Toen waren er nog geen hackers of computercrashes

1. Toen waren er nog geen hackers of computercrashes Mr. Drs. J.A. van der Wel jvdwel@comfort-ia.nl KNMG regiomeetings 2010

2. Inhoud • Wat is informatiebeveiliging? • Omgevingsfactoren • Stand van zaken • Plicht tot informatiebeveiliging • Toezichthouder • Waarmee kan een arts beginnen?

3. Wat is informatiebeveiliging Is informatie: • Beschikbaar als nodig • Juist • Exclusief (privacy)? Vereist aandacht voor: • Inrichten dossier • ICT • Gedrag achter de knoppen • Organisatie, uitbesteding, • ….

4. Omgevingsfactoren Informatievoorziening: • Meer overdrachtsmomenten vereist schaalvergroting • waarneemgroep, regionaal, landelijk • Toegang vereist behandelovereenkomst • ICT is specialisme -> ICT beheerders krijgen inzage

5. Stand van zaken – publiek

6. De checklist informatievoorziening: NEN7510 2004: NEN7510 ca 25 blz. checklist, vertaling naar: • NEN7511/1: complexe organisaties • NEN7511/2: samenwerkingsverbanden • NEN7511/3: solopraktijken Centraal: • Kwaliteit van zorg • Ken de risico’s, neem passende maatregelen

7. Prioriteiten uit checklist informatievoorziening / ziekenhuizen 2010: toetsingsreglement NVZ / IGZ: selectie uit NEN7510 • Beleid & Organisatie • Personeel • Ruimten & Apparatuur • Continuïteit • Identificatie, authenticatie en autorisatie Risicoanalyse informatiebeveiliging verplicht Eind 2010 – onafhankelijke audit vereist.

8. Aanvullingen op de informatievoorziening Koepels: manier van registreren • NHG: ADEDP / ADEMD / handreiking gebruik ICT. • Anderen: toets softwareleveranciers • WBP, ‘passende technische en organisatorische maatregelen’ bijv. UZI-pas ook buiten L-EPD Nictiz: concretisering • GBZ richtlijn / Landelijk EPD College Bescherming Persoonsgegevens • Transparantie voor patiënt • Spitz MH / Gorinchem

9. Waarmee kan de arts beginnen /Grote organisaties • Formuleer eisen van beschikbaarheid / juistheid / exclusiviteit • Uitvoering: standaard dossier / wachtwoord geheim / et cetera • Wie coördineert?

10. Waarmee kan de arts beginnen / Praktijken - informatievoorziening • Uniformeer manier van registreren • Gebruik geen Gmail / Hotmail voor patiëntgegevens • Kies: ICT zelf doen (met voldoende kennis) of uitbesteden. • Stel een coördinator informatievoorziening / -beveiliging / privacy aan • Autorisaties: alle accounts op naam. Inzage admi en systeembeheerders beperken tot noodzaak voor de taak, wachtwoorden ieder half jaar aanpassen • Inzicht in werkwijze systeembeheer (ASP). • Geen gebruikersnaam/wachtwoord aanlog via internet, spreek als nodig leverancier aan op aanpassen software • Procedure voor nagaan wie patiëntgegevens inziet, bijzondere patiënten betrekken in de check (publieke personen bijv.) • Geen bezoek onoorbare sites zoals: P2P, sex, download van gekraakte software e.d.

11. Gmail / Hotmail Gmail: 11. Content licentie van u • 11.2 U stemt er mee in dat …. Google de Content ter beschikking mag stellen aan ondernemingen, organisaties of individuen met wie Google zakelijke relaties onderhoudt ….. • 11.3 … Google, … : (a) uw Content over verschillende openbare netwerken en via verschillende media mag verzenden of verspreiden; en (b) die aanpassingen aan de Content mag verrichten, die noodzakelijk zijn om de Content te laten voldoen en aan te passen aan de technische vereisten van het verbinden van netwerken, middelen, apparaten of media.….

12. Waarmee kan de arts beginnen / praktijken / ICT • Alleen professionele, actuele software met licentie. • Viruscheck, firewall, check af en toe werking back-up en noodprocedures. • Laptops / USB sticks: versleutelen met lang wachtwoord. • Draadloos netwerk: versleutelen WPA2 / AES en lang wachtwoord • Nieuw systeem: test de conversie vanuit oud.

13. Tot slot ICT-tips voor de doe het zelver: http://ibindezorg.nl/oplossingen