COT EN MINIMALE VOORWAARDEN

Vergelijkbare documenten
IT VEILIGHEID VOOR NIET ICT-ERS

INLEIDING INFORMATIEVEILIGHEID

Informatieveiligheid ewzc

Opleidingssessies informatieveiligheid

Relatiebeheer en consentmanagement. Beheer van therapeutische relatie en toestemmingen

Mei 18 INLEIDING INFORMATIEVEILIGHEID. Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra

DAG 4 INCIDENTEN EN CONTINUITEIT

Dokter, dokter, wat is er met mijn privacy? Verwerken van persoonsgegevens in de zorg

Voorbeeld van een veiligheidsbeleid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

Dokter, dokter, wat is er met mijn privacy? 8 tips. Verwerken van persoonsgegevens in de zorg

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Project E-WZC-PADO5 e-woonzorglink. studiedag BelRAI instrument

E-health in Gent E-health en privacy wetgeving in de praktijk

De toekomst van zorg is digitaal

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Gezondheid"

Informatieveiligheidscomité Kamer sociale zekerheid en gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Symposium Flanders Care Gegevens delen in de zorg = betere zorg

Pillen in the cloud. De informatie in deze opleiding is actueel in maart 2017

Identiteits- en toegangsbeheer

PILOOTPROJECT BELRAISCREENER VVSG Mechelen,

GDPR & JURIDISCHE ASPECTEN ROND GEGEVENSDELING IN DE ZORG

Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014

Het team dat u zal begeleiden

Informatieveiligheidsconsulent. 23 sept 2014 Gent

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Gezondheid"

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Gezondheid"

Project E-WZC-PADO5 e-woonzorglink. Communicatiedag 21 juni 2016 BelRAI instrument

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Informatieveiligheid, de praktische aanpak

NOTA AAN DE VLAAMSE REGERING

VLAAMS AGENTSCHAP VOOR PERSONEN MET EEN HANDICAP

GDPR. To panic or not to panic?

Gelet op de aanvraag van het Belgische Rode Kruis ontvangen op 11/10/2011;

Brussel, COMMISSIE VOOR DE BESCHERMING VAN DE PERSOONLIJKE LEVENSSFEER BERAADSLAGING Nr 02 / 2004 van 15 maart 2004

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Decreet betreffende de organisatie van het netwerk voor de gegevensdeling tussen de actoren in de zorg. link website FC

Sectoraal comité van het Rijksregister en sectoraal comité van de sociale zekerheid en van de gezondheid

ANALYSE VAN DE NODEN EN PRIORITEITEN OP VLAK VAN INFORMATISERING VOOR DE VLAAMSE WOONZORGCENTRA

Overheidscommunicatie en privacy

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Nota betreffende de geïnformeerde toestemming in het hub & metahub-project

Gelet op de bijzondere wet van 8 augustus 1980 tot hervorming der instellingen, in het bijzonder artikel 5, 1 en 92bis;

1. Algemeen In deze Verwerkersovereenkomst wordt verstaan onder:

Privacyverklaring van Horizon Educatief met betrekking tot verwerking van persoonsgegevens

Nota betreffende de geïnformeerde toestemming in het hub & metahub-project 1

MODEL HUISHOUDELIJK REGLEMENT OMBUDSFUNCTIE

Nota betreffende de geïnformeerde toestemming in het hub & metahub-project

GDPR. een stand van zaken

Betreft: aanvraag van het Vlaams Agentschap Zorg en Gezondheid tot uitbreiding van beraadslagingen nrs. 36/2008 en 01/2009 (RN/MA/2011/303)

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Handleiding voor een procedure voor gegevensbescherming

Gelet op de aanvraag van de FOD Mobiliteit en Vervoer ontvangen op 14/07/2011; Gelet op de bijkomende informatie ontvangen op 20 oktober 2011;

Beraadslaging VTC nr. 16/2016 van 30 maart 2016

Huishoudelijk reglement van de Commissie voor de bescherming van de persoonlijke levenssfeer van 26 juni 2003 (reglement CBPL) 17

