O2 “Veilig of niet? Dat is de vraag!” Wat betekent NEN7510 in relatie tot uw praktijk?
7 Redenen om NEN 7510 in te voeren 1. Iedere zorginstelling is verplicht zich te houden aan de Wet bescherming persoonsgegevens. 2. De norm vormt onderdeel van de factor ‘Kwaliteit leveren’. 3. De samenleving verwacht dat zorginstellingen zorgen voor adequate informatiebeveiliging. 4. Regelgeving gebruik BSN nummers. 5. Conformeren wordt verplicht. 6. Indien er een incident plaatsvindt dient een zorginstellingen te kunnen aantonen dat de informatiebeveiliging goed geregeld is.
7. Een goede informatiebeveiliging kan incidenten voorkomen
www.vertimart.nl
Definitie NEN7510: Informatiebeveiliging is een stelsel van maatregelen om verstoringen in de zorgvuldige en doelmatige informatievoorziening te voorkomen en eventuele schade van desondanks optredende verstoringen te beperken.
www.vertimart.nl
Om verantwoorde zorg te kunnen leveren is adequate informatiebeveiliging onontbeerlijk
www.vertimart.nl
Informatiebeveiliging is gericht op waarborging van de drie aspecten: • Beschikbaarheid • Integriteit • Vertrouwelijkheid
www.vertimart.nl
Het gaat om de gehele praktijkorganisatie: • • • • •
Informatievoorziening Toegangsbeleid Personeel Leveranciers Patiënten
www.vertimart.nl
Twee wetten: • Wet bescherming persoonsgegevens (WBP) • Wet op de geneeskundige behandelovereenkomst (WGBO)
www.vertimart.nl
Definitie “verwerking van persoonsgegevens” (WBP): Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;
www.vertimart.nl
Artikel 6 (WBP): Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt.
www.vertimart.nl
Als praktijkhouder bent u verantwoordelijk voor de juiste omgang met persoonsgegevens in uw praktijk en dient u maatregelen te treffen om te zorgen dat een en ander in uw praktijk voldoet aan de regels die de wet stelt.
www.vertimart.nl
Het niet voldoen aan de wet kan mogelijke gevolgen hebben: Tabel: Maximale geldboetes Categorie
Geldboete in euro's
1e categorie
€ 390
2e categorie
€ 3.900
3e categorie
€ 7.800
4e categorie
€ 19.500
5e categorie
€ 78.000
6e categorie
€ 780.000
www.vertimart.nl
En zelfs….
www.vertimart.nl
WGBO artikel 457 1. Onverminderd het in artikel 448 lid 3, tweede volzin, bepaalde draagt de hulpverlener zorg, dat aan anderen dan de patiënt geen inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden, bedoeld in artikel 454, worden verstrekt dan met toestemming van de patiënt. Indien verstrekking plaatsvindt, geschiedt deze slechts voor zover daardoor de persoonlijke levenssfeer van een ander niet wordt geschaad. De verstrekking kan geschieden zonder inachtneming van de beperkingen, bedoeld in de voorgaande volzinnen, indien het bij of krachtens de wet bepaalde daartoe verplicht. 2. Onder anderen dan de patiënt zijn niet begrepen degenen die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en degene die optreedt als vervanger van de hulpverlener, voor zover de verstrekking noodzakelijk is voor de door hen in dat kader te verrichten werkzaamheden. 3. Daaronder zijn evenmin begrepen degenen wier toestemming ter zake van de uitvoering van de behandelingsovereenkomst op grond van de artikelen 450 en 465 is vereist. Indien de hulpverlener door inlichtingen over de patiënt dan wel inzage in of afschrift van de bescheiden te verstrekken niet geacht kan worden de zorg van een goed hulpverlener in acht te nemen, laat hij zulks achterwege. www.vertimart.nl
Organisatiebeleid
Mensen
Middelen
Informatie
Personeelsbeleid
Materieelbeleid
Informatiebeleid
Bescherming personeel (ARBO)
Bescherming materieel
Informatiebeveiligingsbeleid
www.vertimart.nl
Kortom, voldoende redenen om een en ander in uw praktijk goed te regelen.
www.vertimart.nl
Plan,Do, Check, Act
www.vertimart.nl
Informatiebeveiligingsbeleid (PLAN)
www.vertimart.nl
Plan Documenten
Do Documenten
Check Documenten
Act Documenten
Maak beleid
Bepaal scope
Bepaal besturin g
Maak risico analyse
Selecteer controls
Maak beveiligings -plan
Maak controle plan
Security policy
Scope reikwijdt e
Besturing security ISMS
Rapport Risico analyse
SoA
Beveiligings plan
Controle programma
Maak Implementatie plan
Implementeer maatregelen
Metingen en rapportages
Rapporteer incidenten
Implementatie plan
Realiseren maatregelen
Metingen en rapportages
Incident rapportages
Voer controles uit
Interne audit
Externe audit
Directie beoordeling
Rapport controle programma
Auditrapport interne audit
Auditrapport externe audit
Rapport directie beoordeling
Bepaal correctieve acties
Bepaal verbeter maatregelen
Correctieve maatregelen
Verbeter plannen
www.vertimart.nl
Stel een document op waarin u het beleid van uw praktijk met betrekking tot beveiliging van informatie vastlegt. • • • • •
Doelstelling Toepassingsgebied Verantwoordelijkheid Uitgangspunten Proces
www.vertimart.nl
Inventarisatie Risico’s
www.vertimart.nl
Wie zijn betrokken? Personeel Leveranciers Dienstverleners Patiënt ……..
www.vertimart.nl
Risicoanalyse: • Bedreiging = gebeurtenis die in potentie een verstorende invloed heeft op beschikbaar, integriteit en vertrouwelijkheid van de gegevens • Kwetsbaarheid = de mate waarin de gegevens gevoelig zijn voor de bedreiging • Risico = de mogelijke kans op verlies of beschadiging die verwacht wordt doordat één of meer bedreigingen leiden tot een verstoring van de informatievoorziening.
Risico = Kans x Schade
www.vertimart.nl
Bedreigingen: • • • • • • • • •
Beveiligingsinbreuken Wettelijke verplichtingen Incidentbeheer Misbruik Ongeautoriseerde veranderingen Ongeautoriseerde toegang Kwaadaardige software Onnauwkeurige invoer Beveiliging van uitgewisselde software en informatie • Gebruikersfouten • Fysieke beveiliging • Telewerken www.vertimart.nl
Onderdeel
Dreiging
Detail
Mens
Wegvallen personeel
voorzienbaar, onvoorzienbaar
Onopzettelijke fouten (ook derden)
onkunde, slordigheid, stress foutieve procedures complexe en/of foutgevoelige bediening omgang met passwords
Opzettelijke fouten (ook derden)
negeren voorschriften schending privacy ongeautoriseerde toegang (hacken)
Apparatuur
Spontaan technisch falen
veroudering, slijtage, gebrekkig onderhoud storing fouten in geleverd product
Oorzaak omgeving
uitval nutsvoorziening storing nutsvoorziening temperatuur, vochtigheid, vuil, stof
Oorzaak mens
remote werken bring your own device opzettelijke verandering functie apparatuur beschadiging, vernieling, diefstal
Programmatuur
Programmatuur-
virus, malware illegale software van derden illegaal gebruik van software
Gegevens
Via gegevensdragers
onopzettelijk verlies (nalatigheid) diefstal (fysiek) diefstal (digitaal) crash onzorgvuldige vernietiging
Via programmatuur
foutieve of gemanipuleerde software (ook malware)
Via personen
foutieve gegevensmutatie
Kans
Schade
Risico
Risico analyse Om schrijving Naam classificeerder Laatste w ijzigingsdatum Status
Bedrijfsproces Naam bedrijfsproces Proceseigenaar Dienst of produkt
Dreigingen
Nr.
Dreiging
Kans van optreden
Im pact
Totaalscore Actie van het m anagem ent (strategie)
Vertrouwelijkheid
Integriteit
Beschikbaarheid
C3 Geheim
I3 Bewijsbaar
A3 Bedrijfskritisch
Middel C2 Vertrouwelijk
I2 Betrouwbaar
A2 Noodzakelijk
Laag
I1 Bruikbaar
A1 Ondersteunend
Hoog
C1 Intern
Asset Classificatie Referentiekaart Hoog
Vertrouwelijkheid*
Integriteit*
Beschikbaarheid*
C3 Geheim
I3 Bewijsbaar
A3 Bedrijfskritisch
Bekend worden kan leiden tot grote financiële en/of grote imagoschade. Toegang is strikt beperkt tot een zeer klein aantal personen.
Middel C2 Vertrouwelijk Bekend worden kan leiden tot financiële en/of imagoschade. Toegang is beperkt tot die personen die de informatie nodig hebben in hun functie.
Laag
C1 Intern De kans op schade bij bekend worden is beperkt. De informatie mag in principe worden ingezien door alle medewerkers (EP en inhuur).
Onjuistheden leiden direct tot financiële schade, boetes en/of grote imagoschade. Er mag geen twijfel zijn over de juistheid van de informatie. De juistheid moet aantoonbaar zijn.
I2 Betrouwbaar Onjuistheden kunnen leiden tot belangrijke financiële en/of imagoschade. De informatie is van wezenlijk belang voor de bedrijfsvoering. Op de juistheid van de informatie moet vertrouwd kunnen worden. I1 Bruikbaar Onjuistheden kunnen tot beperkte financiële en/of imagoschade leiden. De informatie wordt gebruikt in de bedrijfsvoering; de juistheid van de informatie mag worden aangenomen.
