Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Transcriptie

1 GEGEVENSBESCHERMING IN DE PRAKTIJK Folkert van Hasselt 29 november 2017 Even Voorstellen Folkert van Hasselt RI Register informaticus Werkzaam bij Instituut Verbeeten Manager ICT Information Security Officer Netwerk Informatiebeveiliging NVZ Regionale Privacy Commissie Gezondheidszorg Geen enkele relatie met een leverancier of sponsor 2 1

2 Samenwerking Zorggroep RCH M-Br Palliatieve radiotherapie Instituut Verbeeten Workshop Gegevensbescherming in de praktijk 3 PROGRAMMA Informatie in de praktijk Veiligheid en bedreigingen Wetten en regels Kernbegrippen informatieveiligheid Risicoanalyse Maatregelen Wat kunt u doen? 4 2

3 Informatie in de praktijk Informatie veiligheid

4 Bedreigingen Ransomware 7 Van praktijk naar regulering ontwikkeling technologie gegevens over personen commercieel gebruik crimineel misbruik wet- en regelgeving toezichthouder interpretatie richtlijnen 8 4

5 Informatie veiligheid Medisch beroepsgeheim Wet Bescherming Persoonsgegevens Algemene Verordening Gegevensbescherming Wet Cliëntenrechten bij elektronische verwerking van gegevens Norm Informatiebeveiliging in de in de zorg zorg (NEN7510) Autoriteit Persoonsgegevens Beleidsregels Autoriteit Persoonsgegevens Richtsnoeren 2013 CBP Information Security Management System Plan A n a l y s e en doel en Ei sen aan Infor mati e - bevei l iging Do I m p l e m e n t e r e n en ui tvoer en Onder houden, v e r b e t e r e n Act Beheer de Infor mati e - bevei l iging Contr ol eren, beoor delen Check Plan Do Check Act Cyclus 10 5

6 ISMS Framework Stap 1 Bepalen beleid informatiebeveiliging Output voorbeelden Informatiebeveiliging beleid Stap 2 Input voorbeelden Bepalen scope informatiebeveiliging Informatiebeveiliging scope document Stap 3 Stap 4 Dreigingen Mogelijke gevolgen Kwetsbaarheden Risico management standaard Risico analyse Risico management Risico inventarisatie Business impact analyse Privacy impact assessment Dreigingsanalyse Stap 5 Norm of standaard maatregelen Selectie en implementatie maatregelen Operationele maatregelen Stap 6 Verklaring van toepasselijkheid Mapping risico s en maatregelen 11 Kernbegrippen informatie veiligheid Beschikbaarheid op de juiste momenten toegang hebben tot informatie Integriteit juist tijdig (actueel) volledig Vertrouwelijkheid informatie alleen toegankelijk indien geautoriseerd 12 6

7 Schade categorieën Patiënten lichamelijk, psychisch, financieel, privacy Medewerkers lichamelijk, psychisch, financieel, privacy Financieel omzet, cliënten, claims, boetes Imago Herstelkosten dossiers, bedrijfsadministratie 13 Impact analyse 14 7

8 Impact analyse Informatiebeveiligingsklasse Beschikbaarheid Integriteit Vertrouwelijkheid Schadecategorie Impact van het onbeschikbaar zijn van de applicatie of de informatie Impact van het onjuist, onvolledig Impact van het onthullen van de of niet tijdig zijn van de informatie informatie Directe schade voor patiënten (lichamelijk, psychisch, praktisch, financieel, privacy) Directe schade voor medewerkers (lichamelijk, psychisch, privacy, efficiencyverlies, achterstallig werk, motivatie) Financiële schade (omzetverlies, klantverlies, rente, juridische kosten, claims, boetes) Directe schade voor de bedrijfsvoering (stagnatie bedrijfsproces, verstoorde besuitvorming) Imago schade, verlies van vertrouwen (als zorginstelling, als werkgever) Herstelkosten of verlies van middelen (informatie, documenten, archieven, geïnvesteerde tijd of kapitaal) Middel: beperkte schade Hoog: grote schade Hoog: grote schade Laag: geen schade Laag: geen schade Laag: geen schade Laag: geen schade Middel: beperkte schade Hoog: grote schade Middel: beperkte schade Middel: beperkte schade Laag: geen schade Laag: geen schade Middel: beperkte schade Middel: beperkte schade Laag: geen schade Laag: geen schade Laag: geen schade 15 Informatiebeveiliging in de zorg NEN7510 Maatregelen Beleid en organisatie Fysieke en IT beveiliging en toegangsbeheer Personeel Bedrijfsmiddelen beheer Wijzigingen beheer Incidenten beheer Continuïteit Naleving 16 8

9 Wat betekent dat in de praktijk? Risico analyse Informatiesystemen Gegevensverzamelingen Persoonsgegevens Beveiligingsmaatregelen Identificeren en toepassen Controleren Audits 17 Workshop Zorggroep RCH Midden-Brabant organiseert workshops Gegevensbescherming in de praktijk Praktische toepassing Business impact analyse Privacy impact analyse Dreigingsanalyse Maatregelen analyse 18 9

10 Gegevensbescherming in de praktijk Presentatie Relevante wet- en regelgeving Zelf aan de slag Risico- en privacy analyse eigen praktijk Resultaat Analyserapport Certificaat Boek Drie PE-punten 19 Achtergrond Workshop Ontstaan in de praktijk bij Instituut Verbeeten Gericht op Beveiliging van informatie en persoonsgegevens Voldoen aan de wettelijke eisen Door middel van Inventarisatie en classificatie Analyse van risico s Benoemen van te nemen maatregelen Programma: Risicoanalyse Informatie en Privacy 20 10

11 Accreditatie Centraal Register Kort Beroepsonderwijs Kwaliteitscode voor Opleidingsinstellingen Audit door Lloyd s Accreditatie door de kwaliteitsregisters van Huisartsen Openbaar Apothekers Tandartsen Met 3 uren voor Permanente Educatie 21 Inschrijving workshop Gepland in het eerste kwartaal 2018 Dinsdag 30 januari Dinsdag 20 februari Dinsdag 13 maart Inschrijving kan via: Eerste 12 deelnemers voor RCH leden gratis Daarna 295 per persoon (vrijgesteld van BTW) 22 11

12 Dank voor uw aandacht 12