20160216 Opeldingsfase 1 Wat is infoveiligheid 2...2 voorwaarden voor communicatie •...
Transcript of 20160216 Opeldingsfase 1 Wat is infoveiligheid 2...2 voorwaarden voor communicatie •...
eWZC-programma
Opleidingssessies informatieveiligheid in het kader van het informatiseringstraject van de Vlaamse
Woonzorgcentra (WZC)
Fase 1: Wat is informatieveiligheid?
1
Doelstelling vandaag: Wat is informatieveiligheid
Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a.
informatieveiligheid in de wetgeving, het eHealth platform en het sectorcomité SZ/AG).
- de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - de minimale richtsnoeren van de Privacycommissie toegelicht - Een veiligheidsbeleid en -plan toegelicht
3
Bescherming van persoonsgegevens
• Doelstelling: het correct verwerken van persoonsgegevens
• Privacy: komt in het gedrang wanneer je persoonsgegevens niet correct verwerkt – Maar ook: wanneer je over iemand praat in een publieke
ruimte –Wanneer je de lichamelijke integriteit in het gedrang brengt
4
DE PRIVACYWET: DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BIJ DE VERWERKING VAN PERSOONSGEGEVENS
Uitgelegd in 5 slides
5
5 belangrijke definities
• Wat zijn persoonsgegevens? – Adres? Overledene? E-mail? Geëncrypteerd? Anoniem? – Rechtstreekse of onrechtstreekse identificatie
• Wat is verwerking? – Geheel van verwerkingen
• Wie is verantwoordelijk bij de verwerking? – Bepaalt doel en middelen
• Wat is een verwerker? – Iemand, niet de verantwoordelijke, die gemachtigd is
• De toestemming van de betrokkene – Is niet: de kennisgeving, opt-in, opt-out
6
Voorwaarden voor het verwerken
• Eerlijk en rechtmatig • Finaliteit: welbepaalde, uitdrukkelijke doeleinde • Proportionaliteit: niet overmatig, ter zake dienend • Nauwkeurig • Met respect voor de bewaartermijnenToetsingscriteria voor de Privacycommissie
7
Mag ik gegevens verwerken? Ja als…
• Ik ondubbelzinnige toestemming kreeg • Ik mij kan beroepen op een overeenkomst • Ik mij kan beroepen op een wettelijke basis • Vitaal belang • (openbaar gezag) • Gerechtvaardigd belang
8
Speciale gevallen
• Gevoelige persoonsgegevens
• Gezondheidsgegevens (o.a.) – Schriftelijke toestemming – Onder toezicht van een beroepsbeoefenaar
• Gerechtelijke gegevens
9
Rechten van de betrokkene
• Kennisgeving aan de betrokkenen – Door een verklaring: wie verwerkt welke persoonsgegevens
waarom
• Recht op inzage – Op diens vraag
• Recht op verbetering
10
Vertrouwelijkheid en beveiliging van de verwerking
• De verantwoordelijke voor de verwerking dient – Finaliteit, proportionaliteit, bewaartermijn, … bewaken – Toegangsbeheer/rechten tot de persoonsgegevens regelen – Inlichten medewerkers (bewustwording)
• Indien de verwerking wordt uitbesteed aan een verwerker – Een partij te kiezen dat voldoende technische en
organisatorische waarborgen biedt om de gegevens te beschermen
– Veiligheidsniveau en aansprakelijkheid opnemen in contracten
11
Vertrouwelijkheid en beveiliging van de verwerking
• De verantwoordelijke voor de verwerking en verwerker – De gepaste technische en organisatorische maatregelen
nemen Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek ter zake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's.
12
Technische/organisatorische maatregelen?
13
Belangrijke elementen uit de richtsnoeren
• Je dient te beschikken over een veiligheidsbeleid – Vb Elke toegang tot het bewonersdossier is individueel – Vb Elke bewoner geeft toestemming voor gegevensdeling
• Je dient te beschikken over een veiligheidsplan – Cfr Kwaliteitsplan: hoe continu de veiligheid verbeteren?
• Je neemt maatregelen met het oog op vrijwaring van – Confidentialiteit // Integriteit // Beschikbaarheid
14
Bijzondere voorwaarden voor de verwerking van gegevens in een WZC
Voor de verwerking van gegevens binnen/buiten het WZC
15
Er zijn grofweg drie verwerkingen die aandacht vragen (bewonerscontext)
• Voor de verwerking van het Rijksregister –Wet rijksregister van 08/08/1983
• Voor de uitwisseling van gegevens met vb Belrai • Voor de uitwisseling van Gezondheidsgegevens via
netwerk – Decreet gegevensdeling in de zorg
16
De verwerking van rijksregisternummer
• Wat? Rijksregisterwet van 1983 – Rijksregisternummer is een wettelijk beschermd nummer
• Voorwaarde (o.a)? Legt de eis op van veiligheidsconsulent
17
Uitwisselen van gegevens met Belrai
• Een uitwisseling van gezondheidsgegevens met Belrai is gemachtigd door het Sectoraal Comité Sociale Zekerheid afdeling gezondheid
• Deze machtiging bespreekt de randvoorwaarden zoals… – Een veiligheidsconsulent aanstellen
18
Decreet gegevensdeling in de zorg
• Wat (o.a)? De creatie van een netwerk – rond efficiënte en veilige gegevensdeling persoonsgegevens – tussen alle actoren in de zorg onderling – met het oog op een continue en kwaliteitsvolle
zorgverstrekking aan zorggebruikers.
• Plicht om dit netwerk te gebruiken
19
Decreet gegevensdeling in de zorg
• Voorwaarde? – Aanstellen van een veiligheidsconsulent –WZC stelt een veiligheidsbeleid // veiligheidsplan op
20
Wat is een veiligheidsconsulent?
aangestelde voor de gegevensbescherming, data protection officer, toegangsbeheerder
21
22
BVR 15/5/2009 bepaalt de taken
• Rapporteert aan de directeur • Adviezen en aanbevelingen voorleggen aan het directiecomité • Opdrachten uit te voeren op vraag van het directiecomité • Bevorderen bewustwording van alle actoren binnen het WZC • Ziet toe op de naleving van het veiligheidsbeleid • Documenteert het veiligheidsbeleid Stelt het veiligheidsplan op voor
een periode van 3 jaar en waakt over de uitvoering. • Stelt een jaarverslag op met vorderingen van het veiligheidsplan
voor het directiecomité • Registreert overtredingen en maakt dezeover aan het directiecomité
23
Concreet: voor een WZC?
• Kwaliteitsmedewerker kent de opvolgmethodiek • Mogelijk technische injectie nodig: – Begrip van enkele technische termen. Kennistoets
• Logging • Paswoorden • Gescheiden netwerk • Encryptie • Backup
24
Wat is een veiligheidsbeleid?
25
Stap 1: Leg de doelstelling uit
26
Hoe vertalen naar WZC? Vb GZA
27
Toonaangevend => aandacht informatieveiligheid met als doel kwalitatieve zorg
- Een geïnformeerde patiënt - Beveligen van gegevens tegen misbruik - Steeds correcte gegevens voor het verlenen van zorg - Gegevens die beschikbaar zijn tijdens de zorg
Stap 2: Bepaal verantwoordelijkheden (1/4)
• Bevoegdheid: directie: – Eindverantwoordelijk voor de verwerking – Beslist over risico’s
• Werkgroep (vb geïntegreerd in kwaliteit) – Verantwoordelijke uitvoerder risicobeheer – Ontwikkelen beleid – Ontwikkeling en implementatie maatregelen
28
Stap 2: Bepaal verantwoordelijkheden (2/4)
• Veiligheidsconsulent – Zie decreet veiligheidsconsulenten
• Dienstverantwoordelijke – Ziet toe op de uitvoering beleid – Informeert de medewerkers – Ondersteunt controleactiviteiten vb logging
29
Stap 2: Bepaal verantwoordelijkheden (3/4)
• Medewerker – Is verantwoordelijk voor de gegevens van bewoners die hij/
zij verwerkt – voert de veiligheidsrichtlijnen uit tijdens zijn/haar
verwerkingsopdracht. – verwerkt enkel die gegevens die horen bij de taak – draagt zorg voor de gegeven – meldt inbreuken – naleving van artikel 458 van het Strafwetboek: De gebruiker
respecteert het beroepsgeheim.
30
Stap 2: Bepaal verantwoordelijkheden (4/4)
• CRA – geeft op vraag of uit eigen beweging adviezen over de beveiligingseisen ten
aanzien van medische gegevens. • Vb Op vraag van de veiligheidsconsulent bepaalt de coördinerend arts
veiligheidsprincipes voor de bescherming van de medische persoonsgegevens van de bewoners.
• De ICT medewerker – de implementatie van de technische maatregelen – veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek. – Veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van
ICT middelen te melden aan de veiligheidsconsulent – fungeert als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie
zowel als aan de remediëring van de informatieveiligheidsrisico’s – de gedragscode naleven.
31
Stap 3: Leg je beleid uit ten aanzien van leveranciers
• Is een verwerker dus: – Je stelt een verwerkersovereenkomst op – Je maakt afspraken over het veiligheidsniveau
32
Stap 4: doe dit ook voor…
• Criteria voor het uitwisselen van bewonersdata • Classificatie van gegevens • Beheer van identiteiten en rollen (en
personeelsbeheer) • Beheer van de logging • Netwerkbeveiliging en systeembeveiliging • Beheer certificaten • Mobile device management • Beheer van de toestemming van de betrokkenen
33
Wat is een veiligheidsplan?
34
Wat is een veiligheidsplan?
• Cfr kwaliteitsplan? –Wie –Wat –Wanneer –Wie is verantwoordelijk?
35
Wrap up…
• De verwerking van persoonsgegevens is bij wet geregeld
• Gezondheidsgegevens verwerken is verboden tenzij…
• Minimale veiligheidsvoorwaarden moeten voldaan zijn – Veiligheidsbeleid en -plan
• Bijzondere voorwaarden zijn van kracht vb voor gegevensdeling in de zorg – Veiligheidsconsulent
36
1 op 1 uitwisseling
37
- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op
- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op
Persoonlijk Certificate.p12
Ander voorbeeld van 1 op 1
38
- Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op
- Bewijst wie je bent - Bouwt de veilige communicatie op
Persoonlijk Certificate.p12
WZC Certificate.p12
39
Uitwisseling via Vitalink (1 op meer)
AZ Alma
AZ Sint Lucas Gent
UZ Gent - COZO
UZ Leuven
WZC
2 voorwaarden voor communicatie
• Therapeutische relatie/zorgrelatie – De organisatie moet bewijzen een therapeutische relatie te
hebben met de patiënt
• Informed consent – De zorggebruiker is akkoord om gegevens te delen
40
Therapeutische relatie
• Aantonen dat je een therapeutische/zorg relatie hebt – In een WZC kan dit eenvoudig weg door een inschrijving
• Personeel mag geen gegevens raadplegen van bewoners met wie geen bewonersrelatie is => duidelijke richtlijnen
41
Informed consent
• Toestemming/geen toestemming van de bewoner, nadat deze werd geïnformeerd
– eHealth (ook: Vitalink): kan eventueel met uitsluitingen – Tekst informed consent ligt vast
– Belrai: eventueel na toetreding Vitalink COT (hoeft niet!) – Tekst informed consent ligt vast
42
43
44
45
46
47
Wrap up…
• De verwerking van persoonsgegevens is bij wet geregeld
• Gezondheidsgegevens verwerken is verboden tenzij…
• Minimale veiligheidsvoorwaarden moeten voldaan zijn – Veiligheidsbeleid en -plan
• Bijzondere voorwaarden zijn van kracht vb voor gegevensdeling in de zorg – Veiligheidsconsulent – Therapeutische relatie en toestemming
48
Circle of Trust (COT - enkel 1/meer!!)
49
AZ Sint Lucas Gent
UZ Gent - COZO
UZ Leuven
WZC
Voorwaarden voor COT
• (Zorg voor een veiligheidsbeleid en – plan) • (Zorg voor een veiligheidsconsulent) • Zorg voor toegangsbeheer tot bewonersdosser (incl.
Therapeutische relatie) • Zorg voor logging van de toegang en bewustwording • Zorg voor een toestemming van de bewoner • Zorg ervoor dat toegang niet wordt misbruikt
(leveranciers)
50
Een procedure voor toegangsbeheer?
• Geef antwoord op de vraag wie toegang heeft tot welke informatie in het bewonersdossier (matrix)
• Wie is verantwoordelijk voor deze matrix + bijwerkingen
• Wie is verantwoordelijk voor het toekennen van een rol?
• Wie beheert de rol bij functiewijzigingen?
51
Een procedure voor logging?
• Geeft een antwoord op: –Waar staat de logging? –Wat wordt gelogd? – Hoe lang worden deze logs bewaard? – Hoe zijn deze beschermd (ICT) –Wie controleert de logging en op welke manier? –Wat zijn eventuele sancties bij anomalieën?
52
Procedure voor toestemming
• Hoe wordt de toestemming verkregen van de bewoner? • Wie registreert deze toestemming? • Hoe kan een gebruiker de toestemming controleren? • Communicatie naar de bewoner: –Wie kan vragen over de toestemming behandelen? –Wie kan een toestemming wijzigen
• Hoe uitsluitingen registreren?
53
Wrap up: COT minimaal:
• (Zorg voor een veiligheidsbeleid en – plan) • (Zorg voor een veiligheidsconsulent) • Zorg voor toegangsbeheer tot bewonersdosser (incl.
Therapeutische relatie) • Zorg voor logging van de toegang en bewustwording • Zorg voor een toestemming van de bewoner • Zorg ervoor dat toegang niet wordt misbruikt
(leveranciers)
54
Aan de slag
• 1 op 1 communicatie vanuit WZC (naar vb zorgverlener, apotheek) of 1 op meer communicatie (vb Vitalink) – Aanvragen van een eHealth certificaat
• + Voor een 1/meer communicatie – Toetreden tot de COT van de “kluis”
• Vb COT Vitalink • Vb COT Belrai
– Aantonen dat je aan de voorwaarden voldoet (beleid, plan, consulent, procedures)
55
Opmerkingen bij het aanvragen van een certificaat
• Vergelijk dit met het aanvragen van een identiteitskaart –Wie is de uitgever? eHealth –Wat controleren ze?
• Identiteit van de aanvragende instelling (RIZIV nummer/KBO) • Identiteit van de aanvrager (is de natuurlijke persoon gemachtigd?)
–Wat heb je nodig? • eID van de gemachtigde aanvrager • Een computer waarop je de ‘aanvraag’ bewaard (=bestand)
56