Informatiebeveiliging in de zorg

Inclusief

iPad Air met digitaal lesmateriaal!

5-daagse opleiding

Informatiebeveiliging in de zorg Reduceer de risico’s rondom beschikbaarheid, integriteit en betrouwbaarheid van informatie voor maximale zorgkwaliteit

Highlights: • Praktisch toepassen van de nieuwe NEN7510 norm • Ontwikkelingen in de zorgsector en de impact hiervan op informatie-uitwisseling door ketenzorg, mobiel werken en de impact van medische apparatuur • Zorgspecifieke risicoanalyses inrichten en uitvoeren op het gebied van informatieveiligheid • Informatiebeveiliging als vast proces in uw organisatie opnemen • Thematiek betreffende authenticatie, autorisatie, Identity Management in de zorg en de norm NEN 7513 ‘Logging – vastleggen van acties op elektronische patiëntdossiers’ • De impact van de wet- en regelgeving op het gebied van informatiebeveiliging en privacy • Inclusief een demonstratie van de nieuwste ontwikkelingen van het EPD op uw tablet

Een greep uit het expertteam

Hoofddocent

Huibert Bouthoorn Ervaren Adviseur Informatiebeveiliging in de zorg

Jan Willem Schoemaker Corporate Information Security Officer & Business Continuity Manager, Erasmus MC

Beer Franken Chief information Security & Privacy Protection Officer, AMC

Brenno de Winter Onderzoeksjournalist met expertise in beveiliging

Data: 10, 11, 18, 24 & 25 maart 2014 - Locatie: Coengebouw Amsterdam

www.iir.nl/informatiebeveiliging-zorg

en en

Bent u in staat om risico’s voor uw zorginstelling in kaart te breng hier tijdig met de juiste maatregelen op te acteren?

tie met andere zorginstellingen, De groei van digitale uitwisseling en verwerking van medische informa met zich mee. Deze risico’s vormen overheidsinstanties en patiënten brengt kansen maar ook nieuwe risico’s liteit en patiëntveiligheid. Het verantwoord een bedreiging voor het functioneren van uw zorginstelling, zorgkwa elling. Informatiebeveiliging is daarbij omgaan met deze risico’s is één van de vele uitdagingen voor uw zorginst een onmisbaar instrument. Om de kwaliteit van informatiebeveiliging binnen uw zorginstelling de opleiding antwoord op elementaire vragen:

te verhogen krijgt u tijdens

• Waar staat onze instelling als het gaat om informatiebeveiliging? elen genomen om deze risico’s • Wat zijn de grootste bedrijfsrisico’s en hebben we voldoende maatreg te beheersen? • Hoe kunt u de continuïteit van het primaire zorgproces garanderen? ermd? • Zijn de patiënt- en bedrijfsinformatie afdoende beveiligd en afgesch g als deze informatie openbaar wordt? • Wat is de waarde van informatie en wat is de schade voor onze instellin issues op het gebied van informatieIn deze 5-daagse opleiding krijgt u o.a. inzicht in trends, risico’s en privacy kwaliteit van informatiebeveiliging beveiliging in de zorg. Na vijf dagen heeft u alle kennis in huis om de op de belangrijkste risico’s. binnen uw zorginstelling op een hoger niveau te brengen en te acteren Met vriendelijke groet, Jessy Reubsaet Productmanager

De opleiding is bedoeld voor iedereen die zich binnen een zorginstelling met informatie bezighoudt. U bent o.a. werkzaam als: •

ICT-manager

•

Applicatiebeheerder

•

Projectleider EPD

•

Financieel manager

•

Kwaliteitsmanager, security manager

•

Adviseur in de zorg

•

Arts/verpleegkundige (met een deeltaak in

•

Beleidsmedewerker in de zorg

informatievoorziening)

•

Hoofd medische administratie/zorgadministratie

•

Auditor

•

Hoofd polikliniek in een zorginstelling, bijv. in een

•

AO-beheerder

ziekenhuis, thuiszorg, kraamzorg, bejaarden- of

•

Functioneel beheerder

verpleeghuis, GGD, arbodienst, psychiatrische instelling,

•

IT architect

streeklaboratorium, adviesbureau

www.iir.nl/informatiebeveiliging-zorg

Dag 1

Dag 1 -2 13 maart 2013 Dag

09.00 tot 09.30 uur Ontvangst door hoofddocent Huibert Bouthoorn • Voorstellen en introductie • Werkwijze van de 5-daagse opleiding • De rode draad: opbouw van het programma • Uw persoonlijke doelstelling tijdens deze 5 dagen

