Seminar Thysia: Informatiebeveiling in de Zorg NEN7510

1,474 views

Published on

Tijdens het seminar Informatiebeveiliging in de Zorg is er in gegaan op:
•Hoe u op verschillende aspecten kunt voldoen aan de NEN7510 normering
•Hoe u plannen voor informatiebeveiliging omzet tot concrete verbeteracties
•Hoe u periodiek kunt toetsen of de maatregelen het gewenste effect hebben
•Wat voor invloed Cloud Computing heeft op uw informatiebeveiliging

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
 • Be the first to comment

 • Be the first to like this

No Downloads
Views
Total views
1,474
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Seminar Thysia: Informatiebeveiling in de Zorg NEN7510

 1. 1. SeminarInformatiebeveiliging in de zorg Donderdag 9 juni 2011 Vivian Kennes Accountmanager Healthcare Solutions
 2. 2. Agenda13:15 Gezondheid 2.0 en Informatiebeveiliging (Vivian Kennes – Thysia)13:45 NEN7510: Feiten, aanpassingen & Ontwikkelingen (Mr Drs Shirin Golyardi - NEN)14:30 Inzicht en verbetering in uw informatiebeveiliging met de Thysia Information Security Solution (Bert Otte - Thysia)Pauze
 3. 3. Agenda15:00 Live demo Thysia Information Security Solution (Bert Otte - Thysia)15:30 Beveiligingsaspecten van Cloud Computing (Peter de Haas -Microsoft)16:15 Afsluiting en vragenronde16:30 Borrel en netwerken
 4. 4. Wat is Gezondheid 2.0 ?
 5. 5. Voorkeur bijgezondheidsvraagstukken:53% : Zoekmachine31% : Huisarts23% : Wikipediabron Gezondheid 2.0 RVZ 2010
 6. 6. 95%Van de artsen gebruikt Googleonder werktijd om informatie tevinden over aandoeningen,nieuwe ontwikkelingen ofmedicijnen
 7. 7. De verbonden patiënten mensen • We verbinden • We luisteren • We geven steun • We registreren • We delen • We beoordelen • We creëren adviezen • We dagen elkaar uit • We helpen elkaar • etc
 8. 8. De verbonden mens heeft elkaar nodig 84% 35% 25% vindt dat de arts actief wordt actief wordt niet betrokken moet betrekken betrokken bij keuzeBron: NCPF
 9. 9. De verbonden mens helpt kiezen
 10. 10. Het traditionele healthcare universum• Consumenten moeten relatie aangaan met individuele zorg gerelateerde instellingen• Focus ligt op de behoefte van de zorgaanbieder, de werkgever, de financier of leverancier, niet op de consument
 11. 11. Gezondheid 2.0Maatschappelijke ontwikkeling waarbij deburger participeert in communities die hemondersteunen in zijn activiteiten om:• Gezond te blijven• Gezond te worden• Te leren omgaan met een aandoening of beperkingRVZ, gezondheid 2.0: U bent aan zet
 12. 12. Copernica shift in de zorggezondheid 2.0 In 1543, Copernicus was the first to propose that the Earth rotated around the sun, while accepted scientific thought at the time believed the Earth was the center of the universe. Copernicus effectively “changed the center of the universe”.
 13. 13. Gezondheid 2.0 & Informatiebeveiliging ?
 14. 14. Gezondheid 2.0 & InformatiebeveiligingNoodzaak om efficiënter te werken &informatie te delen – Toenemende werkdruk in de zorg – Toenemend beroep op de zorg door vergrijzing – Beter geïnformeerde cliënt / patiënt
 15. 15. Gezondheid 2.0 & Informatiebeveiliging Cliëntenportalen, inzage cliëntendossiers e-Health toepassingen Online consults Online meetgegevens, bijv. bloedwaarden Samenwerking zorgketenpartners middels extranet portalen Aansluiting EPD’s - instellingsnetwerk
 16. 16. Informatiebeveiliging Invoering BSN nummer in de zorg regionale EPD’s (landelijk EPD)Degelijk beleid rond informatiebeveiliging wordtnoodzaak.
