ewzcfin-informatieveiligheidengegevensdeling · 3.omgaan met datalekken 4.meldingen rond datalekken...
TRANSCRIPT
10/1/18
1
eWZCfin - Informatieveiligheid en gegevensdelingOpleidingsdag 1: Opstellen van een veiligheidsbeleid- en plan, introductie GDPR
Het team dat u zal begeleiden…
2
Bart van BuitenenDocent, GDPR, Informatieveiligheid
Kenny WillemsDocent, GDPR-implementatie Specialist
Support nodig?Privacy Helpdesk
Anne JansenCoördinator
Kernteam
Support
Coach
10/1/18
2
3
Lessenreeks: 3 sessies#1: Beleid + GDPR + informatieveiligheid #3 Omgang met verwerkers & datalekken#2 Verwerkingsregister, DPIA, Kennisgeving
1. Het opmaken van een beleid voor gegevensbescherming en informatieveiligheid
2. Overlopen van de richtsnoeren3. Functionaris vs consulent4. Overlopen van de belangrijkste
principes en definities van informatieveiligheid.
1. Beleid gegevensverwerking2. Nota nemen van
informatieveiligheidsbeleid/plan3. Eerste kennis van de GDPR
Activiteiten
Objectieven
1. Volledig verwerkingsregister2. Proces om verwerkingsregister
up to date te houden3. Toelichting DPIA4. Informatievoorziening en rechten
1. Alle facetten van het omgaan met verwerkers
2. Afsluiten verwerkersovereenkomsten3. Omgaan met datalekken4. Meldingen rond datalekken
1. Begrijpen van het wettelijk kader2. Het opmaken van een register van
verwerkingsactiviteiten3. Begrip rond inhoud en noodzaak van
een DPIA4. Voorbeeld van een DPIA5. Voorzien van informatie: voorbeelden en
inhoud6. Andere rechten van de betrokkene /
patiënt
1. Overlopen verplichtingen verwerkers2. Voorbeeld overeenkomst3. Voorbeelden van datalekken4. Werken rond aanpak datalekken5. Overlopen van verschillende soorten
meldingen en wanneer ze gedaan moeten worden
4
Algemene doelstellingen
ü Een goed begrip krijgen van wat gegevensbescherming en
informatieveiligheid is binnen de context van WZC, CVK en DVC
ü Voorzieningen begeleiden in de ontwikkeling van documenten inzake
gegevensbescherming en informatieveiligheid
ü Het ter beschikking stellen en toelichten van templates
ü Gelegenheid scheppen om hierover vragen te stellen4
10/1/18
3
5
Leerdoelen
5
Kent de voorwaarden voor het verwerken van
gezondheidsgegevens en kan deze aftoetsen
Kan de voorwaarden toepassen i.h.k.v. de nieuwe
financiering
Kan deze verwerkingsvoorwaarden in een breder kader plaatsen,
met name de relevante wetten en regels waaronder GDPR en de gedragscode
uit de sector
Weet hoe de tools te gebruiken en te vertalen naar
de eigen voorziening
Is in staat om de juiste vragen te stellen over genomen maatregelen
Kan een procedure uitschrijven en bewaken voor
beleidsthema’s
Heeft kennis om een bewustwordingssessie in te vullen binnen de voorziening
Kan rollen en verantwoordelijkheden
borgen binnen de voorziening
Praktische afspraken
6
Dagverloop
09u30 – 12u00: Sessie deel 110.30 – 10.40: Korte pauze
12u00 – 13u00: Broodjeslunch14.15 – 14.25: Korte pauze
13u00 – 15u30: Sessie deel 2
Data
Vlaams-Brabant• 26/09• 11/10• 25/10
Limburg• 27/09• 9/10
• 23/10
Oost-Vlaanderen• 28/09• 12/10• 25/10
Antwerpen• 3/10
• 17/10• 31/10
Oostende• 3/10
• 17/10• 31/10
Lesmateriaal online beschikbaar
Het lesmateriaal vindt u terug op
https://www.whitewire.be/templateswachtwoord: whiteWZCwire
Coördinator (afwezigheden, attesten, vragen)
Anne jansen: [email protected]
10/1/18
4
7
Agenda opleidingsdag 1
Module 1: introductie tot GDPR
Module 2: het veiligheidsbeleid
Module 3: het veiligheidsplan en richtsnoeren informatieveiligheid• Thema 1: identiteits- en toegangsbeheer• Thema 2: bewijsmiddelen therapeutische relatie• Thema 3: logging• Thema 4: omgang met verwerkers
7
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
MODULE 1: INTRODUCTIE TOT DE GDPRBelangrijkste begrippen en basisprincipes.
10/1/18
5
9
10
10/1/18
6
11
12
Het draait rond gegevensbescherming
Toon aan patiënt/medewerker dat je persoonsgegevens correct verwerkt
Transparant
Bedrijfsprocessen om risico’s te beheren: bv. leveranciers &
datalekken beheren
Processen
Sancties indien je de regels niet toepast
Afdwingbaar
GDPR is voor iedereen, onder waakzaam oog DPO
DPO en alle medewerkers
Van kracht op alle organisaties, zonder uitstel
25 mei 2018
Bijkomende rechten voor de betrokkene (beperkte
toepassing in zorg)
Rechten
10/1/18
7
13
Kenny Bewoner Nr. 2018-022 5-2-1987
B.v.B. Klantkaart: 9994
Rijks-Registernr.
