RISICO S VAN ALLE INFORMATIE

ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiio i.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oio ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo. -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiio o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioi iioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii. o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioi oioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi. oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oii ioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+ -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiio ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.i o-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii. o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+. o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi. oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oio oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii oiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oi ioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi iioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. ioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.o ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.o oioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioii io-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-o oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii i-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+ oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oii ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.i o-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii. o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+. o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi. oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi .oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii ioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiio .io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.o oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oio ii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+i ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ ioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.o oioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oio o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iioio+ ioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioi io-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+ i.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio ioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio -+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+o oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioiooioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oi oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.oiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioii oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo. -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiio o.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oio ioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioio oi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiio .io ioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioii -+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oi oi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oio oo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo

RISICO’S VAN ALLE KANTEN BDO ZORG INFORMATIE BEVEILIGINGS SCAN 2015

.

2

3

inhoud

+

voorwoord

o i .

.

. -

o

i +

.

INHOUD

3

Voorwoord

4

De belangrijkste uitkomsten

6 8

Aanleiding: de Europese privacyverordening

Aanpak van het onderzoek

10

Onderzoeksresultaten Algemeen

12

Onderzoeksresultaten Strategisch

i

i

o

i

i .

o

‘DE TIJD DRINGT’ Voor het eerst in haar bestaan heeft de BDO Branchegroep Zorg een sectorbrede informatiebeveiligingsscan gehouden, naast de reeds bekende scans en benchmarks. De aanleiding is helder: binnen de zorg neemt IT een steeds grotere rol in. Specifiek informatiebeveiliging is de laatste jaren, zeker in de zorgsector, een ‘hot topic’. De desbetreffende wet- en regelgeving wordt steeds meer aangescherpt en datalekken staan in de nadrukkelijke belangstelling van de media en de samenleving. Iedereen onderkent de noodzaak van informatiebeveiliging, en veel zorginstellingen hebben daarvoor ook al maatregelen getroffen. Maar hoe groter en complexer de instelling, des te lastiger het blijkt om ‘in control’ te zijn en te blijven.

‘Hoe groter en complexer de instelling, des te lastiger het blijkt om ‘‘in control’’ te zijn.’

De BDO InformatieBeveiligingsScan is ingestoken vanuit een strategisch, tactisch en operationeel perspectief. In totaal zijn 27 actuele en toekomstig relevante vragen geformuleerd ten aanzien van informatiebeveiliging, en deze zijn beantwoord door respondenten binnen de verschillende zorgsectoren. Dit rapport vat de uitkomsten van het onderzoek voor u samen. En het moet worden gezegd: op bepaalde onderdelen is de stand van zaken goed en zijn er constructieve maatregelen getroffen om de informatiebeveiliging te borgen. Dit betreft vooral IT-gerelateerde maatregelen. Maar de overall-stand van zaken betreffende de borging van informatiebeveiling binnen de organisaties en de voorbereiding op aankomende wet- en regelgeving baart ons zorgen. Ten eerste blijkt dat slechts een geringe meerderheid (50%) van de instellingen aangeeft kennis te hebben van de aankomende Europese privacyverordening, en niet meer dan 38% kent de Meldplicht datalekken.

18

Onderzoeksresultaten Tactisch

22

Onderzoeksresultaten Operationeel

Informatiebeveiliging binnen organisaties is een kerntaak van bestuurders en directie. Bij de helft van de respondenten zien wij dit terug. Maar veel te vaak is informatiebeveiliging nog slechts het domein van IT-maatregelen. Hiermee lopen organisaties risico's, want ze voldoen zo niet aan wet- en regelgeving. Dit alles betekent dat er nog veel werk moet worden verricht om ‘in control’ te zijn, terwijl de tijd dringt. De wet Meldplicht datalekken is inmiddels op 26 mei 2015 door de Eerste Kamer aangenomen. Er is met andere woorden al sprake van een achterstand, terwijl inventarisatie, selectie en implementatie van maatregelen in de meeste gevallen minimaal een jaar kost.

De BDO Branchegroep Zorg

Wij hopen dat het rapport bestuurders in de zorg en andere betrokkenen inspireert en aanspoort om positief-kritisch te kijken naar hun eigen organisatie. Wij wensen u veel leesplezier en veel wijsheid en doorzettingsvermogen toe in de uitdagende tijd die voor de zorgsector in het verschiet ligt.

26

o

+

Onderzoekers BDO Branchegroep Zorg www.twitter.com/bdozorg

Frank van der Lee

Robert van Vianen

Julien Spronck

i

4

BDO ZORG Informatie Beveiligings Scan 2015

5

ZORGSECTOR ONDERSCHAT STRENGERE DATAREGELS

DE BELANGRIJKSTE UITKOMSTEN

38%

40%

Zorginstellingen in Nederland blijken niet klaar voor de nieuwe, aangescherpte regels rond informatiebeveiliging. Maar liefst 62% kent de nieuwe Meldplicht datalekken (nog) niet en 60% is onbekend met de Europese privacyverordening. Het is hoog tijd dat de zorgsector alle privacygevoelige (patiënten)data veilig vergrendelt.

Goede informatiebeveiliging is cruciaal, Ke n n is

Ken ni s

va n

want de sancties op onzorgvuldig handelen de

zijn straks enorm.

Me

ldp van lic ht de da Eu San ta r o c ties 7% - Onb pe lek eken s e ke d I p n? riv nfo rma ac 6% - Onb y t ieb eken ve 5% eve d I r nfo i lig rma i ng tie in be ve de i li g p ing sb el

49% EE 35% - N

Aangescherpte Meldplicht datalekken: Boetes van

d or

? ing en

van de omzet

or

% 10

Europese privacyverordening:

de

n in ( oerd gev

Meldplicht datalekken

62% kent de

toren) alle sec

Meldplicht niet!

Slechts

of

r lee

38% kent de

€ 100 miljoen 5% van de omzet

Boete maximaal

u rm fo ge

le uil fe te

eid

Slechts

€ 810.000 tot 10%

40% kent de

Europese privacyverordening

60% kent de privacyverordening niet!

