In control over informatiebeveiliging Amersfoort, februari 2015 Transform to the power of digital 1
Agenda Welkom door GGZ Nederland 14.00 uur Inleiding Aan de slag met informatiebeveiliging 14.30 uur Break-out 1 Break-out 2 Break-out 3 Round-up 15.30 uur Vragen en discussie Borrel 16.00 uur
Informatiebeveiliging Informatiebeveiliging gaat over Incidenten Apotheek stuurt persoonsgegevens van haar klanten naar haar klanten. EPD gegevens op straat door beveiligingslek op ontwikkelomgeving bij applicatieleverancier. Maar ook gamers op zoek naar bandbreedte maken gebruik van server met medische gegevens. Informatiebeveiliging gaat over Voorkomen van incidenten Opleiding en training van medewerkers, awareness bevorderen Sloten op de deur Inlogcodes en via beveiligde verbindingen communiceren in de keten 3
Informatiebeveiliging Informatiebeveiliging gaat over Faciliteren van de bedrijfsvoering, het leveren van goede zorg aan uw cliënten. Met inachtneming van eisen vanuit wet- en regelgeving. Ofwel, uw kernprocessen op verantwoorde wijze uitvoeren. Combinatie vereist bewust ondernemerschap Weest u bewust van uw zorg- en bedrijfsprocessen. Inventariseer de risico s die hierbij optreden. Kies welke risico s aanvaardbaar zijn, en welke risico s met maatregelen gemitigeerd moeten worden. Verzamel verbetervoorstellen. Pas de beheercyclus toe: Plan Do Check Act. Dat is een ISMS Information Security Management System / informatiebeveiligingsbeheersysteem Zeg wat je doet. Doe wat je zegt. Laat zien dat je het hebt gedaan. Informatiebeveiliging gaat over het in kaart brengen en beheersen van risico s 4
Informatiebeveiliging Normenkader ISO 27000 ISO 27001 normatief ISO 27002 (= ISO 17799 = Code voor Informatiebeveiliging) inrichten ISMS NEN 7510 Informatiebeveiliging in de zorg NEN 7512 Vertrouwensbasis voor gegevensuitwisseling NEN 7513 Logging - Vastleggen van acties op elektronische patiëntdossiers Certificeren? Niet verplicht. Certificerende instantie NTA 7515 (Nederlandse Technische Afspraak) Onafhankelijke beoordeling is wel verplicht (binnen NEN 7510) Collegiale toetsing, intervisie, of externe toetsing 5
In perspectief Waarom (en voor wie)? Kwaliteit van zorg leveren en verbeteren Verwachting van cliënten en patiënten Voldoen aan wet- en regelgeving. De Wbp (Wet Bescherming Persoonsgegevens) De Wgbo (Wet op de geneeskundige behandelovereenkomst) De Wbsn-z (Wet gebruik burgerservicenummer in de zorg) Belangen beschermen uit gezichtspunt van de instelling Van medewerkers, cliënten en andere stakeholders EPV - Europese privacy verordening (algemene verordening gegevensbescherming) Intern privacybeleid verplicht Privacy vast onderwerp binnen de bedrijfsvoering Privacy Impact Assessments (PIA) wordt verplicht Privacybescherming by Design en by Default Hoge boetes bij geconstateerde overtredingen Belangen beschermen van een individu Maak het niet moeilijker dan het is Informatiebeveiliging is één van de operationele risico s. Uiteraard voldoet u aan de wet. U moet zich houden aan een aantal vooral administratieve voorschriften, maar met informatiebeveiliging heeft dat weinig te maken. Informatiebeveiliging moet passend zijn en wat passend is, dat beslist u als bedrijfsverantwoordelijke zelf. Bestuurdersaansprakelijkheid gaat over in control zijn ofwel over dat u bewuste keuzes heeft gemaakt met betrekking tot uw operationele risico s, dus ook met betrekking tot informatiebeveiliging Pragmatisch: u kiest voor wat werkt in uw situatie. Risico inventarisatie Opzet als management systeem Bedrijfseconomisch verantwoorde keuzes De lat niet hoger leggen dan wat u aan kunt 6
Informatiebeveiliging als onderdeel van de organisatie Informatiebeveiliging is een verantwoordelijkheid van de business Stel strategische doelen op met betrekking tot informatiebeveiliging Beleg verantwoordelijkheden en rollen in de organisatie Creëer een structuur met verantwoording (rapportage) en toezicht (auditeren) 7
