FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 1 Informatiesessie Veiligheidsconsulenten 24/02/2012
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 2 Agenda - Inleiding - De Veiligheidsconsulent - Feedback ontvangen profielen VC - Duiding functie VC - Voorziene opleidingen - - Pauze - Informatieveiligheid in de ziekenhuisomgeving: Waar beginnen? - Wettelijke context - Praktijkvoorbeelden..14u..14u10..15u30..15u45..16h45
SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT 3 Infosessie Veiligheidsconsulenten in ziekenhuizen Vrijdag 24 februari 2012 Decoster Christiaan,Directeur-generaal FOD Volksgezondheid
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 4 Veiligheidsconsulenten in ziekenhuizen 1.Noordzaak van veiligheidsconsulenten 2.Wetgevend kader 2.Huidge problematiek 3.Waar staan we vandaag?
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 5 1.Veiligheidsconsulenten in ziekenhuizen Naast de juridische redenen dient belang van veiligheidsconsulenten in ziekenhuizen te worden onderstreept: 1) Verregaande informatisering van ziekenhuizen: met ondermeer elektronische dossiers en elektronische uitwisseling van gegevens 2) Nood aan bescherming van de persoonlijke levenssfeer Risiko s dienen te worden vermeden.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 6 2.Wetgevend kader De wet van 15 januari die de Kruispuntbank opricht voorziet dat iedere openbare overheid,natuurlijke persoon en openbare of private instelling die toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, moet,al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aanwijzen. De identiteit van deze persoon moet medegedeeld worden aan de Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 7 2.Wetgevend kader Dit comité moet nagaan of de veiligheidsconsulent een passende voortdurende vorming heeft genoten en werkt op een gecoördineerde wijze. Bij gebreke hieraan moeten alle nodige maatregelen worden getroffen om de passende vorming te verzekeren of om de coördinatie te verzekeren, ondermeer op technisch vlak. De FOD wil hierop ingaan en ervoor zorgen dat vorming kan worden verzekerd.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 8 2.Wetgevend kader 2.2.In 1994 werden de volgende bepalingen ingevoegd in het KB van 23 oktober 1964: 2.2.1.Elk ziekenhuis dient voor wat betreft de verwerking van persoonsgegevens die betrekking hebben op patïenten, in het bijzonder medische gegevens, te beschikken over een reglement voor de bescherming van de persoonlijke levenssfeer. 2.2.2.Dit reglement (en alle wijzigingen) moeten medegedeeld worden aan de Commissie voor toezicht en evaluatie van statistische gegevens inzake de medische aktiviteiten in de ziekenhuizen (tegenwoordig de Multipartitestruktuur voor ziekenhuizen).
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 9 2.Wetgevend werk 2.2.3.Deze Commissie moet de reglementen ter beschikking houden van de Commissie voor de bescherming persoonlijke levenssfeer. 2.2.4.De houder van het gegevensbestand moet een consulent inzake veiligheid van gegevens aanduiden. 2.3.Het KB van 12 februari 2008 houdende bepaling van de regels volgens welke de beheerder van de ziekenhuizen statistische gegevens aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, moet mededelen moet ook mededeling doen van de identiteit van de veiligheidsconsulent en van elke wijziging. 2.4.Gelijkaardige bepaling tav het RIZIV voor Carenet
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 10 3.Huidige problematiek 3.1.De FOD, Dienst Datamanagement, beschikt over een lijst van veiligheidsconsulenten,maar deze lijst is niet aktueel: de ziekenhuizen hebben niet altijd de wijzigingen medegedeeld. De FOD beschikt ook over jaarlijkse mededeling van statistische gegevens met de identiteit van de veiligheidsconsulent. Beide gegevens dienen aan elkaar te worden getoetst. 3.2.De Commissie voor de evaluatie van statistische gegevens die verband houden met de medische aktiviteiten in ziekenhuizen bestaat niet meer, waardoor de ziekenhuizen de wijzigingen aan hun reglement niet meer hebben medegedeeld.deze taken werden overgenomen door de Multipartite-struktuur voor ziekenhuizen.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 11 3.Huidige problematiek 3.3.Het Sectoraal comité voor sociale zekerheid en volksgezondheid heeft op 5 juli 2011 beslist dat de ziekenhuizen die niet over een veiligheidsconsulent beschikken, geen toegang meer zullen hebben tot persoonsgegevens van het Rijksregister. 3.4.Ingevolge deze beslissing heeft het Sectoraal comité ons gevraagd om een omzendbrief te sturen naar de ziekenhuizen,waarin wordt herinnerd aan de wettelijke verplichtingen evenals de beslissing van het Sectoraal comité mede te delen.tevens werden we verzocht na te gaan wat het niveau van vorming en competenties is van de veiligheidsconsulenten.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 12 3.Huidige problematiek 3.5.Op 9 september 2011 werd aan de ziekenhuizen een omzendbrief gestuurd met concrete voorstellen om de ziekenhuizen te ondersteunen: a) Het engagement om de gegevensverzameling betreffende de veiligheidsconsulenten (zowel tav de FOD,het Sectoraal comité als het RIZIV ivm de toepassing van Carenet) te coördineren. b) De organisatie van een informatiesessie om de opleidingsbehoeften van de veiligheidsconsulenten te identificeren en te herinneren aan hun opdrachten. c) Het creëren van een werkgroep met veiligheidsconsulenten om goede praktijken inzake veiligheid van informatie te beschrijven.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 13 4.Waar staan we vandaag? 4.1.Ongeveer 2/3 van de ziekenhuizen heeft de FOD een dossier bezorgd met de identiteit en het profiel van de consulenten.er ontbreken 67 dossiers. 4.2.Met de Kruispuntbank wordt overwogen om nog maar één authentieke bron van veiligheidsconsulenten bij te houden. Dit veronderstelt een aanpassing van de wetgeving zodoende dat de ziekenhuizen nog maar een keer de gegevens moeten overmaken.