IP 10.0.0.1
“De nieuwe collega” Macbook
Schoenmaat 43
Geen blond of ros haar Ternat
Dire
cte
pers
oons
gege
vens
Indi
rect
Persoonsgegevensalle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon ("de betrokkene")
14
Blank Volger van Scientology Hetero
Lid van “de vakbond”
Stemt voor de PS
Operatie aan rug in 2015
Veroordeeldvoor diefstal in
2012
Bezoekt elke week een therapeut
Iris scan
Vingerafdruk DNA informatie
Staat op zwarte lijst
Gevoelige gegevensGevoelig: o.a. ras, gezondheid, politieke opvattingen, godsdienstige
of levensbeschouwelijke overtuigingen, lidmaatschap van een vakvereniging, seksuele voorkeuren of gerechtelijk verleden
10/1/18
8
15
Verwerken“een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens,
al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen,
ordenen, structureren, opvragen, bijwerken of wijzigen, raadplegen…”
RapporterenOpslag
Sorteer
Bewust uitgebreide definitie:Hoeft niet noodzakelijk in database te zijn opgenomen
Onafhankelijk van de mate waarin wordt verwerkt
Louter raadplegen is ook een vorm van verwerken
Voorbeelden: Verpleegkundige raadpleegt bewonersdossier,
CV’s van kandidaten opslaan, IT leverancier onderhoudt
EBD
16
Samengevat:
GDPR RapporterenOpslag
Sorteer
=+
10/1/18
9
Wanneer mag het? Als…
Je het netjes vraagt = toestemming
Je een overeenkomst hebt = overeenkomst
Je moet voldoen aan een wet = wettelijke plicht
Je probeert iemands leven te redden = vitaal belang
Je een overheidsentiteit bent met bepaalde taken = algemeen belang
Je een hele goede reden hebt = gerechtvaardigd belang
17
RapporterenOpslag
Sorteer
Zorg dat je persoonsgegevens mag verwerken = rechtmatigheid
Je hebt een specifiek doel nodig = doelbinding
Gebruik enkel de gegevens nodig voor dit doel = minimale verwerking
Werk zoveel mogelijk met accurate gegevens = juistheid
Niet langer bewaren dan nodig = opslagbeperking
Verlies de data niet, beperk toegang = integriteit & vertrouwelijkheid
Al de bovenstaande, en noteer wat je doet = verantwoordingplicht
18
= basisbeginselen volgenRapporterenOpslag
Sorteer
10/1/18
10
19
Verwerkings-verantwoordelijke (VWV) Verwerker Ontvanger
Actoren in GDPR
Bepaalt (gezamenlijk) doel en middelen van
de verwerking
Verwerktten behoeve van
de VWV
Ontvangt gegevens maar voert eigen activiteit uit
20
Data Protection Officer (DPO)
Gegevensbeschermings-autoriteit (GBA)
Betrokkene
Actoren in GDPR
“Adviserend, stimulerend, documenterend & controlerend”
De nieuwe Privacycommissie
Persoon waarvan we persoonsgegevens verwerken
10/1/18
11
Het Begrippenkader
van CoC
21
praktische voorbeelden
22
10/1/18
12
GDPR…Ook voor zorginstellingen?
23
GDPR… Ook voor zorginstellingen?
• Ja, hoe klein een organisatie ook is, als ze persoonsgegevens verwerkt om bepaalde doelen te bereiken valt ze onder GDPR.
• Wat niet onder GDPR valt zijn huishoudelijke activiteiten voor eigen gebruik, bv. een persoonlijke adresboekje.
• Referenties• Zie Artikel 2: materieel toepassingsgebied• Zie Artikel 4: definities van verantwoordelijke en verwerker
24
10/1/18
13
Wie is verantwoordelijk?
25
Wie is verantwoordelijk?• Als verwerkende organisatie ben je, alleen of gezamenlijk, een Verantwoordelijke (bepaler van doel
en middelen) of een Verwerker (voert uit in opdracht van de Verantwoordelijke)
• Deze rol is bepaald per doel: je kan dus perfect een Verantwoordelijke zijn voor het sturen van een nieuwsbrief én een verwerker zijn omdat je in opdracht van een andere organisatie de backups van hun databank verzorgt
• Dit is zowel een juridische kwestie (overeenkomst) als een feitelijke (situatie per situatie evalueren)
• De DPO / het DPO team zal hier meer duidelijkheid over moeten scheppen
• Referenties• Zie Art. 24: Verantwoordelijkheid van de verwerkingsverantwoordelijke• Zie Art. 26: Gezamenlijke verantwoordelijkheid• Zie Art. 28: Verwerker• Zie Art. 29: Verwerking onder gezag van verwerkingsverantwoordelijke• Zie: uitgewerkt advies voorbeeld van Bluetrace (DPA NL)
26
10/1/18
14
Mag men binnen een netwerk vrij gegevens delen?
