In jouw schoenen… Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Vooraf….. • Hoeveel weet jij eigenlijk van informatiebeveiliging? veel | voldoende | te weinig • Wat vind jij van informatiebeveiliging? belangrijk | neutraal | onbelangrijk • Hoeveel doe je zelf in de praktijk aan informatiebeveiliging? veel | voldoende | te weinig • Wat doet je organisatie aan informatiebeveiliging? veel | voldoende | te weinig Waarom informatiebeveiliging? Voor leveren van verantwoorde zorg… • Is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare gegevens kunnen beschikken • Is het van belang dat gevoelige gegevens niet in handen van ongeautoriseerde partijen vallen • De uitdaging is het vinden van de juiste balans Wat is informatiebeveiliging? Beschikbaarheid: Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Integriteit: Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid: Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd. Informatiebeveiliging meer dan ICT • De noodzaak van informatiebeveiliging is van alle tijden, de impact van het ontbreken ervan is groter geworden door de moderne informatiesystemen en netwerken • Bij informatiebeveiliging denkt iedereen meteen aan computers en computersystemen • Niet onwaar maar er is meer…. Wat zijn informatiedragers • Fysieke informatie Geprint of geschreven informatie op fysieke dragers zoals statussen, foto’s, afsprakenlijsten • Digitale informatie Informatie die zich in geautomatiseerde systemen of op internet bevindt zoals mail, app, elektronische berichten • Niet tastbare informatie Bijvoorbeeld informatie in de hoofden van zorgprofessionals zoals kennis, ervaring, gesprekken Wat gebeurt er met informatie • • • • • • • • • • • Gecreëerd Beheerd Opgeslagen Bewerkt Verzonden Gebruikt voor (on)geautoriseerde toepassingen Aangepast of verminkt Gedeeld Vernietigd of verloren Gestolen Beheerst, beveiligd en beschermd Gestructureerde aanpak • NEN7510 (IGZ toetsing, vanaf 1/11/14 gratis beschikbaar) • Managementsysteem gebaseerd op risicoanalyse (ISMS) • 11 onderwerpen met 133 beheersmaatregelen • Selectie beheersmaatregelen o.b.v. risicoanalyse • Pas toe of leg uit principe • Centraal: terugbrengen van risico’s tot aanvaardbaar nivo Risico’s en bedreigingen • Hoe belangrijk zijn bepaalde informatie en informatiesystemen voor het zorgproces • Met welke bedreigingen hebben we te maken en hoe groot is de kans dat die bedreiging werkelijkheid wordt • Wat zijn de risico’s die zich voordoen bij de manier waarop we ons gebouw, onze werkprocessen en systemen hebben ingericht Voorbeeld Belang Dreiging Kans Impact Risico Gebouw Toegang niet geautoriseerd personeel 4 2 8 Database Database patiënteninformatie gekraakt 2 3 6 Medicijnen Foutieve medicijnen aan cliënt 2 3 6 Patiëntenzorg Slechte overdracht van de zorg 4 3 12 Communicatie Fouten inplannen zorgverleners 4 1 4 Kans Impact 1 2 3 1 2 3 4 5 1 2 3 2 4 6 3 6 9 4 8 12 5 10 15 Informatiebeveiligingsonderwerpen 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Personeel 5. Fysieke beveiliging en beveiliging omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10. Bedrijfscontinuïteitsbeheer 11. Naleving Belangrijke ISMS documenten • • • • • • • Verklaring van toepasselijkheid Risicoanalyse en rapport van de beoordeling Plan voor risicobehandeling ISMS beleid en de ISMS doelstellingen Reikwijdte van het ISMS Procedures en beheersmaatregelen die ISMS ondersteunen Registraties Verder: • Interne audits • Directiebeoordeling • Continu verbeteren Informatiebeveiliging in control? Signaleren zwakke plekken in organisatie • • • • • De grootste bedreigingen komen van mensen Meer dan 50% van incidenten komt van binnenuit 20% techniek en 80% mensenwerk Bepalend: kennis, houding en gedrag Veiligheid tweede natuur worden Want jouw cliënten... …mogen er op vertrouwen dat de informatie waarmee jij je werk doet betrouwbaar en juist is ... mogen er op vertrouwen dat er vertrouwelijk met hun gegevens wordt omgesprongen en onbevoegden geen kennis kunnen nemen van hun medische en persoonlijke informatie ... mogen er op vertrouwen dat de informatie die over hen in de zorginstelling