Ledenbijeenkomst BTN - NEN 7510 Informatiebeveiliging Introductie; wie zijn wij? - Aanleiding: informatiebeveiliging in de VVT-sector - Douwe de Jong - Mark Hoevers Agenda 5 min Waarom informatie beveiligen? 10 min e-Learning 15 min Basisbeveiligingsmodel Care 15 min Discussie en vragen 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Ledenbijeenkomst BTN - NEN 7510 Informatiebeveiliging Waarom beveiligen? - Beveiliging helpt de organisatiedoelen te bereiken - IB is een enabler; ondersteunt de ‘core business’ - Voorkomt imagoschade - Wet Bescherming Persoonsgegevens (Wbp): adequate beveiliging - Richtsnoer ‘Beveiliging van Persoonsgegevens’ - Nieuwe ontwikkelingen leiden tot nieuwe risico’s; - BYOD, social media, cloud computing, cybercrime, etc. - Kwaliteitswet zorginstellingen: - Verantwoorde zorg - Bewust beleid - Kwaliteitssysteem - Kwaliteitsjaarverslag - De directie is hoofdelijk aansprakelijk - Straks: EU-verordening (persoons)gegevensbescherming 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Ledenbijeenkomst BTN - NEN 7510 Informatiebeveiliging NEN 7510 zo’n 137 best practices - sluit aan bij ISO 27001 (PDCA verplicht) Hoge Raad: wie aansluit bij de normen uit NEN 7510 wordt geacht aan de wettelijke prestatievereisten (Kwaliteitswet, Wbp) te voldoen IGZ: NEN 7510 verplicht voor ziekenhuizen - overige zorginstellingen: toenemende druk toezichthouders 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Ledenbijeenkomst BTN - NEN 7510 Informatiebeveiliging Accent bewustwording! NEN 7510 § 8.2.2 Bewustzijn, opleiding en training t.a.v. informatiebeveiliging Een organisatie die patiëntgegevens verwerkt behoort ervoor te zorgen dat opleiding en training inzake informatiebeveiliging zijn geregeld voor alle medewerkers bij aanvang van het dienst-verband en dat regelmatige opfrissing van de kennis is voorzien. 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Voordelen e-learning: - laagdrempelig - groot bereik - te koppelen met personeelssysteem => aantoonbaarheid - Leer ManagementSysteem (LMS) ook voor Voorbehouden Risicovolle Verrichtingen (VRV) en Bedrijfshulpverlening (BHV) Doelgroepen: - leidinggevenden - medewerkers met account (ICT) - medewerkers zonder account (papier, telefoon, openbare plaatsen, e.d.) 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Onderwerpen Dagelijkse praktijksituaties, zoals: - veilig omgaan met vertrouwelijke gegevens - veilig omgaan met ICT-middelen - veilig gebruik van e-mail - veilig gebruik van internet - sociale media en je werk - veilige gegevensuitwisseling met derden - veilig werken onder druk - veilig thuiswerken - houd je aan de wet - meld incidenten - et cetera 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: Vraag en antwoorden 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: uitleg na antwoord 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Voorbeeldscherm: aanvullende informatie 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Evalueren periodiek actualiseren Bij een tweetal instellingen is een evaluatie van het e-learningprogramma uitgevoerd Op basis van de resultaten daarvan zal het programma aangepast worden Volgende versie ook controlevragen om te testen of de aanvullende informatie/uitleg gelezen is Ook periodiek actualiseren afhankelijk van diverse ontwikkelingen - techniek - wet- en regelgeving - dreigingsbeeld - e.d. 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Evaluatie 1 - pilot met 90 deelnemers, vooral leidinggevenden en staffunctionarissen - 32 personen gaven feedback - vrijwel alle reacties zijn zeer positief - nuttig voor de medewerkers binnen hun organisatiedeel - zou verplicht gesteld moeten worden - de opstartprocedure wordt ingewikkeld gevonden - je hebt meer dan een half uur nodig voor de module - verdere inzet van deze tool in de gehele organisatie is aan te bevelen 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Evaluatie 2 - opzet pilot: 10 representanten - unaniem positief; verdient opvolging - vragen zijn helder gesteld - voorbeelden spreken aan - plaatjes wat kleurloos - moet beter op maat gemaakt worden voor de specifieke situatie bij de instelling 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Praktisch: - platformonafhankelijk - aansluiten op de praktijk van alle dag - mogelijkheid om zelf onderwerpen toe te voegen - begin met enkele codes in een pilot omgeving, daarna, evt. na aanpassing, volledige uitrol - is ook leerzaam in combinatie met een workshop - kosten tussen de € 3 en € 10, afhankelijk van de omvang van de organisatie 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Veilig omgaan met cliëntinformatie E-learning IB Veilig omgaan met cliëntinformatie Demo-versie voor iedereen te benaderen https://login.niveo.nl/ Inloggen: Gebruikersnaam = beurs Wachtwoord = bezoeker