In control over informatiebeveiliging

‘In control’ over informatiebeveiliging Amersfoort, februari 2015

Transform to the power of digital

Copyright © 2015 Capgemini Consulting. All rights reserved.

1

Agenda

 Welkom door GGZ Nederland

14.00 uur

 Inleiding  Aan de slag met informatiebeveiliging – Break-out 1 – Break-out 2 – Break-out 3 – Round-up

14.30 uur

15.30 uur

 Vragen en discussie  Borrel

16.00 uur

Informatiebeveiliging

 Informatiebeveiliging gaat over … – Incidenten • Apotheek stuurt persoonsgegevens van haar klanten naar haar klanten. • EPD gegevens ‘op straat’ door beveiligingslek op ontwikkelomgeving bij applicatieleverancier. • Maar ook gamers op zoek naar bandbreedte maken gebruik van server met medische gegevens.

 – • • •

Informatiebeveiliging gaat over … Voorkomen van incidenten Opleiding en training van medewerkers, awareness bevorderen Sloten op de deur Inlogcodes en via beveiligde verbindingen communiceren in de keten


3


 Informatiebeveiliging gaat over … – Faciliteren van de bedrijfsvoering, het leveren van goede zorg aan uw cliënten. – Met inachtneming van eisen vanuit weten regelgeving. – Ofwel, uw kernprocessen op verantwoorde wijze uitvoeren. – Combinatie vereist bewust ondernemerschap • Weest u bewust van uw zorgen bedrijfsprocessen. • Inventariseer de risico’s die hierbij optreden. • Kies welke risico’s aanvaardbaar zijn, en welke risico’s met maatregelen gemitigeerd moeten worden. • Verzamel verbetervoorstellen. • Pas de beheercyclus toe: Plan  Do  Check  Act. – Dat is een ISMS – Information Security Management System / informatiebeveiligingsbeheersysteem

Zeg wat je doet. Doe wat je zegt. Laat zien dat je het hebt gedaan.

Informatiebeveiliging gaat over het in kaart brengen en beheersen van risico’s Copyright © 2015 Capgemini Consulting. All rights reserved.

4


Normenkader  ISO 27000 – ISO 27001 normatief – ISO 27002 (= ISO 17799 = Code voor Informatiebeveiliging)  inrichten ISMS • NEN 7510 Informatiebeveiliging in de zorg – NEN 7512 Vertrouwensbasis voor gegevensuitwisseling – NEN 7513 Logging - Vastleggen van acties op elektronische patiëntdossiers  Certificeren? – Niet verplicht. – Certificerende instantie NTA 7515 (Nederlandse Technische Afspraak) – Onafhankelijke beoordeling is wel verplicht (binnen NEN 7510) • Collegiale toetsing, intervisie, of externe toetsing


5

In perspectief Waarom (en voor wie)?

Maak het niet moeilijker dan het is

 Kwaliteit van zorg leveren en verbeteren  Verwachting van cliënten en patiënten  Voldoen aan weten regelgeving. – De Wbp (Wet Bescherming Persoonsgegevens) – De Wgbo (Wet op de geneeskundige behandelovereenkomst) – De Wbsn-z (Wet gebruik burgerservicenummer in de zorg)  Belangen beschermen uit gezichtspunt van de instelling – Van medewerkers, cliënten en andere stakeholders

 Informatiebeveiliging is één van de operationele risico’s.  Uiteraard voldoet u aan de wet.  U moet zich houden aan een aantal vooral administratieve voorschriften, maar met informatiebeveiliging heeft dat weinig te maken.

 EPV - Europese privacy verordening (algemene verordening gegevensbescherming) – Intern privacybeleid verplicht – Privacy vast onderwerp binnen de bedrijfsvoering – Privacy Impact Assessments (PIA) wordt verplicht – Privacybescherming by Design en by Default – Hoge boetes bij geconstateerde overtredingen – Belangen beschermen van een individu

 Informatiebeveiliging moet passend zijn en wat passend is, dat beslist u als bedrijfsverantwoordelijke zelf.  Bestuurdersaansprakelijkheid gaat over ‘in control’ zijn ofwel over dat u bewuste keuzes heeft gemaakt met betrekking tot uw operationele risico’s, dus ook met betrekking tot informatiebeveiliging