Het ontbreken van de informatie leidt direct tot ernstige verstoring van de dienstverlening aan clienten of de bedrijfsvoering en daarmee tot grote financiële schade en/of grote imagoschade. De informatie moet altijd op het gewenste moment voor handen zijn. A2 Noodzakelijk Het ontbreken van de informatie op het gewenste moment hindert de bedrijfsvoering in hoge mate. De directe financiële schade is beperkt. Bij herhaling wordt de financiële schade groot en is de kans op imagoschade aanwezig. A1 Ondersteunend Het ontbreken van de informatie is hinderlijk, leidt tot misverstanden en irritatie. Financiële schade is gering. Bij regelmatige herhaling ontstaat mogelijk imagoschade en indirecte financiële schade.
Stel beveiligingsplan op (DO)
www.vertimart.nl
Te lopen risico beperken Maatregelen zijn gericht op het beperken van het risico
Kans op risico verlagen
Impact van risico verlagen
www.vertimart.nl
Organisatorisch
Aard
Technisch
Fysiek
Welke maatregelen?
Preventief
Repressief Werkingsgebied Detectief
Correctief
www.vertimart.nl
Wie
Wat (omschrijving actie)
Wanneer start einde
Waarmee
Doel
www.vertimart.nl
Beveiligingsbewust
www.vertimart.nl
De mens • • • • • •
Heeft de illusie onkwetsbaar te zijn (“het-zal-mij-niet-gebeuren” syndroom) Heeft de neiging anderen te vertrouwen Wil van nature anderen helpen Ziet het volgen van beveiligingsregels als “waste of time” Onderschat de waarde van informatie Ziet niet (direct) de (mogelijke) gevolgen van spontaan handelen
www.vertimart.nl
Stel gedragsregels op en inventariseer het beveiligingsbewustzijn van uw medewerkers.
www.vertimart.nl
Aandachtspunten: • • • • • • • • • • •
Werk continu aan bewustwording Investeer in structuur (regels) en cultuur Hanteer een professioneel kritische houding Wees je bewust van de aanwezige risico’s Let op je eigen gevoel van ongemak Weiger om wachtwoorden etc. af te geven Ga niet in op vreemde of ongewone verzoeken Val niet voor snel opgebouwde band Val niet voor een beroep op autoriteit Laat je niet onder druk zetten …….
www.vertimart.nl
www.vertimart.nl
De Leverancier of dienstverlener Heeft toegang tot uw systeem Ontvangt van u (declaratie)bestanden Maakt voor u een back-up Voert (een gedeelte van) uw administratie
www.vertimart.nl
Maak sluitende afspraken
www.vertimart.nl
Geheimhoudingsverklaring: Als medewerker van Vertimart kan het zijn dat je uit professioneel belang of noodzaak inzage krijgt in computerbestanden van onze klanten. Om de privacy te waarborgen van personen wiens gegevens in deze bestanden zijn opgeslagen dienen wij ons aan regels hieromtrent te houden. Ondergetekende verklaart dan ook de verplichtingen te aanzien van beveiliging en geheimhouding van informatie, die voortvloeien uit zijn/haar functie, getrouwelijk te zullen nakomen. Voor zover mogelijk zullen gegevens niet worden ingezien dan wel opgeslagen anders dan nodig is voor de ondersteuning van de klant bij het gebruik van het automatiseringssysteem. Gegevens zullen niet opzettelijk of uit onachtzaamheid aan niet gerechtigden worden getoond dan wel ter beschikking gesteld. Alle informatie die ondergetekende op zou kunnen maken uit de bestanden wordt als vertrouwelijk beschouwd en wordt, voor zover mogelijk, behandeld conform de regels die de privacywetgeving hiervoor stelt. Ondergetekende mag er vanuit gaan dat de klant eventueel betrokkenen voldoende en adequaat heeft geïnformeerd over de rechten en plichten van ondergetekende aangaande het hierboven beschrevene.
www.vertimart.nl
Ook met uw patiënt
www.vertimart.nl
Behandelovereenkomst
De patiënt verplicht zich middels het intake- en anamneseformulier relevante informatie aan de praktijk te verstrekken.
De patiënt heeft het recht tot inzage in het eigen dossier.
De behandelend tandarts in de praktijk verplicht zich informatie betreffende de behandeling te verstrekken aan de patiënt in alle fasen van de behandeling.
De praktijk zal zich houden aan de wet- en regelgeving zoals bepaald in de Wet Bescherming Persoonsgegevens en de Wet op de Geneeskundige Behandelovereenkomst.
Het is patiënt bekend dat in dit kader anderen dan de behandelend tandarts eventueel inzage in zijn gegevens kunnen hebben. Het is patiënt tevens bekend dat de praktijk met personeel en leveranciers geheimhoudingsovereenkomsten heeft gesloten. Patiënt is bekend met de inhoud en/of strekking van deze overeenkomsten.
www.vertimart.nl
Controleer en Evalueer (CHECK)
www.vertimart.nl
www.vertimart.nl
Bespreek de resultaten
www.vertimart.nl
Anders is alles voor niets geweest!
www.vertimart.nl
Vragen? www.vertimart.nl