Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur

Vergelijkbare documenten
Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Stappenplan naar GDPR compliance

Stappenplan naar GDPR compliance

Algemene verordening gegevensbescherming

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Wat betekent de AVG voor mij als ondernemer? Juni 2018

Algemene Verordening Gegevensbescherming

Zet de stap naar certificering!

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

EXtreem veilig. Stappenplan Algemene Verordening Gegevensbescherming

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

De nieuwe privacywetgeving:

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

In 15 stappen op weg naar 2018

checklist in 10 stappen voorbereid op de AVG. human forward.

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Functieprofiel Functionaris Gegevensbescherming

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

WHITE PAPER Verwerkersovereenkomsten en de Algemene Verordening Gegevensbescherming (AVG)

Bescherming Persoonsgegevens. Presentatie LAC Zuid

De grootste veranderingen in hoofdlijnen

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 6 juli 2016 Betreft Kamervragen. Geachte voorzitter,

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Privacy wetgeving: Wat verandert er in 2018?

ALGEMENE VERORDENING GEGEVENS BESCHERMING

AVG/GDPR ready programma

Handvatten bij de implementatie van de AVG

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Privacy Maturity Scan (PMS)

staat is om de AVG na te komen.

Informatiebeveiliging en Privacy; beleid CHD

Voorbereid op de nieuwe privacywet in 10 stappen

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

Privacybeleid gemeente Wierden

Wat moet je weten over... privacy en passend onderwijs?

GDPR. een stand van zaken

Borging privacy op P4 data ODA zomersessie 7 juli 2017

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF>

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

VERWERKERS- OVEREENKOMST <NAAM BEDRIJF> Bestaande uit: Deel 1. Data Pro Statement Deel 2. Standaardclausules voor verwerkingen. Versie <versie/datum>

In 10 stappen voorbereid op de AVG

Berry Kok. Navara Risk Advisory

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

In jouw schoenen. Een praktische invulling van informatiebeveiliging

Algemene Verordening Gegevensbescherming (AVG)

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

STAPPENPLAN Algemene verordening gegevensbescherming (AVG)

Privacy in de eerstelijnspraktijk Checklist & tips

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

NEN 7510: Een kwestie van goede zorg

Informatiebeveiliging binnen de gemeente Delft COMMISSIE ECONOMIE, FINANCIËN EN BESTUUR

Definitieve versie d.d. 24 mei Privacybeleid

TRAINING: PERSOONSGEGEVENS

HANDREIKINGDATA PROTECTION IMPACT ASSESSMENT (DPIA)

AVG Routeplanner voor woningcorporaties

Bescherm de privacy van uw klanten op weg naar compliance met Europese privacy-wetgeving. Whitepaper voor CIO s, business- en ICT-managers

Plan

De alles-in-1 Zorgapp

2513AA22XA. De Voorzitter van de Tweede Kamer der Staten-Generaal Binnenhof 1 A 2513 AA S GRAVENHAGE

VEELGESTELDE VRAGEN OVER DE BEWERKERSOVEREENKOMST

LOKO kijkt continu vooruit zodat ICT voor u blijft werken

Information Security Management System ISMS ISO / NEN 7510

Privacyverklaring. Falke & Verbaan

Algemene verordening gegevensbescherming (AVG)

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

General Data Protection Regulation De belangrijkste gevolgen en verschillen ten opzichte van WBP

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

ECIB/U Lbr. 17/010

Wij verwerken uw gegevens om u de best mogelijke behandeling te bieden en om te voldoen aan wettelijke

ALLE SCHAKELS VAN DE PRIVACYKETTING

PRIVACYBELEID CONVENIENT FASTGUIDE BV

Factsheet juridische informatie MedMij

Privacyverordening gemeente Utrecht. Utrecht.nl

Privacyverklaring Meesterwerk. eid wonen Onderwijs Z org Werken

Fiscount ICT-Strategie en -Beveiliging

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

Privacy & online. 9iC9I

Algemene Verordening Gegevensbescherming

Protocol datalekken Samenwerkingsverband ROOS VO

Invoering GDPR. Iedereen heeft recht op bescherming van zijn of haar persoonsgegevens.

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

Accountant en AVG 3 december 2018

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

Transcriptie:

Zes KRACHTIGE NEN 7510 handvatten voor de Raad van Bestuur WHITEPAPER

Inhoud Bereid je voor op NEN 7510... 3 1. De manier van informatieverwerking verandert; (h)erken dit ook... 4 2. Ga slim om met verandering... 5 3. Verandering begint bij bestuurders en managers... 5 4. Privacy by Design: maak privacy onderdeel van elke verandering... 6 5. Stel de benodigde middelen ter beschikking... 7 6. Houd de vinger aan de pols... 8 Conclusie... 9 Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 2

Bereid je voor op NEN 7510 Beveiligingsnorm NEN 7510. Of je het nou ziet als een noodzakelijk kwaad of een goede zaak; binnenkort zal jouw zorginstelling er toch echt aan moeten geloven. Vanaf 25 mei 2018 is namelijk een Europese wet van kracht die de spelregels over de omgang met data grondig verandert. In deze Algemene Verordening Gegevensbescherming (AVG) zit ook de NEN 7510 ingesloten, die de gegevensbescherming van zorginstellingen op orde moet krijgen. Om te voldoen aan deze nieuwe wetgeving moeten zorginstellingen bepaalde beveiligingsmaatregelen nemen die een adequate omgang met patiëntgegevens garanderen. Ben jij degene die jouw zorginstelling door deze veranderingen heen moet loodsen? Dan zie je de ontwikkelingen rondom AVG waarschijnlijk met lede ogen aan. Voor velen lijkt het namelijk een tijdrovende en onnodige klus, zeker als je nog nooit slachtoffer bent geweest van malware of andere virussen. Toch is dit het moment om aan je informatiebeveiliging te sleutelen. Het heeft geen zin om te wachten totdat je een keer een datalek meemaakt. Het is tijd om nú het heft in eigen handen te nemen, eventuele gevaren voor te blijven en aan je databeveiliging op peil te brengen. Zo verlaag je de kans op ontevreden cliënten en medewerkers en loop je ook niet het risico dat je zorginstelling imagoschade oploopt. Deze aanpassingen hoeven helemaal niet zo moeilijk te zijn als je misschien denkt. Om je op weg te helpen bieden wij zes krachtige handvatten, zodat je jouw zorginstelling goed kunt voorbereiden op de invoering van de NEN 7510. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 3

1. De manier van informatieverwerking verandert; (h)erken dit ook Digitalisering verandert alles, ook de manier waarop je als zorginstelling informatie verwerkt. Wees je bewust van deze veranderingen en zie ook welke mooie kansen het oplevert. Zo wordt dankzij ehealth de cliënt meer betrokken bij zijn eigen zorgproces en geeft het de arts meer inzicht in zijn cliënt. Door de digitalisering van de cliëntendossiers hebben alle betrokkenen eenvoudig toegang tot de benodigde informatie. Het toenemende gebruik van apps zorgt ervoor dat cliënten gemakkelijker toegang hebben tot hun eigen zorg. Allemaal positieve ontwikkelingen, voor zowel artsen en begeleiders als de cliënt zelf. Maar digitalisering brengt ook minder mooie dingen met zich mee. Zo neemt het risico op een cyberaanval toe. Om de kans op een virus of aanval zoveel mogelijk te verkleinen moet de manier van informatieverwerking voortdurend worden aangepast. Tenslotte zijn er nog de veranderingen die vanuit overheidswege invloed hebben op de zorg. Zodra nieuwe wetten en bezuinigingen worden aangekondigd, vindt dat zijn weerslag in het zorgproces. Een voorbeeld is de invoering van de Wet Maatschappelijke Ondersteuning (WMO). Daarmee ligt de zorg veel meer in handen van de gemeente, zodat patiënten, cliënten en ouderen langer thuis kunnen blijven wonen. Deze wet neemt heeft de rol van zorginstellingen aanzienlijk veranderd. Dit soort veranderingen zullen zich altijd blijven voordoen. Het is daarom goed om dit te erkennen en niet je kop in het zand te steken. Zodra je die veranderingen omarmt, komt dat je zorginstelling alleen maar ten goede. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 4

