softwareleveranciersdag 2014 “vertrouwen in de keten” 10-04-2014 andré de wit & marc...

Softwareleveranciersdag2014

“Vertrouwen in de keten”

10-04-2014

André de Wit & Marc Hagemeijer


Wat is vertrouwen, hoe wordt het gecreëerd en hoe wordt het geschaad?

Voorbeelden van “schaden” (incidenten)

Onderzoek CBP

Reacties / standpunt partijen

Ontwikkeling privacy wetgeving EU

Waarom vertrouwen?

Uitgangspunten en heldere afspraken - Hoe gaan we in de keten met elkaar om?

Marc André

2

Wat is de keten?

Reden voor ketenvorming?

Zorg in en wensen van de keten.

Interactieve sessies – de deelvragen

Marc Hagemeijer, 1965

IT security ervaring sinds 1999

Compliance & Risk Officer, VECOZO

“Beheren” van de VECOZO security functie

Inzicht geven + mitigeren van risico’s

Voldoen aan weten regelgeving

Effectiviteit van beveiligingsmaatregelen

VECOZO een betrouwbare partij in de zorgketen te laten zijn.

Maar wie zijn Marc en André?

Marc André

3

André de Wit, 1964

Achtergrond Geo-informatie / ICT 1986

Eindverantwoordelijk Promeetec & ProVos

(declaratie)communicatie ZA ZVZ

Advies/ondersteuning –optimaliseren- declareren.

Bewustwording van jezelf als schakel in de keten.

“Wat is de keten” (deel 1)

Een keten is een samenwerkingsverband tussen organisaties

die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven. …

ketenpartners zijn zelfstandig,

maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van de gezamenlijke doelstellingen…..

“Wat is de keten” (deel 2) Aantal kenmerken van ketens…..

Uiteenlopende belangen (samenwerking tussen ‘onafhankelijke’ organisaties)

Afhankelijkheid (onderlinge en wederzijdse afhankelijkheid). Geen van de partners is in staat de gewenste doelstelling zelf te bereiken.

Geen baas (geen eenhoofdige leiding) die in geval van conflicten tussen de organisaties een beslissend oordeel kan vellen.

Onevenwichtigheid. Inbreng en differentiatie in vakinhoudelijke inbreng. Dit zet spanning op het evenwicht binnen de keten. Gelijkwaardigheid komt in de praktijk zelden voor.Dit betekent echter niet dat de prominentere partner zich ook als zodanig kan gedragen: dus uitdrukkelijk rekening houden met de belangen andere partners.

Ketens worden niet opgezet in een statische, maar in een dynamische omgeving!

Over het algemeen een duurzaam karakter hebben. Dus voor langere tijd.

Typen ketens (doelen)

Reduceren van kosten

Verbeteren van dienstverlening

“Reden voor ketenvorming?”

Dienstverlening aan de klant (1 loket gedachte).

Administratieve lastenverlichting.

Terugdringen fouten.

Efficiency (kan goedkoper worden gewerkt en kunnen uitvoeringskosten worden verlaagd).

Innovatie (een succesvolle ketensamenwerking stimuleert creativiteit en draagt daarmee bij aan innovatie, nieuwe producten en vormen van dienstverlening).

Zorg in en wensen van de keten

Client

1. Gezondheid / Herstel (de beste zorg)

Zorg-aanbieder

1. Cliënt tevredenheid!


ClientWetgeving &

Toezichthouders

1. Maatschappelijke ontwikkelingen2. Democratisch/Parlementair debat3. Uitvoer- toetsbare wetgeving

1. Gezondheid / Herstel (de beste zorg)2. Betaalbare zorg

Zorg-aanbieder

1. Cliënt tevredenheid!2. (On)rechtmatig bezig?3. Conform verwachting

Toezichthouders


Client

Zorg-aanbieder

Zorg-verzekeraar

Wetgeving & Toezichthouders

1. Kosten/Baten2. Toezichthouder


Toezichthouders4. Declaratie vereisten.

1. Maatschappelijke ontwikkelingen2. Democratisch/Parlementair debat3. Uitvoer- toetsbare wetgeving4. Voldoende mandaat

1. Gezondheid / Herstel (de beste zorg)2. Betaalbare zorg3. Transparantie kosten• Eigen risco• Eigen bijdrage• Veranderden weten regelgeving4. Transparantie kosten.


Client

Zorg-aanbieder

VECOZOZorg-

verzekeraar



1. SMART maken van voorwaarden


Toezichthouders4. Declaratie vereisten.


