10/1/18

1

eWZCfin - Informatieveiligheid en gegevensdelingOpleidingsdag 1: Opstellen van een veiligheidsbeleid- en plan, introductie GDPR

Het team dat u zal begeleiden…

2

Bart van BuitenenDocent, GDPR, Informatieveiligheid

bart@whitewire.be

Kenny WillemsDocent, GDPR-implementatie Specialist

kenny.willems@whitewire.be

Support nodig?Privacy Helpdesk

support@privacyhelpdesk.be

Anne JansenCoördinator

planning@whitewire.be

Kernteam

Support

Coach

10/1/18

2

3

Lessenreeks: 3 sessies#1: Beleid + GDPR + informatieveiligheid #3 Omgang met verwerkers & datalekken#2 Verwerkingsregister, DPIA, Kennisgeving

1. Het opmaken van een beleid voor gegevensbescherming en informatieveiligheid

2. Overlopen van de richtsnoeren3. Functionaris vs consulent4. Overlopen van de belangrijkste

principes en definities van informatieveiligheid.

1. Beleid gegevensverwerking2. Nota nemen van

informatieveiligheidsbeleid/plan3. Eerste kennis van de GDPR

Activiteiten

Objectieven

1. Volledig verwerkingsregister2. Proces om verwerkingsregister

up to date te houden3. Toelichting DPIA4. Informatievoorziening en rechten

1. Alle facetten van het omgaan met verwerkers

2. Afsluiten verwerkersovereenkomsten3. Omgaan met datalekken4. Meldingen rond datalekken

1. Begrijpen van het wettelijk kader2. Het opmaken van een register van

verwerkingsactiviteiten3. Begrip rond inhoud en noodzaak van

een DPIA4. Voorbeeld van een DPIA5. Voorzien van informatie: voorbeelden en

inhoud6. Andere rechten van de betrokkene /

patiënt

1. Overlopen verplichtingen verwerkers2. Voorbeeld overeenkomst3. Voorbeelden van datalekken4. Werken rond aanpak datalekken5. Overlopen van verschillende soorten

meldingen en wanneer ze gedaan moeten worden

4

Algemene doelstellingen

ü Een goed begrip krijgen van wat gegevensbescherming en

informatieveiligheid is binnen de context van WZC, CVK en DVC

ü Voorzieningen begeleiden in de ontwikkeling van documenten inzake

gegevensbescherming en informatieveiligheid

ü Het ter beschikking stellen en toelichten van templates

ü Gelegenheid scheppen om hierover vragen te stellen4

10/1/18

3

5

Leerdoelen

5

Kent de voorwaarden voor het verwerken van

gezondheidsgegevens en kan deze aftoetsen

Kan de voorwaarden toepassen i.h.k.v. de nieuwe

financiering

Kan deze verwerkingsvoorwaarden in een breder kader plaatsen,

met name de relevante wetten en regels waaronder GDPR en de gedragscode

uit de sector

Weet hoe de tools te gebruiken en te vertalen naar

de eigen voorziening

Is in staat om de juiste vragen te stellen over genomen maatregelen

Kan een procedure uitschrijven en bewaken voor

beleidsthema’s

Heeft kennis om een bewustwordingssessie in te vullen binnen de voorziening

Kan rollen en verantwoordelijkheden

borgen binnen de voorziening

Praktische afspraken

6

Dagverloop

09u30 – 12u00: Sessie deel 110.30 – 10.40: Korte pauze

12u00 – 13u00: Broodjeslunch14.15 – 14.25: Korte pauze

13u00 – 15u30: Sessie deel 2

Data

Vlaams-Brabant• 26/09• 11/10• 25/10

Limburg• 27/09• 9/10

• 23/10

Oost-Vlaanderen• 28/09• 12/10• 25/10

Antwerpen• 3/10

• 17/10• 31/10

Oostende• 3/10

• 17/10• 31/10

Lesmateriaal online beschikbaar

Het lesmateriaal vindt u terug op

https://www.whitewire.be/templateswachtwoord: whiteWZCwire

Coördinator (afwezigheden, attesten, vragen)

Anne jansen: planning@whitewire.be

10/1/18

4

7

Agenda opleidingsdag 1

Module 1: introductie tot GDPR

Module 2: het veiligheidsbeleid

Module 3: het veiligheidsplan en richtsnoeren informatieveiligheid• Thema 1: identiteits- en toegangsbeheer• Thema 2: bewijsmiddelen therapeutische relatie• Thema 3: logging• Thema 4: omgang met verwerkers

7

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

MODULE 1: INTRODUCTIE TOT DE GDPRBelangrijkste begrippen en basisprincipes.

10/1/18

5

9

10

10/1/18

6

11

12

Het draait rond gegevensbescherming

Toon aan patiënt/medewerker dat je persoonsgegevens correct verwerkt

Transparant

Bedrijfsprocessen om risico’s te beheren: bv. leveranciers &

datalekken beheren

Processen

Sancties indien je de regels niet toepast

Afdwingbaar

GDPR is voor iedereen, onder waakzaam oog DPO

DPO en alle medewerkers

Van kracht op alle organisaties, zonder uitstel

25 mei 2018

Bijkomende rechten voor de betrokkene (beperkte

toepassing in zorg)

Rechten

10/1/18

7

13

Kenny Bewoner Nr. 2018-022 5-2-1987

B.v.B. Klantkaart: 9994

Rijks-Registernr.

