Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter.

Slides:



Advertisements
Verwante presentaties
Een gebrek aan patiëntveiligheid
Advertisements

1 De invloed van de organisatie op het meldgedrag van managers en medewerkers: een kijkje in de keuken Muel Kaptein Transparency International, April 21,
VCA HOOFDSTUK 3 ONGEVAL.
Melden voorvallen aan ABL door Schiphol Nederland BV.
Veiligheidsincidenten de afgelopen maand? 21 mei
Accreditatierichtlijn beveiliging van bestanden
Een gestructureerde manier van rapporteren en analyseren
Hoofdstuk 3 – Gegevens verzamelen
De GHOR, de zorginstelling en het regionaal crisisplan
Eenduidig en verantwoord elektronisch bestuurlijk verkeer
Hoofdstuk 7 Procesmanagement.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
CASE VDAB: Als een vonkje vuurwerk wordt …
Juridische procedures: een routebeschrijving Bestuurs- en Concerndienst Afdeling Juridische Zaken.
© Significant Meten met de CQ-index Klantervaring telt, 24 april 2007, Rotterdam.
Crisismanagement in de zorg: communicatie op het grensvlak met het openbaar bestuur 1 november 2012 Marco Zannoni.
Congres Cliëntenraden en zorginkoop
Moreel Beraad in het Sociaal Domein
SCIENTIFIC INSTITUTE OF PUBLIC HEALTH CLINICAL BIOLOGY DEPARTMENTDr. ANNE VAN NEROM Rol van de Bevoegde Overheid bij incidenten.
BOT Bedrijfs Opvang Team
Toolbox: WPI door DMT-leden
Een zorgsysteem voor betere arbeidsomstandigheden
Werken met de Friese meldcode
Aanstaande privacywetgeving
SURF Juridisch normenkader cloudservices
What the #hack?! privacy Job Vos – jurist, FG en privacy-expert Kennisnet MBO Raad 22 april 2015.
Calamiteit: donderslag bij heldere hemel
Persoonsgegevens en de Wbp
Informatiebeveiligingsbeleid gemeente Delft Presentatie: Hanneke Koenen Commissie R & A
OM en medisch beroepsgeheim Openheid & OM OM legt op zitting steeds verantwoording af; Openheid is een pijler van de rechtstaat; Macht die.
Privacy in het sociaal domein Raadscommissie 15 januari 2015.
Meldplicht Datalekken
Patiënt Zorgverlener Leidinggevenden Voor een open omgeving moet op deze drie niveaus beleid bestaan.
Een datalek, wat nu?! De Wet bescherming persoonsgegevens,
GELEKT, WAT NU? HET MELDINGSPROCES. WORKSHOP - PROGRAMMA TE BEANTWOORDEN VRAGEN DEZE MIDDAG WAT IS EEN DATALEK? ERVARINGEN? CASE: GELEKT, WAT NU? HET.
De rol van de FG Beer Franken – AMC Chief information security & privacy protection officer.
PRIVACY EN MELDPLICHT DATALEKKEN 14 APRIL  Wet Bescherming Persoonsgegevens (Wbp)  Max boete: € ,-  Toezichthouder: Autoriteit Persoonsgegevens.
Gegevensbescherming voor webmasters
Klokkenluidersregeling Actan adviseurs & accountants
Meld plicht Datalekken
CRM vanuit het incidenten perspectief
Klachtenregeling Actan adviseurs & accountants
Format Presentatie CISO aan gemeentebestuur
Privacy binnen de Drechtsteden
Bescherming Persoonsgegevens
Privacy binnen de Drechtsteden
Inkoopcoöperatie.
Autoriteit Persoonsgegevens Toezicht onder de AVG
Kennis- en netwerkdag ABR Zorgnetwerk Zuidwest-Nederland
Cliëntenraad Sociaal Domein
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
INFORMATIEBEVEILIGING EN pRIVACY (IBP) Stichting LeerSaam
ZIVVER introductie implementatieaanpak
Opleiding FG De belangrijkste wettelijke kaders Luuk Arends (advocaat)
Algemene Verordening Gegevensbescherming youtube
Strategisch support Management support Strategie Tactisch support
Privacy en Leerplicht/RMC
Mr. I.W. van Osch 360|Advocaten
Procesondersteuning binnen de sociale zekerheid
GDPR/AVG General Data Protection Regulation /
NVVB Afdelingscongres Limburg/Noord-Brabant
Privacy en Leerplicht/RMC
INTRO De nieuwe privacy verordening & ons kantoor.
Workshop Wie heeft welke rol?
Functionaris Gegevensbescherming a.i Gemeente Katwijk
Algemene verordening Gegevensbescherming AVG
GDPR.
het Naoberhuis Algemene Verordening Gegevensbescherming
IBP en AVG, wat moet wij er op school mee?
Privacy 0-meeting Deze rapportage is interactief gemaakt!
Transcript van de presentatie:

Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter van de vaste Commissie Veiligheid en Justitie

Ervaringen van het VUmc aantallen en soorten datalekken Marcel van der Haagen Functionaris Gegevensbescherming / Information Security Officer

3

Signalering datalekken Meldsysteem incidenten informatiebeveiliging (intranet) Telefonisch Klachten Receptie en Beveiliging Helpdesk ICT afdeling Technical Security Officer ICT afdeling Contactpersonen Privacybescherming & Informatiebeveiliging Social Media Overige media Randvoorwaarde: awareness in organisatie!!

Afhandeling (ernstige) datalekken Beheersteam is de kern (juiste mensen bij elkaar) Procedure: -Melding bij FG -FG doet eerste onderzoek (datalek?) -Direct beheersmaatregelen treffen -FG neemt contact op met secretaris RvB -Indien noodzakelijk inschakelen lid RvB -Indien noodzakelijk vormen beheersteam -Bepalen schade betrokkene(n) en VUmc -Bepalen ketenschade -Binnen 2 werkdagen melden bij Autoriteit (AP) -Informeren betrokkene(n) -Afhandelen (documenteren, structurele maatregelen, etc) 5

Samenstelling Beheersteam en rollen Uitgangspunt: juiste mensen met juiste bevoegdheden Lid Raad van Bestuur (beslisser) Technical Security Officer (ICT informatiebeveiliging) Hoofd Veiligheid (Fysieke Beveiliging) Directeur Communicatie (Communicatie) Voorzitter commissie PB&IB (arts, PB&IB zorgproces) Secretaris Raad van Bestuur (contact met RvB) Senior jurist (gezondheidsrecht) Betrokken medewerker incl. leidinggevende (kennis incident) Functionaris gegevensbescherming (privacybescherming en procesbegeleider)

Datalekken Gestolen laptop met onderzoeksgegevens (geen beveiliging laptop, geen encryptie) Gestolen portemonnee met geheugenkaart met filmbeelden spreekuur (onbeveiligde geheugenkaart) NAW gegevens van VUmc patiënten zichtbaar in AMC (onterecht operationele zoekroutine in UMCA patiëntenbestand) Volledig EPD van VUmc patiënten zichtbaar en muteerbaar in AMC (fout bij conversie van EPD VUmc patiënten naar UMCA) Hack van VUmc testaccount waardoor toegang tot bestanden met (hoog) vertrouwelijke gegevens (onvoldoende toegangsbeveiliging) Verkeerd geadresseerde met labuitslag

Aantallen en soorten (1-1 tm 2-6) 9 datalekken behandeld 1 in domein onderzoek 1 in domein opleiding 7 in domein zorg Waarvan: 1 gemeld bij betrokkene 2 gemeld bij zowel AP als betrokkenen 1 persbericht Totaal aantal gemelde incidenten gemeld in 2015: 40

Opvallende zaken Onzorgvuldigheid belangrijkste oorzaak (met stip) Nemen van verantwoordelijkheid door RvB Regierol functionaris gegevensbescherming Eenvoudige procedure met duidelijke rolverdeling Samenstelling beheersteam Escalatieprocedure van belang voor proportionaliteit vervolgacties Onderzoek zorgvuldig uitvoeren Beleidsregels zorgvuldig toepassen Eerste dag van melding snel handelen Alle feiten, tijden, acties, bevindingen en conclusies goed documenteren

Opvallende zaken vervolg Communicatie met betrokkenen! Afhandeling datalek kost veel tijd (gemiddeld 1 dag) Website AP voor melding is gebruikersonvriendelijk AP……….. tot op heden zwart gat…

Voorkomen datalek Awareness Beveiligingsmaatregelen op orde (NEN7510) Beleid, risicoanalyses, maatregelen, controle op maatregelen PDCA cyclus op informatiebeveiliging Externe audits

Zorgadministrateur FG? Zorgadministrateur heeft brede kennis van gegevensverwerkende processen Zorgadministrateur kent de organisatie Zorgadministrateur is gewend te communiceren met alle lagen van de organisatie Zorgadministrateur is gewend te werken met ingewikkelde wet- en regelgeving Privacybescherming en informatiebeveiliging reeds onderdeel van werk Nieuwe uitdaging?!

13