SpotOnMedics B.V.Informatieveiligheid

en uw praktijk“U bent zelf verantwoordelijk”

Welkom

● Wilco Hamoen CTO SpotOnMedics● Niels Rientjes Klant Succes Manager

Onderwerpen van het webinar

1. Wat is informatieveiligheid en moet ik daar als praktijk iets mee?2. Wat doet SpotOnMedics?3. Wat betekent dit voor mijn praktijk?4. Tips & Tricks

Wat is informatieveiligheid?Definitie:Het samenhangend stelsel van maatregelen dat zich richt op het blijvend realiseren van een optimaal niveau van beschikbaarheid, integriteit en vertrouwelijkheid van informatie en informatiesystemen.

● Beschikbaarheid, de informatie moet op de gewenste momenten beschikbaar zijn;● Integriteit, de informatie moet juist en volledig zijn en de informatiesystemen moeten juiste en

volledige informatie opslaan en verwerken;● Vertrouwelijkheid, de informatie moet alleen toegankelijk zijn voor degene die hiervoor bevoegd zijn.

Moet ik daar als praktijk iets mee?Voorbeelden:

1. Het software-systeem wat je gebruikt wordt niet goed beheerd waardoor gegevens verloren kunnen gaan2. Patiënteninformatie ligt op het bureau van de therapeut en is inzichtelijk voor de volgende patiënt3. Een laptop wordt gestolen uit de auto waarop gegevens van patiënten staan in de vorm van

correspondentie4. U heeft een adressenbestand gemaakt voor een mailing en deze stuur je per ongeluk door naar een

verkeerd mailadres5. Na een inbraak zijn alle gescande documenten en correspondentie verdwenen. Je mist een goede backup6. Een of meerdere pc’s of servers op uw praktijk worden gegijzeld (door zogenaamde Ransomware)

waardoor de systemen niet meer bruikbaar zijn

Is dat dan mijn probleem en niet van de leverancier?● U bent als praktijk eigenaar van de informatie

● U bent als praktijk daarom verantwoordelijk

● De leverancier (welke dan ook) is hooguit bewerker in de zin dat deze uit uw naam gegevens voor u beheert.

Wat betekent het concreet?● Directe schade door

○ Verlies van informatie○ Tijdelijk niet kunnen werken met informatiesystemen○ Verloren werk wat opnieuw moet worden gedaan

● Indirecte schade door:○ Imagoschade

● Boete:○ Laakbaar gedrag kan worden beboet met 2% van de omzet of 2 miljoen euro (whichever is

higher) in het kader van de AVG

NEN7510● NEN staat voor Normalisatie en Normen

● 7510 richt zich op informatieveiligheid in de zorg

● NEN-certificering (of TPM-verklaring) wordt als contractvoorwaarde gesteld door Vecozo vanaf 1 september 2017 aan software tussen partijen

● Uitgebreide set van normen die zich richten op risicobeheersing van processen binnen bedrijven die werken met patiëntinformatie in de zorg

AVG en GDPR● Algemene Verordening Gegevensbescherming

● Nederlandse vertaling van GDPR (General Data Protection Regulation)

● Wet sinds 25 mei 2016

● Handhaving vanaf 25 mei 2018

● Set van rechten en plichten voor ALLE bedrijven in de europese markt

● “Right to be forgotten” en “Dataportabiliteit”

Wat doet SpotOnMedics?● Uw gegevens staan in een streng beveiligd data-center van KPN op

meerdere locaties (waaronder Amsterdam Cyber centre)

● KPN neemt alle mogelijke voorzorgsmaatregelen om de beschikbaarheid te kunnen waarborgen (denk aan dDOS etc.)

● SpotOnMedics laat dagelijks de omgeving (hardware en software) scannen op kwetsbaarheden

● SpotOnMedics breidt continu de infrastructuur uit om een steeds hogere beschikbaarheid te kunnen garanderen (door middel van redundantie)

Wat doet SpotOnMedics?● SpotOnMedics beheert uw praktijkgegevens volgens de ISO 27001 en

NEN7510-normering

● SpotOnMedics heeft in de afgelopen periode diverse beveiligingsmaatregelen geïntroduceerd die u meer grip geven op uw praktijkgegevens (tweelaags authenticatie, rollen en rechten en helpdesk toegang)

● SpotOnMedics logt veel transacties/mutaties in haar systemen

● Wij voldoen hiermee aan de eisen set van Vecozo (van kracht per 1-9-2017). Volledig ISO27001 en NEN7510 gecertificeerd in augustus 2017

Wat doet SpotOnMedics?● SpotOnMedics heeft een security officer aangesteld in een onafhankelijke rol

die (de naleving van) het informatiebeveiligingsbeleid bewaakt in alle facetten

● SpotOnMedics medewerkers zijn zich bewust van de risico’s op het gebied van informatieveiligheid

○ Tekenen formeel voor ons informatiebeveiligingsbeleid○ Tekenen een geheimhoudingsverklaring○ Nieuwe medewerkers hebben een VOG-verklaring nodig om bij ons aan het werk te kunnen○ Nieuwe ICT-medewerkers krijgen een screening van een extern bureau○ Tweewekelijks in het MT-overleg komt informatieveiligheid uitgebreid aan bod○ Maandelijks in het plenair bedrijfsvoering (bottom-up/Top-Down) komt informatieveiligheid aan

bod○ Geen documenten op de PC, Clean desk/clear screen-beleid

Wat moet ik binnen mijn praktijk doen?● NEN7510

○ Bewustwording○ Meldplicht datalekken ○ “Ik verwacht dat Vecozo in de komende jaren certificering ook bij de zorgverleners zal gaan

afdwingen”

● AVG○ Functionaris gegevensbescherming; maak iemand verantwoordelijk○ Dataportabiliteit; hoe ga je hiermee om?○ Recht op vergetelheid; hoe ga je hiermee om?○ Verwerkingsregister; breng alle informatiestromen in kaart?

Tips & tricks● Realiseer je dat informatieveiligheid een verantwoordelijkheid is van de

praktijk

● Verdiep je in de wetgeving en zorg dat de medewerkers zich bewust zijn van de regels en de risico’s

○ Boekje “grip op de AVG” ○ Posters via SpotOnMedics

Tips & tricks● Praktische implementatie:

○ Automatische schermbeveiliging na 2 minuten○ Activeer tweelaags authenticatie○ Ga na of je leveranciers voldoen aan de eisen; accepteer het antwoord dat je krijgt niet

zomaar ○ Zorg voor bewerkersovereenkomsten met je leveranciers; SpotOnMedics zal in de

zomerperiode dit voor u verzorgen als het gaat om onze overeenkomst

● Documenten naar de cloud (100% cloud)○ Haal alle documenten naar de cloud zodat je niet meer afhankelijk bent van lokale servers en

PC’s

Tips & tricks● Zoek hulp bij en verzeker je tegen cybercrime

○ Niet alleen verzekerd maar ook concreet hulp in de situatie dat er iets gebeurd■ Meldplicht, damage-control etc.

● Bij voldoende interesse kan SpotOnMedics een collectieve polis organiseren

Conclusie

HET VALT WEL MEE!Nee, het valt niet mee!

Vragen stellen

● Interesse in collectieve Cyberpolis

● Interesse in 100% cloud

● Posters worden apart gestuurd naar alle deelnemers van het webinar