27
Mag men binnen een netwerk vrij gegevens delen?
• Neen, vrij delen van alle gegevens mag niet. De eventuele ontvangers van persoonsgegevens worden bepaald per doel, wanneer dat relevant is om het doel te bereiken.
• Indien er een latere verwerking plaatsvindt, moet deze verenigbaar zijn en in de lijn van verwachtingen liggen van de betrokken persoon.
• Voorbeeld 1: het is perfect logisch dat men bij een zorgactiviteit informatie stuurt naar een andere zorgverstrekker (bv. huisarts) van de patiënt indien die patiënt daar toestemming voor gaf.
• Voorbeeld 2: het mag niet zomaar gebeuren dat e-mailadressen, bestemd voor een nieuwsbrief, worden doorgegeven aan een andere vereniging die een ander doel nastreeft.
28
10/1/18
15
Hoe zit dat dan met papieren gegevens?
29
Hoe zit dat dan met papieren gegevens?
• Het toepassingsgebied van GDPR is niet gelimiteerd tot (semi)-automatische verwerking maar omvat ook verwerkingen in een (papieren) bestand, of gegevens die bedoeld zijn om opgenomen te worden in een bestand.
• Een bestand is omschreven in Artikel 4 als: “elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid”
• Voorbeeld: kaft op de kast waar het dossier van elk kind / ouder in staat
• Referenties• Zie Art. 2: Materieel Toepassingsgebied• Zie Art. 4: Definities
30
10/1/18
16
Moeten we straks voor alles toestemming vragen?
31
Moeten we straks voor alles toestemming vragen?• Neen, toestemming is maar één van de 6 mogelijke rechtsgronden:
1. Toestemming2. Overeenkomst (bv. arbeidsovereenkomst)3. Wettelijke verplichting (bv. bijhouden van medisch dossier)4. Algemeen belang (weggelegd voor de overheid)5. Vitaal belang (bv. om een leven te redden)6. Gerechtvaardigd belang
• Indien je ergens toestemming vraagt moet je deze wel nog uitdrukkelijker verzamelen, kunnen aantonen en klaar zijn wanneer deze wordt ingetrokken.
• Referenties• Zie Art. 6: Rechtmatigheid van verwerking
32
10/1/18
17
Iemand belt het secretariaat en vraagt haar gegevens op…
Kan dat zomaar?
33
Iemand belt het secretariaat en vraagt haargegevens op… Kan dat zomaar?• Een betrokkene moet zich steeds kunnen wenden tot de organisatie om zijn / haar rechten te kunnen uitoefenen:
• Recht op informatie
• Recht op inzage, verbeteren, wissen
• Recht op overdraagbaarheid
• Recht op beperking of bezwaar
• Recht om niet onderworpen te worden aan geautomatiseerde besluitvorming / profilering
• Geef een duidelijke en transparante kennisgeving over hoe men dit kan uitoefenen
(bv. kennisgeving via privacy policy op website):
• Wie contacteren?
• Hoe identificeren?
• Eens men uitoefent: zorg voor procedures om dit binnen 1 maand klaar te spelen.
• Referenties: Zie Artikels 12 t.e.m.23
34
10/1/18
18
Passende maatregelen? Wat met Cloud providers?
35
Passende maatregelen? Wat met Cloud providers?• Technische en organisatorische maatregelen zijn steeds een middelenverbintenis:
je probeert zo “passend” mogelijk een risico af te dekken met de juiste maatregelen,maar je kan nooit absolute bescherming garanderen.
• Een organisatie houdt rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s.
• Verwerken in EU is het makkelijkste… anders spreken we over een doorgifte
• Doorgiften kunnen mits voldoende waarborgen:
• Adequacy Decision (adequaatheidsbesluiten)
• Standard contractual clausules of SCC’s (modelovereenkomsten van de EC)
• Binding Corporate Rules (concerns, internationals, …)
• Privacy shield is geldig voor de “Googles en Microsofts van deze wereld”
• Referenties:
• Zie Artikel 32: Beveiliging van de verwerking
• Zie Artikels 44 t.e.m. 50
36
10/1/18
19
HELP?!? Iemand stal net mijn laptop…
Wat nu?
37
HELP?!? Iemand stal net mijn laptop… Wat nu?• Meldingsplicht binnen 72u na ontdekking van een datalek
• De definitie van een datalek is breder dan je denkt: “Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”
• Belangrijk is om een procedure rond incident beheer klaar te hebben die rekening houdt met:
• Melding mogelijk voor alle collega’s
• DPO tijdig inlichten zodat deze actie kan ondernemen
• Rekening houden met andere zaken die meespelen: bv. communicatie, verzekering, …
• Indien er mogelijke impact is voor de betrokkene(n), moet(en) deze ook gecontacteerd worden.
• Belangrijke quickwin: encrypteer laptops en usb-sticks om datalekken te vermijden
• Referenties:
• Zie Artikel 32: Beveiliging van de verwerking
• Zie Artikels 44 t.e.m. 50
38
10/1/18
20
Wat zijn de richtsnoeren voor financiering?
