Informatiebeveiliging Introductie wie zijn wij Aanleiding informatiebeveiliging in
Informatiebeveiliging Introductie; wie zijn wij? - Aanleiding: informatiebeveiliging in de VVT-sector - Douwe de Jong - Mark Hoevers Agenda 13 februari 2014 5 min 10 min 15 min Waarom informatie beveiligen? e-Learning Basisbeveiligingsmodel Care Discussie en vragen Ledenbijeenkomst BTN - NEN 7510 1
Informatiebeveiliging Waarom beveiligen? - Beveiliging helpt de organisatiedoelen te bereiken - IB is een enabler; ondersteunt de ‘core business’ - Voorkomt imagoschade - Wet Bescherming Persoonsgegevens (Wbp): adequate beveiliging - Richtsnoer ‘Beveiliging van Persoonsgegevens’ - Nieuwe ontwikkelingen leiden tot nieuwe risico’s; - BYOD, social media, cloud computing, cybercrime, etc. - Kwaliteitswet zorginstellingen: - Verantwoorde zorg - Bewust beleid - Kwaliteitssysteem - Kwaliteitsjaarverslag - De directie is hoofdelijk aansprakelijk - Straks: EU-verordening (persoons)gegevensbescherming 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 2
Informatiebeveiliging NEN 7510 - zo’n 137 best practices - sluit aan bij ISO 27001 (PDCA verplicht) - Hoge Raad: wie aansluit bij de normen uit NEN 7510 wordt geacht aan de wettelijke prestatievereisten (Kwaliteitswet, Wbp) te voldoen - IGZ: NEN 7510 verplicht voor ziekenhuizen - overige zorginstellingen: toenemende druk toezichthouders 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 3
Informatiebeveiliging Accent bewustwording! NEN 7510 § 8. 2. 2 Bewustzijn, opleiding en training t. a. v. informatiebeveiliging Een organisatie die patiëntgegevens verwerkt behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienstverband en dat regelmatige opfrissing van de kennis is voorzien. 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 4
E-learning IB Veilig omgaan met cliëntinformatie Voordelen e-learning: - laagdrempelig - groot bereik - te koppelen met personeelssysteem => aantoonbaarheid - Leer Management. Systeem (LMS) ook voor Voorbehouden Risicovolle Verrichtingen (VRV) en Bedrijfshulpverlening (BHV) Doelgroepen: - leidinggevenden - medewerkers met account (ICT) - medewerkers zonder account (papier, telefoon, openbare plaatsen, e. d. ) 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 5
E-learning IB Veilig omgaan met cliëntinformatie Onderwerpen Dagelijkse praktijksituaties, zoals: - veilig omgaan met vertrouwelijke gegevens - veilig omgaan met ICT-middelen - veilig gebruik van e-mail - veilig gebruik van internet - sociale media en je werk - veilige gegevensuitwisseling met derden - veilig werken onder druk - veilig thuiswerken - houd je aan de wet - meld incidenten - et cetera 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 6
E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: Vraag en antwoorden 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 7
E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: uitleg na antwoord 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 8
E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: aanvullende informatie 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 9
E-learning IB Veilig omgaan met cliëntinformatie Evalueren periodiek actualiseren - Bij een tweetal instellingen is een evaluatie van het e-learningprogramma uitgevoerd - Op basis van de resultaten daarvan zal het programma aangepast worden - Volgende versie ook controlevragen om te testen of de aanvullende informatie/uitleg gelezen is - Ook periodiek actualiseren afhankelijk van diverse ontwikkelingen - techniek - wet- en regelgeving - dreigingsbeeld - e. d. 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 10
E-learning IB Veilig omgaan met cliëntinformatie Evaluatie 1 - pilot met 90 deelnemers, vooral leidinggevenden en staffunctionarissen - 32 personen gaven feedback - vrijwel alle reacties zijn zeer positief - nuttig voor de medewerkers binnen hun organisatiedeel - zou verplicht gesteld moeten worden - de opstartprocedure wordt ingewikkeld gevonden - je hebt meer dan een half uur nodig voor de module - verdere inzet van deze tool in de gehele organisatie is aan te bevelen 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 11
E-learning IB Veilig omgaan met cliëntinformatie Evaluatie 2 - opzet pilot: 10 representanten - unaniem positief; verdient opvolging - vragen zijn helder gesteld - voorbeelden spreken aan - plaatjes wat kleurloos - moet beter op maat gemaakt worden voor de specifieke situatie bij de instelling 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 12
E-learning IB Veilig omgaan met cliëntinformatie Praktisch: - platformonafhankelijk - aansluiten op de praktijk van alle dag - mogelijkheid om zelf onderwerpen toe te voegen - begin met enkele codes in een pilot omgeving, daarna, evt. na aanpassing, volledige uitrol - is ook leerzaam in combinatie met een workshop - kosten tussen de € 3 en € 10, afhankelijk van de omvang van de organisatie 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 13
E-learning IB Veilig omgaan met cliëntinformatie Demo-versie voor iedereen te benaderen https: //login. niveo. nl/ Inloggen: Gebruikersnaam = beurs Wachtwoord = bezoeker Wijs aan Veilig omgaan met cliëntinformatie VVT (demo) ga naar Selecteer 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 14
