IT VEILIGHEID VOOR NIET ICT-ERS

Vergelijkbare documenten
Informatieveiligheid ewzc

INLEIDING INFORMATIEVEILIGHEID

COT EN MINIMALE VOORWAARDEN

DAG 4 INCIDENTEN EN CONTINUITEIT

Mei 18 INLEIDING INFORMATIEVEILIGHEID. Opleidingsdag informatieveiligheid dag 5: Klaar voor GDPR in de woonzorgcentra

Opleidingssessies informatieveiligheid

Handvatten bij de implementatie van de AVG

Dokter, dokter, wat is er met mijn privacy? Verwerken van persoonsgegevens in de zorg

Privacy & online. 9iC9I

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

Algemene Verordening Gegevensverwerking ( GDPR )

PRIVACY VOOR MUSEA VAN WBP NAAR AVG

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen. Willem Debeuckelaere WVG Colloquium gegevensindeling

Waarom informatieveiligheid. Omdat het actueel is:

De Algemene Verordening Gegevensbescherming: een nieuwe wind, geen orkaan

Dokter, dokter, wat is er met mijn privacy? 8 tips. Verwerken van persoonsgegevens in de zorg

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Privacy by Design in de praktijk!

Checklist Beveiliging Persoonsgegevens

Informatieveiligheid, de praktische aanpak

VERKLARING PERSOONSGEGEVENS- BEVEILIGING

Het nieuwe Europese raamwerk bescherming persoonsgegevens in Europa en België/Vlaanderen

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

Informatiebeveiligingsbeleid

Hulpverleningszones: tijd voor een zonaal verhaal 21 november 2016

De nieuwe privacywetgeving:

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Uw praktijk. Een goudmijn voor internetcriminelen

Praktijkgerichte aanpak van informatieveiligheid: hoe overeenstemmen met GDPR?

staat is om de AVG na te komen.

De General Data Protection Regulation : persoonsgegevensverwerking in een strakker jasje

Functieprofiel Functionaris Gegevensbescherming

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Verwerkersovereenkomst

Versie april Voor de digitale economie

Voorbeeld van een veiligheidsbeleid

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Stappenplan naar GDPR compliance

Spoedcursus GDPR & praktische tips uit Gent

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Zorgnet-Icuro - ADDENDUM LEVERANCIERSOVEREENKOMST M.B.T. GEGEVENSBESCHERMING

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

GDPR : de uitdaging voor de zorgsector Pseudonimisering en Anonimisering van gegevens

Stappenplan naar GDPR compliance

INFORMATIEVEILIGHEID OOSTENDE.BE ALGEMENE PRIVACYVERKLARING VAN DE STAD OOSTENDE

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

Waarom informatieveiligheid. Omdat het actueel is:

VERWERKERSOVEREENKOMST

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Kedin zal zorgvuldig omgaan met jouw persoonsgegevens en heeft jouw privacy hoog in het vaandel staan.

GDPR. een stand van zaken

Verwerkersovereenkomst

Methodologie informatieveiligheid en privacy Overzicht

Ons kenmerk z Onderwerp Advies concept besluit verplichte geestelijke gezondheidszorg

Project E-WZC-PADO5 e-woonzorglink. Communicatiedag 21 juni 2016 BelRAI instrument

GET YOUR DATA PROTECTION RIGHT THE LEGAL PART Dirk Beeckman Questa Advocaten

Op het einde van elke module zal er een evaluatie gevraagd worden om bijsturing waar nodig en mogelijk toe te laten.

o Sollicitanten VCSW B.V. - PRIVACY STATEMENT PRIVACY STATEMENT VCSW VCSW B.V. Postbus LK Den Haag

VERWERKERSOVEREENKOMST. tussen INFOGROEN SOFTWARE B.V.

In 15 stappen op weg naar 2018

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

GDPR Basic guidelines for clients

Impact AVG op de lokale overheden

Privacybeleid gemeente Wierden

EXQUISE NEXT GENERATION

Gegevensverzameling en gegevensverwerking

Privacybeleid. Versie 2018 TOTAL SOLUTIONS PNG

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

Welkom. ICT-Kring Delft bijeenkomst 4 december 2017

AVG Routeplanner voor woningcorporaties

Protocol datalekken voor Fidé Hypotheken & Verzekeringen

Clausules betreffende de verwerking van persoonsgegevens

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Beleidslijn informatieveiligheid en privacy Draadloze netwerken

Patiënten dossier & dataveiligheid Europese Privacy Verordening + ISO / NEN 7510

Informatieveiligheid. Verwerken van persoonsgegevens in de zorg

DPO Opleiding Considerati

checklist in 10 stappen voorbereid op de AVG. human forward.