 17. 17. Spanningsveld Privacy & VeiligheidIntegriteit van Beschikbaarheid Gegevens & Toegang
 18. 18. Informatiebeveiliging& Personal health records
 19. 19. Informatiebeveiliging
 20. 20. Informatiebeveiliging & EPD’s
 21. 21. Informatiebeveiliging& toenemende ICT ondersteuning
 22. 22. Informatiebeveiligingsbeleid voorkomen van incidenten kwaliteit van zorg hoog houden concurrentievoordeel behalen wettelijke verplichting
 23. 23. NENmr drs S. (Shirin) Golyardi Sinds 2003 consultant bij NEN- gezondheidszorg Projectleiderschap normalisatietrajecten Secretaris Europese normcommissie health informatics ISO werkgroep Pharmacy and Medication
 24. 24. Stand van zaken revisie NEN 7510:2011 Shirin Golyardi Consultant NEN Gezondheidszorg shirin.golyardi@nen.nl 015 – 2 69 03 13
 25. 25. Historie (1) Waarom normen voor informatiebeveiliging?Oorspronkelijk doel: onderling vertrouwen tussen zakenpartners aantoonbaar zorgvuldigheid met informatie eisen aan organisatie ondersteund door techniekISM = Information Security ManagementHet gaat dus niet om IT-normen!
 26. 26. Historie (2)Waarom een specifieke uitwerking voor de zorg? bijzondere functionele eisen aan informatievoorziening; bijzondere risico’s; zorginstellingen zijn open > kwetsbaar; verantwoordelijkheden en plichten van zorgverleners; waarborgen van beschikbaarheid, integriteit en vertrouwelijkheid.
 27. 27. Historie (3)Bestaande documenten NEN 7510:2004 Medische informatica - Informatiebeveiliging in de zorg – Algemeen NEN 7511:2005 Medische informatica - Informatiebeveiliging in de zorg - Toetsbaar voorschrift bij NEN 7510 NEN-ISO/IEC 27002:2007 Informatietechnologie - Beveiligingstechnieken - Code voor informatiebeveiliging Handboek
 28. 28. Historie (4) Ontwikkelingen Code voor NL-versie NEN-ISO/IEC NEN-ISO/IEC Informatie- BS7799-1 17799:2005 27002:2005 beveiliging BS7799-2 NEN 7510NL 1994 2000 2004 NEN 7511 2009 NEN-IBIZ Revisie NEN7510 1992 1995 1998 2005 2008UK-DTI Code of BS7799 ISO/IEC ISO 27001 EN-ISOCode of Practice Part-2 17799 ISMS 27799Practice BS7799 ISMS BS7799 ISM in healthInt. ISMfor Part-1 using ISO/IEC 27002
 29. 29. Historie (5)ISO 27000 reeks in ontwikkeling 27000: ISMS Fundamentals and Vocabulary 27001: ISMS Requirements 27002: Code of practice for Information Security Management 27003: ISMS Implementation Guidance 27004: Information Security Management Measurements 27005: Information Security Risk Management 27006: ISMS Accreditation requirements 27007: Guidelines for ISMS auditing
 30. 30. Revisie (1)Aanleiding voor revisie NEN 7510:2004 periodiek onderhoud (iedere 5 jaar) ervaringen met het NEN 7510 implementatiepakket meer aandacht nodig voor risicomanagement aansluiten bij ontwikkelingen in normen voor informatiebeveiliging • buiten de gezondheidszorg • buiten Nederland
 31. 31. Revisie (2) Uitgangspunten bij de revisie1 complete Nederlandse norm voor alle doelgroepen in de zorg ISMS ontleend aan ISO/IEC 27001 risicomanagement volgens ISO/IEC 27005 maatregelen integraal uit ISO/IEC 27002 zorgspecifieke invulling en aanscherping volgt EN/ISO 27799 en NEN 7510/7511 toelichtende bestanden met modellen en voorbeelden uit handboek te reviseren tot praktijkgids geen afzonderlijke NEN 7511 meer
 32. 32. Revisie (3)Organisatie van de revisie beleidscommissie (BC): procedureel verantwoordelijk voor de norm normcommissie (NC): inhoudelijk verantwoordelijk voor de norm klankbordgroep (KBG): werkgroep met belanghebbende partijen projectgroep (PG): kleine schrijversgroep
