Informatiebeveiliging en Privacy; beleid CHD

Vergelijkbare documenten
Functieprofiel Functionaris Gegevensbescherming

Algemeen. Registratie persoonsgegevens/ WBP

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Informatiebeveiligingsbeleid

Privacyverklaring Stichting Zorgcentra Rivierenland (SZR)

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Definitieve versie d.d. 24 mei Privacybeleid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

BIC Building Blocks Beleid & Strategie

Binnen onze specialistische hulp, met onze professionele begeleiding verwerkt Vitaalpunt je gegevens ten behoeve goede zorg en hulpverlening.

NEN december 2017

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Privacy Statement INTRAMED. Juni Versie 1.0

Beleid Informatiebeveiliging InfinitCare

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Privacy en wet- en regelgeving rondom IHE XDS netwerken

Privacy Statement KRAAMZORGCOMPLEET. November Versie 1.0

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Toelichting NEN7510 Informatiebeveiliging in de zorg. Drs. J.W.R. Schoemaker CISSP Security Officer/ Business Continuity Manager Erasmus MC

Uw privacy en persoonsgegevens Waarom ontvangt u deze folder?

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Begrippenlijst AVG / Wetgeving Elektronische Verwerking / NEN7510

Datum versie: Autorisatie: Bestuurder Status Vastgesteld Geldigheid:

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Informatiebeveiliging

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Privacy Statement Sa4-zorg

Wettelijke kaders voor de omgang met gegevens

Privacyreglement en cookieverklaring Onderwijsconsulenten

Persoonsgegevens in de zorg 2019 (AVG)

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

Algemene Verordening Gegevensbescherming Oude wijn in nieuwe zakken? Erwin Kemink ISMP Functionaris Gegevensbescherming

Veilig werken in de cloud voor de zorg

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Informatiebeveiligingsbeleid

Uw privacy en persoonsgegevens Waarom ontvangt u deze folder?

Privacy en gegevensbescherming cliënten

PRIVACY STATEMENT. Samenwerkingsverband Voortgezet Onderwijs Zuid Utrecht. Nieuwegein, september 2018

Algemeen privacybeleid gemeente Asten 2018

INTERN PRIVACYBELEID. Frans van Hattum / Praktijk Octant

PRIVACYVERKLARING. 1. Algemene overwegingen

Bescherming Persoonsgegevens. Presentatie LAC Zuid

Privacyverklaring van Enpuls B.V.

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Informatiebeveiliging- en privacy beleid (IBP)

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

PRIVACY STATEMENT. Samenwerkingsverband Voortgezet Onderwijs Regio Utrecht West

Privacybeleid gemeente Wierden

Privacybeleid.

Privacyverklaring Stichting Christelijke Zorgorganisatie Norschoten - (toekomstige) cliënten

Privacyreglement. Zorggroep Reinalda

Informatiebeveiligings- en privacybeleid

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Informatiebeveiligingsbeleid

Privacy reglement cliënten, gasten, naasten en andere externe relaties

Informatiebeveiligings- en privacy beleid Coöperatie SWV 25-05

Bewerkersovereenkomst op grond van artikel 14, tweede lid Wbp tussen <naam> en < >

Informatiebeveiligings- beleid

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Privacyverklaring Mondhygiënistenpraktijk Q. Brok

Privacy in Instituut Verbeeten

AVG Routeplanner voor woningcorporaties

HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Berry Kok. Navara Risk Advisory

Privacybeleid Gemeente Amersfoort Classificatie: Openbaar

Uw privacy- en persoonsgegevens

Informatiebeveiligings- en privacy beleid

Informatiebeveiligingsbeleid

Algemene verordening gegevensbescherming (AVG)

Informatiebeveiligingsbeleid Zorgbalans

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

staat is om de AVG na te komen.

Algemene verordening gegevensbescherming

Documentnummer: : Eindnotitie implementatie privacy

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Wij verwerken uw gegevens om u de best mogelijke behandeling te bieden en om te voldoen aan wettelijke

RSM NEDERLAND PRIVACY VERKLARING

Agenda. De AVG: wat nu?

