Impact van NEN 7510 voor u Eerstelijns presentatie vanuit NHG, LHV, InEen en KNMP Carinke Buiting-Van der Zon Wetenschappelijk medewerker informatie beveiliging NHG Standards and Regulations 1
Deze workshop de eerstelijn 1. Het speelveld: wie stelt de regels voor de eerstelijn? 2. Het speelveld: wilt u hulp van uw koepels? 3. Voorbeelden en de praktijk consequenties nieuwe NEN7510 vooruitblik naar AVG toetsing en certificering in de eerstelijn Take-home message Standards and Regulations 2
Overheid AP NEN 2004/11/17 2016 2016 GBZ eisen (Nictiz) aansluit eisen (Vektis) Code Egiz BEIS 1. Het speelveld, wie stelt de regels voor de eerstelijn? ISO 27001/2 diverse wetten NEN7510 NEN7512 NEN7513 certificering NEN7510 onder accreditatie Meldplicht datalekken (AVG)?? ZORGORGANISATIE?? ZORGPRAKTIJK XIS-LEVERANCIER? XIS ZORGORGANISATIE ZORGORGANISATIE X-LEVERANCIER X-LEVERANCIER Standards and Regulations 3
2. Uw zorgkoepels
2. Uw zorgkoepels Overheid AP NEN 2004/11/17 2016 ISO 27001/2 diverse wetten NEN7510 NEN7512 NEN7513 certificering NEN7510 onder accreditatie UW KOEPELS maken hulpmiddelen voor ZORGAANBIEDER PraktijkWijzer risicohulp websites cursus LEVERANCIER BEIS1 BEIS2 ZORGORGANISATIE ZORGORGANISATIE ZORGORGANISATIE X-LEVERANCIER X-LEVERANCIER 2016 Meldplicht datalekken (AVG) GBZ eisen (Nictiz) Handreiking meldplicht datalekken ZORGPRAKTIJK XIS-LEVERANCIER aansluit eisen (Vektis) Code Egiz Code Egiz BEIS XIS Standards and Regulations 5
Uw koepels - enkele voorbeeld van samenwerking NHG LHV INEEN KNMP koers KNMG NEN7510 PraktijkWijzer-IB sluit aan bij PW-IB sluit aan bij PW-IB NEN7510 risicoanalyse in PW-IB eigen risicometer in ontwikkeling opleiding sluit aan bij LHVacademie praktijkaccreditatie IB sluit aan bij LHVacademie NPA keuze onderwerp IB toevoegen LHV-academie PW-IB a) gratis b) basis voor cursus c) uitbreiden naar voor zorggroep risicometers samenvoegen samen optrekken datalekken handreiking meldplicht datalekken handreiking meldplicht datalekken handreiking meldplicht datalekken handreiking meldplicht datalekken samen onderhoud BEIS medeopsteller BEIS sluit aan bij BEIS sluit aan bij BEIS sluit aan bij BEIS samen onderhoud code EGIZ AVG AVG verwerkersovereenkomst sluit aan sluit aan sluit aan sluit aan neemt AVG op in PW-IB Brochure, Q&A en mogelijkheden FG aansluiten; regio ook vertegenwoordigd samen optrekken maakt bijlage B maakt bijlage A zoekt juridisch uit zoekt juridisch uit samen optrekken handreiking meldplicht datalekken sluit aan
3. Voorbeelden: NHG PraktijkWijzer Informatiebeveiliging voor de huisartsenpraktijk voor de hele NEN7510 uitgewerkt voor eerstelijn: kwaliteitscirkel en risicoanalyse (NEN7510-1) maatregelen (NEN7510-2) met praktisch hulpmiddelen (online bijlagen) eind december weer beschikbaar: aangepast aan NEN7510:2017 uitgebreid naar: Zorggroep en Huisartsenpost nieuw: NHG-LHV-INEEN samenwerking was 41,- voor leden, straks gratis download voor leden NHG, LHV, InEen Standards and Regulations 7
PraktijkWijzer Informatiebeveiliging voor de huisartsenpraktijk uit aanvullingen 2018 Bijlage 5: verdeling maatregelen over zorgverlener en ict leverancier verbreden naar zorggroep aanvullingen AVG Standards and Regulations 8
3. Voorbeelden: LHV Academie Informatiebeveiliging in de huisartsenpraktijk wetten en normen zelf risicoanalyse uitvoeren 200,- voor leden, 400,- voor niet-leden PraktijkWijzer als basis u gaat naar huis met een plan van aanpak Standards and Regulations 9
3. Voorbeelden: BEIS deel 1 en 2 Informatiebeveiliging voor eerstelijnsinformatiesystemen 2012 quick scan privacy eerstelijnssytemen Handreiking BEIS deel 1 authenticatie en autorisatie (2017) Handreiking BEIS deel 2 toegangslog (2017) nauwe afstemming met NEN7510 en NEN7513 Nictiz, NHG, LHV, KNMP, InEen Standards and Regulations 10
3. Voorbeelden: NPA (praktijkaccreditering) 2018 opname keuzethema beveiliging in de NPA praktijkaccreditering Awareness Standards and Regulations 11
3. Voorbeelden: InEen Handreiking Risicobeoordeling InEen-handreiking Risicobeoordeling voor leden Beslisboom wanneer wel wanneer geen verwerkersovereenkomst sluiten in ontwikkeling (bijvoorbeeld met ander zorgaanbieders, met partijen die gegevens geanonimiseerd verwerken) Standards and Regulations 12
3. Voorbeelden: KNMP diverse producten NEN-toolkit (wordt herzien) Website: praktische informatie implementatie AVG kaartspel Speel op zeker voor elke apotheek Standards and Regulations 13
* Deze nieuwe NEN7510:2017 Kortsluiten certificering NEN en ISO Managementsysteem IB harmoniseert met dat van andere gebieden; Scope duidelijker; Consequenties voor PraktijkWijzer informatiebeveiliging: Verwijzingen aanpassen Consequenties voor overige hulpmiddelen Minimaal of geen Standards and Regulations 14
* AVG door de AP vertaald in 10 zaken eerste 5 AP 1. Bewustwording 2. Rechten betrokkenen (inzage, correctie, verwijdering, portabiliteit, klachtenloket bij AP) 3. Overzicht inzage en verwerking 4. Privacy impact assessment (PIA) 5. Privacy by design koepels eerstelijn 1. PW-IB (Beleidsplan) 2. Code Egiz (?); overige eisen nog in informatieberaad krijgt opvolging 3. BEIS 2; Verwerkingenregister gepland 4. PW-IB (risicoanalyse), ook deels via Verwerkersovereenkomst 5. via Verwerkersovereenkomst Standards and Regulations 15
*. AVG door de AP vertaald in 10 zaken (vervolg) AP 6. Functionaris gegevensverwerking (FG) 7. Meldplicht datalekken 8. Verwerkersovereenkomst 9. Vestigingen over de grens 10. Toestemming koepels eerstelijn 6.? profiel FG, evt. opleiding 7. Handreiking Meldplicht Datalekken 8. werken aan Verwerkersovereenkomst 9. n.v.t. 10. Code Egiz en landelijk Standards and Regulations 16
* AVG Overheid AP NEN 2004/11/17 2016 ISO 27001/2 diverse wetten NEN7510 NEN7512 NEN7513 certificering NEN7510 onder accreditatie UW KOEPELS maken hulpmiddelen voor ZORGAANBIEDER PraktijkWijzer risicohulp websites cursus LEVERANCIER BEIS1 BEIS2 ZORGORGANISATIE ZORGORGANISATIE ZORGORGANISATIE X-LEVERANCIER X-LEVERANCIER 2016 GBZ eisen (Nictiz) aansluit eisen (Vektis) Code Egiz BEIS 2018 Meldplicht datalekken (AVG) AVG: rechten cliënten verwerkingenregister FG PIA Privacy by design Handreiking meldplicht datalekken Code Egiz Verwerkersovereenkomst Privacy-by-design; PIA Verwerkingen register FG ZORGPRAKTIJK XIS-LEVERANCIER Standards and Regulations 17 XIS
* Toetsing en certificering UW KOEPELS maken hulpmiddelen voor ZORGAANBIEDER LEVERANCIER NPA praktijkaccredering 2018 IB als keuzethema: awareness 2016 geaccrediteerde NENcertificering daarna? vanaf? Verwerkersovereenkomst & AVG mee in accreditering en certificering ontwikkelingen om regio s gemakkelijker collectief te toetsen
Take home message 1. Koepels trekken samen op, al beschikbaar PW-IB (eind december); LHV-academie; Handreiking Meldplicht Datalekken; BEIS; EGIZ 2. Koepels werken voor AVG in 2018 aan Verwerkersovereenkomst met bijlage 1 verwerkingenregister en bijlage 2 verdeling zorgaanbieder leverancier; eisen FG 3. Koepels denken na over handig toetsen en accrediteren Uw take-home message voor ons? Standards and Regulations 19
websites & contact NHG www.nhg.org/themas/publicaties/informatiebeveiliging Carinke Buiting c.buiting@nhg.org LHV www.lhv.nl/uw-praktijk/ict/informatiebeveiliging-de-huisartsenzorg Stefan Visscher s.visscher@lhv.nl InEen www.ineen.nl/onderwerpen/informatiebeleid-en-uitwisseling/informatiebeveiliging Arthur Eyck a.eyck@ineen.nl KNMP www.knmp.nl/informatiebeveiliging Jordy van den Elshout informatiebeleid@knmp.nl Standards and Regulations 20