Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
AVG en NEN 7510(theorie)
https://comfort-ia.nl030-7440764
Berend de Vries
Artseneed (KNMG en VSNU 2003)
..patiënt voorop en eerbiedig zijn opvattingen. Ik zal aan de patiënt geen schade doen. Ik luister en zal hem goed inlichten. Ik zal geheim houden wat mij is toevertrouwd. Ik zal de geneeskundige kennis van mijzelf en anderen bevorderen. Ik erken de grenzen van mijn mogelijk-heden. Ik zal mij open en toetsbaar…
Grondwet Nederland
Artikel 10
1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.
Sinds 1848
Specifieke wet- en regelgeving
Wbp• Bescherming persoonsgegevens APWgbo• o.a. Dossierplicht en geheimhoudingsplicht IGJ i.o. Wet BIG o.a. Identificeerbaarheid zorgverleners• IGJ i.o.
NEN 7510: Norm voor informatiebeveiliging in de Zorg •
Wet maatschappelijke ondersteuning (• Wmo) CollegeBurgemeester Wethouders
Wet SUWI, Participatiewet•
Jeugdwet• IGJ i.o.Besluit – Jeugdwet, art. 7.2.2, lid 2: NEN 7510
Uitbreiding • Wbp: Meldplicht Datalekken AP
Meldplicht Datalekken
• Per 1-1-2016
• CBP werd AP (Autoriteit Persoonsgegevens)
• Aanvulling Wbp en Telecomwet
– Datalek moet gemeld onverwijld (binnen 72 uur) worden aan AP door de
verantwoordelijke
– Indien niet gemeld: Hoge boete (tot € 810.000,-)
– AP kan onderzoek doen
– Als informatiebeveiliging niet op orde is kan de AP een boete/dwangsom
opleggen
Wat is een datalek? (voorbeelden)
Incidenten:• Een aanval op het netwerk• De diefstal van een laptop• Het verlies van een USB stick• Het openbreken van een kluis• Het verlies van een mobiele telefoon• Een gestolen patiëntendossier• Onjuiste adressering van e-mail of post• Het inzien van persoonsgegevens door onbevoegde• Een open papiercontainer met daarin persoonsgegevens• Archiefopslag waar onbevoegden persoonsgegevens inzien• Datacenter waar een lek in de beveiliging ontstaat• Tekortschietende beveiliging van persoonsgegevens
Algemene Verordening Gegevensbescherming (AVG)
• In werking getreden op 24 mei 2016• Van toepassing op 25 mei 2018, vervangt dan Wbp• Nieuw
– Bewijs van toestemmingsregeling– Vergaand inzagerecht– Recht op vergetelheid– Recht op dataportabiliteit– Verplichting risicobeoordeling– Register van verwerkingsactiviteiten– Beveiliging van de verwerking– “Privacy by design and by default”– Veerkracht van de privacybescherming– Aanstellen Functionaris Gegevensbescherming
Definities – Art. 4
1. „persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
2. „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Aandachtspunten implementatie AVG
• Bewijs van toestemmingsregeling– Ga na waar expliciete toestemming nodig is, vraag die en noteer in het
dossier.• Vergaand inzagerecht
– De patiënt wordt behandeld door een team. De patiënt heeft inzagerecht voor alle deeldossiers en het geheel. Maak een procedure en maak die bekend.
• Recht op vergetelheid– Let op de wettelijke bewaartermijn. Indien verwijderen noodzakelijk is, denk
dan om de backups en papieren kopieën.• Recht op dataportabiliteit
– Elektronische overdracht van gegevens is een recht van de patiënt. Kunnen uw partners er mee omgaan?
• Verplichting risicobeoordeling– Evalueer de praktijk geregeld.
Aandachtspunten implementatie AVG• Register van verwerkingen
– Welke persoonsgegevens worden onder wiens verantwoordelijkheid op welke manier waar verwerkt?
– Aantoonbaarheid correcte verwerking– Verantwoordelijken expliciet benoemen!
• Verwerkersovereenkomsten– Vastleggen hoe met persoonsgegevens moet worden omgegaan
• “Privacy by design and by default”– Privacybescherming en informatiebeveiliging in de architectuur van de
informatievoorziening.– Leverancier toont dat aan.
• Veerkracht van de privacybescherming– Maatregelen om onbedoelde toegang te bemoeilijken– Maatregelen om bij calamiteit snel juiste situatie te herstellen.
• Functionaris Gegevensbescherming
Uitvoeringswet AVG - Implementatie in Nederland
• Er is een AP– Samenstelling en rechtspositie medewerkers– Taken en bevoegdheden– Boetes tot € 20.000.000 of 4% wereldwijde omzet
• Voor wetenschappelijk onderzoek en statistiek mag, met bijzondere maatregelen, veel
• Aandacht voor privacy by design and by default– Pseudonimiseren– Inbouwen van waarborgen– Certificering
• Vertaaltabel Wbp -> AVG• Wbp wordt ingetrokken
AVG – Artikel 32Beveiliging van de verwerking
Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking….
….treft de verwerkingsverantwoordelijke…..
