FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU. Informatiesessie Veiligheidsconsulenten 24/02/2012

Maat: px
Weergave met pagina beginnen:

Download "FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU. Informatiesessie Veiligheidsconsulenten 24/02/2012"

Transcriptie

1 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 1 Informatiesessie Veiligheidsconsulenten 24/02/2012

2 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 2 Agenda - Inleiding - De Veiligheidsconsulent - Feedback ontvangen profielen VC - Duiding functie VC - Voorziene opleidingen - - Pauze - Informatieveiligheid in de ziekenhuisomgeving: Waar beginnen? - Wettelijke context - Praktijkvoorbeelden..14u..14u10..15u30..15u45..16h45

3 SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3 Infosessie Veiligheidsconsulenten in ziekenhuizen Vrijdag 24 februari 2012 Decoster Christiaan,Directeur-generaal FOD Volksgezondheid

4 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 4 Veiligheidsconsulenten in ziekenhuizen 1.Noordzaak van veiligheidsconsulenten 2.Wetgevend kader 2.Huidge problematiek 3.Waar staan we vandaag?

5 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 5 1.Veiligheidsconsulenten in ziekenhuizen Naast de juridische redenen dient belang van veiligheidsconsulenten in ziekenhuizen te worden onderstreept: 1) Verregaande informatisering van ziekenhuizen: met ondermeer elektronische dossiers en elektronische uitwisseling van gegevens 2) Nood aan bescherming van de persoonlijke levenssfeer Risiko s dienen te worden vermeden.

6 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 6 2.Wetgevend kader De wet van 15 januari die de Kruispuntbank opricht voorziet dat iedere openbare overheid,natuurlijke persoon en openbare of private instelling die toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, moet,al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aanwijzen. De identiteit van deze persoon moet medegedeeld worden aan de Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid.

7 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 7 2.Wetgevend kader Dit comité moet nagaan of de veiligheidsconsulent een passende voortdurende vorming heeft genoten en werkt op een gecoördineerde wijze. Bij gebreke hieraan moeten alle nodige maatregelen worden getroffen om de passende vorming te verzekeren of om de coördinatie te verzekeren, ondermeer op technisch vlak. De FOD wil hierop ingaan en ervoor zorgen dat vorming kan worden verzekerd.

8 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 8 2.Wetgevend kader 2.2.In 1994 werden de volgende bepalingen ingevoegd in het KB van 23 oktober 1964: Elk ziekenhuis dient voor wat betreft de verwerking van persoonsgegevens die betrekking hebben op patïenten, in het bijzonder medische gegevens, te beschikken over een reglement voor de bescherming van de persoonlijke levenssfeer Dit reglement (en alle wijzigingen) moeten medegedeeld worden aan de Commissie voor toezicht en evaluatie van statistische gegevens inzake de medische aktiviteiten in de ziekenhuizen (tegenwoordig de Multipartitestruktuur voor ziekenhuizen).

9 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 9 2.Wetgevend werk Deze Commissie moet de reglementen ter beschikking houden van de Commissie voor de bescherming persoonlijke levenssfeer De houder van het gegevensbestand moet een consulent inzake veiligheid van gegevens aanduiden. 2.3.Het KB van 12 februari 2008 houdende bepaling van de regels volgens welke de beheerder van de ziekenhuizen statistische gegevens aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, moet mededelen moet ook mededeling doen van de identiteit van de veiligheidsconsulent en van elke wijziging. 2.4.Gelijkaardige bepaling tav het RIZIV voor Carenet

10 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 10 3.Huidige problematiek 3.1.De FOD, Dienst Datamanagement, beschikt over een lijst van veiligheidsconsulenten,maar deze lijst is niet aktueel: de ziekenhuizen hebben niet altijd de wijzigingen medegedeeld. De FOD beschikt ook over jaarlijkse mededeling van statistische gegevens met de identiteit van de veiligheidsconsulent. Beide gegevens dienen aan elkaar te worden getoetst. 3.2.De Commissie voor de evaluatie van statistische gegevens die verband houden met de medische aktiviteiten in ziekenhuizen bestaat niet meer, waardoor de ziekenhuizen de wijzigingen aan hun reglement niet meer hebben medegedeeld.deze taken werden overgenomen door de Multipartite-struktuur voor ziekenhuizen.

11 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 11 3.Huidige problematiek 3.3.Het Sectoraal comité voor sociale zekerheid en volksgezondheid heeft op 5 juli 2011 beslist dat de ziekenhuizen die niet over een veiligheidsconsulent beschikken, geen toegang meer zullen hebben tot persoonsgegevens van het Rijksregister. 3.4.Ingevolge deze beslissing heeft het Sectoraal comité ons gevraagd om een omzendbrief te sturen naar de ziekenhuizen,waarin wordt herinnerd aan de wettelijke verplichtingen evenals de beslissing van het Sectoraal comité mede te delen.tevens werden we verzocht na te gaan wat het niveau van vorming en competenties is van de veiligheidsconsulenten.

12 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 12 3.Huidige problematiek 3.5.Op 9 september 2011 werd aan de ziekenhuizen een omzendbrief gestuurd met concrete voorstellen om de ziekenhuizen te ondersteunen: a) Het engagement om de gegevensverzameling betreffende de veiligheidsconsulenten (zowel tav de FOD,het Sectoraal comité als het RIZIV ivm de toepassing van Carenet) te coördineren. b) De organisatie van een informatiesessie om de opleidingsbehoeften van de veiligheidsconsulenten te identificeren en te herinneren aan hun opdrachten. c) Het creëren van een werkgroep met veiligheidsconsulenten om goede praktijken inzake veiligheid van informatie te beschrijven.

13 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 13 4.Waar staan we vandaag? 4.1.Ongeveer 2/3 van de ziekenhuizen heeft de FOD een dossier bezorgd met de identiteit en het profiel van de consulenten.er ontbreken 67 dossiers. 4.2.Met de Kruispuntbank wordt overwogen om nog maar één authentieke bron van veiligheidsconsulenten bij te houden. Dit veronderstelt een aanpassing van de wetgeving zodoende dat de ziekenhuizen nog maar een keer de gegevens moeten overmaken.

14 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 14 4.Waar staan we vandaag? 4.3. De informatiesessie van vandaag heeft volgende agenda: a) Herinneren aan het wetgevend kader (zie omzendbrief); b) Een analyse van de situatie in de sector op basis van de antwoorden die de FOD heeft ontvangen; c) Een presentatie van de projekten in het kader van de opleidingscyclus; d) Presentatie van een instrument om een veiligheidsplan te ontwerpen.

15 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 15 4.Waar staan we vandaag? 4.4. De medewerkers van de FOD hebben samen met deze van de Cel veiligheid van gegevens van de Kruispuntbank, een programma voor de opleiding van consulenten van ziekenhuizen uitgewerkt. Dit programma bevat 1 module van 1 dag gericht op de ziekenhuizen en 8 modules die specifieke thema s behandelen Deze vorming zal georganiseerd worden in beide landstalen in kleine groepjes (20 à 30 personen) door medewerkers van de Kruispuntbank. Er bestaat geen enkel wettelijke verplichting tot het volgen van deze opleiding. De ziekenhuizen kunnen, naargelang het thema, meerdere personen inschrijven.de vorming zal georganiseerd worden vanaf mei 2012.

16 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 16 4.Waar staan we vandaag? 4.5. Een werkgroep inzake de goede praktijken zal van start gaan éénmaal we een goed zicht hebben op wat er in de sektor bestaat.

17 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 17 5.Conclusie Het is onontbeerlijk dat de ziekenhuizen gevolg geven aan de omzendbrief. Ze moeten hun engagement tonen om te participeren aan de opleiding, mib van de aspecten mbt de opmaak van een veiligheidsplan. De opleiding moet vrij snel kunnen volgen. De beslissing van het Sectoraal comité moet in deze context worden gezien.