IP 10.0.0.1

“De nieuwe collega” Macbook

Schoenmaat 43

Geen blond of ros haar Ternat

Dire

cte

pers

oons

gege

vens

Indi

rect

Persoonsgegevensalle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon ("de betrokkene")

14

Blank Volger van Scientology Hetero

Lid van “de vakbond”

Stemt voor de PS

Operatie aan rug in 2015

Veroordeeldvoor diefstal in

2012

Bezoekt elke week een therapeut

Iris scan

Vingerafdruk DNA informatie

Staat op zwarte lijst

Gevoelige gegevensGevoelig: o.a. ras, gezondheid, politieke opvattingen, godsdienstige

of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, seksuele voorkeuren of gerechtelijk verleden

10/1/18

8

15

Verwerken“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens,

al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen,

ordenen, structureren, opvragen, bijwerken of wijzigen, raadplegen…”

RapporterenOpslag

Sorteer

Bewust uitgebreide definitie:Hoeft niet noodzakelijk in database te zijn opgenomen

Onafhankelijk van de mate waarin wordt verwerkt

Louter raadplegen is ook een vorm van verwerken

Voorbeelden: Verpleegkundige raadpleegt bewonersdossier,

CV’s van kandidaten opslaan, IT leverancier onderhoudt

EBD

16

Samengevat:

GDPR RapporterenOpslag

Sorteer

=+

10/1/18

9

Wanneer mag het? Als…

Je het netjes vraagt = toestemming

Je een overeenkomst hebt = overeenkomst

Je moet voldoen aan een wet = wettelijke plicht

Je probeert iemands leven te redden = vitaal belang

Je een overheidsentiteit bent met bepaalde taken = algemeen belang

Je een hele goede reden hebt = gerechtvaardigd belang

17

RapporterenOpslag

Sorteer

Zorg dat je persoonsgegevens mag verwerken = rechtmatigheid

Je hebt een specifiek doel nodig = doelbinding

Gebruik enkel de gegevens nodig voor dit doel = minimale verwerking

Werk zoveel mogelijk met accurate gegevens = juistheid

Niet langer bewaren dan nodig = opslagbeperking

Verlies de data niet, beperk toegang = integriteit & vertrouwelijkheid

Al de bovenstaande, en noteer wat je doet = verantwoordingplicht

18

= basisbeginselen volgenRapporterenOpslag

Sorteer

10/1/18

10

19

Verwerkings-verantwoordelijke (VWV) Verwerker Ontvanger

Actoren in GDPR

Bepaalt (gezamenlijk) doel en middelen van

de verwerking

Verwerktten behoeve van

de VWV

Ontvangt gegevens maar voert eigen activiteit uit

20

Data Protection Officer (DPO)

Gegevensbeschermings-autoriteit (GBA)

Betrokkene

Actoren in GDPR

“Adviserend, stimulerend, documenterend & controlerend”

De nieuwe Privacycommissie

Persoon waarvan we persoonsgegevens verwerken

10/1/18

11

Het Begrippenkader

van CoC

21

praktische voorbeelden

22

10/1/18

12

GDPR…Ook voor zorginstellingen?

23

GDPR… Ook voor zorginstellingen?

• Ja, hoe klein een organisatie ook is, als ze persoonsgegevens verwerkt om bepaalde doelen te bereiken valt ze onder GDPR.

• Wat niet onder GDPR valt zijn huishoudelijke activiteiten voor eigen gebruik, bv. een persoonlijke adresboekje.

• Referenties• Zie Artikel 2: materieel toepassingsgebied• Zie Artikel 4: definities van verantwoordelijke en verwerker

24

10/1/18

13

Wie is verantwoordelijk?

25

Wie is verantwoordelijk?• Als verwerkende organisatie ben je, alleen of gezamenlijk, een Verantwoordelijke (bepaler van doel

en middelen) of een Verwerker (voert uit in opdracht van de Verantwoordelijke)

• Deze rol is bepaald per doel: je kan dus perfect een Verantwoordelijke zijn voor het sturen van een nieuwsbrief én een verwerker zijn omdat je in opdracht van een andere organisatie de backups van hun databank verzorgt

• Dit is zowel een juridische kwestie (overeenkomst) als een feitelijke (situatie per situatie evalueren)

• De DPO / het DPO team zal hier meer duidelijkheid over moeten scheppen

• Referenties• Zie Art. 24: Verantwoordelijkheid van de verwerkingsverantwoordelijke• Zie Art. 26: Gezamenlijke verantwoordelijkheid• Zie Art. 28: Verwerker• Zie Art. 29: Verwerking onder gezag van verwerkingsverantwoordelijke• Zie: uitgewerkt advies voorbeeld van Bluetrace (DPA NL)

26

10/1/18

14

Mag men binnen een netwerk vrij gegevens delen?

