Informatiebeveiliging in de zorg

Transcriptie

1 5-daagse opleiding Inclusief ipad Air met digitaal lesmateriaal! Informatiebeveiliging in de zorg Reduceer de risico s rondom beschikbaarheid, integriteit en betrouwbaarheid van informatie voor maximale zorgkwaliteit Highlights: Praktisch toepassen van de nieuwe NEN7510 norm Ontwikkelingen in de zorgsector en de impact hiervan op informatie-uitwisseling door ketenzorg, mobiel werken en de impact van medische apparatuur Zorgspecifieke risicoanalyses inrichten en uitvoeren op het gebied van informatieveiligheid Informatiebeveiliging als vast proces in uw organisatie opnemen Thematiek betreffende authenticatie, autorisatie, Identity Management in de zorg en de norm NEN 7513 Logging vastleggen van acties op elektronische patiëntdossiers De impact van de wet- en regelgeving op het gebied van informatiebeveiliging en privacy Inclusief een demonstratie van de nieuwste ontwikkelingen van het EPD op uw tablet Een greep uit het expertteam Hoofddocent Ervaren Adviseur Informatiebeveiliging in de zorg Jan Willem Schoemaker Corporate Information Security Officer & Business Continuity Manager, Erasmus MC Beer Franken Chief information Security & Privacy Protection Officer, AMC Onderzoeksjournalist met expertise in beveiliging Data: 10, 11, 18, 24 & 25 maart Locatie: Coengebouw Amsterdam

2 Bent u in staat om risico s voor uw zorginstelling in kaart te brengen en hier tijdig met de juiste maatregelen op te acteren? De groei van digitale uitwisseling en verwerking van medische informatie met andere zorginstellingen, overheidsinstanties en patiënten brengt kansen maar ook nieuwe risico s met zich mee. Deze risico s vormen een bedreiging voor het functioneren van uw zorginstelling, zorgkwaliteit en patiëntveiligheid. Het verantwoord omgaan met deze risico s is één van de vele uitdagingen voor uw zorginstelling. Informatiebeveiliging is daarbij een onmisbaar instrument. Om de kwaliteit van informatiebeveiliging binnen uw zorginstelling te verhogen krijgt u tijdens de opleiding antwoord op elementaire vragen: Waar staat onze instelling als het gaat om informatiebeveiliging? Wat zijn de grootste bedrijfsrisico s en hebben we voldoende maatregelen genomen om deze risico s te beheersen? Hoe kunt u de continuïteit van het primaire zorgproces garanderen? Zijn de patiënt- en bedrijfsinformatie afdoende beveiligd en afgeschermd? Wat is de waarde van informatie en wat is de schade voor onze instelling als deze informatie openbaar wordt? In deze 5-daagse opleiding krijgt u o.a. inzicht in trends, risico s en privacy issues op het gebied van informatiebeveiliging in de zorg. Na vijf dagen heeft u alle kennis in huis om de kwaliteit van informatiebeveiliging binnen uw zorginstelling op een hoger niveau te brengen en te acteren op de belangrijkste risico s. Met vriendelijke groet, Jessy Reubsaet Productmanager De opleiding is bedoeld voor iedereen die zich binnen een zorginstelling met informatie bezighoudt. U bent o.a. werkzaam als: ICT-manager Projectleider EPD Kwaliteitsmanager, security manager Arts/verpleegkundige (met een deeltaak in informatievoorziening) Auditor AO-beheerder Functioneel beheerder IT architect Applicatiebeheerder Financieel manager Adviseur in de zorg Beleidsmedewerker in de zorg Hoofd medische administratie/zorgadministratie Hoofd polikliniek in een zorginstelling, bijv. in een ziekenhuis, thuiszorg, kraamzorg, bejaarden- of verpleeghuis, GGD, arbodienst, psychiatrische instelling, streeklaboratorium, adviesbureau