 Pragmatisch: u kiest voor wat werkt in uw situatie.  Risico inventarisatie  Opzet als management systeem  Bedrijfseconomisch verantwoorde keuzes  De lat niet hoger leggen dan wat u aan kunt


6

Informatiebeveiliging als onderdeel van de organisatie

   

Informatiebeveiliging is een verantwoordelijkheid van de ‘business’ Stel strategische doelen op met betrekking tot informatiebeveiliging Beleg verantwoordelijkheden en rollen in de organisatie Creëer een structuur met verantwoording (rapportage) en toezicht (auditeren)


7

De essentie van informatiebeveiliging in de zorg in NEN 7510  Beheercyclus – Plan: zeg wat je gaat doen (op elk van de 11 beleidsterreinen) – Do: doe wat je zegt – Check: controleer of je hebt gedaan wat je hebt gezegd – Act: benoem wat je in de volgende iteratie beter kunt doen  Voorbeeld uit H10 Beheer van communicatie- en bedieningsprocessen Doelstelling: Handhaven van de integriteit en beschikbaarheid van informatie – Beheersmaatregel: stelselmatig back-upkopieën van informatie en programmatuur maken en de herstelprocedure regelmatig testen conform het vastgestelde back-upbeleid.  Voorbeeld uit H6 Organisatie. Doelstelling: Beheren van de informatiebeveiliging binnen de organisatie – Maatregelen op het gebied van: • Betrokkenheid van de directie bij informatiebeveiliging • Coördinatie van informatiebeveiliging • Toewijzing van verantwoordelijkheden voor informatiebeveiliging • Goedkeuringsproces voor middelen voor de informatievoorziening • Geheimhoudingsovereenkomst • Contact met overheidsinstanties • Contact met speciale belangengroepen • Onafhankelijke beoordeling van informatiebeveiliging

Voldoen aan de norm • Is niet: alle maatregelen die in NEN 7510 worden genoemd hebben ingevoerd. • Is wel : actief bezig zijn met het beheersen van het proces van informatiebeveiliging.


8

Aan de slag met NEN 7510

 

Wat wordt er al gedaan in de instelling? Is het top-management betrokken?

1. 2. 3. 4. 5.

Stel een informatiebeveiligingsbeleid op Stel vast wie waarvoor verantwoordelijk is Zorg voor bewustwording, opleiding en training Neem maatregelen tegen kwaadaardige programmatuur. Sluit overeenkomsten voor gegevensuitwisseling met ketenpartners 6. Beveilig de toegang tot systemen. systemen (in de gebruikersadministratie). 7. Ontwikkel en implementeer continuïteitsbeheer. 8. Houd rekening met intellectueel eigendom. 9. Belangrijke bedrijfsdocumenten moeten worden beveiligd tegen verlies, vernietiging en vervalsing. 10. Bescherm persoonsgegevens. 11. Leef het opgestelde beveiligingsbeleid na. 12. Rapporteer beveiligingsincidenten En nu (opnieuw) de Plan – Do – Check – Act cyclus door. Copyright © 2015 Capgemini Consulting. All rights reserved.

9

Break-outs

Opzet break-outs

 3 groepen: People, Proces, Technology  Duur 20 min – 5 minuten: intro van onderwerp – 15 minuten: bespreken stelling/ vraag  Plenaire terugkoppeling door de break-out leider, samenvatting van de belangrijkste adviezen.  Break-out leiding: – People groep: Tjalling – Proces groep: Roeland – Technology groep: Toon


11

Break out 1: People Stappenplan: Bewustwording, opleiding training

 Mens komt er bekaaid vanaf: awareness &  Kennis, houding EN gedrag training  Noodzakelijk, maar niet genoeg

 Voorbij bewustwording: bieden van handelingsperspectief en ‘tunnelen’ van veilig gedrag


12

Stelling: “Door zorgvuldig te investeren in techniek en proces is het mogelijk onzorgvuldig gedrag van medewerkers rondom het veilig werken met informatie te ondervangen.”

Geef je “beste advies” met betrekking tot bewustwording, opleiding of training!