WELKE SECTOREN ZIJN HET VERST? Heeft u al informatiebeveiligingsbeleid geformuleerd én ingevoerd?

49% Minder dan de helft van de raden van bestuur en directies van zorginstellingen

instrumenten voor informatiebeveiliging.

Tip: zorgbestuurders, zorg dat u ‘in control’ bent van uw informatiebeveiliging. Laat ook uw

€

-W

Gevaarlijk, want IT is slechts één van de

% 60

44% laat het over aan de IT-afdeling.

62%

portefeuille.

% 15

heeft informatiebeveiliging zélf in de

O RD TA AN

GE WE RK

1

Eerstelijn

2

GHZ

3

VVT

4

T

44% - JA 44%

5

Jeugdzorg Overig* Ja 0%

Wordt aan gewerkt 50%

Nee Onbekend 100%

belangrijkste factor – uw medewerkers – hier een prominente rol in spelen.

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

.

6

BDO ZORG Informatie Beveiligings Scan 2015

7

+

Toelichting

o i .

.

. -

o

i +

.

‘Als de nieuwe privacyverordening in 2016 wordt goedgekeurd, geldt deze in heel de Europese Unie, dus ook in Nederland’

AANLEIDING VOOR DIT ONDERZOEK:

De Europese privacy verordening Het vakgebied informatiebeveiliging heeft binnen de zorgsector de afgelopen decennia een grote vlucht genomen. Dat hangt nauw samen met het voortdurend toenemende belang van geautomatiseerde gegevensverwerking en de daarmee gepaard gaande risico’s voor een integere, vertrouwelijke en ongestoorde informatievoorziening. Privacy, cybersecurity en fysieke beveiliging zijn alledaagse zaken voor de zorginstellingen en vormen integrale onderdelen van de bedrijfsvoering.

Z

orginstellingen in Nederland zijn grootverwerkers van privacygevoelige gegevens. Binnen zorginstellingen wordt immers een grote hoeveelheid aan persoonsgegevens opgeslagen, bewerkt, verwerkt en uitgewisseld met andere partijen in de zorgketen. Een gedegen en betrouwbare inrichting van de privacy- en informatiebescherming is derhalve van essentieel belang.

Wet bescherming persoonsgegevens De belangrijkste wet- en regelgeving voor het omgaan met persoonsgegevens in Nederland is vastgelegd in de Wet bescherming persoonsgegevens (Wbp, 2001). De Wbp is de Nederlandse uitwerking van de Europese richtlijn bescherming persoonsgegevens, die reeds uit 1995

stamt. In de Wbp zijn de algemene beginselen voor gegevensverwerking geformuleerd. De Wbp is van toepassing indien er sprake is van een al dan niet geautomatiseerde verwerking van persoonsgegevens. In de Wbp staat een aantal regels met betrekking tot de toelaatbaarheid, het doel en de kwaliteit van gegevensverwerking.

De verantwoordelijke Veel normen in de Wbp richten zich op de ‘verantwoordelijke’ voor de gegevensverwerking. Dit is degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. In het kader van patiëntgegevens is doorgaans de behandelende zorgverlener als verantwoordelijke aangemerkt. In de Wbp staat tevens beschreven dat de verantwoordelijke passende technische en organisatorische maatregelen dient te treffen om persoonsgegevens voldoende te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (Wbp, 2001).

Meldplicht datalekken Het jaar 2015 is een belangrijk jaar in het kader van informatiebeveiliging voor zorginstellingen: er staan twee grote wetswijzigingen op stapel. Allereerst wordt de Meldplicht datalekken (artikel 34a Wbp) aangescherpt. We spreken van een datalek als persoonsgegevens in handen vallen van een derde partij die geen toegang tot die persoonsgegevens zou mogen hebben. Specifiek gaat het om ‘een inbreuk op de beveiliging die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens’. Deze inbreuken dienen direct te worden gemeld aan het College bescherming persoonsgegevens (CBP) vanuit zijn rol als toezichthouder. Bij niet voldoen aan deze wet kan onder de huidige regelgeving een boete worden opgelegd tot € 4.500.

Hogere boetes De wetswijziging geeft het CBP de bevoegdheid om aanzienlijk hogere boetes op te leggen: tot € 810.000 (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet van de rechtspersoon. De Tweede Kamer heeft de aangescherpte wet aangenomen op 10 februari 2015, waarna deze op 26 mei ook door de Eerste Kamer is goedgekeurd. Naar alle waarschijnlijkheid treedt de meldplicht per 1 januari 2016 in werking. Overigens zal met de inwerkingtreding van de nieuwe wet de naam van het CBP worden veranderd in Autoriteit Persoonsgegevens.

door het parlement. Na inwerkingtreding zullen de bepalingen van de verordening rechtstreeks van kracht zijn in alle lidstaten van de Europese Unie en daarmee ook in Nederland.

Grote gevolgen Het voorstel bevat op een aantal vlakken nieuwe of strengere privacyregels dan de Wbp, waarbij de meest sprekende is dat er boetes kunnen worden opgelegd die oplopen tot € 100.000.000 of 5% van de wereldwijde jaarlijkse omzet van een onderneming bij het niet voldoen aan de regelgeving. In het ergste geval kan een zorginstelling haar licentie verliezen.

