FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
1 1
Informatiesessie Veiligheidsconsulenten 24/02/2012
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
2
Agenda - Inleiding - De Veiligheidsconsulent - Feedback ontvangen profielen VC - Duiding functie VC - Voorziene opleidingen - … - Pauze - Informatieveiligheid in de ziekenhuisomgeving: Waar beginnen? - Wettelijke context - Praktijkvoorbeelden
…..14u …..14u10
…..15u30 …..15u45
…..16h45
SPF SANTE PUBLIQUE, SECURITE DE LA CHAINE ALIMENTAIRE ET ENVIRONNEMENT
3
•Infosessie Veiligheidsconsulenten in ziekenhuizen •Vrijdag 24 februari 2012 •Decoster Christiaan,Directeur-generaal FOD Volksgezondheid
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
4
Veiligheidsconsulenten in ziekenhuizen • 1.Noordzaak van veiligheidsconsulenten
• 2.Wetgevend kader
• 2.Huidge problematiek
• 3.Waar staan we vandaag?
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
5
1.Veiligheidsconsulenten in ziekenhuizen • Naast de juridische redenen dient belang van veiligheidsconsulenten in ziekenhuizen te worden onderstreept: 1) Verregaande informatisering van ziekenhuizen: met ondermeer elektronische dossiers en elektronische uitwisseling van gegevens 2) Nood aan bescherming van de persoonlijke levenssfeer •Risiko’s dienen te worden vermeden.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
6
2.Wetgevend kader • De wet van 15 januari die de Kruispuntbank opricht voorziet dat iedere openbare overheid,natuurlijke persoon en openbare of private instelling die toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, moet ,al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aanwijzen. • De identiteit van deze persoon moet medegedeeld worden aan de Afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
7
2.Wetgevend kader •
Dit comité moet nagaan of de veiligheidsconsulent een passende voortdurende vorming heeft genoten en werkt op een gecoördineerde wijze. Bij gebreke hieraan moeten alle nodige maatregelen worden getroffen om de passende vorming te verzekeren of om de coördinatie te verzekeren, ondermeer op technisch vlak. • De FOD wil hierop ingaan en ervoor zorgen dat vorming kan worden verzekerd.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
8
2.Wetgevend kader • 2.2.In 1994 werden de volgende bepalingen ingevoegd in het KB van 23 oktober 1964: • 2.2.1.Elk ziekenhuis dient voor wat betreft de verwerking van persoonsgegevens die betrekking hebben op patïenten, in het bijzonder medische gegevens, te beschikken over een reglement voor de bescherming van de persoonlijke levenssfeer. • 2.2.2.Dit reglement (en alle wijzigingen) moeten medegedeeld worden aan de Commissie voor toezicht en evaluatie van statistische gegevens inzake de medische aktiviteiten in de ziekenhuizen (tegenwoordig de Multipartitestruktuur voor ziekenhuizen).
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
9
2.Wetgevend werk • 2.2.3.Deze Commissie moet de reglementen ter beschikking houden van de Commissie voor de bescherming persoonlijke levenssfeer. • 2.2.4.De houder van het gegevensbestand moet een consulent inzake veiligheid van gegevens aanduiden. • 2.3.Het KB van 12 februari 2008 houdende bepaling van de regels volgens welke de beheerder van de ziekenhuizen statistische gegevens aan de Minister die de Volksgezondheid onder zijn bevoegdheid heeft, moet mededelen moet ook mededeling doen van de identiteit van de veiligheidsconsulent en van elke wijziging. • 2.4.Gelijkaardige bepaling tav het RIZIV voor Carenet
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
10
3.Huidige problematiek • 3.1.De FOD, Dienst Datamanagement, beschikt over een lijst van veiligheidsconsulenten,maar deze lijst is niet aktueel: de ziekenhuizen hebben niet altijd de wijzigingen medegedeeld. De FOD beschikt ook over jaarlijkse mededeling van statistische gegevens met de identiteit van de veiligheidsconsulent. Beide gegevens dienen aan elkaar te worden getoetst. • 3.2.De Commissie voor de evaluatie van statistische gegevens die verband houden met de medische aktiviteiten in ziekenhuizen bestaat niet meer, waardoor de ziekenhuizen de wijzigingen aan hun reglement niet meer hebben medegedeeld.Deze taken werden overgenomen door de Multipartite-struktuur voor ziekenhuizen.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
11
3.Huidige problematiek • 3.3.Het Sectoraal comité voor sociale zekerheid en volksgezondheid heeft op 5 juli 2011 beslist dat de ziekenhuizen die niet over een veiligheidsconsulent beschikken , geen toegang meer zullen hebben tot persoonsgegevens van het Rijksregister. • 3.4.Ingevolge deze beslissing heeft het Sectoraal comité ons gevraagd om een omzendbrief te sturen naar de ziekenhuizen ,waarin wordt herinnerd aan de wettelijke verplichtingen evenals de beslissing van het Sectoraal comité mede te delen.Tevens werden we verzocht na te gaan wat het niveau van vorming en competenties is van de veiligheidsconsulenten.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
12
3.Huidige problematiek • 3.5.Op 9 september 2011 werd aan de ziekenhuizen een omzendbrief gestuurd met concrete voorstellen om de ziekenhuizen te ondersteunen: • a) Het engagement om de gegevensverzameling betreffende de veiligheidsconsulenten (zowel tav de FOD,het Sectoraal comité als het RIZIV ivm de toepassing van Carenet) te coördineren. • b) De organisatie van een informatiesessie om de opleidingsbehoeften van de veiligheidsconsulenten te identificeren en te herinneren aan hun opdrachten. • c) Het creëren van een werkgroep met veiligheidsconsulenten om goede praktijken inzake veiligheid van informatie te beschrijven.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
13
4.Waar staan we vandaag? • 4.1.Ongeveer 2/3 van de ziekenhuizen heeft de FOD een dossier bezorgd met de identiteit en het profiel van de consulenten.Er ontbreken 67 dossiers. • 4.2.Met de Kruispuntbank wordt overwogen om nog maar één authentieke bron van veiligheidsconsulenten bij te houden. Dit veronderstelt een aanpassing van de wetgeving zodoende dat de ziekenhuizen nog maar een keer de gegevens moeten overmaken.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
14
4.Waar staan we vandaag? • 4.3. De informatiesessie van vandaag heeft volgende agenda: a) Herinneren aan het wetgevend kader (zie omzendbrief); b) Een analyse van de situatie in de sector op basis van de antwoorden die de FOD heeft ontvangen; c) Een presentatie van de projekten in het kader van de opleidingscyclus; • d) Presentatie van een instrument om een veiligheidsplan te ontwerpen.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
15
4.Waar staan we vandaag? • 4.4. De medewerkers van de FOD hebben samen met deze van de Cel veiligheid van gegevens van de Kruispuntbank, een programma voor de opleiding van consulenten van ziekenhuizen uitgewerkt. Dit programma bevat 1 module van 1 dag gericht op de ziekenhuizen en 8 modules die specifieke thema’s behandelen Deze vorming zal georganiseerd worden in beide landstalen in kleine groepjes (20 à 30 personen) door medewerkers van de Kruispuntbank. Er bestaat geen enkel wettelijke verplichting tot het volgen van deze opleiding. De ziekenhuizen kunnen, naargelang het thema, meerdere personen inschrijven.De vorming zal georganiseerd worden vanaf mei 2012.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
16
4.Waar staan we vandaag? • 4.5. Een werkgroep inzake de goede praktijken zal van start gaan éénmaal we een goed zicht hebben op wat er in de sektor bestaat.
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
17
5.Conclusie • Het is onontbeerlijk dat de ziekenhuizen gevolg geven aan de omzendbrief.
• Ze moeten hun engagement tonen om te participeren aan de opleiding, mib van de aspecten mbt de opmaak van een veiligheidsplan. • De opleiding moet vrij snel kunnen volgen. • De beslissing van het Sectoraal comité moet in deze context worden gezien.
De veiligheidsconsulent Een beroep Een functie Een rol binnen een organisatie Chris De Vuyst Veiligheidsconsulent Chaussée Saint Pierre, 375, Sint-Pieterssteenweg B-1040 Bruxelles, Brussel E-mail:
[email protected] Website eHealth-platform: https://www.ehealth.fgov.be
Overzicht van de uiteenzetting
Inleiding Veiligheid – De risico's nemen toe !!! Functie van de veiligheidsconsulent Rol van de informatieveiligheidsconsulent Andere functies in de organisatie die hierbij zijn betrokken Aanwijzings- en opvolgingsprocedure Werkgroep Inhoud van de cursus - informatieveiligheid Overzicht van de modules
24/02/2012
19
Awareness Computerbestanden van N-VA gestolen Bij de Antwerpse N-VA zijn vertrouwelijke computerbestanden van de partij gestolen. Het gaat om ontwerpteksten voor het congres van 21 april en de ledenlijsten. Ingewijden spreken van politieke spionage.
24/02/2012
20
Functie (uittreksel uit de brief van het ministerie) De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur omtrent alle aspecten van de informatieveiligheid. Dit impliceert een adviserende, stimulerende, documenterende en controlerende opdracht. De informatieveiligheidsconsulent bevordert de naleving van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in het ziekenhuis.
24/02/2012
21
Functie (uittreksel uit de brief van het ministerie) • De veiligheidsconsulent werkt nauw samen met de diensten waarin zijn tussenkomst vereist is of kan zijn, inzonderheid met de informaticadienst en de dienst voor veiligheid, gezondheid en verfraaiing van de werkplaatsen van het ziekenhuis. • De informatieveiligheidsdienst dient een gedegen kennis te bezitten van de informatica-omgeving van het ziekenhuis en van de informatieveiligheid. Hij dient deze kennis op peil te houden.
24/02/2012
22
Functie (uittreksel uit de brief van het ministerie) De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur een ontwerp van veiligheidsplan op voor een bepaalde termijn, met aanduiding van de middelen op jaarbasis die vereist zijn om het plan uit te voeren. een opdracht gedurende 40% van de tijd blijkt het minimum te zijn
24/02/2012
23
Informatieveiligheidsconsulent (beroep) Interpreteren van de informatieveiligheidsreglementering op maat van de organisatie Voorstellen van een veiligheidsstrategie Nemen van initiatieven omtrent informatieveiligheid Coördineren van activiteiten omtrent informatieveiligheid Beheren van het “Information security management”-system (ISMS) Beheren van het informatieveiligheidsbeleid (ISP) Verstrekken van adviezen inzake veiligheid Bewerkstelligen van een samenwerking tussen interne en externe organisaties Organiseren van bewustwordingstrainingen inzake veiligheid op alle niveaus van de organisatie Bezieler van het "Platform voor de informatieveiligheid" 24/02/2012
24
Informatieveiligheidsconsulent (beroep) Voorbereiden/opstellen van een jaarlijks budget voor de informatieveiligheid Identificeren van de veiligheidsrisico's en er de nadruk op leggen Interne begeleiding, onderzoek, audit Voorbereiden van onafhankelijke externe audits omtrent informatieveiligheid en opvolgen van aanbevelingen Specifieke taken van de sociale zekerheid • • •
Opvolging van de minimale normen Jaarlijkse vragenlijst Planning
Opsporen van mogelijke veiligheidsinbreuken • • •
inzake vertrouwelijkheid, integriteit, machtiging, ... op vraag van de directie, de rechtbank, ... op basis van goedgekeurde procedures
Opvolgen van de evolutie van bedreigingen, tegenmaatregelen, systemen, ... 24/02/2012
25
Platform voor de informatieveiligheid Delegeren van verantwoordelijkheden Ondersteunen van het management tijdens de beveiligingsprocedure Ontwikkelen van doelstellingen, strategieën en veiligheidsrichtlijnen Evalueren van veiligheidsrapporten en nagaan in welke mate belangrijke informatie uiteengezet wordt en wat de businessimpact ervan is Nagaan in hoeverre de verschillende veiligheidsinitiatieven gevorderd zijn Evalueren van belangrijke veiligheidsincidenten Goedkeuren van alle wijzigingen aan het ITveiligheidsbeleid
24/02/2012
26
Rol van de directie Een duidelijke ondersteuning en een voorbeeldgedrag van de directie is noodzakelijk om de informatieveiligheid in goede banen te leiden
24/02/2012
27
“Incident Response Team” Beheer bij een ernstig incident • • • • •
24/02/2012
Inschatten van de situatie Beperken van de schade Verzekeren van de continuïteit Herstellen van de normale situatie Verbeteringsacties
28
Andere hierbij betrokken functies
Systeemverantwoordelijke Aankoopdienst Juridische dienst Project manager Ontwikkeling Productie
24/02/2012
29
Aanwijzings- en begeleidingsprocedure Verzending van de kandidatuur door het ziekenhuis Onderzoek van de kandidatuur door het Sectoraal Comité Goedkeuring van de consulent Organisatie van opleidingen Planning
24/02/2012
30
Stand van zaken eind februari Ongeveer 100 ziekenhuizen hebben hun kandidatuur voorgelegd Opleidingsnoden op basis van CV van +/- 40 % van de kandidaten Frans
Nederlands
Basisinformatica
18,66 %
32,28%
Medische informatica
47,02%
61,54%
Gezondheidszorg
49,21%
45,09%
Informatieveiligheid
38,55%
39,13%
Er werden enkele opleidingen voor de medische sector gegeven 24/02/2012
31
Werkgroep Binnenkort wordt een werkgroep opgericht met alle veiligheidsconsulenten van de ziekenhuizen dat, na goedkeuring door de afdeling gezondheid van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, de good practices omtrent de informatieveiligheid zal vastleggen Oproep aan kandidaten
24/02/2012
32
Doelstellingen van de werkgroep Grondig onderzoek van het wettelijke veiligheidskader in de gezondheidssector Invoering van minimale normen Omschrijving van veiligheidsbeleid voor het eHealthdomein • • • • • • •
24/02/2012
Gebruikersbeheer Servers Cloud computing Wifi beleid Gegevensclassificatie Veiligheidsincidenten ... ….
33
De voorgestelde opleidingen Opleiding in modules • Module 1 : Basisinformatica • Module 2 : Medische informatica (in combinatie met 1) - 2 dagen
• Module 3 : Gezondheidszorg : wettelijke aspecten & praktische gevallen - 1 dag
• Module 4 : informatieveiligheid - 5 dagen
Planning
24/02/2012
34
Informatieveiligheid (inhoud) Cursus gebaseerd op de normen ISO 27001 / 27002 / 27799 Bevat oefeningen en praktische gevallen De verschillende modules: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 24/02/201211.
Methodologie Organisatie veiligheid Beheer van bedrijfsmiddelen (asset management) Personeelsgerelateerde veiligheid Fysieke veiligheid en bescherming van de omgeving Veiligheid m.b.t. projectontwikkeling Operationeel beheer Logische toegangsbeveiliging Incidentenbeheer Continuïteit Conformiteit en controle 35
Module 1: methodologie Aanpak (ISO-norm 2700X) Implementatie van een ISMS en van een informatieveiligheidsbeleid (ISP) Keuze van een aangepaste methode van risicoanalyse Praktische punten
24/02/2012
36
Doelstelling: een integraal aanbod Het information security management dekt alle aspecten van de (fysieke, logische en menselijke) veiligheid Overzicht van alle veiligheidsrisico‟s binnen de organisatie Overzicht van • alles wat al uitgevoerd is • alles wat voor verbetering vatbaar is • alle aanvaarde risico‟s
24/02/2012
37
37
Doelstelling: een integraal aanbod
24/02/2012
38
Module 2 : organisatie Doelstelling: implementatie van een dienst (platform) dat is belast met het beheer van de informatieveiligheidsrisico‟s Analyse van verantwoordelijkheden De rollen van elke persoon omschrijven: RACI matrix (directie, veiligheidsdepartement, ontwikkelaars, leveranciers etc.) Gevolg voor aanwervingen (arbeidsovereenkomst) Oprichting van een cel voor incidentenbeheer Oprichting van een veiligheidsgroep ISMS en ISP – implementatie- en opvolgingsprocedure
24/02/2012
39
Module 3 : beheer van bedrijfsmiddelen Onderzoek van bedrijfsmiddelen Afstemming op de information security policy Inventaris van de waarden en daarbij horende middelen, ook van de menselijke middelen Gegevensclassificatie Veiligheidsmaatregelen
24/02/2012
40
Information Security Policy (ISP) Het beheer van de middelen beoogt het behoud van een geschikte beveiliging van deze middelen. In de context van eHealth worden er vertrouwelijke gegevens verwerkt. De verwerking van deze gegevens is aan een specifieke wetgeving onderworpen, o.a. in verband met de persoonlijke levenssfeer, waartoe ook de wetgeving inzake medische gegevens behoort. De middelen moeten geïnventariseerd en geclassificeerd worden (ook voor het continuïteitsbeheer). De gegevens worden verwerkt volgens hun classificatie.
24/02/2012
41
41
Bedrijfsmiddelen - Beveiligingsmiddelen Fysieke omgeving per locatie Omgeving: airconditioning, generator, enz. Human resources voor elke rol, verantwoordelijkheid en functie Classificatie van documentatie volgens de gevoeligheidsgraad Medische resources
Vragen: Wat beveiligen? Welke informatie en welke informatiebronnen zijn kritiek?
24/02/2012
42
Bedrijfsmiddelen Software • Operating systems • Applicatie
Database • Per leverancier, type
Netwerken • VLANs, switches, routers, hubs
Communicatie • PBX, laser links, fax, modems
24/02/2012
43
Maatregelen Eigenaars aanwijzen Een initiële classificatie toepassen en deze regelmatig herzien De gegevens classificeren Autoriteit voor de goedkeuring van toegangsaanvragen en gebruiksmodaliteiten • Onder andere de rol van het Sectoraal Comité
Toegangscriteria • authenticatie / autorisatie / encryptie / onweerlegbaarheid
Technische veiligheidsmaatregelen • gegevensopslag • mededeling van gegevens
Gegevens verwijderen Archiveren Let op printafdrukken en op papier! 24/02/2012
44
44
Module 4: personeelsgerelateerde veiligheid Doel: de niet-gemachtigde toegang en schade aan de eigendom (informatie en hardware) van een instelling voorkomen. • Vertrouwelijkheid • Integriteit • Beschikbaarheid
Risicobeperking na een menselijke fout, diefstal, fraude of ongepast gebruik/misbruik Bewust zijn van bedreigingen en risico‟s m.b.t. de informatieveiligheid • Bewustzijn aan verantwoordelijkheidszin koppelen • Zie het deel dat aan de organisatie gewijd is
Opleiding en middelen om de ISP te kunnen naleven in het kader van hun opdrachten, … 24/02/2012
45
Onderzochte materie
Persoonlijk risico voor de medewerker Bedreigingen en zwaktes Misbruik van zwaktes Beveiliging door de eindgebruiker • • • • •
Fysieke omgeving Authenticatie Elektronische berichten Surf Social engineering
Veiligheidsmaatregelen (internettoegang, paswoord, mailgebruik, enz., …)
24/02/2012
46
Module 5 : fysieke veiligheid
Doel van de fysieke veiligheid De fysieke veiligheid in zones opsplitsen Fysieke toegangscontrole Beveiliging van verschillende soorten lokalen Beveiliging tegen externe bedreigingen Werken in beveiligde zones Publieke toegang en leveringen
24/02/2012
47
Module 6: beveiliging van projecten Doelstelling De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie
Malware en risico‟s Systeemontwikkeling Technische beveiliging Overzicht over alle OSI-lagen
24/02/2012
48
Scope en implementatie De beveiliging moet vanaf het begin ondersteund worden Indien de veiligheid pas nadien toegevoegd wordt, vergroot dit de complexiteit aanzienlijk Er bestaan verschillende soorten aanvallen (zie vorige slides), o.a.: • Malware • Misbruik van zwaktes in het beveiligingssysteem van de infrastructuur
Veiligheid: moet ingepast worden in de volledige levenscyclus en in alle facetten van het systeem/van de toepassing • • • • • • •
24/02/2012
Concept Architectuur Conceptie Ontwikkeling Tests Implementatie Beheer
De systemen/toepassingen moeten beveiligd zijn vanaf de architectuur tot de implementatie 49
Module 7: operationeel beheer Een correct beheer van de ICT-omgeving is van groot belang om de informatieveiligheid te garanderen. Gestructureerde aanpak De belangrijke procedures inzake informatieveiligheid • ITIL (Information Technology Infrastructure Library), • CobiT (Control Objectives for Information and related Technology)
24/02/2012
50
Processen Information Technology Infrastructure Library (ITIL) • Referentiekader voor de implementatie van beheersprocedures binnen een ICT-organisatie • ITIL is noch een methode, noch een model, maar wel een reeks best practices • Service Delivery. -
Capacity Management Availability Management IT Service Continuity Management (ITSCM) Service Level Management Security Management
• Service Support. 24/02/2012
Change Management Release Management Problem Management Incident Management Configuration Management Service Desk 51
Processen Information Technology Infrastructure Library (ITIL) • Planning to Implement Service Management. • Security Management. • ICT Infrastructure Management. -
Network service Management Operations Management Management of local processors Computer installation and acceptance Systems Management
• The Business Perspective. • Application Management. • Software Asset Management
24/02/2012
52
Module 8: beveiliging van de toegangen
Vertrouwelijkheid, integriteit, authenticiteit - definities Inleiding tot de cryptografie Authenticatie Identificatiemiddelen Autorisaties Analyse van voorbeelden, praktische gevallen Wetgeving en loggegevens
24/02/2012
53
Module 9: incidentenbeheer • • • •
Oprichting van een cel voor incident management Analyse van de te implementeren middelen Identificatie van ernstige incidenten Rampenplan en voortzetting
24/02/2012
54
Incident response team Aard van de incidenten : • dagelijks (bv. scanning) tot • zeer ernstig (bedreiging voor de voortzetting van de activiteiten)
Het beheer van dagelijkse, kleine incidenten moet uitgevoerd worden in het « operationeel beheer » Incident response: alle vastgelegde en goedgekeurde maatregelen om het hoofd te bieden aan een ernstig incident • Belangrijk incident: de voortzetting van de activiteiten binnen het bedrijf komt in het gedrang
24/02/2012
55
Link met het DRP Doel : beschrijving van alle processen en procedures bij een belangrijk incident • op basis van scenario‟s voor belangrijke technische incidenten -
bv. verlies van een data center, stroomuitval
• door rekening te houden met het relatieve belang van ICTprocessen om de prioriteiten vast te leggen • hou rekening met de verschillende fases in de aanpak van ernstige incidenten • coördinatie door de IRT
24/02/2012
56
Analyse van de „ernstige‟ incidenten
Erkenningsfase • • • • • •
Reactiefase • • • • •
• •
Verzamel informatie Vermijd paniek Evalueer de situatie Erken de ernst van de situatie Neem de nodige maatregelen op basis van de processen en procedures Activeer de IRT Organiseer regelmatig overlegvergaderingen met de IRT Blijf informatie verzamelen en evalueer de (veranderende situatie) Voer de maatregelen uit om de impact van het incident te beperken- stabilisatie van de situatie Neutraliseer de oorzaak van het incident Neem de nodige maatregelen op basis van de processen en procedures om de continuïteit te garanderen Bewaar de bewijzen- forensisch onderzoek Organiseer de communicatie
Herstelfase • • •
24/02/2012
Terugkeer naar de normale situatie op basis van de processen en procedures Blijf communiceren Lessen en verbeteringsacties
57
Evaluatie van de situatie Is het incident tijdelijk of permanent? Welke belangrijke exploitatiemiddelen werden erdoor aangetast? • personeel • business-processen • infrastructuur, systemen
Komt de voortzetting van (een deel van) de activiteiten in het gedrang? Is het incident te wijten aan recente wijzigingen/interventies?
24/02/2012
58
Module 10: continuïteit
Inleiding Business Continuity Plan (BCP) ICT contingency plan (ICP) Disaster Recovery Plan (DRP) Tests Geleerde lessen
24/02/2012
59
Continuïteitsbeheer Doel: kunnen reageren als de activiteiten van de organisatie verstoord worden en beveiliging van de kritieke business-processen bij ernstige incidenten Belangrijke verantwoordelijkheid voor de continuïteit van de gezondheidszorgverstrekking in België Gedocumenteerd proces • Gebaseerd op risico-analyse • Preventieve en corrigerende maatregelen
Proces en plan op oefeningen gebaseerd
24/02/2012
60
Module 11 : conformiteit en controle
Controle op de naleving van de wettelijke en contractuele vereisten inzake veiligheid
Evaluatie van de informatieveiligheid op basis van het beheer • • • •
24/02/2012
Dagelijkse begeleiding Interne controle Interne audit Externe audit
61
24/02/2012
62
Th@nk You !