13

Break out 2: Proces Stappenplan: “Samenwerking met ketenpartners”  Informatie uitwisseling in de keten is groot bijv: – Verwijzing van patiënten en cliënten naar andere zorgverleners; – het delen van patiënteninformatie voor wetenschappelijk onderzoek en clinical trials; – Uitwisselen van medisch personeel – uitbesteding activiteiten die betrekking hebben op de informatievoorziening;

 Sluit overeenkomsten voor ‘gevoelige’ gegevensuitwisseling met de ketenpartners tav: – aansprakelijkheid; – de geheimhouding; – meldingsplicht beveiligingsincidenten; – hoe gegevens beveiligd worden (netwerkbeveiliging en toegang);

 Zoek collega organisaties op en leer van elkaar: – Deel incidenten en maatregelen; – Help elkaar; – Vergelijk elkaar (benchmark); – Organiseer collegiale feedback.


14

Vraag: Welke veiligheidsrisico’s zijn er bij digitaal informatie uitwisselen met partnerorganisaties ?

Geef je “beste advies”: Hoe verbeteren we samenwerking in de keten zodat informatie-uitwisseling veiliger wordt?


15

Break out 3: Technology Een casus uit 2012

Gegevens van 8.500 patiënten gelekt uit ontwikkelomgeving van leverancier van GGZ instellingen.

"Als leverancier van een ICT-systeem zijn wij verantwoordelijk voor de beveiliging van ons systeem. Wij zullen ook onze overige klanten over dit voorval informeren", stelt FarMedvisie.

Vraag: Hoe had het voorkomen kunnen worden?

Wat zouden jullie doen in een dergelijke situatie? Geef je “beste advies” met betrekking tot incident respons


17

Uitkomsten 19 februari

People


 Veiligheid versus werkbaarheid (laat je een computer na 1 minuut automatisch uitloggen?)  wat is het risico?  Betrek de eindgebruiker bij veiligheidsvraagstukken, zodat de werkbaarheid gegarandeerd blijft  Maak medewerkers bewust dat informatiebeveiliging onderdeel is van veilige zorg  Er is niet vaak sprake van onwil, maar met name van onkunde  Laat het onderdeel zijn van de cultuur: “medewerkers moeten veilig willen werken”  Continue aandacht is van belang en zorg dat mensen snappen waarom iets niet mag of kan (anders krijg je work-arounds)

 Redeneer vanuit je eigen perspectief: “wat zou je doen als het jouw gegevens waren?”



 Maak mensen bewust, koppel informatiebeveiliging aan

–

thema’s kwaliteit en veiligheid –

Informatiebeveiliging “is ook goed zorgen voor je cliënt”

–

Benadruk het belang voor de patiënt en verbindt consequenties aan onveilig gedrag

–

Onderdeel van opleiding, intervisie en werkoverleggen

–

Start campagnes, bijvoorbeeld jaarlijkse week van de informatieveiligheid

 De beveiligde weg zo duidelijk en toegankelijk mogelijk aanbieden –

De veilige keuze moet de makkelijke keuze zijn

–

Gebruiksvriendelijkheid en werkbaarheid staan centraal

 Durf elkaar aan te spreken –

Vraag aan elkaar: hoe wil je dat er met jouw gegevens wordt omgegaan?

–

Blijven herhalen is erg belangrijk

–

Maak het persoonlijk

Betrek eventueel cliënten bij de vraag hoe om te gaan met gegevens

 Maak het onderwerp “leuk” –

Bijvoorbeeld in trainingen: wat zou je vooral niet willen?

–

Prijs of schandpaal bij slordigheden

 Breng de risico’s goed in kaart –

Ga aan de slag met de echt grote problemen

–

Waardoor ontstaat dit onveilige gedrag en hoe kunnen we het voorkomen

Veilige weg

Kwaliteit en veiligheid

Aanspreken Persoonlijk

Gebruiksvriendelijk Maak veiligheid toegankelijk Maak het leuk

Bewustwording

Risico’s


Proces

22

Vraag: Welke veiligheidsrisico’s zijn er bij digitaal informatie uitwisselen met partnerorganisaties ? Onbekendheid met werkwijze partner     

Onduidelijkheid van doeleinden van de partner Voorzieningen/ technische mogelijkheden van gemeenten Onbekendheid hoe de partner de gegevens beveiligd Wie zit er bij de ontvanger achter het algemene adres Onduidelijk doel

