Meldplicht datalekken en Algemene verordening gegevensbescherming (achtergronden en verplichtingen) Mr. Dr. Anne Wil Duthler Advocaat en senator, voorzitter van de vaste Commissie Veiligheid en Justitie

Ervaringen van het VUmc aantallen en soorten datalekken Marcel van der Haagen Functionaris Gegevensbescherming / Information Security Officer

3

Signalering datalekken Meldsysteem incidenten informatiebeveiliging (intranet) Telefonisch Klachten Receptie en Beveiliging Helpdesk ICT afdeling Technical Security Officer ICT afdeling Contactpersonen Privacybescherming & Informatiebeveiliging Social Media Overige media Randvoorwaarde: awareness in organisatie!!

Afhandeling (ernstige) datalekken Beheersteam is de kern (juiste mensen bij elkaar) Procedure: -Melding bij FG -FG doet eerste onderzoek (datalek?) -Direct beheersmaatregelen treffen -FG neemt contact op met secretaris RvB -Indien noodzakelijk inschakelen lid RvB -Indien noodzakelijk vormen beheersteam -Bepalen schade betrokkene(n) en VUmc -Bepalen ketenschade -Binnen 2 werkdagen melden bij Autoriteit (AP) -Informeren betrokkene(n) -Afhandelen (documenteren, structurele maatregelen, etc) 5

Samenstelling Beheersteam en rollen Uitgangspunt: juiste mensen met juiste bevoegdheden Lid Raad van Bestuur (beslisser) Technical Security Officer (ICT informatiebeveiliging) Hoofd Veiligheid (Fysieke Beveiliging) Directeur Communicatie (Communicatie) Voorzitter commissie PB&IB (arts, PB&IB zorgproces) Secretaris Raad van Bestuur (contact met RvB) Senior jurist (gezondheidsrecht) Betrokken medewerker incl. leidinggevende (kennis incident) Functionaris gegevensbescherming (privacybescherming en procesbegeleider)

Datalekken Gestolen laptop met onderzoeksgegevens (geen beveiliging laptop, geen encryptie) Gestolen portemonnee met geheugenkaart met filmbeelden spreekuur (onbeveiligde geheugenkaart) NAW gegevens van VUmc patiënten zichtbaar in AMC (onterecht operationele zoekroutine in UMCA patiëntenbestand) Volledig EPD van VUmc patiënten zichtbaar en muteerbaar in AMC (fout bij conversie van EPD VUmc patiënten naar UMCA) Hack van VUmc testaccount waardoor toegang tot bestanden met (hoog) vertrouwelijke gegevens (onvoldoende toegangsbeveiliging) Verkeerd geadresseerde met labuitslag

Aantallen en soorten (1-1 tm 2-6) 9 datalekken behandeld 1 in domein onderzoek 1 in domein opleiding 7 in domein zorg Waarvan: 1 gemeld bij betrokkene 2 gemeld bij zowel AP als betrokkenen 1 persbericht Totaal aantal gemelde incidenten gemeld in 2015: 40

Opvallende zaken Onzorgvuldigheid belangrijkste oorzaak (met stip) Nemen van verantwoordelijkheid door RvB Regierol functionaris gegevensbescherming Eenvoudige procedure met duidelijke rolverdeling Samenstelling beheersteam Escalatieprocedure van belang voor proportionaliteit vervolgacties Onderzoek zorgvuldig uitvoeren Beleidsregels zorgvuldig toepassen Eerste dag van melding snel handelen Alle feiten, tijden, acties, bevindingen en conclusies goed documenteren

Opvallende zaken vervolg Communicatie met betrokkenen! Afhandeling datalek kost veel tijd (gemiddeld 1 dag) Website AP voor melding is gebruikersonvriendelijk AP……….. tot op heden zwart gat…

Voorkomen datalek Awareness Beveiligingsmaatregelen op orde (NEN7510) Beleid, risicoanalyses, maatregelen, controle op maatregelen PDCA cyclus op informatiebeveiliging Externe audits

Zorgadministrateur FG? Zorgadministrateur heeft brede kennis van gegevensverwerkende processen Zorgadministrateur kent de organisatie Zorgadministrateur is gewend te communiceren met alle lagen van de organisatie Zorgadministrateur is gewend te werken met ingewikkelde wet- en regelgeving Privacybescherming en informatiebeveiliging reeds onderdeel van werk Nieuwe uitdaging?!

13