 33. 33. Revisie (4)Projectplanning oorspronkelijk: 1,5 jaar, uitloop naar iets meer dan 2 jaar vertraging door groot aantal commentaren in KBG en externe commentaarperiode in totaal 7 vergaderingen met de klankbordgroep 13 mei: goedkeuring van normontwerp voor publicatie door de KBG volgende stappen: doorvoeren van mondeling afgesproken commentaren KBG en redactiecontrole september 2011: goedkeuring door NC en BC
 34. 34. Revisie (5) Indeling NEN 7510:2011 Inhoud Basisdocumenten11 hoofdstukken over 7510, 7511, 27002, 27799beveiligingRisicomanagement 27002, 27005, 27799implementatie ISMS en 7511, 27001, 27799, 9001, 15224kwaliteitsmanagementbijlagen 27007 (interne audit), 27799 vergelijkingstabellen
 35. 35. Revisie (6)Uitvoering van de revisie brondocumenten zijn ineen geschoven waar nodig zijn documenten vertaald in het Nederlands praktijkervaringen ingebracht: – zorgaanbieders – consultants op gebied van informatiebeveiliging – steunpunt NEN 7510
 36. 36. Revisie (7)Externe commentaarperiode persbericht start: 14 september 2010 sluitingsdatum : 15 december 2010 297 commentaren ontvangen aanverwante commentaren van leden van de KBG n.a.v. bespreking van commentaren
 37. 37. Revisie (8)Aard van het commentaar Commentaar betreft # % begrippen 107 33% inconsistentie/inconsequentie 82 25% vage formulering 47 14% uitvoerbaarheid 38 12% structuur van de norm 24 7% fout 22 7% procedureel 5 2%
 38. 38. Knelpunten (1) Structurele commentaren1. implementatierichtlijnen en overige informatie kunnen beter geschrapt worden2. verscheidene beheersmaatregelen zijn niet realistisch en uitvoerbaar3. onderscheid tussen ‘behoort’ en ‘moet’ doorkruist de gekozen risicobenadering
 39. 39. Knelpunten (2)1. Argumenten voor / tegen handhaven implementatierichtlijnenArgumenten voor handhaven: formulering kale beheersmaatregelen is abstract; noodzaak tot toelichting en praktische invulling verhelderen de beheersmaatregelen attenderen op opgedane ervaringen het zijn voorbeelden; organisaties kunnen deze selectief toepassen (zie ook hoofdstuk 3)Argumenten tegen handhaven: de norm wordt een stuk slanker veel is niet van toepassing, opnemen in handboek auditors worden niet verleid te gaan toetsen op de richtlijnen
 40. 40. Knelpunten (3)1. Argumenten voor / tegen handhaven implementatierichtlijnenResultaat: Implementatierichtlijnen zijn gehandhaafd; document werd anders te summier en onleesbaar. Implementatierichtlijnen zijn geherformuleerd tot ‘aandachtspunten en aanbevelingen voor implementatie’: – niet verplichtend, bedoeld als een set van aanbevelingen; – Niet relevante informatie geschrapt; – bondiger geformuleerd in gebiedende wijs.
 41. 41. Knelpunten (4)2. Beheersmaatregelen niet realistisch en uitvoerbaarDiscussie: Sommige beheersmaatregelen zorgden voor veel discussie omtrent uitvoerbaarheid in zorginstelling.Resultaat: het schema van ISO/IEC 27002 voor de beheersmaatregelen wordt gevolgd en er wordt gewezen op: – gedocumenteerde risicoafweging voor het bepalen van de toepasselijkheid van een beheersmaatregel – periodieke herziening van de toepasselijkheid
 42. 42. Knelpunten (5)3. Onderscheid ‘moeten’ en ‘behoren’Discussie: in het normontwerp 183 maal ‘moet’ (en 77:x ‘behoort’ ); door enkelen is gevraagd ‘moet’ uit de norm te schrappen: de risicoanalyse maakt immers het onderscheid; organisatie bepaalt met risicoanalyse relevante maatregelen; door anderen is gevraagd ‘moet’ te onderbouwen; NEN-EN-ISO 27799:2008, die met NEN 7510 wordt gevolgd, gebruikt ‘moet’; de voorgestelde ‘moet’jes berusten op wat de praktijk leert als belangrijke beheersdoelstelling of maatregel; bij zo een beheersdoelstelling of maatregel kan risicoanalyse achterwege blijven, omdat er consensus bestaat over het nut ervan.
