Liever bewust risico s nemen dan onbewust risico lopen

Vergelijkbare documenten
Informatiebeveiliging en privacy in de zorg

Informatiebeveiliging en Privacy in het lokaal bestuur

Informatiebeveiliging en privacy in het onderwijs

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

De grootste veranderingen in hoofdlijnen

Functieprofiel Functionaris Gegevensbescherming

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

Definitieve versie d.d. 24 mei Privacybeleid

Plan

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Privacy & online. 9iC9I

Privacy in de afvalbranche

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Zet de stap naar certificering!

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Wettelijke kaders voor de omgang met gegevens

Even Voorstellen GEGEVENSBESCHERMING IN DE PRAKTIJK. SHK Najaar symposium Folkert van Hasselt RI. Folkert van Hasselt 29 november 2017

Informatiebeveiligingsbeleid Zorgbalans

Stappenplan naar GDPR compliance

sociaal domein privacy impact assessment

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

checklist in 10 stappen voorbereid op de AVG. human forward.

Gegevensbeschermingsbeleid gemeente Beekdaelen

Grip op privacy. Bestuurlijk belang bij privacybeleidsvoering. De Zeeuwse Leertuin Middagprogramma. Middelburg, 1 juli 2015

Privacy wetgeving: Wat verandert er in 2018?

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Stappenplan naar GDPR compliance

Privacybeleid gemeente Wierden

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

Berry Kok. Navara Risk Advisory

Privacy en de meldplicht datalekken

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

INFORMATIESESSIE INFORMATIEVEILIGHEID EN AVG. 25 juni 2018 Paul Frencken Johan van Middelkoop

Algemene verordening gegevensbescherming (AVG)

Procedure meldplicht datalekken

Aon Global Risk Consulting Cyber Practice Privacy Services

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Informatiebeveiligingsbeleid

Voorbereid op de nieuwe privacywet in 10 stappen

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Algemene verordening gegevensbescherming

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Privacy Maturity Scan (PMS)

Veiligheid op de digitale snelweg

AVG Routeplanner voor woningcorporaties

Aantoonbaar in control op informatiebeveiliging

Algemeen privacybeleid gemeente Asten 2018

PRIVACYBELEID STICHTING SECTORINSITUUT TRANSPORT EN LOGISTIEK, EN SECTORINSTITUUT TRANSPORT EN LOGISTIEK B.V. EN STL WERK B.V.

Beleid Informatiebeveiliging InfinitCare

Stichting Honkbalweek Haarlem. Privacy beleid SAMENWERKEN en VERBINDEN

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Protocol informatiebeveiligingsincidenten en datalekken Stichting OVO Zaanstad

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Screening & Privacy 3 belangrijke tips richting AVG

Privacybeleid.

- in te stemmen de checklist voorbereiding AVG stavaza 1sep17 als bijlage mee te sturen bij RIB met de beantwoording van de art.40-vragen.

Aanscherping WBP. Meldplicht datalekken. Mr S.H. Katus, CIPM Partner.

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Rechtmatigheid, behoorlijkheid, transparantie Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Definitieve bevindingen Rijnland ziekenhuis

Algemene Verordening Gegevensbescherming

Beleidskader privacy en gegevensbescherming

Privacyverklaring Therapeuten VVET

HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)

Informatiebeveiligings- beleid

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

Privacy reglement. Pagina 1 van 9

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

Tweede Kamer der Staten-Generaal

Rapportage Verkennend onderzoek Gegevensbeschermingsbeleid

Ondersteunende processen Organisatie Informatiebeveiliging Melding Datalek

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

IBP-rollen en functies: functionaris gegevensbescherming (FG) Magdalena Magala en Job Vos

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Privacy wetgeving in een notendop

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek

Informatiebeveiligings- en privacy beleid

staat is om de AVG na te komen.