aanwezig is, ook beschikbaar is op het moment dat dit nodig is voor een goede zorg Want jouw collega’s... ... mogen er op vertrouwen dat de informatie die jij aanlevert betrouwbaar en correct is ... mogen er op vertrouwen dat jij er alles aan doet dat de informatie die jij hebt of verkrijgt over een cliënt beschikbaar is en blijft ... mogen er op vertrouwen dat jij je net zo verantwoordelijk voelt voor de vertrouwelijke gegevens van cliënten als zij. Want jijzelf... ... mag er op vertrouwen dat de informatie die jij aangeleverd krijgt van je collega’s betrouwbaar en correct is ... mag er op vertrouwen dat zij er alles aan doen om de informatie die zij hebben of verkrijgen over een cliënt beschikbaar te hebben en te houden ... mag er op vertrouwen dat zij zich net zo verantwoordelijk voelen voor de vertrouwelijke gegevens van cliënten als jij Vraag je eens af… • Hoeveel besluiten neem jij op basis van informatie van anderen? • Hoeveel besluiten nemen anderen op basis van jouw informatie? • Wat is de impact van onjuiste of onvolledige informatie? Incidenten/meldingen • Herken bedreigingen, zwakheden en risico’s in je organisatie • Herken incidenten m.b.t. informatiebeveiliging • Meld incidenten • Zorg dat jouw organisatie hier van kan leren en verbeteren Herkennen jullie de risico’s? Balie Risico Respons • • • • • • • Plaats apparatuur waar mogelijk in besloten ruimten en haal altijd de uitvoer direct op • Ga op verantwoorde wijze om met faciliteiten die tot uw beschikking heeft en houd u aan geldende regels • Plaats informatie buiten bereik van onbevoegden • Wees alert op meekijkers • Houd altijd aan geldende regels en procedures ook voor bevoegd gezag Fax waait weg Verpleegster belt privé Man kijkt in dossier(kar) Politieagent kijkt op scherm Printer in openbare ruimte Rooster is openbaar Lab Risico Respons • Handen en benen patiënt zijn verwisseld • Privé gebruik computer • Invoerfout functieonderzoek • Etiketten komen niet overeen • Man kijkt mee in het lab • Let op onbevoegde meekijkers en meelezers • Voorkom dat informatie ongemerkt wordt gewijzigd of verloren gaat • Respecteer de regels voor veilig gebruik van internet en email • Voer controles in op handmatige handelingen en schroom niet een collega te vragen een extra controle uitte voeren • Vermijd handmatige invoer en overtypen of –schrijven van informatie Stafkamer Risico Respons • • • • • Laat media, zoals USB sticks, Dvd's, etc. niet slingeren en zorg dat de informatie die erop staat goed beveiligd is • Verwijder direct na vergadering de informatie van flipover of spreek collega op aan • Houd wachtwoorden voor u zelf en altijd geheim. Schrijf deze nooit op. • Beveilig de informatie op laptop en plaats aan een kabelslot of berg na gebruik op in gesloten kast • Berg informatie achter slot en grendel • Sluit kasten en werkplek altijd af wanneer u deze onbeheerd achterlaat Laptop voor het grijpen Vertrouwelijke informatie op flip-over Kast niet afgesloten Vertrouwelijke informatie voor het grijpen (koffer/tafel) • Wachtwoord op Post-It • USB stick verloren • Laptop voor het grijpen Collegezaal Risico Respons • Patiëntgegevens gebruikt voor college • Patiënt moet toestemming geven voor gebruik gegevens en gegevens moeten • Map vertrouwelijke informatie op geanonimiseerd worden. koffieautomaat • Vindt u een vergeten document neem dit • Artsen praten over patiënt dan altijd mee en bewaar op een veilige plek • Wachtwoord op Post-It • Houd wachtwoorden altijd voor u zelf en • Tentamens liggen op en bloot geheim. Schrijf deze nooit op. • Virus op computer • Verlies vertrouwelijke informatie nooit uit het oog of berg het op buiten bereik van onbevoegden • Respecteer de regels voor veilig gebruik van ICT faciliteiten • Voer vertrouwelijke gesprekken altijd in besloten ruimtes en houdt namen geheim En nu jullie praktijk… • Wat gaat er goed op het gebied van informatiebeveiliging? • Wat kan er beter op gebied van informatiebeveiliging? • Wat mis je vanuit jouw positie te zorgen voor een betere informatiebeveiliging? Hoe nu verder… • Wat ga je vanaf morgen doen? • Hoe ga je dit doen?
© Copyright 2024 ExpyDoc