3 Dag 1 Dag maart tot uur Ontvangst door hoofddocent Voorstellen en introductie Werkwijze van de 5-daagse opleiding De rode draad: opbouw van het programma Uw persoonlijke doelstelling tijdens deze 5 dagen tot 12:30 uur Stan Aldenhoven Module 1: Trends in de zorg in relatie tot informatiebeveiliging Trends, termen en begrippen in de zorg en de invloed van informatiebeveiliging waaronder; > Patiënt empowerment > Toename uitwisseling van medische informatie > Ketenzorg > EPD, het lokale, regionale en landelijke elektronisch patiëntendossier > Informatie vanuit medische apparatuur > Big data in de zorg > Health analytics > E-Health en m-health > Clouddiensten en cybercrime Toezicht door de IGZ, de resultaten van de verplichte NEN7510-audit eind 2010 en de impact hiervan op informatiebeveiliging in de zorg De impact van trends in de zorg op informatiebeveiliging Het speelveld rond informatiebeveiliging in de zorg De basisbegrippen en uitgangspunten > De nieuwe norm NEN7510:2011 > Relatie informatiebeveiliging en medische apparatuur > Relatie met het kwaliteitssysteem (verplicht gesteld door Kwaliteitswet zorginstellingen 1996) > Veiligheidmanagement systeem (VMS) tot 17:00 uur Module 2: Security management en secure operations Managen van security als een normaal proces volgens de nieuwe NEN7510 Introductie van de belangrijkste termen en begrippen van informatiebeveiliging aan de hand van gebeurtenissen in het nieuws op basis van incidenten in de zorg, bijvoorbeeld papieren dossiers op straat, toegang tot digitale patiëntgegevens door hackers, brand in de OK etc. De nieuwe NEN7510 norm voor informatiebeveiliging in de zorg en specifieke normeringen zoals het kwaliteitssysteem en het Veiligheidmanagement systeem. Security management practices; procesinrichting, organisatie (RACI / TVB, rol- en functiescheiding Het Information Security Management System volgens de nieuwe NEN7510 versie 2011 Wat doet IT-operations? ITIL en ITIL versie 3; borgen van security in de belangrijkste beheersprocessen Het gebruik van ITIL voor het beheersen van medische apparatuur Richtlijnen voor omgang met mobiele apparatuur (bv. CTG transportmonitoren) service management tools t.b.v. inzicht in de middelen, zowel IT als medische apparatuur Welke zaken er spelen rond security management en op welke wijze dit kan worden uitgevoerd De belangrijkste standaarden op het gebied van het aansturen van beveiligingsprocessen Het verband leggen tussen beveiliging en kwaliteitsnormen voor beheer Het beheren van medische apparatuur conform ITIL ten behoeve van meer veiligheid tot 11:30 uur Jan Willem Schoenmaker Module 3: Continuïteit Continuïteitseisen, verwachtingen & procesaanpak Business Continuity volgens ISO Termen: Max Acceptable Data Loss/Service Loss Recovery time objectives; van calamiteit tot business as usual De NEN7510, relatie tussen het continuïteitsplan, de continuïteitsstrategie en het proces voor continuïteitsbeheer Na deze module begrijpt u: Hoe u moet omgaan met de continuïteit van de zorginstelling Welke cruciale keuzes u moet maken De onderwerpen rondom continuïteitsbeheer tot 15:30 uur Lex Borger Module 4: Security architectuur Security architectuur, belangrijkste security services & mechanismen Architectuurconcepten IHE (Integrating the Healthcare Enterprise (IHE)) Nictiz-architectuur en beveiligingseisen IT-services, samenhang en mechanismen IT-services: Identificatie, authenticatie, autorisatie, access control/ hardening, monitoring/logging, incident preventie, detectie enrepressive, crypto, resilience (veerkracht/continuiteit), integriteitsmaatregelen, auditservices en mechanismen De samenhang en de werking van een security architectuur Architectuurmodellen Specifieke zorg architectuurconcepten tot 17:00 uur Mark Braam Module 5: Risicomanagement Risico- en controlesysteem Intern risico- en controlesysteem in de zorg Adequaat inrichten van risico- en controlesysteem Werkt het in de praktijk en waar ligt de verantwoordelijkheid voor zo n systeem Governance en interne beheersing Het uitvoeren van zorgspecifieke risicoanalyses op het gebied van informatieveiligheid Risicomanagement binnen een zorginstelling Het uitvoeren van risicoanalyses in het kader van informatiebeveiliging QR-code Scan deze code met uw smartphone en bezoek direct de website van deze opleiding. Volg IIR op LinkedIn Word lid van de LinkedIn groep Digitalezorg.nl en discussieer met uw vakgenoten. Op de hoogte met Twitter en blijf op de hoogte van de laatste updates.