De vijf hoofdvragen van privacy

Documentnummer: : Eindnotitie implementatie privacy

Jaarplan Privacy Implementatie Algemene Verordening Gegevensbescherming (AVG) -

GDPR. een stand van zaken

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

De bescherming van persoonsgegevens speelt een steeds belangrijkere rol door de:

De Voorzitter van de Eerste Kamer der Staten-Generaal Postbus EA Den Haag

Internet Beveiliging en Privacy (IBP) Beleid Aloysius

PRIVACYBELEID GEMEENTE ALMELO

Gegevensbescherming/Privacy

Thema 2: aanschaf en gebruik van e-healthtoepassingen

Informatiebeveiligings- en privacy beleid Coöperatie SWV 25-05

Transcriptie:

Liever bewust risico s nemen dan onbewust risico lopen Informatieveiligheid en privacy in de zorg niet meer vrijblijvend December 2016 Julius Duijts en Willem de Vries

Inhoudsopgave Inleiding 7 Privacy en informatieveiligheid steeds minder vrijblijvend 8 Informatieveiligheid: een veelomvattend begrip 8 Risico s wanneer adequaat beleid en maatregelen ontbreken 9 Waar staat uw organisatie nu en waar ontwikkelt hij naar toe? 9 De stapsgewijze aanpak (van BMC) 10 Wat levert een goed ingerichte informatieveiligheid u op? 11 Wat kan BMC voor u betekenen? 12 Waarom BMC? 14 BMC 5

6

Inleiding Privacy en informatieveiligheid zijn in toenemende mate een thema in het maatschappelijk debat, mede naar aanleiding van regelmatige publicaties over inbreuken in de publieke sector. Informatieveiligheid is een belangrijke pijler onder de bescherming van privacy, naast de andere eisen die de Wet bescherming persoonsgegevens (Wbp) stelt (zie kader). De mate van volwassenheid van zorginstellingen op dit gebied verschilt sterk. Sommige organisaties hebben een privacyofficer en een informationsecurityofficer aangesteld, hebben beleid ontwikkeld en bewaken en evalueren de uitvoering daarvan. Sommige organisaties bereiden zich voor op een NEN7510-certificering (zie kader). Veel organisaties hebben wel een aantal maatregelen getroffen om te voldoen aan privacy en informatieveiligheid, maar het ontbreekt vaak nog aan integraal beleid en de uitvoering daarvan. Wet bescherming persoonsgegevens De Wbp geeft aan binnen welke kaders persoonsgegevens mogen worden verwerkt en beschrijft de rol van de toezichthouder, de Autoriteit Persoonsgegevens (AP). Onderwerpen die in uw organisatie geregeld moeten zijn om te voldoen aan de wet zijn: melding van de verwerking aan de AP, rechtmatigheid van de verwerking (grondslag, doelbinding, propor tionaliteit en subsi diariteit), bewaartermijnen, verwerkingen register, bewerkers overeenkomsten, melding van datalekken, gegevensuitwisseling en informatieveiligheid. Op 25 mei 2018 treedt de Algemene Verordening Gegevens bescherming (AVG) in werking met aanvullende eisen ten aanzien van bijvoorbeeld verantwoording, documentatie, evaluatie, gegevens effectbeoordeling en de verplichte aanstelling van een functionaris gegevensbescherming. Omdat er nog geen catalogus van praktische maatregelen is om te voldoen aan de eisen rond aantoonbaarheid en evaluatie in de AVG, heeft BMC een catalogus met beheersmaatregelen ontwikkeld als basis voor een degelijke implementatie. NEN7510 Informatieveiligheid in de zorg NEN 7510 is de Nederlandse norm voor informatieveiligheid die is ontwikkeld met participatie vanuit de zorg zelf. Zowel door de Inspectie voor de GezondheidsZorg (IGZ) als de AP en andere toezichthouders wordt deze norm als basis gebruikt voor het beoordelen van de informatieveiligheid van zorgaanbieders. Per 1 februari 2016 is het voor organisaties mogelijk om zich te certificeren voor de NEN7510-norm. Enkele honderden organisaties (groot en klein) hebben dat inmiddels gedaan. Op termijn zou dit een verplichting kunnen worden; wettelijk of door dit in aanbestedingseisen op te nemen. BMC 7