39
Richtsnoeren
40
Algemeen Specifiek
A. Veiligheidsbeleid
B. DPO
C. Veiligheidsplan
1. Identiteitsbeheer
2. Toegangsbeheer
3. Beheer van therapeutische relatie en toestemming
4. Logging van activiteiten en klantenrecht
5. Overeenkomst met verwerkers (incl. Cloud)
D. Verantwoording
10/1/18
21
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
MODULE 2: HET VEILIGHEIDSBELEIDWat is het, waarom doen we het, hoe ziet het er uit?
Informatieveiligheid / gegevensbescherming
42
10/1/18
22
Informatieveiligheid?
43
Veiligheidsplan
Passende maatregelen
BedrijfsmiddelenInformatie Systeem Persoon Locatie
Kwetsbaarheden/ Bedreigingen
Nulmeting
Bevindingen enrisico’s
DPO
BeleidGB+IV
44
DPO: Wat is deze rol en wanneer aanstellen?
• Data Protection Officer = Functionaris voor gegevensbescherming
• Doel: (mede-)verantwoordelijkheid voor opvolging en uitvoering
gegevensbeschermings- en veiligheidsbeleid.
Wanneer aanstellen volgens GDPR?
A. Verwerking door overheidsinstantie of –orgaan (publieke sector)
B. Hoofdzakelijk belast met verwerkingen die vanwege aard, omvang en/of
doeleinden regelmatige en stelselmatige observatie op grote schaal
vereisen
C. Hoofdzakelijk belast met verwerkingen op grote schaal van bijzondere
categorieën van persoonsgegevens
ü Verplichte maatregel i.h.k.v. financiering
Data Protection Officer (DPO)
“Documentered, Stimulerend, Adviserend, Controlerend”
10/1/18
23
45
Data Protection Officer
Taken en verantwoordelijkheden
• Verantwoordelijke, verwerkers en medewerkers informeren
en adviseren over verplichtingen
• Toezien op naleving – zowel wettelijke bepalingen als beleid
• Omvat ook toewijzing verantwoordelijkheden,
bewustmaking en opleiding personeel en audits
• Advies m.b.t. DPIA en toezien op de uitvoering
• Optreden als contactpunt met GBA + samenwerking
• Rekening houden met risico’s die aan verwerking zijn
verbonden, alsook aard, omvang, context en doelen van
verwerking
Data Protection Officer (DPO)
“Documentered, Stimulerend, Adviserend, Controlerend”
46
Data Protection Officer
Statuut• Ontslagbescherming
• Kan zowel intern als extern zijn
• Mogelijkheid dat 1 DPO optreedt voor meerdere verantwoordelijken of voor organisatie
Kennisniveau
• DPO wordt aangewezen “op grond van zijn professionelekwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzakegegevensbescherming”
• Oftewel: benodigde soft skills, inhoudelijke kennis, ervaring in de praktijk
Data Protection Officer (DPO)
“Documentered, Stimulerend, Adviserend, Controlerend”
10/1/18
24
47
Data Protection Officer
Positie• Onafhankelijke functie
• Gebonden aan geheimhouding
• Rapporteert aan eindverantwoordelijke
• Aanspreekpunt voor betrokkenen, medewerkers en GBA
• Cumulatie met andere taken is mogelijk mits er geen belangenconflict ontstaat• Niet: HR manager, verantwoordelijke IT, directeur
• Ondersteun uw DPO (toegang, middelen)
• Betrek hem tijdig en naar behoren
Data Protection Officer (DPO)
“Documentered, Stimulerend, Adviserend, Controlerend”
48
Data Protection Officer aanmelden
GBA of VTC?• Organisaties die aanzien worden als een Vlaamse
bestuursinstantie moeten aanmelden bij VTC• Officieel: alle instanties die worden beschouwd als een
bestuursinstantie in de zin van het openbaarheidsdecreet• Bv.: zorgbedrijven, WZC in de schoot van OCMW (gemeente na
inkanteling)
• Alle andere: aanmelden bij GBA
Data Protection Officer (DPO)
“Documentered, Stimulerend, Adviserend, Controlerend”
10/1/18
25
49
OPGELET: veiligheidsconsulent is nu DPO
Concreet à De term “veiligheidsconsulent” bestaat niet meer en moet opnieuw aangemeld worden als een DPO!
Meer informatie
• Besluit Vlaamse Regering: https://www.vlaanderen.be/nl/nbwa-news-message-document/document/090135578024594b
• Nota Vlaamse regering bij besluit: https://www.vlaanderen.be/nl/nbwa-news-message-document/document/090135578024594a
• Aangepaste KSZ wet op 10/09/2018:http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&table_name=wet&cn=1990011531
• Conformiteitsverklaring RR spreekt over aanstelling DPO (functionaris gegevensbescherliung: https://www.ehealth.fgov.be/ehealthplatform/file/view/AWWKFhEAkOz9DrMX5-UD?filename=2018-E-052%20-%20Conformiteitsverklaring-rr_nl.docx
• eHealth wet spreekt sinds 10/09/2018 over DPO ipv VC: http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&table_name=wet&cn=2008082153
50
DPO aanmelden GBA
• Handleiding
Stap 1: Klik op “DPO aanmelden”
Stap 2: Download het PDF formulier en valideer
Opgelet: het werkt enkel met Adobe
Reader!