09.00 tot 11:30 uur Jan Willem Schoenmaker

09.30 tot 12:30 uur Stan Aldenhoven

Module 1: Trends in de zorg in relatie tot informatiebeveiliging •

•

Trends, termen en begrippen in de zorg en de invloed van informatiebeveiliging waaronder; > Patiënt empowerment > Toename uitwisseling van medische informatie > Ketenzorg > EPD, het lokale, regionale en landelijke elektronisch patiëntendossier > Informatie vanuit medische apparatuur > Big data in de zorg > Health analytics > E-Health en m-Health > Clouddiensten en cybercrime Toezicht door de IGZ, de resultaten van de verplichte NEN7510-audit eind 2010 en de impact hiervan op informatiebeveiliging in de zorg

Na deze module heeft u inzicht in: • De impact van trends in de zorg op informatiebeveiliging • Het speelveld rond informatiebeveiliging in de zorg • De basisbegrippen en uitgangspunten > De nieuwe norm NEN7510:2011 > Relatie informatiebeveiliging en medische apparatuur > Relatie met het kwaliteitssysteem (verplicht gesteld door Kwaliteitswet zorginstellingen 1996) > Veiligheidmanagement systeem (VMS)

Module 3: Continuïteit Continuïteitseisen, verwachtingen & procesaanpak • Business Continuity volgens ISO 25999 • Termen: Max Acceptable Data Loss/Service Loss • Recovery time objectives; van calamiteit tot ‘business as usual’ • De NEN7510, relatie tussen het continuïteitsplan, de continuïteitsstrategie en het proces voor continuïteitsbeheer Na deze module begrijpt u: • Hoe u moet omgaan met de continuïteit van de zorginstelling • Welke cruciale keuzes u moet maken • De onderwerpen rondom continuïteitsbeheer 11.30 tot 15:30 uur Lex Borger

Module 4: Security architectuur • • • • • •

Security architectuur, belangrijkste security services & mechanismen Architectuurconcepten IHE (Integrating the Healthcare Enterprise (IHE)) Nictiz-architectuur en beveiligingseisen IT-services, samenhang en mechanismen IT-services: Identificatie, authenticatie, autorisatie, access control/ hardening, monitoring/logging, incident preventie, detectie enrepressive, crypto, resilience (veerkracht/continuiteit), integriteitsmaatregelen, auditservices en mechanismen

Na deze module heeft u inzicht in: • De samenhang en de werking van een security architectuur • Architectuurmodellen • Specifieke zorg architectuurconcepten

13.30 tot 17:00 uur Huibert Bouthoorn

15.30 tot 17:00 uur Mark Braam

Module 2: Security management en secure operations

Module 5: Risicomanagement

Managen van security als een normaal proces volgens de nieuwe NEN7510 • Introductie van de belangrijkste termen en begrippen van informatiebeveiliging aan de hand van gebeurtenissen in het nieuws op basis van incidenten in de zorg, bijvoorbeeld papieren dossiers op straat, toegang tot digitale patiëntgegevens door hackers, brand in de OK etc. • De nieuwe NEN7510 norm voor informatiebeveiliging in de zorg en specifieke normeringen zoals het kwaliteitssysteem en het Veiligheidmanagement systeem. • Security management practices; procesinrichting, organisatie (RACI / TVB, rol- en functiescheiding • Het Information Security Management System volgens de nieuwe NEN7510 versie 2011 • Wat doet IT-operations? • ITIL en ITIL versie 3; borgen van security in de belangrijkste beheersprocessen • Het gebruik van ITIL voor het beheersen van medische apparatuur • Richtlijnen voor omgang met mobiele apparatuur (bv. CTG transportmonitoren) service management tools t.b.v. inzicht in de middelen, zowel IT als medische apparatuur Na deze module heeft u inzicht in: • Welke zaken er spelen rond security management en op welke wijze dit kan worden uitgevoerd • De belangrijkste standaarden op het gebied van het aansturen van beveiligingsprocessen • Het verband leggen tussen beveiliging en kwaliteitsnormen voor beheer • Het beheren van medische apparatuur conform ITIL ten behoeve van meer veiligheid

Risico- en controlesysteem • Intern risico- en controlesysteem in de zorg • Adequaat inrichten van risico- en controlesysteem • Werkt het in de praktijk en waar ligt de verantwoordelijkheid voor zo’n systeem • Governance en interne beheersing • Het uitvoeren van zorgspecifieke risicoanalyses op het gebied van informatieveiligheid Na deze module heeft u inzicht in: • Risicomanagement binnen een zorginstelling • Het uitvoeren van risicoanalyses in het kader van informatiebeveiliging

QR-code Scan deze code met uw smartphone en bezoek direct de website van deze opleiding. Volg IIR op LinkedIn Word lid van de LinkedIn groep Digitalezorg.nl en discussieer met uw vakgenoten. Op de hoogte met Twitter Volg @ICT_cursus en blijf op de hoogte van de laatste updates.

www.iir.nl/informatiebeveiliging-zorg

Informatiebeveiliging in de zorg Dag 3

Dag 4

09.00 tot 12:30 uur Beer Franken

09.00 tot 11:30 uur Erik Rutkens

Module 6: Wetgeving, regelgeving en normeringen voor informatiebeveiliging en privacy in de zorg

Module 8: Applicatie en software development

Informatiebeveiligingseisen uit wet- en regelgeving • Overzicht belangrijkste wetten en normen > ISO 2700x en NEN 7510:2011 > Wet Bescherming Persoonsgegevens (WBP) > Wet Computer Criminaliteit > Reporting Data Loss • Zorgspecifieke wet- en regelgeving en de belangrijkste aspecten hierbij • Inzicht in de huidige stand van zaken van privacy in de zorg • Privacy & het patiëntendossier • Privacy in samenwerking met andere zorginstellingen • Hoe kunt u ervoor zorgen, dat bij gegevensuitwisseling met andere zorginstellingen de privacy gewaarborgd wordt, zonder allerlei onwerkbare maatregelen te nemen, die toch niet nageleefd worden? • Investigation en ethiek Na deze module bent u op de hoogte van: • De belangrijkste regelgeving en welke impact dit heeft op de beveiliging • Alle ontwikkelingen op het gebied van privacy in de zorg 13.30 tot 17:00 uur Stan Aldenhoven en Huibert Bouthoorn

Module 7: Toegangsbeheersing Principes, identiteit & autorisatie. Authenticatie, toegang & functies, rollen & rechten • Wat is Identity and Access Management? • Wat zegt de wet- en regelgeving over Identity and Access Management? • Gebruik van smartcards voor artsen, patiënten etc. • Het gebruik van DigiD in de zorg en hoe hierop aan te sluiten • Nieuwe ontwikkelingen op dit gebied (samenwerking, bedside terminals) • Knelpunten in de zorgsector voor het beheer van identiteiten en autorisaties • Norm NEN 7513 ‘Logging’ Na deze module heeft u inzicht in: • Thematiek van authenticatie, autorisatie en identity management en de specifieke kenmerken in de zorgsector • Hoe gaat u om met medewerkers die regelmatig van afdeling wisselen (bijv. arts- of co-assistenten) • Behandelrelaties met patiënten • Patiëntgebonden informatie en het secretariaat (geen behandelrelatie met patiënt, maar ziet wel afspraken, post etc) • Classificatie van informatie en hoe hier in de praktijk mee om te gaan • Uitdagingen in wetgeving

Extra! Interactieve leeromgeving Tijdens de opleiding maakt u, naast de bijeenkomsten, gebruik van een online leeromgeving. Hier vindt u (extra) leermaterialen die aansluiten bij de lesbijeenkomsten, zoals video’s, artikelen, eventueel huiswerk en verwijzingen naar boeken. De leeromgeving gebruikt u ook als netwerkinstrument en voor interactie: alle deelnemers en docenten zijn via de leeromgeving snel te bereiken. Voor aanvang van de opleiding ontvangt u een inlogcode voor de online leeromgeving en een uitnodiging om uw profiel aan te maken.

