INLEIDING INFORMATIEVEILIGHEID

Transcriptie

1 ///////////////////////////////////////// INLEIDING INFORMATIEVEILIGHEID Opleidingsdag informatieveiligheid dag 1: Wat is informatieveiligheid? /////////////////////////////////////////

2 PETER BERGHMANS ///////////////////////////////////////// Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute ///////////////////////////////////////// Agentschap Zorg en Gezondheid 2

3 LESSENREEKS 1: WAT IS INFORMATIEVEILIGHEID? ///////////////////////////////////////// > Module 1: Inleiding > Module 2: Verwerken van persoonsgegevens > Module 3: Beleid voor gegevensbescherming > Module 4: Het veiligheidsplan > Module 5: De informatieveiligheidsconsulent > Module 6: Relevante wetgeving > Module 7: Bespreken van de voorbeelden en opdrachten ///////////////////////////////////////// Agentschap Zorg en Gezondheid 3

4 ///////////////////////////////////////// MODULE 1: INLEIDING VAN DE OPLEIDING Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

5 DOELSTELLING VAN DE OPLEIDING ///////////////////////////////////////// > Een goed begrip krijgen van wat informatieveiligheid is binnen de context van WZC s > Woonzorgcentra begeleiden in de ontwikkeling van documenten inzake informatieveiligheid > Het ter beschikking stellen en toelichten van templates > Gelegenheid scheppen om hierover vragen te stellen ///////////////////////////////////////// Agentschap Zorg en Gezondheid 5

6 LEERDOELEN VOOR ELKE DEELNEMER ///////////////////////////////////////// > kent de voorwaarden voor het verwerken van gezondheidsgegevens > kan deze voorwaarden aftoetsen > kan deze verwerkingsvoorwaarden in een breder kader plaatsen, met name de relevante wetten en regels > Kent de basisbegrippen van informatieveiligheid > Kan een beleidshoofdstuk voor informatieveiligheid schrijven > Kan een informatieveiligheidsplan opstellen en onderhouden > Is in staat om de juiste vragen te stellen over de genomen technische maatregelen inzake informatieveiligheid > Kan een procedure uitschrijven en bewaken voor beleidsthema s > Heeft de kennis om een bewustwordingssessie in te vullen in een zorgorganisatie > Kan rollen en verantwoordelijkheden borgen binnen een zorgorganisatie ///////////////////////////////////////// Agentschap Zorg en Gezondheid 6

7 5 KERNDOMEINEN VAN DE OPLEIDING ///////////////////////////////////////// > Begrijpen wat een veiligheidsbeleid en plan is & beheer ervan > De kernprincipes van COT implementeren Bewustwording en opzetten van een organisatiestructuur Beheer van identiteiten, toegangen en logging Beheer van een therapeutische/zorgrelatie Beheer van verwerkers zoals leveranciers Beheer van calamiteiten en incidenten > Hierover waken ///////////////////////////////////////// Agentschap Zorg en Gezondheid 7

8 HOE DOEN WE DIT? ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 8

9 SESSIE 1: INLEIDING INFORMATIEVEILIGHEID ///////////////////////////////////////// Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/ AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring ///////////////////////////////////////// Agentschap Zorg en Gezondheid 9

10 SESSIE2: COT EN MINIMALE VOORWAARDEN ///////////////////////////////////////// Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra ///////////////////////////////////////// Agentschap Zorg en Gezondheid 10

11 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier ///////////////////////////////////////// Agentschap Zorg en Gezondheid 11

12 DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// Agentschap Zorg en Gezondheid 12

13 DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT ///////////////////////////////////////// Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// Agentschap Zorg en Gezondheid 13

14 DEEL 5: WRAP UP: EEN STAP VERDER ///////////////////////////////////////// Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer ///////////////////////////////////////// Agentschap Zorg en Gezondheid 14

15 PRAKTISCHE AFSPRAKEN ///////////////////////////////////////// > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > In de presentatie staan hyperlinks Onderlijnde woorden Figuren ///////////////////////////////////////// Agentschap Zorg en Gezondheid 15

16 ///////////////////////////////////////// MODULE 2: HET VERWERKEN VAN PERSOONSGEGEVENS Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

17 WAAROM GEGEVENSBESCHERMING? ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 17

18 WAAROM GEGEVENSBESCHERMING? ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 18

19 ///////////////////////////////////////// DE PRIVACYWET: DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BIJ DE VERWERKING VAN PERSOONSGEGEVENS DE ALGEMENE VERORDENING GEGEVENSBESCHERMING ///////////////////////////////////////// 19

20 STAP 1: PERSOONSGEGEVENS EN MIJN VERANTWOORDELIJKHEID ///////////////////////////////////////// > Welke persoonsgegevens? > Wie is verantwoordelijk? > Wie is verwerker? ///////////////////////////////////////// Agentschap Zorg en Gezondheid 20