Informatiebeveiligings- en privacy beleid

Hoe gaat de gemeente om met uw persoonsgegevens? Privacyverklaring

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Privacy verklaring Veilig Thuis Flevoland

Gezondheids- en voortgangsgegevens worden vastgelegd met als enig doel uw behandeling.

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

Elektronische gegevensuitwisseling in de zorg. De Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid

Samenwerkingsverbanden en de AVG

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Privacyverklaring MedGezel

Hieronder leest u een verdere toelichting van de privacyverklaring (AVG).

Information Security Management System. Informatiebeveiligingsbeleid Lannet IT B.V. 1 van 8

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Addendum Privacy Policy voor patiënten

INTERN PRIVACYBELEID M.A.G. Wijshoff. 1. Inleiding

Transcriptie:

Informatiebeveiliging en Privacy; beleid CHD 2018-2020 Vastgesteld MT 19 december 2017 Stichting Centrale Huisartsendienst Drenthe Postbus 4091 9400 AK Assen

2

1 Inleiding De CHD is een zorginstelling die werkt met zeer privacygevoelige gegevens van patiënten, zorgverleners en personeel. Gegevens over de gezondheidstoestand van mensen worden door de wetgever als van de een na hoogste categorie van vertrouwelijkheid beschouwd. Vanuit de wet ligt bij de CHD dus een grote maatschappelijke verantwoordelijkheid ervoor te zorgen dat de Beschikbaarheid, Integriteit en Vertrouwelijkheid van de verwerkte gegevens ten allen tijde is gewaarborgd. Binnen de CHD zijn meer dan 300 zorgverleners en medewerkers werkzaam op verschillende locaties en in hun werk is veilig gebruik kunnen maken informatie een noodzaak. De kwaliteit van de zorgverlening is er direct van afhankelijk. Het verlies van gegevens, uitval van ICT en/of het door onbevoegden kennisnemen of manipuleren van bepaalde informatie kan ernstige gevolgen hebben voor de patiëntenzorg. En kunnen leiden tot imago- en financiële schade. Informatiebeveiliging (IB) is het proces dat deze belangen dient. Met de invoering van nieuwe wetgeving in de vorm van de Algemene Verordening Gegevensbescherming en de aanvullende eisen die daarin gesteld worden is het goed het Informatiebeveiligingsbeleid (IBB) van de CHD te actualiseren. In dit document wordt het beleid verder uitgewerkt. 2 Waar willen we heen? Welke uitgangspunten horen daarbij? De CHD staat ervoor dat patiënten bij haar in goede handen zijn. Dat stelt hoge eisen aan de kwaliteit van zorgverlening maar zeker ook aan de kwaliteit van de hulpmiddelen en de processen die daarbij een rol spelen. Patiënten mogen én moeten er zonder meer op kunnen vertrouwen dat de informatie die bij de zorgverlening van belang is, beschikbaar is op het moment dat die nodig is, dat de informatie juist en volledig is en dat die informatie goed beveiligd is zodat alleen diegene er kennis van neemt die dat ook in de context van de hulpvraag moet doen. Wat geldt voor patiënten in het primair proces geldt net zo voor huisartsen, medewerkers en andere betrokkenen. Ook bij de ondersteunende processen wil de CHD de beschikbaarheid, integriteit en vertrouwelijkheid van informatie gewaarborgd hebben. De CHD stelt zich met het IB-beleid ten doel: Het garanderen van de Beschikbaarheid, Integriteit en Vertrouwelijkheid van de door CHD verwerkte persoonsgegevens en andere voor de bedrijfsvoering relevante informatie Het zo veel als mogelijk beperken van de gevolgen van eventuele beveiligingsincidenten en datalekken Het invullen van rechten van betrokkenen op het gebied van privacy Het naleven van de relevante wet- en regelgeving Uitgangspunten voor het IB-beleid zijn: Passend binnen relevante wettelijke en andere kaders, zoals de WGBO, Wbp, NEN7510 en andere voor de gezondheidszorg gebruikelijke (medisch inhoudelijke) normen Toetsing van de uitvoering van het IBB heeft een plaats in de directiebeoordeling zoals die in de structuur van HKZ periodiek door CHD wordt uitgevoerd Er ligt een expliciete verbinding met de PDCA cyclus van ons Risico management 3

