De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Softwareleveranciersdag 2014 “Vertrouwen in de keten” 10-04-2014 André de Wit & Marc Hagemeijer.

Verwante presentaties


Presentatie over: "Softwareleveranciersdag 2014 “Vertrouwen in de keten” 10-04-2014 André de Wit & Marc Hagemeijer."— Transcript van de presentatie:

1 Softwareleveranciersdag 2014 “Vertrouwen in de keten” André de Wit & Marc Hagemeijer

2 “Vertrouwen in de keten”  Wat is vertrouwen, hoe wordt het gecreëerd en hoe wordt het geschaad?  Voorbeelden van “schaden” (incidenten)  Onderzoek CBP  Reacties / standpunt partijen  Ontwikkeling privacy wetgeving EU  Waarom vertrouwen?  Uitgangspunten en heldere afspraken - Hoe gaan we in de keten met elkaar om? Marc André 2  Wat is de keten?  Reden voor ketenvorming?  Zorg in en wensen van de keten.  Interactieve sessies – de deelvragen

3  Marc Hagemeijer, 1965  IT security ervaring sinds 1999  Compliance & Risk Officer, VECOZO  “Beheren” van de VECOZO security functie  Inzicht geven + mitigeren van risico’s  Voldoen aan wet- en regelgeving  Effectiviteit van beveiligingsmaatregelen  VECOZO een betrouwbare partij in de zorgketen te laten zijn. Maar wie zijn Marc en André? Marc André 3  André de Wit, 1964  Achtergrond Geo-informatie / ICT 1986  Eindverantwoordelijk Promeetec & ProVos  (declaratie)communicatie ZA  ZVZ  Advies/ondersteuning –optimaliseren- declareren.  Bewustwording van jezelf als schakel in de keten.

4 “Wat is de keten” (deel 1) Een keten is een samenwerkingsverband tussen organisaties die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven. … ketenpartners zijn zelfstandig, maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van de gezamenlijke doelstellingen…..

5 “Wat is de keten” (deel 2)  Aantal kenmerken van ketens…..  Uiteenlopende belangen (samenwerking tussen ‘onafhankelijke’ organisaties)  Afhankelijkheid (onderlinge en wederzijdse afhankelijkheid). Geen van de partners is in staat de gewenste doelstelling zelf te bereiken.  Geen baas (geen eenhoofdige leiding) die in geval van conflicten tussen de organisaties een beslissend oordeel kan vellen.  Onevenwichtigheid. Inbreng en differentiatie in vakinhoudelijke inbreng. Dit zet spanning op het evenwicht binnen de keten. Gelijkwaardigheid komt in de praktijk zelden voor. Dit betekent echter niet dat de prominentere partner zich ook als zodanig kan gedragen: dus uitdrukkelijk rekening houden met de belangen andere partners.  Ketens worden niet opgezet in een statische, maar in een dynamische omgeving!  Over het algemeen een duurzaam karakter hebben. Dus voor langere tijd.  Typen ketens (doelen)  Reduceren van kosten  Verbeteren van dienstverlening

6 “Reden voor ketenvorming?”  Dienstverlening aan de klant (1 loket gedachte).  Administratieve lastenverlichting.  Terugdringen fouten.  Efficiency (kan goedkoper worden gewerkt en kunnen uitvoeringskosten worden verlaagd).  Innovatie (een succesvolle ketensamenwerking stimuleert creativiteit en draagt daarmee bij aan innovatie, nieuwe producten en vormen van dienstverlening).

7 Zorg in en wensen van de keten Client 1.Gezondheid / Herstel (de beste zorg) Zorg- aanbieder 1.Cliënt tevredenheid!

8 Zorg in en wensen van de keten Client Wetgeving & Toezichthouders 1.Maatschappelijke ontwikkelingen 2.Democratisch/Parlementair debat 3.Uitvoer- toetsbare wetgeving 1.Gezondheid / Herstel (de beste zorg) 2.Betaalbare zorg Zorg- aanbieder 1.Cliënt tevredenheid! 2.(On)rechtmatig bezig? 3.Conform verwachting Toezichthouders

9 Zorg in en wensen van de keten Client Zorg- aanbieder Zorg- verzekeraar Wetgeving & Toezichthouders 1.Kosten/Baten 2.Toezichthouder 1.Cliënt tevredenheid! 2.(On)rechtmatig bezig? 3.Conform verwachting Toezichthouders 4.Declaratie vereisten. 1.Maatschappelijke ontwikkelingen 2.Democratisch/Parlementair debat 3.Uitvoer- toetsbare wetgeving 4.Voldoende mandaat 1.Gezondheid / Herstel (de beste zorg) 2.Betaalbare zorg 3.Transparantie kosten •Eigen risco •Eigen bijdrage •Veranderden wet- en regelgeving 4.Transparantie kosten.

10 Zorg in en wensen van de keten Client Zorg- aanbieder VECOZO Zorg- verzekeraar Wetgeving & Toezichthouders 1.Kosten/Baten 2.Toezichthouder 1.SMART maken van voorwaarden 1.Cliënt tevredenheid! 2.(On)rechtmatig bezig? 3.Conform verwachting Toezichthouders 4.Declaratie vereisten. 1.Maatschappelijke ontwikkelingen 2.Democratisch/Parlementair debat 3.Uitvoer- toetsbare wetgeving 4.Voldoende mandaat 1.Gezondheid / Herstel (de beste zorg) 2.Betaalbare zorg 3.Transparantie kosten •Eigen risco •Eigen bijdrage •Veranderden wet- en regelgeving 4.Transparantie kosten.

11 Zorg in en wensen van de keten Client Zorg- aanbieder Softwarelev. & Tussenpartij VECOZO Zorg- verzekeraar Wetgeving & Toezichthouders 1.Kosten/Baten 2.Toezichthouder 1.SMART maken van voorwaarden 2.Herkenbaarheid rol SL/TP 1.(H)erkenning in keten 2.Geïnformeerdheid m.b.t. voorwaarden 3.Feedback 1.Cliënt tevredenheid! 2.(On)rechtmatig bezig? 3.Conform verwachting Toezichthouders 4.Declaratie vereisten. 5.Vertrouwen in  Oplossing software  Uitbestede taken  Consultancy  Verlaging lasten (efficiënt proces) 1.Maatschappelijke ontwikkelingen 2.Democratisch/Parlementair debat 3.Uitvoer- toetsbare wetgeving 4.Voldoende mandaat 1.Gezondheid / Herstel (de beste zorg) 2.Betaalbare zorg 3.Transparantie kosten •Eigen risco •Eigen bijdrage •Veranderden wet- en regelgeving 1.Gezondheid / Herstel (de beste zorg) 2.Betaalbare zorg 3.Transparantie kosten •Eigen risco •Eigen bijdrage •Veranderden wet- en regelgeving 4.Transparantie kosten

12 “Vertrouwen in de keten”  Wat is vertrouwen?  Van Dale: Geloof in iemands goede trouw en eerlijkheid  Wikipedia: Bereidheid om afhankelijk te zijn van de daden van een ander  Wikipedia: Geloven dat een ander eerlijk is of dat iets goed zal gaan  De overtuiging dat iets of iemand volgens een verwachting acteert  Hoe wordt vertrouwen gecreëerd?  Het is kwetsbaarheid die vertrouwen haar waarde geeft [Ferrucci]  Geïnteresseerdheid, serieus nemen, gelijkheid, loslaten, aanspreken, eerlijkheid, verwachtingen afstemmen enz.  Hoe wordt vertrouwen geschaad?  Vertrouwen is goed, controle is beter [Lenin]  Veel beloven verzwakt het vertrouwen [Horatius].  Ondubbelzinnigheid in wetgeving en handhaving. 12

13 [Bron: https://www.security.nl/] Voorbeelden van “schaden” (incidenten) [Bron: [Bron: [Bron: https://www.security.nl/] 13

14 Onderzoek CBP (juni 2013). [Bron: patientendossiers-binnen-zorginstellingen.aspx] 14 Waar rook is, is vuur.

15 [Bron: Standpunt van een brancheorganisatie 15

16 Standpunt van Zorgverzekeraars  Teneinde een zorgvuldige omgang met persoonsgegevens te waarborgen zijn in de “Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars” gedragsregels geformuleerd voor zorgverzekeraars. De Gedragscode is door het CBP goedgekeurd op  Uniforme maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties (8 mei 2013)  Gezamenlijk Toetsingskader Informatie- beveiliging voor uitbesteding (concept) •DNB – CobiT •Extra aanvullende maatregelen [Bron: https://www.zn.nl/concept/branche/gedragscode/] 16

17 Ontwikkelingen privacy wetgeving Europa Woensdag 12 maart, op de 25e verjaardag van het internet, heeft het Europees Parlement ingestemd met een nieuwe privacy verordening. Momenteel buigt de Europese Raad zich over het voorstel. Waarschijnlijk zullen de nieuwe regels in 2015 of 2016 gaan gelden. Belangrijkste punten uit het voorstel:  Het voorstel wordt geen richtlijn, maar een EU-verordening (Europese wetgeving).  De burger heeft het recht om 'vergeten' te worden: Je data kunnen deleten op het moment dat jij dat wilt.  Makkelijker toegang tot je eigen data: Het recht om je persoonlijke data te verplaatsen naar een andere provider.  Controle over je eigen data: Burgers moeten expliciet toestemming geven aan bedrijven die hun data willen opvragen. Niets zeggen betekent dus niet automatisch toestemmen.  Databescherming als eerste prioriteit: Producten en diensten moeten bij voorbaat gebouwd worden op de principes van databescherming. Bij de ontwikkeling van bijvoorbeeld sociale netwerken moet databescherming meteen ingebouwd worden en niet pas later in het proces een rol krijgen.  Bedrijven en organisaties moeten ernstige gegevenslekken binnen 24 uur melden.  Boetes voor bedrijven die de regels over databescherming schenden tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet. [Bron oa: https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy- verordening-2014.aspx en verordening-2014.aspx 17

18 Waarom “Vertrouwen in de keten” Vertrouwen, of het betrouwbaar zijn, wordt steeds meer een must, opgelegd vanuit de overheid/toezichthouders, maar ook geëist vanuit klant/patiënt. Standaard middel om dit te organiseren: Controle, toezicht, aantoonbaarheid Negatieve bijverschijnselen van Controle?  Controle is historisch gezien altijd verbonden geweest met dwang.  Controle is zand in de motor van effectieve samenwerking.  Controle verlamt professionaliteit en creativiteit.  Controle is gebaseerd op wantrouwen.  Controle veroorzaakt twee werelden, de gecontroleerde en de werkelijke (schijnzekerheid).  Controle kost ons allemaal geld.  Hoe creëren we “Vertrouwen in de keten” zonder ten onder te gaan aan controle? 18

19 Uitgangspunten voor “Vertrouwen in de keten”  Er moet een goede balans zijn tussen controle en loslaten (rekening houdend met wet- en regelgeving).  Vertrouwen is geen gegeven, maar groeit vanuit een (geverifieerde) basis.  Als controle noodzakelijk is moet dit gezien worden als opbouwende kritiek om daarmee het vertrouwen te bevorderen.  Als controle noodzakelijk is moet het doel erachter duidelijk zijn en geaccepteerd worden.  Meten is weten, weten geeft vertrouwen.  Basis van vertrouwen wordt gevormd door heldere wederzijdse afspraken over hoe je met elkaar omgaat en werkt (verwachtingsmanagement).  Als een partij die verwachtingen (en daaraan gerelateerde vertrouwen) niet invult moet men zich afvragen of die partij wel past in onze vertrouwensketen. 19

20 Hoofdlijnen VECOZO (concept) beleid aansluiting externe partijen op productieomgeving: 1.Externe partijen worden gecategoriseerd op basis van verschillende criteria (AGB code, gegevens uit het Handelsregister, UZOVI code, BIG registratie, verklaring Wtzi, deskresearch ed). 2.Er zijn vijf categorieën partijen: Zorgaanbieders, Tussenpartijen, Softwareleveranciers, Derden en overige. 3.Zorgaanbieders kunnen gebruik maken van VECOZO-diensten en zijn eindverantwoordelijk voor het juiste gebruik hiervan. 4.Tussenpartijen kunnen gebruik maken van VECOZO-diensten indien zij door een Zorgaanbieder middels een toestemmingsverklaring gemachtigd zijn. 5.VECOZO-diensten kunnen gebruikt worden indien een minimale set van organisatorische en technische maatregelen aantoonbaar effectief zijn. 6.De wijze van authenticatie van een aangesloten partij (Contracthouder) is afhankelijk van de classificatie van de VECOZO-dienst en onafhankelijk van de wijze waarop wordt geconnecteerd. 7.Het minimale niveau van authenticeren geldt zowel voor het direct connecteren met VECOZO als voor het connecteren van een Zorgaanbieder via een Tussenpartij met VECOZO. Heldere afspraken 20

21 Heldere afspraken 21

22 1.“Vertrouwen in de keten” – (H)erken je de noodzaak van het organiseren van vertrouwen in de keten? 2.Verantwoordelijkheden in de keten – Wie is tot waar verantwoordelijk voor gegevensbeveiliging en privacy? Waarom en welke persoonsgegevens communiceren we met elkaar? Welke legitimiteit ligt er aan te grondslag? Zijn we bewust van de risico’s? 3.Helderheid in wet- en regelgeving in de zorg – Ieder zijn eigen probleem of verwacht men van een partij een faciliterende / adviserende rol op dit gebied? Van welke normenkaders gaan we uit? 4.Technische en organisatorische maatregelen (ter bescherming van persoonsgegevens) – Ieder zijn eigen interpretatie of bepaald door en voor de keten? Aantoonbaarheid? 5.Inzet van authenticatiemiddelen – Zorg specifiek (VECOZO certificaat, UZI-pas) en/of meeliften met globale initiatieven (eHerkenning, eID)? Gebruik maken van bijvoorbeeld de Single Sign On methodiek van VECOZO? 6.Samen-werken aan vertrouwen - Op welke wijze kunnen ketenpartners elkaar hierin versterken? Gaan we hierin VECOZO (h)erkennen als de ketenpartner (shared service center)? 7.Kennisdeling Delen van kennis rondom bescherming persoonsgegevens? Behoefte aan (praktische) opleiding/cursussen? Opzetten van keurmerk? Interactieve sessies – de deelvragen 22

23 Softwareleveranciersdag 2014 “Met vertrouwen de kansen in de keten zien!” Bedankt voor uw aandacht en tot straks!


Download ppt "Softwareleveranciersdag 2014 “Vertrouwen in de keten” 10-04-2014 André de Wit & Marc Hagemeijer."

Verwante presentaties


Ads door Google