1. Gezondheid / Herstel (de beste zorg)2. Betaalbare zorg3. Transparantie kosten• Eigen risco• Eigen bijdrage• Veranderden weten regelgeving4. Transparantie kosten.


Client

Zorg-aanbieder

Softwarelev. &Tussenpartij

VECOZOZorg-

verzekeraar



1. SMART maken van voorwaarden

2. Herkenbaarheid rol SL/TP

1. (H)erkenning in keten2. Geïnformeerdheid

m.b.t. voorwaarden3. Feedback


Toezichthouders4. Declaratie vereisten. 5. Vertrouwen in Oplossing software Uitbestede taken Consultancy Verlaging lasten

(efficiënt proces)


1. Gezondheid / Herstel (de beste zorg)2. Betaalbare zorg3. Transparantie kosten• Eigen risco• Eigen bijdrage• Veranderden weten regelgeving

1. Gezondheid / Herstel (de beste zorg)2. Betaalbare zorg3. Transparantie kosten• Eigen risco• Eigen bijdrage• Veranderden weten regelgeving4. Transparantie kosten


Wat is vertrouwen? Van Dale: Geloof in iemands goede trouw en eerlijkheid

Wikipedia: Bereidheid om afhankelijk te zijn van de daden van een ander

Wikipedia: Geloven dat een ander eerlijk is of dat iets goed zal gaan

De overtuiging dat iets of iemand volgens een verwachting acteert

Hoe wordt vertrouwen gecreëerd?

Het is kwetsbaarheid die vertrouwen haar waarde geeft [Ferrucci]

Geïnteresseerdheid, serieus nemen, gelijkheid, loslaten, aanspreken, eerlijkheid, verwachtingen afstemmen enz.

Hoe wordt vertrouwen geschaad?

Vertrouwen is goed, controle is beter [Lenin]

Veel beloven verzwakt het vertrouwen [Horatius].

Ondubbelzinnigheid in wetgeving en handhaving.

12

[Bron: https://www.security.nl/]

Voorbeelden van “schaden” (incidenten)

[Bron: http://www.nu.nl/][Bron: http://www.omroepbrabant.nl/]

[Bron: https://www.security.nl/]

13

Onderzoek CBP (juni 2013).

[Bron: http://http://www.cbpweb.nl/Pages/pb_20130618_rapport-patientendossiers-binnen-zorginstellingen.aspx]

14

Waar rook is, is vuur.

[Bron: http://www.npcf.nl/]

Standpunt van een brancheorganisatie

15

Standpunt van Zorgverzekeraars Teneinde een zorgvuldige omgang met persoonsgegevens te waarborgen zijn in de

“Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars” gedragsregels geformuleerd voor zorgverzekeraars. De Gedragscode is door het CBP goedgekeurd op 13-12-2011.

Uniforme maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties (8 mei 2013)

Gezamenlijk Toetsingskader Informatie-beveiliging voor uitbesteding (concept)

• DNB – CobiT 4.1 +

• Extra aanvullende maatregelen

[Bron: https://www.zn.nl/concept/branche/gedragscode/]

16

Ontwikkelingen privacy wetgeving Europa

Woensdag 12 maart, op de 25e verjaardag van het internet, heeft het Europees Parlement ingestemd met een nieuwe privacy verordening. Momenteel buigt de Europese Raad zich over het voorstel. Waarschijnlijk zullen de nieuwe regels in 2015 of 2016 gaan gelden.

Belangrijkste punten uit het voorstel:

Het voorstel wordt geen richtlijn, maar een EU-verordening (Europese wetgeving).

De burger heeft het recht om 'vergeten' te worden: Je data kunnen deleten op het moment dat jij dat wilt.

Makkelijker toegang tot je eigen data: Het recht om je persoonlijke data te verplaatsen naar een andere provider.

Controle over je eigen data: Burgers moeten expliciet toestemming geven aan bedrijven die hun data willen opvragen. Niets zeggen betekent dus niet automatisch toestemmen.

Databescherming als eerste prioriteit: Producten en diensten moeten bij voorbaat gebouwd worden op de principes van databescherming. Bij de ontwikkeling van bijvoorbeeld sociale netwerken moet databescherming meteen ingebouwd worden en niet pas later in het proces een rol krijgen.

Bedrijven en organisaties moeten ernstige gegevenslekken binnen 24 uur melden.

Boetes voor bedrijven die de regels over databescherming schenden tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet. [Bron oa:

https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy-verordening-2014.aspx

en http://www.europarl.europa.eu]17



Waarom “Vertrouwen in de keten”

Vertrouwen, of het betrouwbaar zijn, wordt steeds meer een must, opgelegdvanuit de overheid/toezichthouders, maar ook geëist vanuit klant/patiënt.