Privacy en informatieveiligheid steeds minder vrijblijvend Een aantal ontwikkelingen zorgen ervoor dat privacy en informatieveiligheid steeds minder vrijblijvend worden: Elke zorginstelling gaat om met persoonsgegevens. De privacywetgeving wordt stapsgewijs aangescherpt. Per 2016 geldt er een meldplicht voor datalekken. Voorwaarde voor het vaststellen van datalekken is een goede informatieveiligheid, met bewaking van de informatiestromen. In mei 2018 treedt de AVG in werking met aanvullende eisen (zie kader). Datalekken en andere beveiligingsincidenten komen steeds meer voor. Een goed geïmplementeerd beleid voor informatieveiligheid en privacy maakt de kans op een incident kleiner en zorgt ervoor dat bestuurders aan hun zorgplicht voldoen. Dat maakt het beantwoorden van vragen door toezichthouders naar aanleiding van een incident een stuk gemakkelijker. Gebruikers van het burgerservicenummer (BSN) in de zorg zijn wettelijk verplicht om te voldoen aan NEN 7510 (art. 2 Regeling gebruik BSN in de zorg). Aangezien het BSN een sleutelrol speelt bij de communicatie in de keten en bij facturatie, betreft dit vrijwel alle zorgaanbieders. Per 1 februari 2016 is het voor organisaties mogelijk om zich te certificeren voor de NEN7510-norm. Enkele honderden organisaties (groot en klein) hebben dat inmiddels gedaan. Het ligt voor de hand dat opdrachtgevers, zoals zorgverzekeraars en gemeenten, dit op de agenda zetten bij de jaarlijkse contractonderhandelingen en op termijn lijkt het waarschijnlijk dat certificering bij aanbestedingen een eis wordt. Toezichthouders zoals de AP pleiten al jaren voor een betere informatieveiligheid in de zorg. De AP heeft zorgbestuurders er al meerdere malen op aangesproken hier meer aandacht aan te besteden (open brief april 2016). De AP brengt regelmatig rapporten uit met als doel partijen te bewegen om vanuit het oogpunt van privacy de juiste dingen te doen. In 2015 is een aantal bureaus jeugdzorg onderzocht en in 2016 verscheen er een onderzoek over het sociaal domein van de hand van de AP en stuurde de AP een open brief aan raden van bestuur van zorginstellingen. Met het verhogen van de boetebevoegdheid van de AP tot 820k of 10% van de omzet, nemen de mogelijkheden om regulerend op te treden toe. Het lijkt erop dat de AP de druk op privacy en informatieveiligheid stap voor stap zal opvoeren. Informatieveiligheid: een veelomvattend begrip In het verleden werden privacy en informatieveiligheid nogal eens gezien als iets voor ICT. Nu weten we dat veel inbreuken ontstaan door gedrag van medewerkers. Daarmee heeft iedereen een rol in en verantwoordelijkheid voor informatieveiligheid. In de afgelopen jaren hebben veel zorgaanbieders/ bestuurders hun handen vol gehad aan de implementatie van stelselwijzigingen als gevolg van decentralisatie, marktwerking en nieuwe bekostiging en bijbehorende administratieve processen. Daarbij stond het waarborgen van de continuïteit van de zorg en de organisatie voorop. Nu komen we in een nieuwe fase, waarin aandacht voor andere aspecten nodig is. Informatieveiligheid en privacy horen daarbij. Voor kleinere organisaties kan het lastig zijn om voldoende deskundigheid te verkrijgen op dit complexe terrein, waar juridische, technische en HR-aspecten en de visie op zorg bij elkaar komen. 8