Aanpassing wetgeving De tweede grote wetswijziging betreft een aanpassing van de basis van de huidige privacywetgeving: de Wbp. De Europese privacyrichtlijn werd ooit vastgesteld en geaccordeerd toen de mogelijkheden en de impact van IT een stuk minder ontwikkeld waren. Denk alleen al aan de positie die het internet zich inmiddels heeft toegeëigend voor en binnen organisaties. De Europese Commissie heeft daarom enkele jaren geleden besloten dat de huidige richtlijn moet worden aangepast, hoewel de algemene principes en rechten nog steeds geldig zijn. In het eerste kwartaal van 2012 heeft de Europese Commissie voorstellen gepresenteerd voor een herziening van de huidige Europese privacyregelgeving. Na stevige onderhandelingen aangaande deze voorstellen heeft het parlement in maart 2014 zijn definitieve positie bekendgemaakt en ligt er nu een concept-privacyrichtlijn. De Europese Raad is nog bezig met het bepalen van een standpunt over de gehele tekst, maar heeft al wel op onderdelen zogenaamde gedeeltelijke benaderingen vastgesteld. Zodra ook de raad definitief positie heeft bepaald, kunnen de onderhandelingen tussen de commissie, het parlement en de raad beginnen. De verwachting is dat de privacyverordening in de loop van 2016 of daarna wordt goedgekeurd

Andere grote gevolgen zijn: Documentatieplicht Zowel de

persoonsgegevens kunnen ook bewerkers

verantwoordelijke voor de gegevensver-

door de toezichthouder worden

werking als de bewerkers dienen alle

gesanctioneerd indien zij niet voldoen aan

documenten die betrekking hebben op de

de verordening.

verwerking van persoonsgegevens te bewaren en op verzoek van de toezichthouder te overleggen.

Voorwaarden voor toestemming verwerking Indien toestemming is vereist om persoonsgegevens te

Verplichte Functionaris voor de

verwerken moet de verantwoordelijke

Gegevensbescherming (Privacy

kunnen aantonen dat desbetreffende

Officer) Iedere organisatie die gedurende

toestemming is gegeven.

12 maanden persoonsgegevens verwerkt van meer dan 5.000 betrokkenen of über-

Recht op het laten wissen van

haupt met privacygevoelige informatie

persoonsgegevens Betrokkenen hebben

werkt, zal een Functionaris voor de

het recht om van de verantwoordelijke te

Gegevensbescherming moeten

vragen om al hun persoonsgegevens te

aanstellen.

wissen (‘right to erasure’). De verantwoordelijke zal daarbij ook zorg

Zelfstandige verantwoordelijk-

moeten dragen dat derden aan wie hij de

heid bewerkers Bewerkers dienen onder

gegevens heeft verstrekt ook overgaan

meer passende technische en

tot het wissen van deze persoonsgege-

organisatorische maatregelen te nemen

vens. Om aan een dergelijk verzoek

die in verhouding staan tot de risico’s die

gevolg te kunnen geven, zullen veel

het verwerken van persoonsgegevens

zorginstellingen de wijze waarop zij

mee kan brengen. Naast de verantwoor-

persoonsgegevens verwerken moeten

delijke voor de verwerking van de

aanpassen. 

o

o

+

i

i

o

i

i .

i

.

8

BDO ZORG Informatie Beveiligings Scan 2015

9

+

METHODE

o i .

.

. -

o

i +

.

o

+

i

i

o

i

i .

o

Methode

Aanpak van het onderzoek

VANUIT DRIE PERSPECTIEVEN De scan richt zich op onderstaande variabelen binnen de zorginstellingen, om zodoende de verschillende perspectieven van informatiebeveiliging aan bod te laten komen:

STRATEGISCH • strategie & beleid • governance

TACTISCH • administratieve organisatie & interne beheersing

Dit onderzoek is gebaseerd op de door de BDO Branchegroep Zorg opgestelde vragenlijst op de website www.bdo.nl/zorg, onder het thema ‘Informatiebeveiligingsscan Zorg’. De Informatiebeveiligingsscan richt zich op cybersecurity en privacy in de zorg en bestaat uit 27 meerkeuzevragen, met aanvullende mogelijkheid tot een toelichting.

OPERATIONEEL • informatievoorziening/IT kwaliteit & innovatie

DE ZORGSEGMENTEN DIE ZIJN VERTEGENWOORDIGD IN HET ONDERZOEK 35% VVT

6% 11% Eerstelijn jeugdzorg

Beantwoording vragen

Onderzoekspopulatie

De vragenlijsten zijn ingevuld in de periode januari tot en met april 2015. Bij alle vragen kon door middel van een multiplechoice-mogelijkheid worden aangegeven of en in hoeverre de zorginstelling op de hoogte was van de stand van zaken ten aanzien van informatiebeveiliging en welke maatregelen hieromtrent waren getroffen.

In totaal hebben 55 instellingen uit de verschillende zorgsectoren volledige en bruikbare vragenlijsten ingevuld. 2015 is het eerste jaar dat BDO deze specifieke vragenlijst heeft opgesteld. In onderstaand cirkeldiagram ziet u de spreiding van de grootte van de organisaties in dit onderzoek, gemeten naar het aantal medewerkers.

Alle ingevulde vragenlijsten zijn door de BDO Branchegroep Zorg kritisch getoetst op plausibiliteit en betrouwbaarheid. Dit is onder meer gedaan door selectief contact te leggen met respondenten en door het verwijderen van onvolledig ingevulde vragenlijsten.

Op basis van de gecombineerde antwoorden is een breed beeld ontstaan van de stand van zaken van informatiebeveiliging in de zorginstellingen. De vragen met de meest belangwekkende uitkomsten worden in dit rapport nader uitgewerkt en toegelicht.

Responderende organisaties, gemeten naar aantal werknemers

11% GHZ

37% Overig*

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

1-20

21-50

51-99

100-249

8%

13%

13%

18%

250-999

30%

1000+

18%

‘Alle ingevulde vragenlijsten zijn kritisch getoetst op plausibiliteit en betrouwbaarheid’

i

oio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi -ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioioioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. -+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioioioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii. ioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi .-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi. .oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. -+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioio.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi -ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioioioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi. +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi-o+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioioioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioioioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioio ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi.. +oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi. -oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioio oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+. oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioii.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. -+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. -+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioio.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioioioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooioiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oi.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. -+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioio.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.oiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi ioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioioioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio.oii.oo.iioioi.oiiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+. oi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi. +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+. -+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+. oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi. .oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+. iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi -ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioioioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio. iioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioioio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi.. +oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii. oiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io

ONDERZOEKS RESULTATEN De meest opvallende uitkomsten

.

