Informatiebeveiliging en Peridos

Transcriptie

1 Informatiebeveiliging en Peridos Regiobijeenkomst SPN 6 november 2018 Carolien Kapteijns Patrick van Santvoort Landelijk beheer Peridos

2 Algemene Verordening Gegevensbescherming (AVG) Ingangsdatum 25 mei 2018 Deze Europese wet vervangt de Wbp In de Wbp, Wbo en contracten tussen Regionale centra en zorginstellingen was al veel geregeld Daarom geen verwerkersovereenkomst nodig tussen Regionaal centrum en zorginstellingen

3 Informatiebeveiliging Informatiebeveiliging Beschikbaarheid Vertrouwelijkheid Integriteit

4 Beschikbaarheid Ook wel Continuïteit genoemd Informatie moet beschikbaar en toegankelijk zijn Wat te doen als informatie niet beschikbaar is

5 Integriteit Ook wel Betrouwbaarheid genoemd Het in overeenstemming zijn van informatie met de werkelijkheid (informatie is juist, volledig en actueel) Mogelijke gevolgen wanneer informatie onjuist, onvolledig is of niet actueel is

6 Vertrouwelijkheid Ook wel Exclusiviteit genoemd De bevoegdheden en mogelijkheden om kennis te nemen van informatie voor een gedefinieerde groep gerechtigden. Mogelijke gevolgen wanneer informatie in handen komt van derden die hiertoe niet zijn geautoriseerd

7 Informatiebeveiliging Infrastructuur Applicatie Mensen

8 Infrastructuur Veel techniek, wordt ingeregeld door leverancier van Peridos Peridos alleen toegankelijk vanuit Nederland, België en Duitsland Servers op twee verschillende locaties in Nederland Infrastructuur

9 Applicatie / Peridos Twee-factor authenticatie Via SSO vanuit Vrumun en Orfeus, staks ook vanuit Onatal Via Zorgportaal met behulp van een app Rollen en rechten Periodieke bijstelling Privacy by default Applicatie

10 Applicatie / Peridos Logging Vastleggen wie welke gegevens heeft opgevraagd Misbruik voorkomen Aanlevering gegevens aan Peridos Op termijn Excel uitfaseren MEDNIP is eerste ZorgMailbericht Applicatie

11 Mensen / gebruikers Technologische oplossingen en procedures staan of vallen met hoe mensen ermee omgaan Mensen

12 Mensen / gebruikers Houdt je inloggegevens voor jezelf Zorg ervoor dat alle gegevens in Peridos upto-date zijn Ga bewust om met privacy gevoelige gegevens Weet wat je moet doen als het toch een keer verkeerd gaat Mensen

13 Een cliënt krijgt een NIPT aanvraagformulier mee van een andere cliënt Formeel is dit een datalek, beperkte impact De zorginstelling is verantwoordelijk Te voorkomen door betere controle of door andere werkwijze in de labworkflow

14 Een USB stick met daarop niet (volledig) geanonimiseerde echobeelden raakt zoek in de post doordat de envelop is gescheurd De stick was beveiligd met een wachtwoord, de gegevens waren geëncrypt, dus geen datalek Het Regionaal centrum is verantwoordelijk omdat die een ondeugdelijke retour-envelop hebben meegestuurd Te voorkomen door het bijsluiten van een betere envelop

15 Een zorgverlener die in twee praktijken werkt, logt in bij de verkeerde praktijk en maakt vandaaruit een NIPT labaanvraag aan. De uitslag gaat nu ook naar de verkeerde praktijk. Formeel is dit een datalek, zeer beperkte impact De zorgverlener is verantwoordelijk Voorkomen door Peridos aan te passen waardoor bij inloggen bewuster een keuze voor een praktijk moet worden gemaakt

16 Een Regionaal centrum mailt een auditrapport van een echocentrum naar een ander echocentrum Formeel is dit een datalek, zeer beperkte impact omdat het oordeel positief was Het Regionaal centrum is verantwoordelijk Voorkomen bij het versturen van mail is moeilijk. In de toekomst kunnen auditrapporten vanuit Peridos worden gedownload

17 Samenvatting Er gebeurt op verschillende niveaus al veel op het gebied van informatiebeveiliging Veiligere manier van inloggen in Peridos Bewustwording en bewust omgaan met gegevens is essentieel Er gaan soms dingen fout, maar er gaan ook heel veel zaken goed!!

18