A.10.1.1 Beleid inzake het gebruik van cryptografische beheersmaatregelen

Persoonlijke gezondheidsgegevens moeten versleuteld worden opgeslagen. Dit heeft als doel dat de vertrouwelijkheid en integriteit van de gezondheidsgegevens gewaarborgd is, ook indien:

·      Een onbevoegd persoon toegang krijgt tot de datadrager (het hardware medium)

·      Een onbevoegd persoon toegang verkrijgt tot de logische dataopslag (de database of het gegevensbestand)

1. Deze maatregel mag uitgesloten worden indien DVA onder zijn verantwoording geen persoonlijke gezondheidsgegevens opslaat.
2. Een overzicht van publicaties is te vinden op https://www.keylength.com/
3. Er kan gebruik gemaakt worden van de ECRYPT-CSA aanbevelingen, NIST of BSI aanbevelingen
4. Deze norm betreft alle opgeslagen persoonlijke gezondsheidsgegevens, inclusief logfiles, backups en/of archieven.

• Stel op basis van de architectuurdiagrammen vast of er wordt voldaan aan de aanbevelingen die gelden voor 'near term protection' en 'long-term protection’ volgens de door deelnemer gekozen invulling van encryptie standaarden en sleutels bijvoorbeeld ECRYPT-CSA,NIST of BSI (zie https://www.keylength.com/). De deelnemer zal moeten aangeven welke encryptiestandaarden en sleutellengtes etc er gekozen zijn voor de opslag van gezondheidsgegevens. 
• Stel op basis van een steekproef vast of aanbevelingen ook daadwerkelijk geïmplementeerd zijn.

• Welke versie van de aanbevelingen is gehanteerd.
• Welke versie van de architectuurdiagrammen zijn ingezien.
• Evidence m.b.t. de daadwerkelijke implementatie.