AVG en meer.... geen privacy zonder informatieveiligheid Theater -7 Powered by ActiZ Woensdag 18 april 15:00 Peter van der Zwan Ipse de Bruggen en Douwe de Jong AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 1
Stelling: Als een organisatie informatieveiligheid op orde heeft (NEN 7510 inclusief Wbp) is de implementatie van de AVG een logisch, eenvoudig vervolg!? AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 2
AVG en meer... AVG en meer? Geen privacy zonder informatieveiligheid (IV)! Kwaliteitseisen informatieveiligheid: beschikbaarheid integriteit vertrouwelijkheid/privacy => Maak de AVG praktisch door te benaderen vanuit IV AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 3
Medewerker AP: (ActiZdag #HuisOpOrde) Kern AVG: veel dezelfde uitgangspunten, rechten, verplichtingen en waarborgen als de Wbp Accenten / extra s AVG: verantwoordingsplicht! register, datalek, FG na mei 2018 PIA Maak de AVG niet groter dan het is! AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 4
AP: in 10 stappen voorbereid op AVG AP: 10 stappenplan AVG NEN 7510 Aanv. / extra 1 Bewustwording 2 Rechten betrokkenen 3 Overzicht verwerkingen 4 PIA 5 Privacy by design / default Samenvatting na afloop beschikbaar 6 FG 7 Meldplicht datalekken 8 VWO 10 Toestemming betrokkenen AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 5
AP: in 10 stappen voorbereid op AVG AVG - algemeen NEN 7510 Extra mb AVG Ipse De Bruggen Relatie AVG en NEN 7510: google GDPR ISO27k mapping Rijksoverheid: Handleiding AVG; vanuit perspectief Wetsvoorstel Uitvoeringswet AVG AVG in vogelvlucht; visualisatie op één A4 *) VGN: Factsheet AVG *) Website CIP-overheid: Grip op privacy Website AP: Regelhulp AVG Regiegroep Informatieveiligheid & Privacy, interne audits, teams kwaliteit en veiligheid, mystery guest onderzoek, security audit, regionale samenwerking *) te vinden op ActiZnetwerk #HuisOpOrde AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 6
AP: 10-stappenplan AVG Stap 1 Bewustwording NEN 7510 Extra mb AVG Ipse De Bruggen 7.2.2 alle medew periodiek informeren over informatieveiligheid Allen: aandacht privacy en datalekken Direct betrokkenen/beleidsmaker: informeren over AVG Diverse hulpmiddelen / toolkids leveranciers Zoek in YouTube op Privacywetgeving in de zorg e-l cursus Veilig omgaan met vertrouwelijke informatie Trainingen management en rolhouders, bewustwordingscampagne gouden regels, toolbox intranet. (==> waaronder e-learning) Centrale Clientenraad betrokken. Privacyverklaring onderhanden. Op basis daarvan informatiefolders AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 7
AVG en meer.... 1 - Bewustwording e-learningcursus Veilig omgaan met vertrouwelijke informatie Algemeen Vertrouwelijke cliëntgegevens Vertrouwelijke medewerkergegevens Meldt incidenten Mogelijke datalekken Veilig omgaan met wachtwoorden Veilig mail ontvangen; phising mail Veilig mailen op je werk en privé Zorggerelateerd Informatieverzoek derden Collegiale afstemming Sociale media en je werk Veilig omgaan met IT-middelen Werken buiten kantoor Wat te doen bij calamiteiten Inf. uitwisseling sociaal domein Wie is verantwoordelijk voor informatieveiligheid? AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 8
AP: 10-stappenplan AVG Stap 2 Rechten betrokkenen NEN 7510 Extra mbt AVG Ipse De Bruggen 18.1.4 Privacy en bescherming persoonsgegevens; recht op inzage, correctie en verwijdering Meer en verbeterde privacyrechten; nieuw is dataportabiliteit en klachten naar AP Model privacyreglement GGZ *) Website UMCGroningen: privacy statement Privacyverklaring en FAQ, Cliëntenportaal en ESS AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 9
AP: 10-stappenplan AVG Stap 3 Overzicht verwerkingen NEN 7510 Extra mb AVG Ipse De Bruggen 8.1.1 inventarisatie BM en 8.2.1 classificatie van informatie Wbp: melden bijzondere pers.geg. i.g.v. geen Vrijstelling Documentatieplicht; aantoonbaar handelen volgens AVG Niet melden; wel beschikbaar voor controle door AP Vele voorbeelden Register verwerkingen; ook op #HuisOpOrde NVZ: keuzelijsten; opzet vanuit Referentiedomeinen *) BBMCare: I&Cdoc tabel 1 Voor wat betreft uitwerking focus op zorgapplicaties, mede aan de hand van PIA's, generieke HRM verwerkingen, aansluiting op BBMCare, inclusief dataclassificatie. Tooling, ook voor ondersteuning dochterorganisaties AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 10