Borgen van beveiliging in het toekomstige product en beveiliging van de ontwikkel-omgeving • Beveiliging van IT-producten: Security Requirements, secure software development; top-10 belangrijkste fouten inSW-ontwikkeling – OWASP, SANS, Design Criteria for secure systems en CSSLP (Secure Software Lifecycle) • Beveiliging van de ontwikkelomgeving: scheiding OTAP (ontwikkel- test, acceptatie, productie), tollgates en securityeisen per tollgate; security testing en acceptatiecriteria • Selectietrajecten van EPD- en ZIS-systemen Na deze module weet u: • Wat er komt kijken bij het veilig bouwen van applicaties • Specifieke aandachtspunten voor het elektronisch patiënten dossier (EPD) En het ziekenhuis informatie systeem (ZIS) • De belangrijkste methodieken om toezicht op softwareontwikkeling te houden 11.30 tot 14:30 uur Marc Smeets

Module 9: De opkomst van mobile health Kansen en risico’s van mobile devices in de zorg • Trends van Mobile Device Management in de zorg • Mogelijkheden van Mobile Devices • Issues rondom het gebruik van mobile devices • Het mobiele landschap en terminologie • Risico’s BYOD; Hoe veilig is mijn data? 14:30 tot 15:00 uur

Demonstratie van een elektronisch dossier op een Mobile Device Na deze module heeft u inzicht in: • De wijze waarop mobile devices kunnen worden ingezet binnen de zorg • Specifieke risico’s voor mobiele devices 15:00 tot 17:00 uur Huibert Bouthoorn

Module 10: Fysieke veiligheid/omgeving Veiligheidsringen & fysieke dreigingen • Physical Security omgeving / beveiliging • Datacenters en hardware • Hoe om te gaan met de veelal open zorginstellingen • Verschillen en overeenkomsten tussen de security officer (informatiebeveiligingsfunctionaris) en de afdeling fysieke beveiliging Methodieken voor fysieke beveiliging Na deze module bent u in staat: • Een logische indeling te maken tussen de fysieke en ICT omgeving • Om te gaan met de veelal open zorginstellingen

www.iir.nl/informatiebeveiliging-zorg

Dag 5

Uw expertteam

09.00 tot 11:30 uur Brenno de Winter

Hoofddocent Huibert Bouthoorn is eigenaar van het adviesbureau Health

Module 11: Netwerkbeveiliging en cryptografie Principes & grenzen aanbrengen, veilig communiceren over (onveilige) transportmiddelen • Veiligheid van telecommunicatie, network & internet security (network technology: dedicated / from the shelf ); isolatie / boundaries aanbrengen, beveiliging van transport met bijvoorbeeld VPN, IP-Sec, SSL, • Transport/Tunnel-mode • Relatie met medische apparatuur. Medische apparatuur bevindt zich vaak in door de leverancier afgesloten netwerken of onder beheer van leveranciers. Waar moet dan specifiek op worden gelet? • Afscherming openbare netwerken in het ziekenhuis, netwerk mogelijkheden aan het bed en professioneel gebruik • Mobiele apparatuur binnen en buiten de zorginstelling • Landelijke informatie-uitwisseling via het landelijk EPD • Landelijke en regionale informatie-uitwisseling met andere zorgverleners • Wat zijn de verschillende soorten cryptografie? • Sleutelbeheer en distributie • Praktische problemen met crypto en hoe kunt u hiermee om gaan?

Insights en is gespecialiseerd in informatiebeveiliging binnen de zorgsector op zowel organisatorisch alstechnisch gebied. De afgelopen twaalf jaar heeft hij vanuit één van de Big-4 kantoren veel advieswerk verricht voor (lijn) management en projectbureaus en heeft hij diverse zorginstellingen en landelijke instanties begeleid bij het verbeteren van informatiebeveiliging. Dit laatste veelal in de rol als (interim) Security Officer. Uiteraard heeft Huibert ook vanuit een controlerende rol geacteerd in dit veld, bijvoorbeeld tijdens de verplichte NEN7510 audits bij de ziekenhuizen. Vanwege zijn passie voor het vakgebied is Huibert actief betrokken bij de vormgeving van diverse normeringen voor informatiebeveiliging in de zorg (o.a. NEN7510, NEN7521, Zekere Zorg).

Gastsprekers

Na deze module kent u: • De belangrijkste principes van netwerkbeveiliging • Kennis om mee te kunnen praten over meest gebruikte technieken en de debatten die op dat gebied spelen • Het concept en de globale werking van cryptografie • Voornamelijk in de zorg aandacht voor de balans tussen werkbaarheid en informatiebeveiliging

Jan Willem Schoemaker Corporate Information Security Officer & Business Continuity Manager, Erasmus MC Beer Franken Chief Information Security & Privacy Protection Officer, AMC

11.30 tot 12:30 uur Brenno de Winter

Brenno de Winter Onderzoeksjournalist met expertise in beveiliging

Module 12: Hacken en actuele praktijkcasussen in de zorg • • •

Preventief en actief anti-hack beleid zorginstelling Praktijkcase: Patiënten VUmc onvoldoende geïnformeerd Praktijkcase: Groene Hart Ziekenhuis lekt medische dossiers

Erik Rutkens Insite Advies & Security

13.30 tot 16:00 uur Huibert Bouthoorn

Marc Smeets IT Security expert & ethical hacker Linq42

Module 13: Menselijke factor Afhankelijkheid van de mensen, stimuleren gewenst gedrag & detecteren/ corrigeren ongewenst gedrag • Menselijk falen, opzettelijk gedrag van eigen mensen, opzettelijk gedrag van buiten (hackers, social engineering) • Human factor in control design, screening, soft controls, awareness. Detectie van afwijkingen. • Rol media; social networks • De wijze waarop social networks op een veilige manier zijn in te zetten in de zorgsector • Naleving van informatiebeveiliging

Lex Borger Security Architect, Ideas-to-Interconnect Stan Aldenhoven IT Strategist Healthcare Mark Braam Senior Consultant Enterprise Risk Management,

Na deze module kent u: • De aspecten van de menselijke factoren en bent u alert op het menselijk ongewenste gedrag

Aon Global Risk Consulting

Partner:

16.00 tot 16:30 uur Huibert Bouthoorn

Module 14: Evaluatie van de opleiding & bespreken persoonlijke doelstellingen

www.iir.nl/informatiebeveiliging-zorg

3 gemakkelijke manieren om u aan te melden:

IIR B.V., Kabelweg 37, 1014 BA Amsterdam:

1. Via internet: www.iir.nl/informatiebeveiliging-zorg 2) Via de e-mail: [email protected] 3) Via de telefoon: bel Lorelei Mendoza (customer service) 020 - 5805 415 5-daagse opleiding

 3.899,-

dag 1, 2, 3 en 4

 3.199,-

dag 1, 2 en 3

 2.599,-

Alle prijzen zijn per persoon, exclusief BTW en inclusief iPad Air, koffie/thee en lunch. Wilt u een eigen tablet of laptop meenemen naar de opleiding? Dan ontvangt u € 300, - korting.

Algemene informatie:

Meld u aan met uw VIP CODE:

Locatie: Coengebouw Amsterdam

5-daagse opleiding

Informatiebeveiliging in de zorg Reduceer de risico’s rondom beschikbaarheid, integriteit en betrouwbaarheid van informatie voor maximale zorgkwaliteit Inhoudelijk contact met uw opleidingsadviseur? Wilt u meer informatie over deze opleiding? Neem dan contact op met onze opleidingsadviseur Michel de Coninck via 020 – 580 54 51 of per e-mail via [email protected].

Deze opleiding InCompany volgen? Vanaf 5 personen kunt u deze opleiding InCompany volgen. Het programma wordt specifiek afgestemd op uw organisatie, in overleg wordt een datum, locatie en tijdstip bepaald. Neem contact op met Miranda Goossens via 020 – 580 54 52 of per e-mail via [email protected].

Inclusief iPad Air met digitaal lesmateriaal Boek Informatiebeveiliging in de zorg - Werken met NEN7510 geschreven door docenten Beer Franken en Jan Willem Schoenmaker

Gegevensregistratie

Algemene voorwaarden

Uw gegevens worden door IIR geregistreerd en gebruikt om u op de hoogte te houden van onze producten en die van zorgvuldig geselecteerde bedrijven. Mochten uw gegevens niet correct zijn of wenst u dat uw gegevens niet gebruikt worden voor deze doeleinden, neem dan contact op met onze database afdeling op 020 - 580 5470 of e-mail [email protected]

Op alle aanbiedingen zijn onze algemene voorwaarden van toepassing. Deze zijn gedeponeerd bij de K.v.K te Amsterdam, onder nummer 33200358. De algemene voorwaarden zijn te downloaden op onze website www.iir.nl/algemene_voorwaarden en worden op verzoek kosteloos toegezonden.

www.iir.nl/informatiebeveiliging-zorg