Technische vaardigheid en mogelijkheden bij ketenpartners    

Toepasbaarheid van regelgeving  Lokaal werken past niet op nationale eisen  Hoe selecteer je welke informatie je deelt. Noodzakelijkheid en proportionaliteit  Wat is gevoelige informatie? Persoonsgegevens (patiënt, medewerker), Bedrijfsgegevens  Wie geef je toestemming om de informatie te ontvangen, wie is de juiste persoon?  Geen toestemming van de patiënt, onduidelijk of de toestemming er is  Autorisatie regels  Medewerkers die misbruik maken

Ontbreken van een systeem bij gemeenten Onduidelijk waar opgeslagen Makkelijke reply via de mail Niet gebruiken van veilige voorzieningen

Kennis van regelgeving kan beter    

Onvolwassenheid van ketenpartners Pragmatisme viert hoog tij en strookt niet met regelgeving Onbekendheid met regelgeving Onbekendheid met regelgeving ten aanzien van gegevensuitwisseling  Complexe regelgeving>>> snel een bestuurlijke boete


Geef je “beste advies”: Hoe verbeteren we samenwerking in de keten zodat informatieuitwisseling veiliger wordt? Adviezen ten aanzien van samenwerking  Overtuig partner van het belang van veilig omgaan met privacy gevoelige gegevens  Heldere afspraken over welke info, om welke reden, op welke manier mogen worden gedeeld  Afspraken maken wie, wat mag weten onder welke voorwaarden  Doelstelling van gegevensuitwisseling vastleggen en borgen, aansprakelijkheid borgen  Bij elk samenwerkingsverband de privacy aan de orde stellen

Adviezen ten aanzien van medewerkers  Verbeteren van kennis en bewustzijn van alle medewerkers in de keten.  Vergroot kennis bij partners over informatie verstrekkingskaders (en grenzen)  Bewustzijn van regels/ mogelijkheden bij alle medewerkers.  Lees de ‘wegwijzer gegevens uitwisseling bij samenwerkingsverbanden’ van GGZ NL en richt systemen hier op in.

Adviezen ten aanzien van de techniek       

Minimale beveiligingseisen bepalen en daar aan houden. Ontwikkel een veilige omgeving om te kunnen mailen. Gebruik beveiligde bestanden Gebruik PGP encryptie Investeer in één goed ECD/ EPD (liefst open source) Gebruik een beveiligd zip bestand Stel eisen aan de beveiligde data overdrachtsverbinding

Adviezen ten aanzien van de werkwijze  Wederzijds vertrouwen in elkaars professionaliteit ten aanzien van zorgverlening waardoor ‘gevoelige’ gegevens niet uitgewisseld hoeven te worden.  Kritisch analyseren van ketenvragen om informatie uit te wisselen met de wet als toets.  Inzichtelijk maken wie welke informatie heeft.  Wissel geen informatie uit zonder toestemming van de cliënt.  Visitatie-kring op uitvoerend niveau  Ontwikkel één standaard die gecertificeerd is. Copyright © 2015 Capgemini Consulting. All rights reserved.

24

Technology

25


Wat zouden jullie doen in een dergelijke situatie? Geef je “beste advies” m.b.t. incident respons.

Privacy by Design

Transparantie

 Breng geen herkenbare cliëntengegevens buiten de productieomgeving, dus ook niet naar je eigen Test, Acceptatie of eventuele Lesomgevingen.  Anonimiseer de data voor de OTA(L) omgevingen, zodanig dat de onderlinge samenhang in de data wel blijft bewaard.  Sla identificerende gegevens versleuteld op in de database (zoals bijvoorbeeld het BSN nummer).

 Datalek melden bij de functionaris gegevensbescherming en het CBP (meldpunt datalekken).  Informeer zo snel mogelijk de betrokken cliënten (en media) via een eenduidig communicatiekanaal. Geef cliënten de mogelijkheid terug te bellen als ze vragen hebben.  Informeer IGZ, de zorgverzekeraars en eventuele ketenpartners.  Ontken de feiten niet, maar speculeer ook niet openlijk over de mogelijke gevolgen. Houd je bij de feiten.