 43. 43. Knelpunten (6)3. Onderscheid ‘moeten’ en ‘behoren’Resultaat Laatste vergadering: alle beheersmaatregelen spreken van behoren. Risicoanalyse is leidend. Wel blijft de nadruk op de passages die extra van belang zijn voor de zorg (vet gedrukt).
 44. 44. Stand van zakenTijdsplanning nu laatste verwerkingen door PG; norm- en beleidscommissies moeten norm goedkeuren voor publicatie (september); publicatie verwacht medio oktober.
 45. 45. Toegevoegde waarde NEN 7510:2011 (1)algemeennormatief documentall parties concernedconsensusstatus norm bepaald door: – gebruik (verwijzing naar norm in contracten, regelgeving); – handhaving van de norm.
 46. 46. Toegevoegde waarde NEN 7510:2011(2)Relatie relevante wet- en regelgevingeen overzicht van relevante regelgeving in de zorg: WBP - Wet Bescherming persoonsgegevens WGBO - Wet Geneeskundige BehandelingsOvereenkomst BIG - Wet Beroepsuitoefening Individuele Gezondheidszorg Kwaliteitswet Zorginstellingen Wbsn-z - Wet Burger Service Nummer in de zorg Wetsvoorstel ‘Wijziging van de Wet gebruik burgerservicenummer in de zorg in verband met de elektronische informatieuitwisseling in de zorg (Elektronisch Patiënten dossier)’
 47. 47. Toegevoegde waarde NEN 7510:2011(3)Relatie relevante wet- en regelgevingBesluit gebruik BSN in de zorg: artikelen 28 en 29 > vaststellen identiteit; artikel 30: ‘Bij ministeriële regeling kunnen regels worden gesteld aan de gegevensverwerking, bedoeld in artikel 28, tweede lid en artikel 29, te stellen beveiligingseisen’.
 48. 48. Toegevoegde waarde NEN 7510:2011(4)Relatie relevante wet- en regelgevingRegeling Gebruik burgerservicenummer in de zorgArtikel 2‘De gegevensverwerking, bedoeld in de artikelen 8 en 9 van dewet, in artikel 52, eerste, vierde en vijfde lid, van de AlgemeneWet Bijzondere Ziektekosten, in artikel 86, eerste, vierde envijfde lid, van de Zorgverzekeringswet en in de artikelen 28,tweede lid, en 29 van het Besluit gebruik burgerservicenummerin de zorg voldoet aan de NEN 751:.’
 49. 49. Vragen? Shirin.golyardi@nen.nl
 50. 50. Thysia Information Security Solution
 51. 51. Doe maar even de NEN update
 52. 52. Wat weet ik van de NEN7510 ?? Niets verrassend Weinig techniek en concrete maatregelen Veel over OMGAAN met informatie(beveiliging) – BESEF – KENNIS – BIJHOUDEN – BORGEN
 53. 53. Wat weet ik van de NEN7510 ?? NIET een “ICT-ONLY” zaak. Alle organisatieonderdelen hebben met informatie te maken, en dus ook met de risicos en daarbij behorende maatregelen. Bestuur Huisvesting HRM Processen Applicatiebeheer ICT MIX Hoe pakken wij dit aan ?
 54. 54. Adviesbureau interviews onderzoeken knelpunten projecten herhaling
 55. 55. Zelf aan de slag ? De onderwerpen van het NEN7510 handboek vertalen naar concrete maatregelen (VRAGEN). Per onderwerp bepalen wie hier wat mee zou moeten gaan doen (VERANTWOORDELIJKEN). Risico’s per onderwerp benoemen. Situatie per onderwerp in kaart brengen en maatregelen voorstellen. Beleid, Procedures, Voorschriften.
 56. 56. Samen met Thysia ? De onderwerpen van het NEN7510 handboek vertalen naar concrete maatregelen (VRAGEN). Per onderwerp bepalen wie hier wat mee zou moeten gaan doen (VERANTWOORDELIJKEN). Risico’s per onderwerp benoemen. Situatie per onderwerp in kaart brengen en maatregelen voorstellen. Beleid, Procedures, Voorschriften.
 57. 57. Samen met Thysia? De onderwerpen van het NEN7510 handboek vertalen naar concrete maatregelen (VRAGEN). Per onderwerp bepalen wie hier wat mee zou moeten gaan doen (VERANTWOORDELIJKEN). Risico’s per onderwerp benoemen. Situatie per onderwerp in kaart brengen en maatregelen voorstellen. Beleid, Procedures, Voorschriften.
 58. 58. Samen met Thysia? De onderwerpen van het NEN7510 handboek vertalen naar concrete maatregelen (VRAGEN). Per onderwerp bepalen wie hier wat mee zou moeten gaan doen (VERANTWOORDELIJKEN). Risico’s per onderwerp benoemen. Situatie per onderwerp in kaart brengen en maatregelen voorstellen. Beleid, Procedures, Voorschriften.
 59. 59. Wat blijft er dan over ? U gebruikt Thysia Information Security Solution (TISS). Deelnemers worden bepaald en geïnstrueerd. Iedere deelnemer heeft een eigen set onderwerpen. Ieder onderwerp is voorzien van: – Helder uitleg van concrete risico’s – Voorbeelden van maatregelen en een plan van aanpak – Voorbeeldteksten, documenten en sjablonen – 10 stappenplan – Actuele STATUS op elk moment
 60. 60. Wanneer is er resultaat te zien ? Zodra u begint met de inventarisatie en het invullen van de toegewezen vragen, worden uw vorderingen online zichtbaar in een Management Dashboard Overzicht. Omdat ieder onderwerp in 10 stappen is verdeeld, is zelfs de kleinste voortgang direct zichtbaar.
 61. 61. Samen met Thysia? De onderwerpen van het NEN7510 handboek vertalen naar concrete maatregelen (VRAGEN). Per onderwerp bepalen wie hier wat mee zou moeten gaan doen (VERANTWOORDELIJKEN). Risico’s per onderwerp benoemen. Situatie per onderwerp in kaart brengen en maatregelen voorstellen. Beleid, Procedures, Voorschriften ????….
 62. 62. Beleid, Procedures, Voorschriften In Thysia Information Security Solution kunt u per onderwerp documenten koppelen. Voorbeeld teksten en sjablonen zijn per onderwerp beschikbaar.
 63. 63. Platform TISS TISS wordt aangeboden in de Cloud van Microsoft genaamd Azure. Voordelen: – Snel starten – Platform onafhankelijk – Lage kosten – Minimaal onderhoud – Taken en Documenten kunnen binnen uw eigen SharePoint omgeving of in Azure worden opgeslagen.
 64. 64. VRAGEN ? – Vragen – Pauze – Demo Thysia Information Security Solution
 65. 65. Thysia Information Security SolutionBèta programma Snelle start vanuit de Cloud vanaf 1-8-2011 Geen infrastructuur of technische eisen Gratis software gebruik tot einde jaar 31-12-2011 Daarna € 25 per user per maand Géén verplichtingen voor minimum afname of vaste contracten Benchmarking vanuit de Cloud - vergelijking conformiteit instellingen
 66. 66. Thysia Information SecuritySolution vanuit de Cloud Flexibel in aantal gebruikers Altijd de laatste versie
 67. 67. Uitnodiging borrelGasterij Don Qui JohnHaagsemarkt 20Marcia MoestoredjoBert OtteKristian de LangeVivian Kennes

×