11

ONDERZOEKS RESULTATEN

+

o i .

.

. -

o

i +

.

Verantwoordelijkheid rondom informatiebeveiliging is niet conform normeringen belegd. Uit ons onderzoek is gebleken dat de verantwoordelijkheid op verschillende niveaus is belegd: bij 49% bij het hoogste orgaan, hetzij de directie, hetzij de Raad van Bestuur, en in 44% van de gevallen bij de IT-verantwoordelijke. De NEN 7510 (norm voor informatiebeveiliging in de zorg) bijvoorbeeld is heel duidelijk: de directie is niet alleen op papier verantwoordelijk voor informatiebeveiliging, maar moet het beleid rondom informatiebeveiliging ook jaarlijks actief monitoren, aanscherpen en goedkeuren. Informatiebeveiliging is met nadruk nog steeds het domein van de IT, terwijl informatiebeveiliging net zoveel draait om houding, gedrag en cultuur (soft controls). Slechts 40% kent de Europese privacyverordening. Van alle respondenten heeft niet meer dan 40% inhoudelijke kennis over deze aanstaande nieuwe wet, die waarschijnlijk in 2016/2017 de Wet bescherming persoonsgegevens gaat vervangen en een grote impact heeft op alle zorginstellingen. In het slechtste geval kan bijvoorbeeld bij het niet voldoen aan deze verordening per overtreding een boete worden opgelegd tot 2% van de wereldwijde jaaromzet. Van die 40% hebben alle zorginstellingen één of meer maatregelen genomen om zich voor te bereiden op de komst van deze nieuwe werkelijkheid; 60% van de respondenten loopt achter de feiten aan. Slechts 38% kent de Meldplicht datalekken. De Meldplicht datalekken betreft een aanpassing op de reeds bestaande Nederlandse Wet bescherming persoonsgegevens. Het voorstel is op 10 februari 2015 met algemene stemmen aangenomen door de Tweede Kamer. De verwachting is dat in de zomer van 2015 de Eerste Kamer dit zal accorderen. De wijziging geeft het CBP de bevoegdheid om (eenzijdig) aanzienlijk hogere boetes op te leggen dan nu

o

+

i

i

o

i

i .

o

het geval is: tot € 810.000 (hoogste categorie) of, als dat niet passend is, 10% van de jaaromzet van de rechtspersoon. Slechts 38% van de respondenten is bekend met de werking van deze wet, terwijl het risico reëel wordt in de loop van het kalenderjaar. Van deze 38% heeft nog geen 30% maatregelen getroffen om aan de wet te voldoen. Informatiebeveiligingsbeleid is onvoldoende. Informatiebeveiliging binnen organisaties begint met een helder informatiebeveiligingsbeleid waarin in begrijpelijke taal voor alle medewerkers en relevante derden bovenstaande onderwerpen aan bod komen. Slechts 44% van de respondenten geeft aan dat er zo’n informatiebeveiligingsbeleid is geïmplementeerd en 15% is daarmee bezig. Illustratief is dat slechts 32% van de respondenten voldoet aan de NEN 7510, terwijl 30% zegt hier nog aan te werken. Ook komt naar voren dat verbetering mogelijk is ten aanzien van soft controls: screening van of het stellen van aanvullende eisen aan medewerkers ten aanzien van informatiebeveiliging gebeurt weliswaar bij het merendeel van de respondenten, maar volgens ons moet dit overal gemeengoed zijn. Blinde vlekken in Incidentbeheersing. Alle responderende zorginstellingen hebben maatregelen getroffen om cybersecurity-incidenten te voorkomen. Maar 42% heeft dat niet gedaan op basis van een risicoanalyse, of weet niet of dat het geval is. Er zijn dus inherente risico’s op blinde vlekken en als gevolg daarvan te lage of juist onnodige investeringen gedaan.

‘Illustratief: slechts 32% van de respondenten voldoet aan de NEN 7510’

68%

32%

i

12

BDO ZORG Informatie Beveiligings Scan 2015

13

ONDERZOEKS RESULTATEN

Strategisch

Verantwoordelijkheid informatiebeveiliging

.

+

o i .

.

. -

o

i +

.

Strategisch Verantwoordelijkheid informatiebeveiliging Vraag Wie is binnen de organisatie (eind)verantwoordelijk voor de informatiebeveiliging?

Vraag Aan wie is de IB-verantwoordelijkheid gedelegeerd? Wie is binnen de organisatie gedelegeerd verantwoordelijk voor de informatiebeveiliging?

De NEN 7510 is hier heel duidelijk in: de directie is niet alleen op papier verantwoordelijk voor informatiebeveiliging, maar moet het beleid op dit punt tevens jaarlijks rondom actief monitoren, aanscherpen en goedkeuren. Informatiebeveiliging is dus primair een verantwoordelijkheid van het (lijn-)management. Uit ons onderzoek komt naar voren dat 49% van de ondervraagde zorginstellingen de verantwoordelijkheid voor informatiebeveiliging belegd heeft bij de directie (onder directie wordt tevens verstaan de Raad van Bestuur). Bij 44% van de ondervraagde zorginstellingen is de verantwoordelijkheid voor informatiebeveiliging belegd bij de IT-verantwoordelijke; dit kan Automatisering of Informatisering zijn. Bij 7% van de ondervraagde zorginstellingen is het niet bekend wie verantwoordelijk is voor informatiebeveiliging.

RvB

IT

ONBEKEND

Sectorbreed

Per subsector Eerstelijn: GHZ: VVT:

Als we deze percentages verder in detail uitsplitsen naar de onderzochte sectoren valt op dat met name binnen de VVT en de GHZ de verantwoordelijkheid bij de directie ligt, maar dat bij Jeugdzorg de verantwoordelijkheid bij IT is ondergebracht. Ook voor de GGZ geldt dat de verantwoordelijkheid vooral bij IT ligt. Goed IB-beleid Het feit dat bij 44% van de zorginstellingen de verantwoordelijkheid bij de IT-verantwoordelijke is belegd, is een signaal dat informatiebeveiliging nog sterk wordt gezien als een IT-aangelegenheid, terwijl goed IB-beleid bij de top begint en vervolgens in alle lagen van de organisatie wordt geïmplementeerd (Strategisch > Tactisch > Operationeel), met alle waarborgen van het ‘in control’principe van dien.