27

Mag men binnen een netwerk vrij gegevens delen?

• Neen, vrij delen van alle gegevens mag niet. De eventuele ontvangers van persoonsgegevens worden bepaald per doel, wanneer dat relevant is om het doel te bereiken.

• Indien er een latere verwerking plaatsvindt, moet deze verenigbaar zijn en in de lijn van verwachtingen liggen van de betrokken persoon.

• Voorbeeld 1: het is perfect logisch dat men bij een zorgactiviteit informatie stuurt naar een andere zorgverstrekker (bv. huisarts) van de patiënt indien die patiënt daar toestemming voor gaf.

• Voorbeeld 2: het mag niet zomaar gebeuren dat e-mailadressen, bestemd voor een nieuwsbrief, worden doorgegeven aan een andere vereniging die een ander doel nastreeft.

28

10/1/18

15

Hoe zit dat dan met papieren gegevens?

29

Hoe zit dat dan met papieren gegevens?

• Het toepassingsgebied van GDPR is niet gelimiteerd tot (semi)-automatische verwerking maar omvat ook verwerkingen in een (papieren) bestand, of gegevens die bedoeld zijn om opgenomen te worden in een bestand.

• Een bestand is omschreven in Artikel 4 als: “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid”

• Voorbeeld: kaft op de kast waar het dossier van elk kind / ouder in staat

• Referenties• Zie Art. 2: Materieel Toepassingsgebied• Zie Art. 4: Definities

30

10/1/18

16

Moeten we straks voor alles toestemming vragen?

31

Moeten we straks voor alles toestemming vragen?• Neen, toestemming is maar één van de 6 mogelijke rechtsgronden:

1. Toestemming2. Overeenkomst (bv. arbeidsovereenkomst)3. Wettelijke verplichting (bv. bijhouden van medisch dossier)4. Algemeen belang (weggelegd voor de overheid)5. Vitaal belang (bv. om een leven te redden)6. Gerechtvaardigd belang

• Indien je ergens toestemming vraagt moet je deze wel nog uitdrukkelijker verzamelen, kunnen aantonen en klaar zijn wanneer deze wordt ingetrokken.

• Referenties• Zie Art. 6: Rechtmatigheid van verwerking

32

10/1/18

17

Iemand belt het secretariaat en vraagt haar gegevens op…

Kan dat zomaar?

33

Iemand belt het secretariaat en vraagt haargegevens op… Kan dat zomaar?• Een betrokkene moet zich steeds kunnen wenden tot de organisatie om zijn / haar rechten te kunnen uitoefenen:

• Recht op informatie

• Recht op inzage, verbeteren, wissen

• Recht op overdraagbaarheid

• Recht op beperking of bezwaar

• Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming / profilering

• Geef een duidelijke en transparante kennisgeving over hoe men dit kan uitoefenen

(bv. kennisgeving via privacy policy op website):

• Wie contacteren?

• Hoe identificeren?

• Eens men uitoefent: zorg voor procedures om dit binnen 1 maand klaar te spelen.

• Referenties: Zie Artikels 12 t.e.m.23

34

10/1/18

18

Passende maatregelen? Wat met Cloud providers?

35

Passende maatregelen? Wat met Cloud providers?• Technische en organisatorische maatregelen zijn steeds een middelenverbintenis:

je probeert zo “passend” mogelijk een risico af te dekken met de juiste maatregelen,maar je kan nooit absolute bescherming garanderen.

• Een organisatie houdt rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s.

• Verwerken in EU is het makkelijkste… anders spreken we over een doorgifte

• Doorgiften kunnen mits voldoende waarborgen:

• Adequacy Decision (adequaatheidsbesluiten)

• Standard contractual clausules of SCC’s (modelovereenkomsten van de EC)

• Binding Corporate Rules (concerns, internationals, …)

• Privacy shield is geldig voor de “Googles en Microsofts van deze wereld”

• Referenties:

• Zie Artikel 32: Beveiliging van de verwerking

• Zie Artikels 44 t.e.m. 50

36

10/1/18

19

HELP?!? Iemand stal net mijn laptop…

Wat nu?

37

HELP?!? Iemand stal net mijn laptop… Wat nu?• Meldingsplicht binnen 72u na ontdekking van een datalek

• De definitie van een datalek is breder dan je denkt: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”

• Belangrijk is om een procedure rond incident beheer klaar te hebben die rekening houdt met:

• Melding mogelijk voor alle collega’s

• DPO tijdig inlichten zodat deze actie kan ondernemen

• Rekening houden met andere zaken die meespelen: bv. communicatie, verzekering, …

• Indien er mogelijke impact is voor de betrokkene(n), moet(en) deze ook gecontacteerd worden.

• Belangrijke quickwin: encrypteer laptops en usb-sticks om datalekken te vermijden

• Referenties:

• Zie Artikel 32: Beveiliging van de verwerking

• Zie Artikels 44 t.e.m. 50

38

10/1/18

20

Wat zijn de richtsnoeren voor financiering?

