NEN december 2017

Transcriptie

1 NEN december 2017

2 Voorstellen Natascha de Rijke Coordinator informatiebeveiliging Carante Groep (Kubus) Functionaris Gegevensbescherming Carante Groep

3 Voorstellen Wie zijn jullie? Vragen?

4 Inhoud Carante Groep samenwerking NEN 7510 certificering: Status Wel certificeren: voordelen/knelpunten Niet certificeren Keuzevrijheid? Blik op de toekomst

5 Carante Groep Samenwerkingsverband 13 zelfstandige care-organisaties. Organisaties regionaal actief, verspreid over Nederland. In totaal medewerkers en ruim cliënten. Doelgroep: lichamelijke en/of verstandelijke beperking, de psychiatrie, ouderenzorg, welzijn en jeugdhulpverlening.

6 Deelnemers Carante Groep

7 Informatiebeveiliging in samenwerkingsverband Carante Groep Gedeelde verantwoordelijkheden tav informatiebeveiliging F, I&A CG levert één beveiligingsniveau aan alle aangesloten stichtingen volgens ISO27001 Eigen verantwoordelijkheid Stichting ten aanzien van informatiebeveiliging (eigen informatiebeveiligingsbeleid, integriteit van informatie, toekennen/controleren van autorisaties, fysieke beveiliging, personeel etc.)

8 Samenwerkingsverband Carante Groep Carante Groep (F, I&A) Stichting is verantwoordelijk voor eigen processen : HKZ NEN7510 ISO 9001 Stichting B Carante Groep Domein F, I&A beheert ICT: ISO9001 ISO27001 ISAE 3402 type 1/2

9 Uitgangspunt samenwerking informatiebeveiliging (en privacy) Per Organisatie één coördinator informatiebeveiliging Vier keer per jaar overleg informatiebeveiliging & privacy onderwerpen: - ontwikkelingen privacy en informatiebeveiliging - behoefteninventarisatie (privacy hulpmiddelen) - kennisdeling - incidentbespreking (datalekken/ informatiebeveiligingsincidenten)

10 NEN 7510: status Carante groep 2 organisaties NEN 7510 gecertificeerd 2/3 (grotere) voornemen tot certificeren 10 organisaties geen certificering

11 NEN 7510: wel certificeren Eis die men zichzelf oplegt (zorgplicht) Vertrouwen Professionalisering Zekerheid Geeft structuur Algemene verordening Gegevensbescherming (accountability)

12 NEN 7510: wel certificeren Knelpunten: Verkopen Vereist/vergt interesse Vereist/vergt (enige/bepaalde) kennis Kost (veel) tijd/geld Timing /Prioriteiten Zelfsturende teams

13 NEN 7510: Niet certificeren Knelpunt: - Te weinig (inhoudelijke) kennis van (het organiseren van) informatiebeveiliging - Geen tijd/andere prioriteiten - Te moeilijk/weet niet waar beginnen - Veronderstelling compliant te zijn door ISO9001/HKZ certificering.

14 NEN 7510: keuzevrijheid? Certificering is niet verplicht, maar: - AmvB gebruik BSN in de zorg - Wet cliëntenrechten bij elektronische gegevensverwerkingen in de zorg (/ AmvB Besluit Elektronische gegevensverwerkingen door zorgaanbieders). - WGBO - Algemene Verordening Gegevensbescherming - Opdrachtgevers?

15 Doel Informatiebeveiliging zorginstelling Ervoor zorgen dat bedrijfsdoelstellingen behaald worden Borgen vertrouwelijkheid, beschikbaarheid en integriteit (incl. authenticiteit, toerekenbaarheid en controleerbaarheid) van gegevens. Samenhang met privacy (vertrouwelijkheid) Borging dmv maatregelen + monitoring maatregelen. Observatie: Urgentie wordt niet overal gevoeld.

16 Managementdoelen informatiebeveiliging - Vertrouwen (maatschappelijk) - Professionele normen en ethiek (zorgvuldigheidprincipe) handhaven - Voldoen aan de wet bescherming persoonsgegevens (en straks de Algemene verordening gegevensbescherming) - Verantwoording kunnen afleggen (AVG/AP en IGZ) - Onderdeel risicomanagement invullen - Voldoen aan beveiligingsbehoefte - Zorgen dat technologie de business ondersteunt - Optimaal gebruik maken van zorginformatiesystemen - Interoperabiliteit mogelijk maken

17 NEN7510: de toekomst (Carante Groep) Aanpak Carante Groep: Normen Carante Groep vs normen Organisatie Ondersteunen risico-management Incidenten aangrijpen voor IB Advies: Begin! Tooling NEN gebruiken

18 NEN7510 : voor de kleine organisatie Begin: Managementbesluit informatiebeveiliging Welke doelen heeft organisatie? Eigen Organisatie en omgeving in kaart brengen Hoe/waar sluit IB aan? (kansen/risico s) Wat heb je al gedaan? Wie gaat wat doen? (beleg verantwoordelijkheden) Waar komt informatiebeveiliging terug? Etc.

19 NEN7510 Conclusie: Ook in de care, 7510 : Doen! Handige websites: Werkenmetnen7510.nl Veiliginternetten.nl

20