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 14 4.Waar staan we vandaag? 4.3. De informatiesessie van vandaag heeft volgende agenda: a) Herinneren aan het wetgevend kader (zie omzendbrief); b) Een analyse van de situatie in de sector op basis van de antwoorden die de FOD heeft ontvangen; c) Een presentatie van de projekten in het kader van de opleidingscyclus; d) Presentatie van een instrument om een veiligheidsplan te ontwerpen.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 15 4.Waar staan we vandaag? 4.4. De medewerkers van de FOD hebben samen met deze van de Cel veiligheid van gegevens van de Kruispuntbank, een programma voor de opleiding van consulenten van ziekenhuizen uitgewerkt. Dit programma bevat 1 module van 1 dag gericht op de ziekenhuizen en 8 modules die specifieke thema s behandelen Deze vorming zal georganiseerd worden in beide landstalen in kleine groepjes (20 à 30 personen) door medewerkers van de Kruispuntbank. Er bestaat geen enkel wettelijke verplichting tot het volgen van deze opleiding. De ziekenhuizen kunnen, naargelang het thema, meerdere personen inschrijven.de vorming zal georganiseerd worden vanaf mei 2012.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 16 4.Waar staan we vandaag? 4.5. Een werkgroep inzake de goede praktijken zal van start gaan éénmaal we een goed zicht hebben op wat er in de sektor bestaat.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 17 5.Conclusie Het is onontbeerlijk dat de ziekenhuizen gevolg geven aan de omzendbrief. Ze moeten hun engagement tonen om te participeren aan de opleiding, mib van de aspecten mbt de opmaak van een veiligheidsplan. De opleiding moet vrij snel kunnen volgen. De beslissing van het Sectoraal comité moet in deze context worden gezien.
De veiligheidsconsulent Een beroep Een functie Een rol binnen een organisatie Chris De Vuyst Veiligheidsconsulent Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel E-mail: security@ehealth.fgov.be Website ehealth-platform: https://www.ehealth.fgov.be
Inleiding Overzicht van de uiteenzetting Veiligheid De risico's nemen toe!!! Functie van de veiligheidsconsulent Rol van de informatieveiligheidsconsulent Andere functies in de organisatie die hierbij zijn betrokken Aanwijzings- en opvolgingsprocedure Werkgroep Inhoud van de cursus - informatieveiligheid Overzicht van de modules 24/02/2012 19
Computerbestanden van N-VA gestolen Bij de Antwerpse N-VA zijn vertrouwelijke computerbestanden van de partij gestolen. Het gaat om ontwerpteksten voor het congres van 21 april en de ledenlijsten. Ingewijden spreken van politieke spionage. Awareness 24/02/2012 20
Functie (uittreksel uit de brief van het ministerie) De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur omtrent alle aspecten van de informatieveiligheid. Dit impliceert een adviserende, stimulerende, documenterende en controlerende opdracht. De informatieveiligheidsconsulent bevordert de naleving van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in het ziekenhuis. 24/02/2012 21
Functie (uittreksel uit de brief van het ministerie) De veiligheidsconsulent werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn, inzonderheid met de informaticadienst en de dienst voor veiligheid, gezondheid en verfraaiing van de werkplaatsen van het ziekenhuis. De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van het ziekenhuis en van de informatieveiligheid. Hij dient deze kennis op peil te houden. 24/02/2012 22
Functie (uittreksel uit de brief van het ministerie) De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een bepaalde termijn, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. een opdracht gedurende 40% van de tijd blijkt het minimum te zijn 24/02/2012 23
Informatieveiligheidsconsulent (beroep) Interpreteren van de informatieveiligheidsreglementering op maat van de organisatie Voorstellen van een veiligheidsstrategie Nemen van initiatieven omtrent informatieveiligheid Coördineren van activiteiten omtrent informatieveiligheid Beheren van het Information security management -system (ISMS) Beheren van het informatieveiligheidsbeleid (ISP) Verstrekken van adviezen inzake veiligheid Bewerkstelligen van een samenwerking tussen interne en externe organisaties Organiseren van bewustwordingstrainingen inzake veiligheid op alle niveaus van de organisatie Bezieler van het "Platform voor de informatieveiligheid" 24/02/2012 24
Informatieveiligheidsconsulent (beroep) Voorbereiden/opstellen van een jaarlijks budget voor de informatieveiligheid Identificeren van de veiligheidsrisico's en er de nadruk op leggen Interne begeleiding, onderzoek, audit Voorbereiden van onafhankelijke externe audits omtrent informatieveiligheid en opvolgen van aanbevelingen Specifieke taken van de sociale zekerheid Opvolging van de minimale normen Jaarlijkse vragenlijst Planning Opsporen van mogelijke veiligheidsinbreuken inzake vertrouwelijkheid, integriteit, machtiging,... op vraag van de directie, de rechtbank,... op basis van goedgekeurde procedures Opvolgen van de evolutie van bedreigingen, tegenmaatregelen, systemen,... 24/02/2012 25
Platform voor de informatieveiligheid Delegeren van verantwoordelijkheden Ondersteunen van het management tijdens de beveiligingsprocedure Ontwikkelen van doelstellingen, strategieën en veiligheidsrichtlijnen Evalueren van veiligheidsrapporten en nagaan in welke mate belangrijke informatie uiteengezet wordt en wat de businessimpact ervan is Nagaan in hoeverre de verschillende veiligheidsinitiatieven gevorderd zijn Evalueren van belangrijke veiligheidsincidenten Goedkeuren van alle wijzigingen aan het ITveiligheidsbeleid 24/02/2012 26
Rol van de directie Een duidelijke ondersteuning en een voorbeeldgedrag van de directie is noodzakelijk om de informatieveiligheid in goede banen te leiden 24/02/2012 27
