ier Veiligheidseisen en datahygiëne Dossiers op orde en beschikbaar! workshop EZD 9 april 2014 NHG Carinke Buiting
Workshop in drie rondes focus 1 e ronde: Waar staan we? (14:30) focus 2 e ronde: Waar willen we naartoe? (15:10) focus 3 e ronde: Koers en tijdvenster (16:30)
Waar$staan$wij$+$context$ privacy beschikbaarheid integriteit
Waar$staan$wij$ $dossier$bij$huisarts$ huisarts heeft meeste informatie steeds meer partijen willen gegevens uit het HIS verschuiving naar (ook) zelf ophalen huisartsenpost paramedici eerstelijn spoedeisende hulp ggz & crisis hackers ziekenhuis ketenzorg patiënt zelf dokter-to-go * deze workshop gaat niet over hackers maar wel over wie er bij de dossiers mag en wie niet
Waar$staan$wij$ eisen$van$buitenaf$ en passant steeds meer eisen: NEN/wet: NEN7510 (2011): kwaliteitscirkel; risicoanalyse NEN7513 (2010): loggen NEN7521 (2014): toegang tot patiëntgegevens Inspectie: CBP: veld: koepels: Staat volksgezondheid (2010): communiceer!! Toegang tot digitale dossiers (2013): behandelrelatie! Code Egiz (2013): leg toestemming vast! Quick scan (2013): logging + autorisatie + authenticatie! NHG/LHV: Standpunt h-epd (2010): dossier bij huisarts is beschikbaar!
Waar$staan$wij$ $misdaad$en$straf$ tendens om strenger af te rekenen casuïstiek/ jurisprudentie: dokters vaker strafrechtelijk veroordeeld begin met IT casuïstiek en veroordelingen: SAN Nijmegen (kantonrechter) dagstaatcontrole toont neuzen in dossiers (melding bij pol) gemiste diagnose natrekken (melding bij pol) UMCG moet zeggen wie dossier inzag (hoger beroep) Europese wetgeving: (zeer) hoge boetes bij privacy niet op orde als je niet weet wie toegang had of lekken niet opspoort en opvolgt of niet kunnen antwoorden < 24 uur boetes tot 2% bruto jaaromzet
NEN7510 (2011): Pak risico s aan! 1. scans$gedaan?$ 2. kwaliteitscirkel$&$beleidsplan?$ 3. incidentenregistrabe?$ 4. beveiligingsparagraaf$in$ prakbjkjaarverslag?$
NEN7513 (2013) Log alle toegang! 1. alle$toegang$tot$pabëntgegevens$wordt$ gelogd$ 2. zo$niet$dan$is$systeem$niet$toegankelijk$ 3. toegangslog$is$specifiek$voor$dit$doel$ ingericht$en$niet$geïntegreerd$met$ logging$voor$andere$doelen$ 4. etc.$
NEN7521 (201?): Controleer uitwisseling! 1. er$is$een$autorisabematrix$ 2. iedereen$werkt$onder$eigen$rol$ 3. u$weet$welke$uitwisseling$uw$ medewerkers$doen?$ 4. u$hebt$zicht$op$alle$uitwisseling$via$ achterdeurtjes$
Inspectie - Staat van de Volksgezondheid (okt 2010): Communiceer gebruik informatie! 1. verwijsbrieven/retourbrieven$(hasp)$$ 2. bevraging$door$hap$ 3. bevraging$door$keten$ 4. bevraging$door$spoed$
Standpunt NHG LHV h-epd (2010): Gegevens zijn beschikbaar! 1. ADEPD?$ 2. LSP/OZIS?$ 3. up+to+date?$
Rapport CBP (2013): Leg behandelrelatie vast! 1. behandelrelabe$is$albjd$af$te$leiden?$ 2. behandelrelabe$wordt$gecontroleerd?$ 3. bypass$(noodknop)$wordt$gelogd?$
Code Egiz (2013): Vraag toestemming leg die vast! 1. toestemming$is$albjd$gecontroleerd?$ 2. toestemming$wordt$gecontroleerd?$ 3. bypass$(noodknop)$wordt$gelogd?$
Koepels eerstelijn na Quick Scan (2013): Regel logging autorisatie - authenticatie! 1. logging$toegang$op$orde?$ 2. toegang$alleen$via$autorisabematrix?$ $(ook$achterdeurtjes$en$bevraging?)$ 3. toegang$op$basis$van$2$middelen$$ $(bv$wachtwoord$+$pasje)$
Workshop in drie rondes focus 1 e ronde: Waar staan we? focus 2 e ronde: Waar willen we naartoe? (15:10) focus 3 e ronde: Koers en tijdvenster
Waar$willen$we$naartoe?$ dossiers op orde toegang / inzage op orde voorkant + achterkant eigen medewerkers zorgverleners van buitenaf patiënt inzage toegang waardering voor ordenen recent journaal behandelaars medicatie episodes brieven uitslagen, foto s Eenheid van Taal! S P O E D c o n ti n u ït e it
Dossiers$op$orde$ Al op orde: integer beschikbaar up-to-date: uitslagen en brieven verwerkt aansluiting OZIS en/of LSP ADEPD EvT: bsn Werken aan: EvT: medicatie, labuitslagen
Toegang$op$orde$ Al op orde : privacy regelmatig privacyscans / audit incidenten toegang en opvolging verbeteringen doorvoeren paragraaf IB in jaarverslag Werken aan: Verdere toekomst: logging autorisatie - authenticatie patiënt inzage toegangslog
Workshop in drie rondes focus 1 e ronde: Waar staan we? focus 2 e ronde: Waar willen we naartoe? (15:10) focus 3 e ronde: Koers en tijdvenster
Koers$en$Bjdvenster$ Al op orde : NEN7510 regelmatig scan / audit incidenten toegang en opvolging verbeteringen doorvoeren paragraaf IB in jaarverslag 2010 PW IB NHG PraktijkWijzer informatiebeveiliging Werken aan: logging autorisatie - authenticatie Verdere toekomst: patiënt inzage toegangslog 2014-8 awareness voor zorgverleners 2014-7 PvE (eisen en zelftoets) voor systeemleveranciers
NHG$PrakBjkwijzer$InformaBebeveiliging$in$de$ huisartsenprakbjk$ hoe$(on)veilig$is$mijn$ prakbjk?$ waarmee$begin$ik?$ hoe$ga$ik$dat$ implementeren?$ en$ben$ik$er$dan?$ scans en risicoanalyse kwaliteitscirkel & beleidsplan incidentenregistratie paragraaf in praktijkjaarplan 2010 PW IB NHG PraktijkWijzer informatiebeveiliging online bijlagen
Scans en risicoanalyse: Beschikbaarheidscan Privacyscan Integriteitscan
Beschikbaarheidscan online bijlagen
Doe de privacyscan Doe de beschikbaarheidscan Doe de integriteitscan selecteer uit to do lijstjes eerste aanzet maatregelen
Koers$en$Bjdvenster$$ nieuwe$1 e +lijnsproducten$(1)$ NHG + Nictiz + KNMP + VHN + LHV + leveranciers logging& autorisa,e& authen,ca,e& 2013$ specificabes$ x$ x$ 2014$ inbouw$ specificabes$ x$ 2015$ uitrol$ inbouw$ specificabes$ 2016$ x$ uitrol$ inbouw$ 2017$ x$ x$ uitrol$ 2014-7 PvE (eisen en zelftoets) voor systeemleveranciers
snapshot$pve$logging$van$toegang$(1)$ 10&geboden &rond&logging&van&toegang& 1.$elke$toegang$wordt$gelogd$ 2.$zo$niet$dan$is$systeem$niet$toegankelijk$ 3.$toegangslog$specifiek$voor$dit$doel$ingericht$ 4.$in$uniform$systeemona_ankelijk$formaat$ 5.$blij`$ten$minste$7$jaar$beschikbaar$ 6.$systeemona_ankelijk$formaat$ 7.$niveau$is$paBëntdossier$ 8.$gaat$om$ read $en$ export $ 9.$ook$weigering,$ook$ bypass $ 10.$rubrieken:$paBënt,$verantwoordelijke,$raadpleger,$
snapshot$pve$logging$van$toegang$(2)$ 7&geboden &rond&presenta,e&van&logging&van&toegang& 1.$er$zijn$twee$rollen$voor$inzage:$ pabënt $en$ toegangslogverantwoordelijke $ 2+4.$de$ pabënt $mag$alle$toegang$tot$zijn$dossier$zien$ 5+7.$de$ verantwoordelijke $beoordeelt$dagstaat$van$toegang$en$kan$inzoomen$op$$ +$medewerker$ +$pabënt$dossier$ $
Koers$en$Bjdvenster$$ nieuwe$1 e $lijnsproducten$(2)$ NHG + NMT +? awareness& 2014$ 1.$inrichten$meedenktank$ 2.$zicht$op$risico s$$ 2015$ x$ logging$ +$$ 2016$ x$ autorisabe$ +$ 2x&uitbreiding& 2017$ x$ authenbcabe$ +$ 2018$ +$ +$ x$ 2014-8 awareness voor zorgverleners
Zijn alle vragen beantwoord?
Verdere informatie in de NHG-stand: inzage PraktijkWijzer demo online hulpmiddelen aanschaffen PraktijkWijzer: via ledenservice@nhg.org of 030-2823500 leden 52,15; niet-leden 74,50; aios 29,80 informatie www.nhg.org zoeken op infomatiebeveiliging of mail me: c.buiting@nhg.org of laat uw mailadres / visitekaartje achter ;)