….passende technische en organisatorische maatregelen……
….om op een passend risico afgestemd beveiligingsniveau te waarborgen…
…die onder meer omvatten:
AVG – Art 32 (vervolg)
• Pseudonimisering en versleuteling van persoonsgegevens• Vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de
verwerkingssystemen en diensten garanderen• Bij een fysiek of technisch incident beschikbaarheid en toegang tijdig
herstellen• Op gezette tijdstippen testen, beoordelen en evalueren van maatregelen
• Aansluiten bij een gedragscode of goedgekeurd certificeringsmechanisme
NEN 7510:2017
• Gepresenteerd op 7 december 2017– Gebaseerd op ISO 27001 en ISO 27002
• Verplicht per 1 januari 2018
• NEN 7510:2017 Deel 1 – Management systeem– De directie moet…– De organisatie moet…
• NEN 7510:2017 Deel 2 – Beheersmaatregelen– Onderwerp
• Beheersmaatregel– Zorgspecifieke beheersmaatregel
• Implementatierichtlijn– Zorgspecifieke implementatierichtlijn– Overige zorgspecifieke informatie
AVG versus NEN 7510
• Wet• Bescherming
persoonsgegevens• Verplichting beveiliging
• Rechtmatige verwerking• Datalekken• FG• -• Verplichting verantwoording
• Afvinkbare lijst• Informatiebeveiliging
• Overzicht beveiligingsmaatregelen
• -• -• -• Organisatie (Managementsysteem)
• Manier verantwoording
AVG en NEN 7510(praktijk)
https://comfort-ia.nl030-7440764
Berend de Vries
Uitbesteding van ICT. Wat is nodig onder de AVG?
• Toepassing met ingebouwde bescherming– Toegangscontrole– Rapportage over gebruikers– Opslag binnen Europa– Garanties over reserve kopieen (controle, terugzetten)– Inzicht in architectuur
(pseudonimisering, database technologie, firewalls etc.)• Verwerkersovereenkomst
– Standaard BOZ en LHV• Procedure Meldplicht Datalekken
Omgaan met leveranciers
• AVG: “Privacy by design and by default”• NEN 7510-2: Beperkte toetsing• Verwerkersovereenkomsten
– Taak voor koepel– Drukmiddel voor bestaande ICT leveranciers
• Nieuwe leveranciers:– Mobile devices and mobile apps– MDM– Certificaten en encryptie– VPN’s en andere beveiligde verbindingen– Outsourcing– Telecom abonnementen, VOIP
Omgaan met leveranciers
• Leveranciers buiten inkoopkanaal om:– Apps op mobile devices
• Vakgerichte apps, handige apps, spelletjes etc.• Google Maps, Apple Maps, Waze etc
– Communicatie• WhatsApp, Skype, WeTransfer• Internet of things: HUE, HomeKit, FitBit
– Diensten op web• Google, FaceBook, LinkedIn, Booking, Ikea etc.• Opslag: Dropbox, Google Drive, OneDrive etc.• Muziek diensten, YouTube
• Wie leest de voorwaarden?
De Functionaris Gegevensbescherming (FG)
• Toezicht op naleving Wbp en AVG• Onafhankelijk• Relatie met AP, staat in register, mag vragen stellen aan AP• Houdt register van verwerkingen bij• Toetst uitvoering Wbp/AVG en rapporteert dat aan de
verantwoordelijke(n)
• Verhoogt bewustzijn, vraagbaak, bemiddelt bij klachten, houdt kennis op peil
• Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG)
Functionaris voor de gegevensbescherming.Is die nodig in uw praktijk?
• Hoe veel persoonsgegevens worden verwerkt?• Is er onafhankelijk toezicht beschikbaar?• Weet u zeker dat u het goed doet?
• Een kleine praktijk hoeft geen FG aan te stellen. • Een grote groepspraktijk wel.• Waar zit u?
Register van verwerkingen
Per verwerking• Omschrijving en categorie gegevens• Informatiesysteem• Verantwoordelijke• Verwerking• Verwerkingsdoeleinden• Verwerkingsgrondslag• Verwerker• Verwerkersovereenkomst• Ontvanger• Logging• Andere relevante informatie
Rechten van betrokkenen
• Toestemming als nodig• Inzage in dossier
– Het hele dossier, behalve persoonlijke aantekeningen• Elektronische kopie van het dossier• Vergetelheid• Voorlichting aan patiënt
– Welke persoonsgegevens en waarom– Noodzaak tot bescherming– Noodzaak toestemming– Met wie wordt waarom uitgewisseld– Aanspreekpunt voor vragen en klachten– Brochure en/of privacystatement op de website, actief op wijzen
Communiceren (1)
• Overdracht– Verwijzing, waarneming, ketenzorg:
samenwerking van verantwoordelijken– Vaak toestemming patiënt nodig
• Beveiliging informatie-uitwisseling– Berichten (WhatsApp e.d.) meestal niet toegestaan– Gewone email is niet toegestaan– Gebruik beveiligde berichten en email diensten– Mailen met patiënt mag meestal niet
• Niet beveiligd• Metadata zijn privacy gevoelig• Verleiding patiënt zich bloot te geven
Communiceren (2)
• Social Media– Artsen en Social Media, Handreiking voor artsen, KNMG– Globale spelers, leven van profilering
• Patiënten portaal– Garantie identiteit betrokkene– Beveiliging portaal– Hackbaarheid dossiers via portaal– Wie is verantwoordelijk voor de gegevens die de patiënt er
bij zet?
Verantwoording.Hoe te verantwoorden aan de toezichthouder?• Register van verwerkingen• Verwerkersovereenkomsten• Aantoonbaarheid toestemmingen (noteren in dossier)• Register van incidenten
– Alle informatie gerelateerde incidenten– Datalekken
• Certificering is (nog) niet nodig• Aantoonbaar bewustzijn verhogen
– Vandaag– IBindeZorg
Aanpak
Toetsen
Leren
Bedenken
Verbeteren
AVG en NEN 7510van theorie naar praktijk
https://comfort-ia.nl030-7440764
Berend de Vries