Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...

23
INFORMATIEVEILIGHEID en PRIVACY Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid - Aanleiding - Opsomming; globale typering - Workshops 22 juni 2017 1 BTN - Informatieveiligheid en privacy

Transcript of Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...

Page 1: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

INFORMATIEVEILIGHEIDen PRIVACY

Introductie Peter van der ZwanDouwe de Jong

Agenda15:00 Nieuwe ontwikkelingen

- Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017

16:00 Handvatten Informatieveiligheid- Aanleiding - Opsomming; globale typering- Workshops

22 juni 2017 1BTN - Informatieveiligheid en privacy

Page 2: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 2

INFORMATIEVEILIGHEIDen PRIVACY

Ontwikkelingen rond persoonsgegevens

Wat speelt er allemaal ?

Ontwikkelingen, technologie, wet- en regelgeving

• Meer mogelijkheden: Internet of things, domotica, big data, clientportalen, toenemende gegevensuitwisseling

• Meer misbruik• Meer aandacht voor bescherming burger• Nieuwe wet- en regelgeving: AVG, Europese privacy verordening

Page 3: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 3

INFORMATIEVEILIGHEIDen PRIVACY

Europese Privacy Verordening - AVG

Waar moet ik op 28 mei 2018 extra aan voldoen ?

• Register verwerking persoonsgegevens• Verwerkersovereenkomsten aangescherpt• Functionaris Gegevensbescherming• Privacy impact assessments (PIA’s)• Rechten clienten

• Expliciete, vrije, ondubbelzinnige toestemming voor verwerking wanneer andere rechtmatige grondslag ontbreekt

• Recht om vergeten te worden • Recht op data portabiliteit

Hoge boetes door Autoriteit Persoonsgegevens (max. 20 miljoen of 4 procent)

Page 4: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 4

INFORMATIEVEILIGHEIDen PRIVACY

Register verwerking persoonsgegevens

Wat moet er in worden vastgelegd ? Per verwerking:

• Doeleinden en grondslag• Categorieën persoonsgegevens en betrokkenen• Gevoeligheid / classificatie• Uitwisseling van gegevens• Bewaartermijnen• Beschrijving wijze waarop gegevens zijn beveiligd – zie ook NEN7510

Page 5: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 5

INFORMATIEVEILIGHEIDen PRIVACY

Verwerkersovereenkomsten (lang niet altijd nodig)

Aanzienlijke aanscherping ten opzichte van oude bewerkersovereenkomst:

• Specificeren verwerkingen en doel hiervan• Categorieen betrokkenen• Borgen vertrouwelijkheid door bewerker• Beschrijving passende maatregelen• Noodzakelijke toestemming voor inschakelen subverwerker• Medewerking aan verzoeken betrokkene, meldplicht datalekken, uitvoeren

risicoanalyse• Instemming met audit• Na afloop overeenkomst wissen / teruggeven gegevens

Page 6: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 6

INFORMATIEVEILIGHEIDen PRIVACY

Meldplicht datalekken

WBP loopt hier vooruit op AVG

• Ernstig datalek melden binnen 72 uur melden bij Autoriteit Persoonsgegevens• Aard / omschrijving datalek• Gevolgen• Maatregelen

• Melden aan betrokkene wanneer dit ongunstige gevolgen heeft voor de persoonlijke levenssfeer (zo spoedig mogelijk)

• Bij twijfel melden• Wees voorbereid !

Page 7: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 7

INFORMATIEVEILIGHEIDen PRIVACY

Rechtmatige grondslag

Basis voor verwerking op basis van AVG

• Uitvoering van een overeenkomst / contract• Wettelijke verplichting • Taak van algemeen belang / uitvoering openbaar gezag• Vitale belangen• Gerechtvaardigd belang (afweging)• Toestemming (expliciet, vrij, specifiek, geinformeerd en dubbelzinnig)

Page 8: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 8

INFORMATIEVEILIGHEIDen PRIVACY

Functionaris gegevensbescherming

AVG en zorg specifieke wetgeving

• Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met

organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden

ingehuurd

Page 9: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 9

INFORMATIEVEILIGHEIDen PRIVACY

Functionaris gegevensbescherming

AVG en zorg specifieke wetgeving

• Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met

organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden

ingehuurd

https://beveiligingsupdate.nl/2017/05/11/marcel-koers-over-volwassenheid-op-privacy-gebied/

Page 10: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 10

INFORMATIEVEILIGHEIDen PRIVACY

Revisie NEN7510

Update

• Consultatieronde NEN loopt tot 1 juli 2017• Sluit goed aan bij ISO 27001/27002• Speelt in op laatste ontwikkelingen• Minder beheermaatregelen, meer richtlijnen• Onderscheid algemeen en zorg specifiek• Comply-or-explain, risk-based

Page 11: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 11

INFORMATIEVEILIGHEIDen PRIVACY

Wet- en regelgeving

Zorg specifieke wetgeving

• WGBO, WLZ, WMO, ZVW• Regeling gebruik burgerservicenummer in de zorg (NEN7510)• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (wet 5

oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking van gegevens)

• Besluit elektronische gegevensverwerking door zorgaanbieders (NEN normen, functionaris gegevensbescherming) per 1 juli 2017

Page 12: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 12

INFORMATIEVEILIGHEIDen PRIVACY

Agenda15:00 Nieuwe ontwikkelingen

- Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017

16:00 Handvatten Informatieveiligheid- Aanleiding

- Opsomming; globale typering

- Workshops

Page 13: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 13

INFORMATIEVEILIGHEIDen PRIVACY

Handvatten Informatieveiligheid

Wat heeft een medewerker nodig voor het leveren van goede zorg?

Praktijkboek NEN 7510: Hoe te beginnen?

Per handvat: tekst NENboekmedewerkersperspectieftoetscriteria

Page 14: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 14

INFORMATIEVEILIGHEIDen PRIVACY

2.1 - Informatiebeveiligingsbeleid

begin eenvoudig . . en communiceer!

2.2 - Organisatie van informatiebeveiliging

iedereen heeft een verantwoordelijkheidregel contactgroep IB; ondersteun elkaar

Page 15: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 15

INFORMATIEVEILIGHEIDen PRIVACY

2.3 - Bewustwording, opleiding en training

beveiligen is mensenwerk80% van de incidenten agv (onbewust) menselijk handelen

2.4 - Kwaadaardige programmatuur

vanuit ict al veel geregeld ondersteun medewerkers bij veilig gebruik

Page 16: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 16

INFORMATIEVEILIGHEIDen PRIVACY

2.5a - Aandacht voor IB in overeenkomsten met derden

maak gebruik van modelcontracten (zorg-breed model bwo)en controleer! (je blijft zelf verantwoordelijk!)

2.5b - Communiceer veilig (vooral email, fax en post)

kies een oplossing die regionaal veel wordt gebruiktmet een optie om ook niet-aangeslotenen te bereiken

Page 17: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 17

INFORMATIEVEILIGHEIDen PRIVACY

2.6 - Beveilig toegang tot systemen

zorggegevens: geen groepsaccounts toegestaanAVG: dubbele authenticatie buiten kantoor

2.7 - Zorg voor continuiteitsvoorzieningen

weet waar je afhankelijk van bent; ken je alternatieven!vertrouw op je professionaliteit; koppel zo nodig terug

Page 18: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 18

INFORMATIEVEILIGHEIDen PRIVACY

2.8 - Houd rekening met intellectueel eigendom

maak gebruik van legale software;klopt het aantal licenties?

2.9 - beveilig bedrijfsdocumenten

veilig opbergenhoe lang opbergen enwanneer verwijderen?

Page 19: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 19

INFORMATIEVEILIGHEIDen PRIVACY

2.10 - Bescherm persoonsgegevens

Privacybeleid; praktisch! maak gebruik van FAQ’sZie ook manifest en vuistregels Jeugddomein:

“In goed vertrouwen . . privacy van de jeugd geborgd”http://mgz.venvn.nl/Artikelen/ID/1600314

2.11 - Leef beveiligingsbeleid na

Beveiligen is mensenwerk . . . regels en protocollenmaak informatiebeveiliging bespreekbaar

Page 20: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 20

INFORMATIEVEILIGHEIDen PRIVACY

2.12 - Rapporteer beveiligingsincidenten

communiceren en leren; aanleiding voor verbeterpunten

herken mogelijke datalekken!zie protocol LHV: 1e hulp bij datalekkenhttps://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg

bij twijfel melden!

Page 21: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 21

INFORMATIEVEILIGHEIDen PRIVACY

Hoe de Handvatten te gebruiken?

Grote organisaties: opmaat voor BBMCare

Kleine organisaties: pas praktisch toe!+ aspecten medewerker; VoG, . . + fysieke beveiliging; gebouw, werkplek

Stap-voor-stap beveiligingsmaatregelen als verbeterpunten in de kwaliteitscyclus!

Page 22: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 22

INFORMATIEVEILIGHEIDen PRIVACY

2 Workshops Informatieveiligheid (20 en 25 medewerkers)

Kenmerkend:nog veel op papier

minder afhankelijk van ict

zorgverlening overzichtelijk, flexibel minder afhankelijk van planning, dossiers, etc

veel (informele) communicatie minder protocollen bewustwording vanzelfsprekender

praktische oplossingen communiceren via telefoon/camera cliëntdocumenten versleutelen

Page 23: Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking

22 juni 2017 BTN - Informatieveiligheid en privacy 23

INFORMATIEVEILIGHEIDen PRIVACY

Vragen ?