AVG en NEN 7510 van theorie naar praktijk

Transcriptie

1 AVG en NEN 7510 van theorie naar praktijk Berend de Vries

2 Artseneed (KNMG en VSNU 2003)..patiënt voorop en eerbiedig zijn opvattingen. Ik zal aan de patiënt geen schade doen. Ik luister en zal hem goed inlichten. Ik zal geheim houden wat mij is toevertrouwd. Ik zal de geneeskundige kennis van mijzelf en anderen bevorderen. Ik erken de grenzen van mijn mogelijkheden. Ik zal mij open en toetsbaar

3 Beroepscodes psychologen Beroepscode voor psychologen, NIP III.3.3 Vertrouwelijkheid III Geheimhouding In het directe contact met de betrokkene gaat de psycholoog een vertrouwensrelatie met hem aan. Daarom is de psycholoog verplicht tot geheimhouding van hetgeen hem uit hoofde van de uitoefening van zijn beroep ter kennis komt, voor zover die gegevens van vertrouwelijke aard zijn. Onder deze verplichting valt ook het professionele oordeel van de psycholoog over de betrokkene. De geheimhoudingsverplichting blijft na beëindiging van de professionele contacten bestaan. Beroepscode voor psychotherapeuten, NVP III Geheimhoudingsplicht Algemeen beginsel III.1 Bij het aangaan van de behandeling ontstaat er tussen de psychotherapeut en de cliënt een vertrouwensrelatie waarin voor de psychotherapeut een geheimhoudingsplicht jegens derden besloten ligt met betrekking tot uit de behandeling verkregen kennis.

4 Beroepscode van de apothekersassistent Als apothekersassistent: 3.10 ga je zorgvuldig om met vertrouwelijke informatie over de zorgconsument. Dit betekent dat je via geen enkele weg, ook niet tegenover naasten, informatie verspreidt of uitingen doet over de patiënt.

5 Grondwet Nederland Artikel Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. Sinds 1814

6 Specifieke wetten Wbp Wgbo Wet BIG Wet cliëntenrechten zorg Regeling gebruik burgerservicenummer in de zorg Wet cliëntenrechten bij elektronische verwerking van gegevens (deels 1/7/2017, deels 1/7/2020) Besluit elektronische gegevensverwerking door zorgaanbieders Wet maatschappelijke ondersteuning (Wmo) Wet SUWI Jeugdwet, Besluit Jeugdwet, art , lid 2: NEN 7510 Nieuw: AVG

7 Meldplicht Datalekken Per CBP werd AP (Autoriteit Persoonsgegevens) Aanvulling Wbp en Telecomwet Datalek moet gemeld onverwijld (binnen 72 uur) worden aan AP door de verantwoordelijke Indien niet gemeld: Hoge boete (tot ,-) AP kan onderzoek doen Als informatiebeveiliging niet op orde is kan de AP een boete/dwangsom opleggen

8 Datalek inbreuk op de beveiliging Een datalek wordt gedefinieerd als het opzettelijk of onopzettelijk vrijgeven van beveiligde informatie aan een onvertrouwd publiek. (wikipedia)

9 Wat is een datalek? (voorbeelden) Incidenten: Een aanval op het netwerk De diefstal van een laptop Het verlies van een USB stick Het openbreken van een kluis Het verlies van een mobiele telefoon Een gestolen patiëntendossier Onjuiste adressering van of post Het inzien van persoonsgegevens door onbevoegde Een open papiercontainer met daarin persoonsgegevens Archiefopslag waar onbevoegden persoonsgegevens inzien Datacenter waar een lek in de beveiliging ontstaat Tekortschietende beveiliging van persoonsgegevens

10 AVG - tijdlijn 21 oktober introductie in het Europees Parlement onderhandelingen tussen het Europees Parlement, de Raad en de Commissie 4 mei publicatie wetteksten 24 mei de AVG is in werking getreden 24 mei 2016 t/m 24 mei implementatieperiode 25 mei de AVG is van toepassing - aanspreekbaar op naleving boetes kunnen worden opgelegd

11 AVG - doel Het doel van de algemene verordening gegevensbescherming bestaat erin de rechten van natuurlijke personen op het gebied van gegevensbescherming te versterken en het vrije verkeer van persoonsgegevens binnen de digitale eengemaakte markt te vergemakkelijken, onder meer door vermindering van de administratieve lasten. Raad van de Europese Unie

12 AVG - beginselen Art. 5 Transparantie de persoon waarvan de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming gegeven en kent zijn rechten Doelbinding de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere zaken gebruikt worden Minimale gegevensverwerking enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld Juistheid de persoonsgegevens moeten correct zijn en blijven Opslagbeperking de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel Integriteit en vertrouwelijkheid de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging Verantwoordingsplicht de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

13 AVG - werkingsgebied Art 1 Van toepassing op: geheel of gedeeltelijk geautomatiseerde verwerking, verwerking van gegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. Art 3 Van toepassing ook voor gegevens van betrokkenen binnen de EU door verwerkingsverantwoordelijke buiten de EU.

14 AVG - rechtmatige verwerking Art 8 Wbp -> Art 6 AVG Toestemming betrokkene Noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is Noodzakelijk om te voldoen aan een wettelijke verplichting Noodzakelijk om de vitale belangen van de betrokkene of anderen te beschermen Noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde

15 AVG - beveiliging van de verwerking Art 32 Rekening houdend met stand der techniek, kosten, aard verwerkingsdoeleinden, gevolgen en risico s: Pseudonimisering en versleuteling Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten Bij een fysiek of technisch incident beschikbaarheid en toegang tijdig herstellen Op gezette tijdstippen testen, beoordelen en evalueren Maatregelen om personen alleen de opdrachten van de verwerkingsverantwoordelijke te laten uitvoeren -> als het mis gaat: uitvoering bepaalt mede eventuele boete (Art. 83)

16 AVG - soorten beveiligingsmaatregelen Art 4 Pseudonimiseren Extra gegeven vereist om gegeven aan persoon te koppelen Persoonsgegeven in verordening Anoniem: geen persoonsgegeven Art 25 Gegevensbescherming door ontwerp en standaardinstellingen (o.a. pseudonimisering) Rekening houdend met stand techniek, kosten, aard en context van de verwerking etc. Passende technische en organisatorische maatregelen -> als het mis gaat: uitvoering bepaalt mede eventuele boete (Art 83)

17 AVG meldplicht datalekken Art 33 Precies zoals nu in Wbp Meldplicht datalekken Datalek is een inbreuk in verband met persoonsgegevens Risico-afweging

18 AVG eisen aan verwerking Art 4 / 4) Profilering Geautomatiseerde evaluaties van aspecten van personen, o.a. beroepsprestaties, gezondheid Informeren betrokkene Art 21 Recht op bezwaar tegen profilering Art 28 - Verwerker Subverwerking vereist toestemming van de verwerkingsverantwoordelijke / cq plicht van op de hoogte stellen verwerkingverantwoordelijke Schriftelijke instructie van verwerkingsverantwoordelijke Strijdig handelen van de verwerker -> zelfstandige aansprakelijkheid Art 30 Register van verwerkingsactiviteiten Activiteiten automatiseren en registreren

19 Register van verwerkingen Per verwerking Omschrijving en categorie gegevens Informatiesysteem Verantwoordelijke Verwerking Verwerkingsdoeleinden Verwerkingsgrondslag Verwerker Ontvanger Bewerkersovereenkomst? Logging? Andere relevante informatie

20 4. AVG verantwoording en toezicht Art 33 e.v. Meldprocedure Inbreuk Art 35 Gegevensbeschermingseffectbeoordeling bij nieuwe technologie / verwerking (Data protection impact assessment) Art 37 FG bij grootschalig verwerken gezondheidsgegevens Art 42 e.v. Vrijwillige certificering

21 AVG functionaris voor de gegevensbescherming Art 37 lid 6 AVG De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

22 De Functionaris Gegevensbescherming (FG) Toezicht op naleving Wbp en AVG Onafhankelijk Relatie met AP, staat in register, mag vragen stellen aan AP Houdt register van verwerkingen bij Toetst uitvoering Wbp/AVG en rapporteert dat aan de verantwoordelijke(n) Verhoogt bewustzijn, vraagbaak, bemiddelt bij klachten, houdt kennis op peil Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG)

23 AVG nieuw t.o.v. Wbp Art 4 en Art 18 Beperken van de verwerking Art 7 Verantwoordelijke moet de toestemming kunnen aantonen, intrekken toestemming is mogelijk Art 14 Informeren betrokkene: meer punten Art 17 Recht op vergetelheid Art 20 Recht op overdraagbaarheid van gegevens in machine leesbare vorm

24 Aandachtspunten implementatie AVG Bewijs van toestemmingsregeling Ga na waar expliciete toestemming nodig is, vraag die en noteer in het dossier. Vergaand inzagerecht De patiënt wordt behandeld door een team. De patiënt heeft inzagerecht voor alle deel dossiers en het geheel. Verzin een procedure en maak die bekend. Recht op vergetelheid Let op de wettelijke bewaartermijn. Indien verwijderen noodzakelijk is, denk dan om de backups en papieren kopieën. Recht op dataportabiliteit Elektronische overdracht van gegevens is een recht van de patiënt. Kunnen uw partners er mee omgaan? Verplichting risicobeoordeling Evalueer de praktijk geregeld.

25 Aandachtspunten implementatie AVG Register van verwerkingen Welke persoonsgegevens worden onder wiens verantwoordelijkheid op welke manier waar verwerkt? Aantoonbaarheid correcte verwerking Verantwoordelijken expliciet benoemen! Privacy by design and by default Privacybescherming en informatiebeveiliging in de architectuur van de informatievoorziening. Leverancier toont dat aan. Veerkracht van de privacybescherming Maatregelen om snel juiste situatie te herstellen. Aanstellen Functionaris Gegevensbescherming

26 Uitvoeringswet AVG - Implementatie in Nederland Er is een AP Samenstelling en rechtspositie medewerkers Taken en bevoegdheden Boetes tot of 4% wereldwijde omzet Voor wetenschappelijk onderzoek en statistiek mag, met bijzondere maatregelen, veel Aandacht voor privacy by design and by default Pseudonimiseren Inbouwen van waarborgen Certificering Vertaaltabel Wbp -> AVG Wbp wordt ingetrokken

27 AVG - de toezichthouder AP Was: advies, toezicht Heden: toezicht Verordening: Advies aan verwerkingsverantwoordelijken en verwerkers Bekendmaken belang aan het publiek Toezicht Repertoire sancties uitgebreid en verzwaard (art 83) Sanctie kan direct worden opgelegd (nu: pas na niet opvolgen aanwijzing) FG is aanspreekpunt

28 Informatiebeveiliging Many security texts decompose the security of an information system in three components: confidentiality, integrity, and availability. Together, they are often referred to as "CIA". [They] constitute the core security properties that we must protect against attackers and eavesdroppers such as the (other) CIA. Andrew S. Tanenbaum

29 Normen en doelgroepen Algemeen: ISO 27001/2 Zorg: NEN 7510, NEN 7512 en NEN 7513 Gemeenten: Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Provincies: Interprovinciale Baseline Informatiebeveiliging Overheid: Voorschrift Informatiebeveiliging Rijksdienst (VIR) The nice thing about standards is that you have so many to choose from. Andrew S. Tanenbaum

30 Geschiedenis en nummertjes Voorlopers: 1995: BS7799 Code voor Informatiebeveiliging 2000: ISO/IEC en : NEN 7510: gebaseerd op concept: NEN-ISOIEC17799: : NEN 7511: toetsbaar genoteerde NEN 7510 ISO/IEC 27001:2005 en ISO/IEC 27002:2005 NEN-EN-ISO 27799: Aanwijzing voor toepassen van ISO/IEC 27002:2005 en ISO/IEC 27001:2005 in de gezondheidszorg Actueel in de zorg: NEN 7510:2011 Actueel: ISO/IEC 27001:2013 en ISO/IEC 27002:2013 Ondertussen: NEN 7512, NEN 7513 en NTA 7515 Concept: NEN 7510:2017 BIG, BIP, VIR -> BIO in 2018

31 Concept NEN 7510:2017 Gebaseerd op ISO en ISO NEN 7510:2017 Deel 1 Management systeem De directie moet De organisatie moet NEN 7510:2017 Deel 2 Beheersmaatregelen Onderwerp Beheersmaatregel Zorgspecifieke beheersmaatregel Implementatierichtlijn Zorgspecifieke implementatierichtlijn Overige zorgspecifieke informatie

32 Voorbeeld NEN 7510:2017 Deel Risicobeoordeling van informatiebeveiliging De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en toepassen die: a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder: 1) de risicoacceptatiecriteria; en 2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging; b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige en vergelijkbare resultaten opleveren; c) de informatiebeveiligingsrisico s identificeert door: d) 1) het risicobeoordelingsproces voor informatiebeveiliging toe te passen om de risico s in verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te identificeren; en..

33 Voorbeeld NEN 7510:2017 Deel Verwijderen van media Beheersmaatregel Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures. ZORGSPECIFIEKE BEHEERSMAATREGEL Alle persoonlijke gezondheidsinformatie behoort veilig te worden gewist of anders behoren de media te worden vernietigd als ze niet meer gebruikt hoeven te worden. Implementatierichtlijn Voor het beveiligd verwijderen van media behoren formele procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat vertrouwelijke informatie bij onbevoegde personen terechtkomt. De procedures voor het beveiligd verwijderen van media die vertrouwelijke informatie bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatie. Met de volgende aspecten behoort rekening te worden gehouden: a) media die vertrouwelijke informatie bevatten behoren op een beveiligde manier te worden opgeslagen en verwijderd, bijv. door verbranding of versnippering, of de gegevens behoren te worden gewist voordat de media worden gebruikt door een andere toepassing in de organisatie. b) er behoren procedures te zijn om media te identificeren die mogelijk veilig moeten worden verwijderd; c) mogelijk is het eenvoudiger om ervoor te kiezen alle media in te zamelen en veilig te verwijderen in plaats van te proberen de gevoelige media te scheiden van de rest; d) veel organisaties bieden voor media inzamelings- en verwijderingsdiensten aan; de keuze voor een passende externe partij die beschikt over adequate beheersmaatregelen en ervaring behoort zorgvuldig te gebeuren; e) verwijdering van gevoelige media behoort te worden geregistreerd om een audittraject te onderhouden. Bij het accumuleren van media voor verwijdering behoort rekening te worden gehouden met het aggregatie- effect, waardoor een grote hoeveelheid niet-gevoelige informatie gevoelig kan worden. ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN Het niet op de juiste wijze verwijderen van media blijft een bron van ernstige schendingen van de vertrouwelijkheid van clie nten. Het is met name belangrijk op te merken dat deze beheersmaatregel behoort te worden toegepast voordat eventuele betreffende uitrusting wordt hersteld of verwijderd. Deze eis is ook van toepassing op medische apparaten die worden gebruikt om gegevens te registreren of rapporteren. Overige informatie Voor beschadigde apparatuur die gevoelige gegevens bevat, kan een risicobeoordeling nodig zijn om vast te stellen of de media fysiek moeten worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie ). OVERIGE ZORGSPECIFIEKE INFORMATIE <geen>

34 AVG versus NEN 7510 Wet Bescherming persoonsgegevens Verplichting beveiliging Rechtmatige verwerking Datalekken FG - Verplichting verantwoording Afvinkbare lijst Informatiebeveiliging Overzicht beveiligings maatregelen Organisatie (Managementsysteem) Manier verantwoording

35 AVG en NEN 7510 AVG Verwerkingsverantwoordelijke NEN 7510 Art. 4.7 verwerkingsverantwoordelijke : een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoons gegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; Verantwoordelijke Hfdstk degene die het beleid opstelt, beslissingen neemt en consequenties draagt ten aanzien van een organisatie, een object of de inhoud en uitvoering van een proces

36 AVG ondersteund door NEN 7510 AVG Art. 25: Gegevensbescherming door ontwerp en standaardinstellingen Rekening houdend met de stand van de techniek, kosten, etc. Passende technische en organisatorische maatregelen NEN 7510 NEN :2017 Toetsbaar organisatorisch kader NEN :2017 Toetsbaar praktische maatregelen

37 AVG ondersteund door NEN 7510 AVG Art 32 Beveiliging van de verwerking Lid 1 a. Pseudonimisering en versleuteling van persoonsgegevens NEN 7510 NEN :2017, Hoofdstuk 10 Cryptografie Cryptografische beheersmaatregelen Sleutelbeheer

38 AVG ondersteund door NEN 7510 AVG Art 32 Beveiliging van de verwerking Lid 1 b... veerkracht van de verwerkingssystemen en diensten te garanderen; NEN 7510 NEN : Maatregelen om: Het kwaadwillenden moeilijk te maken; Incidenten beperkt te houden; Schade beperkt te houden; Bescherming snel hersteld; Backupsystemen tegen dataverlies; etc.

39 AVG anders dan NEN 7510 AVG Omgang met betrokkenen (burgers), inzagerecht Vergetelheid Toestemmingsregelingen Register van verwerkingen Functionaris Gegevensbescherming Europa NEN 7510 Beheer van bedrijfsmiddelen Nederland

40 Aanpak NEN 7510 AVG Implementatie (suggestie) 1. Inventariseer wat er al gedaan is 2. Stel een FG aan 3. Maak een register van verwerkingen 4. Stel een werkgroep samen (Cie-IB) 5. Doe een NEN 7510 Quickscan / Risicoanalyse 6. Evalueer t.o.v. de AVG 7. Prioriteer en ga aan de slag! 8. Documenteer en maak de resultaten aantoonbaar 9. Ga naar stap 5

41 Enkele handvatten voor privacybescherming en informatiebeveiliging in de praktijk Organisatie Omgang met leveranciers Risico analyses

42 NEN 7510: ISMS NEN 7510:2011 verwijst naar ISO 27001:2005 Information Security Management System Management model Procesbenadering Directieverantwoordelijkheid Stuurgroep Actieve betrokkenheid stimuleren PDCA cyclus

43 PDCA cyclus Bron: NEN 7510:2011

44 Overlegmodel RvB Verantwoordelijken Cie-IB ICT Kwaliteit FG Beschikbaarheid Integriteit Vertrouwelijkheid

45 MT/Dir IB-beleid Kaders Advies Rapportage Cie-IB IB-Jaarplan Kaders Advies Rapportage I&A Werkvloer Informatie voorziening

46 NEN 7510: Managementsysteem NEN 7510:2017 verwijst naar ISO 27001:2013 Managementsysteem Toetsbaar voorschrift management model Verantwoordelijkheden in de organisatie Directiebeoordeling Resultaten beoordeling Maatregelen treffen Continue verbetering

47 Integrale verantwoordelijkheid RvB SLA ICT Verantwoordelijken Verantwoordelijkheid FG Kwaliteit Beschikbaarheid Integriteit Vertrouwelijkheid

48 Integrale verantwoordelijkheid Sluit aan bij ISO 27001:2013 Sluit aan bij NEN 7510:2017 Sluit aan bij AVG Rol FG duidelijk Moderne sturing: verantwoordelijkheid in de lijn belegd Focus op bedrijfsprocessen IB en privacy niet apart maar onderdeel van het bedrijfsproces Opzet, bestaan en werking continu getoetst

49 Omgaan met leveranciers AVG: Privacy by design and by default NEN : Beperkte toetsing Inkoopvoorwaarden, één beleid richting leveranciers NEVI (2017) Bewerkersovereenkomsten Nieuwe leveranciers: Mobile devices and mobile apps MDM Certificaten en encryptie VPN s en andere beveiligde verbindingen Outsourcing Telecom abonnementen

50 Beëindiging overeenkomst Overgang naar ander systeem Garanties over beveiliging gegevens Garanties privacy betrokken Vernietiging gegevens Eind van lease of overeenkomst Wat gebeurt er met uw gegevens? Hoe is de privacy van betrokkenen beschermd? AVG eis: overdracht gegevens in machine leesbare vorm Harddisk in MFP Faillissement

51 Omgaan met leveranciers Leveranciers buiten inkoopkanaal om: Apps op mobile devices Vakgerichte apps, handige apps, spelletjes etc. Google Maps, Apple Maps, Waze etc Communicatie WhatsApp, Skype, WeTransfer Internet of things: HUE, HomeKit, FitBit Diensten op web Google, FaceBook, LinkedIn, Booking, Ikea etc. Opslag: Dropbox, Google Drive, OneDrive etc. Muziek diensten, YouTube Wie leest de voorwaarden?

52 Risico analyses Bedreigingenlijsten A en K analyse Analyse informatie-uitwisseling (NEN 7512) ORA Bowtie IB-indicatoren PIA - DPIA Werkplekinspectie

53 Bedreigingenlijst

54

55 Bedreigingenlijst Niet gemakkelijk vertaalbaar naar de praktijk van de zorg- of gemeentelijke instelling. Bedreigingen veranderen door de tijd. Prioritering is lastig. Niet alle bedreigingen zijn altijd bekend.

56

57 A en K analyse Afhankelijkheden en Kwetsbaarheden Analyse Wat is er allemaal afhankelijk van het (informatie) proces? Welke eisen stellen de afhankelijken? Wat zijn de aangrijpingspunten van het proces? (b.v. de info systemen) Welke kwetsbaarheden zijn er te constateren? Eisen/afhankelijkheden confronteren met kwetsbaarheden -> prioritering en maatregelen.

58 Afhankelijkheden Register van verwerkingen

59 Kwetsbaarheden (algemeen)

60 A en K analyse Afhankelijkheden tabel combineren met algemene maatregelen en bekende bedreigingen. Specifiek maken! Ontdek de gaten en witte vlekken. Grootste afhankelijkheden met de grootste kwetsbaarheid krijgen prioriteit bij het nemen van maatregelen. Veel werk!

61 Informatie-uitwisseling

62

63 ORA

64 Bowtie Voor Na Bedreiging 1 Consequentie 1 Bedreiging 2 Incident Consequentie 2 Bedreiging 3 Consequentie 3 Preventieve maatregelen Schade beperkende maatregelen

65 PIA / DPIA AVG Art 35 Nu: Privacy Impact Assessment V.a. 25 mei 2018: Data Protection Impact Assessment Verantwoordelijke voert uit Voordat de verwerking plaatsvindt Bij verandering van verwerking Voorschrift ontwikkeld door NOREA

66 IB indicatoren (voorbeelden) Steekproef correctheid dossiers Totaalbedrag schade claims toegewezen door fouten in dossier Uptime informatiesystemen Patiënten informatie via verstuurd Penetratietests Omgang met inzage dossiers Meldingen incidenten Rapportage testen software Werkplekinspecties

67 Werkplekinspectie

68

69

70

71 AVG en NEN 7510 van theorie naar praktijk Berend de Vries