Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...

of 23/23
INFORMATIEVEILIGHEID en PRIVACY Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid - Aanleiding - Opsomming; globale typering - Workshops 22 juni 2017 1 BTN - Informatieveiligheid en privacy
  • date post

    09-Jul-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...

  • INFORMATIEVEILIGHEIDen PRIVACY

    Introductie Peter van der ZwanDouwe de Jong

    Agenda15:00 Nieuwe ontwikkelingen

    - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017

    16:00 Handvatten Informatieveiligheid- Aanleiding - Opsomming; globale typering- Workshops

    22 juni 2017 1BTN - Informatieveiligheid en privacy

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 2

    INFORMATIEVEILIGHEIDen PRIVACY

    Ontwikkelingen rond persoonsgegevens

    Wat speelt er allemaal ?

    Ontwikkelingen, technologie, wet- en regelgeving

    • Meer mogelijkheden: Internet of things, domotica, big data, clientportalen, toenemende gegevensuitwisseling

    • Meer misbruik• Meer aandacht voor bescherming burger• Nieuwe wet- en regelgeving: AVG, Europese privacy verordening

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 3

    INFORMATIEVEILIGHEIDen PRIVACY

    Europese Privacy Verordening - AVG

    Waar moet ik op 28 mei 2018 extra aan voldoen ?

    • Register verwerking persoonsgegevens• Verwerkersovereenkomsten aangescherpt• Functionaris Gegevensbescherming• Privacy impact assessments (PIA’s)• Rechten clienten

    • Expliciete, vrije, ondubbelzinnige toestemming voor verwerking wanneer andere rechtmatige grondslag ontbreekt

    • Recht om vergeten te worden • Recht op data portabiliteit

    Hoge boetes door Autoriteit Persoonsgegevens (max. 20 miljoen of 4 procent)

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 4

    INFORMATIEVEILIGHEIDen PRIVACY

    Register verwerking persoonsgegevens

    Wat moet er in worden vastgelegd ? Per verwerking:

    • Doeleinden en grondslag• Categorieën persoonsgegevens en betrokkenen• Gevoeligheid / classificatie• Uitwisseling van gegevens• Bewaartermijnen• Beschrijving wijze waarop gegevens zijn beveiligd – zie ook NEN7510

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 5

    INFORMATIEVEILIGHEIDen PRIVACY

    Verwerkersovereenkomsten (lang niet altijd nodig)

    Aanzienlijke aanscherping ten opzichte van oude bewerkersovereenkomst:

    • Specificeren verwerkingen en doel hiervan• Categorieen betrokkenen• Borgen vertrouwelijkheid door bewerker• Beschrijving passende maatregelen• Noodzakelijke toestemming voor inschakelen subverwerker• Medewerking aan verzoeken betrokkene, meldplicht datalekken, uitvoeren

    risicoanalyse• Instemming met audit• Na afloop overeenkomst wissen / teruggeven gegevens

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 6

    INFORMATIEVEILIGHEIDen PRIVACY

    Meldplicht datalekken

    WBP loopt hier vooruit op AVG

    • Ernstig datalek melden binnen 72 uur melden bij Autoriteit Persoonsgegevens• Aard / omschrijving datalek• Gevolgen• Maatregelen

    • Melden aan betrokkene wanneer dit ongunstige gevolgen heeft voor de persoonlijke levenssfeer (zo spoedig mogelijk)

    • Bij twijfel melden• Wees voorbereid !

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 7

    INFORMATIEVEILIGHEIDen PRIVACY

    Rechtmatige grondslag

    Basis voor verwerking op basis van AVG

    • Uitvoering van een overeenkomst / contract• Wettelijke verplichting • Taak van algemeen belang / uitvoering openbaar gezag• Vitale belangen• Gerechtvaardigd belang (afweging)• Toestemming (expliciet, vrij, specifiek, geinformeerd en dubbelzinnig)

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 8

    INFORMATIEVEILIGHEIDen PRIVACY

    Functionaris gegevensbescherming

    AVG en zorg specifieke wetgeving

    • Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met

    organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden

    ingehuurd

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 9

    INFORMATIEVEILIGHEIDen PRIVACY

    Functionaris gegevensbescherming

    AVG en zorg specifieke wetgeving

    • Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met

    organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden

    ingehuurd

    https://beveiligingsupdate.nl/2017/05/11/marcel-koers-over-volwassenheid-op-privacy-gebied/

    https://beveiligingsupdate.nl/2017/05/11/marcel-koers-over-volwassenheid-op-privacy-gebied/

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 10

    INFORMATIEVEILIGHEIDen PRIVACY

    Revisie NEN7510

    Update

    • Consultatieronde NEN loopt tot 1 juli 2017• Sluit goed aan bij ISO 27001/27002• Speelt in op laatste ontwikkelingen• Minder beheermaatregelen, meer richtlijnen• Onderscheid algemeen en zorg specifiek• Comply-or-explain, risk-based

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 11

    INFORMATIEVEILIGHEIDen PRIVACY

    Wet- en regelgeving

    Zorg specifieke wetgeving

    • WGBO, WLZ, WMO, ZVW• Regeling gebruik burgerservicenummer in de zorg (NEN7510)• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (wet 5

    oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking van gegevens)

    • Besluit elektronische gegevensverwerking door zorgaanbieders (NEN normen, functionaris gegevensbescherming) per 1 juli 2017

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 12

    INFORMATIEVEILIGHEIDen PRIVACY

    Agenda15:00 Nieuwe ontwikkelingen

    - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017

    16:00 Handvatten Informatieveiligheid- Aanleiding

    - Opsomming; globale typering

    - Workshops

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 13

    INFORMATIEVEILIGHEIDen PRIVACY

    Handvatten Informatieveiligheid

    Wat heeft een medewerker nodig voor het leveren van goede zorg?

    Praktijkboek NEN 7510: Hoe te beginnen?

    Per handvat: tekst NENboekmedewerkersperspectieftoetscriteria

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 14

    INFORMATIEVEILIGHEIDen PRIVACY

    2.1 - Informatiebeveiligingsbeleid

    begin eenvoudig . . en communiceer!

    2.2 - Organisatie van informatiebeveiliging

    iedereen heeft een verantwoordelijkheidregel contactgroep IB; ondersteun elkaar

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 15

    INFORMATIEVEILIGHEIDen PRIVACY

    2.3 - Bewustwording, opleiding en training

    beveiligen is mensenwerk80% van de incidenten agv (onbewust) menselijk handelen

    2.4 - Kwaadaardige programmatuur

    vanuit ict al veel geregeld ondersteun medewerkers bij veilig gebruik

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 16

    INFORMATIEVEILIGHEIDen PRIVACY

    2.5a - Aandacht voor IB in overeenkomsten met derden

    maak gebruik van modelcontracten (zorg-breed model bwo)en controleer! (je blijft zelf verantwoordelijk!)

    2.5b - Communiceer veilig (vooral email, fax en post)

    kies een oplossing die regionaal veel wordt gebruiktmet een optie om ook niet-aangeslotenen te bereiken

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 17

    INFORMATIEVEILIGHEIDen PRIVACY

    2.6 - Beveilig toegang tot systemen

    zorggegevens: geen groepsaccounts toegestaanAVG: dubbele authenticatie buiten kantoor

    2.7 - Zorg voor continuiteitsvoorzieningen

    weet waar je afhankelijk van bent; ken je alternatieven!vertrouw op je professionaliteit; koppel zo nodig terug

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 18

    INFORMATIEVEILIGHEIDen PRIVACY

    2.8 - Houd rekening met intellectueel eigendom

    maak gebruik van legale software;klopt het aantal licenties?

    2.9 - beveilig bedrijfsdocumenten

    veilig opbergenhoe lang opbergen enwanneer verwijderen?

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 19

    INFORMATIEVEILIGHEIDen PRIVACY

    2.10 - Bescherm persoonsgegevens

    Privacybeleid; praktisch! maak gebruik van FAQ’sZie ook manifest en vuistregels Jeugddomein:

    “In goed vertrouwen . . privacy van de jeugd geborgd”http://mgz.venvn.nl/Artikelen/ID/1600314

    2.11 - Leef beveiligingsbeleid na

    Beveiligen is mensenwerk . . . regels en protocollenmaak informatiebeveiliging bespreekbaar

    http://mgz.venvn.nl/Artikelen/ID/1600314

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 20

    INFORMATIEVEILIGHEIDen PRIVACY

    2.12 - Rapporteer beveiligingsincidenten

    communiceren en leren; aanleiding voor verbeterpunten

    herken mogelijke datalekken!zie protocol LHV: 1e hulp bij datalekkenhttps://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg

    bij twijfel melden!

    https://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 21

    INFORMATIEVEILIGHEIDen PRIVACY

    Hoe de Handvatten te gebruiken?

    Grote organisaties: opmaat voor BBMCare

    Kleine organisaties: pas praktisch toe!+ aspecten medewerker; VoG, . . + fysieke beveiliging; gebouw, werkplek

    Stap-voor-stap beveiligingsmaatregelen als verbeterpunten in de kwaliteitscyclus!

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 22

    INFORMATIEVEILIGHEIDen PRIVACY

    2 Workshops Informatieveiligheid (20 en 25 medewerkers)

    Kenmerkend:nog veel op papier

    minder afhankelijk van ict

    zorgverlening overzichtelijk, flexibel minder afhankelijk van planning, dossiers, etc

    veel (informele) communicatie minder protocollen bewustwording vanzelfsprekender

    praktische oplossingen communiceren via telefoon/camera cliëntdocumenten versleutelen

  • 22 juni 2017 BTN - Informatieveiligheid en privacy 23

    INFORMATIEVEILIGHEIDen PRIVACY

    Vragen ?