39

Richtsnoeren

40

Algemeen Specifiek

A. Veiligheidsbeleid

B. DPO

C. Veiligheidsplan

1. Identiteitsbeheer

2. Toegangsbeheer

3. Beheer van therapeutische relatie en toestemming

4. Logging van activiteiten en klantenrecht

5. Overeenkomst met verwerkers (incl. Cloud)

D. Verantwoording

10/1/18

21

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

MODULE 2: HET VEILIGHEIDSBELEIDWat is het, waarom doen we het, hoe ziet het er uit?

Informatieveiligheid / gegevensbescherming

42

10/1/18

22

Informatieveiligheid?

43

Veiligheidsplan

Passende maatregelen

BedrijfsmiddelenInformatie Systeem Persoon Locatie

Kwetsbaarheden/ Bedreigingen

Nulmeting

Bevindingen enrisico’s

DPO

BeleidGB+IV

44

DPO: Wat is deze rol en wanneer aanstellen?

• Data Protection Officer = Functionaris voor gegevensbescherming

• Doel: (mede-)verantwoordelijkheid voor opvolging en uitvoering

gegevensbeschermings- en veiligheidsbeleid.

Wanneer aanstellen volgens GDPR?

A. Verwerking door overheidsinstantie of –orgaan (publieke sector)

B. Hoofdzakelijk belast met verwerkingen die vanwege aard, omvang en/of

doeleinden regelmatige en stelselmatige observatie op grote schaal

vereisen

C. Hoofdzakelijk belast met verwerkingen op grote schaal van bijzondere

categorieën van persoonsgegevens

ü Verplichte maatregel i.h.k.v. financiering

Data Protection Officer (DPO)

“Documentered, Stimulerend, Adviserend, Controlerend”

10/1/18

23

45

Data Protection Officer

Taken en verantwoordelijkheden

• Verantwoordelijke, verwerkers en medewerkers informeren

en adviseren over verplichtingen

• Toezien op naleving – zowel wettelijke bepalingen als beleid

• Omvat ook toewijzing verantwoordelijkheden,

bewustmaking en opleiding personeel en audits

• Advies m.b.t. DPIA en toezien op de uitvoering

• Optreden als contactpunt met GBA + samenwerking

• Rekening houden met risico’s die aan verwerking zijn

verbonden, alsook aard, omvang, context en doelen van

verwerking

Data Protection Officer (DPO)

“Documentered, Stimulerend, Adviserend, Controlerend”

46

Data Protection Officer

Statuut• Ontslagbescherming

• Kan zowel intern als extern zijn

• Mogelijkheid dat 1 DPO optreedt voor meerdere verantwoordelijken of voor organisatie

Kennisniveau

• DPO wordt aangewezen “op grond van zijn professionelekwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzakegegevensbescherming”

• Oftewel: benodigde soft skills, inhoudelijke kennis, ervaring in de praktijk

Data Protection Officer (DPO)

“Documentered, Stimulerend, Adviserend, Controlerend”

10/1/18

24

47

Data Protection Officer

Positie• Onafhankelijke functie

• Gebonden aan geheimhouding

• Rapporteert aan eindverantwoordelijke

• Aanspreekpunt voor betrokkenen, medewerkers en GBA

• Cumulatie met andere taken is mogelijk mits er geen belangenconflict ontstaat• Niet: HR manager, verantwoordelijke IT, directeur

• Ondersteun uw DPO (toegang, middelen)

• Betrek hem tijdig en naar behoren

Data Protection Officer (DPO)

“Documentered, Stimulerend, Adviserend, Controlerend”

48

Data Protection Officer aanmelden

GBA of VTC?• Organisaties die aanzien worden als een Vlaamse

bestuursinstantie moeten aanmelden bij VTC• Officieel: alle instanties die worden beschouwd als een

bestuursinstantie in de zin van het openbaarheidsdecreet• Bv.: zorgbedrijven, WZC in de schoot van OCMW (gemeente na

inkanteling)

• Alle andere: aanmelden bij GBA

Data Protection Officer (DPO)

“Documentered, Stimulerend, Adviserend, Controlerend”

10/1/18

25

49

OPGELET: veiligheidsconsulent is nu DPO

Concreet à De term “veiligheidsconsulent” bestaat niet meer en moet opnieuw aangemeld worden als een DPO!

Meer informatie

• Besluit Vlaamse Regering: https://www.vlaanderen.be/nl/nbwa-news-message-document/document/090135578024594b

• Nota Vlaamse regering bij besluit: https://www.vlaanderen.be/nl/nbwa-news-message-document/document/090135578024594a

• Aangepaste KSZ wet op 10/09/2018:http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&table_name=wet&cn=1990011531

• Conformiteitsverklaring RR spreekt over aanstelling DPO (functionaris gegevensbescherliung: https://www.ehealth.fgov.be/ehealthplatform/file/view/AWWKFhEAkOz9DrMX5-UD?filename=2018-E-052%20-%20Conformiteitsverklaring-rr_nl.docx

• eHealth wet spreekt sinds 10/09/2018 over DPO ipv VC: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&table_name=wet&cn=2008082153

50

DPO aanmelden GBA

• Handleiding

Stap 1: Klik op “DPO aanmelden”

Stap 2: Download het PDF formulier en valideer

Opgelet: het werkt enkel met Adobe

Reader!

Stap 3: Onderteken met eID en upload naar portaal

* Momentopname: september 2018

10/1/18

26

51

DPO aanmelden VTC:

Instructie op website VTC (http://vtc.corve.be/infoveiligheid.php)• meldingen van DPO's van Vlaamse instanties via een mail of brief van de leidend

ambtenaar met vermelding van de datum van de beslissing tot aanstelling (het collegebesluit voor de steden en gemeenten) en contactinformatie van de DPO

• Naar toezichtcommissie@vlaanderen.be met als onderwerp: 'aanmelding DPO -naam instantie’

• Indien er voordien ook al een aanmelding gebeurde bij de GBA, volstaat het om datformulier naar het VTC door te zenden.

* Momentopname: september 2018

52

Gedragscode document: functieomschrijving

10/1/18

27

53

Gedragscode document: modelafspraken

54

Beleid gegevensbescherming én informatieveiligheid

Inleiding1

Belang van informatieveiligheid2

Toepassingsgebeid van het beleid3

4De organisatie van gegevensbescherming en informatieveiligheid

Beleidsdoelstellingengegevensbescherming5

Beleidsdoelstellingeninformatieveiligheid6

Inhoudsopgave

Deze tekst is goed te keuren door de directie, en wordt onder meer

ook gebruikt om te gebruiken bij de algemene communicatie, bv.:

• Communicatie met het personeel

• Communicatie met leveranciers

• Algemeen: kan publiek gemaakt worden

Opgelet: deze tekst gaat uit van

gegevensbescherming én informatieveiligheid

10/1/18

28

55

Doorlopen van beleidstekst

Zie apart document

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

MODULE 3: HET VEILIGHEIDSPLANWat is het, waarom doen we het, hoe ziet het er uit?

10/1/18

29

57

Vakjargon

MAATREGELEN (“measure”) beschermen, geheel of gedeeltelijk, het BEDRIJFSMIDDEL.

Het risico dat overblijft is het RESTRISICO .

Je kan risico’s op 4 manieren behandelen: accepteren, beperken, uitsluiten of overdragen

Bedreiging X kans X impact = Risico

Een BEDREIGING buit

een KWETSBAARHEID uit

KANS bepaalt de waarschijnlijkheid dat de bedreiging zich zal voordoen

IMPACT illustreert de gevolgen

RISICO is kwantitatief uitgedrukt

58

Op basis van schalen

Waarschijnlijkheid Kans

Voldoende (bestaande) compenserende maatregelen

1

Mogelijk maar samenzwering nodig / diepgaande interne kennis met toegangsrechten nodig / gebrek aan kwaliteitscontrole

2

Is al vele malen voorgevallen / kan anoniem van buitenaf gebeuren

3

Zeer lucratief 4

Zorgproces Impact

Enkel invloed op de perceptie van de zorgkwaliteit

1

Enkel tijdelijke invloed op de zorgtoestand van de bewoner

2

Enkel tijdelijke invloed op de zorgtoestand van een groep bewoners

3

Blijvende invloed op de zorgtoestand van een bewoner

4

Blijvende invloed op de zorgtoestand van een groep bewoners

5

Levensbedreigend voor minstens 1 bewoner

6

Overlijden van minstens 1 bewoner7

Bv. impact op het zorgproces, reputatie, financieel, beschikbaarheid, naleving van wetgeving

10/1/18

30

59

Meting a.d.h.v. parameters

Bedreiging X kans X impact = Risico

60

Vereenvoudigde aanpak

Bedreiging X kans X impact = Risico

10/1/18

31

61

Voorbeeld: men sluit nooit de achterdeur van de voorziening…

Element Voorbeeld

Kwetsbaarheid Achterdeur wordt nooit geslotenBedreigingen? - Onrechtmatige toegang

- Diefstal- Bewoners dwalen naar buiten

Kans - Hoog? Medium? Laag?Impact - Hoog? Medium? Laag?RisicoAanpak - Accepteren?

- Beperken?- Overdragen?- Uitsluiten?

Rest-risico?

Veiligheidsplan

62

Veiligheidsplan

Passende maatregelen

BedrijfsmiddelenInformatie Systeem Persoon Locatie

Kwetsbaarheden/ Bedreigingen

Nulmeting

Bevindingen enrisico’s

DPO

BeleidGB+IV

• Na een nulmeting

• observaties

• risico’s

• aanbeveling van beheersmaatregelen

• prioritering

• Doel: verbeteracties formuleren enuitvoeren

• Periode: 3 jaar (elke jaar herziening)

• Spiegeling aan standaard richtlijnen (GBA, richtsnoeren informatieveiligheid) àmaturiteit

10/1/18

32

63

Voorbeeld van een veiligheidsplan

Zie apart document

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OVERZICHT VAN RICHTSNOERENEen overzicht van de algemene en specifieke vereisten i.h.k.v. de financiering

10/1/18

33

65

Overzicht

• Tegen 01/01/2019 zal iedere voorziening via een e-loket een verklaring op eer moeten aangaan.

