ier
Veiligheidseisen en datahygiëne
Dossiers op orde en beschikbaar! workshop EZD 9 april 2014 – NHG – Carinke Buiting
Workshop in drie rondes
• focus 1e ronde: Waar staan we? (14:30) • focus 2e ronde: Waar willen we naartoe? (15:10) • focus 3e ronde: Koers en tijdvenster (16:30)
Waar$staan$wij$+$context$
privacy beschikbaarheid integriteit
Waar$staan$wij$–$dossier$bij$huisarts$ huisarts heeft meeste informatie steeds meer partijen willen gegevens uit het HIS verschuiving naar (ook) zelf ophalen
huisartsenpost spoedeisende hulp ggz & crisis
paramedici eerstelijn
hackers
patiënt zelf
ziekenhuis ketenzorg
dokter-to-go
* deze workshop gaat niet over hackers maar wel over wie er bij de dossiers mag en wie niet
Waar$staan$wij$–eisen$van$buitenaf$ en passant steeds meer eisen: NEN/wet:
NEN7510 (2011): NEN7513 (2010): NEN7521 (2014):
kwaliteitscirkel; risicoanalyse loggen toegang tot patiëntgegevens
Inspectie:
Staat volksgezondheid (2010): communiceer!!
CBP:
Toegang tot digitale dossiers (2013): behandelrelatie!
veld:
Code Egiz (2013): leg toestemming vast!
koepels:
Quick scan (2013): logging + autorisatie + authenticatie!
NHG/LHV:
Standpunt h-EPD (2010): dossier bij huisarts is beschikbaar!
Waar$staan$wij$–$misdaad$en$straf$ tendens om strenger af te rekenen casuïstiek/ jurisprudentie:
Europese wetgeving:
dokters vaker strafrechtelijk veroordeeld begin met IT casuïstiek en veroordelingen: • • • •
SAN Nijmegen (kantonrechter) dagstaatcontrole toont ‘neuzen in dossiers’ (melding bij pol) gemiste diagnose natrekken (melding bij pol) UMCG moet zeggen wie dossier inzag (hoger beroep)
(zeer) hoge boetes bij privacy niet op orde • • • •
als je niet weet wie toegang had of lekken niet opspoort en opvolgt of niet kunnen antwoorden < 24 uur boetes tot 2% bruto jaaromzet
NEN7510 (2011): Pak risico’s aan!
1.
scans$gedaan?$
! ja ! nee
2.
kwaliteitscirkel$&$beleidsplan?$
! ja ! nee
3.
incidentenregistraBe?$
! ja ! nee
4.
beveiligingsparagraaf$in$ prakBjkjaarverslag?$
! ja ! nee
NEN7513 (2013) Log alle toegang! 1.
alle$toegang$tot$paBëntgegevens$wordt$ gelogd$
! ja ! nee
2.
zo$niet$dan$is$systeem$niet$toegankelijk$
! ja ! nee
3.
toegangslog$is$specifiek$voor$dit$doel$ ingericht$en$niet$geïntegreerd$met$ logging$voor$andere$doelen$
! ja ! nee
4.
etc.$
NEN7521 (201?): Controleer uitwisseling!
1.
er$is$een$autorisaBematrix$
! ja ! nee
2.
iedereen$werkt$onder$eigen$rol$
! ja ! nee
3.
u$weet$welke$uitwisseling$uw$ medewerkers$doen?$
! ja ! nee
4.
u$hebt$zicht$op$alle$uitwisseling$via$ achterdeurtjes$
! ja ! nee
Inspectie - Staat van de Volksgezondheid (okt 2010): Communiceer – gebruik informatie !
1.
verwijsbrieven/retourbrieven$(HASP)$$
! ja ! nee
2.
bevraging$door$HAP$
! ja ! nee
3.
bevraging$door$keten$
! ja ! nee
4.
bevraging$door$spoed$
! ja ! nee
Standpunt NHG LHV h-EPD (2010): Gegevens zijn beschikbaar!
1.
ADEPD?$
! ja ! nee
2.
LSP/OZIS?$
! ja ! nee
3.
up+to+date?$
! ja ! nee
Rapport CBP (2013): Leg behandelrelatie vast!
1.
behandelrelaBe$is$alBjd$af$te$leiden?$
! ja ! nee
2.
behandelrelaBe$wordt$gecontroleerd?$
! ja ! nee
3.
bypass$(noodknop)$wordt$gelogd?$
! ja ! nee
Code Egiz (2013): Vraag toestemming – leg die vast!
1.
toestemming$is$alBjd$gecontroleerd?$
! ja ! nee
2.
toestemming$wordt$gecontroleerd?$
! ja ! nee
3.
bypass$(noodknop)$wordt$gelogd?$
! ja ! nee
Koepels eerstelijn na Quick Scan (2013): Regel logging – autorisatie - authenticatie!
1.
logging$toegang$op$orde?$
! ja ! nee
2.
toegang$alleen$via$autorisaBematrix?$
! ja ! nee
$(ook$achterdeurtjes$en$bevraging?)$
3.
toegang$op$basis$van$2$middelen$$ $(bv$wachtwoord$+$pasje)$
! ja ! nee
Workshop in drie rondes • focus 1e ronde: Waar staan we? • focus 2e ronde: Waar willen we naartoe? (15:10) • focus 3e ronde: Koers en tijdvenster
Waar$willen$we$naartoe?$ dossiers op orde
recent journaal behandelaars medicatie
toegang / inzage op orde voorkant + achterkant eigen medewerkers zorgverleners van buitenaf
episodes brieven uitslagen, foto’s
patiënt inzage toegang Eenheid van Taal! waardering voor ordenen
S P O E D c o n t i n u ï t e i t
Dossiers$op$orde$ Al op orde: integer
up-to-date: uitslagen en brieven verwerkt
beschikbaar
aansluiting OZIS en/of LSP ADEPD EvT: bsn
Werken aan:
EvT: medicatie, labuitslagen
Toegang$op$orde$ Al op orde :
regelmatig privacyscans / audit
privacy
incidenten toegang en opvolging verbeteringen doorvoeren paragraaf IB in jaarverslag
Werken aan: logging – autorisatie - authenticatie Verdere toekomst: patiënt inzage toegangslog
Workshop in drie rondes
• focus 1e ronde: Waar staan we? • focus 2e ronde: Waar willen we naartoe? (15:10) • focus 3e ronde: Koers en tijdvenster
Koers$en$Bjdvenster$ Al op orde : NEN7510
regelmatig scan / audit incidenten toegang en opvolging verbeteringen doorvoeren
2010 PW IB NHG PraktijkWijzer informatiebeveiliging
paragraaf IB in jaarverslag 2014-8 “awareness”
Werken aan: logging – autorisatie - authenticatie Verdere toekomst: patiënt inzage toegangslog
voor zorgverleners
2014-7 “PvE” (eisen en zelftoets) voor systeemleveranciers
NHG$PrakBjkwijzer$InformaBebeveiliging$in$de$ huisartsenprakBjk$ • hoe$(on)veilig$is$mijn$ prakBjk?$ • waarmee$begin$ik?$ • hoe$ga$ik$dat$ implementeren?$ • en$ben$ik$er$dan?$
scans en risicoanalyse kwaliteitscirkel & beleidsplan incidentenregistratie paragraaf in praktijkjaarplan
2010 PW IB NHG PraktijkWijzer informatiebeveiliging
online bijlagen
Scans en risicoanalyse:
Beschikbaarheidscan
Privacyscan Integriteitscan
Beschikbaarheidscan
online bijlagen
Doe de privacyscan
Doe de beschikbaarheidscan
Doe de integriteitscan
selecteer uit to do lijstjes eerste aanzet maatregelen
Koers$en$Bjdvenster$$ e nieuwe$1 +lijnsproducten$(1)$ NHG + Nictiz + KNMP + VHN + LHV + leveranciers logging&
autorisa,e&
authen,ca,e&
2013$
specificaBes$
x$
x$
2014$
inbouw$
specificaBes$
x$
2015$
uitrol$
inbouw$
specificaBes$
2016$
x$
uitrol$
inbouw$
2017$
x$
x$
uitrol$
2014-7 “PvE” (eisen en zelftoets) voor systeemleveranciers
snapshot$PvE$logging$van$toegang$(1)$ “10&geboden”&rond&logging&van&toegang& 1.$elke$toegang$wordt$gelogd$ 2.$zo$niet$dan$is$systeem$niet$toegankelijk$ 3.$toegangslog$specifiek$voor$dit$doel$ingericht$ 4.$in$uniform$systeemona_ankelijk$formaat$ 5.$blij`$ten$minste$7$jaar$beschikbaar$ 6.$systeemona_ankelijk$formaat$ 7.$niveau$is$paBëntdossier$ 8.$gaat$om$“read”$en$“export”$ 9.$ook$weigering,$ook$“bypass”$ 10.$rubrieken:$paBënt,$verantwoordelijke,$raadpleger,$
snapshot$PvE$logging$van$toegang$(2)$ “7&geboden”&rond&presenta,e&van&logging&van&toegang& 1.$er$zijn$twee$rollen$voor$inzage:$“paBënt”$en$“toegangslogverantwoordelijke”$ 2+4.$de$“paBënt”$mag$alle$toegang$tot$zijn$dossier$zien$ 5+7.$de$“verantwoordelijke”$beoordeelt$dagstaat$van$toegang$en$kan$inzoomen$op$$ +$medewerker$ +$paBënt$dossier$ $
Koers$en$Bjdvenster$$ e nieuwe$1 $lijnsproducten$(2)$ NHG + NMT + ?
awareness& 2014$
2x&uitbreiding&
1.$inrichten$meedenktank$ 2.$zicht$op$risico’s$$
x$
2015$
x$
logging$ +$$
2016$
x$
autorisaBe$ +$
2017$
x$
authenBcaBe$ +$
2018$
+$ +$
2014-8 “awareness” voor zorgverleners
Zijn alle vragen beantwoord?
Verdere informatie • in de NHG-stand: – inzage PraktijkWijzer – demo online hulpmiddelen
• aanschaffen PraktijkWijzer: – via
[email protected] of 030-2823500 – leden 52,15; niet-leden 74,50; aios 29,80
• informatie – www.nhg.org zoeken op infomatiebeveiliging – of mail me:
[email protected]
of laat uw mailadres / visitekaartje achter ;)