‘Goed IB-beleid begint bij de top, maar ligt bij 44% van de instellingen nog bij de IT-afdeling’

Voor het succesvol implementeren van informatiebeveiliging in een organisatie is een goede verdeling van verantwoordelijkheden en bevoegdheden voor het beslissen, adviseren en controleren van en over informatiebeveiligingsmaatregelen een basisvoorwaarde. Dit moet worden geïnitieerd vanuit het hoogste orgaan binnen de instelling. Dat dit beter kan, blijkt mede uit het feit dat slechts 32% van de organisaties voldoet aan de NEN 7510. Een aanvullende 30% zegt hiermee bezig te zijn.

Jeugdzorg: Overig*:

0%

50%

100%

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

o

o

+

i

i

o

i

i .

i

.

14

BDO ZORG Informatie Beveiligings Scan 2015

15

Onderzoeks resultaten

Strategisch

+

privacyverordening o i .

.

. -

o

i +

.

Strategisch privacy verordening Vraag Bent u bekend met de komst en de impact van de Europese privacyverordening?

Vraag In hoeverre zijn maatregelen getroffen in voorbereiding op de inwerkingtreding van de Europese privacyverordening?

De Europese privacyverordening gaat na inwerkingtreding een grote impact hebben op zorginstellingen in Nederland. Bij 50% van de respondenten is geen kennis rondom deze nieuwe verordening, die op veel vlakken verder gaat dan de huidige Wet bescherming persoonsgegevens. Bij 40% van de respondenten is deze kennis wel aanwezig. In deze categorie hebben, op drie na, alle zorginstellingen al één of meer maatregelen getroffen om zich voor te bereiden op de komst van deze nieuwe werkelijkheid. Dit geeft aan dat de organisaties die zich bewust zijn van de Europese privacyverordening ook het belang inzien van de te nemen maatregelen en hier prioriteit aan geven in de beleidsvoering.

In het onderzoek is in zeven inhoudelijke categorieën gevraagd of en welke maatregelen de organisaties hebben getroffen, indien de respondenten kennis hadden van de nieuwe Europese privacyverordening. 14% van de respondenten die kennis hebben van de verordening weet niet of er maatregelen zijn getroffen; de andere respondenten hebben meerdere maatregelen getroffen in voorbereiding op de nieuwe verordening. Iedere gevraagde maatregel is bij minimaal vier zorginstellingen in de praktijk geïmplementeerd. Wat verder opvalt is dat er vooral is gekozen voor maatregelen richting de interne IT-kant en IT-leveranciers. Ook dit is een signaal dat informatiebeveiliging primair als een IT-aangelegenheid wordt gezien. Maatregelen ten aanzien van de soft controls (awareness van medewerkers en een interne rol voor informatiebeveiliging) zijn aanzienlijk minder getroffen.

o

+

i

i

o

i

i

i .

o

IS BEKEND MET EUROPESE PRIVACYVERORDENING? GETROFFEN MAATREGELEN VOOR DE EUROPESE PRIVACYVERORDENING 10% Onbekend

ja

nee/weet niet

Het aanstellen van een functionaris voor de gegevensbescherming:

40% Ja

De informatieverstrekking aangaande de verwerking van privacygevoelige gegevens aan klanten en derden is aangepast:

Er worden risicoanalyses uitgevoerd op het gebied van privacy:

50% Nee

Er is contact geweest met IT-leveranciers over technische aanpassingen in de software om logging mogelijk te maken of te verbeteren:

‘Bij 50% van de respondenten is geen kennis rondom de nieuwe Europese privacyverordening’

Privacy by Design en/of Privacy by Default worden integraal meegenomen in IT-gerelateerde projecten:

Er is een organisatiebrede privacy-awareness-training ontwikkeld zodat medewerkers op de hoogte zijn van de belangrijkste privacyregels:

Leveranciers worden mede geselecteerd op basis van certificeringen aangaande privacy-wet- en regelgeving:

Anders:

0%

50%

100%

‘Respondenten die de nieuwe Europese privacyverordening kennen, kozen vooral voor maatregelen richting de interne IT-kant en IT-leveranciers’

.

16

BDO ZORG Informatie Beveiligings Scan 2015

17

Onderzoeks resultaten

Strategisch

+

Meldplicht datalekken o i .

.

. -

o

i +

.

Strategisch Meldplicht datalekken Vraag Bent u bekend met de werking van de Meldplicht datalekken?

Vraag Heeft uw organisatie maatregelen getroffen naar aanleiding van de Meldplicht datalekken?

De Meldplicht datalekken vereist na de goedgekeurde wijziging van de Wet bescherming persoonsgegevens in 2015 een grotere mate van ‘in control’ zijn door zorginstellingen. Slechts 38% van de respondenten is bekend met deze aanpassing van de wet, terwijl het financiële risico al in de loop van dit kalenderjaar groter wordt. 9% van de respondenten weet niet zeker of men bekend is met deze materie. 53% van de respondenten geeft aan niet bekend te zijn met de meldplicht ten aanzien van datalekken. Dit is in de zorgsector, waar het inherent is dat met privacygevoelige gegevens wordt gewerkt, een relatief zeer hoog percentage.

BEKEND MET MELDPLICHT DATALEKKEN?

MAATREGELEN GETROFFEN? Heeft uw organisatie maatregelen getroffen naar aanleiding van de Meldplicht datalekken? 

