PROGRAMMA 5 december 2013 WORKSHOP
Informatieveiligheidsconsulenten
P R O G R A M M A 9.00
Onthaal en koffie
9.30
Inleiding : FOD Volksgezondheid
9.45
Informatieveiligheidsconsulent: Waarmee beginnen ? Feedback van ervaringen Anneliese Van Egghen, Serge Krott en Jean Pierre Dziergwa
10.40
Coffie pauze
11.00
“EPD in the cloud” Peter Raymackers, Michael De Geest en Jean-Marc van Gysseghem
12.15
Lunch
13.00
Beheren van incidenten André Beerten en David Jacobs
13.45
Bring your own device Jean-Louis Matton en Rob Evered
14.30
Single sign-on and access management: Thierry Genten en Peter Kleynjan
15.00
Coffie pauze
15.15
Beheer van verschillende sites door de veiligheidsconsulent Marc Rosseau en George de Wasseige
15.45
Beheer van de leveranciers Peter Berghmans en Gery Mollers
16.20
Onderzoek, studies, enz… : Hoe kan dit pragmatisch compatibel worden gemaakt met het beheer van de persoonlijke levenssfee Etienne Stanus en Christine Bigot
16.45
Conclusies
16.50
Drink
Informatieveiligheidsconsulenten 9.00 ~ 9.30 Onthaal en koffie
9.30 ~ 9.45 Inleiding : FOD Volksgezondheid
9.45 ~ 10.40 Informatieveiligheidsconsulent: Waarmee beginnen ? Feedback van ervaringen U bent zonet aangewezen als informatieveiligheidsconsulent in uw ziekenhuis. Als nieuweling is het niet eenvoudig om te ontdekken waar u moet beginnen. Om u in eerste instantie verder te helpen, kan er een zeer eenvoudige methode worden gebruikt die erin bestaat om de informatie die reeds in de instelling bestaat te verzamelen. Vervolgens klasseert u deze informatie in volgorde en bekijkt u wat er ontbreekt. Zo zal dag na dag, maand na maand en jaar na jaar uw plan, uw strategie, uw taak als informatieveiligheidsconsulent concreet vorm beginnen te krijgen. Voelt u zich nog steeds verloren? Dan zullen deze getuigenissen voor u zinvol zijn.
SPREKERS Anneliese Van Egghen (AZ Sint Lucas, Gent) Serge Krott (CHU Liège) Jean Pierre Dziergwa (Fracarita) Vragen en antwoorden
5 december 2013 10.40 ~ 11.00 Coffie pauze
11.00 ~ 12.15 “EPD in the cloud” Naast de klassieke ICT-outsourcing, waarbij het ziekenhuis gebruik maakt van de diensten van een externe leverancier, bestaan er ook verschillende modellen om bijvoorbeeld SAAS (software As A service) aan te bieden. Maar aan welke voorwaarden moet worden voldaan om een hoog vertrouwelijkheids- en veiligheidsniveau te behouden? In het kader van de cruciale aansprakelijkheidskwesties (liability) op het vlak van dienstcontinuïteit, continue bescherming en integriteit van de gegevens en de naleving van de vertrouwelijkheidsvoorwaarden moeten er dus antwoorden kunnen worden gevonden die aangepast zijn aan essentiële kwesties zoals: Bewaren van de gegevens na afloop van het contract, lokalisatie en transfer van de gegevens, onrechtstreekse en rechtstreekse aansprakelijkheid, eigendom van de gegevens, onderaanbesteding enz.. Wat is de stand van zaken in België?