De toegevoegde waarde van de maatregelen, de kosten en de risico s staan in redelijke verhouding tot elkaar staan CHD streeft niet naar certificering voor NEN 7510 of een andere norm op het gebied van IB 3 Waar hebben we het eigenlijk over? Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te beschermen. Van eerste vastlegging tot aan geprotocolleerde vernietiging. Over welke informatie we het hebben is in detail uitgewerkt in het Verwerkingenregister van de CHD, inclusief classificatie en rondslag voor verwerking. Het IB-beleid van de CHD is in ieder geval van toepassing op: Processen Primaire proces: de zorgverlening op de huisartsenspoedposten door huisartsen, assistentes en verpleegkundige, daaronder begrepen de aanname van telefonische oproepen op de posten en het afleggen van visites bij patiënten thuis. Ondersteunende processen: HRM, contractbeheer zorgverleners, applicatie- en systeembeheer ICT, financieel beheer, roostering, algemeen management. Hieronder wordt nadrukkelijk ook begrepen het terugluisteren van gesprekken in het kader van personeelsontwikkelingsbeleid en van afhandeling van klachten. Gegevens Primaire proces: (medische) patiëntgegevens uit de eigen medische registratie en de regionale patiëntenindex ten behoeve van de uitwisseling van medische gegevens met externe registraties Ondersteunende processen: personeelsgegevens, gegevens met betrekking tot gebruik en inrichting van de ICT-voorzieningen, gegevens met betrekking tot zorgverleners, financiële gegevens en overige gegevens. Voorzieningen ICT-applicaties en -systemen (vast en mobiel), elektronische communicatie infrastructuur voor informatie-uitwisseling, digitale en niet-digitale archieven en overige informatie-voorzieningen. Locaties De huisartsenposten in Assen, Emmen, Hoogeveen en Meppel De auto s waarmee de huisartsen visites afleggen Het kantoor in Assen (Oostersingel) De serverruimte van de CHD in het WZA en andere ruimtes bij derden die deel uitmaken van de informatievoorziening van de CHD. Cloudoplossingen Gegevensverwerkingen die op een locatie worden uitgevoerd door een andere partij waarop de CHD geen directe uitvoerende zeggenschap heeft (cloudoplossingen) 4 Aanpak Bij de aanpak hanteren we de systematiek van de Demming circle: een gestructureerde PDCA cyclus die voortdurend wordt doorlopen om steeds verder te verbeteren. Beleid formuleren, aan de hand van 4