De essentie van informatiebeveiliging in de zorg in NEN 7510 Beheercyclus Plan: zeg wat je gaat doen (op elk van de 11 beleidsterreinen) Do: doe wat je zegt Check: controleer of je hebt gedaan wat je hebt gezegd Act: benoem wat je in de volgende iteratie beter kunt doen Voorbeeld uit H10 Beheer van communicatie- en bedieningsprocessen Doelstelling: Handhaven van de integriteit en beschikbaarheid van informatie Beheersmaatregel: stelselmatig back-upkopieën van informatie en programmatuur maken en de herstelprocedure regelmatig testen conform het vastgestelde back-upbeleid. Voorbeeld uit H6 Organisatie. Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie Maatregelen op het gebied van: Betrokkenheid van de directie bij informatiebeveiliging Coördinatie van informatiebeveiliging Toewijzing van verantwoordelijkheden voor informatiebeveiliging Goedkeuringsproces voor middelen voor de informatievoorziening Geheimhoudingsovereenkomst Contact met overheidsinstanties Contact met speciale belangengroepen Onafhankelijke beoordeling van informatiebeveiliging Voldoen aan de norm Is niet: alle maatregelen die in NEN 7510 worden genoemd hebben ingevoerd. Is wel : actief bezig zijn met het beheersen van het proces van informatiebeveiliging. 8
Aan de slag met NEN 7510 Wat wordt er al gedaan in de instelling? Is het top-management betrokken? 1. Stel een informatiebeveiligingsbeleid op 2. Stel vast wie waarvoor verantwoordelijk is 3. Zorg voor bewustwording, opleiding en training 4. Neem maatregelen tegen kwaadaardige programmatuur. 5. Sluit overeenkomsten voor gegevensuitwisseling met ketenpartners 6. Beveilig de toegang tot systemen. systemen (in de gebruikersadministratie). 7. Ontwikkel en implementeer continuïteitsbeheer. 8. Houd rekening met intellectueel eigendom. 9. Belangrijke bedrijfsdocumenten moeten worden beveiligd tegen verlies, vernietiging en vervalsing. 10. Bescherm persoonsgegevens. 11. Leef het opgestelde beveiligingsbeleid na. 12. Rapporteer beveiligingsincidenten En nu (opnieuw) de Plan Do Check Act cyclus door. 9
Break-outs
Opzet break-outs 3 groepen: People, Proces, Technology Duur 20 min 5 minuten: intro van onderwerp 15 minuten: bespreken stelling/ vraag Plenaire terugkoppeling door de break-out leider, samenvatting van de belangrijkste adviezen. Break-out leiding: People groep: Tjalling Proces groep: Roeland Technology groep: Toon 11
Break out 1: People Stappenplan: Bewustwording, opleiding training Mens komt er bekaaid vanaf: awareness & training Noodzakelijk, maar niet genoeg Kennis, houding EN gedrag Voorbij bewustwording: bieden van handelingsperspectief en tunnelen van veilig gedrag 12
Stelling: Door zorgvuldig te investeren in techniek en proces is het mogelijk onzorgvuldig gedrag van medewerkers rondom het veilig werken met informatie te ondervangen. Geef je beste advies met betrekking tot bewustwording, opleiding of training! 13
Break out 2: Proces Informatie uitwisseling in de keten is groot bijv: Verwijzing van patiënten en cliënten naar andere zorgverleners; het delen van patiënteninformatie voor wetenschappelijk onderzoek en clinical trials; Uitwisselen van medisch personeel uitbesteding activiteiten die betrekking hebben op de informatievoorziening; Stappenplan: Samenwerking met ketenpartners Sluit overeenkomsten voor gevoelige gegevensuitwisseling met de ketenpartners tav: aansprakelijkheid; de geheimhouding; meldingsplicht beveiligingsincidenten; hoe gegevens beveiligd worden (netwerkbeveiliging en toegang); Zoek collega organisaties op en leer van elkaar: Deel incidenten en maatregelen; Help elkaar; Vergelijk elkaar (benchmark); Organiseer collegiale feedback. 14
Vraag: Welke veiligheidsrisico s zijn er bij digitaal informatie uitwisselen met partnerorganisaties? Geef je beste advies : Hoe verbeteren we samenwerking in de keten zodat informatie-uitwisseling veiliger wordt? 15
Break out 3: Technology Een casus uit 2012 Gegevens van 8.500 patiënten gelekt uit ontwikkelomgeving van leverancier van GGZ instellingen. "Als leverancier van een ICT-systeem zijn wij verantwoordelijk voor de beveiliging van ons systeem. Wij zullen ook onze overige klanten over dit voorval informeren", stelt FarMedvisie.