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
64
Pauze 15 minuten
Informatieveiligheid in het ziekenhuismilieu Waar beginnen ? Dr. Ir. Etienne Stanus Consulent inzake informatieveiligheid Institut Jules Bordet
Informatie en kwaliteit Zorgkwaliteit: capaciteit van de gezondheidsdiensten, bestemd voor individuele personen en populaties, om de waarschijnlijkheid te verhogen om de gewenste gezondheidsresultaten, in overeenstemming met de beroepskennis van het moment, te bereiken. Goed geïnformeerd zijn op de juiste plaats op het juiste moment
Enkele sleutelwoorden Gezondheidsdienst: alle disciplines Kennis: impliceert de onderliggende informatiesystemen Waarschijnlijkheid: veronderstelt verplichting van middelen beheer van de risico’s, ongewenste gebeurtenissen, …
Overeenstemming, moment: governance, continue verbetering, audits
Shewhart-cyclus/Deming-wiel: Plan: identificatie van het/de probleem/problemen Do: Ontwikkelen, realiseren, implementeren Check: Metingen/indicatoren controleren, nagaan Act / Adjust: corrigeren/ verbeteren / standaardiseren Spie onder het wiel: kwaliteitssysteem, regelmatige audits, kapitalisatie van de praktijken (documentatiesysteem) Not « Please Don't Change Anything » !
Laten we overgaan tot een formalisatie! Plan: Enkele definities Een beginnende risicoanalyse
DO Juridische context, Normatieve context Bestaande documenten Gelijkaardige PDCA-systemen Een voorbeeld van een bestaande tool
Check Auto-evaluatie
Act Implementatie van een managementsysteem voor de informatieveiligheid Enkele methodes van risicoanalyse Enkele gevoelige punten
Informatiesysteem Een informatiesysteem is een complex netwerk van gestructureerde relaties waar mensen, machines en procedures tussenbeide komen dat als doel heeft geordende stromen te doen ontstaan van relevante informatie die afkomstig is van verschillende bronnen en dient als basis voor beslissingen. Bron: Hugues Angot (Prof. Ichec, …)
Begrip risico en gevaar • Gewone betekenis: – Risico: ongewenste toevalligheid waarvoor men bevreesd is en die relatief ongevaarlijk en weinig waarschijnlijk is. – Gevaar: is zeer waarschijnlijk, veronderstelt de mogelijkheid van een ernstige schade, onder meer verwondingen of de dood.
• Wetenschappelijke definitie van « risico »: – « Het risico is de mathematische verwachting van een waarschijnlijkheidsfunctie van gebeurtenissen » Specimen theoriae novae de mensura sortis, Daniel Bernouilli,1738
• Definitie van een ingenieur: – het risico is de combinatie van waarschijnlijke gebeurtenissen en het gevolg/de gevolgen ervan
Begrip risico en gevaar • Technische betekenis: (industriële veiligheid) Bestaan van een waarschijnlijkheid dat een gevaar concreet wordt in één of meerdere scenario’s, wat gepaard gaat met schadelijke gevolgen voor goederen of personen. • Definitie ISO 31000:2009 het risico is het gevolg van de onzekerheid over de doelstellingen
Algemene aanpak • De risico’s en het kritieke karakter ervan evalueren – Welke risico’s en bedreigingen – Op welke gegevens en welke activiteit – Met welke gevolgen
• Beveiligingsstrategieën zoeken en selecteren: – Wat zal men beveiligen, wanneer en hoe – Met welke middelen (tijd, competenties, €)
• De bescherming implementeren – Preventie; reductie, aanvaarding, transfer van het risico – De efficiëntie ervan nagaan.
Diagram van Ishikawa Human resources Fysieke veiligheid en omgeving
Externe reglementering Ontwikkeling en onderhoud. Wijziging Negatieve of positieve gevolgen
Logische toegangscontrole Inventaris en en classificatie middelen
Beheer van de continuïteit
Interne reglementering
Interne procedures
Van de wet …. en de geest van de wetten
KB 23/12/64 tot vaststelling van de normen waaraan de ziekenhuizen en hun diensten moeten beantwoorden • Bijlage A, 16/12/1994 a) Beschikken over een reglement betreffende de bescherming van de persoonlijke levenssfeer b) de patiënt heeft toegang tot dit reglement.
• De beheerder van het bestand wijst f) de arts aan die de verantwoordelijkheid en het toezicht heeft over de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. g) een veiligheidsconsulent aan belast met de veiligheid van de informatie. De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijkse beheer van alle aspecten van de informatieveiligheid
Rechten van de patiënt (wet 22/8/2002) De rechten van de patiënt omvatten: •De kwaliteit van de dienst •De keuze van de arts •Het recht op informatie •De toestemming •De bescherming van de persoonlijke levenssfeer •Een patiëntendossier dat nauwkeurig bijgehouden en veilig bewaard wordt. •De toevlucht tot de bemiddeling
Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Wet van 8 /12/1992 en KB betreffende de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (wet persoonlijke levenssfeer) KB van 17/12/2003 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van bepaalde sectorale comités opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer Wet van 8/8/1983 tot regeling van een Rijksregister van de natuurlijke personen Wet van 15/1/1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid Wet van 16/1/2003 tot oprichting van een Kruispuntbank van Ondernemingen, tot modernisering van het handelsregister, tot oprichting van erkende ondernemingsloketten en houdende diverse bepalingen Wet van 4 juli 1962 betreffende de openbare statistiek KB van 7 juni 2007 tot vaststelling van de nadere regels met betrekking tot de samenstelling en de werking van het Statistisch Toezichtscomité opgericht binnen de Commissie voor de bescherming van de persoonlijke levenssfeer
http://www.privacycommission.be
Wetten en richtlijn over de bescherming van de persoonlijke levenssfeer Persoonsgegevens: voorbeelden: naam, foto, telefoon, ras, geslacht, … Verklaring die voorafgaat aan de inzameling van persoonsgegevens Proportionele, verantwoorde en geoorloofde verwerking Doelstelling bepaald Kwaliteit van de gegevens Gevoelige gegevens: ras, gezondheid, gerecht, syndicale en politieke opinies, filosofische overtuiging, sexuele voorkeur.