een gedegen risico analyse in kaart brengen welke risico's het realiseren van het beleid kunnen frustreren, acteren naar de conclusies van de analyse, check op verbetering, heroverwegen beleid obv nieuwe inzichten en ervaringen. En weer een risico analyse, etc. De cyclus willen we eenmaal per jaar geheel doorlopen. Deze aanpak is niet uniek en wordt ook op andere deelgebieden toegepast. Uiteindelijk komt alles samen in ons Risicomanagement en daar moet ook deze cyclus een plek krijgen, net als bij voorbeeld de cyclus die in de context van de HKZ certificering wordt doorlopen. In die context komt Informatiebeveiliging dan ook aan de orde in de jaarlijkse directiebeoordeling. Verder is het een onderwerp in de jaarlijkse bespreking van Risicomanagement in de Raad van Toezicht van CHD. 5 Organisatie, betrokkenen en taken Voor de voorbereiding en uitvoering van het IB-beleid en alle ondersteunende informatiebeveiligingsmaatregelen benoemt de CHD een verantwoordelijke, de functionaris IB. Deze verantwoordelijke coördineert alle benodigde werkzaamheden om het IB-beleid te realiseren en dient binnen alle geledingen van de CHD-organisatie als zodanig bekend te zijn gemaakt. Periodiek, minstens tweemaal per jaar, rapporteert de functionaris IB over de voortgang van de realisatie van het beleid aan het MT. En eenmaal per jaar, in de context van Risicomanagement, aan de RvT. De functionaris IB beschikt over bevoegdheden die hem of haar in staat stellen de taken op het terrein van de informatiebeveiliging te kunnen vervullen. Daaronder vallen in ieder geval: het geven van aanwijzingen aan medewerkers en zorgverleners ten aanzien van de uitvoering van het IB-beleid het instellen van werkgroepen of het inzetten van medewerkers ter ondersteuning van de uitvoering van zijn/haar taken in het kader van het IB-beleid. In het licht van de AVG zal de CHD uiterlijk vanaf mei 2018 beschikken over een Data Protection Officer, deze rol is verplicht voor ondermeer organisaties die medische gegevens verwerken. Aan deze rol worden door de wet eisen gesteld, wanneer intern invullen niet haalbaar is kan ook externe inhuur van deze rol worden overwogen. Verdeling van taken en verantwoordelijkheden rond IB De CHD stelt de verantwoordelijkheden ten aanzien van IB vast. Op hoofdlijn: Taken Besluitvorming IB-beleid Onderhouden en evalueren van het IB-beleid Risico- en afhankelijkheidsanalyses uitvoeren Voorbereiden te nemen maatregelen in het kader van IB Besluitvorming te nemen maatregelen in het kader van IB Invoeren, onderhouden en evalueren maatregelen in het kader van IB Rapporteren en evalueren van Informatiebeveiliging incidenten Uitdragen van het IB-beleid Kennis van het IB-beleid Verantwoordelijke(n) Directie/MT Functionaris IB Functionaris IB Functionaris IB Directie/MT Functionaris IB, lijnmanagement, applicatieen systeembeheer Functionaris IB, lijnmanagement Directie, lijnmanagement Alle medewerkers en 5

Uitvoeren van de bij de eigen functie behorende maatregelen in het kader van IB zorgverleners Alle medewerkers en zorgverleners 6 Aanpak in de praktijk In het voorjaar van 2017 is de eerste risico analyse op het gebied van IB uitgevoerd, met externe begeleiding. De bevindingen en daaruit voortkomende activiteiten zijn geprioriteerd en uitgewerkt in een plan van aanpak dat in juli 2017 door het MT van de CHD is geaccordeerd. Bij de uitvoerende activiteiten zijn meerdere medewerkers van de CHD betrokken, enerzijds om kennis te delen binnen de organisatie en die niet teveel bij alleen de functionaris IB te beleggen. Anderzijds om het tempo van uitvoering te vergroten. In het plan van aanpak is voorzien een keus te maken over de invulling van de rol van Data Protection Officer. Interne invulling heeft in principe de voorkeur. Of dat voor een organisatie van de omvang van de CHD haalbaar is, ook gezien de eisen die de AVG aan een dergelijke functionaris stelt, is de vraag. Externe inhuur is dan het alternatief, als dat kan samen met collega HDS en. Deze breder belegde aanpak zal de komende jaren voortgezet worden. Voor nu is het nog met name gericht op het creëren van beleid en kaders en CHD-brede beheerstechnische maatregelen. Maar wanneer aan de orde en nodig worden mensen uit het primaire proces intensiever bij de PDCAcyclus en bij de te nemen maatregelen betrokken. Onmisbaar voor begrip en draagvlak. Uiteindelijk is informatiebeveiliging gewoon een (weliswaar wezenlijk) aspect van het primaire proces en kan het niet zo zijn dat zich dat beperkt tot theoretische kaders en overeenkomsten. 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback