Scholing Informatiebeveiliging5 maart 2018

Programma

welkom

stellingen

informatie AVG

ervaringen met praktijktoets www.ibindezorg.nl

praktische consequenties nformatiebeveiliging

afsluiting

Doel cursus

• Bewustwording risico’s voor datalekken in onzepraktijkvoering

• Informatiebeveiliging verhogen door PDCA-cyclus

• We weten wanneer en hoe we met een datalekomgaan.

• Inzicht in benodigde afspraken/overeenkomsten met personeel/verwerkers en ICT beheerder.

• Mogelijk moeten we een FG aanstellen

• Besef van verplichting procedures aanpassen in communicatie en inzage dossier 3

Wat zijn volgens u medische gegevens?

Wachtwoorden om in te loggen uw HIS zijn meestal welkom of 12345 of postcode?

5

JA NEE

Als personeel van werkplek opstaat gaat PC scherm op zwart?

JA NEE

(Verwijs)brieven worden alleen aan betreffende patient meegegeven?

JA NEE

Er liggen geen medische gegevens openlijk op de werkplek?

JA NEE

Ik weet zeker dat medische informatie per fax bij de juiste persoon aankomt?

JA NEE

Overleg over een patient gaat via whatsapp of email?

JA NEE

Ik weet wat ik moet doen bij een datalek

JA NEE

Medische gegevens zijn kroonjuwelenZe moeten net zo erg beveiligd worden

AVG en NEN 7510

(theorie)

https://comfort-ia.nl

030-7440764

Berend de Vries

Artseneed (KNMG en VSNU 2003)

..patiënt voorop en eerbiedig zijn opvattingen. Ik zal aan

de patiënt geen schade doen. Ik luister en zal hem goed

inlichten. Ik zal geheim houden wat mij is toevertrouwd.

Ik zal de geneeskundige kennis van mijzelf en anderen

bevorderen. Ik erken de grenzen van mijn mogelijk-

heden. Ik zal mij open en toetsbaar…

Grondwet Nederland

Artikel 10

1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen,

recht op eerbiediging van zijn persoonlijke levenssfeer.

2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer

in verband met het vastleggen en verstrekken van persoonsgegevens.

3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen

vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering

van zodanige gegevens.

Sinds 1814

Specifieke wet- en regelgeving

• Wbp Bescherming persoonsgegevens AP

• Wgbo o.a. Dossierplicht en geheimhoudingsplicht IGJ i.o.

• Wet BIG o.a. Identificeerbaarheid zorgverleners IGJ i.o.

• NEN 7510: Norm voor informatiebeveiliging in de Zorg

• Wet maatschappelijke ondersteuning (Wmo) College

Burgemeester

Wethouders

• Wet SUWI, Participatiewet

• Jeugdwet IGJ i.o.

– Besluit Jeugdwet, art. 7.2.2, lid 2: NEN 7510

• Uitbreiding Wbp: Meldplicht Datalekken AP

Meldplicht Datalekken

• Per 1-1-2016

• CBP werd AP (Autoriteit Persoonsgegevens)

• Aanvulling Wbp en Telecomwet

– Datalek moet gemeld onverwijld (binnen 72 uur) worden aan AP door de

verantwoordelijke

– Indien niet gemeld: Hoge boete (tot € 810.000,-)

– AP kan onderzoek doen

– Als informatiebeveiliging niet op orde is kan de AP een boete/dwangsom

opleggen

Wat is een datalek? (voorbeelden)

Incidenten:

• Een aanval op het netwerk

• De diefstal van een laptop

• Het verlies van een USB stick

• Het openbreken van een kluis

• Het verlies van een mobiele telefoon

• Een gestolen patiëntendossier

• Onjuiste adressering van e-mail of post

• Het inzien van persoonsgegevens door onbevoegde

• Een open papiercontainer met daarin persoonsgegevens

• Archiefopslag waar onbevoegden persoonsgegevens inzien

• Datacenter waar een lek in de beveiliging ontstaat

• Tekortschietende beveiliging van persoonsgegevens

Algemene Verordening

Gegevensbescherming (AVG)