Stap 3: Onderteken met eID en upload naar portaal
* Momentopname: september 2018
10/1/18
26
51
DPO aanmelden VTC:
Instructie op website VTC (http://vtc.corve.be/infoveiligheid.php)• meldingen van DPO's van Vlaamse instanties via een mail of brief van de leidend
ambtenaar met vermelding van de datum van de beslissing tot aanstelling (het collegebesluit voor de steden en gemeenten) en contactinformatie van de DPO
• Naar [email protected] met als onderwerp: 'aanmelding DPO -naam instantie’
• Indien er voordien ook al een aanmelding gebeurde bij de GBA, volstaat het om datformulier naar het VTC door te zenden.
* Momentopname: september 2018
52
Gedragscode document: functieomschrijving
10/1/18
27
53
Gedragscode document: modelafspraken
54
Beleid gegevensbescherming én informatieveiligheid
Inleiding1
Belang van informatieveiligheid2
Toepassingsgebeid van het beleid3
4De organisatie van gegevensbescherming en informatieveiligheid
Beleidsdoelstellingengegevensbescherming5
Beleidsdoelstellingeninformatieveiligheid6
Inhoudsopgave
Deze tekst is goed te keuren door de directie, en wordt onder meer
ook gebruikt om te gebruiken bij de algemene communicatie, bv.:
• Communicatie met het personeel
• Communicatie met leveranciers
• Algemeen: kan publiek gemaakt worden
Opgelet: deze tekst gaat uit van
gegevensbescherming én informatieveiligheid
10/1/18
28
55
Doorlopen van beleidstekst
Zie apart document
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
MODULE 3: HET VEILIGHEIDSPLANWat is het, waarom doen we het, hoe ziet het er uit?
10/1/18
29
57
Vakjargon
MAATREGELEN (“measure”) beschermen, geheel of gedeeltelijk, het BEDRIJFSMIDDEL.
Het risico dat overblijft is het RESTRISICO .
Je kan risico’s op 4 manieren behandelen: accepteren, beperken, uitsluiten of overdragen
Bedreiging X kans X impact = Risico
Een BEDREIGING buit
een KWETSBAARHEID uit
KANS bepaalt de waarschijnlijkheid dat de bedreiging zich zal voordoen
IMPACT illustreert de gevolgen
RISICO is kwantitatief uitgedrukt
58
Op basis van schalen
Waarschijnlijkheid Kans
Voldoende (bestaande) compenserende maatregelen
1
Mogelijk maar samenzwering nodig / diepgaande interne kennis met toegangsrechten nodig / gebrek aan kwaliteitscontrole
2
Is al vele malen voorgevallen / kan anoniem van buitenaf gebeuren
3
Zeer lucratief 4
Zorgproces Impact
Enkel invloed op de perceptie van de zorgkwaliteit
1
Enkel tijdelijke invloed op de zorgtoestand van de bewoner
2
Enkel tijdelijke invloed op de zorgtoestand van een groep bewoners
3
Blijvende invloed op de zorgtoestand van een bewoner
4
Blijvende invloed op de zorgtoestand van een groep bewoners
5
Levensbedreigend voor minstens 1 bewoner
6
Overlijden van minstens 1 bewoner7
Bv. impact op het zorgproces, reputatie, financieel, beschikbaarheid, naleving van wetgeving
10/1/18
30
59
Meting a.d.h.v. parameters
Bedreiging X kans X impact = Risico
60
Vereenvoudigde aanpak
Bedreiging X kans X impact = Risico
10/1/18
31
61
Voorbeeld: men sluit nooit de achterdeur van de voorziening…
Element Voorbeeld
Kwetsbaarheid Achterdeur wordt nooit geslotenBedreigingen? - Onrechtmatige toegang
- Diefstal- Bewoners dwalen naar buiten
Kans - Hoog? Medium? Laag?Impact - Hoog? Medium? Laag?RisicoAanpak - Accepteren?
- Beperken?- Overdragen?- Uitsluiten?
Rest-risico?
Veiligheidsplan
62
Veiligheidsplan
Passende maatregelen
BedrijfsmiddelenInformatie Systeem Persoon Locatie
Kwetsbaarheden/ Bedreigingen
Nulmeting
Bevindingen enrisico’s
DPO
BeleidGB+IV
• Na een nulmeting
• observaties
• risico’s
• aanbeveling van beheersmaatregelen
• prioritering
• Doel: verbeteracties formuleren enuitvoeren
• Periode: 3 jaar (elke jaar herziening)
• Spiegeling aan standaard richtlijnen (GBA, richtsnoeren informatieveiligheid) àmaturiteit
10/1/18
32
63
Voorbeeld van een veiligheidsplan
Zie apart document
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVERZICHT VAN RICHTSNOERENEen overzicht van de algemene en specifieke vereisten i.h.k.v. de financiering
10/1/18
33
65
Overzicht
• Tegen 01/01/2019 zal iedere voorziening via een e-loket een verklaring op eer moeten aangaan.
• Opgelet: Compliant met voorwaarden tegen 31/12/2018 !!
• Opgelet: Vergeet ook uw eHealth certificaat niet: digitaal verloop !! (meer informatie hier)
• Verklaring op eer gaat over de algemene en specifieke richtsnoeren:
A. Veiligheidsbeleid
B. DPO
C. Veiligheidsplan
1. Identiteitsbeheer
2. Toegangsbeheer
3. Beheer van therapeutische relatie en toestemming4. Logging van activiteiten en klantenrecht5. Overeenkomst met verwerkers (incl. Cloud)
D. Verantwoording
Algemeen Specifiek
66
E-Loket (mock-up)
Kenny
Vinkje
10/1/18
34
67
A. Veiligheidsbeleid
Voorwaarde Toelichting Na te leven normAlgemene voorwaarde: veiligheidsbeleid
Een beleidstekst waarin de uitgangspunten van het veiligheidsbeleid, inclusief de verantwoordelijkheden en taken worden toegelicht.
Een veiligheidsbeleid dat veiligheidsmaatregelen omkadert en verantwoordelijkheden aanduidt.
68
B. DPO
Voorwaarde Toelichting Na te leven norm
Algemene voorwaarde: toezicht door functionaris voor gegevensbescherming
De functionaris voor gegevensbescherming bewaakt de toepassing van de onderhavige richtsnoeren.
De verwerkingsactiviteiten staan onder toezicht van de functionaris voor gegevensbescherming.
10/1/18
35
69
C. VeiligheidsplanVoorwaarde Toelichting Na te leven norm
Algemene voorwaarde: veiligheidsplan
Een op een risicoanalyse gebaseerd veiligheidsplan waarin te implementeren maatregelen om risico’s in te perkenin een plan van aanpak worden uitgezet.
Elke organisatie heeft risico’s inzake informatieveiligheid in kaart gebracht.
70
D. Verantwoording
Voorwaarde Toelichting Na te leven norm
Algemene voorwaarde: voldoen aan nalevingsvoorwaarden
De organisatie kan zich steeds verantwoorden voor de naleving van de veiligheidsvoorwaarden en neemt maatregelen wanneer er inbreuken of incidenten plaatsvinden.
Voorzien in een procedure voor inbreuken bij verwerkingsactiviteiten of in het kader van de naleving van veiligheidsvoorwaarden.
10/1/18
36
71
1. Identiteitsbeheer
Toelichting Na te leven normStemt de digitale en de burgerlijke identiteit van de medewerker (natuurlijke persoon) van de Dienst overeen, of met andere woorden: is hij/zij de persoon die hij/zij beweert te zijn?
Een procedure voor identiteitsbeheer en de implementatie van de nodige maatregelen om deze af te dwingen, waaronder zowel technische als organisatorische maatregelen zoals bewustwording bij de gebruikers.
De procedure heeft als doel de levensloop van de digitale identiteit te koppelen aan de bewegingen binnen de organisatie (instroom, doorstroom en uitstroom van medewerkers).
Deze procedure wordt ondersteund door een risicoanalyse en bevat maatregelen om deze risico’s te beperken.
72
2. Toegangsbeheer
Toelichting Na te leven normBewaakt dat iedere medewerker de beoogde bewerking met persoonsgegevens mag uitvoeren (consulteren, wijzigen, bijwerken).
Een procedure die het opstellen en onderhouden van een takenmatrix, alsook de naleving hiervan bij het toewijzen van de taken, garandeert.
Maatregelen worden genomen om misbruik, gewild of ongewild, te voorkomen, waaronder toezicht.
10/1/18
37
73
3. Relatie met betrokkene
Toelichting Na te leven normEen aantoonbare ‘overeenkomst’, zoals een cliëntenrelatie of zorg-/therapeutische relatie, die het verwerken van de gegevens van de betrokkene rechtvaardigt. In deze overeenkomst is het tevens duidelijk op welke manier de betrokkene rechten kan uitoefenen inzake verwerking van persoonsgegevens en de bijhorende procedures.
Een procedure die toelicht welke stappen er nodig zijn om aan de voorwaarden te voldoen voor het verkrijgen van een geldige relatie met de betrokkene en garanties biedt dat deze relatie correct wordt opgevolgd (bijvoorbeeld het beëindigen van de relatie moet correct worden opgevolgd).
Deze garanties kunnen bestaan uit technische en organisatorische maatregelen, waaronder bewustwording.
74
4. Logging
Toelichting Na te leven normElke handeling van elke medewerker moet opgespoord en verantwoord kunnen worden.
Een procedure die instructies geeft over de wijze van logging en de systematische controle van de logging met het oog op kwaliteitsgaranties.
10/1/18
38
75
5. Omgang medewerkers/leveranciers
Toelichting Na te leven normAfdwingen dat personeelsleden en leveranciers de nodige technische en organisatorische maatregelen in acht nemen bij het uitvoeren van verwerkingsactiviteiten.
Voor personeelsleden:
• bewustwordingssessies en afspraken.
Voor leveranciers: • een procedure voor het afsluiten en onderhouden van
een contract, inclusief een beheer van alle operationele verplichtingen.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
IDENTITEITS- EN TOEGANGSBEHEERThema 1: Een antwoord op de vraag “wie” toegang heeft tot gezondheidsgegevens en tot welke type van gegevens
10/1/18
39
1. Identiteitsbeheer
Modeltekst Todo
Hoe krijgt een gebruiker zijn/haar identiteit toegewezen?
Hoe worden de bijhorende bewijzen aangeleverd?• wachtwoord• een toestel van de zorgvoorziening
Zijn er “verstrengde” bewijzen noodzakelijk• toegang tot gegevens in het woonzorgcentrum• toegang tot gegevens buiten het woonzorgcentrum (bv. extra code)
Wordt een identiteit gekoppeld aan een hoedanigheid?
Hoe wordt een identiteit tijdelijk / permanent uitgeschakeld?
Kan een identiteit worden overgenomen?
Doelstelling
1. Identiteitsbeheer
10/1/18
40
Modeltekst Todo
Overlopen van voorbeeldtekst van White Wire
Modeltekst
1. Identiteitsbeheer
Doelstelling
Modeltekst Todo
Valideren beleid identiteitenbeheer directie
Procedure voor beheer van identiteitenin het veiligheidsbeleid (algemene principes)in een operationele procedure
Todo
1. Identiteitsbeheer
Modeltekst
10/1/18
41
2. Toegangsbeheer
Minimum aan priviliges, beperkt tot het uitvoeren van de functie
82
MijnToegang
Rechten
PopulatieTherapeutische relatie
Toegangsbeleid
10/1/18
42
Toegangsmatrix: voorbeeld
83
Toegang tot EBD
Rol
B
GebruikerGroep
C
Medewerker AD Account
A
Automatisch
Hoofdverpleegkundige
Bepaald in matrix
Bewaakt doorIedere medewerkerontvangt een AD-account
Functie àEBD-Rol
Dienst à groep
Toegangsmatrix: voorbeeld
84
10/1/18
43
Modeltekst Todo
Bepalen wie (rol) toegang krijgt tot een informatieobject (toegangsmatrix)
Wie is verantwoordelijk voor de matrix? (verantwoordelijke)
Wie past de matrix toe? (beheerder)
Wat is de validatieprocedure bij wijzigingen? (levenscyclus: opgelet met cumulatie van rollen)
Doelstelling
2. Toegangsbeheer
Modeltekst Todo
Overlopen van voorbeeldtekst van White Wire
Modeltekst
2. Toegangsbeheer
Doelstelling
10/1/18
44
Modeltekst Todo
Beleid voor toegangsbeheer
Procedure voor beheer van rollenin het veiligheidsbeleid (algemene principes)in een operationele procedure
Neem ook geprivilegieerde rollen mee in beeld!
Todo
2. Toegangsbeheer
Modeltekst
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
THERAPEUTISCHE RELATIE EN TOESTEMMINGThema 2: Beheer van therapeutische relatie en geïnformeerde toestemming
10/1/18
45
89
90
Modeltekst Todo
Beperking in de regelgeving voor het verwerken van gezondheidsgegevens:• Is in principe verboden, tenzij er een geldige toelaatbaarheidsgrond is o.a.
• preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene
• extra voorwaarde: onder toezicht beroepsbeoefenaar in de gezondheidszorg • indien de betrokkene zijn schriftelijke toestemming heeft verleend • verdediging van vitale belangen van de betrokkene
In een aantal van gevallen zal de toelaatbaarheidsgrond het bestaan van een bijzondere relatie tussen de verantwoordelijke van de verwerking en de betrokkene vereisen, meer bepaald de relatie in het kader van de verstrekking van de (al dan niet medische) zorgen à therapeutische relatie
Doelstelling
3. Therapeutische relatie en toestemming
10/1/18
46
91
Bewijsmiddelen therapeutische relatie?
• Algemeen• eID bij toedienen zorgen,
al dan niet met PIN
• Niet altijd werkbaar, dus:• niet-specifieke gegevensbank
• bv. bewonersdossier• specifieke gegevensbanken
• bv. therapeutische link, patient consent
• Ziekenhuis• inschrijving• eID kaart inlezen
• Huisarts buiten ziekenhuis• GMD houder• lezen eID• zorgtraject
• WZC• registratie bewoner • bewonerdossier• inlezen eID
92
Modeltekst Todo
Overlopen van voorbeeldtekst van White Wire
Modeltekst
3. Therapeutische relatie en toestemming
Doelstelling
10/1/18
47
93
Modeltekst Todo
Beleid voor Therapeutische relatie en toestemming
Procedure voor Therapeutische relatie en toestemmingin het veiligheidsbeleid (algemene principes)in een operationele procedure
Todo
3. Therapeutische relatie en toestemming
Modeltekst
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
LOGGINGThema 3: Wie heeft welke actie uitgevoerd?