Recht van de betrokkene Beperkingen qua export van deze gegevens
Voorstel tot herziening van de Europese richtlijn (26/1/2012) Toestemming in «duidelijke» bewoordingen Informatie over de stockering van de gegevens, hoe, met welke doeleinden en voor welke duur. Aanwijzing van een afgevaardigde voor de bescherming van de gegevens indien verwerking van risicogegevens gelet op de rechten en de vrijheden van natuurlijke personen Recht op verwijdering van digitale gegevens: verplichte schrapping van de gegevens behoudens gerechtvaardigde reden. Verplichte melding van de schending van de veiligheid aan de nationale overheid aan de betrokkene
dataoverdraagbaarheid http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Carenet-protocol 19/4/2001 De veiligheidsconsulent zal op eigen initiatief of op verzoek de verantwoordelijke voor het dagelijkse beheer van zijn instelling of VI adviseren. Hij is ervoor verantwoordelijk de vereiste documentatie in te zamelen, bij te houden en te verspreiden. Hij is ook ervoor verantwoordelijk om toe te zien op de goede toepassing van de procedures die in de instelling of VI geïmplementeerd worden. Jaarlijks moet hij een verslag over de effectieve naleving van de procedures opstellen. Ten allen tijde zal hij, indien hij één of ander gebrek vaststelt, dit onmiddellijk aan de directie van de instelling of VI moeten meedelen. De adviezen of verslagen zullen schriftelijk en gemotiveerd worden meegedeeld. Toezicht op de registratie en de toekenning van certificaten
Kruispuntbank van de sociale zekerheid (wet 15/1/1990) • Art. 4 : « Iedere openbare overheid, natuurlijke persoon en openbare of private instelling die overeenkomstig § 4 toegang heeft tot de identificatiegegevens van de Kruispuntbankregisters of er mededeling van bekomt, wijst, al dan niet onder het personeel, een consulent inzake informatieveiligheid en bescherming van de persoonlijke levenssfeer aan. » • Art 25 : « De veiligheidsconsulent bedoeld in artikel 24, eerste en tweede lid, staat, met het oog op de veiligheid van de sociale gegevens die door zijn instelling worden verwerkt of uitgewisseld (en met het oog op de bescherming van de persoonlijke levenssfeer van de personen op wie deze sociale gegevens betrekking hebben), in voor : 1° het verstrekken van deskundige adviezen aan de persoon belast met het dagelijks bestuur; 2° het uitvoeren van opdrachten die hem door de persoon belast met het dagelijks bestuur worden toevertrouwd. De veiligheidsconsulent van de Kruispuntbank verstrekt bovendien deskundige adviezen over de veiligheid van het netwerk.
Collectieve arbeidsovereenkomsten • CAO 81: Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische onlinecommunicatiegegevens • CAO 68: Collectieve arbeidsovereenkomst nr. 68 van 16 juni 1998 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de camerabewaking op de arbeidsplaats
Onderzoek/Ethiek • Koninklijk besluit tot oprichting van de ethische comités in de ziekenhuizen (12 augustus 1994) • Wet betreffende het onderzoek op embryo's in vitro (mei 2003) • Wet inzake experimenten op de menselijke persoon (mei 2004) • Wet inzake het verkrijgen en het gebruik van menselijk lichaamsmateriaal met het oog op de geneeskundige toepassing op de mens of het wetenschappelijk onderzoek (december 2008)
Beroepsgeheim en discretieplicht • Wie? – Art. 458 van het Strafwetboek. Al diegenen die, uit hoofde van hun staat of beroep, kennis dragen van geheimen die hun zijn toevertrouwd. – Art. 70 van de Code van geneeskundige plichtenleer. De geneesheer zal ervoor waken dat het medisch geheim door zijn helpers dwingend wordt nageleefd. – Personeel sui generis: verplichte vertrouwelijkheid betreffende alles wat ze zouden kunnen vernemen over de identiteit en/of de toestand van de patiënt tijdens hun werk
Sanctie •
• • In welke mate? http://www.cnil.fr/voslibertes/vos-traces/ Klachten: http://www.polfedfedpol.be/org/org_dgj_FCCU_RCCU_fr.php
•
Wet inzake informaticacriminaliteit 28/11/2000 – valsheid in informatica – fraude – hacking – sabotage van informaticagegevens – wijziging van het wetboek op strafvordering Briefgeheim strafwetboek art. 314 bis Geheimhouding van de communicatie wet van 21 maart 1991 …
Normen/gidsen van goede praktijk • Wijzen een meestal erkende en aangenomen toestand aan of wijzen een middel aan dat meestal wordt beschouwd als een te volgen regel. • Hebben geen dwingend karakter, behalve dat ze expliciet in de wet vermeld staan • Nuttige links www.nbn.be www.afnor.fr
www.din.de www.nen.nl www.iso.org
ISO/IEC 27000-normen • • • • • • • • • •
•
ISO/IEC 27000 : Inleiding en globaal zicht op de familie van normen alsook een glossarium van gemeenschappelijke termen (mei 2009) ISO/IEC 27001 : Certificeringsnorm van de ISMS (gepubliceerd in 2005) ISO/IEC 27002 : Gids voor goede praktijken op het vlak van de ISMS (voorheen gekend onder de naam ISO/IEC 17799, en vóór BS 7799 Deel 1 (laatste herziening in 2005, en opnieuw genummerd in ISO/IEC 27002:2005 in juli 2007) ISO/IEC 27003 : Gids voor de implementatie van een ISMS die gepubliceerd is op 3 februari 2010 (Richtsnoeren voor de implementatie van het managementsysteem voor de informatieveiligheid) ISO/IEC 27004 : Norm voor het meten van het management van de informatieveiligheid (gepubliceerd op 12 juli 2009) ISO/IEC 27005 : Norm voor het beheer van de risico’s die samenhangen met de informatieveiligheid (gepubliceerd op 4 juni 2008, herzien op 19 mei 2011) ISO/IEC 27006 : Gids voor certificerings- en registratieprocessen (gepubliceerd op 1 december 2011) ISO/IEC 27007 : Stuurgids voor de audit van de ISMS (gepubliceerd op 14 november 2011) ISO/IEC 27008 : Controlerichtsnoeren voor het meten van de veiligheid (gepubliceerd op 15 oktober 2011) ISO/IEC 27011 : Gids voor de implementatie van ISO/IEC 27002 in de telecommunicatie-industrie (gepubliceerd op 15 december 2008) ISO/IEC 27799 : Gids voor de implementatie van ISO/IEC 27002 in de gezondheidsindustrie (gepubliceerd op 12 juni 2008)
Food and Drug Administration Chapter 21 part 11: « regulations that provide criteria for acceptance by FDA, under certain circumstances of: • Subpart B: electronic records, • Subpart C: Electronic signatures, and handwritten signatures executed to electronic records as equivalent to paper records • handwritten signatures executed on paper
FDA enkele nuttige links • Site general: http://www.fda.gov • FDA guidance for industry: Computerized systems in clinical trials: http://www.fda.gov/RegulatoryInformation/Guidances/ucm126402 .htm • FDA guidance: General principles of software validation: http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationa ndGuidance/GuidanceDocuments/UCM085371.pdf • FDA guidance: General principles of software validation: http://www.fda.gov/downloads/MedicalDevices/DeviceRegulationa ndGuidance/GuidanceDocuments/UCM085371.pdf • Health Insurance Portability and Accountability Act http://www.hipaa.com/
Waar moet men de basisinformatie terugvinden? … of wat bestaat er reeds in de instelling?