• In werking getreden op 24 mei 2016

• Van toepassing op 25 mei 2018, vervangt dan Wbp

• Nieuw– Bewijs van toestemmingsregeling

– Vergaand inzagerecht

– Recht op vergetelheid

– Recht op dataportabiliteit

– Verplichting risicobeoordeling

– Register van verwerkingsactiviteiten

– Beveiliging van de verwerking

– “Privacy by design and by default”

– Veerkracht van de privacybescherming

– Aanstellen Functionaris Gegevensbescherming

AVG - beginselen

Art. 5

• Transparantie – de persoon waarvan de gegevens verwerkt worden, is hier van op de hoogte, heeft hiervoor toestemming

gegeven en kent zijn rechten

• Doelbinding– de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld, en mogen niet voor andere

zaken gebruikt worden

• Minimale gegevensverwerking– enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld

• Juistheid– de persoonsgegevens moeten correct zijn en blijven

• Opslagbeperking– de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel

• Integriteit en vertrouwelijkheid– de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging

• Verantwoordingsplicht– de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen

Aandachtspunten implementatie AVG

• Bewijs van toestemmingsregeling

– Ga na waar expliciete toestemming nodig is, vraag die en noteer in het

dossier.

• Vergaand inzagerecht

– De patiënt wordt behandeld door een team. De patiënt heeft inzagerecht

voor alle deeldossiers en het geheel. Verzin een procedure en maak die

bekend.

• Recht op vergetelheid

– Let op de wettelijke bewaartermijn. Indien verwijderen noodzakelijk is, denk

dan om de backups en papieren kopieën.

• Recht op dataportabiliteit

– Elektronische overdracht van gegevens is een recht van de patiënt. Kunnen

uw partners er mee omgaan?

• Verplichting risicobeoordeling

– Evalueer de praktijk geregeld.

Aandachtspunten implementatie AVG

• Register van verwerkingen

– Welke persoonsgegevens worden onder wiens verantwoordelijkheid op

welke manier waar verwerkt?

– Aantoonbaarheid correcte verwerking

– Verantwoordelijken expliciet benoemen!

• Verwerkersovereenkomsten

– Standaard LHV

• “Privacy by design and by default”

– Privacybescherming en informatiebeveiliging in de architectuur van de

informatievoorziening.

– Leverancier toont dat aan.

• Veerkracht van de privacybescherming

– Maatregelen om snel juiste situatie te herstellen.

• Overweeg aanstellen Functionaris Gegevensbescherming

Uitvoeringswet AVG - Implementatie in Nederland

• Er is een AP

– Samenstelling en rechtspositie medewerkers

– Taken en bevoegdheden

– Boetes tot € 20.000.000 of 4% wereldwijde omzet

• Voor wetenschappelijk onderzoek en statistiek mag, met

bijzondere maatregelen, veel

• Aandacht voor privacy by design and by default

– Pseudonimiseren

– Inbouwen van waarborgen

– Certificering

• Vertaaltabel Wbp -> AVG

• Wbp wordt ingetrokken

AP - de toezichthouder

• Was: advies, toezicht

• Heden: toezicht

• Verordening:

– Advies aan verwerkingsverantwoordelijken en verwerkers

– Bekendmaken belang aan het publiek

– Toezicht

– Repertoire sancties uitgebreid en verzwaard (art 83)

– Sanctie kan direct worden opgelegd (nu: pas na niet opvolgen

aanwijzing)

• FG is aanspreekpunt

AVG – Artikel 32

Beveiliging van de verwerking

Rekening houdend met de stand van de techniek, de

uitvoeringskosten, en de aard, de omvang, de context en het doel

van de verwerking….

….treft de verwerkingsverantwoordelijke…..

….passende technische en organisatorische maatregelen……

….om op een passend risico afgestemd beveiligingsniveau te

waarborgen…

…die onder meer omvatten:

AVG – Art 32 (vervolg)

• Pseudonimisering en versleuteling van persoonsgegevens

• Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de

verwerkingssystemen en diensten garanderen

• Bij een fysiek of technisch incident beschikbaarheid en toegang tijdig

herstellen

• Op gezette tijdstippen testen, beoordelen en evalueren van maatregelen

• Aansluiten bij een gedragscode of goedgekeurd

certificeringsmechanisme

NEN 7510:2017

• Gepresenteerd op 7 december 2017

– Gebaseerd op ISO 27001 en ISO 27002

• Verplicht per 1 januari 2018

• NEN 7510:2017 Deel 1 – Management systeem

– De directie moet…

– De organisatie moet…

• NEN 7510:2017 Deel 2 – Beheersmaatregelen

– Onderwerp

• Beheersmaatregel

– Zorgspecifieke beheersmaatregel

• Implementatierichtlijn

– Zorgspecifieke implementatierichtlijn

– Overige zorgspecifieke informatie

Voorbeeld NEN 7510:2017 Deel 1

6.1.2 Risicobeoordeling van informatiebeveiliging

De organisatie moet een risicobeoordelingsprocedure voor informatiebeveiliging definiëren en

toepassen die:

a) risicocriteria voor informatiebeveiliging vaststelt en onderhoudt, waaronder:

1) de risicoacceptatiecriteria; en

2) criteria voor het verrichten van risicobeoordelingen van informatiebeveiliging;

b) waarborgt dat herhaalde risicobeoordelingen van informatiebeveiliging consistente, geldige

en vergelijkbare resultaten opleveren;

c) de informatiebeveiligingsrisico’s identificeert door:

d) 1) het risicobeoordelingsproces voor informatiebeveiliging toe te passen om de risico’s in

verband met het verlies van vertrouwen in, integriteit van en beschikbaarheid van informatie

binnen het toepassingsgebied van het managementsysteem voor informatiebeveiliging te

identificeren; en ……..

Voorbeeld NEN 7510:2017 Deel 2

8.3.2 Verwijderen van media

Beheersmaatregel

Media behoren op een veilige en beveiligde manier te worden verwijderd als ze niet langer nodig zijn, overeenkomstig formele procedures.

ZORGSPECIFIEKE BEHEERSMAATREGEL

Alle persoonlijke gezondheidsinformatie behoort veilig te worden gewist of anders behoren de media te worden vernietigd als ze niet meer gebruikt

hoeven te worden.

Implementatierichtlijn

Voor het beveiligd verwijderen van media behoren formele procedures te worden vastgesteld om het risico zo klein mogelijk te houden dat

vertrouwelijke informatie bij onbevoegde personen terechtkomt. De procedures voor het beveiligd verwijderen van media die vertrouwelijke informatie

bevatten, behoren in verhouding te staan tot de gevoeligheid van die informatie. Met de volgende aspecten behoort rekening te worden gehouden:

a) media die vertrouwelijke informatie bevatten behoren op een beveiligde manier te worden opgeslagen en verwijderd, bijv. door verbranding of

versnippering, of de gegevens behoren te worden gewist voordat de media worden gebruikt door een andere toepassing in de organisatie.

b) er behoren procedures te zijn om media te identificeren die mogelijk veilig moeten worden verwijderd;

c) mogelijk is het eenvoudiger om ervoor te kiezen alle media in te zamelen en veilig te verwijderen in plaats van te proberen de gevoelige media te

scheiden van de rest;

d) veel organisaties bieden voor media inzamelings- en verwijderingsdiensten aan; de keuze voor een passende externe partij die beschikt over

adequate beheersmaatregelen en ervaring behoort zorgvuldig te gebeuren;

e) verwijdering van gevoelige media behoort te worden geregistreerd om een audittraject te onderhouden.

Bij het accumuleren van media voor verwijdering behoort rekening te worden gehouden met het aggregatie- effect, waardoor een grote hoeveelheid

niet-gevoelige informatie gevoelig kan worden.

ZORGSPECIFIEKE IMPLEMENTATIERICHTLIJN

Het niet op de juiste wijze verwijderen van media blijft een bron van ernstige schendingen van de vertrouwelijkheid van clienten. Het is met name

belangrijk op te merken dat deze beheersmaatregel behoort te worden toegepast voordat eventuele betreffende uitrusting wordt hersteld of

verwijderd. Deze eis is ook van toepassing op medische apparaten die worden gebruikt om gegevens te registreren of rapporteren.

Overige informatie

Voor beschadigde apparatuur die gevoelige gegevens bevat, kan een risicobeoordeling nodig zijn om vast te stellen of de media fysiek moeten

worden vernietigd in plaats van te worden gerepareerd of verwijderd (zie 11.2.7).

OVERIGE ZORGSPECIFIEKE INFORMATIE

<geen>

AVG versus NEN 7510

• Wet

• Bescherming

persoonsgegevens

• Verplichting beveiliging

• Rechtmatige verwerking

• Datalekken

• FG

• -

• Verplichting verantwoording

• Afvinkbare lijst

• Informatiebeveiliging

• Overzicht beveiligings

maatregelen

• -

• -

• -

• Organisatie (Managementsysteem)

• Manier verantwoording

Stappenplan

• Check de aandachtspunten AVG

• Register van verwerkingen

• Privacy statement met regelingen voor inzagerecht,

vergetelheid, aanspreekpunt, gegevensoverdracht etc.

• Verwerkersovereenkomsten

– Check de andere leveranciers

• Vergroot uw kennis

• Toets de IB

• Implementeer de NEN 7510, voor zo ver van toepassing

• Laat zien dat u er aandacht aan besteedt!

AVG en NEN 7510

(praktijk)

https://comfort-ia.nl

030-7440764

Berend de Vries

Uitbesteding van ICT.

Wat is nodig onder de AVG?

• Toepassing met ingebouwde bescherming

– Toegangscontrole

– Rapportage over gebruikers

– Opslag binnen Europa

– Garanties over reserve kopieen (controle, terugzetten)

– Inzicht in architectuur

(pseudonimisering, database technologie, firewalls etc.)

• Verwerkersovereenkomst

• Procedure Meldplicht Datalekken

Omgaan met leveranciers

• AVG: “Privacy by design and by default”

• NEN 7510-2: Beperkte toetsing

• Inkoopvoorwaarden, één beleid richting leveranciers

– NEVI (2017)

• Verwerkersovereenkomsten

• Nieuwe leveranciers:

– Mobile devices and mobile apps

– MDM

– Certificaten en encryptie

– VPN’s en andere beveiligde verbindingen

– Outsourcing

– Telecom abonnementen, VOIP

Omgaan met leveranciers

• Leveranciers buiten inkoopkanaal om:

– Apps op mobile devices

• Vakgerichte apps, handige apps, spelletjes etc.

• Google Maps, Apple Maps, Waze etc

– Communicatie

• WhatsApp, Skype, WeTransfer

• Internet of things: HUE, HomeKit, FitBit

– Diensten op web

• Google, FaceBook, LinkedIn, Booking, Ikea etc.

• Opslag: Dropbox, Google Drive, OneDrive etc.

• Muziek diensten, YouTube

• Wie leest de voorwaarden?

De Functionaris Gegevensbescherming (FG)

• Toezicht op naleving Wbp en AVG

• Onafhankelijk

• Relatie met AP, staat in register, mag vragen stellen aan AP

• Houdt register van verwerkingen bij

• Toetst uitvoering Wbp/AVG en rapporteert dat aan de

verantwoordelijke(n)

• Verhoogt bewustzijn, vraagbaak, bemiddelt bij klachten, houdt

kennis op peil

• Nederlands Genootschap van Functionarissen voor de

Gegevensbescherming (NGFG)

Functionaris voor de gegevensbescherming.

Is die nodig in uw praktijk?

• Hoe veel persoonsgegevens worden verwerkt?

• Is er onafhankelijk toezicht beschikbaar?

• Weet u zeker dat u het goed doet?

• Een kleine praktijk hoeft geen FG aan te stellen.

• Een grote groepspraktijk wel.

• Waar zit u?

Register van verwerkingen

Per verwerking• Omschrijving en categorie gegevens

• Informatiesysteem

• Verantwoordelijke

• Verwerking

• Verwerkingsdoeleinden

• Verwerkingsgrondslag

• Verwerker

• Verwerkersovereenkomst

• Ontvanger

• Logging

• Andere relevante informatie

Rechten van betrokkenen

• Toestemming als nodig

• Inzage in dossier

– Het hele dossier, behalve persoonlijke aantekeningen

• Elektronische kopie van het dossier

• Vergetelheid

• Voorlichting aan patiënt

– Welke persoonsgegevens en waarom

– Noodzaak tot bescherming

– Noodzaak toestemming

– Met wie wordt waarom uitgewisseld

– Aanspreekpunt voor vragen en klachten

– Brochure en/of privacystatement op de website, actief op wijzen

Communiceren – wat mag? (1)

• Overdracht

– Verwijzing, waarneming, ketenzorg: samenwerking van

verantwoordelijken

– Vaak toestemming patiënt nodig

• Beveiliging informatie-uitwisseling

– Berichten (WhatsApp e.d.) meestal niet toegestaan

– Gewone email is niet toegestaan

– Gebruik beveiligde berichten en email diensten

– Mailen met patiënt mag meestal niet

• Niet beveiligd

• Metadata zijn privacy gevoelig

• Verleiding patiënt zich bloot te geven

Communiceren – wat mag? (2)

• Social Media

– Artsen en Social Media, Handreiking voor artsen, KNMG

– Globale spelers, leven van profilering

• Patiënten portaal

– Garantie identiteit betrokkene

– Beveiliging portaal

– Hackbaarheid dossiers via portaal

– Wie is verantwoordelijk voor de gegevens die de patiënt er

bij zet?

Verantwoording.

Hoe te verantwoorden aan de toezichthouder?• Register van verwerkingen

• Verwerkersovereenkomsten

• Aantoonbaarheid toestemmingen (noteren in dossier)

• Register van incidenten

– Alle informatie gerelateerde incidenten

– Datalekken

• Aantoonbaar bewustzijn verhogen

– Vandaag

– IBindeZorg

• Certificering is (nog) niet nodig

Voorbeeld

uitslag praktijktoets

IB inde zorg

Knelpunten nav praktijktoets

• Rondslingerende gegevens

• BSN ipv ID bewijs patienten bij nieuwe inschrijving

• Bewaartermijn 15 jaar daarna vergetelheid!

• Omgaan met I-pad bij visite

• Indien ICT uitbesteed : wat is geregeld?

• Instructie personeel / geheimhoudingsverklaring

• Procedure Patient Inzage dossier

• Verwerkingsregister/ verwerkingsovereenkomst

• Privacy statement

• Functionaris gegevensbescherming

Volkskrant 5 maart 2018

Checklist verwerkersovereenkomst LHV

• het onderwerp van de gegevensverwerking;

• de duur van de gegevensverwerking;

• de aard van de gegevensverwerking;

• het doel van de gegevensverwerking,

• het soort persoonsgegevens dat wordt verwerkt;

• de categorieën van betrokkenen (de personen van

wie persoonsgegevens worden verwerkt);

• de rechten en verplichtingen van de

verwerkingsverantwoordelijke.

Voorbeeld overeenkomst op LHV site

Beslisboom

met wie

verwerkersovereenkomst

afsluiten

AVG en NEN 7510

van theorie naar praktijk

https://comfort-ia.nl

030-7440764

Berend de Vries

DOKh, hét nascholingsinstituut voor de Eerstelijn