10/1/18
48
95
Modeltekst Todo
Beleid: algemene principes vastleggen voor logging binnen de voorziening
Een concrete procedure (uniek per voorziening) geeft een antwoord op:
• Waar staat de logging?
• Wat wordt gelogd?
• Hoe lang worden deze logs bewaard?
• Hoe zijn deze beschermd (ICT)?
• Wie controleert de logging en op welke manier?
• Wat zijn eventuele sancties bij anomalieën?
• Inzage in de logging door de zorgvrager?
Doelstelling
4. Logging
96
Modeltekst Todo
Overlopen van voorbeeldtekst van White Wire
Modeltekst
4. Logging
Doelstelling
10/1/18
49
97
Modeltekst Todo
• Procedure voor beheer logging
• In het veiligheidsbeleid (algemene principes)
• in een operationele procedure
• Inzage in / controle op de logging en sancties in het arbeidsreglement of ander beleid
Todo
4. Logging
Modeltekst
98
Logs kunnen veel aantonen…
Verpleger KENNY van dienst DEMENTIE logde aan op een BOEKHOUDKUNDIGE toepassing van BUITEN het network van WZC, op een
dag waarop hij NIET INGEPLAND was om te komen werken.
10/1/18
50
99
Minimum vereisten
• Antwoord op WIE, WANNEER, WAT, HOE om het gebruik van persoonsgegevens te rechtvaardigen
• Aandachtspunt voor software: functie voor logging moet voorzien zijn
• De volgende gegevens moeten op zijn minst worden geregistreerd:
• de datum en het uur van de transactie,
• de identificatie van de gebruiker,
• de identificatie van de transactie,
• de identificatie van het onderwerp van het verzoek,
• de beschrijving van de uitgevoerde bewerking (aanmaak, wijziging, raadpleging, opzoeking, lijst, ...).
• Denk ook aan andere modules, onderdelen: rapportering, queries, zoekopdrachten, …
100
Voorbeelden logging: testscenario’s
10/1/18
51
101
Opgelet: Loggen op zich is ook een verwerking!
• Werknemers moeten geen toestemming geven voor deze verwerking
(gerechtvaardigd belang), maar moeten wel op de hoogte zijn!
• Opties:
• verwerking in arbeidsreglement, link naar mogelijke sancties
• apart beleid dat aantoonbaar gekend moet zijn bij medewerkers,
ook daar link naar mogelijke sancties
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
OVEREENKOMST MET VERWERKERS & CLOUDThema 4: een juiste overeenkomst met de providers van cloud diensten
10/1/18
52
103
Modeltekst Todo
• Afspraken over wat er met de persoonsgegevens mag gebeuren
• Afspraken over de te nemen technische en organisatorische maatregelen
• Specifieke aandacht voor cloud leveranciers
• Nadrukkelijke aandacht voor omgang met verwerkers in sessie 3!
Doelstelling
5. Omgang met verwerkers & cloud
104
Modeltekst Todo
Verwerkersovereenkomst sjabloon komt aan bod in sessie 3
Modeltekst
5. Omgang met verwerkers & cloud
Doelstelling
10/1/18
53
105
Modeltekst Todo
• Opstellen van een verwerkersovereenkomst
• Modellen Zorgnet Icuro (op website, ook voor niet-leden beschikbaar)
• Opstellen van een afsprakennota informatieveiligheid
• SMALS cloud tool kan verder ondersteunen in validatie veilige tools
Todo
5. Omgang met verwerkers & cloud
Modeltekst
Opdrachten sessie #1
106
Taak Status OPMBeleidstekst
Pas het sjabloon aan naar context van uw voorziening
Bereid een nota voor en beleg slot op het volgende directiecomité
Organiseer een bewustwordingsessie en stel het beleid voor
DPO
Indien dit nog niet gebeurd is: duid een kandidaat aan Houdt rekening met vereisten zoals positie en tijd
Meld de DPO aan bij de GBA via het formulier Via www.gegevensbeschermingsautoriteit.be
Richt een stuurgroep op en bepaal de frequentie van bijeenkomsten Mag een bestaande werkgroep zijn
Risico analyse
Plan een risico-analyse informatieveiligheid Intern / extern
Ontwerp een veiligheidsplan en start een praktische opvolging
4x beleidsteksten (identiteit, toegang, zorgrelatie en logging)
Valideer inhoudelijk, laten goedkeuren en toepassen
Van zodra voldaan is aan de richtsnoeren:
Verklaar op eer dat aan de voorwaarden voldaan is via het e-loket
10/1/18
54
Opdrachten sessie #1
107
Taak Status OPMLeveranciersSluit een verwerkersovereenkomst af met leveranciers Zie ook volgende sessies
CertificaatIndien dit nog niet gebeurd is: vraag eHealth certificaat aan
Links - Lectuur
• https://www.gegevensbeschermingsautoriteit.be
• https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-europese-privacywetgeving
• AVG Index http://www.privacy-regulation.eu/nl
• Codex AVG http://www.politeia.be/nl-be/book/codex-algemene-verordening-gegevensbescherming/10401.htm
• Handbook on European Data Protection Lawhttp://fra.europa.eu/en/publication/2018/handbook-european-data-protection-law
108