Risico s wanneer adequaat beleid en maatregelen ontbreken Voor zorgaanbieders en voor bestuurders van zorgaanbieders is het een toenemend risico wanneer adequaat beleid en bijbehorende maatregelen niet voorhanden zijn: Patiënten kunnen ernstige schade lijden bij onvoldoende informatieveiligheid. Omdat het ook om medische gegevens gaat, treft dit mensen in de persoonlijke levenssfeer en ondermijnt het de vertrouwensrelatie tussen zorgaanbieder en cliënt. Persoonlijk en financieel kan dit voor cliënten grote gevolgen hebben. Met name in de GGZ kan het ook het succes van de behandeling ernstig dwarsbomen. Er kan reputatieschade ontstaan als gevolg van datalekken, hacken. Regelmatig duiken er berichten op in de pers over inbreuken bij gemeenten. Ook voor zorginstellingen is dit een risico. Reputatieschade kan ontstaan wanneer zorginstellingen worden genoemd in rapporten van de AP of andere toezichthouders. Er kunnen financiële risico s ontstaan als gevolg van lagere omzet als gevolg van reputatieschade en boetes. Wanneer een organisatie privacy en informatieveiligheid goed heeft ingericht, is dat ook een kans, omdat het kan bijdragen aan het winnen en behouden van het vertrouwen van cliënten en opdrachtgevers. Informatieveiligheid is een belangrijke pijler voor de borging van privacy. Omdat zorgaanbieders werken met een BSN, is het voldoen aan NEN 7510 (informatieveiligheid in de zorg) ook een wettelijke vereiste. Deze norm wordt door toezichthouders (IGZ en AP) gebruikt als meetlat. Certificering is sinds begin 2016 mogelijk. We verwachten op termijn een beweging richting verplichte certificering. Waar staat uw organisatie nu en waar ontwikkelt hij naar toe? Om verantwoordelijkheid te kunnen dragen voor privacy en informatieveiligheid is het belangrijk te weten waar de organisatie op dit punt staat. U wilt tenslotte voldoen aan relevante wetgeving en geen onbekende risico s lopen. Een blik van buiten zorgt voor onafhankelijkheid en brengt blinde vlekken aan het licht. Op die manier wordt u in staat gesteld om bewuste keuzes te maken bij het treffen van maatregelen of het accepteren van risico s. Vervolgens kunt u de nodige maatregelen implementeren, al of niet met externe ondersteuning. 0 1 Ad Hoc 2 Basis 3 Gepland 4 Geïmplementeerd 5 Proactief Geen aandacht voor informatieveiligheid/ privacy. Beperkt aantal ad hoc maatregelen, tijdelijke rollen. Basisset maatregelen genomen, globaal beleid, rollen belegd. Volledig beleid, implementatieplan voor de maatregelen op basis van risicoanalyse. Geïmplementeerd beleid en maatregelen, evaluatie geïntegreerd in P&C Cyclus. Proactieve sturing op ontwikkelingen, integratie van audits. BMC 9

De stapsgewijze aanpak (van BMC) De volledige inrichting van NEN 7510 omvat meer dan honderd beheersmaatregelen. Dat betekent veel werk, want de norm vereist ook de inbedding ervan in de organisatie en dat gaat niet van de ene op de andere dag. Dan is het de vraag waar je moet beginnen. Stapsgewijze implementatie maakt het proces beheersbaar en zorgt voor motiverende mijlpalen op weg naar volledige conformiteit. Om dit vorm te geven, onderscheiden we een aantal implementatieniveaus die achtereenvolgens doorlopen kunnen worden. Hieronder geven we de belangrijkste kenmerken van deze implementatieniveaus weer: Implementatieniveau 0: afwezig Op dit niveau is er geen aandacht voor informatieveiligheid. We zien dit in de praktijk met name in organisaties in oprichting. Implementatieniveau 1: ad hoc Op dit niveau ontstaat het eerste beleid, meestal op operationeel niveau. Rollen zoals die van privacyofficer (ook: privacybeheerder) of securityofficer (ook: informatieveiligheidsbeheerder of CISO) worden niet of alleen tijdelijk, bijvoorbeeld in een project, benoemd. Maatregelen worden in specifieke deelgebieden of als onderdeel van de implementatie van nieuwe systemen genomen, vaak met het accent op technische beveiliging. De controle vindt plaats als bijproduct van andere controles, zoals de controle van de jaarrekening of de certificering van het primaire proces. Dat kan een aanleiding zijn om meer aandacht aan privacy en/of iinformatieveiligheid te besteden en de stap naar het volgende implementatieniveau te maken. Van ad hoc naar basis Voor privacy wordt een inventarisatie van verwerking van persoonsgegevens gemaakt en deze wordt getoetst aan wet- en regelgeving. Vervolgens kan met een actieplan het niveau basis worden bereikt. Voor informatieveiligheid wordt een scan gemaakt op grond van een basisset van beveiligingsmaatregelen. Daarop volgt een aanpak om de basisset van maatregelen te implementeren. Implementatieniveau 2: basis Op dit niveau zijn de sleutelrollen benoemd. Deze krijgen als taak om het beleid en de implementatie daarvan vorm te geven. Daarvoor worden ze opgeleid. Het beleid krijgt vorm in algemene termen en wordt gespiegeld aan weten regelgeving. De meest voor de hand liggende maat regelen zijn getroffen. Voor privacy is er een verwerkings register, de rechtmatigheid van de bewerkingen is gewaar borgd, bewerkersovereenkomsten zijn afgesloten en processen rond de meldplicht datalekken zijn ingericht. Voor informatieveiligheid gaat het om basismaatregelen op het gebied van gedrag van medewerkers, fysieke beveiliging en beveiliging van netwerken, systemen en eindgebruikersapparaten. Dat schept de uitgangssituatie om privacy en informatieveiligheid structureel op te pakken. Van basis naar gepland Structureel oppakken bestaat uit een goede GAP-analyse van de maatregelen die al getroffen zijn ten opzichte van de maatregelen die nodig zijn om duurzaam te voldoen aan NEN 7510 en aan de privacywetgeving. Omdat er nog geen catalogus van praktische maatregelen is om te voldoen aan de eisen rond aantoonbaarheid en evaluatie in de AVG, heeft BMC een catalogus met beheersmaatregelen ontwikkeld als basis voor een degelijke implementatie. Naast de GAP-analyse wordt er voor informatieveiligheid een risicoanalyse en een dataclassificatie uitgevoerd. Op basis daarvan wordt voor zowel privacy als informatieveiligheid integraal beleid opgesteld. Implementatieniveau 3: gepland Op dit niveau is er integraal beleid geformuleerd dat de gehele privacywetgeving en NEN 7510 omvat. Voor informatieveiligheid zijn op basis van een risicoanalyse en het principe leg uit of pas toe ( comply or explain ) de te implementeren maatregelen gekozen en geprioriteerd. Deze zijn vaak nog niet volledig geïmplementeerd. Wel wordt daar in deze fase actief aan gewerkt door de maatregelen uit te werken in bijvoorbeeld procesbeschrijvingen, praktische richtlijnen en gedragscodes. Daarbij zijn steeds meer disciplines betrokken, zoals HR, facilitaire zaken, lijnmanagers en proceseigenaren in het primaire proces. Alle medewerkers worden bewust gemaakt van hun verantwoordelijkheid voor privacy en informatieveiligheid. Dit wordt bijvoorbeeld besproken tijdens werkoverleggen. Door middel van geregeld voortgangsoverleg en een eventuele herhaling van de GAP- en risicoanalyse wordt de voortgang bewaakt en bijgestuurd. Daarbij is ook de hoogste leiding van de organisatie op gezette tijden betrokken. 10

Implementatieniveau 4: geïmplementeerd Op dit niveau zijn het beleid en de maatregelen volledig geïmplementeerd. Deze worden op basis van periodieke evaluaties en risicoanalyses bijgesteld volgens de Plan- Do-Check-Act-cyclus, die ook uit het kwaliteitsmanagement bekend is. Dat de maatregelen worden uitgevoerd is aantoonbaar en dit wordt ook bewaakt in de P&C-cyclus en getoetst door middel van interne en externe audits. Voorafgaand aan belangrijke wijzigingen in processen en systemen wordt de impact daarvan op privacy en informatieveiligheid onderzocht. Dit is dan ook het niveau waarop een NEN7510-certificeringsaudit met succes kan worden doorlopen. Implementatieniveau 5: proactief Op dit niveau wordt er ook vooruitgekeken naar toekomstige ontwikkelingen op het gebied van wet- en regelgeving en techniek. Ook wordt er vooruit- gekeken naar ontwikkelingen binnen de organisatie, bijvoorbeeld andere manieren van organiseren en werken en de invoering van nieuwe informatiesystemen die daarbij horen. Naast de uitvoering van de maatregelen is er meer aandacht voor de effectiviteit ervan. Penetratietesten kunnen daaraan bijdragen. Bij de verdere ontwikkeling van beleid en maatregelen worden de effectiviteit en efficiëntie daarvan geoptimaliseerd. Daarbij worden maatregelen uit verschillende normen gecombineerd en op elkaar afgestemd. Ook wordt er gekeken naar betere aansluiting bij ketenpartners waar het gaat om privacy en informatieveiligheid. Op basis van deze implementatieniveaus geeft BMC inzicht in waar uw organisatie staat en welke vervolgstappen in uw situatie gepast zijn. Wat levert een goed ingerichte informatieveiligheid u op? Bovengenoemd proces leidt tot een gestage ontwikkeling van uw organisatie naar de gewenste situatie waarin u aantoonbaar voldoet aan de normen voor informatiebeveiliging en privacywet- en regelgeving. Dit betekent dat bestuurders in control zijn en bewuste, onderbouwde keuzes kunnen maken ten aanzien van risico s. De gegevens van cliënten zijn goed beschermd, zodat ze deze met vertrouwen kunnen delen met zorgverleners. Als er onverhoopt toch een inbreuk ontstaat, is de organisatie klaar om hierop te reageren, bijvoorbeeld door een datalek te melden bij de AP. Bestuurders, management en medewerkers kunnen met een goed geweten zeggen dat er passende maatregelen getroffen zijn om incidenten te voorkomen. Dat vormt ook een goede basis voor gesprekken met opdrachtgevers, waarin informatieveiligheid steeds vaker aan de orde komt. Met een goed ingerichte informatieveiligheid wordt het vertrouwen van cliënten en opdrachtgevers in de organisatie versterkt. Handige links Wet bescherming persoonsgegevens: http://wetten.overheid.nl/bwbr0011468/2016-01-01 Algemene Verordening Gegevensbescherming: http://eur-lex.europa.eu/legal-content/nl/txt/ PDF/?uri=CELEX:32016R0679&from=NL NEN7510: https://www.nen.nl/nen-shop/norm/ NEN-75102011-nl.htm Regeling van de Minister van Volksgezondheid, Welzijn en Sport van 26 mei 2008, nr. MEVA/ICT- 2838255 met regels omtrent het gebruik van het burgerservicenummer in de zorg (Regeling gebruik burgerservicenummer in de zorg). http://wetten.overheid.nl/bwbr0023923/2015-01-01 Boetebeleidssregels Autoriteit Persoonsgegevens: http://wetten.overheid.nl/bwbr0037543/2016-01-16 BMC 11

Wat kan BMC voor u betekenen? Voor elk implementatieniveau ondersteunt BMC u bij de borging en verbetering van privacy en informatie veiligheid, zoals door middel van: scans en assessments om uw situatie in kaart te brengen; het opstellen van beleid en onderbouwde keuzes van maatregelen; het maken van concrete plannen voor de verdere inrichting in uw organisatie; het ondersteunen van en adviseren bij de implementatie. Implementatieniveau Diensten privacy Diensten informatieveiligheid 1 Ad hoc Managementworkshop Toetsing aan het privacykader inclusief melding bij de AP en opstellen bewerkersovereenkomsten 2 Basis Inrichtingsplan beheersingsmaatregelen voor privacy Toetsing rechtmatigheid van verwerkingen en gegevensuitwisseling Privacy Impact Assessment 3 Gepland Assessment beheersingsmaatregelen (opzet en/of bestaan) Toetsing rechtmatigheid van verkeringen en gegevensuitwisseling Advies en ondersteuning bij implementatie Privacy Impact Assessment Training en bewustwording 4 Geïmplementeerd Assessment (opzet en bestaan) Toetsing rechtmatigheid van verkeringen en gegevensuitwisseling Advies en ondersteuning bij evaluatie/ verbetering Privacy Impact Assessment 5 Proactief Advies en ondersteuning bij evaluatie/ verbetering Alle niveaus Training en bewustwording Jaarlijkse check met verschillende modules: - Update verwerkingenregister - Toetsing rechtmatigheid Evaluatie beheersingsmaatregelen Managementworkshop Scan informatiebeveiliging Opstellen van informatieveiligheidsbeleid GAP-analyse beveiligingsmaatregelen Dataclassificatie Risicoanalyse Plan van aanpak voor implementatie Assessment (opzet en/of bestaan) Risicoanalyse Implementatieplan Advies en ondersteuning bij implementatie Training en bewustwording Assessment (opzet en bestaan), voorbereiding certificeringsaudit Advies en ondersteuning bij evaluatie/ verbetering Advies en ondersteuning bij evaluatie/ verbetering Training en bewustwording Jaarlijkse check met verschillende modules, zoals: GAP-analyse Risicoanalyse Plan van aanpak 12

