Informatiebeveiliging: de juridische aspecten
Anton Ekker juridisch adviseur Nictiz 20 september 2012
Onderwerpen •
beveiligingsplicht Wbp
•
aandachtspunten implementatie IAM en BYOD
•
wat te doen bij een datalek?
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
2
Informatiebeveiliging algemeen •
wettelijke beveiligingsplicht (art. 13 Wbp): • • •
•
‘passende technische en organisatorische maatregelen’ tegen verlies of onrechtmatige verwerking ‘passend beschermingsniveau’ rekening houdend met kosten en de ‘stand van de techniek’ gelet op risico’s en aard van de gegevens
medische gegevens • zijn ‘bijzondere persoonsgegevens’ • vallen onder geheimhoudingsplicht
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
3
Sectoraal •
NEN-normen • • •
•
NEN 7510: algemene richtlijnen NEN 7513: logging NEN 7521: toegang tot patiëntgegevens
Gedragscode Elektronische Gegevensuitwisseling in de Zorg (‘Gedragscode EGiZ’) • •
identificatie en authenticatie autorisatie (toetsing behandelrelatie)
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
4
IAM (1) •
instrument om te voldoen aan beveiligingsplicht en privacybeginselen Wbp
maar: • ook gegevensverwerking IAM moet voldoen aan Wbp: • • •
doelen gegevensverwerking toegang en gegevensverstrekking beveiliging en bewaartermijnen
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
5
IAM (2) •
contractuele afspraken: • • •
Federatie-policy: afspraken tussen Federatie-leden over omgang met persoonsgegevens ovk Federatie - Identity Provider ovk Federatie - Service Providers
•
wie is verantwoordelijke?
•
afspraken met bewerkers over beveiligingsniveau, systeeminrichting, audits etc…
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
6
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
7
BYOD (1) •
risico’s Mobile Devices • • •
•
minder grip op (toegang) tot data? diefstal, verlies van device virussen, malware
BYOD-beleid • • • •
eigendom en kosten eisen aan device gebruiksregels controle op naleving
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
8
BYOD (2) •
aandachtspunten: •
arbeidsrechtelijk: • • •
•
aansprakelijkheid •
•
zeggenschap = verantwoordelijkheid reglementen/secundaire arbeidsvoorwaarden inspraak OR
niet bij werknemer, tenzij opzet/schuld
recht op privacy • •
geldt ook op de werkplek regels voor ‘monitoring’: zie CBP
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
9
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
10
Datalekken (1) • •
komen steeds vaker voor groeiende behoefte aan: • •
•
transparantie voor betrokkenen sancties
meldplichten in aantocht: • •
voorontwerp wijziging Wbp voorstel concept-Privacyverordening
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
11
Hoe straks voldoen aan de meldplicht? •
praktische stappen: • • • •
•
heldere interne procedure beoordeel noodzakelijkheid melding informeer het CBP informeer betrokkenen
whitepaper: “In 4 stappen voldoen aan de toekomstige meldplicht datalekken”
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
12
Discussie •
V:Wat is de juridische status van de NEN7513? A: Dit document heeft geen wettelijke status, het is een vorm van zelfregulering. Toezichthouders hebben echter een bepaalde beleidsvrijheid en kunnen de NEN-normen daarom wel gebruiken bij de interpretatie van wet- en regelgeving.
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
13
Discussie •
Stelling: BYOD moet verboden worden voor gegevens in risicoklasse 3.
Reactie: de wet biedt geen aanknopingspunt voor een dergelijke verbod. Wel is het uiteraard zo dat de gevoeligheid van gegevens mee kan wegen bij het besluit om BYOD wel of niet toe te passen.
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
14
Anton Ekker juridisch adviseur Nictiz
[email protected] 06-43 77 53 35
Spitsseminar Informatiebeveiliging in de Zorg (12 september 2012)
15