Wijs aan Veilig omgaan met cliëntinformatie VVT (demo) ga naar Selecteer 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging een handreiking voor het inrichten en onderhouden van informatiebeveiliging volgens de NEN 7510 in de care sector 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Informatie beveiligen: Inventariseren belang informatie t.o.v. zorgprocessen + risico’s Classificeren in welke mate belangrijk? kwetsbaar? Maatregelen selecteren afhankelijk van risicoklasse 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Informatie beveiligen: Inventariseren Classificeren Maatregelen selecteren BBMCare producten: I&C document IB verantwoording Werkdocument NEN 7510 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen I&Cdocument IB Bedrijfs processen ITobjecten Betrouwbaarheids-eisen - sturing/verantw zorglevering fin.afh zorg bedr.onderst. etc ITdiensten applicaties informatie middelen Beschikbaarheid (B) Integriteit (I) Vertrouwelijkheid (V) Dreigingen Risicoscenario’s kans op voorkomen mogelijke schade instelling mogelijke schade client 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen I&Cdocument IB Bedrijfs processen ITobjecten Betrouwbaarheids-eisen - sturing/verantw zorglevering fin.afh zorg bedr.onderst. etc ITdiensten applicaties informatie middelen Beschikbaarheid (B) Integriteit (I) Vertrouwelijkheid (V) Classificaties Laag Gemiddeld Hoog Zeer hoog Dreigingen Risicoscenario’s kans op voorkomen mogelijke schade instelling mogelijke schade client 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen Excelsheet Werkdocument NEN 7510 Beheers-maatregelen Relatie met . . . Verant-woording Uitvoerings-informatie NEN 7510 H5 t/m H15 BIV, Wbp NEN7512 en kwaliteit Baseline zorgsectorgeneriek 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Inventariseren + classificeren => beveiligingen Excelsheet Werkdocument NEN 7510 Beheers-maatregelen Relatie met . . Verant-woording Uitvoerings-informatie NEN 7510 H5 t/m H15 BIV, Wbp NEN7512 , kwaliteit Baseline, SOLL (agv RA) IST , verbeter-plannen zorgsectorgeneriek => instellingspecifiek => ISMS 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging BBMCare Zorgsectorgenerieke risicoanalyse: Inventarisatie- en classificatiedoc Baseline zorgsector Werkdoc NEN 7510 Instellingspecifieke risicoanalyse: Inv- en class.doc Instelling 1.0 Werkdoc NEN 7510 Instelling 1.0 Beveiligingsplan Inv- en class.doc Instelling versie x Werkdoc NEN 7510 Instelling versie x Verbeterplannen ISMS: Verantwoording I&Cdoc Werkdoc 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Handleiding BBMCare Stappenplan BBMCare I&Cdoc Ouderenzorg I&Cdoc GGZ I&Cdoc Geboortezorg I&Cdoc Xxxxzorg Werkdoc NEN 7510 Ouderenzorg Werkdoc NEN 7510 GGZ Werkdoc NEN 7510 Geboortezorg Werkdoc NEN 7510 Xxxxzorg Baseline Ouderenzorg Baseline GGZ Baseline Geboortezorg Baseline Xxxxzorg 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Typering BBMCare t.o.v. gangbare baselines Uitgewerkte RA zorgsector instellingspecifieke RA nagenoeg ‘vanzelf’ eventueel later als 1e verbeteractie Geen uitwerking beheersmaatregelen! daarvoor beschikbaar: Praktijkboek NEN 7510; voorbeelden en templates NEN 7512, 13 en 21: bijzondere detailleringen Wbp: aanbevelingen Cbp Richtsnoeren ZZ3: maatregelen en toetsingscriteria Tactische baseline overheid (BIR) en gemeenten 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Stappenplan inrichten IB volgens BBMCare Voorbereiding doelstelling en commitment IB I&Cdocument instellingsspecifiek maken voeg ITcomponenten instelling toe beoordeel tabellen en classificaties Werkdoc NEN 7510 instellingsspecifiek maken + uitvoeringsinfo wat is er al? => 0-meting = IST wat zou moeten? => koppeling met I&Cdoc = SOLL wat kan? => verbeterplan = mee met Qsysteem 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Ambitie BBMCare Een praktische start . . ga uit van sectorspecifieke zaken (is al gedaan) doe een globale toetsing (=> SOLL) . . met een eenvoudig kader om bev.activiteiten in onder te brengen . . wat is er al? 0-meting (IST) wat zou moeten (SOLL) verbeterplannen ondersteunen . . dat controleerbaar en onderhoudbaar is! aansluiten op bestaand kwaliteitsmanagementsysteem (PDCA) 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Praktische informatie Kosten: 2500 – 7000 Euro afh. van aantal medewerkers incl. 2 dagdelen ondersteuning Wat krijgt u daarvoor: Presentatie BBMCare I&C document IB Ouderenzorg Werkdocument NEN 7510 Ouderenzorg Handleiding en Stappenplan BBMCare 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510
Basisbeveiligingsmodel Care Handreiking informatiebeveiliging Vragen? Later vragen? mail naar mark.hoevers@trustmarq.nl of douwe@dejong-itadvies.nl en u ontvangt Introductie & Stappenplan BBMCare 13 februari 2014 Ledenbijeenkomst BTN - NEN 7510