Kan Moet Wil. ...ik ermee? Wat... Parallelsessie Gegevensbescherming NVLF Jaarcongres 2017

Transcriptie

1 Wat... Kan Moet Wil...ik ermee? Parallelsessie Gegevensbescherming NVLF Jaarcongres 2017

2 Even voorstellen... Hilde Lamberts, MSc Productmanager Logopedie Jan Pieter Schoon, MBA Financial Controller Functionaris Gegevensbescherming

3 Geschiedenis Wet Bescherming Persoonsgegevens ISO NEN 7510 AVG

4 Oude wijn in nieuwe zakken? (1) Doelredenering: Waarom gegevens nodig? Niet meer nodig? Dan persoonsgegevens weggooien! Transparantie, wat slaat u op en waarom? Documenteren van alle datalekken Recht op vergetelheid

5 Oude wijn in nieuwe zakken? (2) Centrale verantwoordelijkheid (FG) Gegevensbescherming in project inbakken (PIA) Met (software)leveranciers een verwerkersovereenkomst sluiten Dataportabiliteit (recht van cliënt) Register van verwerkingen persoonsgegevens

6

7 Een nieuwe patiënt belde voor een eerste afspraak en u zat niet achter uw laptop. U heeft alle persoonsgegevens opgeschreven en daarna pas in Incura gezet. Het briefje met de gegevens gooit u in de prullenbak. Stelling: Er is sprake van een datalek = eens = oneens Stelling: 1

8 Ja, het is een datalek. Er kunnen mogelijk vertrouwelijke persoonsgegevens door onbevoegde zichtbaar zijn geweest. Er hoeft alleen niet iets te worden gemeld door de geringe kans op ernstig nadelige gevolgen voor de betrokkene. Schaf een papiervernietiger aan en gebruik die ook. Daarnaast sluit u met de schoonmaker een verwerkersovereenkomst/ geheimhoudingsovereenkomst. Stelling: 1

9 1. (Privacy)Beleid, privacyverklaring 2. Organisatie van informatiebeveiliging (wie?) 3. Bedrijfsmiddelen 4. Personeel 5. Fysieke beveiliging / de werkomgeving

10 Mijn laptop is gestolen! Er stonden geen gegevens op want ik werk met een online programma, zoals Incura. Ik had alleen geen wachtwoord op mijn Windows! Stelling: Er is sprake van een datalek = eens = oneens Stelling: 2

11 Nee, er is geen sprake van een datalek. De vertrouwelijke persoonsgegevens zijn niet toegankelijk voor onbevoegden. Los van de diefstal zelf is er zorgvuldig gehandeld. Het is wel raadzaam om 2-factor authenticatie te gebruiken. Stelling: 2

12 6. Communicatie en informatiesystemen 7. Toegangsbeveiliging 8. Leveranciers (software, loonverwerking) 9. Informatiebeveiligingsincidenten en datalekken 10.Continuïteit

13 Een logopediste, die als waarnemer werkt voor uw praktijk SPRAAK, heeft haar Incura weblink, gebruikersnaam en wachtwoord op een papiertje geschreven en in haar portemonnee gedaan. Nu heeft ze vanochtend haar tas met portemonnee erin laten staan bij de Albert Heijn. Gelukkig is de tas gevonden en heeft ze haar tas die middag weer opgehaald. Stelling: Er is sprake van een datalek = eens = oneens Stelling: 3

14 Ja, er is sprake van een datalek, ook al staat niet vast dat de gegevens daadwerkelijk onterecht zijn ingezien. Vanwege de relatief kleine kans op ernstige nadelige gevolgen ligt een meldplicht aan het AP van het datalek niet voor de hand. De praktijkhouder moet passen maatregelen nemen: Ga zorgvuldig om met inloggegevens; wissel van wachtwoorden per 3 maanden en geef ze niet aan anderen Gebruik 2-factor authenticatie Stelling: 3

15 U heeft een vraag over een bepaald formulier in uw softwareprogramma en stuurt deze vraag via naar de helpdesk. Om het wat beter uit te leggen maakt u een screenshot van een ingevuld formulier van een patiënt en stuurt dit mee. Stelling: Er is sprake van een datalek = eens = oneens Stelling: 4

16 Ja, er is sprake van een datalek, ook al staat niet vast dat de gegevens daadwerkelijk onterecht zijn ingezien. Vanwege de relatief kleine kans op ernstige nadelige gevolgen ligt een meldplicht aan het AP van het datalek niet voor de hand. Het openbare netwerk is onvoldoende veilig. Anonimiseer gegevens die worden verzonden of encrypt de gegevens. Zorg sowieso voor een goede verwerkersovereenkomst met je softwareleverancier Stelling: 4

17 De kwaliteitskringloop 1) Say what you do! 1) Bepaal gezamenlijk risico s en prioritiseer en formuleer maatregelen 2) Realiseer maatregelen, niet alleen intentie 3) Controleer de effecten 4) Improve it! Commitment praktijkeigenaar / directie 2) Do what you say! 4) Pas eventueel de maatregelen aan 3) Prove it!

18 De antenne! Gevoel voor beveiligingsrisico tijdens dagelijks werk, bij alle medewerkers: bewustwording

19 Een stagiair van jouw praktijk heeft een beveiligde USB-stick meegenomen waar ze enkele eindrapportages van patiënten heeft gemaakt voor de huisarts/verwijzer. Bij aankomst op de praktijk blijkt dat ze de USB-stick is verloren tijdens haar fietstocht. Stelling: Er is sprake van een datalek = eens = oneens Stelling: 5

20 Nee, de USB-stick was gelukkig beveiligd. Het is wel een informatiebeveiligingsincident. Het gebruik van informatiedragers (CD, USB-stick) houdt een verhoogd risico in. Minimaliseer dus het gebruik daarvan en sla documenten op in de cloud! Stelling: 5

21 Zo denken we Dat is iets voor instellingen en niet voor een kleine praktijk! Ik heb daar allemaal geen tijd voor Ik ben een eenmanspraktijk, dus het is niet nodig.

22 Waarom kan ik een IBBS...? Een goed softwarepakket! Certificering (nog) niet verplicht Schaalbare invoering mogelijk Gefaseerde invoering mogelijk

23 Waarom moet ik een IBBS...? Technische ontwikkelingen Risico op imagoschade Risico op boetes Eisen zorgverzekeraars?

24 Waarom wil ik een IBBS...? Professionele organisatie Partner bij grotere instellingen Geen verrassingen Een veilig(er) gevoel Cliënten gerustgesteld

25 Wat doet Incura? (1) Gegevens worden in een streng beveiligd datacenter opgeslagen Redundante uitvoering hardware en constante malware-bewaking. Dagelijkse backups. Frequente automatische updates Aanbieden 2-factor authenticatie

26 Wat doet Incura? (2) Uitgebreid instellen bevoegdheden mogelijk Afspraken in een verwerkersovereenkomst ISO & NEN 7510 gecertificeerd Functionaris gegevensbescherming beschikbaar

27 Belangrijke websites ming/ Een enorme hoeveelheid informatie, tips en handleidingen om de AVG te begrijpen en toe te passen. Beknopte informatie en factsheets om de krenten uit de pap te pikken. Lees hoe informatiebeveiliging bij Incura Logo is geregeld. Ook kan de verwerkersovereenkomst worden gedownload. Een blog over de aspecten van de AVG in 2018 voor logopedisten

28 Een vraag vergeten te stellen...? Neem contact op! (088) (keuze 2)