2. Ga slim om met verandering Nog beter is om deze ontwikkelingen niet alleen te omarmen; grijp ze ook met beide handen aan. Ze bieden namelijk kansen om beveiligingszaken aan te pakken die in het verleden niet gelukt zijn. De implementatie van NEN 7510 moet een doorlopend proces zijn, geen project met een begin- en einddatum. Als je de veranderingen hebt doorgevoerd, maak er dan ook beleid van. Zo zorg je ervoor dat ze geborgd worden in jouw organisatie. Let er wel op dat de aandacht bij zo n nieuw beveiligingstraject niet alleen uitgaat naar ICT. Er zijn ook veel andere factoren die invloed hebben op de veiligheid. Denk daarbij aan zaken met betrekking tot het personeel of het gebouw, waaronder het werken met toegangspasjes of een receptie. Door veranderingen organisatiebreed aan te pakken, zorg je ervoor dat jouw zorginstelling voldoet aan de hoogste normen. 3. Verandering begint bij bestuurders en managers De NEN 7510 luidt een ware cultuurverandering in. Het gaat hier niet om een aantal ICT-gerelateerde wijzigingen; het betreft de privacy en beveiliging van vertrouwelijke cliënteninformatie. Als bestuurder heb je dan ook een grote maatschappelijke verantwoording, zowel tegenover je cliënten en personeel als de maatschappij. Door deze veranderingen als bestuurder positief tegemoet te treden laat je zien dat je je uiterste best om incidenten te voorkomen. Het is daarom belangrijk om je intrinsieke motivatie aan te tonen. Laat zien dat je deze veranderingen echt wilt. Toon je betrokkenheid aan je managers en werknemers. En zorg er voor dat het management gedreven en motiverend is. Op die manier is het eenvoudiger om ook je medewerkers mee te krijgen in je enthousiasme. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 5

4. Privacy by Design: maak privacy onderdeel van elke verandering Voor de invoering van NEN 7510 is het noodzakelijk om nú na te denken over je informatiebeveiliging. Maar in de toekomst kun je het privacy aspect beter direct in iedere kwaliteitsverbetering of verandering meenemen. Wacht dus niet tot je alle procedures op orde hebt gebracht totdat je over privacy gaat nadenken. Dit is vanaf 2018 bovendien een verplichting. In de Europese privacywetgeving wordt dit Privacy by Design genoemd. Dit houdt in dat je als zorginstelling al tijdens de ontwikkeling van producten of diensten aandacht moet besteden aan privacyverhogende maatregelen, ook wel Privacy Enhancing Technologies (PET) genoemd. Zo wordt het privacy aspect een verplicht onderdeel van het veranderen en ontwikkelen van nieuwe zorgprocessen. Een belangrijk onderdeel van Privacy by Design is het minimaliseren van het aantal gebruikte gegevens. Er mogen niet méér persoonsgegevens verwerkt worden dan strikt noodzakelijk is. Ook is het handig om data te pseudonimiseren of gegevens van elkaar los te koppelen. Dit verlaagt het risico dat er vertrouwelijke informatie verloren gaat of misbruikt wordt. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 6

5. Stel de benodigde middelen ter beschikking Als je als zorginstelling je gegevensbeveiliging op peil wilt brengen, moet dat proces wel ondersteund worden. Dat betekent dat functies, taken en verantwoordelijkheden worden gekoppeld aan medewerkers. Zolang iedereen zijn rol in de veranderingen kent is de kwaliteit van het zorgproces verzekerd. In de voorbereiding op NEN 7510 is een belangrijke rol weggelegd voor de Functionaris voor de Gegevensbescherming (FG). Dit is iemand binnen je organisatie die toezicht houdt op de toepassing en naleving van de nieuwe norm. Deze rol kan eventueel gedeeld worden onderling of met andere zorginstellingen. Het is het beste om deze FG niet op een ICT-afdeling te beleggen. Hoewel de nieuwe wetgeving wel raakvlakken heeft met ICT, is dat zeker niet het enige. Er zit ook een groot cultureel aspect in, waarbij de focus ligt op menselijk handelen en bewustwording. Als er te veel vanuit een ICT-oogpunt wordt gestuurd bestaat het risico dat er te veel naar functionaliteiten wordt gekeken en dat de cultuur niet mee verandert. Er wordt dan te veel gefocust op het wat en te weinig op het waarom. Behalve menselijke capaciteit is er voor NEN 7510 uiteraard ook geld en tijd nodig. Als dat er niet is heb je kans dat de beveiliging uiteindelijk niet op het gewenste niveau is. Neem gegevensbescherming daarom jaarlijks op in de begroting. Zo zorg je ervoor dat het proces gewaarborgd is. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 7

