NEN december 2017

Maat: px

Weergave met pagina beginnen:

Download "NEN december 2017"

Clara Lemmens
5 jaren geleden
Aantal bezoeken:

1 NEN december 2017

2 Voorstellen Natascha de Rijke Coordinator informatiebeveiliging Carante Groep (Kubus) Functionaris Gegevensbescherming Carante Groep

3 Voorstellen Wie zijn jullie? Vragen?

4 Inhoud Carante Groep samenwerking NEN 7510 certificering: Status Wel certificeren: voordelen/knelpunten Niet certificeren Keuzevrijheid? Blik op de toekomst

5 Carante Groep Samenwerkingsverband 13 zelfstandige care-organisaties. Organisaties regionaal actief, verspreid over Nederland. In totaal medewerkers en ruim cliënten. Doelgroep: lichamelijke en/of verstandelijke beperking, de psychiatrie, ouderenzorg, welzijn en jeugdhulpverlening.

6 Deelnemers Carante Groep

7 Informatiebeveiliging in samenwerkingsverband Carante Groep Gedeelde verantwoordelijkheden tav informatiebeveiliging F, I&A CG levert één beveiligingsniveau aan alle aangesloten stichtingen volgens ISO27001 Eigen verantwoordelijkheid Stichting ten aanzien van informatiebeveiliging (eigen informatiebeveiligingsbeleid, integriteit van informatie, toekennen/controleren van autorisaties, fysieke beveiliging, personeel etc.)

8 Samenwerkingsverband Carante Groep Carante Groep (F, I&A) Stichting is verantwoordelijk voor eigen processen : HKZ NEN7510 ISO 9001 Stichting B Carante Groep Domein F, I&A beheert ICT: ISO9001 ISO27001 ISAE 3402 type 1/2

9 Uitgangspunt samenwerking informatiebeveiliging (en privacy) Per Organisatie één coördinator informatiebeveiliging Vier keer per jaar overleg informatiebeveiliging & privacy onderwerpen: - ontwikkelingen privacy en informatiebeveiliging - behoefteninventarisatie (privacy hulpmiddelen) - kennisdeling - incidentbespreking (datalekken/ informatiebeveiligingsincidenten)

10 NEN 7510: status Carante groep 2 organisaties NEN 7510 gecertificeerd 2/3 (grotere) voornemen tot certificeren 10 organisaties geen certificering

11 NEN 7510: wel certificeren Eis die men zichzelf oplegt (zorgplicht) Vertrouwen Professionalisering Zekerheid Geeft structuur Algemene verordening Gegevensbescherming (accountability)

12 NEN 7510: wel certificeren Knelpunten: Verkopen Vereist/vergt interesse Vereist/vergt (enige/bepaalde) kennis Kost (veel) tijd/geld Timing /Prioriteiten Zelfsturende teams

13 NEN 7510: Niet certificeren Knelpunt: - Te weinig (inhoudelijke) kennis van (het organiseren van) informatiebeveiliging - Geen tijd/andere prioriteiten - Te moeilijk/weet niet waar beginnen - Veronderstelling compliant te zijn door ISO9001/HKZ certificering.

14 NEN 7510: keuzevrijheid? Certificering is niet verplicht, maar: - AmvB gebruik BSN in de zorg - Wet cliëntenrechten bij elektronische gegevensverwerkingen in de zorg (/ AmvB Besluit Elektronische gegevensverwerkingen door zorgaanbieders). - WGBO - Algemene Verordening Gegevensbescherming - Opdrachtgevers?

Doel Informatiebeveiliging zorginstelling Ervoor zorgen dat bedrijfsdoelstellingen behaald worden Borgen vertrouwelijkheid, beschikbaarheid en integriteit (incl.

15 Doel Informatiebeveiliging zorginstelling Ervoor zorgen dat bedrijfsdoelstellingen behaald worden Borgen vertrouwelijkheid, beschikbaarheid en integriteit (incl. authenticiteit, toerekenbaarheid en controleerbaarheid) van gegevens. Samenhang met privacy (vertrouwelijkheid) Borging dmv maatregelen + monitoring maatregelen. Observatie: Urgentie wordt niet overal gevoeld.

16 Managementdoelen informatiebeveiliging - Vertrouwen (maatschappelijk) - Professionele normen en ethiek (zorgvuldigheidprincipe) handhaven - Voldoen aan de wet bescherming persoonsgegevens (en straks de Algemene verordening gegevensbescherming) - Verantwoording kunnen afleggen (AVG/AP en IGZ) - Onderdeel risicomanagement invullen - Voldoen aan beveiligingsbehoefte - Zorgen dat technologie de business ondersteunt - Optimaal gebruik maken van zorginformatiesystemen - Interoperabiliteit mogelijk maken

17 NEN7510: de toekomst (Carante Groep) Aanpak Carante Groep: Normen Carante Groep vs normen Organisatie Ondersteunen risico-management Incidenten aangrijpen voor IB Advies: Begin! Tooling NEN gebruiken

18 NEN7510 : voor de kleine organisatie Begin: Managementbesluit informatiebeveiliging Welke doelen heeft organisatie? Eigen Organisatie en omgeving in kaart brengen Hoe/waar sluit IB aan? (kansen/risico s) Wat heb je al gedaan? Wie gaat wat doen? (beleg verantwoordelijkheden) Waar komt informatiebeveiliging terug? Etc.

cybersecurityraad.nl www.ncsc.nl www.isaca.

19 NEN7510 Conclusie: Ook in de care, 7510 : Doen! Handige websites: Werkenmetnen7510.nl Veiliginternetten.nl

Vergelijkbare documenten

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Introductie Peter van der Zwan Douwe de Jong Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei 2018 - Wet cliëntenrechten zomer 2017 - Revisie NEN 7510 najaar 2017 16:00 Handvatten Informatieveiligheid