38% Ja 9% Onbekend

‘Slechts 38% van de respondenten kent de meldplicht datalekken, terwijl het financiële risico al dit kalenderjaar groter wordt’

53% Nee

IS BEKEND MET MELDPLICHT – VERDELING PER SECTOR ja

Bij 28% van de respondenten die reeds kennis heeft van de Meldplicht datalekken zijn aanvullende maatregelen getroffen. Bij 62% is dit niet het geval en 10% weet niet of aanvullende maatregelen zijn getroffen. Over de gehele onderzoekspopulatie van deze Informatiebeveiligingsscan betekent dit dat slechts 11% van de zorginstellingen aanvullende maatregelen heeft getroffen om ‘in control’ te zijn ten aanzien van de Meldplicht datalekken. Gezien het veel grotere financiële risico dat zorginstellingen in de nabije toekomst gaan lopen, is dit een relatief laag percentage.

10% Onbekend

28 % Ja

‘Slechts 11% van de zorginstellingen heeft aanvullende maatregelen getroffen om ‘in control’ te zijn'

62% Nee

nee/weet niet

Eerstelijn:

HEEFT MAATREGELEN GETROFFEN – VERDELING PER SECTOR GHZ:

ja

VVT:

Eerstelijn:

Jeugdzorg:

GHZ:

Overig*:

VVT:

0%

50%

100%

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

nee/weet niet

Jeugdzorg: Overig*:

0%

50%

100%

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

o

o

+

i

i

o

i

i .

i

.

18

BDO ZORG Informatie Beveiligings Scan 2015

Onderzoeks resultaten

19

Informatiebeveiligingsbeleid

Tactisch

+

o i .

.

. -

o

i +

.

Tactisch Informatiebeveiligingsbeleid Vraag Heeft uw organisatie een informatiebeveiligingsbeleid geformuleerd en geïmplementeerd?

INFORMATIEBEVEILIGINGSBELEID AANWEZIG?

De verschillende normeringen (NEN 7510, ISO 27001/27002) zijn hierin heel duidelijk: het beleid voor informatiebeveiliging is een belangrijk hulpmiddel om ‘in control’ te zijn waar het gaat om de informatiebeveiliging. Het beleid, dat door de directie moet worden geaccordeerd en uitgedragen, is daarnaast bestemd voor alle managers en medewerkers die binnen de zorginstelling te maken hebben met eigenaarschap, beheer of gebruik van informatie(voorzieningen). Uit ons onderzoek komt naar voren dat bij 56% van de ondervraagde zorginstellingen nog geen formeel informatiebeveiligingsbeleid aanwezig is. Van de 55 zorginstellingen hebben er slechts 24 een formeel beveiligingsplan; 19 hebben aangegeven dat zij nog niet in het bezit zijn van een formeel beveiligingsplan; 8 geven aan dat zij bezig zijn met het opstellen ervan en 4 zorginstellingen zijn niet op de hoogte van een beveiligingsplan.

‘56% van de instellingen heeft geen informatiebeveiligingsbeleid, is er nog mee bezig of is niet op de hoogte van een beveiligingsplan’

6% Onbekend

44% Ja

35% Nee

15% Wordt aan gewerkt

INFORMATIEBEVEILIGINGSBELEID AANWEZIG - PER SECTOR ja

wordt aan gewerkt

nee

onbekend

Eerstelijn: GHZ: Als we deze percentages verder in detail analyseren per sector, dan valt op dat met name binnen de VVT er bij 12 instellingen geen formeel beveiligingsplan aanwezig is: 10 hebben er überhaupt geen, 1 is er nog mee bezig en bij 1 is het onbekend.

VVT: Jeugdzorg:

Het feit dat er bij verschillende zorginstellingen nog geen formeel informatiebeveiligingsbeleid aanwezig is, geeft aan dat informatiebeveiliging nog lang niet voldoende serieus genomen wordt. Wij zijn van mening dat een organisatie of zorginstelling niet volledig ‘in control’ kan zijn zonder de aanwezigheid van een formeel informatiebeveiligingsbeleid.

Overig*:

0%

50%

100%

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

o

o

+

i

i

o

i

i .

i

.

20

BDO ZORG Informatie Beveiligings Scan 2015

21

Onderzoeks resultaten

Tactisch

+

Incidentbeheersing o i .

.

. -

o

i +

.

Tactisch Incidentbeheersing Vraag Heeft uw organisatie in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten?

Vraag Indien een privacy-incident heeft plaatsgevonden, hoe is dit gedetecteerd?

18% van de onderzoekspopulatie heeft in de afgelopen twee jaar te maken gehad met één of meer privacy-incidenten, waarbij een privacy-incident is gedefinieerd als een ‘een incident waarbij er een aanmerkelijke kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Dit kan worden veroorzaakt door iemand van buitenaf maar ook door een medewerker, hetzij per ongeluk, hetzij met opzet.’ 13% van de respondenten weet niet of er privacy-incidenten hebben plaatsgevonden, en bij 69% van de respondenten is dit niet het geval geweest.

Vooral medewerkers zijn van belang bij het signaleren van privacy-incidenten; in maar liefst 70% van de organisaties waren zij degenen die hiervoor verantwoordelijk waren. Binnen informatiebeveiliging zijn het dan ook de medewerkers die de sterkste en tegelijkertijd ook de zwakste schakel vormen. Dit pleit voor een positief beleid gericht op medewerkersbetrokkenheid. Gelukkig is het niet noodzakelijk gebleken dat de media of politie privacy-incidenten kenbaar maakten; de interne maatregelen bleken afdoende borging te bieden.

GEMELDE PRIVACY-INCIDENTEN

MANIEREN WAAROP PRIVACY-INCIDENTEN ZIJN GEDETECTEERD

18% Ja 13% onbekend

‘18% van de onderzochte instellingen heeft in de afgelopen twee jaar te maken gehad met één of meer privacyincidenten’

Door een melding van een medewerker: Door een melding van een klant: Door een melding van een leverancier/externe partij: Door een melding van de politie:

0%

VVT: Jeugdzorg: Overig*:

0%

50%

50%

(Doordat er per instelling meerdere incidenten en meldingen kunnen zijn, zijn meerdere antwoorden mogelijk.)