Informatiebrochure: E-health Cozo AZ Sint-Maria Halle vzw

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Vitalink. Concept en stand van zaken 19/11/2011

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Gelet op de aanvraag van het intern verzelfstandigd agentschap met rechtspersoonlijkheid Kind en Gezin ontvangen op 04/02/2011;

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

EHEALTHCONSENT: INFORMATIE & HANDLEIDING

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale zekerheid»

Informatieveiligheid. Verwerken van persoonsgegevens in de zorg

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Aanvragen van een machtiging bij het Sectoraal comité voor de Federale Overheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

1. De Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer (hierna: "VTC");

PRIVACY REGLEMENT PSYCHIATRISCH CENTRUM SINT-HIËRONYMUS

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

Privacyverklaring. Stad Roeselare

Op het einde van elke module zal er een evaluatie gevraagd worden om bijsturing waar nodig en mogelijk toe te laten.

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Gezondheid"

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

BASISBEGINSELEN PRIVACY EN GEZONDHEIDSZORG. Opleiding Veiligheidsconsulenten BelRAI

MODEL VAN OVEREENKOMST TUSSEN DE APOTHEKER TITULARIS (VERANTWOORDELIJKE VOOR DE VERWERKING) EN DE VZW FARMAFLUX (VERWERKER)

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling Sociale Zekerheid

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling "Gezondheid"

8 JULI Koninklijk besluit houdende vaststelling van de voorwaarden waaraan de ombudsfunctie in de ziekenhuizen moet voldoen

Gelet op de aanvraag van het Agentschap Inspectie RWO ontvangen op 12/09/2011;

van de verwerking van persoonsgegevens (hierna WVP), inzonderheid artikel 31bis;

Gegevensverzameling en gegevensverwerking

Het Sectoraal comité van het Rijksregister, (hierna "het Comité");

Gelet op de aanvraag van het Agentschap voor Binnenlands Bestuur ontvangen op 24/02/2012; Gelet op de bijkomende informatie ontvangen op 22/03/2012;

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Sociale Zekerheid»

Algemene begrippen AVG

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

PRIVACYVERKLARING STAD HALEN - OCMW HALEN

Transcriptie:

///////////////////////////////////////// COT EN MINIMALE VOORWAARDEN Opleidingsdag informatieveiligheid dag 2: Toetreden tot een COT Versie 12 april /////////////////////////////////////////

PETER BERGHMANS ///////////////////////////////////////// Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact peter@whitewire.be 0475951516 Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute https://be.linkedin.com/in/peter-berghmans-96841241 ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 2

///////////////////////////////////////// OVERZICHT VAN DE OPLEIDINGSDELEN Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

DE SESSIES - OVERZICHT ///////////////////////////////////////// ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 4

SESSIE 1: INLEIDING INFORMATIEVEILIGHEID ///////////////////////////////////////// Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/ AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 5

SESSIE 2: COT EN MINIMALE VOORWAARDEN ///////////////////////////////////////// Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 6

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 7

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 8

DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT ///////////////////////////////////////// Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 9

DEEL 5: WRAP UP: EEN STAP VERDER ///////////////////////////////////////// Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 10

PRAKTISCHE AFSPRAKEN ///////////////////////////////////////// > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > Slides: check steeds versiedatum! > In de presentatie staan hyperlinks Onderlijnde woorden Figuren ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 11

///////////////////////////////////////// INLEIDING DAG 2 Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

GDPR OF AVG: UPDATES ///////////////////////////////////////// > Hervorming van de Privacycommissie: De Gegevensbeschermingsauthoriteit ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 13

///////////////////////////////////////// DE UITWISSELING VAN GEZONDHEIDSGEGEVENS Machtigingen en COT als basisvoorwaarde voor de uitwisseling van gezondheidsgegevens /////////////////////////////////////////

VERWERKEN VAN GEZONDHEIDSGEGEVENS ///////////////////////////////////////// > Stap 1: Persoonsgegevens en verantwoordelijkheden > Stap 2: Rechtmatigheid van de verwerking Gezondheidsgegevens? > Stap 3: Kwaliteitsvereisten van de verwerking > Stap 4: Rechten van de betrokkene > Stap 5: Verplichtingen van de verantwoordelijke (&verwerker) ///////////////////////////////////////// 15

NIET BIJ BETROKKENE VERZAMELD? (art 7 WVP) ///////////////////////////////////////// > De voorwaarden zijn: Vb 13 DECEMBER 2006. - Wet houdende diverse bepalingen betreffende gezondheid. - Principiële machtiging van het sectoraal comité van de sociale zekerheid en gezondheid behalve indien: > de mededeling gebeurt tussen beroepsbeoefenaars in de gezondheidszorg die door het beroepsgeheim gebonden zijn en persoonlijk betrokken > er een wettelijke grond is > Onder toezicht van een beroepsbeoefenaar ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 16

ONDERSCHEID TUSSEN 1op1 EN 1opMEER ///////////////////////////////////////// > Vb bestelling medicatie WZC en apotheek via ehealth box? Apotheek: niet rechtstreeks bij patiënt verkregen Communicatie tussen beroepsbeoefenaars die persoonlijk betrokken zijn - Geen machtiging vereist - Geen afgedwongen juridische en technische elementen (bovenop algemene bepalingen wetgeving gegevensbescherming) > Vb medicatieschema delen via Vitalink Apotheek: niet rechtstreeks bij patiënt verkregen Geen communicatie tussen beroepsbeoefenaars die persoonlijk betrokken zijn - Machtiging vereist - Machtiging kan specifieke voorwaarden opleggen (vb Circle of Trust voor organisaties) ///////////////////////////////////////// 17

TOELICHTING BIJ DE WERKING SECTORAAL COMITÉ ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 18

VOORBEELDEN: BELRAI/VITALINK ///////////////////////////////////////// > Een uitwisseling van gezondheidsgegevens met Belrai is gemachtigd door het Sectoraal Comité Sociale Zekerheid afdeling gezondheid > idem voor Vitalink > Machtigingen stellen voorwaarden aan het delen van zorggegevens tussen zorgorganisaties = voorwaarden voor Circle of Trust (CoT) ///////////////////////////////////////// 19

///////////////////////////////////////// WAT IS EEN CIRCLE OF TRUST? Toegang voor organisaties /////////////////////////////////////////

WAT IS DAN EEN COT? ///////////////////////////////////////// > Geheel aan garanties voor een veilige verwerking van persoonsgegevens door alle deelnemende organisaties. > Het niveau van te nemen maatregelen hangt af van de context en aard van te verwerken gegevens en de concrete modaliteiten van de gegevensverwerking > De voorwaarden zijn terug te vinden in de machtigingen en worden bewaakt ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 21

WAT BETEKENT DIT IN PRAKTIJK? ///////////////////////////////////////// > Je dient een aanvraag tot toetreding tot een COT in te vullen (cfr een contract) & checklist Belrai Vitalink ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 22

VITALINK? ///////////////////////////////////////// > Vitalink organiseert het Samenwerkingsplatform Eerstelijnsgezondheidszorg binnen de Vlaamse Gemeenschap een platform voor het elektronisch delen, meedelen of uitwisselen van gegevens tussen actoren in de zorg en met de zorggebruiker (patiënt). > Het Samenwerkingsplatform Eerstelijnsgezondheidszorg is opgericht bij besluit van de Vlaamse Regering op 9 september 2011 > Beraadslaging Nr. 12/046 met betrekking tot de uitwisseling van gezondheidsgegevens via het Vitalink platform. ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 23

WAT LEGT BERAADSLAGING 12/046 OP? ///////////////////////////////////////// > Algemeen (randnummer 17 en 18): Overeenkomst tussen Vitalink en organisaties met als doel de principes van een Circle of Trust vast te leggen (i.e. garanties bieden voor het bestaan therapeutische relatie) Checklist die deze zorgvoorziening zal worden ingevuld (randnummer 19) Uitzondering: Ziekenhuizen/HUBs > Overeenkomst bevat: Rechten van de patiënt de wettelijke en reglementaire bepalingen met betrekking tot de uitoefening van de geneeskunde of aan het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer; aanwijzen veiligheidsconsulent, overeenkomstig artikelen 8, 2, en 10 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen; opstellen van een veiligheidsbeleid - overeenkomstig artikel 10 van het besluit van de Vlaamse Regering van 15 mei 2009 betreffende de veiligheidsconsulenten - vermeld in artikel 9 van het decreet van 18 juli 2008 betreffende het elektronische bestuurlijke gegevensverkeer. ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 24

WAT LEGT BERAADSLAGING 12/046 OP? ///////////////////////////////////////// > Algemeen: Overeenkomst tussen Vitalink en organisaties voor bestaan therapeutische relatie Checklist die deze zorgvoorziening zal dienen in te vullen Uitzondering: Ziekenhuizen/HUBs > Checklist: Conformiteit met regelgeving en machtigingen Toegang tot de diensten van het ehealth- platform Garanties op het gebied van - informatieveiligheidsbeleid - logische toegangsbeveiliging - procedures voor het beheer van therapeutische en zorgrelaties - klachtenprocedures - de interne organisatie van de voorzieningen - opleidingen ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 25

EN IN DE MACHTIGING ///////////////////////////////////////// > Zorgorganisaties met een organisatiecertificaat Op basis van COT voorwaarden > De zorginstellingen die toegelaten worden tot de circle of trust van Vitalink hebben eveneens toegang tot de circle of trust van BelRAI > Het Sectoraal comité gaat ermee akkoord als De zorgorganisaties dienen te voldoen aan de minimale veiligheidsnormen moeten over best practices beschikken om hogere veiligheidsdoelstellingen te bereiken risicoanalyse worden uitgevoerd waarna de nodige maatregelen moeten worden genomen om de risico s te beheersen. ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 26

IN PRAKTIJK: WAT VRAAGT VITALINK? ///////////////////////////////////////// Voorwaarde Vitalink In lijn met regelgeving In lijn met de machtigingen Toetreding tot ehealth Veiligheidsbeleid/-plan/-consulent Voorwaarden voor cloud toepassingen Logische toegangsbeveiliging Geïnformeerde toestemming Therapeutische/zorgrelatie Klachtenrecht SPOC technische problemen Hoe operationeel maken? Opnemen voorwaarden veiligheidsbeleid Opnemen van relevante machtigingen in het veiligheidsbeleid en monitoring ervan Aanvragen van certificaten (zie verder) Infra Infra Infra Infra Infra Ombudsfunctie Veiligheidsbeleid ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 27

SAMENGEVAT: WAT ZIJN DE VOORWAARDEN? ///////////////////////////////////////// > Veiligheidsbeleid (kan je publiek maken) > Veiligheidsplan (jaarlijkse rapportage) > Veiligheidsconsulent (organigram) 1. Beheer van therapeutische relatie en toestemming 2. identiteits- en rollenbeheer (toegangsbeheer) 3. Logging van de activiteiten en klachtenrecht 4. Overeenkomst met verwerkers (incl. Cloud) 5. Bewustwording ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 28

///////////////////////////////////////// THERAPEUTISCHE RELATIE EN TOESTEMMING Thema 1: Beheer van therapeutische relatie en geïnformeerde toestemming /////////////////////////////////////////

///////////////////////////////////////// THERAPEUTISCHE RELATIE /////////////////////////////////////////

///////////////////////////////////////// ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 31

HERVORMING KB 78 ///////////////////////////////////////// > Gezondheidszorg zal worden omschreven als: > diensten met een diagnostisch of therapeutisch doel verstrekt aan een patiënt, inclusief het daarbij individueel begeleiden van de patiënt; > diensten zonder diagnostisch of therapeutisch doel aan een patiënt waartoe een gezondheidszorgbeoefenaar exclusief bevoegd is; ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 32

THERAPEUTISCHE RELATIE: DEFINITIE? ///////////////////////////////////////// > Beperking in de regelgeving voor het verwerken van gezondheidsgegevens: Is in principe verboden, tenzij een geldige toelaatbaarheidsgrond is o.a. - preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene > Extra voorwaarde: onder toezicht beroepsbeoefenaar in de gezondheidszorg - indien de betrokkene zijn schriftelijke toestemming heeft verleend - verdediging van vitale belangen van de betrokkene In een aantal van gevallen zal de toelaatbaarheidsgrond het bestaan van een bijzondere relatie tussen de verantwoordelijke van de verwerking en de betrokkene vereisen, meer bepaald de relatie in het kader van de verstrekking van de (al dan niet medische) zorgen. ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 33

BEWIJSMIDDELEN THERAPEUTISCHE RELATIE? ///////////////////////////////////////// > Algemeen eid bij toedienen zorgen Niet specifieke gegevensbank - vb e-zorgplan Specifieke gegevensbanken - vb therapeutic link > Ziekenhuis Inschrijving eid kaart inlezen > Huisarts/geneesheer buiten zh GMD houder lezen eid Zorgtraject Inschrijving medisch huis > Apotheker ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 34

TODO ///////////////////////////////////////// > Opnemen van het bewijs voor therapeutische relatie in het veiligheidsbeleid > Aandacht voor break-the-glass mechanismen ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 35

///////////////////////////////////////// GEÏNFORMEERDE TOESTEMMING /////////////////////////////////////////

ALS ZORGVRAGER (ZELF) ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 37

ALS ZORGVERLENER ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 38

OPMAKEN VAN THERAPEUTISCHE RELATIE ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 39

REGISTRATIE VAN EEN TOESTEMMING ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 40

REGISTRATIE VAN TOESTEMMING ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 41

OOK: REGISTRATIE THERAPEUTISCHE RELATIE ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 42

KAN OOK: THERAPEUTISCHE RELATIE ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 43

MANAGEMENT THERAPEUTISCHE RELATIE ///////////////////////////////////////// ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 44

TODO ///////////////////////////////////////// > Opnemen van het beheer van toestemmingen In het veiligheidsbeleid (algemene principes) In een operationele procedure Inclusief het geven en het beheer van de toestemmingen Ook eventuele andere toestemmingen ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 45

///////////////////////////////////////// IDENTITEITS- EN ROLLENBEHEER Thema 2: Een antwoord op de vraag wie toegang heeft tot gezondheidsgegevens en tot welke type van gegevens /////////////////////////////////////////

///////////////////////////////////////// IDENTITEITSBEHEER /////////////////////////////////////////

DOELSTELLING VAN IDENTITEITSBEHEER ///////////////////////////////////////// > Hoe krijgt een gebruiker zijn/haar identiteit toegewezen? > Hoe worden de bijhorende bewijzen aangeleverd? Wachtwoord Een toestel van de zorgvoorziening > Zijn er verstrengde bewijzen noodzakelijk Toegang tot gegevens in het woonzorgcentrum Toegang tot gegevens buiten het woonzorgcentrum (vb extra code) > Wordt een identiteit gekoppeld aan een hoedanigheid? > Hoe wordt een identiteit tijdelijk uitgeschakeld? > Hoe wordt een identiteit permanent uitgeschakeld? > Kan een identiteit worden overgenomen? ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 48

TODO ///////////////////////////////////////// > Procedure voor beheer van identiteiten In het veiligheidsbeleid (algemene principes) In een operationele procedure ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 49

///////////////////////////////////////// TOEGANGSBEHEER /////////////////////////////////////////

DOELSTELLING VAN TOEGANGSBEHEER ///////////////////////////////////////// > Uitgaan van een classificatiemodel > Vraag: wat is een mogelijk classificatiemodel? > Bepalen wie (rol) toegang krijgt tot een informatieobject Toegangsmatrics > Wie is verantwoordelijk voor de matrics? (verantwoordelijke) > Wie past de matrics toe? (beheerder) > Wat is de validatieprocedure bij wijzigingen? Aandacht voor cumulatie van rollen! ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 51

TODO ///////////////////////////////////////// > Procedure voor beheer van rollen In het veiligheidsbeleid (algemene principes) In een operationele procedure > Neem ook geprivilegieerde rollen mee in beeld! ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 52

///////////////////////////////////////// LOGGING EN KLACHTENRECHT Wie heeft welke actie uitgevoerd? /////////////////////////////////////////

DOELSTELLING VAN LOGGING ///////////////////////////////////////// > Een procedure geeft een antwoord op: Waar staat de logging? Wat wordt gelogd? Hoe lang worden deze logs bewaard? Hoe zijn deze beschermd (ICT) Wie controleert de logging en op welke manier? Wat zijn eventuele sancties bij anomalieën? Inzage in de logging door de zorgvrager? ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 54

KLACHTENRECHT ///////////////////////////////////////// > De ombudsfunctie heeft volgende opdrachten: Het voorkomen van vragen en klachten door de communicatie Het bemiddelen bij klachten Het inlichten van de patiënt over mogelijkheden voor de afhandeling van zijn klacht als er geen oplossing wordt bereikt Het verstrekken van informatie over de organisatie, de werking en de procedureregels van de ombudsfunctie Het formuleren van aanbevelingen om herhaling te voorkomen van tekortkomingen die aanleidingen kunnen geven tot een klacht > Verordening: ook de DPO/veiligheidsconsulent? ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 55

TODO ///////////////////////////////////////// > Procedure voor beheer van logging In het veiligheidsbeleid (algemene principes) In een operationele procedure > Inzage in de logging en sancties in het arbeidsreglement > Controle van de ombudsfunctie ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 56

///////////////////////////////////////// OVEREENKOMST MET VERWERKERS & CLOUD Thema 4 /////////////////////////////////////////

DOELSTELLING OMGANG MET VERWERKERS ///////////////////////////////////////// > Afspraken over wat er met de persoonsgegevens mag gebeuren > Afspraken over de te nemen organisatorische en technische maatregelen > Specifieke aandacht voor cloud leveranciers ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 58

TODO ///////////////////////////////////////// > Opstellen van een verwerkersovereenkomst > Opstellen van een afsprakennota informatieveiligheid > SMALS cloud tool ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 59

///////////////////////////////////////// BEWUSTWORDING Zorgen voor een bewuste omgang met persoonsgegevens /////////////////////////////////////////

DOELSTELLING OMGANG MET VERWERKERS ///////////////////////////////////////// > Voeren van een awarenesscampagne > Met oog voor gegevensdeling > Eventueel: meten van het effect ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 61

///////////////////////////////////////// AANVRAAG VAN CERTIFICATEN ehealth certificaten /////////////////////////////////////////

1 OP 1 UITWISSELING ///////////////////////////////////////// Persoonlijk Certificate.p12 Persoonlijk Certificate.p12 - Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op - Bewijst wie je bent - Bewijst hoedanigheid - Bouwt de veilige communicatie op ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 63

1 OP 1 UITWISSELING MET ZORGORGANISATIE ///////////////////////////////////////// Persoonlijk Certificate.p12 zorgorganisatie Certificate.p12 - Bewijst wie je bent - Bouwt de veilige communicatie op ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 64

1 OP MEER ///////////////////////////////////////// UZ Gent - COZO AZ Sint Lucas Gent ///////////////////////////////////////// 11.04.2017 Agentschap Zorg en Gezondheid 65

///////////////////////////////////////// TODO S NA OPLEIDINGSDAG 2 Voorwaarden voor COT /////////////////////////////////////////

SAMENGEVAT: WAT ZIJN DE VOORWAARDEN? ///////////////////////////////////////// > Veiligheidsbeleid (Update) > Nodige procedures voor: 1. Beheer van therapeutische relatie en toestemming 2. identiteits- en rollenbeheer (toegangsbeheer) 3. Logging van de activiteiten en klachtenrecht 4. Overeenkomst met verwerkers (incl. Cloud) 5. Bewustwording ///////////////////////////////////////// 12.04.2017 Agentschap Zorg en Gezondheid 67

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback