Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...
Transcript of Introductie - BTN€¦ · oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet...
INFORMATIEVEILIGHEIDen PRIVACY
Introductie Peter van der ZwanDouwe de Jong
Agenda15:00 Nieuwe ontwikkelingen
- Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017
16:00 Handvatten Informatieveiligheid- Aanleiding - Opsomming; globale typering- Workshops
22 juni 2017 1BTN - Informatieveiligheid en privacy
22 juni 2017 BTN - Informatieveiligheid en privacy 2
INFORMATIEVEILIGHEIDen PRIVACY
Ontwikkelingen rond persoonsgegevens
Wat speelt er allemaal ?
Ontwikkelingen, technologie, wet- en regelgeving
• Meer mogelijkheden: Internet of things, domotica, big data, clientportalen, toenemende gegevensuitwisseling
• Meer misbruik• Meer aandacht voor bescherming burger• Nieuwe wet- en regelgeving: AVG, Europese privacy verordening
22 juni 2017 BTN - Informatieveiligheid en privacy 3
INFORMATIEVEILIGHEIDen PRIVACY
Europese Privacy Verordening - AVG
Waar moet ik op 28 mei 2018 extra aan voldoen ?
• Register verwerking persoonsgegevens• Verwerkersovereenkomsten aangescherpt• Functionaris Gegevensbescherming• Privacy impact assessments (PIA’s)• Rechten clienten
• Expliciete, vrije, ondubbelzinnige toestemming voor verwerking wanneer andere rechtmatige grondslag ontbreekt
• Recht om vergeten te worden • Recht op data portabiliteit
Hoge boetes door Autoriteit Persoonsgegevens (max. 20 miljoen of 4 procent)
22 juni 2017 BTN - Informatieveiligheid en privacy 4
INFORMATIEVEILIGHEIDen PRIVACY
Register verwerking persoonsgegevens
Wat moet er in worden vastgelegd ? Per verwerking:
• Doeleinden en grondslag• Categorieën persoonsgegevens en betrokkenen• Gevoeligheid / classificatie• Uitwisseling van gegevens• Bewaartermijnen• Beschrijving wijze waarop gegevens zijn beveiligd – zie ook NEN7510
22 juni 2017 BTN - Informatieveiligheid en privacy 5
INFORMATIEVEILIGHEIDen PRIVACY
Verwerkersovereenkomsten (lang niet altijd nodig)
Aanzienlijke aanscherping ten opzichte van oude bewerkersovereenkomst:
• Specificeren verwerkingen en doel hiervan• Categorieen betrokkenen• Borgen vertrouwelijkheid door bewerker• Beschrijving passende maatregelen• Noodzakelijke toestemming voor inschakelen subverwerker• Medewerking aan verzoeken betrokkene, meldplicht datalekken, uitvoeren
risicoanalyse• Instemming met audit• Na afloop overeenkomst wissen / teruggeven gegevens
22 juni 2017 BTN - Informatieveiligheid en privacy 6
INFORMATIEVEILIGHEIDen PRIVACY
Meldplicht datalekken
WBP loopt hier vooruit op AVG
• Ernstig datalek melden binnen 72 uur melden bij Autoriteit Persoonsgegevens• Aard / omschrijving datalek• Gevolgen• Maatregelen
• Melden aan betrokkene wanneer dit ongunstige gevolgen heeft voor de persoonlijke levenssfeer (zo spoedig mogelijk)
• Bij twijfel melden• Wees voorbereid !
22 juni 2017 BTN - Informatieveiligheid en privacy 7
INFORMATIEVEILIGHEIDen PRIVACY
Rechtmatige grondslag
Basis voor verwerking op basis van AVG
• Uitvoering van een overeenkomst / contract• Wettelijke verplichting • Taak van algemeen belang / uitvoering openbaar gezag• Vitale belangen• Gerechtvaardigd belang (afweging)• Toestemming (expliciet, vrij, specifiek, geinformeerd en dubbelzinnig)
22 juni 2017 BTN - Informatieveiligheid en privacy 8
INFORMATIEVEILIGHEIDen PRIVACY
Functionaris gegevensbescherming
AVG en zorg specifieke wetgeving
• Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met
organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden
ingehuurd
22 juni 2017 BTN - Informatieveiligheid en privacy 9
INFORMATIEVEILIGHEIDen PRIVACY
Functionaris gegevensbescherming
AVG en zorg specifieke wetgeving
• Verplicht• Onafhankelijke positie• Adviseren, informeren (ook bij PIA’s) • Houdt register bij• Contactpersoon AP, aangemeld bij AP• Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met
organisatie• Mag gezamenlijk met andere organisaties worden aangesteld of worden
ingehuurd
https://beveiligingsupdate.nl/2017/05/11/marcel-koers-over-volwassenheid-op-privacy-gebied/
22 juni 2017 BTN - Informatieveiligheid en privacy 10
INFORMATIEVEILIGHEIDen PRIVACY
Revisie NEN7510
Update
• Consultatieronde NEN loopt tot 1 juli 2017• Sluit goed aan bij ISO 27001/27002• Speelt in op laatste ontwikkelingen• Minder beheermaatregelen, meer richtlijnen• Onderscheid algemeen en zorg specifiek• Comply-or-explain, risk-based
22 juni 2017 BTN - Informatieveiligheid en privacy 11
INFORMATIEVEILIGHEIDen PRIVACY
Wet- en regelgeving
Zorg specifieke wetgeving
• WGBO, WLZ, WMO, ZVW• Regeling gebruik burgerservicenummer in de zorg (NEN7510)• Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (wet 5
oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking van gegevens)
• Besluit elektronische gegevensverwerking door zorgaanbieders (NEN normen, functionaris gegevensbescherming) per 1 juli 2017
22 juni 2017 BTN - Informatieveiligheid en privacy 12
INFORMATIEVEILIGHEIDen PRIVACY
Agenda15:00 Nieuwe ontwikkelingen
- Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017
16:00 Handvatten Informatieveiligheid- Aanleiding
- Opsomming; globale typering
- Workshops
22 juni 2017 BTN - Informatieveiligheid en privacy 13
INFORMATIEVEILIGHEIDen PRIVACY
Handvatten Informatieveiligheid
Wat heeft een medewerker nodig voor het leveren van goede zorg?
Praktijkboek NEN 7510: Hoe te beginnen?
Per handvat: tekst NENboekmedewerkersperspectieftoetscriteria
22 juni 2017 BTN - Informatieveiligheid en privacy 14
INFORMATIEVEILIGHEIDen PRIVACY
2.1 - Informatiebeveiligingsbeleid
begin eenvoudig . . en communiceer!
2.2 - Organisatie van informatiebeveiliging
iedereen heeft een verantwoordelijkheidregel contactgroep IB; ondersteun elkaar
22 juni 2017 BTN - Informatieveiligheid en privacy 15
INFORMATIEVEILIGHEIDen PRIVACY
2.3 - Bewustwording, opleiding en training
beveiligen is mensenwerk80% van de incidenten agv (onbewust) menselijk handelen
2.4 - Kwaadaardige programmatuur
vanuit ict al veel geregeld ondersteun medewerkers bij veilig gebruik
22 juni 2017 BTN - Informatieveiligheid en privacy 16
INFORMATIEVEILIGHEIDen PRIVACY
2.5a - Aandacht voor IB in overeenkomsten met derden
maak gebruik van modelcontracten (zorg-breed model bwo)en controleer! (je blijft zelf verantwoordelijk!)
2.5b - Communiceer veilig (vooral email, fax en post)
kies een oplossing die regionaal veel wordt gebruiktmet een optie om ook niet-aangeslotenen te bereiken
22 juni 2017 BTN - Informatieveiligheid en privacy 17
INFORMATIEVEILIGHEIDen PRIVACY
2.6 - Beveilig toegang tot systemen
zorggegevens: geen groepsaccounts toegestaanAVG: dubbele authenticatie buiten kantoor
2.7 - Zorg voor continuiteitsvoorzieningen
weet waar je afhankelijk van bent; ken je alternatieven!vertrouw op je professionaliteit; koppel zo nodig terug
22 juni 2017 BTN - Informatieveiligheid en privacy 18
INFORMATIEVEILIGHEIDen PRIVACY
2.8 - Houd rekening met intellectueel eigendom
maak gebruik van legale software;klopt het aantal licenties?
2.9 - beveilig bedrijfsdocumenten
veilig opbergenhoe lang opbergen enwanneer verwijderen?
22 juni 2017 BTN - Informatieveiligheid en privacy 19
INFORMATIEVEILIGHEIDen PRIVACY
2.10 - Bescherm persoonsgegevens
Privacybeleid; praktisch! maak gebruik van FAQ’sZie ook manifest en vuistregels Jeugddomein:
“In goed vertrouwen . . privacy van de jeugd geborgd”http://mgz.venvn.nl/Artikelen/ID/1600314
2.11 - Leef beveiligingsbeleid na
Beveiligen is mensenwerk . . . regels en protocollenmaak informatiebeveiliging bespreekbaar
22 juni 2017 BTN - Informatieveiligheid en privacy 20
INFORMATIEVEILIGHEIDen PRIVACY
2.12 - Rapporteer beveiligingsincidenten
communiceren en leren; aanleiding voor verbeterpunten
herken mogelijke datalekken!zie protocol LHV: 1e hulp bij datalekkenhttps://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg
bij twijfel melden!
22 juni 2017 BTN - Informatieveiligheid en privacy 21
INFORMATIEVEILIGHEIDen PRIVACY
Hoe de Handvatten te gebruiken?
Grote organisaties: opmaat voor BBMCare
Kleine organisaties: pas praktisch toe!+ aspecten medewerker; VoG, . . + fysieke beveiliging; gebouw, werkplek
Stap-voor-stap beveiligingsmaatregelen als verbeterpunten in de kwaliteitscyclus!
22 juni 2017 BTN - Informatieveiligheid en privacy 22
INFORMATIEVEILIGHEIDen PRIVACY
2 Workshops Informatieveiligheid (20 en 25 medewerkers)
Kenmerkend:nog veel op papier
minder afhankelijk van ict
zorgverlening overzichtelijk, flexibel minder afhankelijk van planning, dossiers, etc
veel (informele) communicatie minder protocollen bewustwording vanzelfsprekender
praktische oplossingen communiceren via telefoon/camera cliëntdocumenten versleutelen
22 juni 2017 BTN - Informatieveiligheid en privacy 23
INFORMATIEVEILIGHEIDen PRIVACY
Vragen ?