In regel met GDPR. Daarbij zijn 3 pijlers van belang zodat u, nu en in de toekomst, in lijn bent met de nieuwste wet- en regelgeving.

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

ALGEMENE VERORDENING GEGEVENSBESCHERMING

GDPR bij Vlaamse Centrumsteden. Joris Voets Kenniscentrum Vlaamse Steden

Symposium Flanders Care Gegevens delen in de zorg = betere zorg

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

E-health in Gent E-health en privacy wetgeving in de praktijk

Introductie ICT-er met een brede blik

Informatieveiligheid bekeken vanuit juridisch perspectief

OVEREENKOMST GEZAMENLIJKE VERANTWOORDELIJKHEID NEDERLANDSE HART REGISTRATIE (NHR)

Minimale normen informatieveiligheid en privacy Overzicht

Relatiebeheer en consentmanagement. Beheer van therapeutische relatie en toestemmingen

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

AVG en meer... geen privacy zonder informatieveiligheid. Theater -7 Powered by ActiZ. Woensdag 18 april 15:00

Algemene Verordening Gegevensbescherming

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Transcriptie:

///////////////////////////////////////// IT VEILIGHEID VOOR NIET ICT-ERS bit en byte zonder ééntjes en nullen /////////////////////////////////////////

PETER BERGHMANS ///////////////////////////////////////// Peter Berghmans Veiligheidsborger ewzc programma Helpt mee persoonsgegevens te beschermen Passie voor de zorgsector Liefde voor lesgeven Contact peter@whitewire.be 0475951516 Linked in Data Protection Officer White Wire Docent Thomas More Docent Data Protection Institute https://be.linkedin.com/in/peter-berghmans-96841241 ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 2

///////////////////////////////////////// OVERZICHT VAN DE OPLEIDINGSDELEN Informatieveiligheid in de ouderenzorg /////////////////////////////////////////

DE SESSIES - OVERZICHT ///////////////////////////////////////// ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 4

SESSIE 1: INLEIDING INFORMATIEVEILIGHEID ///////////////////////////////////////// Objectief: Tijdens deze presentatie worden de aanwezigen ingeleid in het thema informatieveiligheid. Hierbij wordt - Het belang van informatieveiligheid in de zorgsector besproken (o.a. informatieveiligheid in de wetgeving, het ehealth platform en sectorcomité SZ/ AG). - de rol van de veiligheidsconsulent belicht - de spelregels van de privacywet toegelicht - Een veiligheidsbeleid en -plan toegelicht Praktische toepassing: - De cursist krijgt een bundel mee die kan gebruikt worden om het management van het WZC in te lichten (30 minuten presentatie). Elke cursist plant een presentatie voor het woonzorgcentrum - De cursist legt deel 1 van de beleidsnota voor aan de directie ter goedkeuring ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 5

SESSIE 2: COT EN MINIMALE VOORWAARDEN ///////////////////////////////////////// Objectief: 1. Begeleidingsmoment: van de presentaties voor het management en beleid informatieveiligheid 2. Tijdens deze sessie worden de basisvoorwaarden toegelicht om toe te treden tot systeem van COT: - Consent voor Belrai en Vitalink/eHealth - Procedure voor toegangsbeheer en de borging ervan - Logging van de activiteiten in het EBD - Omgang met medewerkers en derden Praktische toepassing: - De cursist krijgt enkele templates mee die betrekking hebben op bovenstaande onderwerpen. De cursist dient deze aan te passen aan de organisatie - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. - De cursist plant een eerste awareness sessie voor het personeel die wordt gegeven in de verschillende woonzorgcentra ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 6

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Objectief: 1. Reflectiemoment COT 2. Het doel van deze sessie is om toe te lichten welke de minimale technische veiligheidseisen zijn voor een ICT omgeving in de zorg. Het is niet de bedoeling om van de aanwezigen IT experten te maken. Ze dienen echter wel te begrijpen welke minimale vereisten de Privacycommissie op dit vlak eist. - Begrijpen welke veiligheidseisen op een werkstation op een verpleegpost is vereist - Begrijpen welke veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier kan worden voorzien - Begrijpen hoe een server veilig op internet kan worden gekoppeld - Begrijpen wat een veilige transmissie van gegevens betekent - Een impressie krijgen van maatregelen op het vlak van netwerkbeheer - Een begrip krijgen van het ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 7

DEEL 3: IT BEVEILIGING VOOR NIET IT-ERS ///////////////////////////////////////// Praktische toepassing: - De cursist krijgt een checklist mee die een beeld geeft van de sterktes en zwaktes van de ICT omgeving en kan hiermee de ICT omgeving in kaart brengen. - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 8

DEEL 4: VOORBEREIDEN OP INCIDENTEN/CONTINUÏTEIT ///////////////////////////////////////// Objectief: 1. Reflectiemoment (uitgebreid) van IT 2. Het doel van deze sessie is inzicht te krijgen in de maatregelen die de organisatie moet nemen om incidenten te voorkomen en desgevallend te beheren. We gaan hierbij in op de procedures voor backup van gegevens, de minimale hersteltijden en de noodprocedures. Ook de vraag Wat te doen bij een gegevenslek wordt behandeld. Praktische toepassing - De cursist krijgt een template mee voor het in kaart brengen van de backup procedure. Idem voor incidentmanagement - De cursist krijgt voor bovenstaande onderwerpen de delen mee die dienen te worden opgenomen in het beleidshandboek. ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 9

DEEL 5: WRAP UP: EEN STAP VERDER ///////////////////////////////////////// Objectief: 1. Reflectiemoment van Incident- en continuïteitsbeheer 2. Het doel van deze sessie is om de lessons learned toe te lichten, maar ook om het vervolgtraject te behandelen: naast de behandelde procedures, elke moeten in de toekomst nog verder worden ontwikkeld? Praktische toepassing - Dit is het einde van het traject. Er zijn geen opdrachten meer ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 10

PRAKTISCHE AFSPRAKEN ///////////////////////////////////////// > Elke deelnemer krijgt een attest van deelname > Verloop van de opleiding 09u30 12u00: sessie deel 1 - Broodjeslunch 13u00 15u30: sessie deel 2 > Opdrachten tussen de sessies helpen bij de implementatie > Slides: check steeds versiedatum! > In de presentatie staan hyperlinks Onderlijnde woorden Figuren ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 11

///////////////////////////////////////// HET VEREISTE VEILIGHEIDSNIVEAU Aan welk technisch veiligheidsniveau moet het WZC voldoen? /////////////////////////////////////////

WELK VEILIGHEIDSNIVEAU IS NOODZAKELIJK? ///////////////////////////////////////// > Op basis van de huidige regelgeving: artikel 16 > Op basis van de nieuwe AVG (Algemene Verordening Gegevensbescherming): Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico s voor de rechten en vrijheden van personen (art. 32) ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 13

ANDERE KENMERKEN KRACHTENS GDPR ///////////////////////////////////////// > Aantonen dat de bedoelde vereisten worden nageleefd Vb Het aansluiten bij goedgekeurde gedragscodes (art. 32 lid 3) Expliciete maatregelen zoals pseudonimisering minimale gegevensverwerking (noodzakelijkheid) - hoeveelheid /de mate waarin zij worden verwerkt/periode/ toegankelijkheid Versleuteling Waarborgen Confidentialiteit, Integriteit, beschikbaarheid Toegang tijdig herstellen ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 14

PRIVACY BY ///////////////////////////////////////// > Design Zorgen voor privacy bij ontwerp van de verwerking Op niveau van het proces Op niveau van de technologie > Default Privacy vriendelijke standaard instellingen (Later meer) ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 15

EN VERDER ///////////////////////////////////////// > Een stelsel voor verwerkers AVG Art 24 e.v.: Verantwoordelijkheid verwerkingsverantwoordelijke AVG Art 28 e.v.: Verwerker ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 16

GDPR ZOOMT VERDER IN ///////////////////////////////////////// > Via Code of Conducts en Certificering kan verwerking, inclusief informatieveiligheid, verder worden geregeld. Code of Conduct: verduidelijkt, specificeert de toepassing van GDPR - Opgesteld vb door koepels Certifications (nieuw): een methode om zeker te zijn dat gepaste maatregelen worden genomen Referenties: hier, hier en hier. ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 17

///////////////////////////////////////// INFORMATIEVEILIGHEID IN KAART BRENGEN Hoe informatieveiligheid meten? /////////////////////////////////////////

UITGANGSPUNT: ISO 27000 ///////////////////////////////////////// Tekening volgens ISO 27001:2005 ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 19

ISO 27001: HET MANAGEMENT RAAMWERK ///////////////////////////////////////// ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 20

ISO 27002: DE REGELS (1/2) ///////////////////////////////////////// ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 21

ISO 27002: DE REGELS (2/2) ///////////////////////////////////////// ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 22

SPECIFIEK ZORG: ISO 27799 EN NEN 7510 ///////////////////////////////////////// > Zie https://www.iso.org/obp/ui/#iso:std:iso: 27799:ed-2:v1:en > Vertaald naar NEN 7510: Ontwerp kan je downloaden (doel: commentaar) hier en hier > Voorbeelddocumenten vind je hier ///////////////////////////////////////// 9.05.2017 Agentschap Zorg en Gezondheid 23

VERTALING: RICHTSNOEREN ///////////////////////////////////////// ///////////////////////////////////////// 8.05.2017 Agentschap Zorg en Gezondheid 24

RELEVANTE UITSPRAKEN CBPL ///////////////////////////////////////// > CBPL = Commissie voor de bescherming van de persoonlijke levenssfeer > Bijvoorbeeld aanbeveling nr 01/2013 ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 25

///////////////////////////////////////// OEFENING Ga aan de slag met de richtsnoeren voor informatieveiligheid /////////////////////////////////////////

OPDRACHT ///////////////////////////////////////// > Deze opdracht wordt uitgevoerd in een groep van 3 of 4 WZC s. Je doorloopt de vragenlijst op basis van de richtsnoeren voor informatieveiligheid en je gaat na in welke mate de controles zijn afgedekt. > Wissel ideeën uit over de goede praktijken per actiepunt > Destilleer uit de lijst de 3 belangrijkste actiepunten > Nadien bespreken we de resultaten in de groep ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 27

DE VRAGENLIJSTEN ///////////////////////////////////////// > Voorbeelden: Gebaseerd op NEN7510 Gebaseerd op de richtsnoeren ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 28

///////////////////////////////////////// ICT SECURITY Waar kan het verkeerd gaan? enkele voorbeelden /////////////////////////////////////////

VOORBEELD 1: HTTPS ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 30

VB 1: HTTPS ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 31

VB 2: KWETSBAARHEDEN ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 32

VB 2: KWETSBAARHEDEN ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 33

VB 2: KWETSBAARHEDEN ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 34

VB 3: PHARMING ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 35

VB 4: PHISHING ///////////////////////////////////////// maar het kan verkeerd gaan ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 36

VB 5: MALWARE ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 37

VB 6 BOTNETS ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 38

VB 7: PASSWORD HACKS ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 39

VB 8: LOSGELD ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 40

VB 9: RANSOMWARE ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 41

VB 10: IOT EN ANDEREN ///////////////////////////////////////// ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 42

///////////////////////////////////////// OEFENINGEN Bepaal ICT maatregelen voor /////////////////////////////////////////

OPDRACHT 2: BEPAAL VEILIGHEIDSVEREISTEN VOOR ///////////////////////////////////////// - Veiligheidseisen op een werkstation/verpleegpost - Veiligheidsmaatregelen zijn vereist op een mobiel toestel - Weten hoe een server op een veilige manier wordt voorzien - Begrijpen hoe een server veilig op internet wordt gekoppeld - Wat is een veilige transmissie van gegevens - Maatregelen op het vlak van netwerkbeheer - Veilig omgaan met een ehealth certificaat - Weten wat belangrijk is in de omgang met de ICT leverancier - De antwoorden documenteren in de templates ///////////////////////////////////////// 10.05.2017 Agentschap Zorg en Gezondheid 44

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback