Voorbeeld van een veiligheidsbeleid

Transcriptie

1 Voorbeeld van een veiligheidsbeleid 1

2 1 Doelstelling Deze tekst is en voorbeeld van een veiligheidsbeleid. De tekst geeft aan op welke manier een beleid voor informatieveiligheid onderdeel is van de visie en missie van de zorginstelling. Met deze beleidstekst toont de organisatie de strategische doelstellingen voor de ontwikkeling van informatieveiligheid. Het behandelt daarnaast ook enkele tactische elementen, met name de organisatie van het veiligheidsbeleid (wie doet wat), het beheer van risico s (van identificatie tot beheer ervan) en de scope van het beleid. Tot slot linkt het veiligheidsbeleid naar de verschillende actiepunten die worden genomen (het veiligheidsplan) Dit veiligheidsbeleid werd voorgesteld tijdens het project aan alle deelnemende woonzorgcentra en is nu beschikbaar voor alle zorginstellingen. Het ewzc project heeft als doel de sector van de woonzorgcentra bewust maken van de nood aan informatisering. Dit wordt gerealiseerd aan de hand van verschillende pilootprojecten die de ITfunctionaliteiten voor gegevensdeling en procesbeheersing uittesten. Daarna kunnen ze ingevoerd worden in de hele sector. Meer informatie over ewzc vind je hier: De tekst dient verder te worden aangevuld met beleidsstandpunten inzake bijvoorbeeld het beheer van gebruikers, rollen en verantwoordelijkheden, het beheer van therapeutische relaties, de omgang met leveranciers enz. Voorbeelden hiervan kan je hier vinden: ates/ Veel succes met de implementatie van dit veiligheidsbeleid! Namens ewzc Peter Berghmans Veiligheidsborger 2

3 1. Het belang van informatieveiligheid Het woonzorgcentrum wil voor al haar bewoners een comfortabele omgeving bieden in combinatie met professionele zorg. Een aangenaam leefklimaat en deskundige zorg staan hierbij centraal. We hebben hierbij oog voor respect, menselijke warmte, persoonlijke aandacht en privacy. Ons zorgcentrum staat garant om de gegevens die we van onze bewoners verzamelen, te verwerken met de grootste aandacht voor privacy. We streven continu naar verbetering, met als doel een veilige informatieomgeving te creëren. In het bijzonder willen we de gegevens van onze bewoners beschermen tegen: verlies: gegevens zijn niet meer beschikbaar lekken: gegevens komen in verkeerde handen terecht fouten: gegevens zijn niet correct, bijvoorbeeld verouderd of onvolledig niet toegankelijk: op het moment van de zorg zijn gegevens niet toegankelijk onterecht inkijken: ingekeken door personen die hiertoe niet gemachtigd zijn het niet kunnen nagaan wie de gegevens inkeek, wijzigde of verwijderde verwerkingen die niet in lijn liggen met regelgeving, richtlijnen en normen De directie wil beroep doen op iedereen die betrokken is bij het elektronisch bewonersdossier om samen, vanuit een gemeenschappelijke visie én vanuit onze gezamenlijke wil om kwaliteitsvolle zorg aan te bieden, de verwerking van de gezondheidsgegevens van onze bewoners correct te laten verlopen. Dit beleidshandboek gaat dieper in op de bescherming van de persoonlijke levenssfeer van de bewoner en meer in het bijzonder, de informationele privacy. Dit beleidshandboek dient als norm voor het verwerken van de persoonsgegevens van onze bewoners. Het is een leidraad voor alle verwerkingsprocessen en biedt een referentienorm voor audit en controle. Het beleidshandboek biedt elke bewoner, medewerker en externe een inzage in het veiligheidsbeleid en de manier waarop we omgaan met gevoelige persoonsgegevens. Het handboek is geschreven voor iedereen die een beleidsfunctie heeft binnen het woon- en zorgcentrum. Ze gebruiken (delen van) dit beleidshandboek voor het ontwerpen van procedures en richtlijnen voor medewerkers en externen, zoals ICT-leveranciers. De relevante onderdelen van dit beleidshandboek worden verwerkt in overeenkomsten met personeel en leveranciers. 3

4 2. De organisatie van informatieveiligheid Bevoegdheid Verantwoordelijke uitvoerder Als verantwoordelijke voor de verwerking, ligt de bevoegdheid van dit veiligheidsbeleid bij het woonzorgcentrum, vertegenwoordigd door haar directeur $naam. $Hij/Zij is verantwoordelijk voor het formuleren van de beleidsprincipes en voor de naleving ervan binnen het woonzorgcentrum. Het $directiecomité fungeert als formeel beslissingsplatform voor informatieveiligheid. Het $directiecomité is bevoegd om beslissingen te nemen die betrekking hebben op volgende aspecten: - De risicoanalyse en bijhorende methodiek; - Het ontwikkelen van het informatieveiligheidsbeleid en de bijhorende richtlijnen; - De implementatie van beveiligingsmaatregelen (i.e. de inhoud van het veiligheidsplan) - De structurele reactie op informatieveiligheidsproblemen en adviezen (binnen de 3 maanden); Plaats De veiligheidsconsulent De medewerker Het beleidshandboek wordt geïntegreerd in het kwaliteitsmanagement van het woonzorgcentrum, onder het toeziend oog van de verantwoordelijke kwaliteitsmedewerker. De inhoudelijke opvolging van het veiligheidsbeleid ligt bij de veiligheidsconsulent. Hij/zij voert deze taak uit volgens de bepalingen in het Vlaams decreet van 15 mei 2009 betreffende veiligheidsconsulenten en de richtlijnen van Belrai inzake veiligheidsconsulenten. Het woonzorgcentrum legt de identiteit (en eventuele wijzigingen) van de veiligheidsconsulent voor aan de Vlaamse Toezichtcommissie ter beoordeling. De veiligheidsconsulent rapporteert aan de directeur van het woonzorgcentrum en is meer in het bijzonder belast met: - Adviezen en aanbevelingen voorleggen aan het directiecomité - Opdrachten uit te voeren op vraag van het directiecomité - Bevorderen van de bewustwording van alle actoren binnen het woonzorgcentrum - Ziet toe op de naleving van het veiligheidsbeleid binnen het woonzorgcentrum. - Documenteert het veiligheidsbeleid, in overleg met de kwaliteitsmedewerker en volgens dezelfde methodiek - Stelt het veiligheidsplan op voor een periode van 3 jaar en waakt over de uitvoering ervan. - Stelt een jaarverslag op met de vorderingen van het veiligheidsplan en legt dit voor aan het directiecomité - Registreert overtredingen en maakt deze, samen met een advies, over aan het directiecomité. Iedereen (intern of extern) die gegevens verwerkt (bijvoorbeeld inkijkt, registreert, wijzigt, ), doet dit volgens de beleidsprincipes uit dit beleidshandboek. De gebruiker verwerkt gegevens in overeenstemming met de discretieplicht, en conform volgende principes: 4

5 - Is verantwoordelijk voor de gegevens van bewoners die hij/zij verwerkt - Voert de veiligheidsrichtlijnen uit tijdens zijn/haar verwerkingsopdracht. - Verwerkt enkel die gegevens die horen bij de taak - Draagt zorg voor de gegevens - Meldt inbreuken - Leeft artikel 458 van het Strafwetboek na: De gebruiker respecteert het beroepsgeheim. Dienstverantwoordelijke Coördinerend en raadgevend arts Behandelend arts ICT-medewerker en key gebruiker ICT-leverancier Bijkomend aan de verantwoordelijkheden van de medewerker, ziet de dienstverantwoordelijke toe op de goede uitvoering van de veiligheidsbepalingen. De dienstverantwoordelijke volgt de veiligheidsrichtlijnen op en informeert de medewerkers hierover. De dienstverantwoordelijke zorgt voor een veiligheidscultuur en onderhoudt deze, bijvoorbeeld door het bespreken van de beleidsrichtlijnen op het teamoverleg. De dienstverantwoordelijke ondersteunt controleactiviteiten, bijvoorbeeld door het controleren van logging in het elektronisch bewonersdossier. Vanuit de ondersteunende rol voor kwaliteitsbeheer geeft de CRA (Coördinerend en raadgevend arts) op vraag of uit eigen beweging adviezen over de beveiligingseisen ten aanzien van medische gegevens. Op vraag van de veiligheidsconsulent bepaalt de coördinerend arts veiligheidsprincipes voor de bescherming van de medische persoonsgegevens van de bewoners. Naast de veiligheidsprincipes, zoals bepaald voor de medewerker, is de behandelend arts verantwoordelijk voor het afleveren van een correct medisch dossier. De ICT-medewerker en de verantwoordelijke voor de gebruikers (key gebruiker) zijn, in toevoeging van de verantwoordelijkheden voor de gebruiker, verantwoordelijk voor: - De implementatie van de technische maatregelen - Veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek. - Veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICT-middelen te melden aan de veiligheidsconsulent - Fungeert als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie zowel als aan de remediëring van de informatieveiligheidsrisico s - De gedragscode naleven. De ICT-leverancier heeft dezelfde verantwoordelijkheden als deze van een ICT-medewerker. Bijkomstig: - Wijst hij op veiligheidsrisico s van geleverde toepassingen - Wijst de leverancier op de op te nemen veiligheidstaken - Streeft de leverancier een transparant veiligheidsbeleid na door te communiceren over het eigen actuele veiligheidsniveau en bij de afhandeling van veiligheidsincidenten. 5

6 3. De scope van het veiligheidsbeleid Dit beleidshandboek verdiept zich in de informatieveiligheid bij zowel het lokaal verwerken als het delen van gegevens met verschillende actoren in de gezondheidssector. We hebben in dit beleid aandacht voor de omgang met persoonsgegevens van onze bewoners in het woonzorgcentrum. Daarnaast, in het kader van decreet gegevensdeling en de digitalisering van de woon- en zorgcentra (het ewzc project), bevat dit veiligheidsbeleid ook bepalingen voor de uitwisseling van gezondheidsgegevens met actoren i de gezondheidszorg. Op die manier confirmeren we bijvoorbeeld ook de bepalingen rond informatieveiligheid, zoals deze zijn opgenomen in de aansluitingsvoorwaarden voor het Vitalink platform. Het veiligheidsbeleid is van toepassing op alle medewerkers van het woonzorgcentrum, zowel medewerkers in dienstverband als medewerkers die via andere overeenkomsten deelnemen aan de gegevensverwerking (zelfstandige zorgverleners, stagairs en vrijwilligers). De bepalingen van dit veiligheidsbeleid worden opgenome in de contracten en kenbaar gemaakt via bewustwordingssessies. Gezien de belangrijke rol van de ICT-leveranciers bij het opzetten van de ICT-omgeving om gegevens te verwerken, legt het beleidshandboek hiervoor ook de beleidsprincipes vast. Het woonzorgcentrum tracht de beleidsprincipes in dit handboek ook te gebruiken als richtlijn in de zorgnetwerken waaraan de organisatie deelneemt. Op die manier streven we naar een coherent veiligheidsbeleid, samen met onze partners. 6

7 4. Het beheer van risico s Het woonzorgcentrum brengt de risico s inzake gegevensbescherming in kaart aan de hand van een 0-meting, die voor het eerst werd uitgevoerd op <datum>. De 0-meting werd uitgevoerd op basis van volgende criteria (toetsingskader): - De richtsnoeren met betrekking tot de informatiebeveiliging van persoonsgegevens, zoals deze werden gepubliceerd door de Commissie voor de Bescherming van de Persoonlijke Levenssfeer - De Algemene Verordening Gegevensbescherming - Het decreet betreffende de organisatie van het netwerk voor de gegevensdeling tussen de actoren in de zorg De 0-meting bracht operationele en tactische risico s in kaart. Deze risico s werden besproken samen met het directiecomité op <datum>. De risico s werden thematisch gerangschikt en de te nemen maatregelen worden opgenomen in het veiligheidsplan, dat gedurende de volgende 3 jaren wordt gerealiseerd. Jaarlijks wordt de voortgang van het veiligheidsplan besproken met de directie van het woonzorgcentrum in de vorm van een jaarrapport. Hierin worden ook nieuwe risico s besproken en wordt het toetsingskader gevalideerd Elke 3 jaar her-evalueert het woonzorgcentrum de risico s aan de hand van een veiligheidsaudit. Deze analyse heeft als doel de effectiviteit van de genomen maatregelen te controleren en nieuwe risico s in kaart te brengen. Volgende actiedomeinen worden momenteel behandeld in het veiligheidsplan: 7

8 5. Opsomming van de maatregelen: inhoud van het veiligheidsplan <Opsomming van de actiedomeinen die door de directie werden goedgekeurd> 8