4 Informatiebeveiliging in de zorg Dag 3 Dag tot 12:30 uur Beer Franken Module 6: Wetgeving, regelgeving en normeringen voor informatiebeveiliging en privacy in de zorg Informatiebeveiligingseisen uit wet- en regelgeving Overzicht belangrijkste wetten en normen > ISO 2700x en NEN 7510:2011 > Wet Bescherming Persoonsgegevens (WBP) > Wet Computer Criminaliteit > Reporting Data Loss Zorgspecifieke wet- en regelgeving en de belangrijkste aspecten hierbij Inzicht in de huidige stand van zaken van privacy in de zorg Privacy & het patiëntendossier Privacy in samenwerking met andere zorginstellingen Hoe kunt u ervoor zorgen, dat bij gegevensuitwisseling met andere zorginstellingen de privacy gewaarborgd wordt, zonder allerlei onwerkbare maatregelen te nemen, die toch niet nageleefd worden? Investigation en ethiek Na deze module bent u op de hoogte van: De belangrijkste regelgeving en welke impact dit heeft op de beveiliging Alle ontwikkelingen op het gebied van privacy in de zorg tot 17:00 uur Stan Aldenhoven en Module 7: Toegangsbeheersing Principes, identiteit & autorisatie. Authenticatie, toegang & functies, rollen & rechten Wat is Identity and Access Management? Wat zegt de wet- en regelgeving over Identity and Access Management? Gebruik van smartcards voor artsen, patiënten etc. Het gebruik van DigiD in de zorg en hoe hierop aan te sluiten Nieuwe ontwikkelingen op dit gebied (samenwerking, bedside terminals) Knelpunten in de zorgsector voor het beheer van identiteiten en autorisaties Norm NEN 7513 Logging Thematiek van authenticatie, autorisatie en identity management en de specifieke kenmerken in de zorgsector Hoe gaat u om met medewerkers die regelmatig van afdeling wisselen (bijv. arts- of co-assistenten) Behandelrelaties met patiënten Patiëntgebonden informatie en het secretariaat (geen behandelrelatie met patiënt, maar ziet wel afspraken, post etc) Classificatie van informatie en hoe hier in de praktijk mee om te gaan Uitdagingen in wetgeving Extra! Interactieve leeromgeving Tijdens de opleiding maakt u, naast de bijeenkomsten, gebruik van een online leeromgeving. Hier vindt u (extra) leermaterialen die aansluiten bij de lesbijeenkomsten, zoals video s, artikelen, eventueel huiswerk en verwijzingen naar boeken. De leeromgeving gebruikt u ook als netwerkinstrument en voor interactie: alle deelnemers en docenten zijn via de leeromgeving snel te bereiken. Voor aanvang van de opleiding ontvangt u een inlogcode voor de online leeromgeving en een uitnodiging om uw profiel aan te maken tot 11:30 uur Erik Rutkens Module 8: Applicatie en software development Borgen van beveiliging in het toekomstige product en beveiliging van de ontwikkel-omgeving Beveiliging van IT-producten: Security Requirements, secure software development; top-10 belangrijkste fouten insw-ontwikkeling OWASP, SANS, Design Criteria for secure systems en CSSLP (Secure Software Lifecycle) Beveiliging van de ontwikkelomgeving: scheiding OTAP (ontwikkel- test, acceptatie, productie), tollgates en securityeisen per tollgate; security testing en acceptatiecriteria Selectietrajecten van EPD- en ZIS-systemen Na deze module weet u: Wat er komt kijken bij het veilig bouwen van applicaties Specifieke aandachtspunten voor het elektronisch patiënten dossier (EPD) En het ziekenhuis informatie systeem (ZIS) De