Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de
gegevens. In de praktijk blijkt dat de aandacht voor beveiliging nogal eens tekortschiet. In de media
zijn vrijwel dagelijks berichten te vinden over datalekken door onvoldoende beveiliging, waardoor
persoonsgegevens op straat liggen. Het College bescherming persoonsgegevens (CBp) ontvangt ook
regelmatig signalen over tekortschietende beveiliging en de kwalijke gevolgen ervan.
Onderzoek Internationale IT Innovaties in de Nederlandse CareBerenschot
Berenschot onderzocht zeven IT-innovaties in de zorg en hun mogelijke toepasbaarheid op de Nederlandse care sector.
In dit boekje staat een preview van de resultaten van dit onderzoek.
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...SURF Events
De gemeenten Amsterdam gebruikt een algoritmeregister om transparant te zijn bij de inzet van algoritmen in de gemeentelijke dienstverlening. Tijdens deze sessie wordt er (interactief) ingegaan op de vraag hoe een register voor het onderwijs er uit kan zien en wat dan de toegevoegde waarde is.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Deze checklist voorziet in stappen ter vermindering van kwetsbaarheid bij cyberaanvallen en is gebaseerd op zwakke plekken in netwerkbeveiliging die John Bumgarner en Scott Borg, respectievelijk Research Director Security Technology en Director bij de US-CCU, tijdens hun werk zijn tegengekomen.
Deutsche Telekom is actief in veel Europese landen in de gezondheidszorg, op het gebied van telecommunicatie, en op het gebied van ondersteuning van zorgprocessen. Sinds 1980 bieden wij in Nederland al oplossingen die variëren van ondersteuning van het werkproces van onder meer pathologie laboratoria tot en met het opzetten en beheren van landelijke databanken en het op moderne wijze mogelijk maken van uitwisseling van gegevens en informatie tussen instellingen/zorgverleners. Met veel kennis en ervaring binnen de gezondheidszorg staan wij voor onze klanten klaar met advies, ontwikkeling, implementatie en beheer.
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Verantwoord omgaan met persoonsgegevens valt of staat met een adequate beveiliging van de
gegevens. In de praktijk blijkt dat de aandacht voor beveiliging nogal eens tekortschiet. In de media
zijn vrijwel dagelijks berichten te vinden over datalekken door onvoldoende beveiliging, waardoor
persoonsgegevens op straat liggen. Het College bescherming persoonsgegevens (CBp) ontvangt ook
regelmatig signalen over tekortschietende beveiliging en de kwalijke gevolgen ervan.
Onderzoek Internationale IT Innovaties in de Nederlandse CareBerenschot
Berenschot onderzocht zeven IT-innovaties in de zorg en hun mogelijke toepasbaarheid op de Nederlandse care sector.
In dit boekje staat een preview van de resultaten van dit onderzoek.
Algoritmeregister in het onderwijs - Wilco Te Winkel (EUR) en Duuk Baten (SUR...SURF Events
De gemeenten Amsterdam gebruikt een algoritmeregister om transparant te zijn bij de inzet van algoritmen in de gemeentelijke dienstverlening. Tijdens deze sessie wordt er (interactief) ingegaan op de vraag hoe een register voor het onderwijs er uit kan zien en wat dan de toegevoegde waarde is.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Deze checklist voorziet in stappen ter vermindering van kwetsbaarheid bij cyberaanvallen en is gebaseerd op zwakke plekken in netwerkbeveiliging die John Bumgarner en Scott Borg, respectievelijk Research Director Security Technology en Director bij de US-CCU, tijdens hun werk zijn tegengekomen.
Deutsche Telekom is actief in veel Europese landen in de gezondheidszorg, op het gebied van telecommunicatie, en op het gebied van ondersteuning van zorgprocessen. Sinds 1980 bieden wij in Nederland al oplossingen die variëren van ondersteuning van het werkproces van onder meer pathologie laboratoria tot en met het opzetten en beheren van landelijke databanken en het op moderne wijze mogelijk maken van uitwisseling van gegevens en informatie tussen instellingen/zorgverleners. Met veel kennis en ervaring binnen de gezondheidszorg staan wij voor onze klanten klaar met advies, ontwikkeling, implementatie en beheer.