18 De veiligheidsconsulent Een beroep Een functie Een rol binnen een organisatie Chris De Vuyst Veiligheidsconsulent Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel Website ehealth-platform: https://www.ehealth.fgov.be

19 Inleiding Overzicht van de uiteenzetting Veiligheid De risico's nemen toe!!! Functie van de veiligheidsconsulent Rol van de informatieveiligheidsconsulent Andere functies in de organisatie die hierbij zijn betrokken Aanwijzings- en opvolgingsprocedure Werkgroep Inhoud van de cursus - informatieveiligheid Overzicht van de modules 24/02/

20 Computerbestanden van N-VA gestolen Bij de Antwerpse N-VA zijn vertrouwelijke computerbestanden van de partij gestolen. Het gaat om ontwerpteksten voor het congres van 21 april en de ledenlijsten. Ingewijden spreken van politieke spionage. Awareness 24/02/

21 Functie (uittreksel uit de brief van het ministerie) De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur omtrent alle aspecten van de informatieveiligheid. Dit impliceert een adviserende, stimulerende, documenterende en controlerende opdracht. De informatieveiligheidsconsulent bevordert de naleving van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in het ziekenhuis. 24/02/

22 Functie (uittreksel uit de brief van het ministerie) De veiligheidsconsulent werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn, inzonderheid met de informaticadienst en de dienst voor veiligheid, gezondheid en verfraaiing van de werkplaatsen van het ziekenhuis. De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van het ziekenhuis en van de informatieveiligheid. Hij dient deze kennis op peil te houden. 24/02/

23 Functie (uittreksel uit de brief van het ministerie) De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een bepaalde termijn, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. een opdracht gedurende 40% van de tijd blijkt het minimum te zijn 24/02/

24 Informatieveiligheidsconsulent (beroep) Interpreteren van de informatieveiligheidsreglementering op maat van de organisatie Voorstellen van een veiligheidsstrategie Nemen van initiatieven omtrent informatieveiligheid Coördineren van activiteiten omtrent informatieveiligheid Beheren van het Information security management -system (ISMS) Beheren van het informatieveiligheidsbeleid (ISP) Verstrekken van adviezen inzake veiligheid Bewerkstelligen van een samenwerking tussen interne en externe organisaties Organiseren van bewustwordingstrainingen inzake veiligheid op alle niveaus van de organisatie Bezieler van het "Platform voor de informatieveiligheid" 24/02/

25 Informatieveiligheidsconsulent (beroep) Voorbereiden/opstellen van een jaarlijks budget voor de informatieveiligheid Identificeren van de veiligheidsrisico's en er de nadruk op leggen Interne begeleiding, onderzoek, audit Voorbereiden van onafhankelijke externe audits omtrent informatieveiligheid en opvolgen van aanbevelingen Specifieke taken van de sociale zekerheid Opvolging van de minimale normen Jaarlijkse vragenlijst Planning Opsporen van mogelijke veiligheidsinbreuken inzake vertrouwelijkheid, integriteit, machtiging,... op vraag van de directie, de rechtbank,... op basis van goedgekeurde procedures Opvolgen van de evolutie van bedreigingen, tegenmaatregelen, systemen,... 24/02/

26 Platform voor de informatieveiligheid Delegeren van verantwoordelijkheden Ondersteunen van het management tijdens de beveiligingsprocedure Ontwikkelen van doelstellingen, strategieën en veiligheidsrichtlijnen Evalueren van veiligheidsrapporten en nagaan in welke mate belangrijke informatie uiteengezet wordt en wat de businessimpact ervan is Nagaan in hoeverre de verschillende veiligheidsinitiatieven gevorderd zijn Evalueren van belangrijke veiligheidsincidenten Goedkeuren van alle wijzigingen aan het ITveiligheidsbeleid 24/02/

27 Rol van de directie Een duidelijke ondersteuning en een voorbeeldgedrag van de directie is noodzakelijk om de informatieveiligheid in goede banen te leiden 24/02/

28 Incident Response Team Beheer bij een ernstig incident Inschatten van de situatie Beperken van de schade Verzekeren van de continuïteit Herstellen van de normale situatie Verbeteringsacties 24/02/

29 Andere hierbij betrokken functies Systeemverantwoordelijke Aankoopdienst Juridische dienst Project manager Ontwikkeling Productie 24/02/

30 Aanwijzings- en begeleidingsprocedure Verzending van de kandidatuur door het ziekenhuis Onderzoek van de kandidatuur door het Sectoraal Comité Goedkeuring van de consulent Organisatie van opleidingen Planning 24/02/

31 Stand van zaken eind februari Ongeveer 100 ziekenhuizen hebben hun kandidatuur voorgelegd Opleidingsnoden op basis van CV van +/- 40 % van de kandidaten Frans Nederlands Basisinformatica 18,66 % 32,28% Medische informatica 47,02% 61,54% Gezondheidszorg 49,21% 45,09% Informatieveiligheid 38,55% 39,13% Er werden enkele opleidingen voor de medische sector gegeven 24/02/

32 Werkgroep Binnenkort wordt een werkgroep opgericht met alle veiligheidsconsulenten van de ziekenhuizen dat, na goedkeuring door de afdeling gezondheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, de good practices omtrent de informatieveiligheid zal vastleggen Oproep aan kandidaten 24/02/

33 Doelstellingen van de werkgroep Grondig onderzoek van het wettelijke veiligheidskader in de gezondheidssector Invoering van minimale normen Omschrijving van veiligheidsbeleid voor het ehealthdomein Gebruikersbeheer Servers Cloud computing Wifi beleid Gegevensclassificatie Veiligheidsincidenten /02/

34 De voorgestelde opleidingen Opleiding in modules Module 1 : Basisinformatica Module 2 : Medische informatica (in combinatie met 1) - 2 dagen Module 3 : Gezondheidszorg : wettelijke aspecten & praktische gevallen - 1 dag Module 4 : informatieveiligheid - 5 dagen Planning 24/02/

35 24/02/2012 Informatieveiligheid (inhoud) Cursus gebaseerd op de normen ISO / / Bevat oefeningen en praktische gevallen De verschillende modules: 1. Methodologie 2. Organisatie veiligheid 3. Beheer van bedrijfsmiddelen (asset management) 4. Personeelsgerelateerde veiligheid 5. Fysieke veiligheid en bescherming van de omgeving 6. Veiligheid m.b.t. projectontwikkeling 7. Operationeel beheer 8. Logische toegangsbeveiliging 9. Incidentenbeheer 10. Continuïteit 11. Conformiteit en controle 35

36 Module 1: methodologie Aanpak (ISO-norm 2700X) Implementatie van een ISMS en van een informatieveiligheidsbeleid (ISP) Keuze van een aangepaste methode van risicoanalyse Praktische punten 24/02/

37 Doelstelling: een integraal aanbod Het information security management dekt alle aspecten van de (fysieke, logische en menselijke) veiligheid Overzicht van alle veiligheidsrisico s binnen de organisatie Overzicht van alles wat al uitgevoerd is alles wat voor verbetering vatbaar is alle aanvaarde risico s 24/02/

38 Doelstelling: een integraal aanbod 24/02/

39 Module 2 : organisatie Doelstelling: implementatie van een dienst (platform) dat is belast met het beheer van de informatieveiligheidsrisico s Analyse van verantwoordelijkheden De rollen van elke persoon omschrijven: RACI matrix (directie, veiligheidsdepartement, ontwikkelaars, leveranciers etc.) Gevolg voor aanwervingen (arbeidsovereenkomst) Oprichting van een cel voor incidentenbeheer Oprichting van een veiligheidsgroep ISMS en ISP implementatie- en opvolgingsprocedure 24/02/

40 Module 3 : beheer van bedrijfsmiddelen Onderzoek van bedrijfsmiddelen Afstemming op de information security policy Inventaris van de waarden en daarbij horende middelen, ook van de menselijke middelen Gegevensclassificatie Veiligheidsmaatregelen 24/02/

41 Information Security Policy (ISP) Het beheer van de middelen beoogt het behoud van een geschikte beveiliging van deze middelen. In de context van ehealth worden er vertrouwelijke gegevens verwerkt. De verwerking van deze gegevens is aan een specifieke wetgeving onderworpen, o.a. in verband met de persoonlijke levenssfeer, waartoe ook de wetgeving inzake medische gegevens behoort. De middelen moeten geïnventariseerd en geclassificeerd worden (ook voor het continuïteitsbeheer). De gegevens worden verwerkt volgens hun classificatie. 24/02/

42 Bedrijfsmiddelen - Beveiligingsmiddelen Fysieke omgeving per locatie Omgeving: airconditioning, generator, enz. Human resources voor elke rol, verantwoordelijkheid en functie Classificatie van documentatie volgens de gevoeligheidsgraad Medische resources Vragen: Wat beveiligen? Welke informatie en welke informatiebronnen zijn kritiek? 24/02/

43 Software Operating systems Applicatie Bedrijfsmiddelen Database Per leverancier, type Netwerken VLANs, switches, routers, hubs Communicatie PBX, laser links, fax, modems 24/02/

44 Maatregelen Eigenaars aanwijzen Een initiële classificatie toepassen en deze regelmatig herzien De gegevens classificeren Autoriteit voor de goedkeuring van toegangsaanvragen en gebruiksmodaliteiten Onder andere de rol van het Sectoraal Comité Toegangscriteria authenticatie / autorisatie / encryptie / onweerlegbaarheid Technische veiligheidsmaatregelen gegevensopslag mededeling van gegevens Gegevens verwijderen Archiveren 24/02/2012 Let op printafdrukken en op papier! 44 44