Incident Response Team Beheer bij een ernstig incident Inschatten van de situatie Beperken van de schade Verzekeren van de continuïteit Herstellen van de normale situatie Verbeteringsacties 24/02/2012 28
Andere hierbij betrokken functies Systeemverantwoordelijke Aankoopdienst Juridische dienst Project manager Ontwikkeling Productie 24/02/2012 29
Aanwijzings- en begeleidingsprocedure Verzending van de kandidatuur door het ziekenhuis Onderzoek van de kandidatuur door het Sectoraal Comité Goedkeuring van de consulent Organisatie van opleidingen Planning 24/02/2012 30
Stand van zaken eind februari Ongeveer 100 ziekenhuizen hebben hun kandidatuur voorgelegd Opleidingsnoden op basis van CV van +/- 40 % van de kandidaten Frans Nederlands Basisinformatica 18,66 % 32,28% Medische informatica 47,02% 61,54% Gezondheidszorg 49,21% 45,09% Informatieveiligheid 38,55% 39,13% Er werden enkele opleidingen voor de medische sector gegeven 24/02/2012 31
Werkgroep Binnenkort wordt een werkgroep opgericht met alle veiligheidsconsulenten van de ziekenhuizen dat, na goedkeuring door de afdeling gezondheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, de good practices omtrent de informatieveiligheid zal vastleggen Oproep aan kandidaten 24/02/2012 32
Doelstellingen van de werkgroep Grondig onderzoek van het wettelijke veiligheidskader in de gezondheidssector Invoering van minimale normen Omschrijving van veiligheidsbeleid voor het ehealthdomein Gebruikersbeheer Servers Cloud computing Wifi beleid Gegevensclassificatie Veiligheidsincidenten.... 24/02/2012 33
De voorgestelde opleidingen Opleiding in modules Module 1 : Basisinformatica Module 2 : Medische informatica (in combinatie met 1) - 2 dagen Module 3 : Gezondheidszorg : wettelijke aspecten & praktische gevallen - 1 dag Module 4 : informatieveiligheid - 5 dagen Planning 24/02/2012 34
24/02/2012 Informatieveiligheid (inhoud) Cursus gebaseerd op de normen ISO 27001 / 27002 / 27799 Bevat oefeningen en praktische gevallen De verschillende modules: 1. Methodologie 2. Organisatie veiligheid 3. Beheer van bedrijfsmiddelen (asset management) 4. Personeelsgerelateerde veiligheid 5. Fysieke veiligheid en bescherming van de omgeving 6. Veiligheid m.b.t. projectontwikkeling 7. Operationeel beheer 8. Logische toegangsbeveiliging 9. Incidentenbeheer 10. Continuïteit 11. Conformiteit en controle 35
Module 1: methodologie Aanpak (ISO-norm 2700X) Implementatie van een ISMS en van een informatieveiligheidsbeleid (ISP) Keuze van een aangepaste methode van risicoanalyse Praktische punten 24/02/2012 36
Doelstelling: een integraal aanbod Het information security management dekt alle aspecten van de (fysieke, logische en menselijke) veiligheid Overzicht van alle veiligheidsrisico s binnen de organisatie Overzicht van alles wat al uitgevoerd is alles wat voor verbetering vatbaar is alle aanvaarde risico s 24/02/2012 37 37
Doelstelling: een integraal aanbod 24/02/2012 38
Module 2 : organisatie Doelstelling: implementatie van een dienst (platform) dat is belast met het beheer van de informatieveiligheidsrisico s Analyse van verantwoordelijkheden De rollen van elke persoon omschrijven: RACI matrix (directie, veiligheidsdepartement, ontwikkelaars, leveranciers etc.) Gevolg voor aanwervingen (arbeidsovereenkomst) Oprichting van een cel voor incidentenbeheer Oprichting van een veiligheidsgroep ISMS en ISP implementatie- en opvolgingsprocedure 24/02/2012 39
Module 3 : beheer van bedrijfsmiddelen Onderzoek van bedrijfsmiddelen Afstemming op de information security policy Inventaris van de waarden en daarbij horende middelen, ook van de menselijke middelen Gegevensclassificatie Veiligheidsmaatregelen 24/02/2012 40
Information Security Policy (ISP) Het beheer van de middelen beoogt het behoud van een geschikte beveiliging van deze middelen. In de context van ehealth worden er vertrouwelijke gegevens verwerkt. De verwerking van deze gegevens is aan een specifieke wetgeving onderworpen, o.a. in verband met de persoonlijke levenssfeer, waartoe ook de wetgeving inzake medische gegevens behoort. De middelen moeten geïnventariseerd en geclassificeerd worden (ook voor het continuïteitsbeheer). De gegevens worden verwerkt volgens hun classificatie. 24/02/2012 41 41
Bedrijfsmiddelen - Beveiligingsmiddelen Fysieke omgeving per locatie Omgeving: airconditioning, generator, enz. Human resources voor elke rol, verantwoordelijkheid en functie Classificatie van documentatie volgens de gevoeligheidsgraad Medische resources Vragen: Wat beveiligen? Welke informatie en welke informatiebronnen zijn kritiek? 24/02/2012 42
Software Operating systems Applicatie Bedrijfsmiddelen Database Per leverancier, type Netwerken VLANs, switches, routers, hubs Communicatie PBX, laser links, fax, modems 24/02/2012 43
Maatregelen Eigenaars aanwijzen Een initiële classificatie toepassen en deze regelmatig herzien De gegevens classificeren Autoriteit voor de goedkeuring van toegangsaanvragen en gebruiksmodaliteiten Onder andere de rol van het Sectoraal Comité Toegangscriteria authenticatie / autorisatie / encryptie / onweerlegbaarheid Technische veiligheidsmaatregelen gegevensopslag mededeling van gegevens Gegevens verwijderen Archiveren 24/02/2012 Let op printafdrukken en op papier! 44 44
Module 4: personeelsgerelateerde veiligheid Doel: de niet-gemachtigde toegang en schade aan de eigendom (informatie en hardware) van een instelling voorkomen. Vertrouwelijkheid Integriteit Beschikbaarheid Risicobeperking na een menselijke fout, diefstal, fraude of ongepast gebruik/misbruik Bewust zijn van bedreigingen en risico s m.b.t. de informatieveiligheid Bewustzijn aan verantwoordelijkheidszin koppelen Zie het deel dat aan de organisatie gewijd is Opleiding en middelen om de ISP te kunnen naleven in het kader van hun opdrachten, 24/02/2012 45
Onderzochte materie Persoonlijk risico voor de medewerker Bedreigingen en zwaktes Misbruik van zwaktes Beveiliging door de eindgebruiker Fysieke omgeving Authenticatie Elektronische berichten Surf Social engineering Veiligheidsmaatregelen (internettoegang, paswoord, mailgebruik, enz., ) 24/02/2012 46
Module 5 : fysieke veiligheid Doel van de fysieke veiligheid De fysieke veiligheid in zones opsplitsen Fysieke toegangscontrole Beveiliging van verschillende soorten lokalen Beveiliging tegen externe bedreigingen Werken in beveiligde zones Publieke toegang en leveringen 24/02/2012 47
Module 6: beveiliging van projecten Doelstelling De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie Malware en risico s Systeemontwikkeling Technische beveiliging Overzicht over alle OSI-lagen 24/02/2012 48
24/02/2012 Scope en implementatie De beveiliging moet vanaf het begin ondersteund worden Indien de veiligheid pas nadien toegevoegd wordt, vergroot dit de complexiteit aanzienlijk Er bestaan verschillende soorten aanvallen (zie vorige slides), o.a.: Malware Misbruik van zwaktes in het beveiligingssysteem van de infrastructuur Veiligheid: moet ingepast worden in de volledige levenscyclus en in alle facetten van het systeem/van de toepassing Concept Architectuur Conceptie Ontwikkeling Tests Implementatie Beheer 49 De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie
Module 7: operationeel beheer Een correct beheer van de ICT-omgeving is van groot belang om de informatieveiligheid te garanderen. Gestructureerde aanpak De belangrijke procedures inzake informatieveiligheid ITIL (Information Technology Infrastructure Library), CobiT (Control Objectives for Information and related Technology) 24/02/2012 50
Processen Information Technology Infrastructure Library (ITIL) Referentiekader voor de implementatie van beheersprocedures binnen een ICT-organisatie ITIL is noch een methode, noch een model, maar wel een reeks best practices Service Delivery. - Capacity Management - Availability Management - IT Service Continuity Management (ITSCM) - Service Level Management - Security Management Service Support. - Change Management - Release Management - Problem Management - Incident Management - Configuration Management - Service Desk 24/02/2012 51
Processen Information Technology Infrastructure Library (ITIL) Planning to Implement Service Management. Security Management. ICT Infrastructure Management. - Network service Management - Operations Management - Management of local processors - Computer installation and acceptance - Systems Management The Business Perspective. Application Management. Software Asset Management 24/02/2012 52
Module 8: beveiliging van de toegangen Vertrouwelijkheid, integriteit, authenticiteit - definities Inleiding tot de cryptografie Authenticatie Identificatiemiddelen Autorisaties Analyse van voorbeelden, praktische gevallen Wetgeving en loggegevens 24/02/2012 53
Module 9: incidentenbeheer Oprichting van een cel voor incident management Analyse van de te implementeren middelen Identificatie van ernstige incidenten Rampenplan en voortzetting 24/02/2012 54
Incident response team Aard van de incidenten : dagelijks (bv. scanning) tot zeer ernstig (bedreiging voor de voortzetting van de activiteiten) Het beheer van dagelijkse, kleine incidenten moet uitgevoerd worden in het «operationeel beheer» Incident response: alle vastgelegde en goedgekeurde maatregelen om het hoofd te bieden aan een ernstig incident Belangrijk incident: de voortzetting van de activiteiten binnen het bedrijf komt in het gedrang 24/02/2012 55
Link met het DRP Doel : beschrijving van alle processen en procedures bij een belangrijk incident op basis van scenario s voor belangrijke technische incidenten - bv. verlies van een data center, stroomuitval door rekening te houden met het relatieve belang van ICTprocessen om de prioriteiten vast te leggen hou rekening met de verschillende fases in de aanpak van ernstige incidenten coördinatie door de IRT 24/02/2012 56
Analyse van de ernstige incidenten Erkenningsfase Verzamel informatie Vermijd paniek Evalueer de situatie Erken de ernst van de situatie Neem de nodige maatregelen op basis van de processen en procedures Activeer de IRT Reactiefase Organiseer regelmatig overlegvergaderingen met de IRT Blijf informatie verzamelen en evalueer de (veranderende situatie) Voer de maatregelen uit om de impact van het incident te beperken- stabilisatie van de situatie Neutraliseer de oorzaak van het incident Neem de nodige maatregelen op basis van de processen en procedures om de continuïteit te garanderen Bewaar de bewijzen- forensisch onderzoek Organiseer de communicatie Herstelfase Terugkeer naar de normale situatie op basis van de processen en procedures Blijf communiceren Lessen en verbeteringsacties 24/02/2012 57
Evaluatie van de situatie Is het incident tijdelijk of permanent? Welke belangrijke exploitatiemiddelen werden erdoor aangetast? personeel business-processen infrastructuur, systemen Komt de voortzetting van (een deel van) de activiteiten in het gedrang? Is het incident te wijten aan recente wijzigingen/interventies? 24/02/2012 58
Module 10: continuïteit Inleiding Business Continuity Plan (BCP) ICT contingency plan (ICP) Disaster Recovery Plan (DRP) Tests Geleerde lessen 24/02/2012 59
Continuïteitsbeheer Doel: kunnen reageren als de activiteiten van de organisatie verstoord worden en beveiliging van de kritieke business-processen bij ernstige incidenten Belangrijke verantwoordelijkheid voor de continuïteit van de gezondheidszorgverstrekking in België Gedocumenteerd proces Gebaseerd op risico-analyse Preventieve en corrigerende maatregelen Proces en plan op oefeningen gebaseerd 24/02/2012 60
Module 11 : conformiteit en controle Controle op de naleving van de wettelijke en contractuele vereisten inzake veiligheid Evaluatie van de informatieveiligheid op basis van het beheer Dagelijkse begeleiding Interne controle Interne audit Externe audit 24/02/2012 61
24/02/2012 62
Th@nk You!
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU 64 Pauze 15 minuten
Informatieveiligheid in het ziekenhuismilieu Waar beginnen? Dr. Ir. Etienne Stanus Consulent inzake informatieveiligheid Institut Jules Bordet
Informatie en kwaliteit Zorgkwaliteit: capaciteit van de gezondheidsdiensten, bestemd voor individuele personen en populaties, om de waarschijnlijkheid te verhogen om de gewenste gezondheidsresultaten, in overeenstemming met de beroepskennis van het moment, te bereiken. Goed geïnformeerd zijn op de juiste plaats op het juiste moment
Enkele sleutelwoorden Gezondheidsdienst: alle disciplines Kennis: impliceert de onderliggende informatiesystemen Waarschijnlijkheid: veronderstelt verplichting van middelen beheer van de risico s, ongewenste gebeurtenissen, Overeenstemming, moment: governance, continue verbetering, audits
Shewhart-cyclus/Deming-wiel: Plan: identificatie van het/de probleem/problemen Do: Ontwikkelen, realiseren, implementeren Check: Metingen/indicatoren controleren, nagaan Act / Adjust: corrigeren/ verbeteren / standaardiseren Spie onder het wiel: kwaliteitssysteem, regelmatige audits, kapitalisatie van de praktijken (documentatiesysteem) Not «Please Don't Change Anything»!
Laten we overgaan tot een formalisatie! Plan: Enkele definities Een beginnende risicoanalyse DO Juridische context, Normatieve context Bestaande documenten Gelijkaardige PDCA-systemen Een voorbeeld van een bestaande tool Check Auto-evaluatie Act Implementatie van een managementsysteem voor de informatieveiligheid Enkele methodes van risicoanalyse Enkele gevoelige punten
Informatiesysteem Een informatiesysteem is een complex netwerk van gestructureerde relaties waar mensen, machines en procedures tussenbeide komen dat als doel heeft geordende stromen te doen ontstaan van relevante informatie die afkomstig is van verschillende bronnen en dient als basis voor beslissingen. Bron: Hugues Angot (Prof. Ichec, )
Begrip risico en gevaar Gewone betekenis: Risico: ongewenste toevalligheid waarvoor men bevreesd is en die relatief ongevaarlijk en weinig waarschijnlijk is. Gevaar: is zeer waarschijnlijk, veronderstelt de mogelijkheid van een ernstige schade, onder meer verwondingen of de dood. Wetenschappelijke definitie van «risico»: «Het risico is de mathematische verwachting van een waarschijnlijkheidsfunctie van gebeurtenissen» Specimen theoriae novae de mensura sortis, Daniel Bernouilli,1738 Definitie van een ingenieur: het risico is de combinatie van waarschijnlijke gebeurtenissen en het gevolg/de gevolgen ervan
Begrip risico en gevaar Technische betekenis: (industriële veiligheid) Bestaan van een waarschijnlijkheid dat een gevaar concreet wordt in één of meerdere scenario s, wat gepaard gaat met schadelijke gevolgen voor goederen of personen. Definitie ISO 31000:2009 het risico is het gevolg van de onzekerheid over de doelstellingen
Algemene aanpak De risico s en het kritieke karakter ervan evalueren Welke risico s en bedreigingen Op welke gegevens en welke activiteit Met welke gevolgen Beveiligingsstrategieën zoeken en selecteren: Wat zal men beveiligen, wanneer en hoe Met welke middelen (tijd, competenties, ) De bescherming implementeren Preventie; reductie, aanvaarding, transfer van het risico De efficiëntie ervan nagaan.
Diagram van Ishikawa Human resources Externe reglementering Fysieke veiligheid en omgeving Logische toegangscontrole Ontwikkeling en onderhoud. Wijziging Beheer van de continuïteit Interne procedures Negatieve of positieve gevolgen Inventaris en en classificatie middelen Interne reglementering
Van de wet. en de geest van de wetten
KB 23/12/64 tot vaststelling van de normen waaraan de ziekenhuizen en hun diensten moeten beantwoorden Bijlage A, 16/12/1994 a) Beschikken over een reglement betreffende de bescherming van de persoonlijke levenssfeer b) de patiënt heeft toegang tot dit reglement. De beheerder van het bestand wijst f) de arts aan die de verantwoordelijkheid en het toezicht heeft over de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. g) een veiligheidsconsulent aan belast met de veiligheid van de informatie. De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijkse beheer van alle aspecten van de informatieveiligheid
Rechten van de patiënt (wet 22/8/2002) De rechten van de patiënt omvatten: De kwaliteit van de dienst De keuze van de arts Het recht op informatie De toestemming De bescherming van de persoonlijke levenssfeer Een patiëntendossier dat nauwkeurig bijgehouden en veilig bewaard wordt. De toevlucht tot de bemiddeling
Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Wet van 8 /12/1992 en KB betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (wet persoonlijke levenssfeer) KB van 17/12/2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer Wet van 8/8/1983 tot regeling van een Rijksregister van de natuurlijke personen Wet van 15/1/1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid Wet van 16/1/2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen Wet van 4 juli 1962 betreffende de openbare statistiek KB van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer http://www.privacycommission.be
Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Persoonsgegevens: voorbeelden: naam, foto, telefoon, ras, geslacht, Verklaring die voorafgaat aan de inzameling van persoonsgegevens Proportionele, verantwoorde en geoorloofde verwerking Doelstelling bepaald Kwaliteit van de gegevens Gevoelige gegevens: ras, gezondheid, gerecht, syndicale en politieke opinies, filosofische overtuiging, sexuele voorkeur. Recht van de betrokkene Beperkingen qua export van deze gegevens
Voorstel tot herziening van de Europese richtlijn (26/1/2012) Toestemming in «duidelijke» bewoordingen Informatie over de stockering van de gegevens, hoe, met welke doeleinden en voor welke duur. Aanwijzing van een afgevaardigde voor de bescherming van de gegevens indien verwerking van risicogegevens gelet op de rechten en de vrijheden van natuurlijke personen Recht op verwijdering van digitale gegevens: verplichte schrapping van de gegevens behoudens gerechtvaardigde reden. Verplichte melding van de schending van de veiligheid aan de nationale overheid aan de betrokkene dataoverdraagbaarheid http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Carenet-protocol 19/4/2001 De veiligheidsconsulent zal op eigen initiatief of op verzoek de verantwoordelijke voor het dagelijkse beheer van zijn instelling of VI adviseren. Hij is ervoor verantwoordelijk de vereiste documentatie in te zamelen, bij te houden en te verspreiden. Hij is ook ervoor verantwoordelijk om toe te zien op de goede toepassing van de procedures die in de instelling of VI geïmplementeerd worden. Jaarlijks moet hij een verslag over de effectieve naleving van de procedures opstellen. Ten allen tijde zal hij, indien hij één of ander gebrek vaststelt, dit onmiddellijk aan de directie van de instelling of VI moeten meedelen. De adviezen of verslagen zullen schriftelijk en gemotiveerd worden meegedeeld. Toezicht op de registratie en de toekenning van certificaten
Kruispuntbank van de sociale zekerheid (wet 15/1/1990) Art. 4 : «Iedere openbare overheid, natuurlijke persoon en openbare of private instelling die overeenkomstig 4 toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, wijst, al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan.» Art 25 : «De veiligheidsconsulent bedoeld in artikel 24, eerste en tweede lid, staat, met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt of uitgewisseld (en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben), in voor : 1 het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur; 2 het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd. De veiligheidsconsulent van de Kruispuntbank verstrekt bovendien deskundige adviezen over de veiligheid van het netwerk.
Collectieve arbeidsovereenkomsten CAO 81: Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische onlinecommunicatiegegevens CAO 68: Collectieve arbeidsovereenkomst nr. 68 van 16 juni 1998 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats
Onderzoek/Ethiek Koninklijk besluit tot oprichting van de ethische comités in de ziekenhuizen (12 augustus 1994) Wet betreffende het onderzoek op embryo's in vitro (mei 2003) Wet inzake experimenten op de menselijke persoon (mei 2004) Wet inzake het verkrijgen en het gebruik van menselijk lichaamsmateriaal met het oog op de geneeskundige toepassing op de mens of het wetenschappelijk onderzoek (december 2008)
Beroepsgeheim en discretieplicht Wie? Art. 458 van het Strafwetboek. Al diegenen die, uit hoofde van hun staat of beroep, kennis dragen van geheimen die hun zijn toevertrouwd. Art. 70 van de Code van geneeskundige plichtenleer. De geneesheer zal ervoor waken dat het medisch geheim door zijn helpers dwingend wordt nageleefd. Personeel sui generis: verplichte vertrouwelijkheid betreffende alles wat ze zouden kunnen vernemen over de identiteit en/of de toestand van de patiënt tijdens hun werk
Sanctie In welke mate? http://www.cnil.fr/voslibertes/vos-traces/ Klachten: http://www.polfedfedpol.be/org/org_dgj_fccu_rccu_fr.php Wet inzake informaticacriminaliteit 28/11/2000 valsheid in informatica fraude hacking sabotage van informaticagegevens wijziging van het wetboek op strafvordering Briefgeheim strafwetboek art. 314 bis Geheimhouding van de communicatie wet van 21 maart 1991