Vraag: Hoe had het voorkomen kunnen worden? Wat zouden jullie doen in een dergelijke situatie? Geef je beste advies met betrekking tot incident respons 17
Uitkomsten 19 februari
People
Stelling: Door zorgvuldig te investeren in techniek en proces is het mogelijk onzorgvuldig gedrag van medewerkers rondom het veilig werken met informatie te ondervangen. Veiligheid versus werkbaarheid (laat je een computer na 1 minuut automatisch uitloggen?) wat is het risico? Betrek de eindgebruiker bij veiligheidsvraagstukken, zodat de werkbaarheid gegarandeerd blijft Maak medewerkers bewust dat informatiebeveiliging onderdeel is van veilige zorg Er is niet vaak sprake van onwil, maar met name van onkunde Laat het onderdeel zijn van de cultuur: medewerkers moeten veilig willen werken Continue aandacht is van belang en zorg dat mensen snappen waarom iets niet mag of kan (anders krijg je work-arounds) Redeneer vanuit je eigen perspectief: wat zou je doen als het jouw gegevens waren?
Geef je beste advies met betrekking tot bewustwording, opleiding of training! Maak mensen bewust, koppel informatiebeveiliging aan thema s kwaliteit en veiligheid Informatiebeveiliging is ook goed zorgen voor je cliënt Benadruk het belang voor de patiënt en verbindt consequenties aan onveilig gedrag Onderdeel van opleiding, intervisie en werkoverleggen Start campagnes, bijvoorbeeld jaarlijkse week van de informatieveiligheid De beveiligde weg zo duidelijk en toegankelijk mogelijk aanbieden De veilige keuze moet de makkelijke keuze zijn Gebruiksvriendelijkheid en werkbaarheid staan centraal Durf elkaar aan te spreken Vraag aan elkaar: hoe wil je dat er met jouw gegevens wordt omgegaan? Blijven herhalen is erg belangrijk Maak het persoonlijk Betrek eventueel cliënten bij de vraag hoe om te gaan met gegevens Maak het onderwerp leuk Bijvoorbeeld in trainingen: wat zou je vooral niet willen? Prijs of schandpaal bij slordigheden Breng de risico s goed in kaart Ga aan de slag met de echt grote problemen Waardoor ontstaat dit onveilige gedrag en hoe kunnen we het voorkomen Kwaliteit en veiligheid Veilige weg Gebruiksvriendelijk Aanspreken Maak veiligheid toegankelijk Persoonlijk Bewustwording Maak het leuk Risico s
Proces 22
Vraag: Welke veiligheidsrisico s zijn er bij digitaal informatie uitwisselen met partnerorganisaties? Onbekendheid met werkwijze partner Technische vaardigheid en mogelijkheden bij ketenpartners Onduidelijkheid van doeleinden van de partner Voorzieningen/ technische mogelijkheden van gemeenten Onbekendheid hoe de partner de gegevens beveiligd Wie zit er bij de ontvanger achter het algemene adres Onduidelijk doel Ontbreken van een systeem bij gemeenten Onduidelijk waar opgeslagen Makkelijke reply via de mail Niet gebruiken van veilige voorzieningen Toepasbaarheid van regelgeving Lokaal werken past niet op nationale eisen Hoe selecteer je welke informatie je deelt. Noodzakelijkheid en proportionaliteit Wat is gevoelige informatie? Persoonsgegevens (patiënt, medewerker), Bedrijfsgegevens Wie geef je toestemming om de informatie te ontvangen, wie is de juiste persoon? Geen toestemming van de patiënt, onduidelijk of de toestemming er is Autorisatie regels Medewerkers die misbruik maken Kennis van regelgeving kan beter Onvolwassenheid van ketenpartners Pragmatisme viert hoog tij en strookt niet met regelgeving Onbekendheid met regelgeving Onbekendheid met regelgeving ten aanzien van gegevensuitwisseling Complexe regelgeving>>> snel een bestuurlijke boete
Geef je beste advies : Hoe verbeteren we samenwerking in de keten zodat informatieuitwisseling veiliger wordt? Adviezen ten aanzien van samenwerking Adviezen ten aanzien van de techniek Overtuig partner van het belang van veilig omgaan met privacy gevoelige gegevens Heldere afspraken over welke info, om welke reden, op welke manier mogen worden gedeeld Afspraken maken wie, wat mag weten onder welke voorwaarden Doelstelling van gegevensuitwisseling vastleggen en borgen, aansprakelijkheid borgen Bij elk samenwerkingsverband de privacy aan de orde stellen Minimale beveiligingseisen bepalen en daar aan houden. Ontwikkel een veilige omgeving om te kunnen mailen. Gebruik beveiligde bestanden Gebruik PGP encryptie Investeer in één goed ECD/ EPD (liefst open source) Gebruik een beveiligd zip bestand Stel eisen aan de beveiligde data overdrachtsverbinding Adviezen ten aanzien van medewerkers Verbeteren van kennis en bewustzijn van alle medewerkers in de keten. Vergroot kennis bij partners over informatie verstrekkingskaders (en grenzen) Bewustzijn van regels/ mogelijkheden bij alle medewerkers. Lees de wegwijzer gegevens uitwisseling bij samenwerkingsverbanden van GGZ NL en richt systemen hier op in. Adviezen ten aanzien van de werkwijze Wederzijds vertrouwen in elkaars professionaliteit ten aanzien van zorgverlening waardoor gevoelige gegevens niet uitgewisseld hoeven te worden. Kritisch analyseren van ketenvragen om informatie uit te wisselen met de wet als toets. Inzichtelijk maken wie welke informatie heeft. Wissel geen informatie uit zonder toestemming van de cliënt. Visitatie-kring op uitvoerend niveau Ontwikkel één standaard die gecertificeerd is. 24
Technology 25
Vraag: Hoe had het voorkomen kunnen worden? Wat zouden jullie doen in een dergelijke situatie? Geef je beste advies m.b.t. incident respons. Privacy by Design Breng geen herkenbare cliëntengegevens buiten de productieomgeving, dus ook niet naar je eigen Test, Acceptatie of eventuele Lesomgevingen. Anonimiseer de data voor de OTA(L) omgevingen, zodanig dat de onderlinge samenhang in de data wel blijft bewaard. Sla identificerende gegevens versleuteld op in de database (zoals bijvoorbeeld het BSN nummer). Transparantie Datalek melden bij de functionaris gegevensbescherming en het CBP (meldpunt datalekken). Informeer zo snel mogelijk de betrokken cliënten (en media) via een eenduidig communicatiekanaal. Geef cliënten de mogelijkheid terug te bellen als ze vragen hebben. Informeer IGZ, de zorgverzekeraars en eventuele ketenpartners. Ontken de feiten niet, maar speculeer ook niet openlijk over de mogelijke gevolgen. Houd je bij de feiten. Heldere afspraken met leverancier PDCA Plan Do Check (Re)Act Leg afspraken met leverancier vast in een bewerkersovereenkomst. Verplicht de leverancier tot het uitvoeren van een penetratietest, ook op zijn ontwikkelomgeving. Breng fysieke scheiding aan tussen de ontwikkelserver en de database met test-data (zowel de geanonimiseerde persoonsgegevens als de medische en zorggegevens) Dwing sterke authenticatie af binnen de leveranciersomgeving (2-weg authenticatie) Schade inperken analyseren Analyseer wat er is gebeurd, en probeer vast te stellen wat er met de data is gebeurd. Breng mogelijke gevolgen in kaart Bepaal de te nemen maatregelen om (1) lek te dichten, (2)gevolgschade te beperken en (3) datalek in de toekomst te voorkomen. Voer de maatregelen uit en houd een logboek bij. Informeer betrokkenen over de uitgevoerde maatregelen. Overweeg om betrokken cliënten hulp aan te bieden als zij als gevolg van het datalek te maken krijgen met identiteitsfraude.
Uitkomsten 24 februari
People
Stelling: Door zorgvuldig te investeren in techniek en proces is het mogelijk onzorgvuldig gedrag van medewerkers rondom het veilig werken met informatie te ondervangen. Werkbaarheid en veiligheid gaan lastig samen Kijk naar de behoeftes van medewerkers, biedt/faciliteer veilige alternatieven voor de onveilige toepassingen (bijvoorbeeld Dropbox, Whatsapp, etc.) Faciliteer Anytime, anywhere Bewustwording is een continu proces Mens blijft eigenwijs of kiest voor gemak: even snel iets doen Deel van veilig gedrag kun je afdwingen, maar bewustwording bij mens blijft essentieel Zorg voor spelenderwijs bewustworden Uitwisseling van gegevens is een risicogebied
Geef je beste advies met betrekking tot bewustwording, opleiding of training! Zorg voor correct voorbeeldgedrag, bijvoorbeeld bij bestuurders Durf elkaar aan te spreken op onveilig gedrag Ondersteun medewerkers met de juiste veilige techniek Informatiebeveiliging staat niet bovenaan het lijstje van mensen, wees je hiervan bewust. Maak het interessant Bewustwording werkt alleen als je blijft herhalen Ga samen met medewerkers in op praktijkvoorbeelden Wees open en transparant in incidenten Kijk naar de behoeftes van gebruiker en zorg ervoor dat aan deze behoeften voldaan kan worden Leg uit waarom je dingen doet Breng risico s en mogelijke gevolgen in kaart voor organisatie Voorbeeldgedrag Behoeftes Open en transparant Blijf herhalen Bewust maken Ken risico s Veilige techniek Waarom.. Praktijkvoorbeelden
Proces 31
Vraag: Welke veiligheidsrisico s zijn er bij digitaal informatie uitwisselen met partnerorganisaties? Risico s in de samenwerking Risico s in de techniek Onduidelijk/ geen beeld hoe de partner met de ontvangen informatie om gaat. Onjuiste/ niet relevante informatie uitwisselen. Toename van aantal uitwisselmomenten. Actueel blijven van gegevens, hoe hou je ze up to date als je niet weet waar de gegevens rondzwerven. Transport van gegevens en gegevens overdracht. Onveilige e-mail verbinding. Data lekken. Ontbreken van veilige mailverbinding. Grote diversiteit van oplossingen>> doe maar makkelijk. Afhankelijkheid van externe partijen en leveranciers. Risico s veroorzaakt door medewerkers Ongeautoriseerde mensen die gegevens uitwisselen. Niet gebruiken van standaarden die er zijn. Onbewust gedrag ten aanzien van vertrouwelijke gegevens. Ontbreken van bewustwording bij medewerkers. Ondeskundig> onbewust personeel. Risico s in de werkwijze Geen zicht hoe de partner de informatie behandeld Niet efficiënte wijze van veilig mailen Ontbreken van fatsoenlijke protocollen Ontbreken van eenduidige afspraken en standaarden Pragmatisme in geval van nood Ontbreken van beleid t.a.v. gegevens uitwisseling Niet op het juiste moment voorhanden zijn/ beschikbaar zijn van info Oneigenlijke manieren van uitwisselen (drop box, WeTransfer) Ontbreken van classificatie van gegevens