6. Houd de vinger aan de pols Als je deze veranderingen in gang hebt gezet blijft het zaak om betrokken te blijven bij het beveiligingstraject. De beveiligingsnorm moet onderdeel zijn van een doorlopend proces en kan beter niet als een tijdelijk project worden opgevat. Door als bestuurder voortdurend belangstelling te tonen voor de bescherming van persoonsgegevens wordt het privacy aspect volledig geïncorporeerd in je zorginstelling. Als je doorlopend je commitment toont sta je ook sterker in je schoenen bij eventuele incidenten. Incidenten kunnen altijd gebeuren, zelfs als je aan alle eisen van NEN 7510 voldoet. Daar verander je helaas niets aan. Maar je kunt incidenten wel zoveel mogelijk voorkomen en evalueren, om het risico te beperken. Voor een objectieve meting van je huidige stand van zaken kun je een audit uit te laten voeren door een externe partij. De Autoriteit Persoonsgegevens heeft al aangekondigd dat er verscherpte controles gaan plaatsvinden bij zorginstellingen die geen FG hebben. Mocht de privacy van een cliënt een keer geschaad worden, dan kun je aan de hand van zo n audit laten zien dat het een uitzonderlijk geval betreft. Zolang je kan aantonen dat je gedreven bent om aan alle veiligheidseisen te voldoen, bijvoorbeeld door tegenmaatregelen te nemen in het geval van een incident, vergroot je het vertrouwen van je cliënten. Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 8

Conclusie De NEN 7510 zit er hoe dan ook aan te komen, daar kun je niet meer omheen. Alle zorginstellingen, ongeacht omvang of aard van de bedrijfsprocessen, moeten voldoen aan de NEN 7510. Wij hopen echter dat je deze veranderingen na het lezen van dit whitepaper ziet als een kans, en niet meer als een noodzakelijk kwaad. Uiteindelijk levert de nieuwe beveiligingsnorm namelijk vooral positieve resultaten op. Natuurlijk kost het wat tijd en moeite om je zorginstelling klaar te stomen voor de nieuwe beveiligingsnorm. Maar de verbeterde gegevensbeveiliging leidt uiteindelijk tot tevreden klanten, die meer vertrouwen hebben in de omgang met hun gevoelige informatie. Bovendien is jouw zorginstelling door deze beveiligingsnorm ook beter gewapend tegen schadelijke cyberaanvallen. Korton ondersteunt je graag in de implementatie van beveiligingsnorm NEN 7510. Als gespecialiseerd bedrijf op het gebied van ICT hebben wij veel ervaring met de regels rondom informatiebeveiliging van zorginstellingen. Bovendien zijn we zelf ook NEN 7510 gecertificeerd en bieden wij advies en diverse trainingen aan. Zo kunnen wij controleren hoe het nu gesteld is met je veiligheid. Om te beoordelen of jouw zorginstelling voldoet aan de eisen van NEN 7510 voeren wij een Security Quickscan uit op je huidige netwerk. Uit deze scan zal blijken of je ICT-netwerk voorbereid is op de nieuwe beveiligingsregels. Meld je hier aan voor een Security Quickscan. Ben jij klaar voor de volgende stap maar lukt het nog niet om je organisatie mee te krijgen? Ook daarbij kunnen we helpen. Wij bieden Security Awareness trainingen, waarin we iedereen binnen jouw zorginstelling bewust maken informatiebeveiliging en aantonen hoe belangrijk de menselijke factor hierin is. Lees hier meer over onze bewustwordingstrainingen. Voor andere vragen kun je uiteraard ook direct contact opnemen met Niels Spiering. Niels heeft inmiddels ruime ervaring met het inrichten van ict-omgevingen voor zorginstellingen en kan jou helpen bij het voorbereiden op NEN 7510. Korton Group www.korton.nl 023 555 5060 Korton ZES KRACHTIGE NEN 7510 HANDVATTEN VOOR DE RAAD VAN BESTUUR 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback