Information Security Management System ISMS ISO 27001 / NEN 7510
Uw (digitale) Informatie beveiligen 2
Uw (digitale) Informatie beveiligen Belang van uw patiënten Bescherming van uw onderneming Wettelijke plicht: Eisen van ketenpartners Vecozo, eisen voor aansluitcontract Ministerie VWS (IGZ) Zorgverzekeraars (via Vecozo) Wet Meldplicht Datalekken (jan. 2016) 3600 meldingen Bescherming tegen Ransomware Komt veel voor op dit moment 3
Wetgeving Wet Bescherming Persoonsgegevens WOP 2001 Alleen voor bepaald gerechtvaardigd doel Patiënt moet op de hoogte zijn: wie bewaart en waarom en wie de gegevens inziet. Passend dossier en passende beveiliging Verwerking melden bij Autoriteit Persoonsgegevens Algemene bewaarplicht 15 jaar Passende technische en organisatorische maatregelen ter beveiliging Boetes tussen 200.000 en 820.000 (Bestuurlijke boetes) 4
Wetgeving Wet Bescherming Persoonsgegevens Mogelijkheid Functionaris Gegevensbescherming (FG) Hierbij stelt de Autoriteit zich terughoudend op Die stellen we in namens de deelnemende Tandartsen groep Passende technische en organisatorische maatregelen Passend dossier en passende beveiliging 5
Wetgeving Wet WGBO (Geneeskundige Behandelovereenkomst) Medisch beroepsgeheim Geheimhouding gegevens Dossierplicht Samenstelling dossier (welke gegevens wel en welke niet) Behandelaar is verantwoordelijk Inzagerecht patiënt 6
Wetgeving Wet Melding Datalekken 1 januari 2016 Direct melding bij ernstig datalek Toegang, wijziging, vrijkomen van persoonsgegevens zonder bedoeling van beheerder Verlies of onrechtmatige verwerking Autoriteit Persoonsgegevens (loket) Behandelaar is verantwoordelijk USB stick kwijt, laptop gestolen, server gehackt, ransomware Beveiligingsmaatregelen verplicht 7
Normen DataSafety ISO 27001- Informatiebeveiliging Internationaal, basis voor alle andere normen NEN 7510- Nederlandse norm Informatiebeveiliging in de zorg- voor alle soorten zorg een aparte norm gemaakt. Kwaliteit algemeen ISO 9001 kwaliteitszorg Internationaal, algemeen voor ieder proces toepasbaar. Behandelkwaliteit zorg (bijvoorbeeld) HKZ kwaliteitszorg algemeen Behandelkwaliteit zorg (bijvoorbeeld) 8
helpen en en samen: Innovatief Ontzorgen: Voldoen aan de wetten & informatie beveiligen: Gezamenlijke aanpak excellente oplossing lage prijs Juristen en IT kennis altijd ter ondersteuning 9
Samenvatten Belangen van uw patiënten en uw werk Belang van uw eigen werk Wet Bescherming Persoonsgegevens Wet WGBO Wet melding datalekken Eisen VECOZO contract Maatregelen tegen Ransomware, dataverlies, hacking Gezamenlijke aanpak excellente oplossing lage prijs Juristen en IT kennis altijd ter ondersteuning Vragen of opmerkingen? 10
Informatie beveiliging ISO 27001 Uitwisseling van gegevens gebeurt wereldwijd - ISO normen zijn wereldwijd geaccepteerd en gebruikt 11
Nuttige vragen? Goede vragen goede oplossingen Is er een geheimhoudingsverklaring opgenomen in alle arbeidscontracten? Is er een geheimhoudingsverklaring getekend door alle leveranciers / vrijwilligers? Staat de server achter slot en grendel? Wie kan er bij de (online-) Back-Up? Is uw Online Back-Up aanbieder wel goed beveiligd? Liggen USB-schijven, tapes of andere gegevensdragers achter slot en grendel? Wie kan er bij de patiëntgegevens? Hoe communiceert u patiëntgegevens naar buiten? Zijn er goede wachtwoorden in gebruik en worden deze periodiek gewijzigd? Is het tele- of thuiswerken goed beveiligd? Is het (draadloze-) netwerk goed beveiligd? etc 12
De aanpak naar beveiliging Risico analyse Minder eisen bij kleine praktijk Procedure vastleggen (ISMS) Wordt voor u gedaan door Waveland Procedures toepassen Interne audits uitvoeren U wordt daarbij geholpen door Waveland Externe Audit Door ECB auditors uitgevoerd, basis steekproeven ECB Certificaat ISO 27001 voor uw praktijk Vertrouwen naar uw buitenwereld U voldoet aantoonbaar aan wettelijke en contractuele eisen 13
Waveland datamodel NEN-ISO 2082 Functionele eisen Metadata Standard ISO 23081 Retain Data & Dispose Data Accounting Governance Regulations Privacy legislation Digital Data NEN 2082 Sarbanes Oxley Access control Contractual obligations Encryption Of Data Email storage
Aanpakken Gezamenlijke aanpak ontwikkeld ISMS afgestemd op Tandartsen praktijk (EENVOUD!!) Aanbod samen met uw pakket leverancier Technische en organisatorische maatregelen ter beveiliging Kosten laag houden oplossing op hoog niveau Digitale communicatie met Waveland en ECB Aansluitnummer Toegang tot eigen gegevens ISMS Gezamenlijke trainingen Leren van elkaar Ondersteuning bij incidenten Ondersteuning en antwoorden bij vragen overheid of patiënten etc. 15
Hoe Deelnemen Praktijk aanmelden (digitaal) Bijdrage voldoen = handtekening Jaarlijkse audit bijdrage en onderhoud systeem Na aanmelden: ISMS handboek wordt beschikbaar gemaakt Aanpassingen ISMS handboek / aanpassen aan individuele situatie Interne audit (door medewerkers) op de praktijk Digitale Audit door ECB op de praktijk (digitaal en steekproeven Tandartspraktijk krijgt ECB Certificaat ISO 27001 Informatiebeveiliging Muurschildje 16
ISO 27001 Certificaat Via APP, en site Uw Praktijk ISMS handboek geïndividualiseerd Aansluit code Interne audits verslagen Trainingen Externe audits (steekproeven) en op afstand Management reviews DataSafety Updates ISO 27001 certificaat Updates van: Techniek DataSafety Wetgeving 17
Samenwerking met Certificeringsbureau DataSafety ISO 27001 18