45 Module 4: personeelsgerelateerde veiligheid Doel: de niet-gemachtigde toegang en schade aan de eigendom (informatie en hardware) van een instelling voorkomen. Vertrouwelijkheid Integriteit Beschikbaarheid Risicobeperking na een menselijke fout, diefstal, fraude of ongepast gebruik/misbruik Bewust zijn van bedreigingen en risico s m.b.t. de informatieveiligheid Bewustzijn aan verantwoordelijkheidszin koppelen Zie het deel dat aan de organisatie gewijd is Opleiding en middelen om de ISP te kunnen naleven in het kader van hun opdrachten, 24/02/

46 Onderzochte materie Persoonlijk risico voor de medewerker Bedreigingen en zwaktes Misbruik van zwaktes Beveiliging door de eindgebruiker Fysieke omgeving Authenticatie Elektronische berichten Surf Social engineering Veiligheidsmaatregelen (internettoegang, paswoord, mailgebruik, enz., ) 24/02/

47 Module 5 : fysieke veiligheid Doel van de fysieke veiligheid De fysieke veiligheid in zones opsplitsen Fysieke toegangscontrole Beveiliging van verschillende soorten lokalen Beveiliging tegen externe bedreigingen Werken in beveiligde zones Publieke toegang en leveringen 24/02/

48 Module 6: beveiliging van projecten Doelstelling De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie Malware en risico s Systeemontwikkeling Technische beveiliging Overzicht over alle OSI-lagen 24/02/

49 24/02/2012 Scope en implementatie De beveiliging moet vanaf het begin ondersteund worden Indien de veiligheid pas nadien toegevoegd wordt, vergroot dit de complexiteit aanzienlijk Er bestaan verschillende soorten aanvallen (zie vorige slides), o.a.: Malware Misbruik van zwaktes in het beveiligingssysteem van de infrastructuur Veiligheid: moet ingepast worden in de volledige levenscyclus en in alle facetten van het systeem/van de toepassing Concept Architectuur Conceptie Ontwikkeling Tests Implementatie Beheer 49 De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie

50 Module 7: operationeel beheer Een correct beheer van de ICT-omgeving is van groot belang om de informatieveiligheid te garanderen. Gestructureerde aanpak De belangrijke procedures inzake informatieveiligheid ITIL (Information Technology Infrastructure Library), CobiT (Control Objectives for Information and related Technology) 24/02/

51 Processen Information Technology Infrastructure Library (ITIL) Referentiekader voor de implementatie van beheersprocedures binnen een ICT-organisatie ITIL is noch een methode, noch een model, maar wel een reeks best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/

52 Processen Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/

53 Module 8: beveiliging van de toegangen Vertrouwelijkheid, integriteit, authenticiteit - definities Inleiding tot de cryptografie Authenticatie Identificatiemiddelen Autorisaties Analyse van voorbeelden, praktische gevallen Wetgeving en loggegevens 24/02/

54 Module 9: incidentenbeheer Oprichting van een cel voor incident management Analyse van de te implementeren middelen Identificatie van ernstige incidenten Rampenplan en voortzetting 24/02/

55 Incident response team Aard van de incidenten : dagelijks (bv. scanning) tot zeer ernstig (bedreiging voor de voortzetting van de activiteiten) Het beheer van dagelijkse, kleine incidenten moet uitgevoerd worden in het «operationeel beheer» Incident response: alle vastgelegde en goedgekeurde maatregelen om het hoofd te bieden aan een ernstig incident Belangrijk incident: de voortzetting van de activiteiten binnen het bedrijf komt in het gedrang 24/02/

56 Link met het DRP Doel : beschrijving van alle processen en procedures bij een belangrijk incident op basis van scenario s voor belangrijke technische incidenten - bv. verlies van een data center, stroomuitval door rekening te houden met het relatieve belang van ICTprocessen om de prioriteiten vast te leggen hou rekening met de verschillende fases in de aanpak van ernstige incidenten coördinatie door de IRT 24/02/

57 Analyse van de ernstige incidenten Erkenningsfase Verzamel informatie Vermijd paniek Evalueer de situatie Erken de ernst van de situatie Neem de nodige maatregelen op basis van de processen en procedures Activeer de IRT Reactiefase Organiseer regelmatig overlegvergaderingen met de IRT Blijf informatie verzamelen en evalueer de (veranderende situatie) Voer de maatregelen uit om de impact van het incident te beperken- stabilisatie van de situatie Neutraliseer de oorzaak van het incident Neem de nodige maatregelen op basis van de processen en procedures om de continuïteit te garanderen Bewaar de bewijzen- forensisch onderzoek Organiseer de communicatie Herstelfase Terugkeer naar de normale situatie op basis van de processen en procedures Blijf communiceren Lessen en verbeteringsacties 24/02/

58 Evaluatie van de situatie Is het incident tijdelijk of permanent? Welke belangrijke exploitatiemiddelen werden erdoor aangetast? personeel business-processen infrastructuur, systemen Komt de voortzetting van (een deel van) de activiteiten in het gedrang? Is het incident te wijten aan recente wijzigingen/interventies? 24/02/

59 Module 10: continuïteit Inleiding Business Continuity Plan (BCP) ICT contingency plan (ICP) Disaster Recovery Plan (DRP) Tests Geleerde lessen 24/02/

60 Continuïteitsbeheer Doel: kunnen reageren als de activiteiten van de organisatie verstoord worden en beveiliging van de kritieke business-processen bij ernstige incidenten Belangrijke verantwoordelijkheid voor de continuïteit van de gezondheidszorgverstrekking in België Gedocumenteerd proces Gebaseerd op risico-analyse Preventieve en corrigerende maatregelen Proces en plan op oefeningen gebaseerd 24/02/

61 Module 11 : conformiteit en controle Controle op de naleving van de wettelijke en contractuele vereisten inzake veiligheid Evaluatie van de informatieveiligheid op basis van het beheer Dagelijkse begeleiding Interne controle Interne audit Externe audit 24/02/

62 24/02/

63 You!

64 FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 64 Pauze 15 minuten

65 Informatieveiligheid in het ziekenhuismilieu Waar beginnen? Dr. Ir. Etienne Stanus Consulent inzake informatieveiligheid Institut Jules Bordet

66 Informatie en kwaliteit Zorgkwaliteit: capaciteit van de gezondheidsdiensten, bestemd voor individuele personen en populaties, om de waarschijnlijkheid te verhogen om de gewenste gezondheidsresultaten, in overeenstemming met de beroepskennis van het moment, te bereiken. Goed geïnformeerd zijn op de juiste plaats op het juiste moment

67 Enkele sleutelwoorden Gezondheidsdienst: alle disciplines Kennis: impliceert de onderliggende informatiesystemen Waarschijnlijkheid: veronderstelt verplichting van middelen beheer van de risico s, ongewenste gebeurtenissen, Overeenstemming, moment: governance, continue verbetering, audits

68 Shewhart-cyclus/Deming-wiel: Plan: identificatie van het/de probleem/problemen Do: Ontwikkelen, realiseren, implementeren Check: Metingen/indicatoren controleren, nagaan Act / Adjust: corrigeren/ verbeteren / standaardiseren Spie onder het wiel: kwaliteitssysteem, regelmatige audits, kapitalisatie van de praktijken (documentatiesysteem) Not «Please Don't Change Anything»!

69 Laten we overgaan tot een formalisatie! Plan: Enkele definities Een beginnende risicoanalyse DO Juridische context, Normatieve context Bestaande documenten Gelijkaardige PDCA-systemen Een voorbeeld van een bestaande tool Check Auto-evaluatie Act Implementatie van een managementsysteem voor de informatieveiligheid Enkele methodes van risicoanalyse Enkele gevoelige punten

70

71 Informatiesysteem Een informatiesysteem is een complex netwerk van gestructureerde relaties waar mensen, machines en procedures tussenbeide komen dat als doel heeft geordende stromen te doen ontstaan van relevante informatie die afkomstig is van verschillende bronnen en dient als basis voor beslissingen. Bron: Hugues Angot (Prof. Ichec, )

72 Begrip risico en gevaar Gewone betekenis: Risico: ongewenste toevalligheid waarvoor men bevreesd is en die relatief ongevaarlijk en weinig waarschijnlijk is. Gevaar: is zeer waarschijnlijk, veronderstelt de mogelijkheid van een ernstige schade, onder meer verwondingen of de dood. Wetenschappelijke definitie van «risico»: «Het risico is de mathematische verwachting van een waarschijnlijkheidsfunctie van gebeurtenissen» Specimen theoriae novae de mensura sortis, Daniel Bernouilli,1738 Definitie van een ingenieur: het risico is de combinatie van waarschijnlijke gebeurtenissen en het gevolg/de gevolgen ervan

73 Begrip risico en gevaar Technische betekenis: (industriële veiligheid) Bestaan van een waarschijnlijkheid dat een gevaar concreet wordt in één of meerdere scenario s, wat gepaard gaat met schadelijke gevolgen voor goederen of personen. Definitie ISO 31000:2009 het risico is het gevolg van de onzekerheid over de doelstellingen

74 Algemene aanpak De risico s en het kritieke karakter ervan evalueren Welke risico s en bedreigingen Op welke gegevens en welke activiteit Met welke gevolgen Beveiligingsstrategieën zoeken en selecteren: Wat zal men beveiligen, wanneer en hoe Met welke middelen (tijd, competenties, ) De bescherming implementeren Preventie; reductie, aanvaarding, transfer van het risico De efficiëntie ervan nagaan.