GHZ:

100%

* De categorie ‘Overig’ bestaat uit zelfstandige behandelcentra, GGZ-instellingen, ziekenhuizen en instellingen met combinaties van zorgcategorieën.

i

i .

o

‘Binnen informatiebeveiliging zijn de medewerkers tegelijkertijd de sterkste en de zwakste schakel’

Anders:

Eerstelijn:

o

Door een melding van een geautomatiseerd systeem:

Door een melding van de media:

privacy-incidenten

i

i

Door routinechecks of -controles:

69% nee

GEMELDE PRIVACY-INCIDENTEN PER SECTOR

o

+

100%

i

.

22

BDO ZORG Informatie Beveiligings Scan 2015

23

Onderzoeks resultaten

Operationeel

+

Maatregelen o i .

.

. -

o

i +

.

Operationeel Maatregelen Vraag Zijn er preventieve maatregelen getroffen binnen uw organisatie op basis van een risicoanalyse?

Vraag Welke maatregelen zijn er in uw organisatie getroffen om cyberaanvallen te voorkomen?

Een integraal onderdeel van informatiebeveiliging is een gedegen risicoanalyse, waarna een plan kan worden opgesteld om de gesignaleerde risico’s te mitigeren. Op basis van gegevens van de organisaties waar een privacy-incident heeft plaatsgevonden, blijkt uit het onderzoek dat deze investeringen in tijd en geld de moeite waard zijn. Waarschijnlijk is het zo dat de organisaties waarbij incidenten zijn gesignaleerd, deze incidenten juist hebben kunnen signaleren omdat hun beleid en risicomanagement hierop proactief is aangepast. In het kader van de Meldplicht datalekken is het cruciaal om privacy-incidenten tijdig te ontdekken en de juiste maatregelen te treffen.

In het onderzoek is een cybersecurity-incident gedefinieerd als ‘een situatie waarbij een persoon heeft geprobeerd, en eventueel erin is geslaagd, de informatiebeveiliging van een organisatie te compromitteren, gebruikmakend van informatietechnologie (IT)’. Alle organisaties hebben minimaal vijf of meer maatregelen geïmplementeerd om cybersecurityincidenten te voorkomen. Blijkbaar heeft dit effect, aangezien slechts 7% van de respondenten te maken heeft gehad met een cybersecurity-incident, wat een relatief lage score is. Opvallend is dat de getroffen maatregelen ten behoeve van medewerkers (training, aanstellen security-officer) laag scoren ten opzichte van IT-gerichte maatregelen.

PREVENTIEVE MAATREGELEN GETROFFEN

GETROFFEN MAATREGELEN CYBERSECURITY-INCIDENTEN nee/weet niet

Antivirus-/malware-oplossingen om bedreigingen van buiten de organisatie tegen te houden:

10% Onbekend

10% Onbekend

Proxy, firewall etc. om bedreigingen van buiten de organisatie tegen te houden:

10% Nee 20% Wordt aan gewerkt

Back-up van de belangrijkste systemen: 50% Ja

Encryptie van informatie op mobile devices (flashdrives, laptops etc.): Segmentatie van netwerken:

20% Nee

80% Ja

Periodieke security-audits/-reviews: Periodieke software-updates: Accesscontrol: Securitytraining en -awareness voor medewerkers:

‘Het is cruciaal om privacyincidenten tijdig te ontdekken en de juiste maatregelen te treffen’

Configuratie en change management proces: Periodieke review van user-rechten: Data Loss Prevention-(DLP-)systeem: Het vervullen van de rol van security-officer: Wachtwoordbeleid: Uitloggen na een periode van inactiviteit: 0%

50%

i

i

o

i

i

i .

o

‘Slechts 7% van de respondenten heeft te maken gehad met een cybersecurityincident – een relatief lage score’

FORMEEL ACTIEPLAN PRIVACY-INCIDENTEN AANWEZIG ja

o

+

100%

.

24

BDO ZORG Informatie Beveiligings Scan 2015

Onderzoeks resultaten

25

Operationeel

+

MAATREGELEN o i .

.

. -

o

i +

.

Operationeel Maatregelen Vraag Maakt uw organisatie gebruik van een Privacy Impact Assessment (PIA) om de privacy binnen uw organisatie te checken? Een PIA is een praktisch hulpmiddel waarmee de belangrijkste eigenschappen en risico’s ten aanzien van privacy binnen organisaties op een gestandaardiseerde wijze worden doorgelicht. Dit onderzoek is geen sluitend middel ten aanzien van informatiebeveiliging, maar is in veel gevallen wel een uitstekende eerste stap om organisatiebreed bewustzijn te creëren en voorheen onvoorziene risico’s zichtbaar te maken. Op basis hiervan kunnen de conclusies van een PIA worden gebruikt om procedures en maatregelen te implementeren die de privacy en veiligheid van gegevensverwerking binnen zorginstellingen borgen. Vooralsnog is een PIA niet verplicht, maar vooral in het kader van de Meldplicht datalekken en de Europese privacyverordening raden wij zorginstellingen aan regelmatig een PIA uit te voeren. Uit de resultaten blijkt dat relatief weinig organisaties (11%) dit reeds hebben gedaan; een aanvullende 13% is hiermee bezig. Het uitvoeren van een PIA is een verbeterpunt dat met relatief weinig tijd en energie meerwaarde oplevert.

i

i

o

i

i

i .

o

Vraag Worden in uw organisatie aanvullende eisen gesteld aan medewerkers omtrent informatiebeveiliging en wordt screening ingezet voor medewerkers en derden? De soft controls zijn in informatiebeveiliging, zeker in de zorgsector, van evident belang. Immers: de medewerkers zijn degenen die met alle privacygevoelige informatie werken en voor wie al het beleid binnen de zorginstellingen primair van toepassing is. Uit de resultaten blijkt dat het merendeel van de organisaties aanvullende eisen stelt aan medewerkers ten aanzien van informatiebeveiliging of screening toepast voor medewerkers en externen. Men zou dit als een voldoende kunnen zien. Onze mening is echter dat iedere zorginstelling hier een minimale set van eisen moet kunnen aantonen. ‘In control’ zijn begint en eindigt immers bij de eigen medewerkers, zeker in de zorg.

AANVULLENDE VEILIGHEIDSEISEN Worden in de organisatie aanvullende eisen gesteld aan de medewerkers omtrent informatiebeveiliging, bijvoorbeeld in contracten of via algemene communicatie?

GEBRUIK VAN PRIVACY IMPACT ASSESSMENT (PIA) Maakt uw organisatie gebruik van een Privacy Impact Assessment (PIA) om de privacy binnen uw organisatie te checken? 13% Onbekend

o

+

7% Onbekend

25% Nee 11% Ja 13% Wordt aan gewerkt 63% Ja 5% Wordt aan gewerkt

WORDEN MEDEWERKERS GESCREEND? Worden in de organisatie medewerkers, inhuurkrachten en externe deskundigen die met privacygevoelige gegevens werken gescreend alvorens de werkzaamheden starten? 63% Nee 13% Onbekend

‘Vooral in het kader van de meldplicht datalekken en de Europese privacyverordening raden wij aan regelmatig een PIA uit te voeren’

29% Nee

58% Ja

‘In control’ zijn begint en eindigt bij de eigen medewerkers, zeker in de zorg’

26

BDO ZORG Informatie Beveiligings Scan 2015

DE BDO Branchegroep Zorg Branchegroep Zorg: luisteren, meedenken en verder kijken In de zorgsector draait het om mensen. Tegelijkertijd moet zorg kwalitatief hoogstaand, kostenefficiënt en veilig zijn. Het behouden van een goede positie binnen de zorgmarkt vormt een steeds grotere uitdaging voor zorginstellingen. De overheid kort op de budgetten, de marktwerking wordt steeds verder doorgevoerd, de concurrentie neemt toe en tegelijkertijd wordt de zorgconsument steeds kritischer. Hoe behoudt u als zorginstelling toch uw positie als u wordt gedwongen om – met hetzelfde budget – meer kwaliteit en service te verlenen? Is het nog wel mogelijk om betaalbare en goede zorg te leveren voor uw klanten? De BDO Branchegroep Zorg denkt van wel. Wij snappen dat u als ondernemer of bestuurder in de zorg denkt, handelt en organiseert op uw eigen manier. Dus wil een accountant of adviseur werkelijk van meerwaarde zijn, dan is het niet genoeg om kennis van de zorgsector te hebben. Gelukkig bestaat de BDO Branchegroep Zorg uit mensen die luisteren, meedenken en verder kijken dan de cijfers en de regels. Wij snappen dat goede zorg leveren hoge eisen stelt aan zorginstellingen, maar ook aan uw mensen en aan u persoonlijk. Dat telt.

Meer informatie BDO Branchegroep Zorg E-mail: [email protected] Internet: www.bdo.nl/zorg www.twitter.com/bdozorg Voor meer informatie naar aanleiding van dit onderzoeksrapport of over de BDO Branchegroep Zorg kunt u contact opnemen met:

Accountants Regio Midden/Noord/Oost: drs. C.F. (Chris) van den Haak RA Tel: 06 5247 6882 E-mail: [email protected]

Consultancy drs. F.J. (Frank) van der Lee RA Tel: 06 1100 3117 E-mail: [email protected]

Regio West: R. (Rob) Karlas RA Tel: 06 2013 7937 E-mail: [email protected]

Fiscaliteit mr. drs. N.T. (Nika) Stegeman-Kruijt Tel: 06 1309 5011 E-mail: [email protected]

Regio Zuid: drs. M.M.H. (Mike) Tagage RA Tel: 06 4688 8588 E-mail: [email protected]

mr. J.C.M. (Jeroen) Cremers Tel: 06 2360 2343 E-mail: [email protected]

ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi ioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiio +oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io iio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-o oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-o oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii. oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+o +.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioii oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi. oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oi oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.oo oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oio +.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiio ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi ioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiio oiioioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiio +oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+i oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+. oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiio oioi-oi.io oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+ oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oii oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiio oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oi oiioioiioi.-+oiioi.oi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiio +ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oi +ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i. oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii. ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioi.oiioioiioio-+ii.oiioii.oioiiioi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi. ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.ii ioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+ oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioi oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oi oioi--+.oioiioio oiioioiioi.-+oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio ioii.oioiiioi ioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi-+i.-+.oioi-oi.io oiioioiioi.-+oiioi.oi oiio +oiioi.oi.-+.ooiioiioi-oi-+ioi..oiii+.oio-+ioo+oi oiioioi.-+.oioi-ii.-+.oioi--+.oioiioioiioio+iio.oii.oo.iioioi.oiioioiioio-+ii.oiioii.oioiiioi ioioi.

Hoe zorgt u dat u tijdig 'in control' bent van uw informatiebeveiliging?

www.bdo.nl/zorg

BDO is een op naam van Stichting BDO te Amsterdam geregistreerd merk. In deze publicatie wordt BDO gebruikt ter aanduiding van de organisatie die onder de merknaam ‘BDO’ actief is op het gebied van de professionele dienstverlening (accountancy, belastingadvies en consultancy). BDO Accountants & Adviseurs is een op naam van BDO Holding B.V. te Eindhoven geregistreerde handelsnaam en wordt gebruikt ter aanduiding van een aantal met elkaar in een groep verbonden rechtspersonen, die ieder afzonderlijk onder de merknaam ‘BDO’ actief zijn op een bepaald terrein van de professionele dienstverlening (accountancy, belastingadvies en consultancy). BDO Holding B.V. is lid van BDO International Ltd, een rechtspersoon naar Engels recht met beperkte aansprakelijkheid, en maakt deel uit van het wereldwijde netwerk van juridisch zelfstandige organisaties die onder de naam ‘BDO’ optreden. BDO is de merknaam die wordt gebruikt ter aanduiding van het BDO-netwerk en van elk van de BDO Member Firms. 06/2015 – PS1505