eWZC-programma

Opleidingssessies informatieveiligheid in het kader van het informatiseringstraject van de Vlaamse

Woonzorgcentra (WZC)

Fase 1: Wat is informatieveiligheid?

1

2

peter@berghmans.org

Doelstelling vandaag: Wat is informatieveiligheid

Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt  - Het belang van informatieveiligheid in de zorgsector besproken (o.a.

informatieveiligheid in de wetgeving, het eHealth platform en het sectorcomité SZ/AG).

- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - de minimale richtsnoeren van de Privacycommissie toegelicht - Een veiligheidsbeleid en -plan toegelicht

3

Bescherming van persoonsgegevens

• Doelstelling: het correct verwerken van persoonsgegevens

• Privacy: komt in het gedrang wanneer je persoonsgegevens niet correct verwerkt – Maar ook: wanneer je over iemand praat in een publieke

ruimte –Wanneer je de lichamelijke integriteit in het gedrang brengt

4

DE PRIVACYWET: DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BIJ DE VERWERKING VAN PERSOONSGEGEVENS

Uitgelegd in 5 slides

5

5 belangrijke definities

• Wat zijn persoonsgegevens? – Adres? Overledene? E-mail? Geëncrypteerd? Anoniem? – Rechtstreekse of onrechtstreekse identificatie

• Wat is verwerking? – Geheel van verwerkingen

• Wie is verantwoordelijk bij de verwerking? – Bepaalt doel en middelen

• Wat is een verwerker? – Iemand, niet de verantwoordelijke, die gemachtigd is

• De toestemming van de betrokkene – Is niet: de kennisgeving, opt-in, opt-out

6

Voorwaarden voor het verwerken

• Eerlijk en rechtmatig • Finaliteit: welbepaalde, uitdrukkelijke doeleinde • Proportionaliteit: niet overmatig, ter zake dienend • Nauwkeurig • Met respect voor de bewaartermijnenToetsingscriteria voor de Privacycommissie

7

Mag ik gegevens verwerken? Ja als…

• Ik ondubbelzinnige toestemming kreeg • Ik mij kan beroepen op een overeenkomst • Ik mij kan beroepen op een wettelijke basis • Vitaal belang • (openbaar gezag) • Gerechtvaardigd belang

8

Speciale gevallen

• Gevoelige persoonsgegevens

• Gezondheidsgegevens (o.a.) – Schriftelijke toestemming – Onder toezicht van een beroepsbeoefenaar

• Gerechtelijke gegevens

9

Rechten van de betrokkene

• Kennisgeving aan de betrokkenen – Door een verklaring: wie verwerkt welke persoonsgegevens

waarom

• Recht op inzage – Op diens vraag

• Recht op verbetering

10

Vertrouwelijkheid en beveiliging van de verwerking

• De verantwoordelijke voor de verwerking dient – Finaliteit, proportionaliteit, bewaartermijn, … bewaken – Toegangsbeheer/rechten tot de persoonsgegevens regelen – Inlichten medewerkers (bewustwording)

• Indien de verwerking wordt uitbesteed aan een verwerker – Een partij te kiezen dat voldoende technische en

organisatorische waarborgen biedt om de gegevens te beschermen

– Veiligheidsniveau en aansprakelijkheid opnemen in contracten

11

Vertrouwelijkheid en beveiliging van de verwerking

• De verantwoordelijke voor de verwerking en verwerker – De gepaste technische en organisatorische maatregelen

nemen Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.

12

Technische/organisatorische maatregelen?

13

Belangrijke elementen uit de richtsnoeren

• Je dient te beschikken over een veiligheidsbeleid – Vb Elke toegang tot het bewonersdossier is individueel – Vb Elke bewoner geeft toestemming voor gegevensdeling

• Je dient te beschikken over een veiligheidsplan – Cfr Kwaliteitsplan: hoe continu de veiligheid verbeteren?

• Je neemt maatregelen met het oog op vrijwaring van – Confidentialiteit // Integriteit // Beschikbaarheid

14

Bijzondere voorwaarden voor de verwerking van gegevens in een WZC

Voor de verwerking van gegevens binnen/buiten het WZC

15

Er zijn grofweg drie verwerkingen die aandacht vragen (bewonerscontext)

• Voor de verwerking van het Rijksregister –Wet rijksregister van 08/08/1983

• Voor de uitwisseling van gegevens met vb Belrai • Voor de uitwisseling van Gezondheidsgegevens via

netwerk – Decreet gegevensdeling in de zorg

16

De verwerking van rijksregisternummer

• Wat? Rijksregisterwet van 1983 – Rijksregisternummer is een wettelijk beschermd nummer

• Voorwaarde (o.a)? Legt de eis op van veiligheidsconsulent

17

Uitwisselen van gegevens met Belrai

• Een uitwisseling van gezondheidsgegevens met Belrai is gemachtigd door het Sectoraal Comité Sociale Zekerheid afdeling gezondheid

• Deze machtiging bespreekt de randvoorwaarden zoals… – Een veiligheidsconsulent aanstellen

18

Decreet gegevensdeling in de zorg

• Wat (o.a)? De creatie van een netwerk – rond efficiënte en veilige gegevensdeling persoonsgegevens – tussen alle actoren in de zorg onderling – met het oog op een continue en kwaliteitsvolle

zorgverstrekking aan zorggebruikers.

• Plicht om dit netwerk te gebruiken

19

Decreet gegevensdeling in de zorg

• Voorwaarde? – Aanstellen van een veiligheidsconsulent –WZC stelt een veiligheidsbeleid // veiligheidsplan op

20

Wat is een veiligheidsconsulent?

aangestelde voor de gegevensbescherming, data protection officer, toegangsbeheerder

21

22

BVR 15/5/2009 bepaalt de taken

• Rapporteert aan de directeur • Adviezen en aanbevelingen voorleggen aan het directiecomité • Opdrachten uit te voeren op vraag van het directiecomité • Bevorderen bewustwording van alle actoren binnen het WZC • Ziet toe op de naleving van het veiligheidsbeleid • Documenteert het veiligheidsbeleid Stelt het veiligheidsplan op voor

een periode van 3 jaar en waakt over de uitvoering. • Stelt een jaarverslag op met vorderingen van het veiligheidsplan

voor het directiecomité • Registreert overtredingen en maakt dezeover aan het directiecomité

23

Concreet: voor een WZC?

• Kwaliteitsmedewerker kent de opvolgmethodiek • Mogelijk technische injectie nodig: – Begrip van enkele technische termen. Kennistoets

• Logging • Paswoorden • Gescheiden netwerk • Encryptie • Backup

24

Wat is een veiligheidsbeleid?

25

Stap 1: Leg de doelstelling uit

26

Hoe vertalen naar WZC? Vb GZA

27

Toonaangevend => aandacht informatieveiligheid met als doel kwalitatieve zorg

- Een geïnformeerde patiënt - Beveligen van gegevens tegen misbruik - Steeds correcte gegevens voor het verlenen van zorg - Gegevens die beschikbaar zijn tijdens de zorg

Stap 2: Bepaal verantwoordelijkheden (1/4)

• Bevoegdheid: directie: – Eindverantwoordelijk voor de verwerking – Beslist over risico’s

• Werkgroep (vb geïntegreerd in kwaliteit) – Verantwoordelijke uitvoerder risicobeheer – Ontwikkelen beleid – Ontwikkeling en implementatie maatregelen

28

Stap 2: Bepaal verantwoordelijkheden (2/4)

• Veiligheidsconsulent – Zie decreet veiligheidsconsulenten

• Dienstverantwoordelijke – Ziet toe op de uitvoering beleid – Informeert de medewerkers – Ondersteunt controleactiviteiten vb logging

29

Stap 2: Bepaal verantwoordelijkheden (3/4)

• Medewerker – Is verantwoordelijk voor de gegevens van bewoners die hij/

zij verwerkt – voert de veiligheidsrichtlijnen uit tijdens zijn/haar

verwerkingsopdracht. – verwerkt enkel die gegevens die horen bij de taak – draagt zorg voor de gegeven – meldt inbreuken – naleving van artikel 458 van het Strafwetboek: De gebruiker

respecteert het beroepsgeheim.

30

Stap 2: Bepaal verantwoordelijkheden (4/4)

• CRA – geeft op vraag of uit eigen beweging adviezen over de beveiligingseisen ten

aanzien van medische gegevens. • Vb Op vraag van de veiligheidsconsulent bepaalt de coördinerend arts

veiligheidsprincipes voor de bescherming van de medische persoonsgegevens van de bewoners.

• De ICT medewerker – de implementatie van de technische maatregelen – veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek. – Veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van

ICT middelen te melden aan de veiligheidsconsulent – fungeert als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie

zowel als aan de remediëring van de informatieveiligheidsrisico’s – de gedragscode naleven.

31

Stap 3: Leg je beleid uit ten aanzien van leveranciers

• Is een verwerker dus: – Je stelt een verwerkersovereenkomst op – Je maakt afspraken over het veiligheidsniveau

32

Stap 4: doe dit ook voor…

• Criteria voor het uitwisselen van bewonersdata • Classificatie van gegevens • Beheer van identiteiten en rollen (en

personeelsbeheer) • Beheer van de logging • Netwerkbeveiliging en systeembeveiliging • Beheer certificaten • Mobile device management • Beheer van de toestemming van de betrokkenen

33

Wat is een veiligheidsplan?

34

Wat is een veiligheidsplan?

• Cfr kwaliteitsplan? –Wie –Wat –Wanneer –Wie is verantwoordelijk?