SPREKERS Peter Raymackers (Zorgnet Vlaanderen) Michael De Geest (Broeders van Liefde) Jean-Marc van Gysseghem (CRID NAMUR) Ronde tafel
Informatieveiligheidsconsulenten 12.15 ~ 13.00 Lunch
13.00 ~ 13.45 Beheren van incidenten Als men het heeft over de veiligheid van de informatie veronderstelt men dat de informatie tegen talrijke bedreigingen wordt beschermd. De instellingen, hun informatiesystemen en netwerken worden steeds vaker geconfronteerd met een toenemend aantal verschillende risico’s die afkomstig zijn van verschillende bronnen. Hierbij denken we bv. aan informaticavirussen, informaticapiraterij, denial of service, informaticafraude, maar ook aan verlies, diefstal (bv. van een draagbare PC), de verspreiding van vertrouwelijke gegevens, het risico op brand, …. Welke preventieve maatregelen kunnen we nemen om ons te beschermen? En indien, ondanks alles, het kwaad geschied is, hoe kunnen we dergelijke situaties beheren? We focussen ons op concrete ervaringen.
SPREKERS André Beerten (Groene Hart Ziekenhuis Gouda, Holland) David Jacobs (Imelda ZH Bonheiden) Vragen en antwoorden
5 december 13.45 ~ 14.30 Bring your own device Wat is de plaats van een persoonlijke uitrusting in het ziekenhuis? Tablet, draagbare PC, smartphone : we worden er steeds toe aangemoedigd om ons te ontdoen van de « hardware ». Troef of nadeel in het kader van de optimalisering en de mobiliteit van het werk? Welke houding dienen we aan te nemen op het vlak van het veiligheidsbeleid? Welke compromissen zijn er mogelijk? Waar moet de grens worden getrokken tussen organisatorische maatregelen (naleven van een vertrouwelijkheidsbeleid, verplichte bescherming van de gegevens) en technische maatregelen (vereiste van veiligheidsinstrumenten op de uitrusting en bepaalde verplichtingen op bepaalde applicaties)? Hoever kan men gaan met veiligheidsmechanismen die soms zelf als te indringend worden beschouwd...
SPREKERS Jean-Louis Matton (IT Architect- UCL Saint-Luc, Bruxelles) Rob Evered (Senior Information Security Technologist and Strategist-INTEL UK) Vragen en antwoorden
Informatieveiligheidsconsulenten 14.30 ~ 15.00 Single sign-on and access management Single Sign-On (SSO) is een unieke toegang tot een veelvoud van systemen en/of autonome software. Dankzij deze eigenschap hoeft een gebruiker slechts 1 keer via zijn login en paswoord in te loggen en krijgt hij gelijktijdig toegang tot alle systemen zonder dat hij telkens moet inloggen voor elk systeem afzonderlijk. Het beheren van identiteiten en paswoorden wordt daarom nog belangrijker. De implementatie door het ziekenhuis van een bedrijfsbeleid “Single Sign On” dient de administrators in staat te stellen om de paswoorden te bepalen, toe te wijzen, op te slaan en te wijzigen. Wat zijn de voorwaarden, de problemen en oplossingen voor de implementatie van een dergelijk beleid? Teneinde een indringing in een gevoelige omgeving te voorkomen, heeft Technisanté toegangscontrole-oplossingen geïmplementeerd die zorgen voor een efficiënte interne bescherming. Deze oplossingen bestaan uit een controle van de rechten en toelatingen die noodzakelijk zijn voor een bepaalde entiteit (persoon, computer) om toegang te krijgen tot bepaalde logistieke middelen. We zullen samen nadenken over de beste manier om de controle inzake de toegang tot de logistieke middelen te organiseren.
SREKERS Thierry Genten (Hôpital de la Citadelle, Liège) Peter Kleynjan (Quantis, Gasthuis Reinier de Graaf, Delft) Vragen en antwoorden
5 december 15.00 ~ 15.15 Coffie pauze
15.15 ~ 15.45 Beheer van verschillende sites door de veiligheidsconsulent De functie van de informatieveiligheidsconsulent vereist een grondige kennis van de instelling en van diens departementen, van diens huishoudelijk reglement (wijze van functioneren en beslissen) en van diens cultuur en vereist een grote beschikbaarheid. Hoe organiseren de informatieveiligheidsconsulenten die voor verschillende instellingen of verschillende sites werken, zich om te beantwoorden aan het geheel van de verwachtingen gelieerd aan hun functie terwijl ze fysiek weinig aanwezig zijn binnen de instelling?