• Opgelet: Compliant met voorwaarden tegen 31/12/2018 !!

• Opgelet: Vergeet ook uw eHealth certificaat niet: digitaal verloop !! (meer informatie hier)

• Verklaring op eer gaat over de algemene en specifieke richtsnoeren:

A. Veiligheidsbeleid

B. DPO

C. Veiligheidsplan

1. Identiteitsbeheer

2. Toegangsbeheer

3. Beheer van therapeutische relatie en toestemming4. Logging van activiteiten en klantenrecht5. Overeenkomst met verwerkers (incl. Cloud)

D. Verantwoording

Algemeen Specifiek

66

E-Loket (mock-up)

Kenny

Vinkje

10/1/18

34

67

A. Veiligheidsbeleid

Voorwaarde Toelichting Na te leven normAlgemene voorwaarde: veiligheidsbeleid

Een beleidstekst waarin de uitgangspunten van het veiligheidsbeleid, inclusief de verantwoordelijkheden en taken worden toegelicht.

Een veiligheidsbeleid dat veiligheidsmaatregelen omkadert en verantwoordelijkheden aanduidt.

68

B. DPO

Voorwaarde Toelichting Na te leven norm

Algemene voorwaarde: toezicht door functionaris voor gegevensbescherming

De functionaris voor gegevensbescherming bewaakt de toepassing van de onderhavige richtsnoeren.

De verwerkingsactiviteiten staan onder toezicht van de functionaris voor gegevensbescherming.

10/1/18

35

69

C. VeiligheidsplanVoorwaarde Toelichting Na te leven norm

Algemene voorwaarde: veiligheidsplan

Een op een risicoanalyse gebaseerd veiligheidsplan waarin te implementeren maatregelen om risico’s in te perkenin een plan van aanpak worden uitgezet.

Elke organisatie heeft risico’s inzake informatieveiligheid in kaart gebracht.

70

D. Verantwoording

Voorwaarde Toelichting Na te leven norm

Algemene voorwaarde: voldoen aan nalevingsvoorwaarden

De organisatie kan zich steeds verantwoorden voor de naleving van de veiligheidsvoorwaarden en neemt maatregelen wanneer er inbreuken of incidenten plaatsvinden.

Voorzien in een procedure voor inbreuken bij verwerkingsactiviteiten of in het kader van de naleving van veiligheidsvoorwaarden.

10/1/18

36

71

1. Identiteitsbeheer

Toelichting Na te leven normStemt de digitale en de burgerlijke identiteit van de medewerker (natuurlijke persoon) van de Dienst overeen, of met andere woorden: is hij/zij de persoon die hij/zij beweert te zijn?

Een procedure voor identiteitsbeheer en de implementatie van de nodige maatregelen om deze af te dwingen, waaronder zowel technische als organisatorische maatregelen zoals bewustwording bij de gebruikers.

De procedure heeft als doel de levensloop van de digitale identiteit te koppelen aan de bewegingen binnen de organisatie (instroom, doorstroom en uitstroom van medewerkers).

Deze procedure wordt ondersteund door een risicoanalyse en bevat maatregelen om deze risico’s te beperken.

72

2. Toegangsbeheer

Toelichting Na te leven normBewaakt dat iedere medewerker de beoogde bewerking met persoonsgegevens mag uitvoeren (consulteren, wijzigen, bijwerken).

Een procedure die het opstellen en onderhouden van een takenmatrix, alsook de naleving hiervan bij het toewijzen van de taken, garandeert.

Maatregelen worden genomen om misbruik, gewild of ongewild, te voorkomen, waaronder toezicht.

10/1/18

37

73

3. Relatie met betrokkene

Toelichting Na te leven normEen aantoonbare ‘overeenkomst’, zoals een cliëntenrelatie of zorg-/therapeutische relatie, die het verwerken van de gegevens van de betrokkene rechtvaardigt. In deze overeenkomst is het tevens duidelijk op welke manier de betrokkene rechten kan uitoefenen inzake verwerking van persoonsgegevens en de bijhorende procedures.

Een procedure die toelicht welke stappen er nodig zijn om aan de voorwaarden te voldoen voor het verkrijgen van een geldige relatie met de betrokkene en garanties biedt dat deze relatie correct wordt opgevolgd (bijvoorbeeld het beëindigen van de relatie moet correct worden opgevolgd).

Deze garanties kunnen bestaan uit technische en organisatorische maatregelen, waaronder bewustwording.

74

4. Logging

Toelichting Na te leven normElke handeling van elke medewerker moet opgespoord en verantwoord kunnen worden.

Een procedure die instructies geeft over de wijze van logging en de systematische controle van de logging met het oog op kwaliteitsgaranties.

10/1/18

38

75

5. Omgang medewerkers/leveranciers

Toelichting Na te leven normAfdwingen dat personeelsleden en leveranciers de nodige technische en organisatorische maatregelen in acht nemen bij het uitvoeren van verwerkingsactiviteiten.

Voor personeelsleden:

• bewustwordingssessies en afspraken.

