Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid - Aanleiding - Opsomming; globale typering - Workshops 22 juni 2017 BTN - Informatieveiligheid en privacy 1
Ontwikkelingen rond persoonsgegevens Wat speelt er allemaal? Ontwikkelingen, technologie, wet- en regelgeving Meer mogelijkheden: Internet of things, domotica, big data, clientportalen, toenemende gegevensuitwisseling Meer misbruik Meer aandacht voor bescherming burger Nieuwe wet- en regelgeving: AVG, Europese privacy verordening 22 juni 2017 BTN - Informatieveiligheid en privacy 2
Europese Privacy Verordening - AVG Waar moet ik op 28 mei 2018 extra aan voldoen? Register verwerking persoonsgegevens Verwerkersovereenkomsten aangescherpt Functionaris Gegevensbescherming Privacy impact assessments (PIA s) Rechten clienten Expliciete, vrije, ondubbelzinnige toestemming voor verwerking wanneer andere rechtmatige grondslag ontbreekt Recht om vergeten te worden Recht op data portabiliteit Hoge boetes door Autoriteit Persoonsgegevens (max. 20 miljoen of 4 procent) 22 juni 2017 BTN - Informatieveiligheid en privacy 3
Register verwerking persoonsgegevens Wat moet er in worden vastgelegd? Per verwerking: Doeleinden en grondslag Categorieën persoonsgegevens en betrokkenen Gevoeligheid / classificatie Uitwisseling van gegevens Bewaartermijnen Beschrijving wijze waarop gegevens zijn beveiligd zie ook NEN7510 22 juni 2017 BTN - Informatieveiligheid en privacy 4
Verwerkersovereenkomsten (lang niet altijd nodig) Aanzienlijke aanscherping ten opzichte van oude bewerkersovereenkomst: Specificeren verwerkingen en doel hiervan Categorieen betrokkenen Borgen vertrouwelijkheid door bewerker Beschrijving passende maatregelen Noodzakelijke toestemming voor inschakelen subverwerker Medewerking aan verzoeken betrokkene, meldplicht datalekken, uitvoeren risicoanalyse Instemming met audit Na afloop overeenkomst wissen / teruggeven gegevens 22 juni 2017 BTN - Informatieveiligheid en privacy 5
Meldplicht datalekken WBP loopt hier vooruit op AVG Ernstig datalek melden binnen 72 uur melden bij Autoriteit Persoonsgegevens Aard / omschrijving datalek Gevolgen Maatregelen Melden aan betrokkene wanneer dit ongunstige gevolgen heeft voor de persoonlijke levenssfeer (zo spoedig mogelijk) Bij twijfel melden Wees voorbereid! 22 juni 2017 BTN - Informatieveiligheid en privacy 6
Rechtmatige grondslag Basis voor verwerking op basis van AVG Uitvoering van een overeenkomst / contract Wettelijke verplichting Taak van algemeen belang / uitvoering openbaar gezag Vitale belangen Gerechtvaardigd belang (afweging) Toestemming (expliciet, vrij, specifiek, geinformeerd en dubbelzinnig) 22 juni 2017 BTN - Informatieveiligheid en privacy 7
Functionaris gegevensbescherming AVG en zorg specifieke wetgeving Verplicht Onafhankelijke positie Adviseren, informeren (ook bij PIA s) Houdt register bij Contactpersoon AP, aangemeld bij AP Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met organisatie Mag gezamenlijk met andere organisaties worden aangesteld of worden ingehuurd 22 juni 2017 BTN - Informatieveiligheid en privacy 8
Functionaris gegevensbescherming AVG en zorg specifieke wetgeving Verplicht Onafhankelijke positie Adviseren, informeren (ook bij PIA s) Houdt register bij Contactpersoon AP, aangemeld bij AP Deskundig op gebied van privacywetgeving, praktische toepassingen, bekend met organisatie Mag gezamenlijk met andere organisaties worden aangesteld of worden ingehuurd https://beveiligingsupdate.nl/2017/05/11/marcel-koers-over-volwassenheid-op-privacy-gebied/ 22 juni 2017 BTN - Informatieveiligheid en privacy 9
Revisie NEN7510 Update Consultatieronde NEN loopt tot 1 juli 2017 Sluit goed aan bij ISO 27001/27002 Speelt in op laatste ontwikkelingen Minder beheermaatregelen, meer richtlijnen Onderscheid algemeen en zorg specifiek Comply-or-explain, risk-based 22 juni 2017 BTN - Informatieveiligheid en privacy 10