SPREKERSS Marc Rosseau (Emmaüs Ziekenhuizen) George de Wasseige (Bureau de consultance de Wasseige)
Informatieveiligheidsconsulenten 15.45 ~ 16.20 Beheer van de leveranciers Bij het uitbesteden van de ontwikkeling, de installatie en het onderhoud van een informaticaoplossing of een medische uitrusting, zijn waakzaamheid en oplettendheid op het vlak van de vertrouwelijkheid en de veiligheid van de informatie vereist. Er dient opnieuw aandacht te worden besteed aan de voorgestelde "in the cloud" oplossingen, de Saas oplossingen. Zou de veiligheidsconsulent bijgevolg niet integraal deel van elk project moeten uitmaken van zodra de behoefte geformuleerd is, zodra de markt bestudeerd is en tijdens gesprekken met de externe partner in het kader van de opstelling en het herlezen van de onderhouds- en aankoopcontracten. .
SPREKERS Peter Berghmans (GZ Antwerpen) : gebaseerd op nieuwe Europese Verordening en ISO 27001:2013 Gery Mollers (UCL Saint Luc et Beauvallon) Vragen en antwoorden
5 december 16.20 ~ 16.45 Onderzoek, studies, enz… : Hoe kan dit pragmatisch compatibel worden gemaakt met het beheer van de persoonlijke levenssfeer Hoe moet de problematiek van de regels en procedures die moeten worden gevolgd in het kader van biomedisch onderzoek worden geregeld? In de wet wordt er geen onderscheid gemaakt naargelang het gaat om een werkstuk van studenten of een uitgewerkt onderzoeksprotocol! Alhoewel de wet betreffende de persoonlijke levenssfeer voorziet in een uitzondering op het finaliteitsbeginsel, geldt dit niet voor de principes van rechtmatigheid en het proportionaliteitsbeginsel. Wat zijn dan de verplichtingen van de onderzoekers en de onderzoeksmedewerkers vóór, tijdens en na het onderzoek? In hoeverre is men van mening dat er een afwijking kan worden toegestaan aan het verplicht informeren van de patiënt omdat dit de onderzoeker onevenredig veel moeite kost. Wat zijn de verschillen tussen, enerzijds, persoonlijke gegevens die worden ingezameld en geregistreerd met het oog op een vooraf vastgelegd biomedisch onderzoek, en, anderzijds, een "latere behandeling” in het kader van een retrospectief onderzoek. Hoe kan men pseudominisatie in de praktijk beheren? Welke rol kan/moet de informatieveiligheidsconsulent in het kader van de onderzoeksprocessen spelen? Welke hulp kan hij bieden aan de onderzoekers en aan de ethische comités? Dat zijn zo wat de belangrijkste kwesties waarmee een informatieveiligheidsconsulent in het kader van een onderzoeksproject kan worden geconfronteerd.
SPREKERS Etienne Stanus et Christine Bigot (Institut Bordet, Bruxelles) Vragen en antwoorden
16.45 Conclusies en drink
FOD Volksgezondheid - open ruimte Bara Victor Hortaplein 40 bus 10 1060 BRUSSEL Naast het Zuidstation
Inschrijving : klik hier
Inschrijving (verplicht) t/m 2 december Gratis deelname Simultaanvertaling (Nederlands/Frans) Parking : Q-PARK—Zuidstation, gratis op niveau -6 (alleen op deze verdieping)
Contact :
[email protected] Bezoek onze website : www.health.belgium.be
(rubrieken Gezondheidszorg en telematica)
FOD Volksgezondheid - Victor Hortaplein 40, bus 10 - 1060 Brussel
