AVG en NEN 7510 (theorie)

Vergelijkbare documenten
Scholing Informatiebeveiliging 5 maart 2018

EXQUISE NEXT GENERATION

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

Toelichting op de Algemene Verordening Gegevensbescherming

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

AVG en NEN 7510 van theorie naar praktijk

FACTSHEET VERWERKINGSREGISTER

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Verwerkingsovereenkomst Bijlage bij Algemene Voorwaarden Thumbs Up VOF

Verwerkersovereenkomst Tussen DataSpeed en <bedrijf>

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

Algemene verordening gegevensbescherming (AVG)

Sophios Standaard Verwerkersovereenkomst

De AVG, wat moet ik ermee?

Privacy Ad Boumans

Privacyreglement Spoor3 BV

Bescherming Persoonsgegevens. Presentatie LAC Zuid

1. Definities De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

E-book 17 vragen over de AVG

Handvatten bij de implementatie van de AVG

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Privacyreglement Medewerkers Welzijn Stede Broec

ALGEMENE VERORDENING GEGEVENSBESCHERMING

Bijlage Gegevensverwerking. Artikel 1 - Definities

VERWERKEN VAN PERSOONSGEGEVENS

Privacy beleid Bavaria Zeilclub

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

MR WBM VONDENHOFF ADVOCAAT

Phytalis-Verwerkersovereenkomst

PRIVACY GOED GEREGELD. Voorjaar 2018

Privacyverklaring. WZG Arendonk. Datum laatst aangepast: 18 juni 2018

VERWERKERSOVEREENKOMST KRYB

LEGAL MEETUP ALGEMENE VERORDENING GEGEVENSBESCHERMING.

VERWERKERSOVEREENKOMST

GDPR (Avg) en ISO Beer Franken, Piasau

Vandaag Zorgvernieuwing

Begrippenlijst AVG / Wetgeving Elektronische Verwerking / NEN7510

Checklist Verwerkersovereenkomst

Wettelijke kaders voor de omgang met gegevens

Chodsky Pes Club Nederland

Privacyverklaring. Jan Van Aelst. Datum laatst aangepast: 17 mei 2018

Privacy Reglement. c) Eigenaar: persoon die namens Middle Point de gedelegeerde verantwoordelijkheid heeft voor een informatiemiddel & -verwerkingen.

1. Verplichtingen. 2. Subverwerkers

Privacyverklaring. SafeTec Interim

Workshop AVG en de nieuwe NEN Beer Franken, Piasau

Ambtelijk secretaris AVG-proof. mr. drs. Stefan Jansen 18 mei 2018

PRIVACYREGLEMENT. Praktijk oefentherapie Mensendieck Waddinxveen. Inleiding

Verwerkingsstatuut AVG

Privacyverklaring. Thals vzw. Datum laatst aangepast: 4 februari 2019

Hieronder leest u een verdere toelichting van de privacyverklaring (AVG).

Privacy Statement Sa4-zorg

Privacy statement Nederlandse Triage Standaard

Algemene verordening gegevensbescherming

Privacyverklaring. Datum laatst aangepast: 4 mei 2018

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Workshop AVG voor het bestuur van Vereniging Yogadocenten Nederland. Cees Boon en Berdjan Klatter

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Verwerkersovereenkomst INTRAMED ONLINE

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Procedure meldplicht datalekken

Privacyverklaring. Macolines. Datum laatst aangepast: 16 mei 2018

Privacyverklaring. Macobo. Datum laatst aangepast: 16 mei 2018

PRIVACYREGLEMENT CLIËNTEN

Privacyverklaring. La Source. Datum laatste goedkeuring directie:

Introductie ICT-er met een brede blik

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Cursus privacyrecht Jeroen Naves 7 september 2017

Verwerkersovereenkomst Tussen ipasregistratie.nl [DataSpeed] en <schoolinstelling>

Voorwaarden voor Gegevensverwerking Versie 1.0

Opleiding FG. Juridische kaders en beveiliging. Mr. dr. Luuk Arends

Privacyreglement. MONDIAAL logopedie Socratesstraat BX Rotterdam Tel

Verwerkersovereenkomst. Notulen Software. een handelsnaam van DUODEKA Coöperatie U.A.

Privacyverklaring. Carre Mode. Datum laatst aangepast: 16 mei 2018

Privacyverklaring voor klanten

Presentatie ten behoeve van stichtingen en verenigingen. mogelijk gemaakt door Stichting De Slinger en Servicepunt Vrijwilligerswerk

PRIVACYREGLEMENT. Meander Medisch Centrum

Privacyverklaring. Goldie. Datum laatste goedkeuring directie:

Privacyreglement verwerking persoonsgegevens 3D Ambacht

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacyverklaring. Datum laatst aangepast: Datum laatste goedkeuring directie:

Privacyverklaring. Datum laatst aangepast: 18/04/2019

AVG Algemeen PRIVACYREGLEMENT

Privacybeleid. Vastgesteld door burgemeester en wethouders op 18 april Bekendgemaakt op 4 mei 2017 IO

Privacyverklaring. Ask Lily. Datum laatst aangepast: 1 maart Datum laatste goedkeuring directie:

Verwerkersovereenkomst

Hoe word ik Privacy-proof? 21 november 2017

1. Begrippen. Hierna gezamenlijk te noemen Partijen ; In aanmerking nemende:

ROC Rivor 23 mei Privacyreglement

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

PRIVACYREGLEMENT ANG Versie 1.0 Özlem Sahin & Tinka Versteeg. ANG, Montfoort, 01 oktober 2017 Kenmerk: ANG HRM

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Privacybeleid Administratiekantoor de Jong VOF

Privacy statement Immediator

Privacyverklaring voor sollicitanten

Verwerkersovereenkomst Per maart 2018 éénmalige versie

Whitepaper AVG Dyckhaven Verzekeringen

Voorbeeld Verwerkersovereenkomst

Algemene verordening gegevensbescherming

Privacyverklaring Areal

Privacyverklaring Loonexpert Nederland

Transcriptie:

AVG en NEN 7510 (theorie) Berend de Vries https://comfort-ia.nl 030-7440764

Artseneed (KNMG en VSNU 2003)..patiënt voorop en eerbiedig zijn opvattingen. Ik zal aan de patiënt geen schade doen. Ik luister en zal hem goed inlichten. Ik zal geheim houden wat mij is toevertrouwd. Ik zal de geneeskundige kennis van mijzelf en anderen bevorderen. Ik erken de grenzen van mijn mogelijkheden. Ik zal mij open en toetsbaar

Grondwet Nederland Artikel 10 1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens. Sinds 1848

Specifieke wet- en regelgeving Wbp Bescherming persoonsgegevens AP Wgbo o.a. Dossierplicht en geheimhoudingsplicht IGJ i.o. Wet BIG o.a. Identificeerbaarheid zorgverleners IGJ i.o. NEN 7510: Norm voor informatiebeveiliging in de Zorg Wet maatschappelijke ondersteuning ( Wmo) College Burgemeester Wethouders Wet SUWI, Participatiewet Jeugdwet IGJ i.o. Besluit Jeugdwet, art. 7.2.2, lid 2: NEN 7510 Uitbreiding Wbp: Meldplicht Datalekken AP

Meldplicht Datalekken Per 1-1-2016 CBP werd AP (Autoriteit Persoonsgegevens) Aanvulling Wbp en Telecomwet Datalek moet gemeld onverwijld (binnen 72 uur) worden aan AP door de verantwoordelijke Indien niet gemeld: Hoge boete (tot 810.000,-) AP kan onderzoek doen Als informatiebeveiliging niet op orde is kan de AP een boete/dwangsom opleggen

Wat is een datalek? (voorbeelden) Incidenten: Een aanval op het netwerk De diefstal van een laptop Het verlies van een USB stick Het openbreken van een kluis Het verlies van een mobiele telefoon Een gestolen patiëntendossier Onjuiste adressering van e-mail of post Het inzien van persoonsgegevens door onbevoegde Een open papiercontainer met daarin persoonsgegevens Archiefopslag waar onbevoegden persoonsgegevens inzien Datacenter waar een lek in de beveiliging ontstaat Tekortschietende beveiliging van persoonsgegevens

Algemene Verordening Gegevensbescherming (AVG) In werking getreden op 24 mei 2016 Van toepassing op 25 mei 2018, vervangt dan Wbp Nieuw Bewijs van toestemmingsregeling Vergaand inzagerecht Recht op vergetelheid Recht op dataportabiliteit Verplichting risicobeoordeling Register van verwerkingsactiviteiten Beveiliging van de verwerking Privacy by design and by default Veerkracht van de privacybescherming Aanstellen Functionaris Gegevensbescherming

Definities Art. 4 1. persoonsgegevens : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon ( de betrokkene ); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; 2. verwerking : een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

Aandachtspunten implementatie AVG Bewijs van toestemmingsregeling Ga na waar expliciete toestemming nodig is, vraag die en noteer in het dossier. Vergaand inzagerecht De patiënt wordt behandeld door een team. De patiënt heeft inzagerecht voor alle deeldossiers en het geheel. Maak een procedure en maak die bekend. Recht op vergetelheid Let op de wettelijke bewaartermijn. Indien verwijderen noodzakelijk is, denk dan om de backups en papieren kopieën. Recht op dataportabiliteit Elektronische overdracht van gegevens is een recht van de patiënt. Kunnen uw partners er mee omgaan? Verplichting risicobeoordeling Evalueer de praktijk geregeld.

Aandachtspunten implementatie AVG Register van verwerkingen Welke persoonsgegevens worden onder wiens verantwoordelijkheid op welke manier waar verwerkt? Aantoonbaarheid correcte verwerking Verantwoordelijken expliciet benoemen! Verwerkersovereenkomsten Vastleggen hoe met persoonsgegevens moet worden omgegaan Privacy by design and by default Privacybescherming en informatiebeveiliging in de architectuur van de informatievoorziening. Leverancier toont dat aan. Veerkracht van de privacybescherming Maatregelen om onbedoelde toegang te bemoeilijken Maatregelen om bij calamiteit snel juiste situatie te herstellen. Functionaris Gegevensbescherming

Uitvoeringswet AVG - Implementatie in Nederland Er is een AP Samenstelling en rechtspositie medewerkers Taken en bevoegdheden Boetes tot 20.000.000 of 4% wereldwijde omzet Voor wetenschappelijk onderzoek en statistiek mag, met bijzondere maatregelen, veel Aandacht voor privacy by design and by default Pseudonimiseren Inbouwen van waarborgen Certificering Vertaaltabel Wbp -> AVG Wbp wordt ingetrokken

AVG Artikel 32 Beveiliging van de verwerking Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking..treft de verwerkingsverantwoordelijke...passende technische en organisatorische maatregelen.om op een passend risico afgestemd beveiligingsniveau te waarborgen die onder meer omvatten:

AVG Art 32 (vervolg) Pseudonimisering en versleuteling van persoonsgegevens Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten garanderen Bij een fysiek of technisch incident beschikbaarheid en toegang tijdig herstellen Op gezette tijdstippen testen, beoordelen en evalueren van maatregelen Aansluiten bij een gedragscode of goedgekeurd certificeringsmechanisme

NEN 7510:2017 Gepresenteerd op 7 december 2017 Gebaseerd op ISO 27001 en ISO 27002 Verplicht per 1 januari 2018 NEN 7510:2017 Deel 1 Management systeem De directie moet De organisatie moet NEN 7510:2017 Deel 2 Beheersmaatregelen Onderwerp Beheersmaatregel Zorgspecifieke beheersmaatregel Implementatierichtlijn Zorgspecifieke implementatierichtlijn Overige zorgspecifieke informatie

AVG versus NEN 7510 Wet Bescherming persoonsgegevens Verplichting beveiliging Rechtmatige verwerking Datalekken FG - Verplichting verantwoording Afvinkbare lijst Informatiebeveiliging Overzicht beveiligings maatregelen - - - Organisatie (Managementsysteem) Manier verantwoording

AVG en NEN 7510 (praktijk) Berend de Vries https://comfort-ia.nl 030-7440764

Uitbesteding van ICT. Wat is nodig onder de AVG? Toepassing met ingebouwde bescherming Toegangscontrole Rapportage over gebruikers Opslag binnen Europa Garanties over reserve kopieen (controle, terugzetten) Inzicht in architectuur (pseudonimisering, database technologie, firewalls etc.) Verwerkersovereenkomst Standaard BOZ en LHV Procedure Meldplicht Datalekken

Omgaan met leveranciers AVG: Privacy by design and by default NEN 7510-2: Beperkte toetsing Verwerkersovereenkomsten Taak voor koepel Drukmiddel voor bestaande ICT leveranciers Nieuwe leveranciers: Mobile devices and mobile apps MDM Certificaten en encryptie VPN s en andere beveiligde verbindingen Outsourcing Telecom abonnementen, VOIP

Omgaan met leveranciers Leveranciers buiten inkoopkanaal om: Apps op mobile devices Vakgerichte apps, handige apps, spelletjes etc. Google Maps, Apple Maps, Waze etc Communicatie WhatsApp, Skype, WeTransfer Internet of things: HUE, HomeKit, FitBit Diensten op web Google, FaceBook, LinkedIn, Booking, Ikea etc. Opslag: Dropbox, Google Drive, OneDrive etc. Muziek diensten, YouTube Wie leest de voorwaarden?

De Functionaris Gegevensbescherming (FG) Toezicht op naleving Wbp en AVG Onafhankelijk Relatie met AP, staat in register, mag vragen stellen aan AP Houdt register van verwerkingen bij Toetst uitvoering Wbp/AVG en rapporteert dat aan de verantwoordelijke(n) Verhoogt bewustzijn, vraagbaak, bemiddelt bij klachten, houdt kennis op peil Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG)

Functionaris voor de gegevensbescherming. Is die nodig in uw praktijk? Hoe veel persoonsgegevens worden verwerkt? Is er onafhankelijk toezicht beschikbaar? Weet u zeker dat u het goed doet? Een kleine praktijk hoeft geen FG aan te stellen. Een grote groepspraktijk wel. Waar zit u?

Register van verwerkingen Per verwerking Omschrijving en categorie gegevens Informatiesysteem Verantwoordelijke Verwerking Verwerkingsdoeleinden Verwerkingsgrondslag Verwerker Verwerkersovereenkomst Ontvanger Logging Andere relevante informatie

Rechten van betrokkenen Toestemming als nodig Inzage in dossier Het hele dossier, behalve persoonlijke aantekeningen Elektronische kopie van het dossier Vergetelheid Voorlichting aan patiënt Welke persoonsgegevens en waarom Noodzaak tot bescherming Noodzaak toestemming Met wie wordt waarom uitgewisseld Aanspreekpunt voor vragen en klachten Brochure en/of privacystatement op de website, actief op wijzen

Communiceren (1) Overdracht Verwijzing, waarneming, ketenzorg: samenwerking van verantwoordelijken Vaak toestemming patiënt nodig Beveiliging informatie-uitwisseling Berichten (WhatsApp e.d.) meestal niet toegestaan Gewone email is niet toegestaan Gebruik beveiligde berichten en email diensten Mailen met patiënt mag meestal niet Niet beveiligd Metadata zijn privacy gevoelig Verleiding patiënt zich bloot te geven

Communiceren (2) Social Media Artsen en Social Media, Handreiking voor artsen, KNMG Globale spelers, leven van profilering Patiënten portaal Garantie identiteit betrokkene Beveiliging portaal Hackbaarheid dossiers via portaal Wie is verantwoordelijk voor de gegevens die de patiënt er bij zet?

Verantwoording. Hoe te verantwoorden aan de toezichthouder? Register van verwerkingen Verwerkersovereenkomsten Aantoonbaarheid toestemmingen (noteren in dossier) Register van incidenten Alle informatie gerelateerde incidenten Datalekken Certificering is (nog) niet nodig Aantoonbaar bewustzijn verhogen Vandaag IBindeZorg

Aanpak Toetsen Verbeteren Leren Bedenken

AVG en NEN 7510 van theorie naar praktijk Berend de Vries https://comfort-ia.nl 030-7440764

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback