iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.- o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo..iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioi iioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii. oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oii ioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+ o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.i ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oi -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.o io-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi i..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oii o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.i ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+i ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo. oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi.io ioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioii ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio iioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio iioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiio i.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oio ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio iioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiio.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioi ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi. -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi i ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiio ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio o-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii..iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+..iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi. oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio iioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.- i..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oio o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii ioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi iioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. ioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.o ioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-o i-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+ ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio o-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii..iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+..iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi. oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi RISICO S VAN ALLE oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii KANTEN ioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiio.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.o oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oio ioii.oioiiioi-+i.-+.oioi-oi.io BDO ioi.oiioioiioio-+ii.oiioii.oioiiioi ZORG oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.o ioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oio.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iioio+ ioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioi io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio ioiioio-+ii.oiioii.oioiiioi INFORMATIE ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio +.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+o oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioioioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi BEVEILIGINGS ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio SCAN 2015 oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio iioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.- oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiio.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oio ioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioio oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio- i-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiio -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oio o+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo
2 inhoud 3 voorwoord. i i i INHOUD DE TIJD DRINGT 3 4 6 Voorwoord De belangrijkste uitkomsten Aanleiding: de Europese privacyverordening Voor het eerst in haar bestaan heeft de BDO Branchegroep Zorg een sectorbrede informatiebeveiligingsscan gehouden, naast de reeds bekende scans en benchmarks. De aanleiding is helder: binnen de zorg neemt IT een steeds grotere rol in. Specifiek informatiebeveiliging is de laatste jaren, zeker in de zorgsector, een hot topic. De desbetreffende wet- en regelgeving wordt steeds meer aangescherpt en datalekken staan in de nadrukkelijke belangstelling van de media en de samenleving. Iedereen onderkent de noodzaak van informatiebeveiliging, en veel zorginstellingen hebben daarvoor ook al maatregelen getroffen. Maar hoe groter en complexer de instelling, des te lastiger het blijkt om in control te zijn en te blijven. Hoe groter en complexer de instelling, des te lastiger het blijkt om in control te zijn. De BDO InformatieBeveiligingsScan is ingestoken vanuit een strategisch, 8 Aanpak van het onderzoek tactisch en operationeel perspectief. In totaal zijn 27 actuele en toekomstig relevante vragen geformuleerd ten aanzien van informatiebeveiliging, en deze zijn beantwoord door respondenten binnen de verschillende zorgsectoren. Dit rapport vat de uitkomsten van het onderzoek voor u samen. En het moet 10 12 Onderzoeksresultaten - Algemeen Onderzoeksresultaten - Strategisch worden gezegd: op bepaalde onderdelen is de stand van zaken goed en zijn er constructieve maatregelen getroffen om de informatiebeveiliging te borgen. Dit betreft vooral IT-gerelateerde maatregelen. Maar de overall-stand van zaken betreffende de borging van informatiebeveiling binnen de organisaties en de voorbereiding op aankomende wet- en regelgeving baart ons zorgen. Ten eerste blijkt dat slechts een geringe meerderheid (50%) van de instellingen aangeeft kennis te hebben van de aankomende Europese privacyverordening, en niet meer dan 38% kent de Meldplicht datalekken. Frank van der Lee Informatiebeveiliging binnen organisaties is een kerntaak van bestuurders en 18 22 Onderzoeksresultaten - Tactisch Onderzoeksresultaten - Operationeel directie. Bij de helft van de respondenten zien wij dit terug. Maar veel te vaak is informatiebeveiliging nog slechts het domein van IT-maatregelen. Hiermee lopen organisaties risico's, want ze voldoen zo niet aan wet- en regelgeving. Dit alles betekent dat er nog veel werk moet worden verricht om in control te zijn, terwijl de tijd dringt. De wet Meldplicht datalekken is inmiddels op 26 mei 2015 door de Eerste Kamer aangenomen. Er is met andere woorden al sprake van een achterstand, terwijl inventarisatie, selectie en implementatie van maatregelen in de meeste gevallen minimaal een jaar kost. Robert van Vianen Wij hopen dat het rapport bestuurders in de zorg en andere betrokkenen inspireert en aanspoort om positief-kritisch te kijken naar hun eigen organisatie. 26 De BDO Branchegroep Zorg Wij wensen u veel leesplezier en veel wijsheid en doorzettingsvermogen toe in de uitdagende tijd die voor de zorgsector in het verschiet ligt. Onderzoekers BDO Branchegroep Zorg www.twitter.com/bdozorg Julien Spronck
4 5 DE BELANGRIJKSTE UITKOMSTEN ZORGSECTOR ONDERSCHAT STRENGERE DATAREGELS 38% 40% Goede informatiebeveiliging is cruciaal, want de sancties op onzorgvuldig handelen zijn straks enorm. Zorginstellingen in Nederland blijken niet klaar voor de nieuwe, aangescherpte regels rond informatiebeveiliging. Maar liefst 62% kent de nieuwe Meldplicht datalekken (nog) niet en 60% is onbekend met de Europese privacyverordening. Het is hoog tijd dat de zorgsector alle privacygevoelige (patiënten)data veilig vergrendelt. 49% 35% - NEE 7% - Onbekend 6% - Onbekend Kennis van de Europese privacyverordening? Sancties Informatiebeveiligingsbeleid geformuleerd en ingevoerd (alle sectoren) Kennis van de Meldplicht datalekken? 5% Aangescherpte Meldplicht datalekken: Boetes van 810.000 tot 10% van de omzet Informatiebeveiliging in de portefeuille 10% Europese privacyverordening: Boete maximaal 100 miljoen of 5% van de omzet Slechts 38% kent de Meldplicht datalekken 62% kent de Meldplicht niet! Slechts 40% kent de Europese privacyverordening 60% kent de privacyverordening niet! 49% Minder dan de helft van de raden van bestuur en directies van zorginstellingen heeft informatiebeveiliging zélf in de portefeuille. 44% laat het over aan de IT-afdeling. Gevaarlijk, want IT is slechts één van de instrumenten voor informatiebeveiliging. Tip: zorgbestuurders, zorg dat u in control bent van uw informatiebeveiliging. Laat ook uw belangrijkste factor uw medewerkers hier een prominente rol in spelen. 62% 60% 15% - WORDT AAN GEWERKT 44% - JA 44% 1 2 3 4 5 WELKE SECTOREN ZIJN HET VERST? Heeft u al informatiebeveiligingsbeleid geformuleerd én ingevoerd? Eerstelijn GHZ VVT Jeugdzorg Overig* Ja Wordt aan gewerkt Nee * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën. Onbekend
6 7 Toelichting. i i i Als de nieuwe privacyverordening in 2016 wordt goedgekeurd, geldt deze in heel de Europese Unie, dus ook in Nederland AANLEIDING VOOR DIT ONDERZOEK: De Europese privacy verordening Het vakgebied informatiebeveiliging heeft binnen de zorgsector de afgelopen decennia een grote vlucht genomen. Dat hangt nauw samen met het voortdurend toenemende belang van geautomatiseerde gegevensverwerking en de daarmee gepaard gaande risico s voor een integere, vertrouwelijke en ongestoorde informatievoorziening. Privacy, cybersecurity en fysieke beveiliging zijn alledaagse zaken voor de zorginstellingen en vormen integrale onderdelen van de bedrijfsvoering. Zorginstellingen in Nederland zijn grootverwerkers van privacygevoelige gegevens. Binnen zorginstellingen wordt immers een grote hoeveelheid aan persoonsgegevens opgeslagen, bewerkt, verwerkt en uitgewisseld met andere partijen in de zorgketen. Een gedegen en betrouwbare inrichting van de privacy- en informatiebescherming is derhalve van essentieel belang. Wet bescherming persoonsgegevens De belangrijkste wet- en regelgeving voor het omgaan met persoonsgegevens in Nederland is vastgelegd in de Wet bescherming persoonsgegevens (Wbp, 2001). De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens, die reeds uit 1995 stamt. In de Wbp zijn de algemene beginselen voor gegevensverwerking geformuleerd. De Wbp is van toepassing indien er sprake is van een al dan niet geautomatiseerde verwerking van persoonsgegevens. In de Wbp staat een aantal regels met betrekking tot de toelaatbaarheid, het doel en de kwaliteit van gegevensverwerking. De verantwoordelijke Veel normen in de Wbp richten zich op de verantwoordelijke voor de gegevensverwerking. Dit is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van patiëntgegevens is doorgaans de behandelende zorgverlener als verantwoordelijke aangemerkt. In de Wbp staat tevens beschreven dat de verantwoordelijke passende technische en organisatorische maatregelen dient te treffen om persoonsgegevens voldoende te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (Wbp, 2001). Meldplicht datalekken Het jaar 2015 is een belangrijk jaar in het kader van informatiebeveiliging voor zorginstellingen: er staan twee grote wetswijzigingen op stapel. Allereerst wordt de Meldplicht datalekken (artikel 34a Wbp) aangescherpt. We spreken van een datalek als persoonsgegevens in handen vallen van een derde partij die geen toegang tot die persoonsgegevens zou mogen hebben. Specifiek gaat het om een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Deze inbreuken dienen direct te worden gemeld aan het College bescherming persoonsgegevens (CBP) vanuit zijn rol als toezichthouder. Bij niet voldoen aan deze wet kan onder de huidige regelgeving een boete worden opgelegd tot 4.500. Hogere boetes De wetswijziging geeft het CBP de bevoegdheid om aanzienlijk hogere boetes op te leggen: tot 810.000 (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet van de rechtspersoon. De Tweede Kamer heeft de aangescherpte wet aangenomen op 10 februari 2015, waarna deze op 26 mei ook door de Eerste Kamer is goedgekeurd. Naar alle waarschijnlijkheid treedt de meldplicht per 1 januari 2016 in werking. Overigens zal met de inwerkingtreding van de nieuwe wet de naam van het CBP worden veranderd in Autoriteit Persoonsgegevens. Aanpassing wetgeving De tweede grote wetswijziging betreft een aanpassing van de basis van de huidige privacywetgeving: de Wbp. De Europese privacyrichtlijn werd ooit vastgesteld en geaccordeerd toen de mogelijkheden en de impact van IT een stuk minder ontwikkeld waren. Denk alleen al aan de positie die het internet zich inmiddels heeft toegeëigend voor en binnen organisaties. De Europese Commissie heeft daarom enkele jaren geleden besloten dat de huidige richtlijn moet worden aangepast, hoewel de algemene principes en rechten nog steeds geldig zijn. In het eerste kwartaal van 2012 heeft de Europese Commissie voorstellen gepresenteerd voor een herziening van de huidige Europese privacyregelgeving. Na stevige onderhandelingen aangaande deze voorstellen heeft het parlement in maart 2014 zijn definitieve positie bekendgemaakt en ligt er nu een concept-privacyrichtlijn. De Europese Raad is nog bezig met het bepalen van een standpunt over de gehele tekst, maar heeft al wel op onderdelen zogenaamde gedeeltelijke benaderingen vastgesteld. Zodra ook de raad definitief positie heeft bepaald, kunnen de onderhandelingen tussen de commissie, het parlement en de raad beginnen. De verwachting is dat de privacyverordening in de loop van 2016 of daarna wordt goedgekeurd door het parlement. Na inwerkingtreding zullen de bepalingen van de verordening rechtstreeks van kracht zijn in alle lidstaten van de Europese Unie en daarmee ook in Nederland. Grote gevolgen Het voorstel bevat op een aantal vlakken nieuwe of strengere privacyregels dan de Wbp, waarbij de meest sprekende is dat er boetes kunnen worden opgelegd die oplopen tot 100.000.000 of 5% van de wereldwijde jaarlijkse omzet van een onderneming bij het niet voldoen aan de regelgeving. In het ergste geval kan een zorginstelling haar licentie verliezen. Andere grote gevolgen zijn: Documentatieplicht Zowel de verantwoordelijke voor de gegevensverwerking als de bewerkers dienen alle documenten die betrekking hebben op de verwerking van persoonsgegevens te bewaren en op verzoek van de toezichthouder te overleggen. Verplichte Functionaris voor de Gegevensbescherming (Privacy Officer) Iedere organisatie die gedurende 12 maanden persoonsgegevens verwerkt van meer dan 5.000 betrokkenen of überhaupt met privacygevoelige informatie werkt, zal een Functionaris voor de Gegevensbescherming moeten aanstellen. Zelfstandige verantwoordelijkheid bewerkers Bewerkers dienen onder meer passende technische en organisatorische maatregelen te nemen die in verhouding staan tot de risico s die het verwerken van persoonsgegevens mee kan brengen. Naast de verantwoordelijke voor de verwerking van de persoonsgegevens kunnen ook bewerkers door de toezichthouder worden gesanctioneerd indien zij niet voldoen aan de verordening. Voorwaarden voor toestemming verwerking Indien toestemming is vereist om persoonsgegevens te verwerken moet de verantwoordelijke kunnen aantonen dat desbetreffende toestemming is gegeven. Recht op het laten wissen van persoonsgegevens Betrokkenen hebben het recht om van de verantwoordelijke te vragen om al hun persoonsgegevens te wissen ( right to erasure ). De verantwoordelijke zal daarbij ook zorg moeten dragen dat derden aan wie hij de gegevens heeft verstrekt ook overgaan tot het wissen van deze persoonsgegevens. Om aan een dergelijk verzoek gevolg te kunnen geven, zullen veel zorginstellingen de wijze waarop zij persoonsgegevens verwerken moeten aanpassen.
8 9 METHODE. i i i Methode Aanpak van het onderzoek Dit onderzoek is gebaseerd op de door de BDO Branchegroep Zorg opgestelde vragenlijst op de website www.bdo.nl/zorg, onder het thema Informatiebeveiligingsscan Zorg. De Informatiebeveiligingsscan richt zich op cybersecurity en privacy in de zorg en bestaat uit 27 meerkeuzevragen, met aanvullende mogelijkheid tot een toelichting. DE ZORGSEGMENTEN DIE ZIJN VERTEGENWOORDIGD IN HET ONDERZOEK VANUIT DRIE PERSPECTIEVEN De scan richt zich op onderstaande variabelen binnen de zorginstellingen, om zodoende de verschillende perspectieven van informatiebeveiliging aan bod te laten komen: STRATEGISCH strategie & beleid governance TACTISCH administratieve organisatie & interne beheersing OPERATIONEEL informatievoorziening/it kwaliteit & innovatie 35% VVT 6% Eerstelijn 11% jeugdzorg Beantwoording vragen De vragenlijsten zijn ingevuld in de periode januari tot en met april 2015. Bij alle vragen kon door middel van een multiplechoice-mogelijkheid worden aangegeven of en in hoeverre de zorginstelling op de hoogte was van de stand van zaken ten aanzien van informatiebeveiliging en welke maatregelen hieromtrent waren getroffen. Onderzoekspopulatie In totaal hebben 55 instellingen uit de verschillende zorgsectoren volledige en bruikbare vragenlijsten ingevuld. 2015 is het eerste jaar dat BDO deze specifieke vragenlijst heeft opgesteld. In onderstaand cirkeldiagram ziet u de spreiding van de grootte van de organisaties in dit onderzoek, gemeten naar het aantal medewerkers. Alle ingevulde vragenlijsten zijn kritisch getoetst op plausibiliteit en betrouwbaarheid Alle ingevulde vragenlijsten zijn door de BDO Branchegroep Zorg kritisch getoetst op plausibiliteit en betrouwbaarheid. Dit is onder meer gedaan door selectief contact te leggen met respondenten en door het verwijderen van onvolledig ingevulde vragenlijsten. Op basis van de gecombineerde antwoorden is een breed beeld ontstaan van de stand van zaken van informatiebeveiliging in de zorginstellingen. De vragen met de meest belangwekkende uitkomsten worden in dit rapport nader uitgewerkt en toegelicht. Responderende organisaties, gemeten naar aantal werknemers 1-20 21-50 51-99 100-249 250-999 1000+ 11% GHZ 37% Overig* 8% 13% 13% 18% 30% 18% * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.