belangrijkste methodieken om toezicht op softwareontwikkeling te houden tot 14:30 uur Marc Smeets Module 9: De opkomst van mobile health Kansen en risico s van mobile devices in de zorg Trends van Mobile Device Management in de zorg Mogelijkheden van Mobile Devices Issues rondom het gebruik van mobile devices Het mobiele landschap en terminologie Risico s BYOD; Hoe veilig is mijn data? 14:30 tot 15:00 uur Demonstratie van een elektronisch dossier op een Mobile Device De wijze waarop mobile devices kunnen worden ingezet binnen de zorg Specifieke risico s voor mobiele devices 15:00 tot 17:00 uur Module 10: Fysieke veiligheid/omgeving Veiligheidsringen & fysieke dreigingen Physical Security omgeving / beveiliging Datacenters en hardware Hoe om te gaan met de veelal open zorginstellingen Verschillen en overeenkomsten tussen de security officer (informatiebeveiligingsfunctionaris) en de afdeling fysieke beveiliging Methodieken voor fysieke beveiliging Na deze module bent u in staat: Een logische indeling te maken tussen de fysieke en ICT omgeving Om te gaan met de veelal open zorginstellingen

5 Dag 5 Uw expertteam tot 11:30 uur Module 11: Netwerkbeveiliging en cryptografie Principes & grenzen aanbrengen, veilig communiceren over (onveilige) transportmiddelen Veiligheid van telecommunicatie, network & internet security (network technology: dedicated / from the shelf); isolatie / boundaries aanbrengen, beveiliging van transport met bijvoorbeeld VPN, IP-Sec, SSL, Transport/Tunnel-mode Relatie met medische apparatuur. Medische apparatuur bevindt zich vaak in door de leverancier afgesloten netwerken of onder beheer van leveranciers. Waar moet dan specifiek op worden gelet? Afscherming openbare netwerken in het ziekenhuis, netwerk mogelijkheden aan het bed en professioneel gebruik Mobiele apparatuur binnen en buiten de zorginstelling Landelijke informatie-uitwisseling via het landelijk EPD Landelijke en regionale informatie-uitwisseling met andere zorgverleners Wat zijn de verschillende soorten cryptografie? Sleutelbeheer en distributie Praktische problemen met crypto en hoe kunt u hiermee om gaan? Na deze module kent u: De belangrijkste principes van netwerkbeveiliging Kennis om mee te kunnen praten over meest gebruikte technieken en de debatten die op dat gebied spelen Het concept en de globale werking van cryptografie Voornamelijk in de zorg aandacht voor de balans tussen werkbaarheid en informatiebeveiliging tot 12:30 uur Module 12: Hacken en actuele praktijkcasussen in de zorg Preventief en actief anti-hack beleid zorginstelling Praktijkcase: Patiënten VUmc onvoldoende geïnformeerd Praktijkcase: Groene Hart Ziekenhuis lekt medische dossiers tot 16:00 uur Module 13: Menselijke factor Afhankelijkheid van de mensen, stimuleren gewenst gedrag & detecteren/ corrigeren ongewenst gedrag Menselijk falen, opzettelijk gedrag van eigen mensen, opzettelijk gedrag van buiten (hackers, social engineering) Human factor in control design, screening, soft controls, awareness. Detectie van afwijkingen. Rol media; social networks De wijze waarop social networks op een veilige manier zijn in te zetten in de zorgsector Naleving van informatiebeveiliging Na deze module kent u: De aspecten van de menselijke factoren en bent u alert op het menselijk ongewenste gedrag tot 16:30 uur Hoofddocent is eigenaar van het adviesbureau Health Insights en is gespecialiseerd in informatiebeveiliging binnen de zorgsector op zowel organisatorisch alstechnisch gebied. De afgelopen twaalf jaar heeft hij vanuit één van de Big-4 kantoren veel advieswerk verricht voor (lijn) management en projectbureaus en heeft hij diverse zorginstellingen en landelijke instanties begeleid bij het verbeteren van informatiebeveiliging. Dit laatste veelal in de rol als (interim) Security Officer. Uiteraard heeft Huibert ook vanuit een controlerende rol geacteerd in dit veld, bijvoorbeeld tijdens de verplichte NEN7510 audits bij de ziekenhuizen. Vanwege zijn passie voor het vakgebied is Huibert actief betrokken bij de vormgeving van diverse normeringen voor informatiebeveiliging in de zorg (o.a. NEN7510, NEN7521, Zekere Zorg). Gastsprekers Jan Willem Schoemaker Corporate Information Security Officer & Business Continuity Manager, Erasmus MC Beer Franken Chief Information Security & Privacy Protection Officer, AMC Onderzoeksjournalist met expertise in beveiliging Erik Rutkens Insite Advies & Security Marc Smeets IT Security expert & ethical hacker Linq42 Lex Borger Security Architect, Ideas-to-Interconnect Stan Aldenhoven IT Strategist Healthcare Mark Braam Senior Consultant Enterprise Risk Management, Aon Global Risk Consulting Partner: Module 14: Evaluatie van de opleiding & bespreken persoonlijke doelstellingen

6 IIR B.V., Kabelweg 37, 1014 BA Amsterdam: 3 gemakkelijke manieren om u aan te melden: 1. Via internet: 2) Via de inschrijving@iir.nl 3) Via de telefoon: bel Lorelei Mendoza (customer service) daagse opleiding 3.899,- dag 1, 2, 3 en ,- dag 1, 2 en ,- Alle prijzen zijn per persoon, exclusief BTW en inclusief ipad Air, koffie/thee en lunch. Wilt u een eigen tablet of laptop meenemen naar de opleiding? Dan ontvangt u 300, - korting. Meld u aan met uw VIP CODE: Algemene informatie: Locatie: Coengebouw Amsterdam 5-daagse opleiding Informatiebeveiliging in de zorg Reduceer de risico s rondom beschikbaarheid, integriteit en betrouwbaarheid van informatie voor maximale zorgkwaliteit Inhoudelijk contact met uw opleidingsadviseur? Wilt u meer informatie over deze opleiding? Neem dan contact op met onze opleidingsadviseur Michel de Coninck via of per via m.deconinck@iir.nl. Deze opleiding InCompany volgen? Vanaf 5 personen kunt u deze opleiding InCompany volgen. Het programma wordt specifiek afgestemd op uw organisatie, in overleg wordt een datum, locatie en tijdstip bepaald. Neem contact op met Miranda Goossens via of per via m.goossens@iir.nl. Inclusief ipad Air met digitaal lesmateriaal Boek Informatiebeveiliging in de zorg - Werken met NEN7510 geschreven door docenten Beer Franken en Jan Willem Schoenmaker Gegevensregistratie Uw gegevens worden door IIR geregistreerd en gebruikt om u op de hoogte te houden van onze producten en die van zorgvuldig geselecteerde bedrijven. Mochten uw gegevens niet correct zijn of wenst u dat uw gegevens niet gebruikt worden voor deze doeleinden, neem dan contact op met onze database afdeling op of database@iir.nl Algemene voorwaarden Op alle aanbiedingen zijn onze algemene voorwaarden van toepassing. Deze zijn gedeponeerd bij de K.v.K te Amsterdam, onder nummer De algemene voorwaarden zijn te downloaden op onze website en worden op verzoek kosteloos toegezonden.