Nuttige bronnen – Directie(s) – Ethisch comité – Departementen (allemaal ! ) – Reglement persoonlijke levenssfeer: Bijlage A, wet op de ziekenhuizen 1994 – Huishoudelijk reglement, schriftelijke procedures – Aankoop- en aanwervingscontracten, contracten voor teleonderhoud – Kwaliteits- en risicobeheerders
Systeem voor kwaliteit en risicobeheer • Laboratorium ISO 17025/15189 – Kwaliteitshandboek • De organisatorische regels en procedures formaliseren • Consolidatie van de kennis
– Kwaliteitscoördinateur • De ontwikkeling van een kwaliteitshandboek tot een goed einde brengen • De toepassing en evolutie ervan opvolgen.
– Verantwoordelijkheid van de partijen
• Cel / project kwaliteit ISO 9000 • Cel/project veiligheid van de patiënt WHO • Interne/externe dienst voor de preventie en bescherming Noot: Evolutie van de normen – 2011: draft 15189: Toevoeging van een gedeelte « veiligheid van het informatiesysteem»
Information Technology Infrastructure Library • V2
• V3
Ondersteuning van de diensten (Service Support) Levering van de diensten (Service Delivery) Beheer van de informaticainfrastructuur (ICT managementinfrastructuur) Beheer van de veiligheid (Security management) Invalshoek van het beroep (The business perspective) Beheer van de applicaties (Application management) Beheer van de softwareactiva (Software asset management) Planning voor de implementatie van de diensten (Planning to implement service management))
Strategie van de diensten (Service Strategy) Ontwikkeling van de diensten (Service Design) Transitie van de diensten (Service Transition) Exploitatie van de diensten (Service Operation) Continue verbetering van de diensten (Continuous Service Improvement)
De « Service Support Repository» en de « exploitatielogs» zijn enorme schatten aan informatie, maar moete getrieerd worden
GMSIH / ANAP Groepering voor de modernisering van het informatiesysteem in de ziekenhuizen (2000-2009) •Opdrachten – Coherentie van de informatiesystemen die door de gezondheidsinstellingen worden gebruikt, bijdrage tot hun interoperabiliteit en opening, waarbij wordt geholpen hun veiligheid te ontwikkelen. – De informatie-uitwisseling in de gezondheidsnetwerken bevorderen met het oog op de verbetering van de zorgcoördinatie.
•Deliverables – Publicatie van het referentiedocument; – Concrete begeleiding in de instellingen; – Vertegenwoordiger in de normalisatieorganen;
•Geïntegreerd in het « Agence Nationale d'Appui à la Performance des établissements sanitaires et médicosociaux (ANAP) » http://www.anap.fr http://www.anap.fr/domaines-de-competences/systeme-dinformation/
http://www.anap.fr/uploads/tx_sabasedocu/cd _securite_06_2004.zip
NEN 7510 • 2011: NEN 7510 “Medische informatica Informatiebeveiliging in de zorg”) • 2012 “Praktijkgids - Werken met NEN 7510” http://www.nen.nl/web/Normshop/Norm/N EN-75102011-nl.htm
Etienne Stanus Institut Jules Bordet 24/2/2012
98
NEN – NEN 7512:2005 (nl) ‘Vertrouwensbasis voor gegevensuitwisseling’ – NEN 7513:2010 (nl) ‘Logging – Vastleggen van acties op elektronische Patiëntendossiers – NTA 8009:2011 (nl) ‘Veiligheidsmanagementsysteem voor ziekenhuizen en instellingen die ziekenhuiszorg verlenen
Etienne Stanus Institut Jules Bordet 24/2/2012
99
Eerste concrete auto-evaluatie
Tool in Excel
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot De voorgestelde gegevens zijn niet representatief voor een specifieke entiteit. Elke overeenkomst met (morele) personen of bestaande gebeurtenissen of gebeurtenissen die hebben bestaan, is toevallig.
Noot Het paard niet achter de wagen spannen
En nu? ISMS: enkele gevoelige punten
Implementatie van een ISMS Om goed te beginnen Oprichten van/ deelnemen aan •« Forum voor de informatieveiligheid » •Werkgroepen • Vertrouwelijkheid • Toegangsrechten tot informatiesysteem • Dossier / rechten patiënt • Biobanken • ….
Veiligheidsbeleid kader GMSIH: •Methodologische gids •Veiligheidsbeleid kader •Toelatingsbeleid •Fiche voor de betrekking van consulent inzake informatieveiligheid
KSZ-BCSS: PFD-documenten gratis beschikbaar op http://www.ksz-bcss.fgov.be/ •Minimale veiligheidsnormen die door de sociale zekerheidsinstellingen moeten worden gerespecteerd •Ethische code van goed gedrag voor de veiligheidsconsulenten •Information Security Management System
Vaststelling van perimeters Evolutie van de gezondheidsinformatiesystemen
Diogenes-systeem HUG Prof Jean-Raoul Scherrer, MD 1932-2002 Bron: http://hal.archivesouvertes.fr/docs/00/09/57/41/HTML/base_fichiers/ima ge002.jpg http://www.e-toile-ge.ch/presse/201012%20eHealth/1_BGruson_informatique%20aux%20HU G%201970-2010.pdf
Risicoanalyse Enkele methodes en tools naast andere EBIOS – Uitdrukking van de behoeften en identificatie van de veiligheidsdoelstellingen http://www.ssi.gouv.fr/fr/bonnespratiques/outilsmethodologiques/ebios-expressiondes-besoins-et-identification-desobjectifs-de-securite.html Tool: EBIOS 2010 MEHARI Geharmoniseerde methode voor risicoanalyse http://www.clusif.asso.fr/fr/productio n/ouvrages/type.asp?id=METHODES Tool: MEHARI 2010 GNU Licentie voor Excel, OpenOffice Enisa
Bron: Toepassing van veiligheidsbeleid GMSIH
Business continuity plan of informaticaplan ? • Continuïteit : waarvan? – zorg => dwingend – Ondersteunende activiteiten – Onderzoeksactiviteiten –…
• Coherentie met en betrokkenheid bij het plan « Waarschuwing ziekenhuisdienst » • Oefeningen en onderhoud
Business continuity plan Informaticaplan • In aanmerking nemen – De mogelijkheden waarop de gebruikers kunnen terugvallen, – De omzeilende maatregelen voor de beroepen – Het gezondheidsrisico epidemie, pandemie, risico voor het personeel – Het crisisbeheer (crisiscellen ...), – Crisiscommunicatie, – De omzeilende maatregelen voor de beroepen, – De transversale functies (HR, logistiek, enz.).