io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.- iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiooi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. +i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii. ioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi..oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. +i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oiooi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiooi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi. oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi-- +iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.- ONDERZOEKS iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioiioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oiooi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi.. oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi RESULTATEN ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi. oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioioiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+. iioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioii.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. +i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io De meest oiioioiioi.-+oiioi.oi opvallende oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. +i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi uitkomsten oiioioiioi.- iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooioiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi-.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. +i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.- iioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi. oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+. iioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi..oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. io.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiooi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioiio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi.. oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io 11 ONDERZOEKS RESULTATEN Verantwoordelijkheid rondom informatiebeveiliging is niet conform normeringen belegd. Uit ons onderzoek is gebleken dat de verantwoordelijkheid op verschillende niveaus is belegd: bij 49% bij het hoogste orgaan, hetzij de directie, hetzij de Raad van Bestuur, en in 44% van de gevallen bij de IT-verantwoordelijke. De NEN 7510 (norm voor informatiebeveiliging in de zorg) bijvoorbeeld is heel duidelijk: de directie is niet alleen op papier verantwoordelijk voor informatiebeveiliging, maar moet het beleid rondom informatiebeveiliging ook jaarlijks actief monitoren, aanscherpen en goedkeuren. Informatiebeveiliging is met nadruk nog steeds het domein van de IT, terwijl informatiebeveiliging net zoveel draait om houding, gedrag en cultuur (soft controls). Slechts 40% kent de Europese privacyverordening. Van alle respondenten heeft niet meer dan 40% inhoudelijke kennis over deze aanstaande nieuwe wet, die waarschijnlijk in 2016/2017 de Wet bescherming persoonsgegevens gaat vervangen en een grote impact heeft op alle zorginstellingen. In het slechtste geval kan bijvoorbeeld bij het niet voldoen aan deze verordening per overtreding een boete worden opgelegd tot 2% van de wereldwijde jaaromzet. Van die 40% hebben alle zorginstellingen één of meer maatregelen genomen om zich voor te bereiden op de komst van deze nieuwe werkelijkheid; 60% van de respondenten loopt achter de feiten aan. Slechts 38% kent de Meldplicht datalekken. De Meldplicht datalekken betreft een aanpassing op de reeds bestaande Nederlandse Wet bescherming persoonsgegevens. Het voorstel is op 10 februari 2015 met algemene stemmen aangenomen door de Tweede Kamer. De verwachting is dat in de zomer van 2015 de Eerste Kamer dit zal accorderen. De wijziging geeft het CBP de bevoegdheid om (eenzijdig) aanzienlijk hogere boetes op te leggen dan nu het geval is: tot 810.000 (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet van de rechtspersoon. Slechts 38% van de respondenten is bekend met de werking van deze wet, terwijl het risico reëel wordt in de loop van het kalenderjaar. Van deze 38% heeft nog geen 30% maatregelen getroffen om aan de wet te voldoen. Informatiebeveiligingsbeleid is onvoldoende. Informatiebeveiliging binnen organisaties begint met een helder informatiebeveiligingsbeleid waarin in begrijpelijke taal voor alle medewerkers en relevante derden bovenstaande onderwerpen aan bod komen. Slechts 44% van de respondenten geeft aan dat er zo n informatiebeveiligingsbeleid is geïmplementeerd en 15% is daarmee bezig. Illustratief is dat slechts 32% van de respondenten voldoet aan de NEN 7510, terwijl 30% zegt hier nog aan te werken. Ook komt naar voren dat verbetering mogelijk is ten aanzien van soft controls: screening van of het stellen van aanvullende eisen aan medewerkers ten aanzien van informatiebeveiliging gebeurt weliswaar bij het merendeel van de respondenten, maar volgens ons moet dit overal gemeengoed zijn. Blinde vlekken in Incidentbeheersing. Alle responderende zorginstellingen hebben maatregelen getroffen om cybersecurity-incidenten te voorkomen. Maar 42% heeft dat niet gedaan op basis van een risicoanalyse, of weet niet of dat het geval is. Er zijn dus inherente risico s op blinde vlekken en als gevolg daarvan te lage of juist onnodige investeringen gedaan.. -. i i i Illustratief: slechts 32% van de respondenten voldoet aan de NEN 7510 68% 32%