21 STAP 2: MAG IK DE GEGEVENS VERWERKEN? ///////////////////////////////////////// > Ik ondubbelzinnige toestemming kreeg > Ik mij kan beroepen op een overeenkomst > Ik mij kan beroepen op een wettelijke basis > Vitaal belang > (openbaar gezag) > Gerechtvaardigd belang ///////////////////////////////////////// Agentschap Zorg en Gezondheid 21

22 STAP 3: KWALITEITSVOORWAARDEN ///////////////////////////////////////// > Eerlijk en rechtmatig > Finaliteit: welbepaalde, uitdrukkelijke doeleinde > Proportionaliteit: niet overmatig, ter zake dienend > Nauwkeurig > Met respect voor de bewaartermijnen ///////////////////////////////////////// Agentschap Zorg en Gezondheid 22

23 SPECIALE GEVALLEN ///////////////////////////////////////// > Gevoelige persoonsgegevens > Gezondheidsgegevens (o.a.) Schriftelijke toestemming Onder toezicht van een beroepsbeoefenaar > Gerechtelijke gegevens ///////////////////////////////////////// Agentschap Zorg en Gezondheid 23

24 STAP 4: RECHTEN VAN DE BETROKKENE ///////////////////////////////////////// Transparante informatie: Kennisgeving over de verwerking Recht van inzage Recht op rectificatie Recht op vergetelheid Recht op beperking van verwerking o.a. wanneer de gegevens worden betwist Recht op overdraagbaarheid (nieuw) Recht van bezwaar Recht om niet automatisch te worden geprofileerd (nieuw) ///////////////////////////////////////// Agentschap Zorg en Gezondheid 24

25 STAP 5: VERPLICHTINGEN WZC ///////////////////////////////////////// Organisatorische maatregelen (o.a) Aantonen van de kwaliteitscriteria Register van verwerkingsactiviteiten Data Protection Impact Assessment (effectenbeoordeling) Aanstellen van een DPO/veiligheidsconsulent Technische maatregelen Passende technische maatregelen Privacy by design en Privacy by Default Melden van inbreuken Vendor assessment in geval van verwerker ///////////////////////////////////////// Agentschap Zorg en Gezondheid 25

26 ///////////////////////////////////////// MODULE 3: HET BELEID VOOR GEGEVENSBESCHERMING Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

27 DOELSTELLING: STRATEGISCH BELEID ///////////////////////////////////////// > Bestaat uit 4 elementen Een engagementsverklaring Beschrijving van het organisatiemodel (rollen en verantwoordelijkheden) Een beschrijving van de manier van risico-analyse De actiepunten (verwijzing naar het plan) > Verdere toelichting aan de hand van een voorbeeld ///////////////////////////////////////// Agentschap Zorg en Gezondheid 27

28 STAP 1: ENGAGEMENTSVERKLARING ///////////////////////////////////////// ALGEMENE DOELSTELLING 28 ///////////////////////////////////////// Agentschap Zorg en Gezondheid

29 BELEID VOOR GEGEVENSBESCHERMING ///////////////////////////////////////// > Uitgangspunten voor het beleid voor gegevens- bescherming (Strategisch niveau) ///////////////////////////////////////// Agentschap Zorg en Gezondheid

30 DOELSTELLING: STRATEGISCH BELEID ///////////////////////////////////////// > Bestaat uit 4 elementen Een engagementsverklaring Beschrijving van het organisatiemodel (rollen en verantwoordelijkheden) Een beschrijving van de manier van risico-analyse De actiepunten (verwijzing naar het plan) > Verdere toelichting aan de hand van een voorbeeld ///////////////////////////////////////// Agentschap Zorg en Gezondheid 30

31 STAP 2: BEPAAL VERANTWOORDELIJKHEDEN (1/4) ///////////////////////////////////////// > Bevoegdheid: directie: Eindverantwoordelijk voor de verwerking Beslist over risico s > Werkgroep (vb geïntegreerd in kwaliteit) Verantwoordelijke uitvoerder risicobeheer Ontwikkelen beleid Ontwikkeling en implementatie maatregelen ///////////////////////////////////////// Agentschap Zorg en Gezondheid 31

32 STAP 2: BEPAAL VERANTWOORDELIJKHEDEN (2/4) ///////////////////////////////////////// > Veiligheidsconsulent Zie decreet veiligheidsconsulenten > Dienstverantwoordelijke Ziet toe op de uitvoering beleid Informeert de medewerkers Ondersteunt controleactiviteiten vb logging ///////////////////////////////////////// Agentschap Zorg en Gezondheid 32