Normen/gidsen van goede praktijk Wijzen een meestal erkende en aangenomen toestand aan of wijzen een middel aan dat meestal wordt beschouwd als een te volgen regel. Hebben geen dwingend karakter, behalve dat ze expliciet in de wet vermeld staan Nuttige links www.nbn.be www.afnor.fr www.iso.org www.din.de www.nen.nl
ISO/IEC 27000-normen ISO/IEC 27000 : Inleiding en globaal zicht op de familie van normen alsook een glossarium van gemeenschappelijke termen (mei 2009) ISO/IEC 27001 : Certificeringsnorm van de ISMS (gepubliceerd in 2005) ISO/IEC 27002 : Gids voor goede praktijken op het vlak van de ISMS (voorheen gekend onder de naam ISO/IEC 17799, en vóór BS 7799 Deel 1 (laatste herziening in 2005, en opnieuw genummerd in ISO/IEC 27002:2005 in juli 2007) ISO/IEC 27003 : Gids voor de implementatie van een ISMS die gepubliceerd is op 3 februari 2010 (Richtsnoeren voor de implementatie van het managementsysteem voor de informatieveiligheid) ISO/IEC 27004 : Norm voor het meten van het management van de informatieveiligheid (gepubliceerd op 12 juli 2009) ISO/IEC 27005 : Norm voor het beheer van de risico s die samenhangen met de informatieveiligheid (gepubliceerd op 4 juni 2008, herzien op 19 mei 2011) ISO/IEC 27006 : Gids voor certificerings- en registratieprocessen (gepubliceerd op 1 december 2011) ISO/IEC 27007 : Stuurgids voor de audit van de ISMS (gepubliceerd op 14 november 2011) ISO/IEC 27008 : Controlerichtsnoeren voor het meten van de veiligheid (gepubliceerd op 15 oktober 2011) ISO/IEC 27011 : Gids voor de implementatie van ISO/IEC 27002 in de telecommunicatie-industrie (gepubliceerd op 15 december 2008) ISO/IEC 27799 : Gids voor de implementatie van ISO/IEC 27002 in de gezondheidsindustrie (gepubliceerd op 12 juni 2008)
Food and Drug Administration Chapter 21 part 11: «regulations that provide criteria for acceptance by FDA, under certain circumstances of: Subpart B: electronic records, Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records handwritten signatures executed on paper
FDA enkele nuttige links Site general: http://www.fda.gov FDA guidance for industry: Computerized systems in clinical trials: http://www.fda.gov/regulatoryinformation/guidances/ucm126402.htm FDA guidance: General principles of software validation: http://www.fda.gov/downloads/medicaldevices/deviceregulationa ndguidance/guidancedocuments/ucm085371.pdf FDA guidance: General principles of software validation: http://www.fda.gov/downloads/medicaldevices/deviceregulationa ndguidance/guidancedocuments/ucm085371.pdf Health Insurance Portability and Accountability Act http://www.hipaa.com/
Waar moet men de basisinformatie terugvinden? of wat bestaat er reeds in de instelling?
Nuttige bronnen Directie(s) Ethisch comité Departementen (allemaal! ) Reglement persoonlijke levenssfeer: Bijlage A, wet op de ziekenhuizen 1994 Huishoudelijk reglement, schriftelijke procedures Aankoop- en aanwervingscontracten, contracten voor teleonderhoud Kwaliteits- en risicobeheerders
Systeem voor kwaliteit en risicobeheer Laboratorium ISO 17025/15189 Kwaliteitshandboek De organisatorische regels en procedures formaliseren Consolidatie van de kennis Kwaliteitscoördinateur De ontwikkeling van een kwaliteitshandboek tot een goed einde brengen De toepassing en evolutie ervan opvolgen. Verantwoordelijkheid van de partijen Cel / project kwaliteit ISO 9000 Cel/project veiligheid van de patiënt WHO Interne/externe dienst voor de preventie en bescherming Noot: Evolutie van de normen 2011: draft 15189: Toevoeging van een gedeelte «veiligheid van het informatiesysteem»
Information Technology Infrastructure V2 Ondersteuning van de diensten (Service Support) Levering van de diensten (Service Delivery) Beheer van de informaticainfrastructuur (ICT managementinfrastructuur) Beheer van de veiligheid (Security management) Invalshoek van het beroep (The business perspective) Beheer van de applicaties (Application management) Beheer van de softwareactiva (Software asset management) Planning voor de implementatie van de diensten (Planning to implement service management)) Library V3 Strategie van de diensten (Service Strategy) Ontwikkeling van de diensten (Service Design) Transitie van de diensten (Service Transition) Exploitatie van de diensten (Service Operation) Continue verbetering van de diensten (Continuous Service Improvement) De «Service Support Repository» en de «exploitatielogs» zijn enorme schatten aan informatie, maar moete getrieerd worden
GMSIH / ANAP Groepering voor de modernisering van het informatiesysteem in de ziekenhuizen (2000-2009) Opdrachten Coherentie van de informatiesystemen die door de gezondheidsinstellingen worden gebruikt, bijdrage tot hun interoperabiliteit en opening, waarbij wordt geholpen hun veiligheid te ontwikkelen. De informatie-uitwisseling in de gezondheidsnetwerken bevorderen met het oog op de verbetering van de zorgcoördinatie. Deliverables Publicatie van het referentiedocument; Concrete begeleiding in de instellingen; Vertegenwoordiger in de normalisatieorganen; Geïntegreerd in het «Agence Nationale d'appui à la Performance des établissements sanitaires et médicosociaux (ANAP)» http://www.anap.fr http://www.anap.fr/domaines-de-competences/systeme-dinformation/
http://www.anap.fr/uploads/tx_sabasedocu/cd _securite_06_2004.zip
NEN 7510 2011: NEN 7510 Medische informatica - Informatiebeveiliging in de zorg ) 2012 Praktijkgids - Werken met NEN 7510 http://www.nen.nl/web/normshop/norm/n EN-75102011-nl.htm Etienne Stanus Institut Jules Bordet 24/2/2012 98
NEN NEN 7512:2005 (nl) Vertrouwensbasis voor gegevensuitwisseling NEN 7513:2010 (nl) Logging Vastleggen van acties op elektronische Patiëntendossiers NTA 8009:2011 (nl) Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen Etienne Stanus Institut Jules Bordet 24/2/2012 99
Eerste concrete auto-evaluatie
Tool in Excel
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot Het paard niet achter de wagen spannen
En nu? ISMS: enkele gevoelige punten
Implementatie van een ISMS Om goed te beginnen Oprichten van/ deelnemen aan «Forum voor de informatieveiligheid» Werkgroepen Vertrouwelijkheid Toegangsrechten tot informatiesysteem Dossier / rechten patiënt Biobanken.
Veiligheidsbeleid kader GMSIH: Methodologische gids Veiligheidsbeleid kader Toelatingsbeleid Fiche voor de betrekking van consulent inzake informatieveiligheid KSZ-BCSS: PFD-documenten gratis beschikbaar op http://www.ksz-bcss.fgov.be/ Minimale veiligheidsnormen die door de sociale zekerheidsinstellingen moeten worden gerespecteerd Ethische code van goed gedrag voor de veiligheidsconsulenten Information Security Management System
Vaststelling van perimeters Evolutie van de gezondheidsinformatiesystemen Diogenes-systeem HUG Prof Jean-Raoul Scherrer, MD 1932-2002 Bron: http://hal.archivesouvertes.fr/docs/00/09/57/41/html/base_fichiers/ima ge002.jpg http://www.e-toile-ge.ch/presse/2010-12%20ehealth/1_bgruson_informatique%20aux%20hu G%201970-2010.pdf
Risicoanalyse Enkele methodes en tools naast andere EBIOS Uitdrukking van de behoeften en identificatie van de veiligheidsdoelstellingen http://www.ssi.gouv.fr/fr/bonnespratiques/outilsmethodologiques/ebios-expressiondes-besoins-et-identification-desobjectifs-de-securite.html Tool: EBIOS 2010 Bron: Toepassing van veiligheidsbeleid GMSIH MEHARI Geharmoniseerde methode voor risicoanalyse http://www.clusif.asso.fr/fr/productio n/ouvrages/type.asp?id=methodes Tool: MEHARI 2010 GNU Licentie voor Excel, OpenOffice Enisa
Business continuity plan of informaticaplan? Continuïteit : waarvan? zorg => dwingend Ondersteunende activiteiten Onderzoeksactiviteiten Coherentie met en betrokkenheid bij het plan «Waarschuwing ziekenhuisdienst» Oefeningen en onderhoud
Business continuity plan Informaticaplan In aanmerking nemen De mogelijkheden waarop de gebruikers kunnen terugvallen, De omzeilende maatregelen voor de beroepen Het gezondheidsrisico epidemie, pandemie, risico voor het personeel Het crisisbeheer (crisiscellen...), Crisiscommunicatie, De omzeilende maatregelen voor de beroepen, De transversale functies (HR, logistiek, enz.).
Transfers / archivering van gegevens Beperkingen wat betreft de transfers van gegevens buiten de EU Persoonlijke levenssfeer (art 21-22 L. persoonlijke levenssfeer 8/12/1992) Elektronische facturen (art 60 3 BTW-Wetboek) Specifieke verplichting om op bepaalde plaatsen/in België te archiveren Medisch dossier (art 15, 17 en 70 gecoördineerde wet Ziekenhuizen 7/8/87) Sociale documenten (art. 22 KB 8/8/1980) Documenten belastbare inkomsten (art 315 WIB)
Classificatie Activa Niet altijd eenvoudig tussen wat officieel, officieus is, de leningen, het persoonlijk materiaal, het onderzoek, Informatie Opgelet voor de woordenschat: Ziekenhuis: publieke, boekhoudkundige/financiële, medischadministratieve, medische, gevoelige informatie, VIP Veiligheid Fr: Niet geclassificeerd + beperkt, vertrouwelijk, geheim, uiterst geheim, «onoverdraagbare archieven» Veiligheid Gb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. Veiligheid USA: Confidential, Secret, Top Secret. Gevoelig: kan de persoonlijke levenssfeer ongunstig beïnvloeden
Archivering Transversale regels Recht van derden Intellectuele eigendom Persoonlijke levenssfeer Elektronische handtekening Bewijs Specifieke regels Per sector: GMP, farma, Per type document: factuur, medisch dossier Bewaringsduur
Toegangsbeleid, enkele discussieelementen De artsen belast met de oppuntstelling van de diagnose en de behandeling van de patiënten; De studenten geneeskunde die officieel toegewezen zijn aan de instelling De verpleegkundigen, medische secretaressen, sociaal assistenten en andere paramedische medewerkers die het medisch geheim delen gelet op hun zorgfuncties; De administratieve medewerkers in het ziekenhuis belast met het beheer van de informatie betreffende de patiënten, het identificatie- en opvolgingsbestand voor het verblijf van de patiënten met het oog op de facturatie en de geschillen; De onderzoekers in het kader van een protocol inzake klinisch onderzoek dat een positief advies van het Comité voor Ethiek kreeg Het informaticapersoneel belast met de elektronische verwerking van de gegevens van de patiënten in het kader van de informatica in het ziekenhuis. Het administratieve personeel De consulent inzake de informatieveiligheid Anderen?
Toegangsbeleid, enkele discussieelementen De betrokken patiënt; De behandelende artsen of de verpleegkundigen aangewezen door de patiënt; De raadgevende artsen van de verzekeringsinstellingen; De organen belast met het beheer van de orgaandonaties; Als er daar reden toe is, en in de gevallen die door de wet bepaald zijn, De registers (kanker, ) De juridische overheden; Het RIZIV (geanonimiseerde gegevens); De FOD Volksgezondheid (geanonimiseerde gegevens). Onderaannemers
Vertrouwelijkheid Patiënt = persoon in een kwetsbare situatie 1 gehospitaliseerde patiënt 75 personen hebben toegang tot de gezondheidsinformatie (1) Cf.: http://www.chrn.be/files/files/comit d_ethique_ Secret_Professionnel_Brochure_A5_Print.pdf (1) Bron: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n 4, p.427
Budget