414465”,
“title”: “Web information system”,
“path”: “Overview / Glossary / Web information system”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 235,
“body”: “

Web informatiesysteem

Informatiesysteem dat via een webbrowser wordt gebruikt, zonder lokale installatie op het eindtoestel.

”
},
{
“id”: “20545537”,
“title”: “Fat client”,
“path”: “Overview / Glossary / Fat client”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 201,
“body”: “

Informatiesysteem waarvan de software lokaal op het eindtoestel is geïnstalleerd en daar een belangrijk deel van de functionaliteit uitvoert.

”
},
{
“id”: “20611073”,
“title”: “Client information system”,
“path”: “Overview / Glossary / Client information system”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 273,
“body”: “

Client informatiesysteem

Informatiesysteem dat fungeert als gebruikersinterface en afhankelijk is van een achterliggende server voor verwerking en gegevensopslag.

”
},
{
“id”: “20381700”,
“title”: “Server software”,
“path”: “Overview / Glossary / Server software”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 209,
“body”: “

Informatiesysteem dat op een server draait en applicaties, gegevens of technische diensten ondersteunt zonder rechtstreekse interactie met eindgebruikers.

”
},
{
“id”: “77168641”,
“title”: “Standards”,
“path”: “Overview / Glossary / Standards”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1110,
“body”: “

Definition Compliance Forge Reference Model

Standards are mandatory requirements in regard to processes, actions, and configurations that are designed to satisfy Controls & Control Objectives.

Standards are intended to be granular and prescriptive to establish Minimum Security Requirements(MSR) that ensure systems, applications and processes are designed and operated to include appropriate cybersecurity and data privacy protections.

Every Standard Maps To A Control Objective

Every Control Maps to A Standard

”
},
{
“id”: “77299713”,
“title”: “Guideline definition”,
“path”: “Overview / Glossary / Guideline definition”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 687,
“body”: “

Definition by ComplianceForge Reference Model

Guidelines are recommended practices that are based on industry-recognized
secure practices.

Guidelines help augment Standards when discretion is permissible.

Unlike Standards, Guidelines allow individuals/ teams to apply discretion
or leeway in interpretation, implementation, or use.

Guidelines Support Applicable Standards

”
},
{
“id”: “77725697”,
“title”: “Assessment Objectives AOs)”,
“path”: “Overview / Glossary / Assessment Objectives AOs)”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 642,
“body”: “

Definition by ComplianceForge Reference Model

Assessment Objectives(AOs) are a set of determination statements that express the desired outcome for the assessment of a Control.
AOs are the authoritative source of guidance for assessing controls to generate evidence to support the assertion that the underlying Control has been satisfied.

”
},
{
“id”: “77168650”,
“title”: “Threat”,
“path”: “Overview / Glossary / Threat”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 899,
“body”: “

Definition ComplianceForge Reference Model

Threats represent a person or thing likely to cause damage or danger (noun) or to indicate impending damage or danger (verb).
In practical terms, a threat is a possible natural or man-made event that affects Control execution. (e.g., if the threat materializes, will the control function as expected?)
An organization should maintain a "threat catalog" that contains organization-specific natural and man-made threats that are applicable to its business operations and technologies in use.

”
},
{
“id”: “77496324”,
“title”: “Metrics”,
“path”: “Overview / Glossary / Metrics”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 1475,
“body”: “

Definition ComplianceForge Reference Model

Metrics provide a "point in time" view of specific, discrete measurements, unlike trending and analytics that are derived by comparing a baseline of two or more measurements taken over a
period of time.
Analytics are generated from the analysis of metrics.
Analytics are designed to facilitate decision-making, evaluate performance and improve accountability through the collection, analysis and reporting of relevant performance-related data.
Good metrics are those that are SMART
- Specific
- Measurable
- Attainable
- Repeatable
- Time-dependent

Every Metric Maps To a Control

”
},
{
“id”: “77135886”,
“title”: “TLP – Het Traffic Light Protocol”,
“path”: “Overview / Glossary / TLP – Het Traffic Light Protocol”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 8357,
“body”: “

Bron: Het Traffic Light Protocol (TLP) | CCB Safeonweb

Wat is TLP?

Het protocol vereist dat de persoon die informatie verstuurt, deze een kleur toekent aan de hand van een kleurcode. Deze kleur geeft aan of en op welke manieren deze informatie verder mag worden verspreid. Iemand die informatie ontvangt en van mening is dat bepaalde informatie op grotere schaal kan worden verspreid, moet eerst toestemming vragen aan de afzender.

Waarom TLP gebruiken?

Organisaties werken vaak nauw samen met verschillende (internationale) organisaties. Uitwisselen van inforamte vraagt vertrouwen tussen alle betrokken partijen. Duidelijke regels en afspraken voor het delen van informatie kunnen dit wederzijdse vertrouwen waarborgen.

Het TLP biedt een eenvoudig en intuïtief schema om aan te geven wanneer en hoe gevoelige informatie kan worden verspreid.

Het delen van deze informatie zorgt voor een frequentere en effectievere samenwerking tussen organisaties.

Kleuren en hun betekenissen

De vier TLP-labels zijn:

TLP:RED
TLP:AMBER
TLP:GREEN
TLP:CLEAR

In augustus 2022 werd versie 2 uitgebracht door FIRST, de ontwikkelaar van TLP. Er zijn twee belangrijke wijzigingen ten opzichte van de eerste versie:

TLP:WHITE wordt vervangen door TLP:CLEAR
TLP:AMBER+STRICT wordt geïntroduceerd om aan te geven dat informatie alleen binnen de organisatie van de ontvanger mag worden gedeeld.

Gebruik

Volgens FIRST zijn de richtlijnen voor het gebruik van TLP als volgt:

In berichten (e-mail, chat)

Berichten met een TLP-label moeten het TLP-label van de informatie bevatten, evenals eventuele aanvullende beperkingen, direct voor de informatie zelf. Het TLP-label moet in de onderwerpregel van de e-mail worden vermeld. Geef indien van toepassing aan waar de tekst eindigt waarop het TLP-label van toepassing is.

In documenten

Documenten met een TLP-label moeten het TLP-label van de informatie en eventuele aanvullende beperkingen in de koptekst van elke pagina vermelden. Het TLP-label moet in een lettertype van 12 punten of groter worden weergegeven voor gebruikers met een verminderd gezichtsvermogen. Het wordt aanbevolen om TLP-labels rechts uit te lijnen.

De norm van FIRST schrijft voor dat kleuren op een zwarte achtergrond moeten worden gebruikt. De CCB wijkt echter soms om praktische redenen af van deze eis.

In schriftelijke vorm mogen alle TLP-labels GEEN spaties bevatten en MOETEN ze in hoofdletters worden geschreven. TLP-labels MOETEN in hun oorspronkelijke vorm blijven, zelfs wanneer ze in andere talen worden gebruikt: de inhoud kan worden vertaald, maar de labels niet.

TLP	Wanneer	Bronnen	Ontvangers
🔴 TLP:RED	Alleen voor de ogen en oren van individuele ontvangers, geen verdere openbaarmaking.	Bronnen kunnen TLP:GREEN gebruiken wanneer informatie nuttig is om het bewustzijn binnen hun bredere gemeenschap te vergroten.	Ontvangers mogen TLP:GREEN-informatie delen met collega’s en partnerorganisaties binnen hun gemeenschap, maar niet via openbaar toegankelijke kanalen. TLP:GREEN-informatie mag niet buiten de gemeenschap worden gedeeld.
🟠 TLP:AMBER	Beperkte openbaarmaking, ontvangers mogen deze informatie alleen verspreiden binnen hun organisatie en aan hun klanten op basis van ‘need-to-know’.	Bronnen kunnen TLP:AMBER gebruiken wanneer informatie ondersteuning vereist om effectief te kunnen worden gebruikt, maar een risico vormt voor de privacy, reputatie of activiteiten als deze buiten de betrokken organisaties wordt gedeeld.	Ontvangers mogen TLP:AMBER-informatie delen met leden van hun eigen organisatie en haar klanten, maar alleen op basis van need-to-know om hun organisatie en haar klanten te beschermen en verdere schade te voorkomen.
🟠 TLP:AMBER +STRICT	Dezelfde regels als TLP:AMBER zijn van toepassing (zie hierboven), maar TLP:AMBER+STRICT beperkt het delen tot alleen de organisatie.	Als de bron het delen wil beperken tot alleen de organisatie,	Dezelfde regels als TLP:AMBER zijn van toepassing (zie hierboven), maar TLP:AMBER+STRICT beperkt het delen tot alleen de organisatie.
🟢TLP:GREEN	Beperkte openbaarmaking, ontvangers mogen deze informatie binnen hun gemeenschap verspreiden.	Bronnen kunnen TLP:GREEN gebruiken wanneer informatie nuttig is om het bewustzijn binnen hun bredere gemeenschap te vergroten.	Ontvangers mogen TLP:GREEN-informatie delen met collega’s en partnerorganisaties binnen hun gemeenschap, maar niet via openbaar toegankelijke kanalen. TLP:GREEN-informatie mag niet buiten de gemeenschap worden gedeeld.
⚪ TLP:CLEAR	Ontvangers mogen deze informatie wereldwijd verspreiden, er is geen beperking op openbaarmaking.	Bronnen mogen TLP:CLEAR gebruiken wanneer informatie een minimaal of geen voorzienbaar risico op misbruik met zich meebrengt, in overeenstemming met de toepasselijke regels en procedures voor openbare bekendmaking. Onder voorbehoud van de standaardregels inzake auteursrecht mag TLP:CLEAR-informatie zonder beperkingen worden gedeeld.

”
},
{
“id”: “21037062”,
“title”: “Templates”,
“path”: “Overview / Templates”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 53,
“body”: “

”
},
{
“id”: “36372553”,
“title”: “Principles Statement template”,
“path”: “Overview / Templates / Principles Statement template”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 13784,
“body”: “

Principesverklaring– [Naam Managementsysteem]

Inleiding

Wij, Bestuur en Directie, leggen met deze principes vast waarom wij dit managementsysteem binnen de organisatie op deze manier organiseren en aansturen.

Deze principes verwoorden onze fundamentele overtuigingen en bewuste keuzes, en bepalen wat voor ons richtinggevend is bij besluitvorming, prioritering en afwegingen — ook wanneer omstandigheden, risico’s of verwachtingen veranderen.

Wij vertrekken steeds van de verplichte naleving van toepasselijke wet- en regelgeving.
Binnen dat kader maken wij expliciete keuzes in de manier waarop relevante normen, standaarden en goede praktijken worden toegepast, volgens een ‘best of worlds’-benadering.

Deze principes:

zijn ingebed in het organisatiebrede Governance, Risk & Compliance (GRC)-kader,
vormen een stabiel en normatief referentiepunt,
en worden slechts uitzonderlijk herzien, bijvoorbeeld bij ingrijpende strategische wijzigingen of fundamentele veranderingen in de context.

De principes beantwoorden het waarom van dit managementsysteem.
Zij bepalen niet hoe processen zijn ingericht, noch welke concrete maatregelen worden genomen.

Alle verdere uitwerkingen — waaronder frameworks, beleidsdocumenten, processen, beheersmaatregelen en verbeterinitiatieven — zijn afgeleid van en ondergeschikt aan deze principes.

Principes

Principe 1 – Bestuurlijke verantwoordelijkheid en leiderschap

Duiding – waarom dit principe?760

Dit principe bevestigt dat het onderwerp van dit managementsysteem een verantwoordelijkheid is van Bestuur en Directie.

Governance, richting en prioriteiten kunnen niet gedelegeerd worden naar louter operationele of technische niveaus. Door bestuurlijk eigenaarschap expliciet vast te leggen, waarborgen wij dat beslissingen, middelen en verantwoordelijkheden in lijn zijn met de strategische doelstellingen en de maatschappelijke verantwoordelijkheid van de organisatie.

Principe 2 – Risiogebaseerde benadering

Duiding – waarom dit principe?760

Dit principe benadrukt dat wij sturen op bewuste risicoafwegingen, niet op checklists of loutere naleving.

Risico’s maken expliciet waar keuzes nodig zijn, waar prioriteiten liggen en waar proportionaliteit vereist is. Door een risicogebaseerde benadering te hanteren, creëren wij focus, transparantie en consistentie in besluitvorming, ook wanneer middelen beperkt zijn of belangen conflicteren.

Principe 3 – Bescherming van [de kernassets in dit managementsysteem]

Duiding – waarom dit principe?760

Elk managementsysteem bestaat omdat wij iets van waarde willen beschermen.

Dit principe maakt expliciet welke kernassets binnen dit domein centraal staan en richtinggevend zijn voor risicobeoordeling en besluitvorming. Door deze expliciet te benoemen, voorkomen wij versnippering en zorgen wij dat maatregelen steeds in functie staan van wat werkelijk beschermd moet worden.

Principe 4 – Gelaagde en samenhangende beheersing

Duiding – waarom dit principe?760

Geen enkel risico kan effectief worden beheerst met één enkele maatregel.

Dit principe benadrukt het belang van een gelaagde en samenhangende benadering, waarin preventie, detectie, respons en herstel elkaar versterken. Door beheersing in samenhang te organiseren, verhogen wij de weerbaarheid van de organisatie en vermijden wij afhankelijkheid van individuele maatregelen of personen.

Principe 5 – Integratie in organisatie en businessprocessen

Duiding – waarom dit principe?760

Een managementsysteem heeft alleen waarde als het integraal deel uitmaakt van de organisatie en haar werking.

Dit principe waarborgt dat het domein geen losstaand programma wordt, maar ingebed is in processen, besluitvorming en dagelijkse activiteiten. Integratie zorgt ervoor dat risico’s tijdig worden herkend en beheerst, en dat het managementsysteem de organisatiedoelstellingen ondersteunt in plaats van belemmert.

Principe 6 – Samenhang met andere managementsystemen

Waarom dit principe?760

Risico’s en verantwoordelijkheden stoppen niet aan de grenzen van één managementsysteem.

Dit principe erkent de onderlinge afhankelijkheden tussen managementsystemen en voorkomt silo-denken. Door samenhang expliciet te borgen, zorgen wij voor consistente keuzes, gedeelde inzichten en een geïntegreerde benadering van governance, risico en beheersing over de volledige organisatie.

Principe 7 – Naleving van wetgeving, normen en verplichtingen

Waarom dit principe?760

Naleving van wet- en regelgeving is geen keuze, maar een fundamentele bestuurlijke verantwoordelijkheid.

Dit principe waarborgt dat wettelijke verplichtingen, contractuele afspraken en normatieve vereisten structureel worden meegenomen in besluitvorming. Door compliance expliciet als principe te verankeren, voorkomen wij ad-hoc interpretaties en creëren wij aantoonbaarheid en vertrouwen bij toezichthouders en stakeholders.

Principe 8 – Duidelijke rollen, verantwoordelijkheden en bewustzijn

Duiding – waarom dit principe760

Zonder duidelijke verantwoordelijkheden kan geen enkel managementsysteem effectief functioneren.

Dit principe benadrukt dat iedereen binnen de organisatie een rol heeft, afgestemd op zijn of haar verantwoordelijkheid en context. Door rollen, verantwoordelijkheden en bewustzijn expliciet te maken, versterken wij eigenaarschap, consistent gedrag en correcte toepassing van afspraken.

Principe 9 – Duurzame en verantwoorde besluitvorming

Duiding – waarom dit principe?760

Dit principe benadrukt dat governance en risicobeheer niet waardenvrij zijn.

Beslissingen binnen een managementsysteem hebben niet alleen impact op de organisatie zelf, maar ook op mensen, maatschappij en milieu, vandaag en in de toekomst. Door duurzaamheid expliciet als principe te verankeren, waarborgen wij dat korte-termijnoptimalisaties niet ten koste gaan van sociale verantwoordelijkheid of ecologische draagkracht.

Dit principe fungeert als een ethisch en langetermijnkompas bij alle beslissingen, aanvullend op risico, compliance en efficiëntie, en is richtinggevend voor alle managementsystemen binnen de organisatie.

Principe 10 – Continue verbetering

Duiding – waarom dit principe760

Organisaties, risico’s en context veranderen voortdurend.

Dit principe waarborgt dat het managementsysteem geen statisch geheel wordt, maar zich blijft aanpassen en verbeteren. Door systematisch te leren uit ervaringen, incidenten en veranderingen, behouden wij de effectiviteit, relevantie en toekomstbestendigheid van het managementsysteem.

Samenvattend

Deze principes vormen het gezaghebbende en richtinggevende fundament voor de inrichting, aansturing en verdere ontwikkeling van dit managementsysteem.

Zij geven richting aan besluitvorming, prioritering en afwegingen, en zorgen voor samenhang, consistentie en duidelijkheid in hoe het betreffende domein binnen de organisatie wordt bestuurd en beheerst.

De principes vormen het vaste referentiepunt voor alle verdere uitwerkingen binnen het managementsysteem en blijven richtinggevend zolang zij door Bestuur en Directie worden onderschreven

”
},
{
“id”: “623556”,
“title”: “Policy template”,
“path”: “Overview / Templates / Policy template”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 3123,
“body”: “none

H2 Context

H2 Doel

H2 Reikwijdte

H2 Eigenaarschap, goedkeuring & herziening

H3 Eigenaarschap en verantwoordelijkheden

H4 Bestuursorgaan

H4 Dagelijks Bestuur

H4 Eerste lijn

De eerste lijn is verantwoordelijk voor het eigenaarschap en de operationele beheersing van risico’s en voor de toepassing van dit beleid in de dagelijkse werking.

H5 Directies & afdelingshoofden

H5 IT-departement

H4 Tweede lijn

De tweede lijn is verantwoordelijk voor het vaststellen van kaders, het adviseren en het bewaken van samenhang en consistentie in de toepassing van dit beleid.

H5 CRO – Chief Risk Officer

H5 CISO – Chief Information Security Officer

H5 DPO – Data Protection Officer

H5 Kwaliteit en Veiligheid

H5 Personeelsdient (HR)

H5 Preventiedienst (welzijn & veiligheid op het werk)

H5 Communicatiedienst

H5 Facility / Infrastructure / Safety

H5 Centrale Aankoop

H5 Legal

H4 Derde lijn – Onafhankelijke assurance

De derde lijn voorziet onafhankelijke en objectieve assurance over de geschiktheid, opzet en werking van dit beleid en de bijhorende beheersmaatregelen.

H3 Goedkeuring

H3 Herziening en onderhoud

H2 Uitzonderingen & afwijkingen

H2 Beleidsverklaring

H2 Beleidsvereisten

H2 Definities en termen

H2 Gerelateerde documenten

”
},
{
“id”: “2129930”,
“title”: “Procedure template”,
“path”: “Overview / Templates / Procedure template”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 7759,
“body”: “none

Doel van de procedure

Deze procedure beschrijft op een gestructureerde en consistente wijze hoe de organisatie uitvoering geeft aan het betreffende proces.

Het doel is te waarborgen dat activiteiten op een controleerbare, herhaalbare en proportionele manier worden uitgevoerd, in lijn met vastgelegd beleid, geldende normen en de doelstellingen van de organisatie.

Toepassingsgebied

Deze procedure is van toepassing op alle relevante organisatorische eenheden, processen, systemen en betrokken rollen waarop het beschreven proces betrekking heeft.

De procedure geldt voor zowel interne activiteiten als, waar van toepassing, voor externe partijen die betrokken zijn bij de uitvoering of ondersteuning van het proces.

Relatie met beleid en standaarden760

Deze procedure ondersteunt en operationaliseert het relevante beleidskader van de organisatie.

Ze is opgesteld in overeenstemming met de toepasselijke wet- en regelgeving en internationaal erkende normen, en vormt een uitvoerend onderdeel van het bredere governance- en risicomanagementkader.

Procedurestappen

Stap	Activiteit	Beschrijving	Verantwoordelijke rol	Input	Output / Evidence
01	[Naam stap]	Beschrijving van wat er gebeurt	[Rol]	[Input]	[Document / log / besluit]
02
03

Monitoring, rapportering en escalatie

De uitvoering van deze procedure wordt opgevolgd via vastgelegde monitoring- en rapporteringsmechanismen.

Afwijkingen, knelpunten of overschrijdingen van vastgestelde drempels worden tijdig gesignaleerd en geëscaleerd naar het bevoegde niveau, in overeenstemming met het geldende escalatiekader.

Onderhoud van deze procedure

Deze procedure wordt onderhouden om blijvend aan te sluiten bij de organisatorische context, wetgeving en operationele realiteit.

Eigenaar: de door de organisatie aangewezen proceseigenaar
Reviewfrequentie: minimaal jaarlijks
Tussentijdse herziening: bij relevante wijzigingen in processen, systemen, wetgeving, incidenten of auditbevindingen
Wijzigingen worden gedocumenteerd en formeel vastgelegd

Gerelateerde documenten

Deze procedure verwijst naar en sluit aan op relevante beleidsdocumenten, richtlijnen en begrippen.

Termen en definities

Definities van gebruikte termen zijn opgenomen in de centrale glossary van de organisatie.

”
},
{
“id”: “21332106”,
“title”: “BIA template”,
“path”: “Overview / Templates / BIA template”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 22662,
“body”: “none

1. Identificatie

Procesnaam:
Proceseigenaar:
Afdeling / dienst:
Datum BIA:
Laatste review:

2. Beschrijving van het proces

Wat gebeurt er:
Voor wie:
Waarom is dit proces belangrijk?

3. Scope van deze BIA

Deze BIA heeft betrekking op:

\n\n674\nf090cc43-2ec1-497b-be3b-4fe3e98f2ece\nincomplete\nVolledig proces\n\n
\n\n675\n19b9214b-bdf1-4eec-af75-d4fde7e3f57d\nincomplete\nDeelproces → specificeer:\n\n
\n\n676\n79c79c24-e4ed-46a6-b64a-0c03c469b8cc\nincomplete\nSpecifieke locatie(s):\n\n
\n\n677\n5c990626-215f-4f93-8410-950f0f91ebbe\nincomplete\nSpecifieke systemen of middelen:\n\n

4. Impact bij verstoring

4.1 Impactcategorieën

Zie het beleid classificatie van assets

5. Tijdsdimensie (kriticiteit in de tijd)

5.1 MAO – Maximale aanvaardbare uitvaltijd

MTPD — Maximum Tolerable Period of Disruption

Dit is de maximale periode waarin een proces onderbroken kan zijn voordat de gevolgen onaanvaardbaar worden voor de organisatie. De MTPD bepaalt hoe snel een proces uiterlijk moet worden hersteld en vormt een belangrijk uitgangspunt voor prioritering en continuïteitsmaatregelen.

MAO / MTPD	Toelichting
\n\n678\ne71480af-431a-4599-967a-7d47ad9a3a19\nincomplete\n < 4 uur\n\n
\n\n679\nd6391735-384c-42bf-9d68-3807abf16dc5\nincomplete\n 4 – 24 uur\n\n
\n\n680\n40fb8fd9-f437-4696-adb6-847f9eec4a6b\nincomplete\n 1-3 dagen\n\n
\n\n681\n2a005629-0c90-4bfd-8789-3c8857a1c9df\nincomplete\n > 3 dagen\n\n

MTPD ≠ RTO760

MTPD is business-gedreven
RTO is technisch / operationeel

5.2 Verwachte impact na verloop van tijd

Tijd na verstoring	Impact (laag/middel/hoog)	Toelichting
< 4 uur
24 uur
72 uur

6. Kriticiteit van het proces

7. Afhankelijkheden

7.1 Interne afhankelijkheden

Personeel / sleutelrollen:
IT-systemen:
Informatie / dossiers:
Infrastructuur / locatie:

7.2 Externe afhankelijkheden

Leveranciers / partners:
Uitbesteding:
Nutsvoorzieningen:
Andere:

8. Bestaande fallback- of noodmaatregelen

Zo ja, beschrijf kort:
Zijn er vandaag al tijdelijke oplossingen of workarounds?	\n\n682\n635906f3-d252-4ce0-8676-3b3e8c525de1\nincomplete\n JA\n\n	\n\n683\nf833276f-0f32-462f-b538-f55dc94191b0\nincomplete\nNEE\n\n

9. Input voor continuïteitsplanning

Welke continuïteitsmaatregelen zijn volgens jou noodzakelijk?
\n\n684\n542c2ae7-2e9a-4161-a1c9-80884cde9fc3\nincomplete\n Minimale dienstverlening:\n\n
\n\n685\nf3d00f9b-f2ac-4b68-ac85-35247f3a170c\nincomplete\n Alternatieve werkwijze:\n\n
\n\n686\n7e75da4e-8f98-408a-a560-482842e86ca1\nincomplete\n Tijdelijke stopzetting: \n\n

10. Validatie en akkoord

	Naam	Datum
Proceseigenaar:
Review door BCM/Risk:

Deze BIA maakt deel uit van het Business Continuity Management Framework en vormt input voor prioritering en continuïteitsplanning.

”
},
{
“id”: “36405554”,
“title”: “Funding FOD Gezondheid”,
“path”: “Overview / Funding FOD Gezondheid”,
“depth”: 1,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 485,
“body”: “3true0

”
},
{
“id”: “38043649”,
“title”: “Individuele financiering – toelichting bij de aangeleverde documenten”,
“path”: “Overview / Funding FOD Gezondheid / Individuele financiering – toelichting bij de aangeleverde documenten”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 22635,
“body”: “

(CyberProgramma 2025 – CP_Circ25)

Inleidende toelichting aan de FOD Volksgezondheid

In overeenstemming met de circulaire van de FOD Volksgezondheid inzake de toewijzing van het budget voor cyberbeveiliging vanaf 2025, legt de organisatie met dit dossier haar aanpak, voortgang en geplande acties voor cyberbeveiliging voor. Het dossier geeft inzicht in de huidige maturiteit, de genomen stappen en het verdere traject dat werd opgezet om de cyberweerbaarheid structureel te versterken.

De organisatie bouwt haar aanpak op volgens erkende kaders en methodieken, met bijzondere aandacht voor governance, patiëntveiligheid, continuïteit van zorg en samenwerking met externe gespecialiseerde partners. De voorgelegde beleidsdocumenten, maturiteitsmetingen en actieplanning illustreren hoe documentatie en implementatie stapsgewijs en samenhangend worden uitgebouwd, conform de verwachtingen zoals geformuleerd door de FOD Volksgezondheid.

Individuele financiering

Individuele initiatieven

Zoals gevraagd binnen het kader van de individuele financiering van het CyberProgramma 2025 (CP_Circ25) legt de organisatie met dit dossier haar aanpak voor om te voldoen aan de verplichtingen van NIS2 én om structureel te bouwen aan cyberweerbaarheid. De aangeleverde documentatie geeft inzicht in de huidige maturiteit, de beleidsmatige verankering van cyberbeveiliging en het traject dat werd opgezet om cyberrisico’s duurzaam te beheersen in functie van patiëntveiligheid en continuïteit van zorg.

De organisatie beschouwt NIS2-conformiteit als een bindende einddoelstelling, maar positioneert deze binnen een breder en toekomstgericht cybersecurityprogramma. De focus ligt op het versterken van governance, het risicogestuurd prioriteren van initiatieven en het gefaseerd uitbouwen van organisatorische en technische maatregelen die de weerbaarheid van de organisatie verhogen, inclusief risico’s die voortkomen uit samenwerkingen en afhankelijkheden in de toeleveringsketen.

Als inhoudelijk referentiekader hanteert de organisatie het CyFun-framework van het Centrum voor Cybersecurity België (CBB), dat een pragmatische en zorggerichte vertaling biedt van wettelijke verplichtingen naar concrete verbeteracties. De rapportering in dit dossier sluit aan bij CyFun versie 2025 en wordt ondersteund door beleidsdocumentatie en beheersmaatregelen die zijn afgestemd op internationaal erkende normen, waaronder ISO/IEC 27001 en ISO/IEC 27002 voor informatiebeveiliging, ISO 22301 voor continuïteit van kritieke zorgprocessen en ISO 28000 voor het beheersen van risico’s binnen de supply chain. Waar relevant wordt aanvullend aansluiting gezocht bij andere toepasselijke normen en best practices.

De aangevraagde financiering binnen het individuele luik van het CyberProgramma wordt ingezet om deze prioritaire initiatieven te realiseren en draagt rechtstreeks bij aan het behalen van NIS2-conformiteit én aan het duurzaam versterken van de cyberweerbaarheid van de organisatie.

Onze voortgang wordt opgevolgd via een gestructureerde maturiteitsmeting, waarbij documentatie- en implementatiematuriteit afzonderlijk maar samenhangend worden opgebouwd volgens een gefaseerd plan. Wij werken stapsgewijs van formele vastlegging naar effectieve werking, met periodieke evaluatie en bijsturing op basis van prioriteiten, risico’s en gerealiseerde implementatie.

Uitwerking beleid Cyberbeveiliging en hiërarchie van onderliggende beleidsdocumenten

De organisatie hanteert een overkoepelend beleid informatiebeveiliging, dat in het kader van NIS2 kritisch werd herbekeken en geactualiseerd. Dit beleid vormt het fundament voor de governance van informatiebeveiliging binnen ons ziekenhuis en bepaalt de algemene principes, verantwoordelijkheden en doelstellingen.

Onder dit overkoepelend beleid werd een specifiek beleid cyberbeveiliging uitgewerkt. Dit beleid focust expliciet op cyberdreigingen, digitale weerbaarheid en de bescherming van systemen en netwerken die essentieel zijn voor de continuïteit van zorg. Het beleid cyberbeveiliging concretiseert de uitgangspunten van het informatiebeveiligingsbeleid voor het cyberdomein en vormt het inhoudelijk referentiekader voor verdere uitwerking.

Om samenhang en hanteerbaarheid te waarborgen, werd een duidelijke hiërarchie van beleidsdocumenten opgesteld. Binnen deze hiërarchie worden thematische beleidsdocumenten systematisch ontwikkeld en geordend volgens de cybersecurity functies Govern, Identify, Protect, Detect, Respond en Recover. Deze thematische beleidsdocumenten vertalen het beleid cyberbeveiliging naar concrete beleidsafspraken per domein en ondersteunen een gestructureerde, gefaseerde en risicogestuurde implementatie.

De bijgevoegde snapshot visualiseert deze beleidsstructuur en toont hoe het overkoepelend beleid informatiebeveiliging, het beleid cyberbeveiliging en de onderliggende thematische beleidsdocumenten samen één coherent en samenhangend beleidskader vormen.

In aansluiting op het overzicht van de beleidsstructuur volgt hieronder het beleid cyberbeveiliging, dat onder het overkoepelend beleid informatiebeveiliging werd uitgewerkt. Dit beleid concretiseert de organisatiebrede uitgangspunten voor het cyberdomein en vormt het inhoudelijk kader waarbinnen de thematische beleidsdocumenten verder zijn opgebouwd.

Risicomanagementsysteem – aanpak en stand van zaken

De organisatie hanteert een geïntegreerd risicomanagementsysteem waarin cyberdreigingen expliciet worden meegenomen als onderdeel van het bredere organisatiebrede risicobeheer. Cyberrisico’s worden niet los beoordeeld, maar steeds in samenhang met zorgprocessen, digitale afhankelijkheden, patiëntveiligheid en continuïteit van de werking.

Het risicomanagementsysteem is opgebouwd rond een uniforme en consistente risicobenadering die toelaat risico’s op een gestructureerde en vergelijkbare manier te identificeren, te beoordelen en op te volgen. Hierbij wordt gewerkt met een duidelijke scope die processen, systemen, data en externe partijen omvat. Deze brede scope weerspiegelt de realiteit van een ziekenhuisorganisatie, waarin cyberrisico’s zich vaak manifesteren via onderlinge afhankelijkheden.

Geïdentificeerde cyberrisico’s worden systematisch gekoppeld aan bestaande of geplande beheersmaatregelen. Deze koppeling maakt het mogelijk om prioriteiten te bepalen, de effectiviteit van maatregelen te beoordelen en gerichte verbeteracties te definiëren. Risicobehandeling wordt daarbij opgevolgd als een continu proces, met aandacht voor evoluerende dreigingen, wijzigingen in de digitale omgeving en incidentervaringen.

De onderstaande snapshots illustreren deze aanpak. Ze tonen enerzijds de principes van de organisatiebrede risicobenadering en anderzijds de uniforme schaal en methodiek die wordt gebruikt voor risicobeoordeling. Samen maken zij zichtbaar hoe cyberrisico’s op een consistente en transparante manier worden beheerd binnen het bredere risicomanagementkader van de organisatie.

Op basis van deze principes werd een organisatiebreed beleid risicomanagement opgesteld dat richting geeft aan de identificatie, beoordeling en opvolging van risico’s binnen het ziekenhuis. Onder dit overkoepelend beleid zijn verdere beleidsdocumenten uitgewerkt die risicomanagement concretiseren voor specifieke domeinen, waaronder informatiebeveiliging en cyberbeveiliging. Deze beleidsmatige uitwerking zorgt voor samenhang en consistentie, zonder het dossier nodeloos te verzwaren met bijkomende detaildocumentatie.

Ter ondersteuning van een consistente en vergelijkbare beoordeling van risico’s hebben we een beleid opgesteld voor uniforme risicobeoordeling en risicorating. Dit beleid bepaalt hoe risico’s eenduidig worden ingeschat en geclassificeerd over de verschillende domeinen heen.

Concrete uitwerkingen per impactschaal:

Waarschijnlijkheid vanuit het perspectief van dreigingsactoren:

De onderstaande snapshots illustreren hoe cyberrisico’s concreet worden geanalyseerd en gestructureerd, aan de hand van visuele risicomodellen en een uitgebreid geheel van vooraf uitgewerkte risicoassessments. Deze aanpak ondersteunt een consistente en schaalbare risicobeoordeling en sluit aan bij de kennisomgeving die verder wordt toegelicht binnen de collectieve initiatieven (smartNIS2).

Overzicht:

Financiering van prioritaire projecten

NIS2-conformiteit

NIS2-conformiteit is een prioritair project voor de organisatie. Voor de toelichting van dit project verwijzen we naar ons Compliance plan, de herziening en bijwerking van ons overkoepeld beleid voor informatiebeveiliging en onderliggende beleid cyberbeveiliging en onze beschrijving tenslotte van de rigoureuze uitwerking van risicomanagement binnen de organisatie.

Sensibilisatie

Beleid Awareness & Training

Het beleid Awareness & Training werd herbekeken en aangescherpt om bewustmaking en opleiding structureel te verankeren binnen het ziekenhuis. Vanuit dit beleidskader werden de inspanningen op het vlak van cyberbewustzijn aanzienlijk opgevoerd en vertaald naar concrete en meetbare acties. De onderstaande snapshot toont het beleidsmatig kader.

Awareness & Training op basis van incidentanalyse

De onderstaande snapshot illustreert hoe incidentanalyse ook wordt ingezet als instrument voor sensibilisatie en opleiding. Door incidenten systematisch te reconstrueren en te analyseren, wordt inzicht verkregen in hoe zowel technische als menselijke kwetsbaarheden konden worden gecompromitteerd. Deze aanpak ondersteunt het lerend vermogen van onze organisatie en maakt cyberdreigingen concreet en herkenbaar voor medewerkers, wat bijdraagt aan duurzaam bewustzijn en versterkte cyberweerbaarheid.

Identiteits- en toegangsbeheer

Beleid Identiteits- en toegangsbeheer

De organisatie investeert in de herziening en update van haar beleid om toegang tot kritieke systemen te beheren, zowel voor interne toegang als aan onze perimeter.

Onze investering in de opmaak van beleidsdocumenten verloopt via het smartNIS2 programma van Bright Phoenix, zie luik ‘financiering van collectieve initiatieven.

Detectie van en reactie op incidenten

Beleid Logging & Monitoring

In het kader van het prioritaire project rond detectie van en reactie op cyberincidenten hebben we expliciet geïnvesteerd in de herziening en versterking van ons beleid Logging & Monitoring. Dit beleid vormt de noodzakelijke basis om afwijkingen, verdachte activiteiten en beveiligingsincidenten tijdig te detecteren en gericht te analyseren.

Door logging en monitoring structureel te verankeren, beschikt ons ziekenhuis over betrouwbare informatie om incidenten sneller te herkennen, correct in te schatten en gepast te reageren. Deze beleidsmatige versterking ondersteunt niet alleen technische detectiemaatregelen, maar zorgt er ook voor dat respons en opvolging tijdens incidenten gecontroleerd en onderbouwd verlopen, met aandacht voor continuïteit van zorg en patiëntveiligheid.

Hieronder vindt u een snapshot van de inhoud van dit beleidsdocument. Het beleid verduidelijkt op een gestructureerde wijze de rollen en verantwoordelijkheden van het bestuursorgaan, het dagelijks bestuur, de eerste lijn en de tweede lijn van beveiliging.

Zoals dit overzicht aantoont, is cyberbeveiliging geen louter technische verantwoordelijkheid, maar een ziekenhuisbrede opdracht die gedragen wordt door ons bestuur, management en ondersteunende functies. Deze duidelijke rolverdeling versterkt de besluitvorming, de coördinatie tijdens incidenten en de effectiviteit van detectie- en responsmaatregelen.

Onze investering in de opmaak van beleidsdocumenten verloopt via het smartNIS2 programma van Bright Phoenix, zie luik ‘financiering van collectieve initiatieven.

Beleid incident responsmanagement

De onderstaande snapshots tonen de kernstructuur van het beleid Information Security Incident Management. De inhoudstafel weerspiegelt een samenhangend en governance-gedreven beleidskader, waarin verantwoordelijkheden, besluitvorming en operationele afhandeling duidelijk zijn afgebakend. Het beleid is expliciet opgebouwd om informatiebeveiligingsincidenten op een gecontroleerde, proportionele en zorggerichte manier te beheren, met aandacht voor patiëntveiligheid, continuïteit van zorg en wettelijke verplichtingen.

Het beleid is opgezet in overeenstemming met ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27035, ISO 22301 en het CyFun-framework versie 2025, en vormt een integraal onderdeel van het bredere governance- en risicobeheerkader van de organisatie.

Operationele veiligheid

Het prioritair project rond operationele veiligheid wordt meegenomen als een integraal onderdeel van het bredere NIS2-complianceplan, waarbij operationele risico’s in samenhang worden bekeken met cyber- en informatiebeveiliging binnen de bestaande governance- en risicobeheerkaders.

Netwerk beveiliging

Resilience

Binnen het luik resilience benaderen we cyberweerbaarheid niet als een louter technische of compliance-gedreven inspanning, maar als een structurele randvoorwaarde voor veilige en continue zorgverlening. Het vermogen om cyberincidenten te weerstaan, op te vangen en te herstellen draagt rechtstreeks bij aan patiëntveiligheid, continuïteit van zorgprocessen en vertrouwen in het zorgsysteem.

Ziekenhuizen maken deel uit van de kritieke infrastructuur. Het beschermen van medische data, zorgprocessen en digitale zorgsystemen tegen cyberdreigingen is essentieel om verstoringen te beperken en kwaliteitsvolle zorg te blijven garanderen, ook in uitzonderlijke of crisissituaties. Investeringen in cyberbeveiliging en resilience ondersteunen daarmee rechtstreeks onze maatschappelijke opdracht en dragen bij aan het realiseren van goede gezondheid en welzijn.

”
},
{
“id”: “37552134”,
“title”: “smartNIS2 – Gezondheidszorg”,
“path”: “Overview / Funding FOD Gezondheid / smartNIS2 – Gezondheidszorg”,
“depth”: 2,
“hasChildren”: true,
“hasContent”: true,
“bodyLength”: 7907,
“body”: “

Wat is smartNIS2 voor de zorgsector?

smartNIS2 Gezondheidszorg is een sector-specifieke toepassing van smartNIS2, afgestemd op de context, risico’s en verplichtingen van ziekenhuizen en zorgvoorzieningen.

De omgeving ondersteunt organisaties in de gezondheidszorg bij het gestructureerd, aantoonbaar en beheersbaar aanpakken van NIS2, met expliciete aandacht voor kritieke zorgprocessen, patiëntgegevens en zorgcontinuïteit.

Waarom smartNIS2 voor de zorgsector?

Zorgorganisaties functioneren in een context van:

sterke afhankelijkheid van IT, OT en medische technologie;
verwerking van gevoelige en gereguleerde patiëntgegevens;
complexe leveranciers- en ketenafhankelijkheden;
lage fouttolerantie en hoge maatschappelijke impact.

NIS2 komt bovenop bestaande verplichtingen rond kwaliteit, continuïteit en governance.
smartNIS2 Gezondheidszorg vertrekt vanuit deze realiteit en voorkomt dat NIS2 een losstaande compliance-oefening wordt, los van de zorgwerking.

Hoe smartNIS2 wordt ingezet in de zorgsector

De omgeving wordt ingezet als sectorale kennisbasis waarin zorgvoorzieningen vereisten en maatregelen kunnen raadplegen in een zorgspecifieke context en ervaringen kunnen delen zonder gevoelige of organisatie-specifieke informatie te publiceren. Dit ondersteunt een uniforme interpretatie en versnelt maturiteitsgroei door hergebruik en kennisdeling.

smartNIS2 vervangt geen eigen documentatie: de inhoud fungeert als referentiekader dat organisaties kunnen exporteren en lokaal aanpassen binnen hun eigen document- en kwaliteitsomgeving, zodat eigenaarschap en maatwerk behouden blijven.

Wat smartNIS2 duurzaam oplevert voor de zorgsector

De collectieve aanpak levert structurele meerwaarde voor de zorgsector doordat herbruikbare structuren beschikbaar blijven, interpretaties consistenter worden, maturiteit sneller groeit en publieke middelen efficiënter worden ingezet via gedeelde ontwikkeling en lokaal hergebruik. Dit zorgt voor duurzame verankering in governance, beleid en risicobeheer, in plaats van tijdelijke projectmatige oplossingen.

smartNIS2 levert een blijvende versterking van de cyberweerbaarheid van de zorgsector, die verder gaat dan individuele projecten of eenmalige investeringen. Door in te zetten op sectorale samenwerking en gedeelde kennis ontstaat een structureel effect dat concreet zorgt voor:

Herbruikbare zorgspecifieke kennis en structuren, waardoor ziekenhuizen en andere zorgvoorzieningen niet telkens opnieuw vanaf nul moeten starten bij wijzigingen in regelgeving, dreigingen of toezicht.
Consistente interpretatie van NIS2 binnen de sector, wat de kwaliteit en vergelijkbaarheid van implementaties verhoogt en de administratieve last verlaagt.
Versnelling van maturiteitsgroei, doordat ziekenhuizen en andere zorgvoorzieningen leren van elkaars ervaringen en bewezen praktijken.
Kostenefficiënt gebruik van publieke middelen, aangezien analyses, modellen en referentiedocumenten collectief worden ontwikkeld en lokaal worden hergebruikt.
Duurzame verankering van cybersecurity in governance, beleid en risicobeheer, in plaats van tijdelijke projectmatige oplossingen.

Door deze aanpak draagt smartNIS2 bij aan een weerbare, lerende en toekomstgerichte zorgsector, waarin investeringen in cybersecurity blijvend rendement opleveren voor zowel individuele ziekenhuizen als het zorgsysteem als geheel.

De onderstaande snapshots tonen hoe de sectorale kennisomgeving is opgebouwd en hoe inhoud wordt gestructureerd zodat beleid, maatregelen en bewijsstukken consistent kunnen worden opgevolgd en hergebruikt.

Aankondigen van nieuwe documenten in de kennisomgeving worden aangekondigd op de Homepage:

Aankondiging van nieuwe documenten in de kennisomgeving

Documenten worden geduid vanuit compliance perspectief via uitklapbare velden die referentie maken naar de relevante compliance standaarden:

Uitklapbare kaders met referenties naar compliance standaarden

De onderstaande snapshot toont een voorbeeld van ondersteunende tooling binnen een ruimer aanbod, die organisaties kan helpen om assets op een consistente manier te classificeren en hun kriticiteit te bepalen in lijn met het vastgelegde classificatiekader en de asset classification policy.

”
},
{
“id”: “36896930”,
“title”: “Attest Sectorale Deelname – smartNIS2 Cyberweerbaarheid in de Zorg”,
“path”: “Overview / Funding FOD Gezondheid / smartNIS2 – Gezondheidszorg / Attest Sectorale Deelname – smartNIS2 Cyberweerbaarheid in de Zorg”,
“depth”: 3,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 12058,
“body”: “

Deelname aan smartNIS2 (Collectieve pijler)

Hierbij bevestigt Bright Phoenix:

Dat [Ziekenhuis] deelneemt aan het sectorinitiatief smartNIS2 en hiervoor in 2025 een financiële bijdrage heeft geleverd, in het kader van het federale cyberprogramma voor ziekenhuizen (CP_Circ25).

Toegang tot sectorale kennisomgeving

Bevestiging dat het ziekenhuis toegang kreeg tot:

de smartNIS2-kennisomgeving, bestaande uit:
- een sterk gestructureerde documentatieomgeving in Confluence;
- een onderliggende relationele datalaag in Notion, waarin kernobjecten zoals data, processen, applicaties, systemen en leveranciers worden beheerd en geclassificeerd;
- ondersteunende tooling voor risicomanagement en incidentinzichten, met name BowTie Master (risico- en barrièremodellering) en Incident Insight (incidentanalyse en leermechanismen);
gestructureerde documentatie van managementsystemen, waaronder:
- het Information Security Management System (ISMS) (centraal ingebed);
- het Enterprise Risk Management System (ERMS), met koppelingen naar:
  - het Physical Security Management System (PSMS);
  - het Business Continuity Management System (BCMS);
  - het Third Party & Supply Chain Management System (TPSCMS);
  - het Compliance Management System (CMS) (compliance & audit);
uitgewerkte artefacten, waaronder:
- principesverklaringen (principle statements);
- beleidsdocumenten (hoofd- en sub-policies);
- technische standaarden;
- een taxonomie van maatregelen (controls);
- procedures en guidelines;
mappings naar:
- CyFun (v2023 en v2025);
- ISO/IEC 27001;
- diverse andere ISO-standaarden, NIST en aanverwante kaders.

Formules

Formule	Beschrijving	Prijs	Afgenomen (JA/NEE)
Toegang smartNIS2	De Smart NIS2-kennisomgeving bestaat uit een sterk gestructureerde documentatieomgeving in Confluence, waarin de verschillende managementsystemen coherent zijn uitgewerkt, en een onderliggende relationele datalaag in Notion waarin kernobjecten zoals data, processen, applicaties, systemen en leveranciers worden beheerd en geclassificeerd.	1.000 EUR /maand 12.000 EUR /jaar, excl. BTW	JA/NEE
CISO-as-a-Service – Light	Strategische ondersteuning op CISO-niveau, afgestemd op de schaal en maturiteit van de organisatie. De ondersteuning is adviserend en richtinggevend, met focus op governance, risicomanagement, compliance en afstemming met het management. Tijdsindicatie ± 1 dag per maand	1.000 EUR /maand 12.000 EUR /jaar, excl. BTW	JA/NEE
CISO-as-a-Service – Extended	Structurele strategische ondersteuning op CISO-niveau, met actieve betrokkenheid bij de uitbouw en sturing van het informatiebeveiligings- en risicomanagementkader. De ondersteuning omvat regelmatige opvolging, prioritering en afstemming met management en sleutelstakeholders. Tijdsindicatie ± 1 dag per week	4.166 EUR /maand 50.000 EUR /jaar, excl. BTW	JA/NEE
CIS-as-a-Service – Embedded	Beschrijving Ingebedde CISO-rol met verantwoordelijkheid voor de strategische en tactische aansturing van informatiebeveiliging en cyberweerbaarheid binnen de organisatie. De ondersteuning is intensief en omvat actieve deelname aan besluitvorming, crisisopvolging en de coördinatie van beveiligings- en compliance-initiatieven. Tijdsindicatie ± 2 dagen per week	8.333 EUR/maand 100.000 EUR /jaar excl. BTW	JA/NEE
Security Operations Support – Standard	Operationele ondersteuning bij de uitvoering en implementatie van beveiligingsmaatregelen en -processen. De ondersteuning is uitvoerend van aard en wordt ingevuld door technische consultants, onder afstemming met de CISO of CISO-as-a-Service. Typische activiteiten: implementatie en opvolging van beveiligingsmaatregelen; ondersteuning bij asset- en classificatieoefeningen; configuratie- en documentatieondersteuning; ondersteuning bij logging, monitoring en technische controles; voorbereidend werk voor audits en compliance-controles. Tijdsindicatie 1 dag per week	3.333 EUR /maand 40.000 EUR/jaar	JA/NEE
Security Operations Support – Extended	Beschrijving Versterkte operationele ondersteuning voor organisaties met een verhoogde implementatiebehoefte of een complexer IT- en OT-landschap. De ondersteuning focust op continuïteit en versnelling van operationele beveiligingsactiviteiten. Tijdsindicatie 2 dagen per week	6.933 EUR /maand 83.200 EUR /jaar excl. BTW	JA/NEE

Handtekening

Inge Vandijck
Impactondernemer, Bright Phoenix

Bright Phoenix is een impactgedreven zebra-onderneming die werkt aan de grote, onderling verbonden maatschappelijke uitdagingen van onze tijd, in kritieke sectoren en publieke systemen.
Dat doen we door samenhangende managementsystemen te bouwen die organisaties helpen omgaan met complexiteit, risico’s en verantwoordelijkheid.

”
},
{
“id”: “42237954”,
“title”: “Lidmaatschap Shield vzw”,
“path”: “Overview / Funding FOD Gezondheid / Lidmaatschap Shield vzw”,
“depth”: 2,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 867,
“body”: “

Lidmaatschap Shield vzw

Het ziekenhuis is lid van Shield vzw, de sectorale organisatie die ziekenhuizen ondersteunt bij cybersecurity en NIS2-gerelateerde uitdagingen.

Via dit lidmaatschap neemt het ziekenhuis deel aan kennisdeling, samenwerking en afstemming binnen de zorgsector, met bijzondere aandacht voor dreigingsinformatie, good practices en sectorale ondersteuning rond NIS2-verplichtingen.

Deze samenwerking versterkt de collectieve weerbaarheid van de zorgsector en ondersteunt het ziekenhuis bij het uitbouwen van een volwassen en afgestemde cybersecurityaanpak.

Zie bijlage: Attest lidmaatchap Shield vzw

”
},
{
“id”: “86441985”,
“title”: “Project, programme and portfolio management”,
“path”: “Overview / Project, programme and portfolio management”,
“depth”: 1,
“hasChildren”: false,
“hasContent”: true,
“bodyLength”: 17452,
“body”: “

Context

Organisaties, en zeker ziekenhuizen, functioneren vandaag in een omgeving van permanente verandering.