Geef je beste advies : Hoe verbeteren we samenwerking in de keten zodat informatieuitwisseling veiliger wordt? Adviezen ten aanzien van samenwerking Adviezen ten aanzien van de techniek Gebruik een goede overeenkomst als template voor de volgende. Maak onderlinge afspraken tussen partners en leg deze vast. Check de afspraken en spreek elkaar er op aan In bewerkersovereenkomstplicht voor bewerker/ medeverantwoordelijke opnemen om periodiek overzicht te geven van wat met gegevens wordt gedaan Afspraken maken met ketenpartners over privacy en aansprakelijkheid Ketenuitwisseling faciliteren met accordering van overdracht Werk aan technische protocollen Transparant uitwisselen van bevindingen na een penetratietest Ontwikkel een centraal uitwisselingsplatform Maak veilige en gebruiksvriendelijk techniek Faciliteer het gebruik van een versleutelde verbinding, De verbinding beveiligen en toegankelijk maken Adviezen ten aanzien van medewerkers Vergroot bewustwording van gevoeligheid van gegevens. Maak alle betrokkenen bewust Zorg dat alle medewerkers de informatie uitwisselingsregels bij de hand hebben. Adviezen ten aanzien van de werkwijze Zorg voor een standaard die voor de gehele keten geld Allen standaarden gebruiken. Vastleggen van rollen & autorisaties op gegevens Maak afspraken over veilige overdracht en gegevens classificatie Maak een checklist do s & don ts Leg de criteria van de gegevensuitwisseling duidelijk vast Maak een risico analyse vanuit perspectief zender, verbinding en ontvanger 33
Technology 34
Vraag: Hoe had het voorkomen kunnen worden? Wat zouden jullie doen in een dergelijke situatie? Geef je beste advies m.b.t. incident respons. Privacy by Design Breng geen herkenbare cliëntengegevens buiten de productieomgeving, dus ook niet naar je eigen Test, Acceptatie of eventuele Lesomgevingen. Anonimiseer de data voor de OTA(L) omgevingen, zodanig dat de onderlinge samenhang in de data wel blijft bewaard. Sla identificerende gegevens versleuteld op in de database (zoals bijvoorbeeld het BSN nummer). Transparantie Datalek melden bij de functionaris gegevensbescherming en het CBP (meldpunt datalekken). Informeer zo snel mogelijk de betrokken cliënten (en media) via een eenduidig communicatiekanaal. Geef cliënten de mogelijkheid terug te bellen als ze vragen hebben. Informeer IGZ, de zorgverzekeraars en eventuele ketenpartners. Ontken de feiten niet, maar speculeer ook niet openlijk over de mogelijke gevolgen. Houd je bij de feiten. Heldere afspraken met leverancier Leg afspraken met leverancier vast in een bewerkersovereenkomst. Verplicht de leverancier tot het uitvoeren van een penetratietest, ook op zijn ontwikkelomgeving. Breng fysieke scheiding aan tussen de ontwikkelserver en de database met test-data (zowel de geanonimiseerde persoonsgegevens als de medische en zorggegevens) Dwing sterke authenticatie af binnen de leveranciersomgeving (2-weg authenticatie) PDCA Plan Do Check (Re)Act Schade inperken analyseren Analyseer wat er is gebeurd, en probeer vast te stellen wat er met de data is gebeurd. Breng mogelijke gevolgen in kaart Bepaal de te nemen maatregelen om (1) lek te dichten, (2)gevolgschade te beperken en (3) datalek in de toekomst te voorkomen. Voer de maatregelen uit en houd een logboek bij. Informeer betrokkenen over de uitgevoerde maatregelen. Overweeg om betrokken cliënten hulp aan te bieden als zij als gevolg van het datalek te maken krijgen met identiteitsfraude.
Patrick Jansen patrick.jansen@capgemini.com +31 612961487 Toon van der Werf toon.vander.werf@capgemini.com +31 629056330 Roeland de Koning roeland.de.koning@capgemini.com +31 622206055 Tjalling Reijmer tjalling.reijmer@capgemini.com +31 652376712 36