Transfers / archivering van gegevens • Beperkingen wat betreft de transfers van gegevens buiten de EU – Persoonlijke levenssfeer (art 21-22 L. persoonlijke levenssfeer 8/12/1992) – Elektronische facturen (art 60 §3 BTW-Wetboek)
• Specifieke verplichting om op bepaalde plaatsen/in België te archiveren – Medisch dossier (art 15, 17 en 70 gecoördineerde wet Ziekenhuizen 7/8/87) – Sociale documenten (art. 22 KB 8/8/1980) – Documenten belastbare inkomsten (art 315 WIB)
Classificatie • Activa – Niet altijd eenvoudig tussen wat officieel, officieus is, de leningen, het persoonlijk materiaal, het onderzoek, …
• Informatie – Opgelet voor de woordenschat: • Ziekenhuis: publieke, boekhoudkundige/financiële, medischadministratieve, medische, gevoelige informatie, VIP • Veiligheid Fr: Niet geclassificeerd + beperkt, vertrouwelijk, geheim, uiterst geheim, « onoverdraagbare archieven » • Veiligheid Gb: Not protectively marked + Restricted, Confidential, Secret, Top Secret. • Veiligheid USA: Confidential, Secret, Top Secret. • Gevoelig: kan de persoonlijke levenssfeer ongunstig beïnvloeden
Archivering • Transversale regels – Recht van derden • Intellectuele eigendom • Persoonlijke levenssfeer
– Elektronische handtekening – Bewijs
• Specifieke regels – Per sector: GMP, farma,… – Per type document: factuur, medisch dossier – Bewaringsduur
Toegangsbeleid, enkele discussieelementen De artsen belast met de oppuntstelling van de diagnose en de behandeling van de patiënten; De studenten geneeskunde die officieel toegewezen zijn aan de instelling De verpleegkundigen, medische secretaressen, sociaal assistenten en andere paramedische medewerkers die het medisch geheim delen gelet op hun zorgfuncties; De administratieve medewerkers in het ziekenhuis belast met het beheer van de informatie betreffende de patiënten, het identificatie- en opvolgingsbestand voor het verblijf van de patiënten met het oog op de facturatie en de geschillen; De onderzoekers in het kader van een protocol inzake klinisch onderzoek dat een positief advies van het Comité voor Ethiek kreeg Het informaticapersoneel belast met de elektronische verwerking van de gegevens van de patiënten in het kader van de informatica in het ziekenhuis. Het administratieve personeel De consulent inzake de informatieveiligheid Anderen?
Toegangsbeleid, enkele discussieelementen De betrokken patiënt; De behandelende artsen of de verpleegkundigen aangewezen door de patiënt; De raadgevende artsen van de verzekeringsinstellingen; De organen belast met het beheer van de orgaandonaties; Als er daar reden toe is, en in de gevallen die door de wet bepaald zijn, De registers (kanker, …) De juridische overheden; Het RIZIV (geanonimiseerde gegevens); De FOD Volksgezondheid (geanonimiseerde gegevens).
Onderaannemers
Vertrouwelijkheid • Patiënt = persoon in een kwetsbare situatie • 1 gehospitaliseerde patiënt 75 personen hebben toegang tot de gezondheidsinformatie(1) Cf.: http://www.chrn.be/files/files/Comit__d_Ethique_ Secret_Professionnel_Brochure_A5_Print.pdf (1) Bron: Caizergues C., Cianfarani F., Le secret médical, La revue du praticien, 1998, n°4, p.427
Budget
Jaarverslag Kruispuntbank van de sociale zekerheid (KB 8 augustus 1993) In artikel 8 wordt het volgende verduidelijkt: De informatieveiligheidsdienst stelt ten behoeve van de verantwoordelijke voor het dagelijks bestuur van de instelling jaarlijks een verslag op. Dit jaarverslag omvat minstens 1. een algemeen overzicht van de veiligheidstoestand, de evolutie in het afgelopen jaar en de nog te realiseren doelstellingen 2. een samenvatting van de schriftelijke adviezen die overgemaakt werden aan de verantwoordelijke voor het dagelijks bestuur en het gevolg dat eraan werd verleend 3. een overzicht van de werkzaamheden verricht door de informatieveiligheidsdienst 4. een overzicht van de resultaten van de controles uitgevoerd door de informatieveiligheidsdienst met weergave van alle vastgestelde voorvallen die van aard waren de informatieveiligheid van de instelling of het netwerk in het gedrang te brengen; 5. de adviezen gericht aan de instelling door de erkende gespecialiseerde veiligheidsdienst bedoeld in artikel 11, waarbij de instelling is aangesloten, en het gevolg dat eraan werd verleend 6. de adviezen van de werkgroep bedoeld in artikel 14, en het gevolg dat eraan werd verleend 7. een overzicht van de gevoerde campagnes ter bevordering van de veiligheid 8. een overzicht van alle gevolgde en de voorziene nog te volgen opleidingen .
Beheer van GVU door verschillende actoren • Opleidingen – academisch – commercieel
• Sectorale groepen – Gezondheid
• Verenigingen – CLUSIF, OSSIR, Club 27001, Lsec
• Verwante domeinen – – – –
Normalisatie (AFNOR, DIN, HL7, IEEE, NBN, NEN, OpenEHR,…) Commissie bescherming persoonlijke levenssfeer Recht Archivering
Bedankt voor uw aandacht Vragen ?
FOD VOLKSGEZONDHEID, VEILIGHEID VAN DE VOEDSELKETEN EN LEEFMILIEU
127
Bedankt voor uw aandacht