Digitale transformatie, infrastructuurvernieuwing, compliance-verplichtingen (zoals NIS2), medische innovatie, samenwerkingsverbanden en organisatorische herstructureringen genereren een continue stroom van projecten en programma’s.

Deze initiatieven ontstaan vaak vanuit verschillende domeinen:

IT en digitalisering
medische diensten
facilitaire infrastructuur
compliance en regelgeving
onderzoek en innovatie
kwaliteit en accreditatie

Zonder een overkoepelend governancekader leidt dit tot:

versnipperde besluitvorming
overlappende of conflicterende initiatieven
resource-overbelasting
onvoldoende prioritering
gebrek aan strategische samenhang
verhoogde risico-exposure
beperkte transparantie voor het directiecomité (DC) en Raad van Bestuur

Projecten worden dan “uitgevoerd”, maar niet noodzakelijk “bestuurd”.

Bovendien hebben projecten directe impact op:

informatiebeveiliging
continuïteit van zorg
privacy
compliance
leveranciersrisico
financiële stabiliteit

Wanneer projectgovernance niet geïntegreerd is met risicobeheer en andere managementsystemen, ontstaat een structurele kwetsbaarheid.

In complexe organisaties is de uitdaging dus niet het uitvoeren van projecten, maar het besturen van verandering.

Het ontbreekt vaak aan:

eenduidige definities (wat is een project, wat is een programma?)
duidelijke rolverdeling en mandaten
gestructureerde portfolio-prioritering
koppeling met strategische doelstellingen
expliciete integratie met risicomanagement

Deze context creëert de nood aan een gemeenschappelijk referentiekader dat projecten, programma’s en portfolio’s structureert binnen de bredere governance-architectuur van de organisatie.

Waarom projectmanagement structureel moet worden aangepakt

Projecten zijn geen uitzonderingen meer.
Ze zijn de primaire motor van verandering.

In complexe organisaties, en zeker in zorginstellingen, wordt strategie gerealiseerd via projecten. Nieuwe technologie, infrastructuur, compliance-initiatieven, innovatie, procesverbetering — ze krijgen allemaal vorm in tijdelijke veranderinitiatieven.

Wanneer projectmanagement niet structureel wordt georganiseerd, ontstaat geen gebrek aan activiteit — maar een gebrek aan samenhang.

De risico’s zijn structureel:

strategische doelstellingen worden niet vertaald naar prioriteiten
middelen worden versnipperd ingezet
projecten concurreren om dezelfde resources
risico’s worden projectmatig beheerd, maar niet organisatiebreed beoordeeld
afhankelijkheden blijven onzichtbaar
bestuur krijgt geen integraal overzicht

Het gevolg is geen stilstand, maar instabiliteit.

Zonder duidelijke projectgovernance:

groeit de complexiteit sneller dan de beheersing
wordt verandering reactief in plaats van gestuurd
stijgt de kans op budgetoverschrijding en vertraging
ontstaat vermoeidheid in de organisatie
neemt compliance- en securityblootstelling toe

Projecten beïnvloeden immers:

informatiebeveiliging
continuïteit van zorg
privacy
leveranciersketens
kwaliteit van dienstverlening
reputatie

Wanneer projectinitiatieven niet ingebed zijn in het bredere governance- en risicokader, ontstaat een structurele kwetsbaarheid.

Het professioneel organiseren van projectmanagement is daarom geen administratieve optimalisatie, maar een governance-noodzaak.

De kernvraag is niet:

“Voeren we onze projecten correct uit?”

Maar:

“Besturen we verandering op een manier die strategisch, risicogebaseerd en geïntegreerd is?”

Een volwassen projectaanpak creëert:

transparantie
prioritering
samenhang
bestuurlijke controle
risicobeheersing
strategische alignment

Zonder die structuur wordt groei complexiteit.
Met die structuur wordt verandering beheersbaar.

Hoe projectmanagement structureel wordt georganiseerd

Een volwassen projectaanpak ontstaat niet door meer sjablonen of extra rapportering.
Ze ontstaat door duidelijke governance, rolverdeling en besluitvorming.

Structurele projectbeheersing rust op vier fundamenten.

1. Duidelijke afbakening tussen project, programma en portfolio

Niet elke verandering is een project.
Niet elk project is strategisch.

Een heldere definitie voorkomt bestuurlijke ruis:

Project
Een tijdelijk initiatief met een duidelijk begin en einde, gericht op het realiseren van een specifiek resultaat.
Programma
Een samenhangende bundeling van projecten die gezamenlijk een strategische verandering realiseren.
Portfolio
Het geheel van lopende en geplande projecten en programma’s, beheerd en geprioriteerd in functie van strategische doelstellingen en beschikbare middelen.

Zonder dit onderscheid ontstaat verwarring over mandaat, budget en verantwoordelijkheid.

2. Strategische prioritering op portfolioniveau

Niet elk goed idee verdient uitvoering.

Portfolio-sturing vereist:

koppeling aan strategische doelstellingen
toetsing aan risicobereidheid
impactanalyse op resources
beoordeling van afhankelijkheden
zicht op cumulatieve belasting van de organisatie

Dit is geen operationele oefening, maar een bestuurlijke verantwoordelijkheid.

3. Integratie met risicobeheer en compliance

Projecten creëren verandering.
Verandering creëert risico.

Daarom moet elk project:

worden getoetst aan het ERMS
security-by-design integreren (ISMS)
continuïteitsimpact evalueren (BCMS)
compliance-implicaties meenemen (CMS)
leveranciersrisico’s analyseren (TPSCMS)

Projectgovernance kan niet losstaan van het bredere managementsysteem.

4. Heldere rol- en mandaatstructuur

Een volwassen projectomgeving kent duidelijke verantwoordelijkheden:

Sponsor (strategisch mandaat)
Stuurgroep (besluitvorming en escalatie)
Projectleider (operationele realisatie)
Portfolio-eigenaar (prioritering en resourcebewaking)

Wanneer mandaten impliciet blijven, ontstaan informele besluitvormingsstructuren.

Samengevat

Structureel projectmanagement betekent:

definiëren wat een project is
bundelen waar samenhang nodig is
prioriteren op organisatieniveau
integreren met risicobeheer
expliciteren van verantwoordelijkheden

Het doel is niet meer controle.
Het doel is bestuurbare verandering.

ISO 21500 als referentiekader biedt

Wanneer een organisatie besluit projectmanagement structureel te organiseren, rijst de vraag:

Op basis van welk kader doen we dat?

Het doel is niet om een methodologie op te leggen, maar om een gemeenschappelijke governancebasis te creëren.

ISO 21500 biedt precies dat.

Deze standaard:

definieert heldere begrippen (project, programma, portfolio)
positioneert projecten binnen strategische governance
verduidelijkt verantwoordelijkheden en besluitvorming
creëert samenhang tussen verandering en strategie
ondersteunt integratie met risicobeheer en compliance

ISO 21500 schrijft geen methodologie voor.
Ze legt geen sjablonen op.
Ze dicteert geen toolset.

Wat ze wel doet, is een gemeenschappelijke taal en structuur bieden.

Voor organisaties betekent dit:

minder discussie over definities
duidelijker mandaatstructuur
betere strategische prioritering
betere aansluiting op ERMS, ISMS en BCMS
verhoogde transparantie richting directie en Raad van Bestuur

ISO 21500 is daarmee geen operationele handleiding, maar een governance-anker.

Ze helpt verandering bestuurbaar maken — zonder methodologische rigiditeit.

”
}
]