Wet- en regelgeving Zorg specifieke wetgeving WGBO, WLZ, WMO, ZVW Regeling gebruik burgerservicenummer in de zorg (NEN7510) Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (wet 5 oktober 2016 tot wijziging van de wet gebruik BSN in de zorg, wet marktordening in de zorg en zorgverzekeringswet (clientenrechten bij elektronische verwerking van gegevens) Besluit elektronische gegevensverwerking door zorgaanbieders (NEN normen, functionaris gegevensbescherming) per 1 juli 2017 22 juni 2017 BTN - Informatieveiligheid en privacy 11
Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid - Aanleiding - Opsomming; globale typering - Workshops 22 juni 2017 BTN - Informatieveiligheid en privacy 12
Handvatten Informatieveiligheid Wat heeft een medewerker nodig voor het leveren van goede zorg? Praktijkboek NEN 7510: Hoe te beginnen? Per handvat: tekst NENboek medewerkersperspectief toetscriteria 22 juni 2017 BTN - Informatieveiligheid en privacy 13
2.1 - Informatiebeveiligingsbeleid begin eenvoudig.. en communiceer! 2.2 - Organisatie van informatiebeveiliging iedereen heeft een verantwoordelijkheid regel contactgroep IB; ondersteun elkaar 22 juni 2017 BTN - Informatieveiligheid en privacy 14
2.3 - Bewustwording, opleiding en training beveiligen is mensenwerk 80% van de incidenten agv (onbewust) menselijk handelen 2.4 - Kwaadaardige programmatuur vanuit ict al veel geregeld ondersteun medewerkers bij veilig gebruik 22 juni 2017 BTN - Informatieveiligheid en privacy 15
2.5a - Aandacht voor IB in overeenkomsten met derden maak gebruik van modelcontracten (zorg-breed model bwo) en controleer! (je blijft zelf verantwoordelijk!) 2.5b - Communiceer veilig (vooral email, fax en post) kies een oplossing die regionaal veel wordt gebruikt met een optie om ook niet-aangeslotenen te bereiken 22 juni 2017 BTN - Informatieveiligheid en privacy 16
2.6 - Beveilig toegang tot systemen zorggegevens: geen groepsaccounts toegestaan AVG: dubbele authenticatie buiten kantoor 2.7 - Zorg voor continuiteitsvoorzieningen weet waar je afhankelijk van bent; ken je alternatieven! vertrouw op je professionaliteit; koppel zo nodig terug 22 juni 2017 BTN - Informatieveiligheid en privacy 17
2.8 - Houd rekening met intellectueel eigendom maak gebruik van legale software; klopt het aantal licenties? 2.9 - beveilig bedrijfsdocumenten veilig opbergen hoe lang opbergen en wanneer verwijderen? 22 juni 2017 BTN - Informatieveiligheid en privacy 18
2.10 - Bescherm persoonsgegevens Privacybeleid; praktisch! maak gebruik van FAQ s Zie ook manifest en vuistregels Jeugddomein: In goed vertrouwen.. privacy van de jeugd geborgd http://mgz.venvn.nl/artikelen/id/1600314 2.11 - Leef beveiligingsbeleid na Beveiligen is mensenwerk... regels en protocollen maak informatiebeveiliging bespreekbaar 22 juni 2017 BTN - Informatieveiligheid en privacy 19
2.12 - Rapporteer beveiligingsincidenten communiceren en leren; aanleiding voor verbeterpunten herken mogelijke datalekken! zie protocol LHV: 1 e hulp bij datalekken https://www.lhv.nl/service/handreiking-meldplicht-datalekken-de-eerstelijnszorg bij twijfel melden! 22 juni 2017 BTN - Informatieveiligheid en privacy 20
Hoe de Handvatten te gebruiken? Grote organisaties: opmaat voor BBMCare Kleine organisaties: pas praktisch toe! + aspecten medewerker; VoG,.. + fysieke beveiliging; gebouw, werkplek Stap-voor-stap beveiligingsmaatregelen als verbeterpunten in de kwaliteitscyclus! 22 juni 2017 BTN - Informatieveiligheid en privacy 21
2 Workshops Informatieveiligheid (20 en 25 medewerkers) Kenmerkend: nog veel op papier minder afhankelijk van ict zorgverlening overzichtelijk, flexibel minder afhankelijk van planning, dossiers, etc veel (informele) communicatie minder protocollen bewustwording vanzelfsprekender praktische oplossingen communiceren via telefoon/camera cliënt documenten versleutelen 22 juni 2017 BTN - Informatieveiligheid en privacy 22
Vragen? 22 juni 2017 BTN - Informatieveiligheid en privacy 23