Heldere afspraken met leverancier

PDCA – Plan Do Check (Re)Act

 Leg afspraken met leverancier vast in een bewerkersovereenkomst.  Verplicht de leverancier tot het uitvoeren van een penetratietest, ook op zijn ontwikkelomgeving.  Breng fysieke scheiding aan tussen de ontwikkelserver en de database met test-data (zowel de geanonimiseerde persoonsgegevens als de medische en zorggegevens)  Dwing sterke authenticatie af binnen de leveranciersomgeving (2-weg authenticatie)

 Schade inperken – analyseren  Analyseer wat er is gebeurd, en probeer vast te stellen wat er met de data is gebeurd. Breng mogelijke gevolgen in kaart  Bepaal de te nemen maatregelen om (1) lek te dichten, (2)gevolgschade te beperken en (3) datalek in de toekomst te voorkomen.  Voer de maatregelen uit en houd een logboek bij.  Informeer betrokkenen over de uitgevoerde maatregelen.  Overweeg om betrokken cliënten hulp aan te bieden als zij als gevolg van het datalek te maken krijgen met identiteitsfraude. Copyright © 2015 Capgemini Consulting. All rights reserved.

Uitkomsten 24 februari

People


 Werkbaarheid en veiligheid gaan lastig samen  Kijk naar de behoeftes van medewerkers, biedt/faciliteer veilige alternatieven voor de onveilige toepassingen (bijvoorbeeld Dropbox, Whatsapp, etc.) –

Faciliteer Anytime, anywhere

 Bewustwording is een continu proces –

Mens blijft eigenwijs of kiest voor gemak: even snel iets doen

–

Deel van veilig gedrag kun je afdwingen, maar bewustwording bij mens blijft essentieel

–

Zorg voor spelenderwijs bewustworden

 Uitwisseling van gegevens is een risicogebied



 Zorg voor correct voorbeeldgedrag, bijvoorbeeld bij

 Ondersteun medewerkers met de juiste veilige techniek

bestuurders

 Durf elkaar aan te spreken op onveilig gedrag  Bewustwording werkt alleen als je blijft herhalen

 Informatiebeveiliging staat niet bovenaan het lijstje van mensen, wees je hiervan bewust. Maak het interessant

 Ga samen met medewerkers in op praktijkvoorbeelden

 Wees open en transparant in incidenten  Kijk naar de behoeftes van gebruiker en zorg ervoor dat aan deze behoeften voldaan kan worden

 Leg uit waarom je dingen doet  Breng risico’s en mogelijke gevolgen in kaart voor organisatie

Voorbeeldgedrag

Behoeftes

Ken risico’s

Veilige techniek

Open en transparant Blijf herhalen Waarom..

Bewust maken Praktijkvoorbeelden Copyright © 2015 Capgemini Consulting. All rights reserved.

Proces

31

Vraag: Welke veiligheidsrisico’s zijn er bij digitaal informatie uitwisselen met partnerorganisaties ? Risico’s in de samenwerking  Onduidelijk/ geen beeld hoe de partner met de ontvangen informatie om gaat.  Onjuiste/ niet relevante informatie uitwisselen.  Toename van aantal uitwisselmomenten.  Actueel blijven van gegevens, hoe hou je ze up to date als je niet weet waar de gegevens rondzwerven.

Risico’s in de techniek      

Risico’s veroorzaakt door medewerkers     

Ongeautoriseerde mensen die gegevens uitwisselen. Niet gebruiken van standaarden die er zijn. Onbewust gedrag ten aanzien van vertrouwelijke gegevens. Ontbreken van bewustwording bij medewerkers. Ondeskundig> onbewust personeel.

Transport van gegevens en gegevens overdracht. Onveilige e-mail verbinding. Data lekken. Ontbreken van veilige mailverbinding. Grote diversiteit van oplossingen>> doe maar makkelijk. Afhankelijkheid van externe partijen en leveranciers.

Risico’s in de werkwijze       

Geen zicht hoe de partner de informatie behandeld Niet efficiënte wijze van veilig mailen Ontbreken van fatsoenlijke protocollen Ontbreken van eenduidige afspraken en standaarden Pragmatisme in geval van nood Ontbreken van beleid t.a.v. gegevens uitwisseling Niet op het juiste moment voorhanden zijn/ beschikbaar zijn van info  Oneigenlijke manieren van uitwisselen (drop box, WeTransfer)  Ontbreken van classificatie van gegevens Copyright © 2015 Capgemini Consulting. All rights reserved.

Geef je “beste advies”: Hoe verbeteren we samenwerking in de keten zodat informatieuitwisseling veiliger wordt? Adviezen ten aanzien van samenwerking

Adviezen ten aanzien van de techniek

 Gebruik een goede overeenkomst als template voor de volgende.  Maak onderlinge afspraken tussen partners en leg deze vast.  Check de afspraken en spreek elkaar er op aan  In bewerkersovereenkomstplicht voor bewerker/ medeverantwoordelijke opnemen om periodiek overzicht te geven van wat met gegevens wordt gedaan  Afspraken maken met ketenpartners over privacy en aansprakelijkheid Ketenuitwisseling faciliteren met accordering van overdracht

 Werk aan technische protocollen  Transparant uitwisselen van bevindingen na een penetratietest  Ontwikkel een centraal uitwisselingsplatform  Maak veilige en gebruiksvriendelijk techniek  Faciliteer het gebruik van een versleutelde verbinding,  De verbinding beveiligen en toegankelijk maken

Adviezen ten aanzien van medewerkers  Vergroot bewustwording van ‘gevoeligheid’ van gegevens.  Maak alle betrokkenen bewust  Zorg dat alle medewerkers de informatie uitwisselingsregels bij de hand hebben.

Adviezen ten aanzien van de werkwijze    

Zorg voor een standaard die voor de gehele keten geld Allen standaarden gebruiken. Vastleggen van rollen & autorisaties op gegevens Maak afspraken over veilige overdracht en gegevens classificatie  Maak een checklist do’s & don’ts  Leg de criteria van de gegevensuitwisseling duidelijk vast  Maak een risico analyse vanuit perspectief zender, verbinding en ontvanger


33

Technology

34


Wat zouden jullie doen in een dergelijke situatie? Geef je “beste advies” m.b.t. incident respons.

Privacy by Design

Transparantie

 Breng geen herkenbare cliëntengegevens buiten de productieomgeving, dus ook niet naar je eigen Test, Acceptatie of eventuele Lesomgevingen.  Anonimiseer de data voor de OTA(L) omgevingen, zodanig dat de onderlinge samenhang in de data wel blijft bewaard.  Sla identificerende gegevens versleuteld op in de database (zoals bijvoorbeeld het BSN nummer).

 Datalek melden bij de functionaris gegevensbescherming en het CBP (meldpunt datalekken).  Informeer zo snel mogelijk de betrokken cliënten (en media) via een eenduidig communicatiekanaal. Geef cliënten de mogelijkheid terug te bellen als ze vragen hebben.  Informeer IGZ, de zorgverzekeraars en eventuele ketenpartners.  Ontken de feiten niet, maar speculeer ook niet openlijk over de mogelijke gevolgen. Houd je bij de feiten.

Heldere afspraken met leverancier

PDCA – Plan Do Check (Re)Act

 Leg afspraken met leverancier vast in een bewerkersovereenkomst.  Verplicht de leverancier tot het uitvoeren van een penetratietest, ook op zijn ontwikkelomgeving.  Breng fysieke scheiding aan tussen de ontwikkelserver en de database met test-data (zowel de geanonimiseerde persoonsgegevens als de medische en zorggegevens)  Dwing sterke authenticatie af binnen de leveranciersomgeving (2-weg authenticatie)

 Schade inperken – analyseren  Analyseer wat er is gebeurd, en probeer vast te stellen wat er met de data is gebeurd. Breng mogelijke gevolgen in kaart  Bepaal de te nemen maatregelen om (1) lek te dichten, (2)gevolgschade te beperken en (3) datalek in de toekomst te voorkomen.  Voer de maatregelen uit en houd een logboek bij.  Informeer betrokkenen over de uitgevoerde maatregelen.  Overweeg om betrokken cliënten hulp aan te bieden als zij als gevolg van het datalek te maken krijgen met identiteitsfraude.

Patrick Jansen

Toon van der Werf

[email protected] +31 612961487


Roeland de Koning

Tjalling Reijmer


[email protected] +31 652376712 Copyright © 2015 Capgemini Consulting. All rights reserved.

36

In control over informatiebeveiliging

Recommend Documents