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Basisbeveiligingsmodel Care: een handreiking voor het inrichten en onderhouden van informatiebeveiliging volgens de NEN 7510 in de care sector 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 15
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Informatie beveiligen: Inventariseren belang informatie t. o. v. zorgprocessen + risico’s Classificeren in welke mate belangrijk? kwetsbaar? Maatregelen selecteren afhankelijk van risicoklasse 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 16
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Informatie beveiligen: BBMCare producten: Inventariseren I&C document IB Classificeren verantwoording Maatregelen selecteren 13 februari 2014 Werkdocument NEN 7510 Ledenbijeenkomst BTN - NEN 7510 17
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen I&Cdocument IB Bedrijfs processen - sturing/verantw - zorglevering - fin. afh zorg - bedr. onderst. - etc ITobjecten -ITdiensten -applicaties -informatie -middelen Betrouwbaarheidseisen - Beschikbaarheid (B) - Integriteit (I) - Vertrouwelijkheid (V) Dreigingen Risicoscenario’s 13 februari 2014 - kans op voorkomen - mogelijke schade instelling - mogelijke schade client Ledenbijeenkomst BTN - NEN 7510 18
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen I&Cdocument IB Bedrijfs processen - sturing/verantw - zorglevering - fin. afh zorg - bedr. onderst. - etc ITobjecten -ITdiensten -applicaties -informatie -middelen Betrouwbaarheidseisen - Beschikbaarheid (B) - Integriteit (I) - Vertrouwelijkheid (V) Dreigingen Risicoscenario’s 13 februari 2014 Classificaties - Laag - Gemiddeld - Hoog - Zeer hoog - kans op voorkomen - mogelijke schade instelling - mogelijke schade client Ledenbijeenkomst BTN - NEN 7510 19
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen Excelsheet Werkdocument NEN 7510 Beheersmaatregelen Relatie met. . . Verantwoording NEN 7510 H 5 t/m H 15 BIV, Wbp NEN 7512 en kwaliteit Baseline Uitvoeringsinformatie zorgsectorgeneriek 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 20
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen Excelsheet Werkdocument NEN 7510 Beheersmaatregelen Relatie met. . Verantwoording Uitvoeringsinformatie NEN 7510 H 5 t/m H 15 BIV, Wbp NEN 7512 , kwaliteit Baseline, SOLL (agv RA) IST , verbeterplannen zorgsectorgeneriek => instellingspecifiek => ISMS 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 21
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging BBMCare Zorgsectorgenerieke risicoanalyse: Inventarisatie- en classificatiedoc Werkdoc NEN 7510 Instellingspecifieke risicoanalyse: Inv- en class. doc Instelling 1. 0 Werkdoc NEN 7510 Instelling 1. 0 Beveiligingsplan Inv- en class. doc Instelling versie x Werkdoc NEN 7510 Instelling versie x Verbeterplannen ISMS: Baseline zorgsector Verantwoording I&Cdoc 13 februari 2014 Werkdoc Ledenbijeenkomst BTN - NEN 7510 22
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Basisbeveiligingsmodel Care Handleiding BBMCare Stappenplan BBMCare 13 februari 2014 I&Cdoc Ouderenzorg I&Cdoc GGZ I&Cdoc Geboortezorg I&Cdoc Xxxxzorg Werkdoc NEN 7510 Ouderenzorg Werkdoc NEN 7510 GGZ Werkdoc NEN 7510 Geboortezorg Werkdoc NEN 7510 Xxxxzorg Baseline Ouderenzorg Baseline GGZ Baseline Geboortezorg Baseline Xxxxzorg Ledenbijeenkomst BTN - NEN 7510 23
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Typering BBMCare t. o. v. gangbare baselines Uitgewerkte RA zorgsector instellingspecifieke RA nagenoeg ‘vanzelf’ eventueel later als 1 e verbeteractie Geen uitwerking beheersmaatregelen! daarvoor beschikbaar: Praktijkboek NEN 7510; voorbeelden en templates NEN 7512, 13 en 21: bijzondere detailleringen Wbp: aanbevelingen Cbp Richtsnoeren ZZ 3: maatregelen en toetsingscriteria Tactische baseline overheid (BIR) en gemeenten 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 24
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Stappenplan inrichten IB volgens BBMCare Voorbereiding doelstelling en commitment IB I&Cdocument instellingsspecifiek maken voeg ITcomponenten instelling toe beoordeel tabellen en classificaties Werkdoc NEN 7510 instellingsspecifiek maken + uitvoeringsinfo wat is er al? => 0 -meting = IST wat zou moeten? => koppeling met I&Cdoc = SOLL wat kan? => verbeterplan = mee met Qsysteem 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 25
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Ambitie BBMCare Een praktische start. . ga uit van sectorspecifieke zaken (is al gedaan) doe een globale toetsing (=> SOLL) . . met eenvoudig kader om bev. activiteiten in onder te brengen. . wat is er al? 0 -meting (IST) wat zou moeten (SOLL) verbeterplannen ondersteunen . . dat controleerbaar en onderhoudbaar is! aansluiten op bestaand kwaliteitsmanagementsysteem (PDCA) 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 26
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Praktische informatie Kosten: 2500 – 7000 Euro afh. van aantal medewerkers incl. 2 dagdelen ondersteuning Wat krijgt u daarvoor: Presentatie BBMCare I&C document IB Ouderenzorg Werkdocument NEN 7510 Ouderenzorg Handleiding en Stappenplan BBMCare 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 27
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Vragen? Later vragen? mail naar mark. hoevers@trustmarq. nl of douwe@dejong-itadvies. nl en u ontvangt Introductie & Stappenplan BBMCare 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510 28
- Slides: 28