35

Wrap up…

• De verwerking van persoonsgegevens is bij wet geregeld

• Gezondheidsgegevens verwerken is verboden tenzij…

• Minimale veiligheidsvoorwaarden moeten voldaan zijn – Veiligheidsbeleid en -plan

• Bijzondere voorwaarden zijn van kracht vb voor gegevensdeling in de zorg – Veiligheidsconsulent

36

1 op 1 uitwisseling

37

- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op

- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op

Persoonlijk Certificate.p12

Ander voorbeeld van 1 op 1

38

- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op

- Bewijst wie je bent - Bouwt de veilige communicatie op

Persoonlijk Certificate.p12

WZC Certificate.p12

39

Uitwisseling via Vitalink (1 op meer)

AZ Alma

AZ Sint Lucas Gent

UZ Gent - COZO

UZ Leuven

WZC

2 voorwaarden voor communicatie

• Therapeutische relatie/zorgrelatie – De organisatie moet bewijzen een therapeutische relatie te

hebben met de patiënt

• Informed consent – De zorggebruiker is akkoord om gegevens te delen

40

Therapeutische relatie

• Aantonen dat je een therapeutische/zorg relatie hebt – In een WZC kan dit eenvoudig weg door een inschrijving

• Personeel mag geen gegevens raadplegen van bewoners met wie geen bewonersrelatie is => duidelijke richtlijnen

41

Informed consent

• Toestemming/geen toestemming van de bewoner, nadat deze werd geïnformeerd

– eHealth (ook: Vitalink): kan eventueel met uitsluitingen – Tekst informed consent ligt vast

– Belrai: eventueel na toetreding Vitalink COT (hoeft niet!) – Tekst informed consent ligt vast

42

43

44

45

46

47

Wrap up…

• De verwerking van persoonsgegevens is bij wet geregeld

• Gezondheidsgegevens verwerken is verboden tenzij…

• Minimale veiligheidsvoorwaarden moeten voldaan zijn – Veiligheidsbeleid en -plan

• Bijzondere voorwaarden zijn van kracht vb voor gegevensdeling in de zorg – Veiligheidsconsulent – Therapeutische relatie en toestemming

48

Circle of Trust (COT - enkel 1/meer!!)

49

AZ Sint Lucas Gent

UZ Gent - COZO

UZ Leuven

WZC

Voorwaarden voor COT

• (Zorg voor een veiligheidsbeleid en – plan) • (Zorg voor een veiligheidsconsulent) • Zorg voor toegangsbeheer tot bewonersdosser (incl.

Therapeutische relatie) • Zorg voor logging van de toegang en bewustwording • Zorg voor een toestemming van de bewoner • Zorg ervoor dat toegang niet wordt misbruikt

(leveranciers)

50

Een procedure voor toegangsbeheer?

• Geef antwoord op de vraag wie toegang heeft tot welke informatie in het bewonersdossier (matrix)

• Wie is verantwoordelijk voor deze matrix + bijwerkingen

• Wie is verantwoordelijk voor het toekennen van een rol?

• Wie beheert de rol bij functiewijzigingen?

51

Een procedure voor logging?

• Geeft een antwoord op: –Waar staat de logging? –Wat wordt gelogd? – Hoe lang worden deze logs bewaard? – Hoe zijn deze beschermd (ICT) –Wie controleert de logging en op welke manier? –Wat zijn eventuele sancties bij anomalieën?

52

Procedure voor toestemming

• Hoe wordt de toestemming verkregen van de bewoner? • Wie registreert deze toestemming? • Hoe kan een gebruiker de toestemming controleren? • Communicatie naar de bewoner: –Wie kan vragen over de toestemming behandelen? –Wie kan een toestemming wijzigen

• Hoe uitsluitingen registreren?

53

Wrap up: COT minimaal:

• (Zorg voor een veiligheidsbeleid en – plan) • (Zorg voor een veiligheidsconsulent) • Zorg voor toegangsbeheer tot bewonersdosser (incl.

Therapeutische relatie) • Zorg voor logging van de toegang en bewustwording • Zorg voor een toestemming van de bewoner • Zorg ervoor dat toegang niet wordt misbruikt

(leveranciers)

54

Aan de slag

• 1 op 1 communicatie vanuit WZC (naar vb zorgverlener, apotheek) of 1 op meer communicatie (vb Vitalink) – Aanvragen van een eHealth certificaat

• + Voor een 1/meer communicatie – Toetreden tot de COT van de “kluis”

• Vb COT Vitalink • Vb COT Belrai

– Aantonen dat je aan de voorwaarden voldoet (beleid, plan, consulent, procedures)

55

Opmerkingen bij het aanvragen van een certificaat

• Vergelijk dit met het aanvragen van een identiteitskaart –Wie is de uitgever? eHealth –Wat controleren ze?

• Identiteit van de aanvragende instelling (RIZIV nummer/KBO) • Identiteit van de aanvrager (is de natuurlijke persoon gemachtigd?)

–Wat heb je nodig? • eID van de gemachtigde aanvrager • Een computer waarop je de ‘aanvraag’ bewaard (=bestand)

56