Managementworkshop De managementworkshop is bedoeld om bestuurders en managers te laten kennismaken met regelgeving rond privacy en informatieveiligheid, om op die manier samen een globale indruk te krijgen van waar de organisatie staat. De workshop (een dagdeel) bestaat uit een intake met een rapportage en kan gericht zijn op privacy, informatieveiligheid of beide. In de workshop wordt een inventarisatie gemaakt van uw belangrijkste processen, systemen en gegevens en ontdekt u de aandachtspunten voor uw organisatie op hoofdlijnen. Toetsing aan het privacykader In de privacyevaluatie wordt de verwerking van persoonsgegevens geïnventariseerd en getoetst aan het wettelijk kader van de Wbg en andere regels die voor u van toepassing zijn. Het gaat onder andere om: melding van verwerking aan de AP, rechtmatigheid van de verwerking (grondslag, doelbinding, proportionaliteit en subsidiariteit), bewaartermijnen, verwerkingsregister, bewerkersovereenkomsten, melding van dataleken, gegevensuitwisseling en informatieveiligheid. Wanneer er nog geen systematische inventarisatie van verwerking van persoonsgegevens heeft plaatsgevonden, kan dit worden opgenomen in het onderzoek. Desgewenst kan bij het assessment worden geanticipeerd op de AVG die in 2018 van kracht wordt. Dit stelt u in staat om proactief en efficiënt op de nieuwe wetgeving te reageren. Assessment beheersing privacy In het privacyassessment wordt onderzocht welke maatregelen uit de catalogus met beheersmaatregelen voor de AVG in uw organisatie in opzet aanwezig zijn. Op basis daarvan wordt er een plan gemaakt voor de verdere implementatie daarvan, waarna u niet alleen voldoet aan wet- en regelgeving, maar dit niveau ook in stand kunt houden, kunt aantonen, evalueren en waar nodig verbeteren. Scan informatieveiligheid Deze scan is bedoeld voor organisaties die informatieveiligheid nog niet structureel hebben ontwikkeld en geïmplementeerd. Daarin worden door u op basis van een vragenlijst documenten aangeleverd over beleid en maatregelen op het gebied van informatieveiligheid. Deze worden met de normen en de stand van de techniek vergeleken en tijdens een beperkt aantal interviews of in een workshop met betrokkenen besproken, bijvoorbeeld verantwoordelijken voor en uitvoerenden van HR-, kwaliteits- en ICT-beleid. Op basis daarvan worden de belangrijkste issues gerapporteerd en worden er vervolgstappen geadviseerd. De scan informatieveiligheid bevat onderdelen van NEN 7510 die voor deze doelgroep als eerste aan de orde komen. Het betreft zowel beleidsmatige als organisatorische als technische aspecten. Assessment informatiebeveiliging Voor organisaties die zelf al structureel beleid hebben ontwikkeld en geïmplementeerd zijn er assessments. Daarin worden alle onderdelen van NEN 7510 voor informatieveiligheid onderzocht, zoals governance, beleid, organisatorische en technische beveiligingsmaatregelen. In overleg met de opdrachtgever wordt afgesproken of het assessment alleen gaat over de opzet van de beheersingsmaatregelen of dat ook de uitvoering (of het bestaan) van de beheersingsmaatregelen wordt onderzocht. Ook bij een assessment wordt documentonderzoek gecombineerd met interviews, maar het aantal daarvan is groter dan bij een scan. Daarnaast kunnen ook andere vormen van onderzoek worden ingezet, zoals demonstraties en rondleidingen. Risicoanalyse Als aanvulling op een scan of een assessment of als basis voor de uitwerking van beleid kan er een risicoanalyse worden uitgevoerd. Daarin worden specifieke bedreigingen voor uw organisatie in kaart gebracht en geeft u zelf een weging aan de risico s, in samenspraak met onze adviseurs. Een risicoanalyse helpt om prioriteiten te stellen, maatregelen te nemen en de restrisico s bewust te accepteren. Adequate inrichting van privacy en informatieveiligheid Op basis van scan, assessment en/of risicoanalyse helpt BMC u om u verder te ontwikkelen en maatregelen te definiëren en te implementeren, zoals: het opstellen van een jaar- of meerjarenplan; het inrichten van privacy en/of informatieveiligheid; het ontwikkelen van beleid; implementatie van voor privacy relevante processen en beleid; implementatie van managementsystemen, processen en beveiligingsmaatregelen; ondersteuning/coaching van verantwoordelijken voor privacy, informatieveiligheid of kwaliteit; invulling van de rol van privacy- of informatie veiligheids beheerder/-officer in uw organisatie, tijdelijk, part time of in vaste dienst. BMC 13

Waarom BMC? BMC geeft integraal advies door kennis en ervaring van zorg, privacy en informatieveiligheid te combineren. BMC verstaat de taal van verschillende disciplines, van bestuursniveau tot op de werkvloer. BMC neemt de organisatie mee in haar ontwikkeling en stemt haar advies daarop af. Contact Heeft u vragen of wilt u vrijblijvend met ons in contact komen, dan kunt u telefonisch contact opnemen via (033) 496 52 00 of stuur een e-mail. IR. JULIUS DUIJTS CISSP SENIOR ADVISEUR @: juliusduijts@bmc.nl DRS. WILLEM DE VRIES SENIOR ADVISEUR @: willemdevries@bmc.nl 14

POSTADRES Postbus 490 3800 AL Amersfoort TELEFOON 033-496 52 00 INTERNET www.bmc.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback