Softwareleveranciersdag 2014 “Vertrouwen in de keten” Marc Staat vrij veel tekst in > ook om achteraf na te lezen en om te verspreiden onder andere geïnteresseerden. Korte vragen tussendoor, diepgaandere vragen graag in de interactieve sessies. 10-04-2014 André de Wit & Marc Hagemeijer

“Vertrouwen in de keten” Marc André Wat is vertrouwen, hoe wordt het gecreëerd en hoe wordt het geschaad? Voorbeelden van “schaden” (incidenten) Onderzoek CBP Reacties / standpunt partijen Ontwikkeling privacy wetgeving EU Waarom vertrouwen? Uitgangspunten en heldere afspraken - Hoe gaan we in de keten met elkaar om? Wat is de keten? Reden voor ketenvorming? Zorg in en wensen van de keten. Interactieve sessies – de deelvragen Marc

Maar wie zijn Marc en André? André de Wit, 1964 Achtergrond Geo-informatie / ICT 1986 Eindverantwoordelijk Promeetec & ProVos (declaratie)communicatie ZA  ZVZ Advies/ondersteuning –optimaliseren- declareren. Bewustwording van jezelf als schakel in de keten. Marc Hagemeijer, 1965 IT security ervaring sinds 1999 Compliance & Risk Officer, VECOZO “Beheren” van de VECOZO security functie Inzicht geven + mitigeren van risico’s Voldoen aan wet- en regelgeving Effectiviteit van beveiligingsmaatregelen VECOZO een betrouwbare partij in de zorgketen te laten zijn. Marc > Andre

“Wat is de keten” (deel 1) Een keten is een samenwerkingsverband tussen organisaties die naast hun eigen doelstellingen, één of meer gemeenschappelijk gekozen (of door de politiek opgelegde) doelstellingen nastreven. … ketenpartners zijn zelfstandig, maar zijn ook afhankelijk van elkaar waar het gaat om het bereiken van de gezamenlijke doelstellingen….. Andre

“Wat is de keten” (deel 2) Aantal kenmerken van ketens….. Uiteenlopende belangen (samenwerking tussen ‘onafhankelijke’ organisaties) Afhankelijkheid (onderlinge en wederzijdse afhankelijkheid). Geen van de partners is in staat de gewenste doelstelling zelf te bereiken. Geen baas (geen eenhoofdige leiding) die in geval van conflicten tussen de organisaties een beslissend oordeel kan vellen. Onevenwichtigheid. Inbreng en differentiatie in vakinhoudelijke inbreng. Dit zet spanning op het evenwicht binnen de keten. Gelijkwaardigheid komt in de praktijk zelden voor. Dit betekent echter niet dat de prominentere partner zich ook als zodanig kan gedragen: dus uitdrukkelijk rekening houden met de belangen andere partners. Ketens worden niet opgezet in een statische, maar in een dynamische omgeving! Over het algemeen een duurzaam karakter hebben. Dus voor langere tijd. Typen ketens (doelen) Reduceren van kosten Verbeteren van dienstverlening Andre

“Reden voor ketenvorming?” Dienstverlening aan de klant (1 loket gedachte). Administratieve lastenverlichting. Terugdringen fouten. Efficiency (kan goedkoper worden gewerkt en kunnen uitvoeringskosten worden verlaagd). Innovatie (een succesvolle ketensamenwerking stimuleert creativiteit en draagt daarmee bij aan innovatie, nieuwe producten en vormen van dienstverlening). Andre

Zorg in en wensen van de keten Zorg-aanbieder Cliënt tevredenheid! Gezondheid / Herstel (de beste zorg) Andre Client

Zorg in en wensen van de keten Wetgeving & Toezichthouders Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Client Gezondheid / Herstel (de beste zorg) Betaalbare zorg Andre Zorg-aanbieder Cliënt tevredenheid! (On)rechtmatig bezig? Conform verwachting Toezichthouders

Zorg in en wensen van de keten Gezondheid / Herstel (de beste zorg) Betaalbare zorg Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Transparantie kosten. Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Voldoende mandaat Wetgeving & Toezichthouders Client Zorg-verzekeraar Zorg-aanbieder Andre Kosten/Baten Toezichthouder Cliënt tevredenheid! (On)rechtmatig bezig? Conform verwachting Toezichthouders Declaratie vereisten.

Zorg in en wensen van de keten Gezondheid / Herstel (de beste zorg) Betaalbare zorg Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Transparantie kosten. Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Voldoende mandaat Wetgeving & Toezichthouders Client Zorg-verzekeraar VECOZO Zorg-aanbieder Andre Kosten/Baten Toezichthouder SMART maken van voorwaarden Cliënt tevredenheid! (On)rechtmatig bezig? Conform verwachting Toezichthouders Declaratie vereisten.

Zorg in en wensen van de keten Gezondheid / Herstel (de beste zorg) Betaalbare zorg Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Gezondheid / Herstel (de beste zorg) Betaalbare zorg Transparantie kosten Eigen risco Eigen bijdrage Veranderden wet- en regelgeving Maatschappelijke ontwikkelingen Democratisch/Parlementair debat Uitvoer- toetsbare wetgeving Voldoende mandaat Wetgeving & Toezichthouders Client Zorg-verzekeraar VECOZO Softwarelev. & Tussenpartij Zorg-aanbieder Andre Kosten/Baten Toezichthouder SMART maken van voorwaarden Herkenbaarheid rol SL/TP (H)erkenning in keten Geïnformeerdheid m.b.t. voorwaarden Feedback Cliënt tevredenheid! (On)rechtmatig bezig? Conform verwachting Toezichthouders Declaratie vereisten. Vertrouwen in Oplossing software Uitbestede taken Consultancy Verlaging lasten (efficiënt proces)

“Vertrouwen in de keten” Wat is vertrouwen? Van Dale: Geloof in iemands goede trouw en eerlijkheid Wikipedia: Bereidheid om afhankelijk te zijn van de daden van een ander Wikipedia: Geloven dat een ander eerlijk is of dat iets goed zal gaan De overtuiging dat iets of iemand volgens een verwachting acteert Hoe wordt vertrouwen gecreëerd? Het is kwetsbaarheid die vertrouwen haar waarde geeft [Ferrucci] Geïnteresseerdheid, serieus nemen, gelijkheid, loslaten, aanspreken, eerlijkheid, verwachtingen afstemmen enz. Hoe wordt vertrouwen geschaad? Vertrouwen is goed, controle is beter [Lenin] Veel beloven verzwakt het vertrouwen [Horatius]. Ondubbelzinnigheid in wetgeving en handhaving. Andre > Marc

Voorbeelden van “schaden” (incidenten) [Bron: http://www.nu.nl/] [Bron: http://www.omroepbrabant.nl/] Marc [Bron: https://www.security.nl/] [Bron: https://www.security.nl/]

Onderzoek CBP (juni 2013). Waar rook is, is vuur. Marc [Bron: http://http://www.cbpweb.nl/Pages/pb_20130618_rapport-patientendossiers-binnen-zorginstellingen.aspx] Waar rook is, is vuur.

Standpunt van een brancheorganisatie Marc [Bron: http://www.npcf.nl/]

Standpunt van Zorgverzekeraars Teneinde een zorgvuldige omgang met persoonsgegevens te waarborgen zijn in de “Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars” gedragsregels geformuleerd voor zorgverzekeraars. De Gedragscode is door het CBP goedgekeurd op 13-12-2011. Uniforme maatregel 09 – Gebruik authenticatiemiddelen bij internetapplicaties (8 mei 2013) Gezamenlijk Toetsingskader Informatie- beveiliging voor uitbesteding (concept) DNB – CobiT 4.1 + Extra aanvullende maatregelen Marc [Bron: https://www.zn.nl/concept/branche/gedragscode/]

Ontwikkelingen privacy wetgeving Europa Woensdag 12 maart, op de 25e verjaardag van het internet, heeft het Europees Parlement ingestemd met een nieuwe privacy verordening. Momenteel buigt de Europese Raad zich over het voorstel. Waarschijnlijk zullen de nieuwe regels in 2015 of 2016 gaan gelden. Belangrijkste punten uit het voorstel: Het voorstel wordt geen richtlijn, maar een EU-verordening (Europese wetgeving). De burger heeft het recht om 'vergeten' te worden: Je data kunnen deleten op het moment dat jij dat wilt. Makkelijker toegang tot je eigen data: Het recht om je persoonlijke data te verplaatsen naar een andere provider. Controle over je eigen data: Burgers moeten expliciet toestemming geven aan bedrijven die hun data willen opvragen. Niets zeggen betekent dus niet automatisch toestemmen. Databescherming als eerste prioriteit: Producten en diensten moeten bij voorbaat gebouwd worden op de principes van databescherming. Bij de ontwikkeling van bijvoorbeeld sociale netwerken moet databescherming meteen ingebouwd worden en niet pas later in het proces een rol krijgen. Bedrijven en organisaties moeten ernstige gegevenslekken binnen 24 uur melden. Boetes voor bedrijven die de regels over databescherming schenden tot 100 miljoen euro of 5 procent van de wereldwijde jaarlijkse omzet. Marc [Bron oa: https://www.ctrl.nl/actual/voorstel-nieuwe-EU-privacy-verordening-2014.aspx en http://www.europarl.europa.eu]

Waarom “Vertrouwen in de keten” Vertrouwen, of het betrouwbaar zijn, wordt steeds meer een must, opgelegd vanuit de overheid/toezichthouders, maar ook geëist vanuit klant/patiënt. Standaard middel om dit te organiseren: Controle, toezicht, aantoonbaarheid Negatieve bijverschijnselen van Controle? Controle is historisch gezien altijd verbonden geweest met dwang. Controle is zand in de motor van effectieve samenwerking. Controle verlamt professionaliteit en creativiteit. Controle is gebaseerd op wantrouwen. Controle veroorzaakt twee werelden, de gecontroleerde en de werkelijke (schijnzekerheid). Controle kost ons allemaal geld. Hoe creëren we “Vertrouwen in de keten” zonder ten onder te gaan aan controle? Marc Andre, hoe ervaar jij als softwareleverancier en tussenpartij verscherpte controle? Uitgangspunten voor vertrouwen in de keten.

Uitgangspunten voor “Vertrouwen in de keten” Er moet een goede balans zijn tussen controle en loslaten (rekening houdend met wet- en regelgeving). Vertrouwen is geen gegeven, maar groeit vanuit een (geverifieerde) basis. Als controle noodzakelijk is moet dit gezien worden als opbouwende kritiek om daarmee het vertrouwen te bevorderen. Als controle noodzakelijk is moet het doel erachter duidelijk zijn en geaccepteerd worden. Meten is weten, weten geeft vertrouwen. Basis van vertrouwen wordt gevormd door heldere wederzijdse afspraken over hoe je met elkaar omgaat en werkt (verwachtingsmanagement). Als een partij die verwachtingen (en daaraan gerelateerde vertrouwen) niet invult moet men zich afvragen of die partij wel past in onze vertrouwensketen. Marc We hebben het hier over geverifieerde basis, afspraken, verwachtingen. Volgende sheet een concretere invulling.

Heldere afspraken Hoofdlijnen VECOZO (concept) beleid aansluiting externe partijen op productieomgeving: Externe partijen worden gecategoriseerd op basis van verschillende criteria (AGB code, gegevens uit het Handelsregister, UZOVI code, BIG registratie, verklaring Wtzi, deskresearch ed). Er zijn vijf categorieën partijen: Zorgaanbieders, Tussenpartijen, Softwareleveranciers, Derden en overige. Zorgaanbieders kunnen gebruik maken van VECOZO-diensten en zijn eindverantwoordelijk voor het juiste gebruik hiervan. Tussenpartijen kunnen gebruik maken van VECOZO-diensten indien zij door een Zorgaanbieder middels een toestemmingsverklaring gemachtigd zijn. VECOZO-diensten kunnen gebruikt worden indien een minimale set van organisatorische en technische maatregelen aantoonbaar effectief zijn. De wijze van authenticatie van een aangesloten partij (Contracthouder) is afhankelijk van de classificatie van de VECOZO-dienst en onafhankelijk van de wijze waarop wordt geconnecteerd. Het minimale niveau van authenticeren geldt zowel voor het direct connecteren met VECOZO als voor het connecteren van een Zorgaanbieder via een Tussenpartij met VECOZO. Marc

Heldere afspraken Marc Test/acceptatie omgeving specifiek bedoeld voor Softwareleveranciers (ontwikkeling, verkoop en ondersteuning). Ronny Kennes zal presentatie geven over het gebruik van data in deze omgeving (geen productiedata). Marc > Andre

Interactieve sessies – de deelvragen “Vertrouwen in de keten” – (H)erken je de noodzaak van het organiseren van vertrouwen in de keten? Verantwoordelijkheden in de keten – Wie is tot waar verantwoordelijk voor gegevensbeveiliging en privacy? Waarom en welke persoonsgegevens communiceren we met elkaar? Welke legitimiteit ligt er aan te grondslag? Zijn we bewust van de risico’s? Helderheid in wet- en regelgeving in de zorg – Ieder zijn eigen probleem of verwacht men van een partij een faciliterende / adviserende rol op dit gebied? Van welke normenkaders gaan we uit? Technische en organisatorische maatregelen (ter bescherming van persoonsgegevens) – Ieder zijn eigen interpretatie of bepaald door en voor de keten? Aantoonbaarheid? Inzet van authenticatiemiddelen – Zorg specifiek (VECOZO certificaat, UZI-pas) en/of meeliften met globale initiatieven (eHerkenning, eID)? Gebruik maken van bijvoorbeeld de Single Sign On methodiek van VECOZO? Samen-werken aan vertrouwen - Op welke wijze kunnen ketenpartners elkaar hierin versterken? Gaan we hierin VECOZO (h)erkennen als de ketenpartner (shared service center)? Kennisdeling Delen van kennis rondom bescherming persoonsgegevens? Behoefte aan (praktische) opleiding/cursussen? Opzetten van keurmerk? Andre

Softwareleveranciersdag 2014 “Met vertrouwen de kansen in de keten zien!” Andre Bedankt voor uw aandacht en tot straks!