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
3. Medisch hulpmiddel?
Elk instrument, toestel of apparaat, elke software of stof of elk
ander artikel dat of die alleen of in combinatie wordt gebruikt, met
inbegrip van elk hulpstuk en de software die voor de goede werking
ervan benodigd is, dat of die door de fabrikant speciaal is bestemd
om te worden gebruikt voor diagnostische of therapeutische
doeleinden, en door de fabrikant is bestemd om bij de mens te
worden aangewend voor:
• diagnose, preventie, bewaking, behandeling of verlichting van
ziekten
• diagnose, bewaking, behandeling, verlichting of compensatie van
verwondingen of een handicap
• onderzoek naar of vervanging of wijziging van de anatomie of
van een fysiologisch proces
• beheersing van de bevruchting (art. 1.2a MDD)
3
4. Cyberaanvallen in de zorg?
‘Valse facturen
Een bijzondere vorm van zorg-gerelateerde cybercrime is het stelen van patiënten-
en of verzekeringsdossiers. Criminelen kunnen daarmee valse facturen declareren,
behandeling op kosten van het slachtoffer krijgen en medicijnen ophalen voor eigen
gebruik dan wel doorverkoop. Slachtoffers kunnen hierdoor voor duizenden euro’s
gedupeerd worden. Ook kan hun ziektekostendekking in het geding komen of
kunnen medische dossiers vervuild raken.’ – Bron: Skipr
4
6. Regels over de bescherming van
persoonsgegevens
• Artikel 17 Richtlijn 95/46/EG
In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens
(WBP) :
• Artikel 13 van de WBP vereist:
‘Passende technische en organisatorische maatregelen om
persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van
onrechtmatige verwerking.’
Het CBP over beveiliging van patiëntgegevens in een ziekenhuis:
• Beveiligingsrisico’s (doorlopend) in kaart brengen;
• Organisatorische en/of technische maatregelen treffen om de
geconstateerde risico’s zoveel mogelijk te beperken (denk hierbij
bijvoorbeeld aan updates);
• Het netwerk beveiligen door (technische) scheiding zoals segmentering
van diverse domeinen waar het een groot netwerk betreft.
6
7. - Inventariseer alle software en wanneer deze end of life is.
- Zorg voor tijdige updates van de software en vervang de end of life
software.
- Geen vervanging mogelijk van end of life software? Zorg voor
aanvullende maatregelen zoals het systeem afkoppelen van het netwerk
of op een gescheiden netwerk plaatsen met strikte toegangscontrole.
- Pas proactieve monitoring van het netwerk toe om afwijkend gedrag van
gebruikers en systemen te detecteren.
- Voer periodiek penetratietesten en controles uit om kwetsbaarheden in
systemen en apparatuur te ontdekken en tref maatregelen.
- Let op de voorwaarden van leveranciers; onder andere ten aanzien van
beveiliging en het leveren van updates.
Meer lezen? http://www.digitalezorg.nl/digitale/verwerking-en-beveiliging-
van-persoonsgegevens/
7
Beveiliging van patiëntgegevens
9. Richtlijn medische hulpmiddelen -
Bijlage 1 essentiële eisen
12.1 Hulpmiddelen met programmeerbare elektronische systemen
moeten zodanig zijn ontworpen dat herhaalbaarheid,
betrouwbaarheid en prestatievermogen van deze systemen
overeenkomstig het beoogde gebruik, gewaarborgd zijn. In geval
van een eerste fouttoestand (in het systeem) (‘single fault condition’)
moeten er passende maatregelen worden getroffen om de daaraan
verbonden risico's zoveel mogelijk uit te schakelen of te
verminderen.
12.1 bis In het geval van hulpmiddelen waarin software is
opgenomen of die op zichzelf medische software zijn, moet de
software met de meest geavanceerde methoden worden
gevalideerd, rekening houdend met de beginselen van de
ontwikkelingscyclus en van risicobeheer, validatie en verificatie.
Compliance? Implementatie standaard EN 62304 ‘software life-
cycle processes’. 9
10. EN 62304
Artikel 3.22: Definitie van ‘security’: protection of information and
data so that unauthorized people or systems cannot read or modify
them and so that authorized persons or systems are not denied
access to them (ISO/IEC 12207:1995 definition 3.25)
Verwijzing naar EN 14971:2012 standaard voor het toepassen van
risicomanagement op de beveiligingseisen. Deze standaard schrijft
een proces voor dat de fabrikant laat beredeneren aan welke
risico’s het hulpmiddel bloot staat en hoe die in het ontwerp ervan
geadresseerd zijn.
10
11. FDA
11
• Document: ‘Content of Premarket Submissions for
Management of Cyber security in Medical Devices’
Definitie cybersecurity: ‘the process of preventing unauthorized
access, modification, misuse or denial of use, or the unauthorized
use of information that is stored, accessed, or transferred from a
medical device to an external recipient.’
Fabrikanten van medische hulpmiddelen moeten maatregelen
ontwikkelen om de cyber security te handhaven en functionaliteit
en veiligheid van de medische hulpmiddelen te waarborgen.
PRAKTIJK: cybersecurity wordt niet als taak van de fabrikant
gezien.
12. Meer lezen?
12
Haal het nieuwe Digitalezorg.nl Magazine (nr. 4) bij standnummer
11.005
Online via: http://www.digitalezorg.nl/digitale/magazine/
19. Urgentie
• Snelheid van kennis ontwikkeling ≠ snelheid digitalisering.
• BYOD
• Apps
• Van binnen naar buiten het systeem (wie is verantwoordelijk)
• Integrale informatiebeveiliging (organisatorische en technische
maatregelen)
Meer risico’s:
• Apps
• BYOD
• SaaS
• Continuïteit : bedrijfskritieke systeem & applicaties (DDoS aanval
Boston Children’s Hospital 2014)
19
20. Verschuivingen verantwoordelijkheid
• Van zorg naar ondersteuning
• Van professional naar eigen sociale netwerk
(mantelzorger)
• Van instelling naar thuis
• Van voorschrijven naar zelf aangeven
• Verscherpte governance regels (toezichthouder
maatschappelijk verantwoordelijk)
21. Waarnemingen toezichthouder
1) Compliance speelt een steeds belangrijkere rol
2) Kennis: binnen de organisatie (ICT/medewerkers) en
visieontwikkeling
3) Lessen vanuit de ECD implementatie
Succesfactoren
1) Bewustwording
2) Risicoafweging - maak keuzes
3) ICT architectuur (standaarden) – informatiebeheer
(welke data hebben we en hoe kunnen we die
inzetten voor verbetering zorg )
21
22. Discussie
a)Waarom niet meer standaarden in de care?
b)Nieuwe wetgeving of zelfsturing?
c)Vinken of vonken?
d)Hoe komen we van kennis naar visie?
e)Wat kan de care leren van de cure?
25. Sofie van der Meulen
Axon Advocaten
Piet Heinkade 183
1019 HC Amsterdam
+31 88 650 6500
+31 6 53 44 05 67
sofie.vandermeulen@axonadvocaten.nl
Ingeborg van der Molen
Raad van Toezicht Groot Hoogwaak
JUSTthIS juridisch & informatieadvies
+31 6 23 54 72 19
ivandermolen@groothoogwaak.nl
info@justthis.eu
www.justthis.eu
Editor's Notes
Geen specifieke regels.
Toelichting aantallen 100.000 vliegbewegingen per dag, 25 milj. Passagiers per dag. Kans van 1/30 miljoen om te verongelukken tijdens een vlucht. Waarom gaat het goed, omdat standaarden zijn ontwikkeld die door iedereen die vliegt gebruikt wordt (IATA heeft dit bewerkstelligt).
Cijfers zorg lnagdurige zorg (ZMV en ZZV) 2013 (981.155). Totaal voor 2013 betrof het 1,2 miljoen patiënten (incl. pGB) in de langdurige zorg. Voor de cure was dit in 2011 10,7 miljoen mensen die medisch specilaitisiceh zorg ontvingen
Integrale informatiebeveiliging als een geheel (organisatorische vs. technische maatregelen)
Kennis verschil tussen jonge/oude medewerkers en huidige/toekomstige patienten
SaaS (wie beheert/wie is verantwoordelijk/waar staan de servers).
Vinken (= risicomanagement) of vonken (= waarden gedreven toezicht, maatschappelijk ondernemerschap, duurzaamheid)?