Apps in de zorg – Berry Kok

Berry Kok
Navara
Risk Advisory
Topics
•
•
•
•
•
•
•
Informatiebeveiliging in het nieuws
Annual Benchmark on Patient Privacy &Data Security
Informatiebeveiliging in de zorg
Extra uitdaging: mobiel
Informatiebeveiliging in de praktijk
Navara software
Navara Risk Advisory
Informatiebeveiliging in het nieuws
Informatiebeveiliging in het nieuws
Informatiebeveiliging in het nieuws
Informatiebeveiliging in het nieuws
Fourth Annual B enchmark
on Patient Privacy & Data S ecurity
Aantal security incidenten
Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014
Inhoud datalek
Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014
Impact door datalek
Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014
Hoe is datalek vastgesteld?
Source: Fourth Annual Benchmark Study on Patient Privacy & Data Security, Maart 2014
Informatiebeveiliging in de zorg
Wat is informatiebeveiliging?
Vertrouwelijkheid van informatie
Het beschermen van gevoelige informatie tegen ongeautoriseerde
kennisname
Integriteit van informatie
Het waarborgen van de juistheid en volledigheid van informatie en de
juiste en volledige verwerking door ICT-systemen
Beschikbaarheid van informatie
Het zekerstellen dat informatie en essentiële diensten op de juiste
momenten beschikbaar zijn voor gebruikers
Waarom informatiebeveiliging?
Verantwoordelijkheden en verplichtingen in de zorg
• Gebeurtenissen die verlies van beschikbaarheid, integriteit en
vertrouwelijkheid met zich meebrengen, kunnen (klinische) gevolgen
hebben;
• Het ontbreken van adequate maatregelen om dergelijke
gebeurtenissen te voorkomen wordt binnen de zorg aangemerkt als
nalatigheid;
• De verantwoordelijkheden en plichten volgen onder meer uit de Wet
op de Geneeskundige Behandelingsovereenkomst (WGBO);
• Behandelingsovereenkomst; plicht een dossier te voeren
en rust op hem/haar een geheimhoudingsplicht
(beroepsgeheim). Informatiebeveiliging maakt deel uit
van de invulling daarvan.
Waarom informatiebeveiliging?
Risico’s voor de algehele bedrijfsvoering
• Niet juist, tijdig of volledig werkend IT systemen kunnen leiden tot
gedeeltelijke verstoring of algehele onderbreking van een
bedrijfsvoering, inclusief bijbehorende inefficiënties en kosten;
• Imagoschade en afbreuk met betrekking tot
klanttevredenheid;
• Privacy aspecten in het kader van de Wet
Bescherming Persoonsgegevens zijn ook
elementen die hier betrekking op hebben.
NEN7510 - Laatste jaren
• In 2010 Inspectie voor de Gezondheidszorg (IGZ) en College
Bescherming Persoonsgegevens (CBP) steekproef bij
zorginstellingen en daarnaast voor alle ziekenhuizen verplicht
externe audit.
• Toetsingscriteria was een baseline met 30 van de 133 NEN7510
normen en een vereiste maturity score van 2 op schaal van 1 tot 4.
• Laatste drie jaar terughoudendheid en ook binnen kwaliteitssystemen
in de zorg slechts een deel van de NEN7510 normen getoetst.
• Slechts afspraken dat zorgaanbieders actief verder zullen gaan met
de implementatie van NEN7510.
NEN7510 – Huidige situatie
Nieuwe wetgeving omtrent informatiebeveiliging komt in
stroomversnelling:
• Europese Algemene Verordening Bescherming Persoonsgegevens
– Verplicht zorgaanbieders o.a. een 'functionaris
gegevensbescherming' aan te stellen en datalekken te melden,
inclusief hoge boetes
– Mogelijk al in 2015 van kracht
• Wet Meldplicht Datalekken (Nationaal)
– Binnen 24 uur melding datalek bij CBP
– Boete bij niet naleven oplopend tot 450.000 euro
• 'Algemene Maatregel van Bestuur bij wetsvoorstel cliëntenrechten bij
elektronische verwerking van gegevens’
– Bevat ook alle NEN7510 normen
– Wanneer wetsvoorstel erdoor is, is NEN7510 verplicht!
Extra uitdaging: Mobiel
Mobile Security Onderzoek
Internationaal onderzoek onder 1.600 IT en Security professionals in
2013:
• 82% - Medewerkers gebruiken persoonlijke mobiele apparaten voor
werkdoeleinden;
• 77% - Informatiebeveiliging en privacy zijn de grootste uitdaging voor
mobiel werken;
• 71% - Het beschermen van bedrijfs- en klantinformatie
is topprioriteit als het gaat om mobility;
Source: Dimension Data Research 2013
Mobile Security Onderzoek (2)
Continued:
• 30% - De security risico’s voortkomend uit Bring Your Own Device
(BYOD) worden ingezien door IT, maar niet ingezien door
management;
• 27% - Onze organisatie heeft voldoende beleid en procedures
opgesteld om de risico’s van mobiel werken te ondervangen;
• 32% - Onze organisatie heeft specifieke security audits
laten uitvoeren op mobiele apparaten en apps.
Source: Dimension Data Research 2013
Informatiebeveiliging in de praktijk
Waar te beginnen?
Het is niet in het belang van een organisatie om zonder voorbereiding
een grote set aan procedures, werkinstructies en controls uit te rollen.
Aandachtspunten:
•
•
•
•
•
•
•
Inzicht krijgen in IT landschap;
Vaststellen datastromen;
Categoriseren data;
Risico’s bepalen;
Focusgebieden aanbrengen;
Gefaseerde uitrol nieuw beleid, procedures en werkinstructies;
Regelmatige controles op implementatie.
In verloop van tijd audit, evalueren en aanpassen waar nodig.
Focusgebieden
• Niet alle gegevens in een zorginstelling behoeven eenzelfde
beveiliging;
• Hangt af van de aard van de informatie, de wijze waarop deze wordt
gebruikt en de risico’s waaraan deze wordt blootgesteld;
• Voor systemen met patiëntgegevens is hoge beschikbaarheid en
tijdigheid van informatie vaak een kritische factor voor de juiste zorg;
• Integriteit, vertrouwelijkheid en privacy van patiëntgegevens is
essentieel.
Risico’s zijn leidend
• Door risicobeoordeling kan worden vastgesteld welk niveau van
beveiliging wordt vereist;
• De resultaten van regelmatige risicobeoordeling worden gebruikt
voor het bepalen van de prioriteiten;
• De hieruit voortkomende beheersmaatregelen kunnen helpen de
kans op fouten in de zorg die ontstaan door verlies van integriteit in
patiënt informatie te verminderen;
• Juiste toepassing van normen en maatregelen zijn belangrijk voor de
continuïteit van zorg en algehele geautomatiseerde
informatievoorziening.
IT als ondersteuning
Om de administratieve lasten zo laag mogelijk te houden is het aan te
raden zo veel mogelijk te automatiseren of in ieder geval te
ondersteunen met IT.
Als het specifiek over Apps gaat dan kan Mobile Application
Management hier in ondersteunen.
De Navara software biedt een geïntegreerde App management
omgeving.
Navara Risk Advisory
Navara levert niet alleen state-of-the-art Mobile software oplossingen
voor de beheersing van enterprise apps, maar levert ook professionele
dienstverlening omtrent risico management, informatiebeveiliging, audit
en compliance vraagstukken.
Onze hier voor opgeleide professionals (o.a. RE) ondersteunen u graag
met:
•
•
•
•
Internal (IT) Audits (NEN7510, COBIT, ISO27001 etc);
Software pre- en/of post-implementatie reviews;
Opstellen en implementeren van Risk Control Frameworks;
Risico assessments en risico workshops.
App Journey
•
•
•
•
•
•
•
Doelstellingen / Risico’s
Strategie / Beleid
App Board
Proof of Concept
App Camp
CE markering
Audit
App Journey
• Mobile Application
Management
• HTML5
• App Catalog
• Work Space
• adapers
• Apps
• Designer / Sencha Architect