Berry Kok. Navara Risk Advisory

Transcriptie

1

2 Berry Kok Navara Risk Advisory

3 Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging in de praktijk Navara software Navara Risk Advisory

4 Informatiebeveiliging in het nieuws

5 Informatiebeveiliging in het nieuws

6 Informatiebeveiliging in het nieuws

7 Informatiebeveiliging in het nieuws

8 Fourth Annual Benchmark on Patient Privacy & Data Security

9 Aantal security incidenten Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014

10 Inhoud datalek Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014

11 Impact door datalek Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014

12 Hoe is datalek vastgesteld? Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014

13 Informatiebeveiliging in de zorg

14 Wat is informatiebeveiliging? Vertrouwelijkheid van informatie Het beschermen van gevoelige informatie tegen ongeautoriseerde kennisname Integriteit van informatie Het waarborgen van de juistheid en volledigheid van informatie en de juiste en volledige verwerking door ICT-systemen Beschikbaarheid van informatie Het zekerstellen dat informatie en essentiële diensten op de juiste momenten beschikbaar zijn voor gebruikers

15 Waarom informatiebeveiliging? Verantwoordelijkheden en verplichtingen in de zorg Gebeurtenissen die verlies van beschikbaarheid, integriteit en vertrouwelijkheid met zich meebrengen, kunnen (klinische) gevolgen hebben; Het ontbreken van adequate maatregelen om dergelijke gebeurtenissen te voorkomen wordt binnen de zorg aangemerkt als nalatigheid; De verantwoordelijkheden en plichten volgen onder meer uit de Wet op de Geneeskundige Behandelingsovereenkomst (WGBO); Behandelingsovereenkomst; plicht een dossier te voeren en rust op hem/haar een geheimhoudingsplicht (beroepsgeheim). Informatiebeveiliging maakt deel uit van de invulling daarvan.

16 Waarom informatiebeveiliging? Risico s voor de algehele bedrijfsvoering Niet juist, tijdig of volledig werkend IT systemen kunnen leiden tot gedeeltelijke verstoring of algehele onderbreking van een bedrijfsvoering, inclusief bijbehorende inefficiënties en kosten; Imagoschade en afbreuk met betrekking tot klanttevredenheid; Privacy aspecten in het kader van de Wet Bescherming Persoonsgegevens zijn ook elementen die hier betrekking op hebben.

17 NEN Laatste jaren In 2010 Inspectie voor de Gezondheidszorg (IGZ) en College Bescherming Persoonsgegevens (CBP) steekproef bij zorginstellingen en daarnaast voor alle ziekenhuizen verplicht externe audit. Toetsingscriteria was een baseline met 30 van de 133 NEN7510 normen en een vereiste maturity score van 2 op schaal van 1 tot 4. Laatste drie jaar terughoudendheid en ook binnen kwaliteitssystemen in de zorg slechts een deel van de NEN7510 normen getoetst. Slechts afspraken dat zorgaanbieders actief verder zullen gaan met de implementatie van NEN7510.

18 NEN7510 Huidige situatie Nieuwe wetgeving omtrent informatiebeveiliging komt in stroomversnelling: Europese Algemene Verordening Bescherming Persoonsgegevens Verplicht zorgaanbieders o.a. een 'functionaris gegevensbescherming' aan te stellen en datalekken te melden, inclusief hoge boetes Mogelijk al in 2015 van kracht Wet Meldplicht Datalekken (Nationaal) Binnen 24 uur melding datalek bij CBP Boete bij niet naleven oplopend tot euro 'Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij elektronische verwerking van gegevens Bevat ook alle NEN7510 normen Wanneer wetsvoorstel erdoor is, is NEN7510 verplicht!

19 Extra uitdaging: Mobiel

20 Mobile Security Onderzoek Internationaal onderzoek onder IT en Security professionals in 2013: 82% - Medewerkers gebruiken persoonlijke mobiele apparaten voor werkdoeleinden; 77% - Informatiebeveiliging en privacy zijn de grootste uitdaging voor mobiel werken; 71% - Het beschermen van bedrijfs- en klantinformatie is topprioriteit als het gaat om mobility; Source: Dimension Data Research 2013

21 Mobile Security Onderzoek (2) Continued: 30% - De security risico s voortkomend uit Bring Your Own Device (BYOD) worden ingezien door IT, maar niet ingezien door management; 27% - Onze organisatie heeft voldoende beleid en procedures opgesteld om de risico s van mobiel werken te ondervangen; 32% - Onze organisatie heeft specifieke security audits laten uitvoeren op mobiele apparaten en apps. Source: Dimension Data Research 2013

22 Informatiebeveiliging in de praktijk

23 Waar te beginnen? Het is niet in het belang van een organisatie om zonder voorbereiding een grote set aan procedures, werkinstructies en controls uit te rollen. Aandachtspunten: Inzicht krijgen in IT landschap; Vaststellen datastromen; Categoriseren data; Risico s bepalen; Focusgebieden aanbrengen; Gefaseerde uitrol nieuw beleid, procedures en werkinstructies; Regelmatige controles op implementatie. In verloop van tijd audit, evalueren en aanpassen waar nodig.

24 Focusgebieden Niet alle gegevens in een zorginstelling behoeven eenzelfde beveiliging; Hangt af van de aard van de informatie, de wijze waarop deze wordt gebruikt en de risico s waaraan deze wordt blootgesteld; Voor systemen met patiëntgegevens is hoge beschikbaarheid en tijdigheid van informatie vaak een kritische factor voor de juiste zorg; Integriteit, vertrouwelijkheid en privacy van patiëntgegevens is essentieel.

25 Risico s zijn leidend Door risicobeoordeling kan worden vastgesteld welk niveau van beveiliging wordt vereist; De resultaten van regelmatige risicobeoordeling worden gebruikt voor het bepalen van de prioriteiten; De hieruit voortkomende beheersmaatregelen kunnen helpen de kans op fouten in de zorg die ontstaan door verlies van integriteit in patiënt informatie te verminderen; Juiste toepassing van normen en maatregelen zijn belangrijk voor de continuïteit van zorg en algehele geautomatiseerde informatievoorziening.

26 IT als ondersteuning Om de administratieve lasten zo laag mogelijk te houden is het aan te raden zo veel mogelijk te automatiseren of in ieder geval te ondersteunen met IT. Als het specifiek over Apps gaat dan kan Mobile Application Management hier in ondersteunen. De Navara software biedt een geïntegreerde App management omgeving.

27 Navara Risk Advisory Navara levert niet alleen state-of-the-art Mobile software oplossingen voor de beheersing van enterprise apps, maar levert ook professionele dienstverlening omtrent risico management, informatiebeveiliging, audit en compliance vraagstukken. Onze hier voor opgeleide professionals (o.a. RE) ondersteunen u graag met: Internal (IT) Audits (NEN7510, COBIT, ISO27001 etc); Software pre- en/of post-implementatie reviews; Opstellen en implementeren van Risk Control Frameworks; Risico assessments en risico workshops.

28

29 Doelstellingen / Risico s Strategie / Beleid App Board Proof of Concept App Camp CE markering Audit App Journey

30 Mobile Application Management HTML5 App Catalog Work Space adapers Apps Designer / Sencha Architect App Journey

31