Voor leveranciers: • een procedure voor het afsluiten en onderhouden van

een contract, inclusief een beheer van alle operationele verplichtingen.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

IDENTITEITS- EN TOEGANGSBEHEERThema 1: Een antwoord op de vraag “wie” toegang heeft tot gezondheidsgegevens en tot welke type van gegevens

10/1/18

39

1. Identiteitsbeheer

Modeltekst Todo

Hoe krijgt een gebruiker zijn/haar identiteit toegewezen?

Hoe worden de bijhorende bewijzen aangeleverd?• wachtwoord• een toestel van de zorgvoorziening

Zijn er “verstrengde” bewijzen noodzakelijk• toegang tot gegevens in het woonzorgcentrum• toegang tot gegevens buiten het woonzorgcentrum (bv. extra code)

Wordt een identiteit gekoppeld aan een hoedanigheid?

Hoe wordt een identiteit tijdelijk / permanent uitgeschakeld?

Kan een identiteit worden overgenomen?

Doelstelling

1. Identiteitsbeheer

10/1/18

40

Modeltekst Todo

Overlopen van voorbeeldtekst van White Wire

Modeltekst

1. Identiteitsbeheer

Doelstelling

Modeltekst Todo

Valideren beleid identiteitenbeheer directie

Procedure voor beheer van identiteitenin het veiligheidsbeleid (algemene principes)in een operationele procedure

Todo

1. Identiteitsbeheer

Modeltekst

10/1/18

41

2. Toegangsbeheer

Minimum aan priviliges, beperkt tot het uitvoeren van de functie

82

MijnToegang

Rechten

PopulatieTherapeutische relatie

Toegangsbeleid

10/1/18

42

Toegangsmatrix: voorbeeld

83

Toegang tot EBD

Rol

B

GebruikerGroep

C

Medewerker AD Account

A

Automatisch

Hoofdverpleegkundige

Bepaald in matrix

Bewaakt doorIedere medewerkerontvangt een AD-account

Functie àEBD-Rol

Dienst à groep

Toegangsmatrix: voorbeeld

84

10/1/18

43

Modeltekst Todo

Bepalen wie (rol) toegang krijgt tot een informatieobject (toegangsmatrix)

Wie is verantwoordelijk voor de matrix? (verantwoordelijke)

Wie past de matrix toe? (beheerder)

Wat is de validatieprocedure bij wijzigingen? (levenscyclus: opgelet met cumulatie van rollen)

Doelstelling

2. Toegangsbeheer

Modeltekst Todo

Overlopen van voorbeeldtekst van White Wire

Modeltekst

2. Toegangsbeheer

Doelstelling

10/1/18

44

Modeltekst Todo

Beleid voor toegangsbeheer

Procedure voor beheer van rollenin het veiligheidsbeleid (algemene principes)in een operationele procedure

Neem ook geprivilegieerde rollen mee in beeld!

Todo

2. Toegangsbeheer

Modeltekst

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

THERAPEUTISCHE RELATIE EN TOESTEMMINGThema 2: Beheer van therapeutische relatie en geïnformeerde toestemming

10/1/18

45

89

90

Modeltekst Todo

Beperking in de regelgeving voor het verwerken van gezondheidsgegevens:• Is in principe verboden, tenzij er een geldige toelaatbaarheidsgrond is o.a.

• preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene

• extra voorwaarde: onder toezicht beroepsbeoefenaar in de gezondheidszorg • indien de betrokkene zijn schriftelijke toestemming heeft verleend • verdediging van vitale belangen van de betrokkene

In een aantal van gevallen zal de toelaatbaarheidsgrond het bestaan van een bijzondere relatie tussen de verantwoordelijke van de verwerking en de betrokkene vereisen, meer bepaald de relatie in het kader van de verstrekking van de (al dan niet medische) zorgen à therapeutische relatie

Doelstelling

3. Therapeutische relatie en toestemming

10/1/18

46

91

Bewijsmiddelen therapeutische relatie?

• Algemeen• eID bij toedienen zorgen,

al dan niet met PIN

• Niet altijd werkbaar, dus:• niet-specifieke gegevensbank

• bv. bewonersdossier• specifieke gegevensbanken

• bv. therapeutische link, patient consent

• Ziekenhuis• inschrijving• eID kaart inlezen

• Huisarts buiten ziekenhuis• GMD houder• lezen eID• zorgtraject

• WZC• registratie bewoner • bewonerdossier• inlezen eID

92

Modeltekst Todo

Overlopen van voorbeeldtekst van White Wire

Modeltekst

3. Therapeutische relatie en toestemming

Doelstelling

10/1/18

47

93

Modeltekst Todo

Beleid voor Therapeutische relatie en toestemming

Procedure voor Therapeutische relatie en toestemmingin het veiligheidsbeleid (algemene principes)in een operationele procedure

Todo

3. Therapeutische relatie en toestemming

Modeltekst

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

LOGGINGThema 3: Wie heeft welke actie uitgevoerd?

10/1/18

48

95

Modeltekst Todo

Beleid: algemene principes vastleggen voor logging binnen de voorziening

Een concrete procedure (uniek per voorziening) geeft een antwoord op:

• Waar staat de logging?

• Wat wordt gelogd?

• Hoe lang worden deze logs bewaard?

• Hoe zijn deze beschermd (ICT)?

• Wie controleert de logging en op welke manier?

• Wat zijn eventuele sancties bij anomalieën?

• Inzage in de logging door de zorgvrager?

Doelstelling

4. Logging

96

Modeltekst Todo

Overlopen van voorbeeldtekst van White Wire

Modeltekst

4. Logging

Doelstelling

10/1/18

49

97

Modeltekst Todo

• Procedure voor beheer logging

• In het veiligheidsbeleid (algemene principes)

• in een operationele procedure

• Inzage in / controle op de logging en sancties in het arbeidsreglement of ander beleid

Todo

4. Logging

Modeltekst

98

Logs kunnen veel aantonen…

Verpleger KENNY van dienst DEMENTIE logde aan op een BOEKHOUDKUNDIGE toepassing van BUITEN het network van WZC, op een

dag waarop hij NIET INGEPLAND was om te komen werken.

10/1/18

50

99

Minimum vereisten

• Antwoord op WIE, WANNEER, WAT, HOE om het gebruik van persoonsgegevens te rechtvaardigen

• Aandachtspunt voor software: functie voor logging moet voorzien zijn

• De volgende gegevens moeten op zijn minst worden geregistreerd:

• de datum en het uur van de transactie,

• de identificatie van de gebruiker,

• de identificatie van de transactie,

• de identificatie van het onderwerp van het verzoek,

• de beschrijving van de uitgevoerde bewerking (aanmaak, wijziging, raadpleging, opzoeking, lijst, ...).

• Denk ook aan andere modules, onderdelen: rapportering, queries, zoekopdrachten, …

100

Voorbeelden logging: testscenario’s

10/1/18

51

101

Opgelet: Loggen op zich is ook een verwerking!

• Werknemers moeten geen toestemming geven voor deze verwerking

(gerechtvaardigd belang), maar moeten wel op de hoogte zijn!

• Opties:

• verwerking in arbeidsreglement, link naar mogelijke sancties

• apart beleid dat aantoonbaar gekend moet zijn bij medewerkers,

ook daar link naar mogelijke sancties

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

OVEREENKOMST MET VERWERKERS & CLOUDThema 4: een juiste overeenkomst met de providers van cloud diensten

10/1/18

52

103

Modeltekst Todo

• Afspraken over wat er met de persoonsgegevens mag gebeuren

• Afspraken over de te nemen technische en organisatorische maatregelen

• Specifieke aandacht voor cloud leveranciers

• Nadrukkelijke aandacht voor omgang met verwerkers in sessie 3!

Doelstelling

5. Omgang met verwerkers & cloud

104

Modeltekst Todo

Verwerkersovereenkomst sjabloon komt aan bod in sessie 3

Modeltekst

5. Omgang met verwerkers & cloud

Doelstelling

10/1/18

53

105

Modeltekst Todo

• Opstellen van een verwerkersovereenkomst

• Modellen Zorgnet Icuro (op website, ook voor niet-leden beschikbaar)

• Opstellen van een afsprakennota informatieveiligheid

• SMALS cloud tool kan verder ondersteunen in validatie veilige tools

Todo

5. Omgang met verwerkers & cloud

Modeltekst

Opdrachten sessie #1

106

Taak Status OPMBeleidstekst

Pas het sjabloon aan naar context van uw voorziening

Bereid een nota voor en beleg slot op het volgende directiecomité

Organiseer een bewustwordingsessie en stel het beleid voor

DPO

Indien dit nog niet gebeurd is: duid een kandidaat aan Houdt rekening met vereisten zoals positie en tijd

Meld de DPO aan bij de GBA via het formulier Via www.gegevensbeschermingsautoriteit.be

Richt een stuurgroep op en bepaal de frequentie van bijeenkomsten Mag een bestaande werkgroep zijn

Risico analyse

Plan een risico-analyse informatieveiligheid Intern / extern

Ontwerp een veiligheidsplan en start een praktische opvolging

4x beleidsteksten (identiteit, toegang, zorgrelatie en logging)

Valideer inhoudelijk, laten goedkeuren en toepassen

Van zodra voldaan is aan de richtsnoeren:

Verklaar op eer dat aan de voorwaarden voldaan is via het e-loket

10/1/18

54

Opdrachten sessie #1

107

Taak Status OPMLeveranciersSluit een verwerkersovereenkomst af met leveranciers Zie ook volgende sessies

CertificaatIndien dit nog niet gebeurd is: vraag eHealth certificaat aan

Links - Lectuur

• https://www.gegevensbeschermingsautoriteit.be

• https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving

• AVG Index http://www.privacy-regulation.eu/nl

• Codex AVG http://www.politeia.be/nl-be/book/codex-algemene-verordening-gegevensbescherming/10401.htm

• Handbook on European Data Protection Lawhttp://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law

108

10/1/18

55

Vragenronde

109P.S: Vragen over de zorgkastoepassing?financieringouderenzorg@zorg-en-gezondheid.be