Standaard middel om dit te organiseren: Controle, toezicht, aantoonbaarheid

Negatieve bijverschijnselen van Controle?

Controle is historisch gezien altijd verbonden geweest met dwang. Controle is zand in de motor van effectieve samenwerking. Controle verlamt professionaliteit en creativiteit. Controle is gebaseerd op wantrouwen. Controle veroorzaakt twee werelden, de

gecontroleerde en de werkelijke (schijnzekerheid). Controle kost ons allemaal geld.

Hoe creëren we “Vertrouwen in de keten” zonder ten onder te gaan aan controle?

18

Uitgangspunten voor “Vertrouwen in de keten”

Er moet een goede balans zijn tussen controle en loslaten(rekening houdend met weten regelgeving).

Vertrouwen is geen gegeven, maar groeit vanuit een (geverifieerde) basis.

Als controle noodzakelijk is moet dit gezien worden als opbouwende kritiek om daarmee het vertrouwen te bevorderen.

Als controle noodzakelijk is moet het doel erachter duidelijk zijn en geaccepteerd worden.

Meten is weten, weten geeft vertrouwen. Basis van vertrouwen wordt gevormd door heldere wederzijdse

afspraken over hoe je met elkaar omgaat en werkt (verwachtingsmanagement).

Als een partij die verwachtingen (en daaraan gerelateerde vertrouwen) niet invult moet men zich afvragen of die partij wel past in onze vertrouwensketen.

19

Hoofdlijnen VECOZO (concept) beleid aansluiting externe partijen op productieomgeving:

1. Externe partijen worden gecategoriseerd op basis van verschillende criteria (AGB code, gegevens uit het Handelsregister, UZOVI code, BIG registratie, verklaring Wtzi, deskresearch ed).

2. Er zijn vijf categorieën partijen: Zorgaanbieders, Tussenpartijen, Softwareleveranciers, Derden en overige.

3. Zorgaanbieders kunnen gebruik maken van VECOZO-diensten en zijn eindverantwoordelijk voor het juiste gebruik hiervan.

4. Tussenpartijen kunnen gebruik maken van VECOZO-diensten indien zij door een Zorgaanbieder middels een toestemmingsverklaring gemachtigd zijn.

5. VECOZO-diensten kunnen gebruikt worden indien een minimale set van organisatorische en technische maatregelen aantoonbaar effectief zijn.

6. De wijze van authenticatie van een aangesloten partij (Contracthouder) is afhankelijk van de classificatie van de VECOZO-dienst en onafhankelijk van de wijze waarop wordt geconnecteerd.

7. Het minimale niveau van authenticeren geldt zowel voor het direct connecteren met VECOZO als voor het connecteren van een Zorgaanbieder via een Tussenpartij met VECOZO.

Heldere afspraken

20

Heldere afspraken

21

1. “Vertrouwen in de keten” – (H)erken je de noodzaak van het organiseren van vertrouwen in de keten?

2. Verantwoordelijkheden in de keten – Wie is tot waar verantwoordelijk voor gegevensbeveiliging en privacy? Waarom en welke persoonsgegevens communiceren we met elkaar? Welke legitimiteit ligt er aan te grondslag? Zijn we bewust van de risico’s?

3. Helderheid in weten regelgeving in de zorg – Ieder zijn eigen probleem of verwacht men van een partij een faciliterende / adviserende rol op dit gebied? Van welke normenkaders gaan we uit?

4. Technische en organisatorische maatregelen (ter bescherming van persoonsgegevens) – Ieder zijn eigen interpretatie of bepaald door en voor de keten? Aantoonbaarheid?

5. Inzet van authenticatiemiddelen – Zorg specifiek (VECOZO certificaat, UZI-pas) en/of meeliften met globale initiatieven (eHerkenning, eID)? Gebruik maken van bijvoorbeeld de Single Sign On methodiek van VECOZO?

6. Samen-werken aan vertrouwen - Op welke wijze kunnen ketenpartners elkaar hierin versterken? Gaan we hierin VECOZO (h)erkennen als de ketenpartner (shared service center)?

7. Kennisdeling Delen van kennis rondom bescherming persoonsgegevens? Behoefte aan (praktische) opleiding/cursussen? Opzetten van keurmerk?

Interactieve sessies – de deelvragen

22

Softwareleveranciersdag 2014

“Met vertrouwen de kansen in de keten zien!”

Bedankt voor uw aandacht en tot straks!

softwareleveranciersdag 2014 “vertrouwen in de keten” 10-04-2014 andré de wit & marc...

Documents