75 Diagram van Ishikawa Human resources Externe reglementering Fysieke veiligheid en omgeving Logische toegangscontrole Ontwikkeling en onderhoud. Wijziging Beheer van de continuïteit Interne procedures Negatieve of positieve gevolgen Inventaris en en classificatie middelen Interne reglementering

76 Van de wet. en de geest van de wetten

77 KB 23/12/64 tot vaststelling van de normen waaraan de ziekenhuizen en hun diensten moeten beantwoorden Bijlage A, 16/12/1994 a) Beschikken over een reglement betreffende de bescherming van de persoonlijke levenssfeer b) de patiënt heeft toegang tot dit reglement. De beheerder van het bestand wijst f) de arts aan die de verantwoordelijkheid en het toezicht heeft over de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. g) een veiligheidsconsulent aan belast met de veiligheid van de informatie. De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijkse beheer van alle aspecten van de informatieveiligheid

78 Rechten van de patiënt (wet 22/8/2002) De rechten van de patiënt omvatten: De kwaliteit van de dienst De keuze van de arts Het recht op informatie De toestemming De bescherming van de persoonlijke levenssfeer Een patiëntendossier dat nauwkeurig bijgehouden en veilig bewaard wordt. De toevlucht tot de bemiddeling

79 Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Wet van 8 /12/1992 en KB betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (wet persoonlijke levenssfeer) KB van 17/12/2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer Wet van 8/8/1983 tot regeling van een Rijksregister van de natuurlijke personen Wet van 15/1/1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid Wet van 16/1/2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen Wet van 4 juli 1962 betreffende de openbare statistiek KB van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer

80 Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Persoonsgegevens: voorbeelden: naam, foto, telefoon, ras, geslacht, Verklaring die voorafgaat aan de inzameling van persoonsgegevens Proportionele, verantwoorde en geoorloofde verwerking Doelstelling bepaald Kwaliteit van de gegevens Gevoelige gegevens: ras, gezondheid, gerecht, syndicale en politieke opinies, filosofische overtuiging, sexuele voorkeur. Recht van de betrokkene Beperkingen qua export van deze gegevens

81 Voorstel tot herziening van de Europese richtlijn (26/1/2012) Toestemming in «duidelijke» bewoordingen Informatie over de stockering van de gegevens, hoe, met welke doeleinden en voor welke duur. Aanwijzing van een afgevaardigde voor de bescherming van de gegevens indien verwerking van risicogegevens gelet op de rechten en de vrijheden van natuurlijke personen Recht op verwijdering van digitale gegevens: verplichte schrapping van de gegevens behoudens gerechtvaardigde reden. Verplichte melding van de schending van de veiligheid aan de nationale overheid aan de betrokkene dataoverdraagbaarheid

82 Carenet-protocol 19/4/2001 De veiligheidsconsulent zal op eigen initiatief of op verzoek de verantwoordelijke voor het dagelijkse beheer van zijn instelling of VI adviseren. Hij is ervoor verantwoordelijk de vereiste documentatie in te zamelen, bij te houden en te verspreiden. Hij is ook ervoor verantwoordelijk om toe te zien op de goede toepassing van de procedures die in de instelling of VI geïmplementeerd worden. Jaarlijks moet hij een verslag over de effectieve naleving van de procedures opstellen. Ten allen tijde zal hij, indien hij één of ander gebrek vaststelt, dit onmiddellijk aan de directie van de instelling of VI moeten meedelen. De adviezen of verslagen zullen schriftelijk en gemotiveerd worden meegedeeld. Toezicht op de registratie en de toekenning van certificaten

83 Kruispuntbank van de sociale zekerheid (wet 15/1/1990) Art. 4 : «Iedere openbare overheid, natuurlijke persoon en openbare of private instelling die overeenkomstig 4 toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, wijst, al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan.» Art 25 : «De veiligheidsconsulent bedoeld in artikel 24, eerste en tweede lid, staat, met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt of uitgewisseld (en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben), in voor : 1 het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur; 2 het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd. De veiligheidsconsulent van de Kruispuntbank verstrekt bovendien deskundige adviezen over de veiligheid van het netwerk.

84 Collectieve arbeidsovereenkomsten CAO 81: Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische onlinecommunicatiegegevens CAO 68: Collectieve arbeidsovereenkomst nr. 68 van 16 juni 1998 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats

85 Onderzoek/Ethiek Koninklijk besluit tot oprichting van de ethische comités in de ziekenhuizen (12 augustus 1994) Wet betreffende het onderzoek op embryo's in vitro (mei 2003) Wet inzake experimenten op de menselijke persoon (mei 2004) Wet inzake het verkrijgen en het gebruik van menselijk lichaamsmateriaal met het oog op de geneeskundige toepassing op de mens of het wetenschappelijk onderzoek (december 2008)

86 Beroepsgeheim en discretieplicht Wie? Art. 458 van het Strafwetboek. Al diegenen die, uit hoofde van hun staat of beroep, kennis dragen van geheimen die hun zijn toevertrouwd. Art. 70 van de Code van geneeskundige plichtenleer. De geneesheer zal ervoor waken dat het medisch geheim door zijn helpers dwingend wordt nageleefd. Personeel sui generis: verplichte vertrouwelijkheid betreffende alles wat ze zouden kunnen vernemen over de identiteit en/of de toestand van de patiënt tijdens hun werk

87 Sanctie In welke mate? Klachten: Wet inzake informaticacriminaliteit 28/11/2000 valsheid in informatica fraude hacking sabotage van informaticagegevens wijziging van het wetboek op strafvordering Briefgeheim strafwetboek art. 314 bis Geheimhouding van de communicatie wet van 21 maart 1991

88 Normen/gidsen van goede praktijk Wijzen een meestal erkende en aangenomen toestand aan of wijzen een middel aan dat meestal wordt beschouwd als een te volgen regel. Hebben geen dwingend karakter, behalve dat ze expliciet in de wet vermeld staan Nuttige links

89 ISO/IEC normen ISO/IEC : Inleiding en globaal zicht op de familie van normen alsook een glossarium van gemeenschappelijke termen (mei 2009) ISO/IEC : Certificeringsnorm van de ISMS (gepubliceerd in 2005) ISO/IEC : Gids voor goede praktijken op het vlak van de ISMS (voorheen gekend onder de naam ISO/IEC 17799, en vóór BS 7799 Deel 1 (laatste herziening in 2005, en opnieuw genummerd in ISO/IEC 27002:2005 in juli 2007) ISO/IEC : Gids voor de implementatie van een ISMS die gepubliceerd is op 3 februari 2010 (Richtsnoeren voor de implementatie van het managementsysteem voor de informatieveiligheid) ISO/IEC : Norm voor het meten van het management van de informatieveiligheid (gepubliceerd op 12 juli 2009) ISO/IEC : Norm voor het beheer van de risico s die samenhangen met de informatieveiligheid (gepubliceerd op 4 juni 2008, herzien op 19 mei 2011) ISO/IEC : Gids voor certificerings- en registratieprocessen (gepubliceerd op 1 december 2011) ISO/IEC : Stuurgids voor de audit van de ISMS (gepubliceerd op 14 november 2011) ISO/IEC : Controlerichtsnoeren voor het meten van de veiligheid (gepubliceerd op 15 oktober 2011) ISO/IEC : Gids voor de implementatie van ISO/IEC in de telecommunicatie-industrie (gepubliceerd op 15 december 2008) ISO/IEC : Gids voor de implementatie van ISO/IEC in de gezondheidsindustrie (gepubliceerd op 12 juni 2008)

90 Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper

91 FDA enkele nuttige links Site general: FDA guidance for industry: Computerized systems in clinical trials: FDA guidance: General principles of software validation: ndguidance/guidancedocuments/ucm pdf FDA guidance: General principles of software validation: ndguidance/guidancedocuments/ucm pdf Health Insurance Portability and Accountability Act

92 Waar moet men de basisinformatie terugvinden? of wat bestaat er reeds in de instelling?

93 Nuttige bronnen Directie(s) Ethisch comité Departementen (allemaal! ) Reglement persoonlijke levenssfeer: Bijlage A, wet op de ziekenhuizen 1994 Huishoudelijk reglement, schriftelijke procedures Aankoop- en aanwervingscontracten, contracten voor teleonderhoud Kwaliteits- en risicobeheerders

94 Systeem voor kwaliteit en risicobeheer Laboratorium ISO 17025/15189 Kwaliteitshandboek De organisatorische regels en procedures formaliseren Consolidatie van de kennis Kwaliteitscoördinateur De ontwikkeling van een kwaliteitshandboek tot een goed einde brengen De toepassing en evolutie ervan opvolgen. Verantwoordelijkheid van de partijen Cel / project kwaliteit ISO 9000 Cel/project veiligheid van de patiënt WHO Interne/externe dienst voor de preventie en bescherming Noot: Evolutie van de normen 2011: draft 15189: Toevoeging van een gedeelte «veiligheid van het informatiesysteem»

95 Information Technology Infrastructure V2 Ondersteuning van de diensten (Service Support) Levering van de diensten (Service Delivery) Beheer van de informaticainfrastructuur (ICT managementinfrastructuur) Beheer van de veiligheid (Security management) Invalshoek van het beroep (The business perspective) Beheer van de applicaties (Application management) Beheer van de softwareactiva (Software asset management) Planning voor de implementatie van de diensten (Planning to implement service management)) Library V3 Strategie van de diensten (Service Strategy) Ontwikkeling van de diensten (Service Design) Transitie van de diensten (Service Transition) Exploitatie van de diensten (Service Operation) Continue verbetering van de diensten (Continuous Service Improvement) De «Service Support Repository» en de «exploitatielogs» zijn enorme schatten aan informatie, maar moete getrieerd worden

96 GMSIH / ANAP Groepering voor de modernisering van het informatiesysteem in de ziekenhuizen ( ) Opdrachten Coherentie van de informatiesystemen die door de gezondheidsinstellingen worden gebruikt, bijdrage tot hun interoperabiliteit en opening, waarbij wordt geholpen hun veiligheid te ontwikkelen. De informatie-uitwisseling in de gezondheidsnetwerken bevorderen met het oog op de verbetering van de zorgcoördinatie. Deliverables Publicatie van het referentiedocument; Concrete begeleiding in de instellingen; Vertegenwoordiger in de normalisatieorganen; Geïntegreerd in het «Agence Nationale d'appui à la Performance des établissements sanitaires et médicosociaux (ANAP)»

97 _securite_06_2004.zip

98 NEN : NEN 7510 Medische informatica - Informatiebeveiliging in de zorg ) 2012 Praktijkgids - Werken met NEN EN nl.htm Etienne Stanus Institut Jules Bordet 24/2/

99 NEN NEN 7512:2005 (nl) Vertrouwensbasis voor gegevensuitwisseling NEN 7513:2010 (nl) Logging Vastleggen van acties op elektronische Patiëntendossiers NTA 8009:2011 (nl) Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen Etienne Stanus Institut Jules Bordet 24/2/

100 Eerste concrete auto-evaluatie

101 Tool in Excel

102

103

104 Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.

105 Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.

106 Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.

107 Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.

108 Noot Het paard niet achter de wagen spannen

109

110 En nu? ISMS: enkele gevoelige punten

111 Implementatie van een ISMS Om goed te beginnen Oprichten van/ deelnemen aan «Forum voor de informatieveiligheid» Werkgroepen Vertrouwelijkheid Toegangsrechten tot informatiesysteem Dossier / rechten patiënt Biobanken.

112 Veiligheidsbeleid kader GMSIH: Methodologische gids Veiligheidsbeleid kader Toelatingsbeleid Fiche voor de betrekking van consulent inzake informatieveiligheid KSZ-BCSS: PFD-documenten gratis beschikbaar op Minimale veiligheidsnormen die door de sociale zekerheidsinstellingen moeten worden gerespecteerd Ethische code van goed gedrag voor de veiligheidsconsulenten Information Security Management System

113 Vaststelling van perimeters Evolutie van de gezondheidsinformatiesystemen Diogenes-systeem HUG Prof Jean-Raoul Scherrer, MD Bron: ge002.jpg G% pdf

114 Risicoanalyse Enkele methodes en tools naast andere EBIOS Uitdrukking van de behoeften en identificatie van de veiligheidsdoelstellingen Tool: EBIOS 2010 Bron: Toepassing van veiligheidsbeleid GMSIH MEHARI Geharmoniseerde methode voor risicoanalyse n/ouvrages/type.asp?id=methodes Tool: MEHARI 2010 GNU Licentie voor Excel, OpenOffice Enisa

115 Business continuity plan of informaticaplan? Continuïteit : waarvan? zorg => dwingend Ondersteunende activiteiten Onderzoeksactiviteiten Coherentie met en betrokkenheid bij het plan «Waarschuwing ziekenhuisdienst» Oefeningen en onderhoud

116 Business continuity plan Informaticaplan In aanmerking nemen De mogelijkheden waarop de gebruikers kunnen terugvallen, De omzeilende maatregelen voor de beroepen Het gezondheidsrisico epidemie, pandemie, risico voor het personeel Het crisisbeheer (crisiscellen...), Crisiscommunicatie, De omzeilende maatregelen voor de beroepen, De transversale functies (HR, logistiek, enz.).

117 Transfers / archivering van gegevens Beperkingen wat betreft de transfers van gegevens buiten de EU Persoonlijke levenssfeer (art L. persoonlijke levenssfeer 8/12/1992) Elektronische facturen (art 60 3 BTW-Wetboek) Specifieke verplichting om op bepaalde plaatsen/in België te archiveren Medisch dossier (art 15, 17 en 70 gecoördineerde wet Ziekenhuizen 7/8/87) Sociale documenten (art. 22 KB 8/8/1980) Documenten belastbare inkomsten (art 315 WIB)

118 Classificatie Activa Niet altijd eenvoudig tussen wat officieel, officieus is, de leningen, het persoonlijk materiaal, het onderzoek, Informatie Opgelet voor de woordenschat: Ziekenhuis: publieke, boekhoudkundige/financiële, medischadministratieve, medische, gevoelige informatie, VIP Veiligheid Fr: Niet geclassificeerd + beperkt, vertrouwelijk, geheim, uiterst geheim, «onoverdraagbare archieven» Veiligheid Gb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. Veiligheid USA: Confidential, Secret, Top Secret. Gevoelig: kan de persoonlijke levenssfeer ongunstig beïnvloeden

119 Archivering Transversale regels Recht van derden Intellectuele eigendom Persoonlijke levenssfeer Elektronische handtekening Bewijs Specifieke regels Per sector: GMP, farma, Per type document: factuur, medisch dossier Bewaringsduur

120 Toegangsbeleid, enkele discussieelementen De artsen belast met de oppuntstelling van de diagnose en de behandeling van de patiënten; De studenten geneeskunde die officieel toegewezen zijn aan de instelling De verpleegkundigen, medische secretaressen, sociaal assistenten en andere paramedische medewerkers die het medisch geheim delen gelet op hun zorgfuncties; De administratieve medewerkers in het ziekenhuis belast met het beheer van de informatie betreffende de patiënten, het identificatie- en opvolgingsbestand voor het verblijf van de patiënten met het oog op de facturatie en de geschillen; De onderzoekers in het kader van een protocol inzake klinisch onderzoek dat een positief advies van het Comité voor Ethiek kreeg Het informaticapersoneel belast met de elektronische verwerking van de gegevens van de patiënten in het kader van de informatica in het ziekenhuis. Het administratieve personeel De consulent inzake de informatieveiligheid Anderen?

121 Toegangsbeleid, enkele discussieelementen De betrokken patiënt; De behandelende artsen of de verpleegkundigen aangewezen door de patiënt; De raadgevende artsen van de verzekeringsinstellingen; De organen belast met het beheer van de orgaandonaties; Als er daar reden toe is, en in de gevallen die door de wet bepaald zijn, De registers (kanker, ) De juridische overheden; Het RIZIV (geanonimiseerde gegevens); De FOD Volksgezondheid (geanonimiseerde gegevens). Onderaannemers

122 Vertrouwelijkheid Patiënt = persoon in een kwetsbare situatie 1 gehospitaliseerde patiënt 75 personen hebben toegang tot de gezondheidsinformatie (1) Cf.: d_ethique_ Secret_Professionnel_Brochure_A5_Print.pdf (1) Bron: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427

123 Budget

Doel van de opleiding informatieveiligheid

Doel van de opleiding informatieveiligheid Doel van de opleiding informatieveiligheid Het netwerk voor elektronische uitwisseling van persoonsgegevens tussen de diverse instellingen van de sociale zekerheid, dat door de Kruispuntbank wordt beheerd,

Nadere informatie

Informatieveiligheidsconsulent. 23 sept 2014 Gent

Informatieveiligheidsconsulent. 23 sept 2014 Gent Informatieveiligheidsconsulent 23 sept 2014 Gent Wie zijn ze wat doen ze? VERANTWOORDELIJKHEDEN INFORMATIEVEILIGHEIDSCONSULENTEN Wie moet een informatieveiligheidsconsulent aanstellen? De verplichting

Nadere informatie

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn)

informatieveiligheidsbeleid (Doc. Ref. : isms.004.hierar. ; Doc. Ref.(BCSS) : V2004.305.hierarch.v5.ivn) Dit document is eigendom van de Kruispuntbank van de Sociale Zekerheid. De publicatie ervan doet geen enkele afbreuk aan de rechten die de Kruispuntbank van de Sociale Zekerheid ten opzichte van dit document

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid SCSZ/12/212 BERAADSLAGING NR. 08/048 VAN 2 SEPTEMBER 2008, GEWIJZIGD OP 17 JULI 2012, MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/195 ADVIES NR 08/18 VAN 2 DECEMBER 2008 BETREFFENDE DE AANVRAAG VAN DE LANDSBOND DER CHRISTELIJKE MUTUALITEITEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale zekerheid» SCSZ/08/010 BERAADSLAGING NR. 08/006 VAN 5 FEBRUARI 2008 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Gezondheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Gezondheid SCSZ/12/241 BERAADSLAGING NR. 12/065 VAN 17 JULI 2012 AANGAANDE DE MEDEDELING VAN PERSOONSGEGEVENS AAN HET NATIONAAL INTERMUTUALISTISCH

Nadere informatie

ISMS (Information Security Management System)

ISMS (Information Security Management System) ISMS (Information Security Management System) File transfer policy: richtlijnen voor uitwisseling van bestanden en documenten tussen openbare instellingen van de sociale zekerheid (OISZ) en geautoriseerde

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/193 BERAADSLAGING NR. 08/072 VAN 2 DECEMBER 2008 MET BETREKKING TOT DE TOEGANG TOT DE KRUISPUNTBANKREGISTERS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/12/339 BERAADSLAGING NR. 12/112 VAN 4 DECEMBER 2012 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS

Nadere informatie

Informatieveiligheid, de praktische aanpak

Informatieveiligheid, de praktische aanpak Informatieveiligheid, de praktische aanpak Wie ben ik? Frederik Baert Domeinverantwoordelijke Informatieveiligheid Domeinverantwoordelijke Infrastructuur & Connectiviteit @ V-ICT-OR V-ICT-OR cvba Dienstenorganisatie

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/135 ADVIES NR 11/16 VAN 8 NOVEMBER 2011 BETREFFENDE DE AANVRAAG VAN HET NATIONAAL ZIEKENFONDS PARTENA

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/024 BERAADSLAGING NR 09/019 VAN 7 APRIL 2009 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS AAN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid SCSZ/08/156 BERAADSLAGING NR. 08/048 VAN 2 SEPTEMBER 2008 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS DIE DE GEZONDHEID BETREFFEN

Nadere informatie

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011;

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011; 1/7 Sectoraal comité van het Rijksregister Beraadslaging RR nr 71/2011 van 14 december 2011 Betreft: machtigingsaanvraag van het Belgische Rode Kruis om het Rijksregisternummer te gebruiken zodat zij voor

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet!

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013. Informatieveiligheid omdat het moet! voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT 2013 Informatieveiligheid omdat het moet! Caroline Vernaillen 25 april 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZ/11/049 AANBEVELING NR 11/01 VAN 19 APRIL 2011 BETREFFENDE HET TOEGANGSRECHT VAN DE PATIËNT TOT DE BESTEMMELINGEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/080 ADVIES NR 11/08 VAN 5 JULI 2011 BETREFFENDE DE AANVRAAG VAN DE FOD SOCIALE ZEKERHEID VOOR HET VERKRIJGEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/08/044 BERAADSLAGING NR. 08/014 VAN 4 MAART 2008 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS AAN

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/10/021 ADVIES NR 10/03 VAN 2 FEBRUARI 2010 BETREFFENDE DE AANVRAAG VAN DE RIJKSDIENST VOOR JAARLIJKSE VAKANTIE

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN Anne Teughels & Caroline Vernaillen juni 2013 Wie zijn wij o adviseurs van de VTC o De voor het elektronische

Nadere informatie

Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third

Version control please always check if you re using the latest version Doc. Ref. : isms.033.vpn.third ISMS (Information Security Management System) Beleid voor de toegang op afstand tot het interne netwerk van een instelling door een dienstverlener van deze instelling op basis van een VPN-oplossing. Technische

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/037 BERAADSLAGING NR 11/028 VAN 5 APRIL 2011 MET BETREKKING TOT DE TOEGANG VAN DE KONINKLIJKE FEDERATIE

Nadere informatie

ISMS. (Information Security Management System) Toegang tot het netwerk van de Kruispuntbank via het internet Versie 3.2.

ISMS. (Information Security Management System) Toegang tot het netwerk van de Kruispuntbank via het internet Versie 3.2. ISMS (Information Security Management System) Gebruik van het internet om toegang te krijgen tot het netwerk van de Kruispuntbank van de Sociale Zekerheid in het kader van de verwerking van persoonsgegevens

Nadere informatie

Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final

Version control please always check if you re using the latest version Doc. Ref. : isms xxx pol-sécu info nl v1.1_final ISMS (Information Security Management System) Informatieveiligheidsbeleid (Information Security Policy) 2015 Version control please always check if you re using the latest version Doc. Ref. : isms xxx

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Gelet op de bijkomende informatie, ontvangen op 18 mei, 5 en 9 juni 2015;

Gelet op de bijkomende informatie, ontvangen op 18 mei, 5 en 9 juni 2015; 1/7 Sectoraal comité van het Rijksregister Beraadslaging RR nr 46/2015 van 29 juli 2015 Betreft: Machtigingsaanvraag van Forem om het Rijksregisternummer te gebruiken voor het toegangs- en gebruikersbeheer

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal.

Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal. ISMS (Information Security Management System) Validatieprocedure van de security logs en inproductiestelling van de toepassingen op het socialezekerheidsportaal. Version control please always check if

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/12/350 ADVIES NR 12/120 VAN 4 DECEMBER 2012 BETREFFENDE DE AANVRAAG VAN XERIUS SOCIAAL VERZEKERINGSFONDS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/159 ADVIES NR 13/66 VAN 2 JULI 2013 BETREFFENDE DE AANVRAAG VAN XERIUS KINDERBIJSLAGFONDS VOOR HET VERKRIJGEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/13/187 ADVIES NR 13/77 VAN 3 SEPTEMBER 2013 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZG/14/219 BERAADSLAGING NR. 14/114 VAN 16 DECEMBER 2014 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS DIE

Nadere informatie

Organisatie Informatieveiligheid. Safe@School

Organisatie Informatieveiligheid. Safe@School Willem Debeuckelaere Anne Teughels & Caroline Vernaillen mei 2015 voor het elektronische bestuurlijke gegevensverkeer Ronde van Vlaanderen Onderwijs Organisatie Informatieveiligheid Safe@School Wie zijn

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZG/15/162 BERAADSLAGING NR. 15/058 VAN 6 OKTOBER 2015 OVER DE EENMALIGE MEDEDELING VAN PERSOONSGEGEVENS DOOR

Nadere informatie

BERAADSLAGING RR Nr 26 / 2007 van 12 september 2007

BERAADSLAGING RR Nr 26 / 2007 van 12 september 2007 KONINKRIJK BELGIE Brussel, Adres : Hoogstraat, 139, B-1000 Brussel Tel.: +32(0)2/213.85.40 E-mail : commission@privacycommission.be Fax.: +32(0)2/213.85.65 http://www.privacycommission.be COMMISSIE VOOR

Nadere informatie

BUSINESS RISK MANAGEMENT

BUSINESS RISK MANAGEMENT BUSINESS RISK MANAGEMENT Algemene benadering FEDICT Quick-Win-methode Datum Auteur Versie 24/8/26 A. Huet - A. Staquet V1. Inhoud 1 DOELSTELLING VAN HET DOCUMENT... 2 2 DEFINITIES... 2 3 PRINCIPE... 3

Nadere informatie

TRANSPARANTIEVERSLAG 2013

TRANSPARANTIEVERSLAG 2013 TRANSPARANTIEVERSLAG 2013 1. Inleiding Dit verslag bevat de informatie zoals bepaald in artikel 15 van de wet van 22 juli 1953 houdende de oprichting van een Instituut van de Bedrijfsrevisoren, aangepast

Nadere informatie

ALGEMENE VOORWAARDEN FEDICT DIENSTEN

ALGEMENE VOORWAARDEN FEDICT DIENSTEN ALGEMENE VOORWAARDEN FEDICT DIENSTEN Doel van het document: De algemene voorwaarden voor Fedict diensten bevatten de standaardvoorwaarden voor het gebruik van alle Fedict diensten. Ze worden aangevuld

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Organisatiebeheersing en informatieveiligheid voor het elektronische bestuurlijke gegevensverkeer Organisatiebeheersing Caroline Vernaillen & Anne Teughels 21 maart 2013 INLEIDING Wie zijn wij Waarom informatieveiligheid Hoe past informatieveiligheid

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/12/205 BERAADSLAGING NR. 12/057 VAN 3 JULI 2012 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS AAN

Nadere informatie

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer;

Brussel, De Commissie voor de bescherming van de persoonlijke levenssfeer; KONINKRIJK BELGIE Brussel, Adres : Hallepoortlaan 5-8, B-1060 Brussel Tel. : +32(0)2/542.72.00 E-mail : commission@privacy.fgov.be Fax.: : +32(0)2/542.72.12 http://www.privacy.fgov.be/ COMMISSIE VOOR DE

Nadere informatie

Goedgekeurd op 11 februari 2011

Goedgekeurd op 11 februari 2011 GROEP GEGEVENSBESCHERMING ARTIKEL 29 00327/11/NL WP 180 Advies 9/2011 betreffende het herziene voorstel van de industrie voor een effectbeoordelingskader wat betreft de bescherming van de persoonlijke

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZ/10/066 BERAADSLAGING NR 10/036 VAN 18 MEI 2010 MET BETREKKING TOT DE MEDEDELING AAN HET EHEALTH-PLATFORM VAN EEN

Nadere informatie

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen

Richtsnoeren voor de behandeling. van klachten door. verzekeringsondernemingen EIOPA-BoS-12/069 NL Richtsnoeren voor de behandeling van klachten door verzekeringsondernemingen 1/8 1. Richtsnoeren Inleiding 1. Artikel 16 van de Eiopa-verordening 1 (European Insurance and Occupational

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/10/135 ADVIES NR 10/26 VAN 9 NOVEMBER 2010 BETREFFENDE DE AANVRAAG VAN MULTIPEN SOCIAAL VERZEKERINGSFONDS

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid» SCSZG/11/134 BERAADSLAGING NR 11/088 VAN 18 OKTOBER 2011 MET BETREKKING TOT DE NOTA BETREFFENDE DE ELEKTRONISCHE BEWIJSMIDDELEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/141 BERAADSLAGING NR 09/078 VAN 1 DECEMBER 2009 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/122 ADVIES NR 09/23 VAN 6 OKTOBER 2009 BETREFFENDE DE AANVRAAG VAN HET RIJKSINSTITUUT VOOR DE SOCIALE

Nadere informatie

1. INTERNATIONALE MENSENRECHTENBEPALINGEN. Universele Verklaring van de Rechten van de Mens, artikel 12 1

1. INTERNATIONALE MENSENRECHTENBEPALINGEN. Universele Verklaring van de Rechten van de Mens, artikel 12 1 INHOUDSTAFEL 1. INTERNATIONALE MENSENRECHTENBEPALINGEN Universele Verklaring van de Rechten van de Mens, artikel 12 1 Internationaal Verdrag inzake Burgerrechten en Politieke rechten, artikel 17 3 Verdrag

Nadere informatie

Gebruikerspolicy voor mobiele toestellen

Gebruikerspolicy voor mobiele toestellen ISMS (Information Security Management System) Gebruikerspolicy voor mobiele toestellen Version control please always check if you are using the latest version. Doc. Ref. :isms.0046. gebruikerspolicy voor

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1

Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1 Referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens 1 Het voorliggend document bevat een lijst met elf actiedomeinen in verband met de informatiebeveiliging waarvoor elke

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/14/048 BERAADSLAGING NR 12/039 VAN 5 JUNI 2012, GEWIJZIGD OP 1 APRIL 2014, MET BETREKKING TOT DE MEDEDELING

Nadere informatie

Projectoproep Kankerplan Actie 24 : Wetenschappelijke analyse in de onco-geriatrie

Projectoproep Kankerplan Actie 24 : Wetenschappelijke analyse in de onco-geriatrie B Projectoproep Kankerplan Actie 24 : Wetenschappelijke analyse in de onco-geriatrie Inleiding Deze projectoproep kadert binnen de verderzetting van Actie 24 van het Kankerplan: Steun aan pilootprojecten

Nadere informatie

Informatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken?

Informatieveiligheid in Lokale besturen. gezamenlijk veiligheidsbeleid uitwerken! uitwerken? Informatieveiligheid in Lokale besturen Hoe OCMW's kunnen en OCMW's gemeenten en gemeenten moeten een een gezamenlijk veiligheidsbeleid uitwerken! uitwerken? Mechelen - 10 februari 2015 Omgevingsanalyse

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling gezondheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling gezondheid SCSZG/12/146 BERAADSLAGING NR 12/047 VAN 19 JUNI 2012 MET BETREKKING TOT DE GEÏNFORMEERDE TOESTEMMING VAN EEN BETROKKENE

Nadere informatie

Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014

Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014 voor het elektronische bestuurlijke gegevensverkeer Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014 Anne Teughels mei 2014 Wie zijn wij o adviseurs van de VTC o De voor het elektronische bestuurlijke

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/11/099 BERAADSLAGING NR 11/058 VAN 6 SEPTEMBER 2011 MET BETREKKING TOT DE ONDERLINGE UITWISSELING VAN IDENTIFICATIEPERSOONSGEGEVENS

Nadere informatie

Gelet op het auditoraatsrapport van de Kruispuntbank ontvangen op 24 juni 2005; A. SITUERING, ONDERWERP EN RECHTVAARDIGING VAN DE AANVRAAG

Gelet op het auditoraatsrapport van de Kruispuntbank ontvangen op 24 juni 2005; A. SITUERING, ONDERWERP EN RECHTVAARDIGING VAN DE AANVRAAG SCSZ/05/97 1 BERAADSLAGING NR. 05/034 VAN 19 JULI 2005 M.B.T. DE MEDEDELING VAN PERSOONSGEGEVENS BETREFFENDE BUITENLANDSE VERZEKERDEN, DOOR DE VERZEKERINGSINSTELLINGEN AAN HET VLAAMS ZORGFONDS, MET HET

Nadere informatie

Leerbronnen Informatieveiligheid. 13 november 2014

Leerbronnen Informatieveiligheid. 13 november 2014 Leerbronnen Informatieveiligheid 13 november 2014 V-ICT-OR zet door op Informatieveiligheid! Doelstellingen: 1 Bewustzijn 2 Opleiding en advies 3 Uitwisseling van kennis en ervaring 4 Referentiekader V-ICT-OR

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/121 ADVIES NR 09/22 VAN 6 OKTOBER 2009 BETREFFENDE DE AANVRAAG VAN HET OZ ONAFHANKELIJK ZIEKENFONDS VOOR

Nadere informatie

Ter attentie van. Wij geven u nogmaals de gegevens van onze Helpdesk mee mocht u nog verdere vragen hebben. E-mail: contactcenter@eranova.fgov.

Ter attentie van. Wij geven u nogmaals de gegevens van onze Helpdesk mee mocht u nog verdere vragen hebben. E-mail: contactcenter@eranova.fgov. Ter attentie van de hoofdgeneesheer de directeur-generaal de verantwoordelijke van de MUG-registratie UW BRIEF VAN UW REF. ONZE REF. DM/SMUREG-MUGREG/n.65_09 DATUM 30/01/2009 BIJLAGE(N) CONTACT Jean Legrand

Nadere informatie

De Commissie voor de bescherming van de persoonlijke levenssfeer;

De Commissie voor de bescherming van de persoonlijke levenssfeer; BERAADSLAGING RR Nr 06 / 2005 van 13 april 2005 O. Ref. : SA2 / RN / 2004 / 042 BETREFT : Beraadslaging betreffende de aanvraag van de Federale Overheidsdienst Volksgezondheid om gemachtigd te worden om

Nadere informatie

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen

Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA(BoS(13/164 NL Richtsnoeren voor de behandeling van klachten door verzekeringstussenpersonen EIOPA WesthafenTower Westhafenplatz 1 60327 Frankfurt Germany Phone: +49 69 951119(20 Fax: +49 69 951119(19

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/11/006 BERAADSLAGING NR. 11/005 VAN 11 JANUARI 2011 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS

Nadere informatie

bepaalde instrumenterende ambtenaren tot de registratieformaliteit en tot de hypothecaire openbaarmaking (CO-A-2014-005)

bepaalde instrumenterende ambtenaren tot de registratieformaliteit en tot de hypothecaire openbaarmaking (CO-A-2014-005) 1/6 Advies nr 05/2014 van 5 februari 2014 Betreft: advies m.b.t. het koninklijk besluit houdende regeling van de aanbieding van akten van bepaalde instrumenterende ambtenaren tot de registratieformaliteit

Nadere informatie

De Commissie voor de bescherming van de persoonlijke levenssfeer,

De Commissie voor de bescherming van de persoonlijke levenssfeer, KONINKRIJK BELGIE 1000 Brussel, Zetel : Ministerie van Justitie Poelaertplein 3 Tel. : 02/504.66.21 tot 23 Fax : 02/504.70.00 COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER O. ref. : 10

Nadere informatie

Dit document wordt u aangeboden door de Kruispuntbank van de Sociale Zekerheid

Dit document wordt u aangeboden door de Kruispuntbank van de Sociale Zekerheid Dit document wordt u aangeboden door de Kruispuntbank van de Sociale Zekerheid Het kan vrij verspreid worden op voorwaarde dat de bron en het URL vermeld worden Kruispuntbank van de Sociale Zekerheid Sint-Pieterssteenweg

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/11/013 ADVIES NR 11/02 VAN 1 FEBRUARI 2011 BETREFFENDE DE AANVRAAG VAN DE RIJKSDIENST VOOR ARBEIDSVOORZIENING

Nadere informatie

1 Inleiding en draagwijdte. 2 Toepassingsgebied. Gedragscode - Informatiebeheerders

1 Inleiding en draagwijdte. 2 Toepassingsgebied. Gedragscode - Informatiebeheerders ISMS (Information Security Management System) Gedragscode voor de informatiebeheerders binnen het netwerk van de sociale zekerheid. (1) Version control please always check if you re using the latest version

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Sociale Zekerheid"

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Sociale Zekerheid" SCSZG/15/194 BERAADSLAGING NR. 15/070 VAN 3 NOVEMBER 2015 AANGAANDE DE MEDEDELING VAN PERSOONSGEGEVENS DOOR DE

Nadere informatie

Bijlage 1 aan collegenota DRP test

Bijlage 1 aan collegenota DRP test Bijlage 1 aan collegenota DRP test 1. de noodzaak van een DRP test in de context van een professionele dienstverlening en risicobeheersing De werking van Stads- en OCMW diensten is de voorbije jaren in

Nadere informatie

KONINKLIJK BESLUIT VAN 25 APRIL 2014 BETREFFENDE DE MINIMALE ADMINISTRATIEVE

KONINKLIJK BESLUIT VAN 25 APRIL 2014 BETREFFENDE DE MINIMALE ADMINISTRATIEVE KONINKLIJK BESLUIT VAN 25 APRIL 2014 BETREFFENDE DE MINIMALE ADMINISTRATIEVE EN OPERATIONELE FUNCTIES DIE DE HULPVERLENINGSZONES MOET OPRICHTEN. (inw. 20 september 2014) (B.S. 10.09.2014) Gelet op de wet

Nadere informatie

Gelet op de aanvraag van de gemeente Evere (hierna de aanvrager), ontvangen op 02/02/2015; Gelet op de bijkomende informatie ontvangen op 16/03/2015

Gelet op de aanvraag van de gemeente Evere (hierna de aanvrager), ontvangen op 02/02/2015; Gelet op de bijkomende informatie ontvangen op 16/03/2015 1/8 Sectoraal comité voor de Federale Overheid Beraadslaging FO nr 14/2015 van 23 april 2015 Betreft: Machtigingsaanvraag van de gemeente Evere om vanwege de Directie Inschrijving Voertuigen (hierna de

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid. Afdeling Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid. Afdeling Gezondheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Gezondheid SCSZ/11/031 BERAADSLAGING NR 11/023 VAN 15 MAART 2011 MET BETREKKING TOT DE MEDEDELING VAN GECODEERDE PERSOONSGEGEVENS

Nadere informatie

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer & Commissie voor de bescherming van de persoonlijke levenssfeer Informatieveiligheid 13 november 2014 Informatieveiligheid

Nadere informatie

Interbestuurlijk informatie delen : Use Case ebirth Luc Van Tilborgh Program Manager AIM

Interbestuurlijk informatie delen : Use Case ebirth Luc Van Tilborgh Program Manager AIM Interbestuurlijk informatie delen : Use Case ebirth Luc Van Tilborgh Program Manager AIM Fedict 2012. All rights reserved ebirth Elektronische kennisgeving van geboorten ebirth 29/01/2013 Fedict.2013 All

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Gelet op de aanvraag ingediend door de RKW bij brieven van 28 februari 1995 en 15 juni 1995;

Gelet op de aanvraag ingediend door de RKW bij brieven van 28 februari 1995 en 15 juni 1995; TC/95/24 BERAADSLAGING Nr. 95/48 VAN 12 SEPTEMBER 1995 BETREFFENDE EEN AANVRAAG VAN DE RIJKSDIENST VOOR KINDERBIJSLAG VOOR WERKNEMERS (RKW) TOT MACHTIGING, ALSOOK VOOR ALLE KINDERBIJSLAGFONDSEN, VOOR HET

Nadere informatie

Data Protection Impact Assessment (DPIA)

Data Protection Impact Assessment (DPIA) Data Protection Impact Assessment (DPIA) van Theorie naar Praktijk [ 28 januari 2015 ] 2 Data Protection Impact Assessments: agenda 1. Wat zegt de Algemene Verordening Gegevensbescherming? 2. Hoe productief

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/10/067 BERAADSLAGING NR 10/037 VAN 1 JUNI 2010 MET BETREKKING TOT DE MEDEDELING VAN GECODEERDE PERSOONSGEGEVENS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/09/018 BERAADSLAGING NR 09/015 VAN 3 MAART 2009 MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS DOOR

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid 1 Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/14/119 BERAADSLAGING NR. 14/064 VAN 2 SEPTEMBER 2014 INZAKE DE MEDEDELING VAN PERSOONSGEGEVENS DOOR DE VERZEKERINGSINSTELLINGEN

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/15/014 BERAADSLAGING NR. 09/053 VAN 1 SEPTEMBER 2009, GEWIJZIGD OP 5 OKTOBER 2010 EN OP 3 FEBRUARI 2015,

Nadere informatie

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services

Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Privacy statement voor de gebruiker van de RadiologieNetwerk-Services Missie XS2RA B.V. tevens handelend onder de naam RadiologieNetwerk ( RadiologieNetwerk ) heeft als missie om via haar RadiologieNetwerk

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/10/071 BERAADSLAGING NR 10/040 VAN 1 JUNI 2010 MET BETREKKING TOT DE MEDEDELING VAN GECODEERDE PERSOONSGEGEVENS

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/13/105 BERAADSLAGING NR. 13/045 VAN 7 MEI 2013 INZAKE DE UITWISSELING VAN PERSOONSGEGEVENS TUSSEN DE (BELGISCHE)

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZ/12/320 BERAADSLAGING NR 12/097 VAN 6 NOVEMBER 2012 INZAKE DE MEDEDELING VAN PERSOONSGEGEVENS DOOR HET RIJKSINSTITUUT

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid» SCSZ/14/070 BERAADSLAGING NR. 14/031 VAN 6 MEI 2014 INZAKE DE TOEGANG TOT DE GEGEVENSBANK AANWEZIGHEIDSREGISTRATIE

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

TC/01/82. Gelet op de aanvraag van de Kruispuntbank van de sociale zekerheid;

TC/01/82. Gelet op de aanvraag van de Kruispuntbank van de sociale zekerheid; TC/01/82 BERAADSLAGING NR. 01/70 VAN 14 AUGUSTUS 2001 BETREFFENDE EEN AANVRAAG VOOR DE MEDEDELING VAN SOCIALE GEGEVENS VAN PERSOONLIJKE AARD DOOR DE KRUISPUNTBANK AAN DE DRUKKER VAN DE GRATIS PASSEN VANWEGE

Nadere informatie

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid SCSZG/15/020 BERAADSLAGING NR. 15/007 VAN 3 MAART 2015 INZAKE DE TOEGANG TOT DE PERSOONSGEGEVENSBANK E-PV DOOR

Nadere informatie