12 13 ONDERZOEKS RESULTATEN Strategisch Verantwoordelijkheid informatiebeveiliging. -. i i i Strategisch Verantwoordelijkheid informatiebeveiliging Wie is binnen de organisatie (eind)verantwoordelijk voor de informatiebeveiliging? De NEN 7510 is hier heel duidelijk in: de directie is niet alleen op papier verantwoordelijk voor informatiebeveiliging, maar moet het beleid op dit punt tevens jaarlijks rondom actief monitoren, aanscherpen en goedkeuren. Informatiebeveiliging is dus primair een verantwoordelijkheid van het (lijn-)management. Aan wie is de IB-verantwoordelijkheid gedelegeerd? Wie is binnen de organisatie gedelegeerd verantwoordelijk voor de informatiebeveiliging? RvB IT ONBEKEND Sectorbreed Uit ons onderzoek komt naar voren dat 49% van de ondervraagde zorginstellingen de verantwoordelijkheid voor informatiebeveiliging belegd heeft bij de directie (onder directie wordt tevens verstaan de Raad van Bestuur). Bij 44% van de ondervraagde zorginstellingen is de verantwoordelijkheid voor informatiebeveiliging belegd bij de IT-verantwoordelijke; dit kan Automatisering of Informatisering zijn. Bij 7% van de ondervraagde zorginstellingen is het niet bekend wie verantwoordelijk is voor informatiebeveiliging. Als we deze percentages verder in detail uitsplitsen naar de onderzochte sectoren valt op dat met name binnen de VVT en de GHZ de verantwoordelijkheid bij de directie ligt, maar dat bij Jeugdzorg de verantwoordelijkheid bij IT is ondergebracht. Ook voor de GGZ geldt dat de verantwoordelijkheid vooral bij IT ligt. Per subsector Eerstelijn: GHZ: VVT: Jeugdzorg: Overig*: Goed IB-beleid Het feit dat bij 44% van de zorginstellingen de verantwoordelijkheid bij de IT-verantwoordelijke is belegd, is een signaal dat informatiebeveiliging nog sterk wordt gezien als een IT-aangelegenheid, terwijl goed IB-beleid bij de top begint en vervolgens in alle lagen van de organisatie wordt geïmplementeerd (Strategisch > Tactisch > Operationeel), met alle waarborgen van het in control - principe van dien. * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën. Goed IB-beleid begint bij de top, maar ligt bij 44% van de instellingen nog bij de IT-afdeling Voor het succesvol implementeren van informatiebeveiliging in een organisatie is een goede verdeling van verantwoordelijkheden en bevoegdheden voor het beslissen, adviseren en controleren van en over informatiebeveiligingsmaatregelen een basisvoorwaarde. Dit moet worden geïnitieerd vanuit het hoogste orgaan binnen de instelling. Dat dit beter kan, blijkt mede uit het feit dat slechts 32% van de organisaties voldoet aan de NEN 7510. Een aanvullende 30% zegt hiermee bezig te zijn.
14 15 Onderzoeks resultaten Strategisch privacyverordening. i i i Strategisch privacy verordening Bent u bekend met de komst en de impact van de Europese privacyverordening? In hoeverre zijn maatregelen getroffen in voorbereiding op de inwerkingtreding van de Europese privacyverordening? De Europese privacyverordening gaat na inwerkingtreding een grote impact hebben op zorginstellingen in Nederland. Bij 50% van de respondenten is geen kennis rondom deze nieuwe verordening, die op veel vlakken verder gaat dan de huidige Wet bescherming persoonsgegevens. Bij 40% van de respondenten is deze kennis wel aanwezig. In deze categorie hebben, op drie na, alle zorginstellingen al één of meer maatregelen getroffen om zich voor te bereiden op de komst van deze nieuwe werkelijkheid. Dit geeft aan dat de organisaties die zich bewust zijn van de Europese privacyverordening ook het belang inzien van de te nemen maatregelen en hier prioriteit aan geven in de beleidsvoering. IS BEKEND MET EUROPESE PRIVACYVERORDENING? 10% Onbekend In het onderzoek is in zeven inhoudelijke categorieën gevraagd of en welke maatregelen de organisaties hebben getroffen, indien de respondenten kennis hadden van de nieuwe Europese privacyverordening. 14% van de respondenten die kennis hebben van de verordening weet niet of er maatregelen zijn getroffen; de andere respondenten hebben meerdere maatregelen getroffen in voorbereiding op de nieuwe verordening. Iedere gevraagde maatregel is bij minimaal vier zorginstellingen in de praktijk geïmplementeerd. Wat verder opvalt is dat er vooral is gekozen voor maatregelen richting de interne IT-kant en IT-leveranciers. Ook dit is een signaal dat informatiebeveiliging primair als een IT-aangelegenheid wordt gezien. Maatregelen ten aanzien van de soft controls (awareness van medewerkers en een interne rol voor informatiebeveiliging) zijn aanzienlijk minder getroffen. GETROFFEN MAATREGELEN VOOR DE EUROPESE PRIVACYVERORDENING ja nee/weet niet Het aanstellen van een functionaris voor de gegevensbescherming: 40% Ja De informatieverstrekking aangaande de verwerking van privacygevoelige gegevens aan klanten en derden is aangepast: 50% Nee Bij 50% van de respondenten is geen kennis rondom de nieuwe Europese privacyverordening Er worden risicoanalyses uitgevoerd op het gebied van privacy: Er is contact geweest met IT-leveranciers over technische aanpassingen in de software om logging mogelijk te maken of te verbeteren: Privacy by Design en/of Privacy by Default worden integraal meegenomen in IT-gerelateerde projecten: Er is een organisatiebrede privacy-awareness-training ontwikkeld zodat medewerkers op de hoogte zijn van de belangrijkste privacyregels: Respondenten die de nieuwe Europese privacyverordening kennen, kozen vooral voor maatregelen richting de interne IT-kant en IT-leveranciers Leveranciers worden mede geselecteerd op basis van certificeringen aangaande privacy-wet- en regelgeving: Anders:
16 17 Onderzoeks resultaten Strategisch Meldplicht datalekken. i i i Strategisch Meldplicht datalekken Bent u bekend met de werking van de Meldplicht datalekken? De Meldplicht datalekken vereist na de goedgekeurde wijziging van de Wet bescherming persoonsgegevens in 2015 een grotere mate van in control zijn door zorginstellingen. Slechts 38% van de respondenten is bekend met deze aanpassing van de wet, terwijl het financiële risico al in de loop van dit kalenderjaar groter wordt. 9% van de respondenten weet niet zeker of men bekend is met deze materie. 53% van de respondenten geeft aan niet bekend te zijn met de meldplicht ten aanzien van datalekken. Dit is in de zorgsector, waar het inherent is dat met privacygevoelige gegevens wordt gewerkt, een relatief zeer hoog percentage. Heeft uw organisatie maatregelen getroffen naar aanleiding van de Meldplicht datalekken? Bij 28% van de respondenten die reeds kennis heeft van de Meldplicht datalekken zijn aanvullende maatregelen getroffen. Bij 62% is dit niet het geval en 10% weet niet of aanvullende maatregelen zijn getroffen. Over de gehele onderzoekspopulatie van deze Informatiebeveiligingsscan betekent dit dat slechts 11% van de zorginstellingen aanvullende maatregelen heeft getroffen om in control te zijn ten aanzien van de Meldplicht datalekken. Gezien het veel grotere financiële risico dat zorginstellingen in de nabije toekomst gaan lopen, is dit een relatief laag percentage. BEKEND MET MELDPLICHT DATALEKKEN? 38% Ja MAATREGELEN GETROFFEN? Heeft uw organisatie maatregelen getroffen naar aanleiding van de Meldplicht datalekken? 53% Nee 9% Onbekend Slechts 38% van de respondenten kent de meldplicht datalekken, terwijl het financiële risico al dit kalenderjaar groter wordt 10% Onbekend 28 % Ja Slechts 11% van de zorginstellingen heeft aanvullende maatregelen getroffen om in control te zijn' IS BEKEND MET MELDPLICHT VERDELING PER SECTOR ja nee/weet niet 62% Nee Eerstelijn: GHZ: HEEFT MAATREGELEN GETROFFEN VERDELING PER SECTOR ja nee/weet niet VVT: Eerstelijn: Jeugdzorg: GHZ: Overig*: VVT: Jeugdzorg: * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën. Overig*: * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.
18 19 Onderzoeks resultaten Tactisch Informatiebeveiligingsbeleid. i i i Tactisch Informatiebeveiligingsbeleid Heeft uw organisatie een informatiebeveiligingsbeleid geformuleerd en geïmplementeerd? INFORMATIEBEVEILIGINGSBELEID AANWEZIG? De verschillende normeringen (NEN 7510, ISO 27001/27002) zijn hierin heel duidelijk: het beleid voor informatiebeveiliging is een belangrijk hulpmiddel om in control te zijn waar het gaat om de informatiebeveiliging. Het beleid, dat door de directie moet worden geaccordeerd en uitgedragen, is daarnaast bestemd voor alle managers en medewerkers die binnen de zorginstelling te maken hebben met eigenaarschap, beheer of gebruik van informatie(voorzieningen). 6% Onbekend Uit ons onderzoek komt naar voren dat bij 56% van de ondervraagde zorginstellingen nog geen 35% Nee 44% Ja formeel informatiebeveiligingsbeleid aanwezig is. Van de 55 zorginstellingen hebben er slechts 24 een formeel beveiligingsplan; 19 hebben aangegeven dat zij nog niet in het bezit zijn van een formeel beveiligingsplan; 8 geven aan dat zij bezig zijn met het opstellen ervan en 4 zorginstellingen zijn niet op de hoogte van een beveiligingsplan. 15% Wordt aan gewerkt 56% van de instellingen heeft geen informatiebeveiligingsbeleid, is er nog mee bezig of is niet op de hoogte van een beveiligingsplan INFORMATIEBEVEILIGINGSBELEID AANWEZIG - PER SECTOR ja wordt aan gewerkt nee onbekend Eerstelijn: Als we deze percentages verder in detail analyseren per sector, dan valt op dat met name binnen de VVT er bij 12 instellingen geen formeel beveiligingsplan aanwezig is: 10 hebben er überhaupt geen, 1 is er nog mee bezig en bij 1 is het onbekend. Het feit dat er bij verschillende zorginstellingen nog geen formeel informatiebeveiligingsbeleid aanwezig is, geeft aan dat informatiebeveiliging nog lang niet voldoende serieus genomen wordt. Wij zijn van mening dat een organisatie of zorginstelling niet volledig in control kan zijn zonder de aanwezigheid van een formeel informatiebeveiligingsbeleid. GHZ: VVT: Jeugdzorg: Overig*: * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.
20 21 Onderzoeks resultaten Tactisch Incidentbeheersing. i i i Tactisch Incidentbeheersing Heeft uw organisatie in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten? Indien een privacy-incident heeft plaatsgevonden, hoe is dit gedetecteerd? 18% van de onderzoekspopulatie heeft in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten, waarbij een privacy-incident is gedefinieerd als een een incident waarbij er een aanmerkelijke kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Dit kan worden veroorzaakt door iemand van buitenaf maar ook door een medewerker, hetzij per ongeluk, hetzij met opzet. 13% van de respondenten weet niet of er privacy-incidenten hebben plaatsgevonden, en bij 69% van de respondenten is dit niet het geval geweest. Vooral medewerkers zijn van belang bij het signaleren van privacy-incidenten; in maar liefst 70% van de organisaties waren zij degenen die hiervoor verantwoordelijk waren. Binnen informatiebeveiliging zijn het dan ook de medewerkers die de sterkste en tegelijkertijd ook de zwakste schakel vormen. Dit pleit voor een positief beleid gericht op medewerkersbetrokkenheid. Gelukkig is het niet noodzakelijk gebleken dat de media of politie privacy-incidenten kenbaar maakten; de interne maatregelen bleken afdoende borging te bieden. GEMELDE PRIVACY-INCIDENTEN MANIEREN WAAROP PRIVACY-INCIDENTEN ZIJN GEDETECTEERD 13% onbekend 18% Ja 18% van de onderzochte instellingen heeft in de afgelopen twee jaar te maken gehad met één of meer privacyincidenten Door routinechecks of -controles: Door een melding van een geautomatiseerd systeem: Door een melding van een medewerker: Door een melding van een klant: Door een melding van een leverancier/externe partij: Door een melding van de politie: Door een melding van de media: Binnen informatiebeveiliging zijn de medewerkers tegelijkertijd de sterkste en de zwakste schakel 69% nee Anders: GEMELDE PRIVACY-INCIDENTEN PER SECTOR privacy-incidenten (Doordat er per instelling meerdere incidenten en meldingen kunnen zijn, zijn meerdere antwoorden mogelijk.) Eerstelijn: GHZ: VVT: Jeugdzorg: Overig*: * De categorie Overig bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.
22 23 Onderzoeks resultaten Operationeel Maatregelen. i i i Operationeel Maatregelen Zijn er preventieve maatregelen getroffen binnen uw organisatie op basis van een risicoanalyse? Een integraal onderdeel van informatiebeveiliging is een gedegen risicoanalyse, waarna een plan kan worden opgesteld om de gesignaleerde risico s te mitigeren. Op basis van gegevens van de organisaties waar een privacy-incident heeft plaatsgevonden, blijkt uit het onderzoek dat deze investeringen in tijd en geld de moeite waard zijn. Waarschijnlijk is het zo dat de organisaties waarbij incidenten zijn gesignaleerd, deze incidenten juist hebben kunnen signaleren omdat hun beleid en risicomanagement hierop proactief is aangepast. In het kader van de Meldplicht datalekken is het cruciaal om privacy-incidenten tijdig te ontdekken en de juiste maatregelen te treffen. Welke maatregelen zijn er in uw organisatie getroffen om cyberaanvallen te voorkomen? In het onderzoek is een cybersecurity-incident gedefinieerd als een situatie waarbij een persoon heeft geprobeerd, en eventueel erin is geslaagd, de informatiebeveiliging van een organisatie te compromitteren, gebruikmakend van informatietechnologie (IT). Alle organisaties hebben minimaal vijf of meer maatregelen geïmplementeerd om cybersecurityincidenten te voorkomen. Blijkbaar heeft dit effect, aangezien slechts 7% van de respondenten te maken heeft gehad met een cybersecurity-incident, wat een relatief lage score is. Opvallend is dat de getroffen maatregelen ten behoeve van medewerkers (training, aanstellen security-officer) laag scoren ten opzichte van IT-gerichte maatregelen. Slechts 7% van de respondenten heeft te maken gehad met een cybersecurityincident een relatief lage score PREVENTIEVE MAATREGELEN GETROFFEN FORMEEL ACTIEPLAN PRIVACY-INCIDENTEN AANWEZIG GETROFFEN MAATREGELEN CYBERSECURITY-INCIDENTEN ja nee/weet niet 10% Onbekend 10% Nee 10% Onbekend Antivirus-/malware-oplossingen om bedreigingen van buiten de organisatie tegen te houden: Proxy, firewall etcm bedreigingen van buiten de organisatie tegen te houden: 20% Wordt aan gewerkt 50% Ja Back-up van de belangrijkste systemen: Encryptie van informatie op mobile devices (flashdrives, laptops etc.): 20% Nee Segmentatie van netwerken: Periodieke security-audits/-reviews: 80% Ja Periodieke software-updates: Accesscontrol: Securitytraining en -awareness voor medewerkers: Het is cruciaal om privacyincidenten tijdig te ontdekken en de juiste maatregelen te treffen Configuratie en change management proces: Periodieke review van user-rechten: Data Loss Prevention-(DLP-)systeem: Het vervullen van de rol van security-officer: Wachtwoordbeleid: Uitloggen na een periode van inactiviteit:
24 25 Onderzoeks resultaten Operationeel MAATREGELEN. i i i Operationeel Maatregelen Maakt uw organisatie gebruik van een Privacy Impact Assessment (PIA) om de privacy binnen uw organisatie te checken? Een PIA is een praktisch hulpmiddel waarmee de belangrijkste eigenschappen en risico s ten aanzien van privacy binnen organisaties op een gestandaardiseerde wijze worden doorgelicht. Dit onderzoek is geen sluitend middel ten aanzien van informatiebeveiliging, maar is in veel gevallen wel een uitstekende eerste stap om organisatiebreed bewustzijn te creëren en voorheen onvoorziene risico s zichtbaar te maken. Op basis hiervan kunnen de conclusies van een PIA worden gebruikt om procedures en maatregelen te implementeren die de privacy en veiligheid van gegevensverwerking binnen zorginstellingen borgen. Vooralsnog is een PIA niet verplicht, maar vooral in het kader van de Meldplicht datalekken en de Europese privacyverordening raden wij zorginstellingen aan regelmatig een PIA uit te voeren. Uit de resultaten blijkt dat relatief weinig organisaties (11%) dit reeds hebben gedaan; een aanvullende 13% is hiermee bezig. Het uitvoeren van een PIA is een verbeterpunt dat met relatief weinig tijd en energie meerwaarde oplevert. GEBRUIK VAN PRIVACY IMPACT ASSESSMENT (PIA) Maakt uw organisatie gebruik van een Privacy Impact Assessment (PIA) om de privacy binnen uw organisatie te checken? Worden in uw organisatie aanvullende eisen gesteld aan medewerkers omtrent informatiebeveiliging en wordt screening ingezet voor medewerkers en derden? De soft controls zijn in informatiebeveiliging, zeker in de zorgsector, van evident belang. Immers: de medewerkers zijn degenen die met alle privacygevoelige informatie werken en voor wie al het beleid binnen de zorginstellingen primair van toepassing is. Uit de resultaten blijkt dat het merendeel van de organisaties aanvullende eisen stelt aan medewerkers ten aanzien van informatiebeveiliging of screening toepast voor medewerkers en externen. Men zou dit als een voldoende kunnen zien. Onze mening is echter dat iedere zorginstelling hier een minimale set van eisen moet kunnen aantonen. In control zijn begint en eindigt immers bij de eigen medewerkers, zeker in de zorg. AANVULLENDE VEILIGHEIDSEISEN Worden in de organisatie aanvullende eisen gesteld aan de medewerkers omtrent informatiebeveiliging, bijvoorbeeld in contracten of via algemene communicatie? 7% Onbekend 13% Onbekend 11% Ja 25% Nee 13% Wordt aan gewerkt 5% Wordt aan gewerkt 63% Ja WORDEN MEDEWERKERS GESCREEND? Worden in de organisatie medewerkers, inhuurkrachten en externe deskundigen die met privacygevoelige gegevens werken gescreend alvorens de werkzaamheden starten? 63% Nee 13% Onbekend Vooral in het kader van de meldplicht datalekken en de Europese privacyverordening raden wij aan regelmatig een PIA uit te voeren 29% Nee 58% Ja In control zijn begint en eindigt bij de eigen medewerkers, zeker in de zorg
26 DE BDO Branchegroep Zorg Branchegroep Zorg: luisteren, meedenken en verder kijken In de zorgsector draait het om mensen. Tegelijkertijd moet zorg kwalitatief hoogstaand, kostenefficiënt en veilig zijn. Het behouden van een goede positie binnen de zorgmarkt vormt een steeds grotere uitdaging voor zorginstellingen. De overheid kort op de budgetten, de marktwerking wordt steeds verder doorgevoerd, de concurrentie neemt toe en tegelijkertijd wordt de zorgconsument steeds kritischer. Hoe behoudt u als zorginstelling toch uw positie als u wordt gedwongen om met hetzelfde budget meer kwaliteit en service te verlenen? Is het nog wel mogelijk om betaalbare en goede zorg te leveren voor uw klanten? De BDO Branchegroep Zorg denkt van wel. Wij snappen dat u als ondernemer of bestuurder in de zorg denkt, handelt en organiseert op uw eigen manier. Dus wil een accountant of adviseur werkelijk van meerwaarde zijn, dan is het niet genoeg om kennis van de zorgsector te hebben. Gelukkig bestaat de BDO Branchegroep Zorg uit mensen die luisteren, meedenken en verder kijken dan de cijfers en de regels. Wij snappen dat goede zorg leveren hoge eisen stelt aan zorginstellingen, maar ook aan uw mensen en aan u persoonlijk. Dat telt. Meer informatie BDO Branchegroep Zorg E-mail: zorg@bdo.nl Internet: www.bdo.nl/zorg www.twitter.com/bdozorg Voor meer informatie naar aanleiding van dit onderzoeksrapport of over de BDO Branchegroep Zorg kunt u contact opnemen met: Accountants Regio Midden/Noord/Oost: drs. C.F. (Chris) van den Haak RA Tel: 06 5247 6882 E-mail: chris.van.den.haak@bdo.nl Regio West: R. (Rob) Karlas RA Tel: 06 2013 7937 E-mail: rob.karlas@bdo.nl Regio Zuid: drs. M.M.H. (Mike) Tagage RA Tel: 06 4688 8588 E-mail: mike.tagage@bdo.nl Consultancy drs. F.J. (Frank) van der Lee RA Tel: 06 1100 3117 E-mail: frank.van.der.lee@bdo.nl Fiscaliteit mr. drs. N.T. (Nika) Stegeman-Kruijt Tel: 06 1309 5011 E-mail: nika.stegeman@bdo.nl mr. J.C.M. (Jeroen) Cremers Tel: 06 2360 2343 E-mail: jeroen.cremers@bdo.nl ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiio +oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-o oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-o oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi Hoe zorgt u dat u tijdig ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii. oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi 'in control' oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. bent van uw ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio informatiebeveiliging? oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+o +.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioii oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi. oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oi oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.oo oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oio +.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiio ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi ioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiio +oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.
www.bdo.nl/zorg BDO is een op naam van Stichting BDO te Amsterdam geregistreerd merk. In deze publicatie wordt BDO gebruikt ter aanduiding van de organisatie die onder de merknaam BDO actief is op het gebied van de professionele dienstverlening (accountancy, belastingadvies en consultancy). BDO Accountants & Adviseurs is een op naam van BDO Holding B.V. te Eindhoven geregistreerde handelsnaam en wordt gebruikt ter aanduiding van een aantal met elkaar in een groep verbonden rechtspersonen, die ieder afzonderlijk onder de merknaam BDO actief zijn op een bepaald terrein van de professionele dienstverlening (accountancy, belastingadvies en consultancy). BDO Holding B.V. is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereldwijde netwerk van juridisch zelfstandige organisaties die onder de naam BDO optreden. BDO is de merknaam die wordt gebruikt ter aanduiding van het BDO-netwerk en van elk van de BDO Member Firms. 06/2015 PS1505