33 STAP 2: BEPAAL VERANTWOORDELIJKHEDEN (3/4) ///////////////////////////////////////// > Medewerker Is verantwoordelijk voor de gegevens van bewoners die hij/zij verwerkt voert de veiligheidsrichtlijnen uit tijdens zijn/haar verwerkingsopdracht. verwerkt enkel die gegevens die horen bij de taak draagt zorg voor de gegeven meldt inbreuken naleving van artikel 458 van het Strafwetboek: De gebruiker respecteert het beroepsgeheim. ///////////////////////////////////////// Agentschap Zorg en Gezondheid 33

34 STAP 2: BEPAAL VERANTWOORDELIJKHEDEN (4/4) ///////////////////////////////////////// > CRA geeft op vraag of uit eigen beweging adviezen over de beveiligingseisen ten aanzien van medische gegevens. - Vb Op vraag van de veiligheidsconsulent bepaalt de coördinerend arts veiligheidsprincipes voor de bescherming van de medische persoonsgegevens van de bewoners. > De ICT medewerker de implementatie van de technische maatregelen veiligheidsinstellingen te implementeren in lijn met dit beleidshandboek. Veiligheidsproblemen die ontstaan voor, tijdens of na de implementatie van ICT middelen te melden aan de veiligheidsconsulent fungeert als expert. Vanuit deze rol neemt hij/zij deel aan de identificatie zowel als aan de remediëring van de informatieveiligheidsrisico s de gedragscode naleven. ///////////////////////////////////////// Agentschap Zorg en Gezondheid 34

35 STAP 3: RISICO-ANALYSE EN ACTIEPUNTEN ///////////////////////////////////////// > Bestaat uit 4 elementen Een engagementsverklaring Beschrijving van het organisatiemodel (rollen en verantwoordelijkheden) Een beschrijving van de manier van risicoanalyse De actiepunten (verwijzing naar het plan) > Verdere toelichting aan de hand van een voorbeeld ///////////////////////////////////////// Agentschap Zorg en Gezondheid 35

36 ///////////////////////////////////////// OEFENING We bekijken samen de template van een veiligheidsbeleid. De bedoeling is dat de cursisten een dergelijk document opstellen voor hun eigen WZC en aan de hand van een voorbeeldpresentatie deze tekst, samen met een presentatie (waarvoor eveneens een template wordt gebruikt), voorstellen aan het management van het WZC. /////////////////////////////////////////

37 ///////////////////////////////////////// MODULE 4: HET VEILIGHEIDSPLAN Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

38 HET VEILIGHEIDSPLAN ///////////////////////////////////////// > Doelstelling van het plan De acties formuleren voor het verbeteren van de informatieveiligheid Nadat een risicoanalyse is uitgevoerd (0-meting) Op basis van een norm voor informatieveiligheid ///////////////////////////////////////// Agentschap Zorg en Gezondheid 38

39 RICHTSNOEREN VOOR BEVEILIGING ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 39

40 ///////////////////////////////////////// OEFENING We bekijken samen de template van het veiligheidsplan. De bedoeling is dat de cursist in staat is dit plan te gebruiken tijdens en na het voeren van een initiële risico-analyse. /////////////////////////////////////////

41 ///////////////////////////////////////// MODULE 5: DE VEILIGHEIDSCONSULENT Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

42 DE ROL VAN DE VEILIGHEIDSCONSULENT ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 42

43 BVR 15/5/2009 BEPAALT DE TAKEN ///////////////////////////////////////// > Rapporteert aan de directeur > Adviezen en aanbevelingen voorleggen aan het directiecomité > Opdrachten uit te voeren op vraag van het directiecomité > Bevorderen bewustwording van alle actoren binnen het WZC > Ziet toe op de naleving van het veiligheidsbeleid > Documenteert het veiligheidsbeleid > Stelt het veiligheidsplan op voor een periode van 3 jaar en waakt over de uitvoering. > Stelt een jaarverslag op met vorderingen van het veiligheidsplan voor het directiecomité > Registreert overtredingen en maakt deze over aan het directiecomité ///////////////////////////////////////// Agentschap Zorg en Gezondheid 43

44 TAKEN VAN EEN DPO (ART. 39) ///////////////////////////////////////// Wetgeving (GDPR) Informeren en adviseren Toezien op de naleving Advies verstrekken m.b.t. data protection impact assessments Gegevensbescherming Toezien op naleving van beleid gegevensbescherming Rekening houden met de aan verwerkingen verbonden risico, en met de aard, de omvang, de context Algemeen Toezien en bevorderen van de verantwoordelijkheden Samenwerking met de DPA (Data Protection Authority) /////////////////////////////////////////