AP: 10-stappenplan AVG BBMCare I&C document + register verwerkingen Domein/proces Bedrijfsactiviteit verwerkingsdoeleinde Informatieobject Bedrijfsmiddel (instellingspecifiek) verschijningsvorm Classificatie BIV tbv typering risico s + verwerkingsgrondslag + betrokken personen + persoonsgegevens + bewaartermijnen etc AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 11
AP: 10-stappenplan AVG NEN 7510 - Extra mb AVG Ipse De Bruggen Stap 4 Privacy Impact Analyse Na mei 2018 tijdens ontwerpfase en alleen indien nodig... o.a. hoog privacyrisico in Verwerkingsregister ActiZ: Template Pia-light *) en vele andere zoals NVZ, Norea,.. Aanleiding voor een PIA oa classificatie privacy; zie BBMCare Nieuwe verwerkingen PIA's voor verwerkingen met hoog privacyrisico (vertrouwelijkheid = Hoog), voor wat betreft bestaande verwerkingen focus op zorgapplicaties. Tooling AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 12
AP: 10-stappenplan AVG Stap 5 -Privacy by design & by default NEN 7510 Extra mb AVG Ipse De Bruggen 6.1.5 Informatiebeveiliging in projectbeheer en aanbeveling Richtsnoeren Wbp 18.1.4 Privacy en bescherming pers.geg By design: vooral bij nwe ontwikkelingen / dienstverlening By default: alleen verwerking indien noodzakelijk - By design: In beleid verankerd; richtlijn dataclassificatie die aangeeft welke maatregelen bij welk beveiligingsniveau behoren By default: Meenemen in PIA, ontwerprichtlijnen AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 13
AP: 10-stappenplan AVG Stap 6 Functionaris gegevensbescherming NEN 7510 Extra mb AVG Ipse De Bruggen 6.1.1 aanspreekpunt IB gewenst; aanbeveling Richtsnoeren Wbp FG toezichthouder op naleving AVG FG houdt register verwerkingen bij FG op hoofdlijnen *) NVZ functieprofiel FG FG neemt deel aan Regiegroep, regionale samenwerking. Aansluiting brancheorganisatie. AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 14
AP: 10-stappenplan AVG Stap 7 Meldplicht datalekken NEN 7510 Extra mb AVG Ipse De Bruggen 16 Incidentbeheer aanbeveling versie 2013: informeer betrokkenen.. 2017 aanvulling Wbp meldplicht datalekken Meldplicht afgezwakt; accent eigen verantwoordelijkheid. Wel documenteren! AP Beleidsdocument Meldplicht datalekken Diverse protocollen beschikbaar via internet Procedure datalekken, melden incidenten bij servicedesk. Registratie in Topdesk ==> onderzoek tooling AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 15
AP: 10-stappenplan AVG Stap 8 - Verwerkersovereenkomst NEN 7510 Extra mb AVG Ipse De Bruggen 15.1.2: opnemen bev.aspecten in lev.overeenkomsten VWO als aanvulling op bestaande contracten + naleving! Zorgbreed BOZ-model VWO *) Div presentatie en toelichting BOZ *) VNG/IBD: Factsheet VWO (mbt sociaal domein) Hanteren BOZ-model. Knelpunt monopolie verschillende leveranciers. Veel onduidelijkheid over wanneer verwerkersovereenkomst nodig is. AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 16
AP: 10-stappenplan AVG Stap 10 Toestemming betrokkenen NEN 7510 Extra mb AVG Ipse De Bruggen 18.1.4 Privacy en bescherming van persoonsgegevens Nadrukkelijker regelen; vooral het intrekken van een toestemming Aandachtspunt vastleggen bijzondere persoonsgegevens. Toestemming in zorgplan. In privacyverklaring aandacht voor intrekken toestemming. Uitdaging verwerking in systemen AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 17
AP: in 10 stappen voorbereid op AVG AP: 10 stappenplan AVG Extra inspanning mbt AVG 1 Bewustwording doorlopend + 2 Rechten betrokkenen ++ 3 Overzicht verwerkingen doorlopend + 4 PIA eventueel later +++ 5 Privacy by design / default effect! + 6 FG 7 Meldplicht datalekken 8 VWO + 10 Toestemming betrokkenen ++ AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 18
AVG en meer... Maak AVG praktisch door privacy te benaderen vanuit informatieveiligheid Maak AVG niet groter dan het is! privacy-aspecten hier en daar aanscherpen (vooral in het begin en naast de extra s) AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 19
AVG en meer.... geen privacy zonder informatieveiligheid Theater -7 Powered by ActiZ Woensdag 18 april 15:00 Peter van der Zwan peter.van.der.zwan@ipsedebruggen.nl en Douwe de Jong info@caresecure.nl AVG en meer... Zorg & ICT 2018 - Powered by ActiZ 20