45 POSITIE VAN DE DPO ///////////////////////////////////////// Een personeelslid Op grond van een dienstverleningsovereenkomst Concern: één DPO kan, mits makkelijk te contacteren Kan andere taken en verplichtingen vervullen (geen belangenconflict!) Rechtstreeks verslag uitbrengen aan de hoogste leidinggevende Onafhankelijk Rechtstreeks aanspreekbaar voor betrokkene /////////////////////////////////////////

46 VERPLICHTINGEN DPO T.A.V. ORGANISATIE (ART 39) ///////////////////////////////////////// Geheimhouding/vertrouwelijkheid /////////////////////////////////////////

47 VERPLICHTINGEN ORGANISATIE T.A.V. DE DPO (ART. 39) ///////////////////////////////////////// Tijdig betrekken bij verwerking Toegang voorzien tot persoonsgegevens verwerkingsactiviteiten Middelen voorzien om taak uit te voeren opleiding en expertise op peil houden Geen instructies voor de taak van de DPO Geen sancties /////////////////////////////////////////

48 ///////////////////////////////////////// MODULE 6: RELEVANTE WETGEVING EN AANBEVELINGEN Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

49 VERSCHILLENDE WETGEVING OVER VERWERKING PERSOONSGEGEVENS ///////////////////////////////////////// > Verwerken van het Rijksregister > Delen van gegevens met Belrai en Vitalink > Decreet gegevensdeling in de zorg > Specifieke KB s voor WZC s > In het oog houden: ///////////////////////////////////////// Agentschap Zorg en Gezondheid 49

50 DE VERWERKING VAN RIJKSREGISTERNUMMER ///////////////////////////////////////// > Wat? Rijksregisterwet van 1983 Rijksregisternummer is een wettelijk beschermd nummer > Voorwaarde (o.a)? Legt de eis op van veiligheidsconsulent > Aanmelden van de veiligheidsconsulent bij het sectoraal comité Rijksregister. > We leggen aan de hand van volgende slide toe op welke manier comités van de commissie werken ///////////////////////////////////////// 50

51 TOELICHTING BIJ DE WERKING SECTORAAL COMITÉ ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 51

52 UITWISSELEN VAN GEGEVENS MET BELRAI/VITALINK ///////////////////////////////////////// > Een uitwisseling van gezondheidsgegevens met Belrai is gemachtigd door het Sectoraal Comité Sociale Zekerheid afdeling gezondheid > idem voor Vitalink > Deze machtiging bespreekt de randvoorwaarden zoals Een veiligheidsconsulent aanstellen ///////////////////////////////////////// 52

53 SECTORAAL COMITÉ MBT. GEZONDHEID ///////////////////////////////////////// ///////////////////////////////////////// Agentschap Zorg en Gezondheid 53

54 DECREET GEGEVENSDELING IN DE ZORG ///////////////////////////////////////// > Wat (o.a)? De creatie van een netwerk rond efficiënte en veilige gegevensdeling persoonsgegevens tussen alle actoren in de zorg onderling met het oog op een continue en kwaliteitsvolle zorgverstrekking aan zorggebruikers. > Plicht om dit netwerk te gebruiken > Voorwaarde? Aanstellen van een veiligheidsconsulent Organisatie stelt een veiligheidsbeleid // veiligheidsplan op We bespreken dit decreet via de tekst hier ///////////////////////////////////////// 54

55 VERSCHILLENDE WETGEVING OVER VERWERKING PERSOONSGEGEVENS ///////////////////////////////////////// > Verwerken van het Rijksregister > Delen van gegevens met Belrai en Vitalink > Decreet gegevensdeling in de zorg > Specifieke KB s voor WZC s > In het oog houden: ///////////////////////////////////////// Agentschap Zorg en Gezondheid 55

56 NUT VAN DE KB S VOOR GEGEVENSBESCHERMING ///////////////////////////////////////// > Rechtmatig persoonsgegevens verwerken als: ///////////////////////////////////////// Agentschap Zorg en Gezondheid 56

57 WAT IS WETTELIJK INBEGREPEN IN EEN DOSSIER? ///////////////////////////////////////// > Zie de erkenningsnormen rust- en verzorgingstehuizen > Zie het Woonzorgdecreet > en het besluit Vlaamse regering over erkenningsvoorwaarden en subsidieregeling ///////////////////////////////////////// Agentschap Zorg en Gezondheid 57

58 ///////////////////////////////////////// MODULE 7: CONCLUSIE: UW TAKEN TEGEN VOLGENDE SESSIE Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

59 WAT JE DIENT TE ORGANISEREN ///////////////////////////////////////// > Een bewustwordingssessie op basis van de voorbeelden > Een voorstel van veiligheidsbeleid voorstellen aan directie > Nagaan hoe de initiële risico-analyse kan plaatsvinden. ///////////////////////////////////////// Agentschap Zorg en Gezondheid 59